ネットワークセグメンテーション
あなたは、ローカルの敷地内でLAN間のトラフィックが流れることを許可するか、Cloudflareネットワークを介してトラフィックを転送するポリシーをコネクタで定義できます。デフォルトの動作は、すべてのLANからLANへのトラフィックをドロップすることです。これらのポリシーは特定のサブネット用に作成でき、2つのLANをリンクします。
flowchart LR
accTitle: この例では、トラフィックがCloudflareに行くのではなく、LAN間で流れるLANがあります。
a(Magic WAN Connector) <---> b(インターネット) <---> c(Cloudflare)
subgraph 顧客サイト
d[LAN 1] <---> a
e[LAN 2] <---> a
g[LAN 3] <---> a
h[LAN 4] <---> a
end
classDef orange fill:#f48120,color: black
class a,c orange
linkStyle 0,1,2,3 stroke:#f48120,stroke-width:3px
linkStyle 4,5 stroke:red,stroke-width:3px
上記の例では、赤いパスは顧客の敷地内に留まるトラフィック(LAN 3とLAN 4間の直接通信を許可)を示し、オレンジのパスはCloudflareに行ってから顧客の敷地内に戻るトラフィック(CloudflareでLAN 1とLAN 2間のトラフィックを処理)を示します。
ネットワークをセグメント化するためにこれらのポリシーを作成することは、LANからLANへのトラフィックをローカルまたはCloudflareのネットワークを介して許可できることを意味します。セキュリティのベストプラクティスとして、すべてのトラフィックをCloudflareのネットワークを通じて送信し、ゼロトラストセキュリティフィルタリングを行うことをお勧めします。これらのポリシーは注意して使用し、LANからLANへのトラフィックフローに対して厳しい要件があるシナリオのみに使用してください。
以下のガイドは、すでにサイトを作成し、コネクタを構成していることを前提としています。サイトを作成し、コネクタを構成する方法については、ハードウェアコネクタの構成または仮想コネクタの構成を参照してください。これは、敷地内にあるMagic WAN Connectorのタイプによります。
ネットワークをセグメント化するための新しいLANポリシーを作成するには、以下の手順に従ってください。必須とマークされたフィールドのみが必須です。
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- Magic WAN > サイトを選択します。
- 構成したいサイトを選択 > 編集を選択します。
- ネットワークに移動し、LAN構成までスクロールします。
- LANポリシー > ポリシーの作成を選択します。
- ポリシー名に、作成するポリシーの説明的な名前を入力します。
- ドロップダウンメニューのLAN 1から、元のLANを選択します。
- (オプション)サブネットに最初のLANのサブネットを指定します。
- (オプション)ポートに使用したいTCP/UDPポートを指定します。各ポートを区切るにはカンマを追加します。
- LAN 2で、宛先LANを選択し、上記のプロセスを繰り返して構成します。
- (オプション)トラフィックの種類を選択します。TCP、UDP、およびICMPを選択できます。また、すべてのトラフィックタイプを選択するにはAnyを選択できます。
- トラフィックパスで、トラフィックをCloudflareに転送して処理させたい場合はCloudflare経由で転送を選択します。このオプションを選択しない場合、トラフィックはローカルで、Cloudflareを通過せずに流れます。
- ポリシーの作成を選択します。
ネットワークポリシーを作成するには、APIを使用して POSTリクエストを作成します。
例:
curl https://api.cloudflare.com/client/v4/accounts/{account_id}/magic/sites/{site_id}/acls \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "acl": { "description": "<POLICY_DESCRIPTION>", "forward_locally": true, "lan_1": { "lan_id": "<LAN_ID>", "lan_name": "<LAN_NAME>", "ports": [ 1 ], "subnets": [ "192.0.2.1" ] }, "lan_2": { "lan_id": "<LAN_ID>", "lan_name": "<LAN_NAME>", "ports": [ 1 ], "subnets": [ "192.0.2.1" ] }, "name": "<POLICY_NAME>", "protocols": [ "tcp" ] }}'成功すると、次のようなレスポンスが返されます。
{ "errors": [], "messages": [], "result": { "acls": [ { "description": "<POLICY_DESCRIPTION>", "forward_locally": true, "id": "023e105f4ecef8ad9ca31a8372d0c353", "lan_1": { "lan_id": "<LAN_ID>", "lan_name": "<LAN_NAME>", "ports": [1], "subnets": ["192.0.2.1"] }, "lan_2": { "lan_id": "<LAN_ID>", "lan_name": "<LAN_NAME>", "ports": [1], "subnets": ["192.0.2.1"] }, "name": "<POLICY_NAME>", "protocols": ["tcp"] } ] }, "success": true}idパラメータに注意してください。これは、ネットワークポリシーを編集または削除するために必要です。
新しいポリシーは、指定されたLAN間のトラフィックがローカルで流れ、Cloudflareをバイパスすることを保証します。
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- Magic WAN > サイトを選択します。
- 構成したいサイトを選択 > 編集を選択します。
- ネットワークに移動し、LAN構成までスクロールします。
- LANポリシーを選択します。
- 編集が必要なポリシーを選択 > 編集を選択します。
- 変更を加え、ポリシーを更新を選択します。
ネットワークポリシーを編集するには、APIを使用して PUTリクエストを作成します。
例:
curl --request PUT \https://api.cloudflare.com/client/v4/accounts/{account_id}/magic/sites/{site_id}/acls/{acl_id} \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "acl": { "description": "<POLICY_DESCRIPTION>", "forward_locally": true, "lan_1": { "lan_id": "<LAN_ID>", "lan_name": "<LAN_NAME>", "ports": [ 1 ], "subnets": [ "192.0.2.1" ] }, "lan_2": { "lan_id": "<LAN_ID>", "lan_name": "<LAN_NAME>", "ports": [ 1 ], "subnets": [ "192.0.2.1" ] }, "name": "<POLICY_NAME>", "protocols": [ "tcp" ] }}'- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- Magic WAN > サイトを選択します。
- 構成したいサイトを選択 > 編集を選択します。
- ネットワークに移動し、LAN構成までスクロールします。
- LANポリシーを選択します。
- 編集が必要なポリシーを選択 > 編集を選択します。
- 削除を選択します。
- ダイアログボックスでポリシーを削除することは永久的であることを理解していますを選択 > 削除を選択します。
ネットワークポリシーを削除するには、APIを使用して DELETEリクエストを作成します。
例:
curl --request DELETE \https://api.cloudflare.com/client/v4/accounts/{account_id}/magic/sites/{site_id}/acls/{acl_identifier} \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>"