NATポリシーの設定
IPアドレスの変換
NAT(Network Address Translation)は、Firewall Software Blade
特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。の機能で、IPv4アドレスとIPv6アドレスを入れ替えて、よりセキュリティを強化するものです。 NATは、ネットワークのアイデンティティを保護し、内部のIPアドレスをインターネットに表示しない。また、NATを使用することで、より多くのIPv4およびIPv6アドレスをネットワークに供給することができます。
Security Gatewayは、パケットの送信元と送信先の両方のIPアドレスを変更することができます。例えば、内部のコンピュータが外部のコンピュータにパケットを送信するとき、セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は送信元のIPアドレスを新しいものに変換します。パケットは外部のコンピュータから戻ってきます。セキュリティゲートウェイは新しいIPアドレスを元のIPアドレスに変換して戻します。外部コンピュータからのパケットは、正しい内部コンピュータに送られます。
SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。は、お客様のネットワークに必要な設定を柔軟に行うことができます。
-
内部ネットワーク
ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。に向かうすべてのトラフィックをSecurity Gatewayで簡単に変換できるようにします。 -
SmartConsoleは、該当するトラフィックを変換する静的NATルールと非静的NATルールを自動的に作成することができます。
-
さまざまな構成や展開に対応したNATルールを手動で作成することができます。
セキュリティゲートウェイによるトラフィックの変換方法
セキュリティゲートウェイは、これらの手順を使用して、ネットワーク内のIPアドレスを変換することができます。
-
静的NAT- 各内部IPアドレスは、異なるパブリックIPアドレスに変換されます。セキュリティゲートウェイは、外部トラフィックが内部リソースにアクセスすることを許可することができます。
range で静的NATを設定すると、その範囲内のIPアドレスが変換されて range of the same size, starting with the IP address specified.
-
Hide NAT- セキュリティゲートウェイは、ポート番号を使用して、指定されたすべての内部 IP アドレスを単一のパブリック IP アドレスに変換し、内部 IP 構造を隠蔽します。接続は内部のコンピュータからのみ可能であり、外部のコンピュータから内部のサーバにアクセスすることはできません。Security Gatewayは、外部のコンピュータやサーバからの接続を同時に最大50,000まで翻訳することができます。
-
ポート変換でNATを隠す- 1つのIPアドレスを使用し、外部ユーザが隠れたネットワーク内の複数のアプリケーション・サーバにアクセスできるようにします。セキュリティゲートウェイは、要求されたサービス(または宛先ポート)を使用して、トラフィックを正しいサーバに送信します。一般的な構成では、これらのポートを使用することができます。FTPサーバ(ポート21)、SMTPサーバ(ポート25)、HTTPサーバ(ポート80)。ポート変換を使用するには、手動でNATルールを作成する必要があります(「NAT規則」を参照)。
Hide NATの使用
各SmartConsoleオブジェクトに対して、Hide NATモードのアドレス変換に使用するIPアドレスを設定することができます。
-
外部 Security Gateway インタフェースの IP アドレスを使用する。
-
オブジェクトのIPアドレスを入力する
Hide NATは、動的に割り当てられるポート番号を使って、元のIPアドレスを識別します。ポート番号のプールは2つあります。600から1023、1万から6万まで。ポート番号は通常、2番目のプールから割り当てられます。これらのサービスには、1つ目のプールが使用されます。
-
rlogin(宛先ポート512) -
rshell(宛先ポート513) -
rexec(宛先ポート514)
接続がこれらのサービスのいずれかを使用し、ソースポート番号が1024未満の場合、最初のプールからポート番号が割り当てられます。
これらの構成では、Hide NATを使用することはできません。
-
ポート番号を変更できないプロトコルを使用したトラフィック
-
IPアドレスを使って異なるコンピュータやクライアントを識別する外部サーバ
NATの導入例
静的NAT
スタティックNATを行うファイアウォールは、内部IPアドレスをそれぞれ異なる外部IPアドレスに変換します。
|
項目 |
説明 |
|---|---|
|
3 |
インターネット上の外部のコンピュータやサーバ |
|
2 |
スタティックNATで構成されたセキュリティゲートウェイ |
|
1 |
内蔵コンピュータ |
静的NATのワークフロー例
インターネット上の外部のコンピュータが192.0.2.5宛にパケットを送信する。Security GatewayはIPアドレスを10.10.0.26に変換して内部コンピュータAに送信し,内部コンピュータAは外部コンピュータにパケットを返送する.Security Gatewayはパケットを傍受し、送信元IPアドレスを192.0.2.5に変換する。
内部コンピュータB(10.10.0.37)は、外部コンピュータにパケットを送信する。Security Gatewayはパケットを傍受し、送信元IPアドレスを192.0.2.16に変換しています。
|
インターネット送信 パケットを 192.0.2.5 に送信します。 |
|
セキュリティゲートウェイが翻訳する このアドレスは10.10.0.26へ |
|
内蔵コンピュータA じゅしんパケット |
|
|
|
|
|
|
|
社内コンピュータA(10.10.0.26) インターネットにパケットを送信 |
|
セキュリティゲートウェイが翻訳する このアドレスを192.0.2.5へ |
|
インターネット受信 192.0.2.5からのパケット |
|
|
|
|
|
|
|
社内コンピュータB (10.10.0.37) インターネットにパケットを送信 |
|
セキュリティゲートウェイが翻訳する このアドレスを192.0.2.16にする |
|
インターネット受信 192.0.2.16からのパケット |
NATを隠す
Hide NATを行うファイアウォールは、異なるポート番号を使用して、内部IPアドレスを1つの外部IPアドレスに変換します。外部コンピュータは、内部コンピュータとの接続を開始することはできません。
|
項目 |
説明 |
|---|---|
|
1 |
内蔵コンピュータ |
|
2 |
Hide NATで構成されたSecurity Gateway |
|
3 |
インターネット上の外部のコンピュータやサーバ |
NATを隠すワークフローの例
内部コンピュータA(10.10.0.26)が外部コンピュータにパケットを送信する。Security Gatewayはパケットを傍受し、送信元IPアドレスを192.0.2.1ポート11000に変換する。外部コンピュータは192.0.2.1ポート11000にパケットを送り返す。Security Gatewayはこのパケットを10.10.0.26に変換し,内部のコンピュータAに送信する。
|
社内コンピュータA(10.10.0.26) インターネットにパケットを送信 |
|
セキュリティゲートウェイが翻訳する このアドレスを192.0.2.1ポート11000へ |
|
インターネット受信 192.0.2.1ポート11000からのパケット |
|
|
|
|
|
|
|
インターネットが送り返す パケットを 192.0.2.1 のポート 11000 に送信します。 |
|
セキュリティゲートウェイが翻訳する このアドレスは10.10.0.26へ |
|
内蔵コンピュータA じゅしんパケット |
