NATポリシーの設定

この章では、Check Point Security GatewayでNAT64(IPv6 から IPv4 へのネットワークアドレス変換)を構成する手順について説明します。

NAT64は、IPv6のみのクライアントとIPv4のみのサーバとの通信を可能にする技術です。この構成では、IPv4/IPv6 Translation Algorithm(RFC 6145)を使用してパケットヘッダを変換するルールをCheck Pointのセキュリティゲートウェイに定義します。セキュリティGartner Magic QuadrantはN:M変換を実行し、単一のIPv4アドレスまたはアドレス範囲の背後にあるHide NATのようなシナリオをサポートします。

NATの使用

  1. NATルールの種類とNATメソッドの種類については、このトピックの後述を参照してください。

  2. 該当する手順に従います。

  3. 該当するNATの詳細設定を行います。高度なNAT設定)。

  4. アクセスコントロールポリシーをインストールします。

はじめに

NAT(Network Address Translation)は、Firewall Software Bladeの機能で、IPv4アドレスとIPv6アドレスを置き換えてセキュリティを強化するものです。NATは、ネットワークのアイデンティティを保護し、内部のIPアドレスをインターネットに表示しません。

セキュリティゲートウェイは変更可能です:

  • パケットの送信元IPアドレス。

  • パケットの宛先IPアドレス。

  • パケット内のTCP/UDPポート。

  1. 内部コンピュータが外部コンピュータにパケットを送信する。

  2. セキュリティゲートウェイはソースIPアドレスを新しいものに変換する。

  3. 外部コンピューターからパケットが戻ってくる

  4. セキュリティゲートウェイは新しいIPアドレスを元のIPアドレスに変換する。

  5. 外部コンピュータからのパケットは、正しい内部コンピュータに送られます。

NATルールの種類

SmartConsoleでは、これらのタイプのNATルールを作成できます:

NATルール

NATルールの作成方法

これらのNATルールを変更するには?

自動NATルール

Management サーバは、オブジェクトのプロパティ(NAT ページ)で構成した NAT 設定に基づいて、これらのルールを自動的に作成します。

NAT 、オブジェクトのプロパティでNAT設定を変更する必要があります。

Manual NATルール

これらのルールを作成し、すべてのオブジェクトとNATメソッドを選択する。

このルールを変えるのだ。

重要- Security Management Server/ドメイン管理サーバは、1つのポリシーで最大16384のNATルールをサポートします。See sk82220.

NAT方式の種類

自動NATルールおよびManual NATルールでは、これらのNAT方法のいずれかを設定できます:

セキュリティゲートウェイは、送信元からのすべての接続の送信元IPアドレスを、セキュリティゲートウェイの送信インタフェースのIPアドレス、または設定したIPアドレスと同じIPアドレスに変更します。

隠す > ゲートウェイの後ろに隠す

セキュリティゲートウェイは、送信元からのすべての接続の送信元IPアドレスを、セキュリティゲートウェイの送信インタフェースの同じIPアドレスに変更します。

隠す > IPアドレスで隠す

セキュリティゲートウェイは、送信元からのすべての接続の送信元IPアドレスを、設定したのと同じIPアドレスに変更します。

注:

  • Hide NAT を設定すると、内部コンピュータからのみ接続を開始できるようになります。

    セキュリティゲートウェイは、外部トラフィックが内部リソースにアクセスすることを許可しない

  • 1つのIPアドレスを表すオブジェクト(Hostオブジェクト)でこの設定を有効にすると、1対1のアドレス変換が行われます。

  • 多くのIPアドレスを表すオブジェクト(ネットワークオブジェクト、Address Rangeオブジェクト)でこの設定を有効にすると、多対一のアドレス変換が行われます。

  • セキュリティゲートウェイは、ポート番号を使用して、指定されたすべての内部IPアドレスを1つの外部IPアドレスに変換します(ポート番号は600~1023、10,000~60,000)。

    セキュリティゲートウェイは、同時に最大50,000の接続を翻訳できる。

  • 次の構成には、Hide NATは使用できません。

    • ポート番号を変更できないプロトコルを使用するトラフィック。

    • IPアドレスを使用して異なるコンピュータやクライアントを識別する外部サーバ。

ダイアグラムの例

項目

説明

1

社内コンピュータ

2

Hide NATで構成されたセキュリティゲートウェイ

3

インターネット上の外部のコンピュータやサーバ

Hide NATワークフローの例

  1. 内部コンピュータA(10.10.0.26)から外部コンピュータにパケットが送信されます。

  2. セキュリティゲートウェイはパケットをインターセプトし、ソースIPアドレスを(10.10.0.26)から192.0.2.1に、ポートを11000に変換する。

  3. 外部コンピュータは192.0.2.1へ、ポート11000にパケットを送り返す。

  4. セキュリティゲートウェイはパケットのIPアドレスを192.0.2.1から10.10.0.26に変換し、内部コンピュータAに送信する。

社内コンピュータA(10.10.0.26)から

インターネットにパケットを送信

セキュリティゲートウェイで

このアドレスは10.10.0.26から192.0.2.1、ポートは11000です。

インターネットで

192.0.2.1、ポート11000からのパケット

 

 

 

 

 

インターネットから

パケットを192.0.2.1へ、ポート11000へ送る。

セキュリティゲートウェイで

このアドレスは192.0.2.1から10.10.0.26へ

社内コンピュータAで

パケットを受信

セキュリティゲートウェイは、ソースからのすべての接続のソースIPアドレスを設定したIPアドレスに変更します。

注:

  • スタティックNATを設定すると、セキュリティゲートウェイは外部トラフィックが内部リソースにアクセスできるようになります。

  • 1つのIPアドレスを表すオブジェクト(Hostオブジェクト)でこの設定を有効にすると、1対1のアドレス変換が行われます。

  • 多くのIPアドレスを表すオブジェクト(ネットワークオブジェクト、Address Rangeオブジェクト)でこの設定を有効にすると、多対一のアドレス変換が行われます。

    セキュリティゲートウェイは、それぞれの内部IPアドレスを異なる外部IPアドレスに変換する。

    重要- 変換されたIPアドレスの範囲は、ソースIPアドレスの範囲と同じです。

ダイアグラムの例

項目

説明

1

社内コンピュータ

2

静的NATで構成されたセキュリティゲートウェイ

3

インターネット上の外部のコンピュータやサーバ

スタティックNATによるトラフィックフローの例

  1. インターネット上の外部コンピュータが192.0.2.5にパケットを送信する。

  2. セキュリティゲートウェイはIPアドレスを192.0.2.5から10.10.0.26に変換し、パケットを内部コンピュータAに送信する。

  3. 内部コンピュータA(10.10.0.26)は外部コンピュータにパケットを送り返す。

  4. セキュリティゲートウェイはパケットをインターセプトし、ソースIPアドレスを10.10.0.26から192.0.2.5に変換する。

  5. 内部コンピュータB(10.10.0.37)から外部コンピュータにパケットが送信されます。

  6. セキュリティゲートウェイはパケットを傍受し、ソースIPアドレスを10.10.0.37から192.0.2.16に変換する。

インターネットから

パケットを 192.0.2.5 に送信

セキュリティゲートウェイで

このアドレスは192.0.2.5から10.10.0.26へ

社内コンピュータA(10.10.0.26)から

パケットを受信

 

 

 

 

 

社内コンピュータA(10.10.0.26)から

インターネットにパケットを送信

セキュリティゲートウェイで

このアドレスは10.10.0.26から192.0.2.5へ

インターネットで

192.0.2.5からパケットを受信

 

 

 

 

 

社内コンピュータB (10.10.0.37)から

インターネットにパケットを送信

セキュリティゲートウェイで

このアドレスは10.10.0.37から192.0.2.16へ

インターネットで

192.0.2.16からパケットを受信

SmartConsoleのNATルール

NATルールベースには2つのセクションがあり、IPアドレスとポートの変換方法を指定する:

  • Original- で、カラムはSourceDestination 、およびServices

  • Translated- で、カラムはSourceDestination 、およびServices

いいえ

元のソース

元の宛先

元のサービス

変換ソース

変換宛先

変換サービス

インストール

コメント

自動生成ルール

XのNATルール(Y-Z)

1

オブジェクト1

オブジェクト2

Any

= Original

= Original

= Original

Policy Targets

 

2

オブジェクト3

オブジェクト4

Any

Sオブジェクト5

Sオブジェクト6

= Original

Policy Targets

 

3

オブジェクト7

オブジェクト8

Any

Hオブジェクト9

Hオブジェクト10

= Original

Policy Targets

 

いいえ

元のソース

元の宛先

元のサービス

変換ソース

変換宛先

変換サービス

インストール

コメント

自動生成ルール

マニュアル下部ルール

4

オブジェクト11

オブジェクト12

Any

Sオブジェクト13

= Original

= Original

Policy Targets

 

5

オブジェクト14

オブジェクト15

Any

= Original

Sオブジェクト16

= Original

Policy Targets

 

NATルール実施の順番

セキュリティゲートウェイは、NATポリシーでルールを配置した順番に、NATルールベースを実施します(No. カラムを参照)。

セキュリティゲートウェイは、自動NATルールとManual NATルールを異なる方法で実施する。

  • Manual NAT rules- セキュリティゲートウェイは、接続にマッチした最初のManual NATルールを実施する。セキュリティゲートウェイは他のManual NATルールを検査しない。

  • Automatic NAT rules- セキュリティゲートウェイは、接続にマッチする2つの自動NATルール(1つはSource 、もう1つはDestination )を強制することができる。接続が2つの自動NATルールに一致すると、セキュリティゲートウェイはそれらのルールを実施する。

    - SmartConsoleは、自動NATルールをこの順序で整理します:

    1. セキュリティゲートウェイ、またはホスト(コンピュータまたはサーバ)オブジェクトの静的NATルール

    2. セキュリティゲートウェイ、またはホストオブジェクトのHide NATルールを隠す

    3. ネットワークまたはアドレスレンジオブジェクトの静的NATルール

    4. ネットワークまたはアドレスレンジオブジェクトのHide NATルールを隠す