Firebox を通過するトラフィックに加えて、Firebox は独自のトラフィックを生成します。Firebox で生成されたトラフィックは、自己生成のトラフィック (self-generated traffic) または自己発生トラフィック (self-originated traffic) とも呼ばれます。
Firebox で生成されるトラフィックには以下が含まれます:
- Gateway AntiVirus、Intrusion Prevention Service、Application Control、Data Loss Prevention、Botnet Detection、および Geolocation を含む、 WatchGuard サービスの署名更新
- WebBlocker、spamBlocker、APT Blocker などのサービスの WatchGuard サーバーに対するクエリ
- SSL 管理トンネルおよび TLS 経由の BOVPN トンネルなどのインターフェイスに紐づいていないトンネルの VPN トラフィック
- Firebox から Dimension サーバーに送信されるログ トラフィック
Fireware v12.2 以降では、ポリシーを追加して Firebox で生成されるトラフィックを制御できます。たとえば、Firebox からクラウドベースの WatchGuard 登録サービスに送信されるトラフィックで HTTPS パケット フィルタ ポリシーを作成できます。このポリシーでは、トラフィックで使用する WAN インターフェイスを指定できます。これにより、望まないインターフェイスまたは高額なインターフェイスへの登録サービスのトラフィックを防ぎます。Firebox で生成された各トラフィックで異なるポリシーを作成できます。
グローバル NAT、ポリシーごとの NAT、ポリシーベースのルーティング、QoS (Quality of Service)、および トラフィック管理を、Firebox で生成されたトラフィックを指定するポリシーに適用できます。トラフィック管理を指定するポリシーの場合、前方向の トラフィック管理アクションのみが適用されます。
サポートされない設定
複数 WAN 構成ページの設定は、Firebox で生成されたトラフィックには適用されません。
プロキシ アクションは、Firebox で生成されたトラフィックではサポートされません。
このような種類の Firebox で生成されたトラフィックは、以下のポリシーでは制御できません:
- 127.0.0.1 から 127.0.0.1 のトラフィック
- FireCluster メンバーの管理 IP アドレス間のトラフィック
- FireCluster インターフェイスで受信または発信したトラフィック
- IKE UDP 500/4500 および ESP/AH トラフィック
構成
Firebox で生成されたトラフィックを制御するには、以下を行う必要があります:
- Firebox で生成されたトラフィックのポリシーの構成を有効にする グローバル設定を有効にします。
- Firebox で生成されたトラフィックを指定するポリシーを追加します。
グローバル設定の詳細については、次を参照してください: Firebox のグローバル設定を定義する。
Firebox で生成されるトラフィックのポリシーを構成するには、次の手順を実行します: Firebox で生成されるトラフィックのポリシーを構成する。
構成例については、次を参照してください: Firebox で生成されるトラフィックの制御の構成例。
ベストプラクティスとして、Firebox で生成されたトラフィックでは拒否ポリシーを作成しないことをお勧めします。
ポリシーの順番
Firebox で生成されたトラフィックのポリシーの構成を有効にする 設定を有効にすると、以前は隠れていた Any-From-Firebox ポリシーがポリシーのリストに表示されます。このポリシーは変更したり削除することはできません。ポリシー リストで規定設定の自動順序指定モードが有効な場合、以下の変更が行われます:
- 既存のポリシーのポリシー順序番号が変更されます。
これは、以前は隠れていた Any-From-Firebox ポリシーが表示されるためです。 - Firebox で生成されるトラフィックを制御するポリシーが、他のすべてのポリシーより先に表示されます。
Firebox で生成されたトラフィックを制御する他のポリシーが存在しない場合、 Any-From-Firebox がリストの一番最初に表示され 1 の番号が付きます。 - Firebox で生成されたトラフィックで追加したポリシーはより詳細なため、Any-From-Firebox ポリシーより先に表示されます。
BOVPN および BOVPN 仮想インターフェイス
Fireware v12.2 以降では、Firebox で生成されたトラフィックのポリシーの構成を有効にする グローバル設定を有効にする場合:
BOVPN
- Firebox は Firebox で生成されたトラフィック発信元 IP アドレスを BOVPN トンネルルートに一致するよう設定しません。これは、Firebox で生成されたトラフィックは BOVPN トンネルではなく WAN インターフェイスを使用することを意味します。
- グローバル設定を有効にしたが Firebox で生成されたトラフィックで BOVPN トンネルを使用したい場合は、ポリシーを追加します。
BOVPN 仮想インターフェイス
- ポリシーを追加して、Firebox で生成されたトラフィックで強制的に BOVPN 仮想インターフェイストンネルの代わりに WAN インターフェイスを使用させることができます。
構成に BOVPN または BOVPN 仮想インターフェイスが含まれているときに Firebox で生成されたトラフィックを制御するには、以下を参照してください: Firebox で生成されるトラフィックの制御の構成例。
発信元 IP アドレスを設定する
Firebox で生成されたトラフィックでは、ポリシーで発信元 IP アドレスを設定できます。指定されたアドレスは、ポリシーを使用するすべてのトラフィックで発信元として表示されます。以下の場合、Firebox で生成されたトラフィックに発信元 IP アドレスを設定することをお勧めします:
- ISP のルーティングおよびトラフィックでは異なるサブネットを使用し、Firebox のルーティングではプライマリ IP アドレスを、Firebox で生成されたトラフィックのセカンダリ ネットワークでは IP アドレスを使用したい場合。
- プロバイダーに依存しない IP アドレスのブロックがあり、Firebox で生成されたトラフィックの IP アドレスを Firebox で使用するよう構成したいが、特定のインターフェイスにはバインドしたくない場合。
ループバック インターフェイスを使用して、IP アドレスを特定の WAN インターフェイスに関連付けられていない Firebox にバインドすることが可能です。Fireware v12.2 以降では、ポリシーの動的 NAT 設定でループバック インターフェイスのプライマリまたはセカンダリ IP アドレスを指定できます。Firebox で生成されたトラフィックでプロバイダーに依存しないアドレスを使用するには、プロバイダーに依存しないブロックの 1 つ以上の IP アドレスに DNAT ルール内の発信元 IP アドレスを設定します。
Firebox で生成されたトラフィックで発信元 IP アドレスを指定するポリシーを構成するには、次を参照してください: Firebox で生成されるトラフィックのポリシーを構成する。
グローバル動的 NAT の詳細については、次を参照してください: 動的 NAT 発信元 IP アドレスについて。
ループバック IP アドレスの詳細については、次を参照してください: ループバック インターフェイスを構成する。
ログ
Any-From-Firebox ポリシーのログ記録は、このデバイスから送信されるトラフィックのログ記録を有効にする チェックボックスで制御されています。このチェックボックスは、以下のグローバル ログ記録設定にあります:
- Web UI — システム > ログ記録 > 設定
- Policy Manager — 設定 > ログ記録 > 診断ログ レベル
Fireboxで生成されたトラフィックに作成したポリシーのログ記録は、ポリシー内で制御されます。