国内企業におけるOffice365の採用が進んできています。
提供も容易でコストメリットもあるため多数の企業がこのようなクラウドサービスを採用する一方、多くのユーザより遅延や接続が切れていしまうなどといった苦情が聞こえてきているといいます。
Office365は多数のセッションを同時に使用するため、各拠点からのインターネットアクセスを本社やデータセンター等に置かれたファイアウォール機器経由としセキュリティを確保しているといった従来型のネットワークアーキテクチャがこのような問題の原因となっているケースが多々あります。
そこで注目されているソリューションが、アプリケーションを自動で認識し、特定のアプリケーションのトラフィックのみ本社経由ではなく直接インターネット回線を使うといった運用を可能とする「インターネットブレイクアウト」です。
今回は、こういったニーズに応えることができるソリューションの一つ「Barracuda CloudGen Firewall」を用いたOffice365の通信に対する「インターネットブレイクアウト」の設定手順を紹介します。
使用機材
Barracuda CloudGen Firewall F400 (Firmware Version 7.2.2-057)
検証環境
以下のような環境を想定してます。
CloudGen FirewallにはIP-VPNとインターネット回線を収容し、デフォルの通信経路はIP−VPN経由だが、Office365を検知した場合のみ直接インターネット回線を使ってアクセスをさせることが目的です。
ネットワークの設定
機器の基本設定については割愛します。
WANやVPNについては実際の環境に合わせて設定してください。
今回の環境では、IP−VPN経由のデフォルトルートの設定については以下の通り設定してます。
ルーティングの設定箇所はConfiguration Tree > BOX > Network内にあります。
また、直接インターネットへアクセスする際のルーティングの設定は以下の通り設定してます。
複数WANを収容する場合は「Source Based Routing」の設定が必要です。
今回はインターネット接続用、IP−VPN接続用と2つのSource Based Routingを設定してます。
Connection Objectの設定
以下の手順にてIP-VPN用、インターネットアクセス用と2つのConnection Objectを作成します。
設定箇所は以下のとおりです。
Configuration Tree > BOX > Virtual Servers > S1(Virtual Server) > NGFW(Firewall) > Forwarding Rules
1. 左メニュー「Connections」を開きます。
2. 画面を右クリックし、「New」より「Connections」を選択します。
3. 以下のようにIP−VPN経由の通信を定義するConnection Objectの設定内容を埋めます。
Translated Source IPはここでは明示的にIPの指定を行う「Explicit IP」にて設定をしてますが、「Network Interface」でインターフェースの指定を行う形でも問題ありません。
4. 同様に、インターネットアクセス時のConnection Objectの作成を行います。
Application Based Provider Selectionの設定
上記の手順にて作成した2つのConnection Objectを用い、Office 365の通信を検出した場合のみ直接インターネット経由でアクセスをするといったルールを作成します。
Barracuda CloudGen Firewallでは、「Application Based Provider Selection」という設定を追加することによりこのような制御を設定します。
設定箇所は以下のとおりです。
Configuration Tree > BOX > Virtual Servers > S1(Virtual Server) > NGFW(Firewall) > Forwarding Rules
1. 左メニュー「Connections」を開きます。
2. 画面を右クリックし、「New」より「Application Based Provider Selection」を選択します。
3. まず、以下の通り入力をおこないます。
Name : 任意の名称
Default Connection : 上記の手順で作成した、IP−VPN経由の通信用のConnection Object
4. 「Application Based Provider」メニューの右の「+」ボタンをクリックし、画面下に表示された「New Entry」行の右側、「Condition」列に表示されるペンマークをクリックします。
5. 上部のメニューより「Applications Selected」を開き、アプリケーションの一覧より「Microsoft Office 365」を選択し、右側の+ボタンを押し「Selected Applications」に「Microsoft Office 365」を加え、右上の「Save」ボタンで前の画面に戻ります。
6. 追加された 「Application Based Provider」に対し、「Name」列で任意の名前を、「Condition」列で前の手順で作成した、インターネットアクセス用のConnection Objectを選択します。
これにて「Application Based Provider Selection」オブジェクトの追加は完了です。
Access Ruleの設定
最後に、Access Ruleの設定を行う必要があります。
設定箇所はこれまでと同様、以下となります。
Configuration Tree > BOX > Virtual Servers > S1(Virtual Server) > NGFW(Firewall) > Forwarding Rules
1. 左メニューより「Access Rules」を選択します。
2. 画面右上の「+」ボタンより新規のアクセスルールを作成します。
※こちらは、元々存在していたアクセスルールを編集する形でも大丈夫です。
3. 以下のように設定を行います。
ルールタイプ : Pass
Source : CloudGen FirewallのLAN側のネットワーク等任意のソースネットワーク
Service : 任意のサービス
Destination : Internet
Policies : ※ここでは必ず、「Application Policy」内で「AppControl」を有効にします。
Connection Method : これまでの手順で作成した「Application Based Provider Selection」オブジェクトを選択します。
以下は設定例です。
動作確認
実際に、CloudGen FirewallのLAN側の端末よりOffice365やその他のサイトへのアクセスを実施してみます。
通信の状況については上部メニュー「Firewall」より確認が可能です。
こちらが実際の通信ログとなります。
Applicationが「Microsoft Office 365」と認識された場合は「Output-IF」がインターネットアクセス時に用いるインターフェースとなっており、また、グローバルIPにSNATがかかっていることがわかります。
さいごに
今回は、インターネットブレイクアウトの活用ということでBarracuda CloudGen Firewallを用いたOffice365の通信制御の手順をご紹介しました。
今回はOffice365に関する設定手順のご紹介でしたが、同様の手順で設定いただくことでWindows UpdateやGmailなど他にも様々なアプリケーションの制御を実施することが可能です。
クラウド移行に伴うトラフィックの増加を解消するため、インターネットブレイクアウトを活用するケースは今後さらに増えてくるのかと思います。
本記事が少しでも実際に設定をされる際の参考になれば幸いです。