こんにちは。Meraki担当のDsasです。
　今回はMeraki MXのACLについてです。MXシリーズはUTMなので当然ACLは利用可能なのですが、3つのパターンに分けて設定方法をご紹介していきます。

■IN　→　OUTの場合
　LAN側のクライアントがインターネットに抜ける通信を対象にする(アウトバンドルール)場合には下記の画面から設定が可能です。
左側メニュー　セキュリティ ＆ SD-WAN ＞ファイアウォール

 ・L3ファイアウォール
　送信元/宛先IPアドレスとポート番号を使用した一般的なACLの設定です。作成したルールはドラッグで順番を入れ替えたり、指定したエントリだけを削除したりもできるので、CLIのACLと比べるととても管理がしやすいかなと思います。
じつは、宛先にはドメインを指定することができるのも可能なところも私は気に入っています。
 ・L7ファイアウォール
　アプリケーション単位で通信を禁止する機能です。Webアプリでは複数のポートやIPアドレスを使用しているので、それらを一括で許可/禁止することが可能になります。
　指定できるのはシスコ側で登録のあるアプリケーションですが、最近OS16.xのベータ版ではNBAR2というシスコのデータセットをサポートしたことで、指定できるアプリケーションの数が増えました。
　ちなみに、類似の機能であるコンテンツフィルタではブロックページが表示できるのですがL7ファイアウォールの場合単純に通信をドロップすることしかできません。
■OUT　→　INの場合
　MXはインターネット側からの通信は原則全てドロップします。
　公開サーバなど外部からのアクセスが必要な場合には、下記の画面からポート転送やNATを使用して到達させるようにします。
左側メニュー　セキュリティ ＆ SD-WAN ＞ファイアウォール

 ・ポート転送
MXのアップリンクインターフェイスに対して、指定のポートで着信した通信をLAN側に転送します。MXは標準でダイナミックDNSも利用できますので、固定IPが無い環境でも利用できますね。
 ・1対1 NAT
用途はポート転送に似ていますが、こちらは対象がIPアドレスになりますので複数のグローバルIPアドレスを取得されている場合に使用する機能です。指定したグローバルIPアドレス宛に着信した通信をLAN側に転送します。“許可されたインバウンド接続”の項目で接続元のIPアドレスやポート番号に対して制限をかけることも可能です。
 ・1対1 NAT
あまり使う機会は無いかもしれませんが、ポートフォワーディングと1対1NATを組み合わせたような機能がこちらです。
複数のIPアドレスに対してポート転送の設定を書くことが可能になりますので、こちらも複数のグローバルIPアドレスを取得されている場合に使う機能ですね。
■VLAN間フィルタリング　の場合
LAN間でのフィルタリングについては、IN　→　OUTの場合と同様にL3ファイアウォールの項目から設定が可能です。宛先と送信元のIPアドレス/ポート番号を指定して通信を禁止します。


今回は以上となります。
UTMの設定というと、各社多かれ少なかれクセがあると思いますがなんとなくMXシリーズは簡単だな、というイメージを持って頂けたら幸いです。

　ここまでお読みいただきありがとうございました。