Cloudflare Gateway

Cloudflare Gateway、私たちの包括的なセキュアウェブゲートウェイは、DNS、ネットワーク、HTTP、および出口トラフィックを検査するためのポリシーを設定することを可能にします。

ネットワークおよびHTTPゲートウェイポリシーを、Magic Firewallポリシー（L3/4トラフィックフィルタリング用）と共に、インターネット行きのトラフィックまたはMagic WANを介してCloudflareネットワークに入るプライベートトラフィックに適用できます。

HTTPSフィルタリング

HTTPSトラフィックを検査するには、各クライアントデバイスにCloudflareルート証明書をインストールする必要があります。WARPクライアントを使用して、サポートされているデバイスにCloudflare証明書を自動的にインストールできます。デバイスまたはアプリケーションがWARPを介った証明書のインストールをサポートしていない場合は、手動で証明書をインストールできます。この証明書は、CloudflareがTLSを復号化するために必要です。

証明書をインストールできない、またはインストールしたくない場合は、Do Not Inspectポリシーを作成して、互換性のないMagic WANトラフィックを検査から除外するか、TLS復号化を完全に無効にすることができます。GatewayはMagic WANトラフィックを識別できないため、WARPクライアントチェックまたはMagic WANに関連付けられたIPアドレスを使用して、トラフィックをGatewayポリシーと一致させる必要があります。たとえば、組織がWARPを介してデバイスをMagic WANにオンボードする場合、OSバージョンチェックを使用してWARPを実行していないデバイスを除外できます：

Selector	Operator	Value	Logic	Action
Passed Device Posture Checks	not in	Windows (OS version)	Or	Do Not Inspect
Passed Device Posture Checks	not in	macOS (OS version)	Or	Do Not Inspect
Passed Device Posture Checks	not in	Linux (OS version)	Or	Do Not Inspect
Passed Device Posture Checks	not in	iOS (OS version)	Or	Do Not Inspect
Passed Device Posture Checks	not in	Android (OS version)		Do Not Inspect

組織がWARP以外のオンランプを介してユーザーをMagic WANにオンボードする場合、Magic IPsecトンネルのIPアドレスを使用してデバイスを検査から除外できます：

Selector	Operator	Value	Action
Source IP	in	203.0.113.0/24	Do Not Inspect

アウトバウンドインターネットトラフィック

デフォルトでは、Magic WANトンネルを介してルーティングされ、パブリックIPアドレスに向かう以下のトラフィックは、Cloudflare Gatewayを介してプロキシ/フィルタリングされます：

• RFC 1918 ↗ IPまたはWARPデバイスから発信されたTCP、UDP、およびICMPトラフィック。
• BYOまたはリースされたIPから発信され、よく知られたポート（0-1023）に向かうTCPおよびUDPトラフィック。

パブリックIPに向かうトラフィックは、明示的に指定されない限り、パブリックインターネットを介してルーティングされます。フィルタリング後に特定のパブリックIP範囲をMagic WANトンネルを介してルーティングするように構成したい場合は、アカウントチームに連絡してください。

このトラフィックは、Cloudflare Gatewayで定義した出口ポリシーに従ってCloudflareから出て行きます。デフォルトでは、共有CloudflareパブリックIP範囲から出て行きます。

プライベートトラフィック

デフォルトでは、Magic WANトンネルを介してルーティングされ、Cloudflare Tunnelの背後にあるルートに向かうTCP、UDP、およびICMPトラフィックは、Cloudflare Gatewayを介してプロキシ/フィルタリングされます。

Magic WANトンネルの背後にあるルートに向かうトラフィックのためにGatewayフィルタリングを有効にするには、アカウントチームに連絡してください。有効にされた場合、デフォルトでは、RFC1918 ↗空間、WARP、またはBYOまたはリースされたIPから発信され、送信元ポートが1023より高く、宛先ポートが1024より低いTCPおよびUDPトラフィックは、Cloudflare Gatewayによってプロキシ/フィルタリングされます。

オプションで、デフォルトを上書きするために、より具体的な一致を指定できます：

• RFC1918空間のサブセット内の送信元IPプレフィックス、またはBYOまたはリースされたIP
• RFC1918空間のサブセット内の宛先IPプレフィックス、またはBYOまたはリースされたIP
• 0-65535の範囲の宛先ポート番号

送信元ポートは1024-65535にハードコーディングされており、上書きすることはできません。

​​Run traceroute

Magic WAN clients connecting through GRE, IPsec, CNI or WARP that want to perform a traceroute to an endpoint behind a Cloudflare Tunnel will need to change some settings to make the command useful. Refer to Run traceroute for more information.

Gateway統合のテスト

GatewayがMagic WAN接続と正常に動作しているかを確認するには、顧客の設備の背後にあるホストからブラウザを開き、https://ifconfig.meにアクセスします。

まだGatewayのテストを行っている場合、Cloudflareがデフォルトのルートでない場合は、ルーターでポリシーベースのルートを構成して、トラフィックを最初にCloudflare Gatewayに送信し、その後https://ifconfig.meにアクセスします。

HTTP Gatewayアクティビティログにテストのエントリがあることを確認してください。宛先IPアドレスはifconfig.meのパブリックIPアドレスであるべきで、送信元IPアドレスはブラウザを持つホストのプライベート（WAN）アドレスであるべきです。アウトバウンド接続はMagic WAN IPアドレスから発信されるべきであり、Cloudflareがあなたの代わりに広告している可能性のあるパブリックIPアドレスからではありません。これは、Magic Transit With Egress Optionを使用している場合も同様です。

さらに、http://ifconfig.me（非TLS）とhttps://ifconfig.me（TLS）の両方をテストして、TCP最大セグメントサイズ（MSSクランプ）が正しく設定されていることを確認します。HTTPSクエリの応答がハングしたり失敗したりするが、HTTPが機能する場合、MSS値が高すぎるか設定されていない可能性があります。この値を顧客の設備で、IKEおよびESP ↗設定によって導入されるオーバーヘッドに合わせて減少させてください。