MerakiにはGroup Policyと呼ばれるMerakiデバイスやクライアントの設定を上書きすることができる機能があります。
本日は、Merakiデバイス(MRとMX)に設定されているFirewallルールとクライアントに設定するGroup Policy内に記述されているFirewallルールの関係について動作をまとめておきたいと思います。
Test1 : MR(SSID)にL3 Firewall設定を行う
まずは今回の試験のベースとなるMeraki MRのSSIDにL3 Firewall設定を行い通信確認を行います。
「ワイヤレス > 設定 > Firewall&トラフィックシェーピング」に移動し、該当のSSIDを選択します。
今回はFirewallルールとして全ての宛先に対しPort80を拒否(Deny)の設定を行いました。
これにより該当SSID配下の端末においてはHTTP(80)の通信が行えないことになります。
該当SSID配下の端末(今回はiPhoneを使用)を使って通信確認を行います。
念の為、あらかじめSafariのキャッシュをクリアをして試験を行いました。
LAN内に設置しているApache Webサーバへのアクセスを試みるも通信は成立しないことが確認できました。
Test2 : クライアントにGroup Policyを設定
Test1の環境でクライアントに対しGroup Policyの設定を行います。
Group Policyではローカルセグメントに配置しているWebサーバ(Apache)に対してのみHTTP(80)通信を拒否設定を行います。
「ネットワーク全体 > 設定 > グループポリシー」に移動し、クライアントに設定するGroup Policyを設定します。
「Layer3 ファイヤーウォール」ルールとして宛先192.168.2.10/32に対しポート80番をDenyとして設定します。
ポイントとなるのはデフォルトで設定されている「暗黙の許可」ルールとなります。
グループポリシーが適用されたクライアントに対してこの「暗黙の許可」とSSID設定されたFirewallルールのどちらが適用されるのかを検証します。
次にクライアントにGroup Policyを設定します。
クライアントのデバイスポリシーに上記で作成したGroup Policy(ここではtest-group)を設定します。
IPアドレス"192.168.2.10"への通信に関してはTest1と同様に通信不可であることを確認されました。
次にこのWebサーバ以外へのHTTP通信を確認します。
別のセグメントに設置しているISR4K(192.168.1.1)に対してHTTP通信を行います。
これでGroup Policyに記載されている"192.168.2.10"以外へのHTTP通信が行えることが確認できました。
ここまでの検証で、SSIDに設定されているFirewallルールはGroup PolicyのFirewallルールによって完全上書きされることが確認できたことになります。
実際にはGroup PolicyのFirewallルールにある「暗黙の許可」ルールが適用されていることが分かったことになります。
Test3 : MXでファイヤーウォールを設定
次にMerakiデバイスを多段に設置しそれぞれにFirewallルールを設定した場合の検証を行います。
Test2においてはISR4K(192.168.1.1)に対しての通信を行うことが可能であることが確認できています。
Test3ではそのISR4Kの間にMXを設置しMXのFirewallルールで192.168.1.1への通信を拒否(Deny)設定にした場合の通信を確認します。
「セキュリティ&SD-WAN > 設定 > ファイヤーウォール」へ移動します。
アウトバンドルールで192.168.1.1/32への80番ポートを拒否する設定を行います。
念の為ブラウザのキャッシュをクリアして再びISR4Kに対してHTTP通信を行います。
Test2と同様にISR4Kへのブラウザ通信が行えることが確認できました。
これにより、クライアントに割り当てられたGroup Policy内のFirewallルールはトラフィックが通過する全てのMerakiデバイスにて上書きされることが確認できました。
まとめ
MerakiのGroup Policyはとてもユニークな機能で、柔軟なNetworkセキュリティ設定を行うことが可能になります。
今回の検証によりGroup Policyの設定は全てのMeraki Deviceに対して有効(上書き)となることが確認できました。