自動NATルールの操作

これらのオブジェクトに対して自動NATルールを作成できる:

  • セキュリティゲートウェイ

  • ホスト

  • ネットワーク

  • アドレス範囲

管理サーバは、パケットのソースと宛先を変換するために、スタティックNAT用に2つの自動NATルールを作成する。

Hide NATでは、1つのルールがパケットのソースを変換する。

ネットワークオブジェクトとAddress Rangeオブジェクトの場合、管理サーバはイントラネットトラフィックを変換しない別のルールを作成します。同一オブジェクト上のコンピュータのIPアドレスは変換されません。

この表は、自動NATルールをまとめたものである:

トラフィックのタイプ

自動NAT - 静的

自動NAT - Hide NAT

内部から外部

ルールは、ソースIPアドレスを変換

ルールは、ソースIPアドレスを変換

外部から内部

ルールは、宛先IPアドレスを変換

N/A (外部接続不可)

イントラネット(ネットワークとアドレス範囲オブジェクト)

ルールでIPアドレスを変換しない

ルールでIPアドレスを変換しない

自動NATルールの例

いいえ

元のソース

元の宛先

元のサービス

変換ソース

変換宛先

変換サービス

インストール

コメント

自動生成ルール

人事のためのNATルール (1-3)

1

HR

HR

Any

= Original

= Original

= Original

Policy Targets

 

2

HR

Any

Any

SHR(有効アドレス)

= Original

= Original

Policy Targets

 

3

Any

HR(有効アドレス)

Any

= Original

SHR

= Original

Policy Targets

 

  1. HRネットワークのイントラネット接続は変換されません。

    セキュリティゲートウェイは、HRオブジェクトの一部である2台のコンピュータ間の接続を変換しない。

    セキュリティゲートウェイは、ルール1に一致するトラフィックにはルール2と3を適用しない。

  2. HRネットワークからのIPアドレスから任意のIPアドレス(通常は外部のコンピュータ)への接続は、Static NATのIPアドレスに変換されます。

  3. 任意のIPアドレス(通常は外部のコンピュータ)からHRへの接続は、Static NATのIPアドレスに変換されます。

いいえ

元のソース

元の宛先

元のサービス

変換ソース

変換宛先

変換サービス

インストール

コメント

自動生成ルール

セールスにおけるNATルール (1-2)

1

売上高

売上高

Any

= Original

= Original

= Original

Policy Targets

 

2

売上高

Any

Any

Hセールス(住所隠し)

= Original

= Original

Policy Targets

 

  1. Salesアドレスの範囲内のイントラネット接続は変換されません。

    ファイアウォールは、Salesオブジェクトに含まれるIPアドレスを使用する2つのコンピュータ間の接続を変換しません。

    ファイアウォールは、ルール1に一致するトラフィックにルール2を適用しません。

  2. Salesアドレスの範囲にあるIPアドレスから任意のIPアドレス(通常は外部のコンピュータ)への接続は、Hide NATのIPアドレスに変換されます。

自動NATの設定

自動NATルールを作成する必要がある各オブジェクトでNAT設定を構成し、該当するオブジェクトへのトラフィックを許可するようにアクセス制御ルールを構成する。

  1. 左側のナビゲーションパネルでGateways & Serversをクリックします。

  2. Security Gatewayオブジェクトを右クリックします。

    ゲートウェイのGeneral Propertiesウィンドウが開きます。

  3. ナビゲーションツリーから、NAT >Advanced を選択します。

  4. Add automatic address translation rules to hide this Gateway behind another Gatewayを選択します。

  5. Translation method:HideまたはStaticを選択します。

  6. オブジェクトのNAT IPアドレスを設定します。

    • Hide behind Gateway- 対応するセキュリティゲートウェイのインタフェースのIPアドレスを使用する。

    • Hide behind IP address- IPアドレスを入力する。

  7. Install on Gatewayをクリックし、Allまたは IP アドレスを変換するセキュリティゲートウェイを選択します。

  8. OKをクリックします。

  9. アクセスコントロールポリシーをインストールします。

デプロイメント例

この導入サンプルの目的は、次を設定することです。

  • 内部ネットワーク上のEMailサーバとWebサーバの静的NAT。

    これらのサーバは、インターネットからパブリックアドレスを使ってアクセスできます。

  • インターネットにアクセスする内部ネットワークのユーザに対するHide NAT。

    このネットワークは、インターネットからアクセスすることはできません。

項目

説明

1

内部コンピュータ(Alaska_LAN、IPv6 2001:db8::/64)

2

Webサーバ(Alaska_Web、IPv6 2001:db8:0:10::5がIPv6 2001:db8:0:a::5に変換される)

3

メールサーバ(Alaska_Mail、IPv6 2001:db8:0:10::6はIPv6 2001:db8:0:a::6に変換されます。)

4

セキュリティゲートウェイ(Alaska_GW、外部IPv6 2001:db8:0:a::1)

5

インターネット上の外部のコンピュータやサーバ

設定手順:

  1. Webサーバに自動静的NATを設定する:

    1. Alaska_Web オブジェクトをダブルクリックする。

    2. 左から、NAT をクリックします。

    3. Add Automatic Address Translation Rulesを選択します。

    4. Translation methodで、Staticを選択します。

    5. Hide behind IP Addressを選択し、2001:db8:0:a::5を入力します。

    6. クリックOK

  2. EMailサーバの自動静的NATを有効にする:

    1. Alaska_Mail オブジェクトをダブルクリックする。

    2. 左から、NAT をクリックします。

    3. Add Automatic Address Translation Rulesを選択します。

    4. Translation methodで、Staticを選択します。

    5. Hide behind IP Addressを選択し、2001:db8:0:a::6を入力します。

    6. クリックOK

  3. 内部コンピューターの自動Hide NATを有効にする:

    1. Alaska_LAN オブジェクトをダブルクリックする。

    2. 左から、NAT をクリックします。

    3. Add Automatic Address Translation Rulesを選択します。

    4. Translation methodで、Hideを選択します。

    5. Hide behind Gatewayを選択します。

  4. クリックOK

  5. アクセスコントロールポリシーをインストールします。

管理サーバは、Security Policies view >Access Control >NAT で、これらの自動 NAT ルールを作成します:

いいえ

元のソース

元の宛先

元のサービス

変換ソース

変換宛先

変換サービス

インストール

コメント

自動生成ルール

セールスにおけるNATルール (1-2)

1

Alaska_Web

Alaska_Web

Any

= Original

= Original

= Original

Policy Targets

 

2

Alaska_Web

Any

Any

SAlaska_Web(有効なアドレス)

= Original

= Original

Policy Targets

 

3

Any

Alaska_Web

Any

= Original

SAlaska_Web(有効なアドレス)

= Original

Policy Targets

 

4

アラスカメール

アラスカメール

Any

= Original

= Original

= Original

Policy Targets

 

5

アラスカメール

Any

Any

SAlaska_Mail(有効なアドレス)

= Original

= Original

Policy Targets

 

6

Any

アラスカメール

Any

= Original

SAlaska_Mail(有効なアドレス)

= Original

Policy Targets

 

7

Alaska_LAN

Alaska_LAN

Any

= Original

= Original

= Original

Policy Targets

 

8

Alaska_LAN

Any

Any

H Alaska_LAN (非表示アドレス)

= Original

= Original

Policy Targets

 

外部ネットワークへの自動Hide NAT

大規模で複雑なネットワークの場合、すべての内部IPアドレスに対してHide NATの設定を行うことは実用的でない場合があります。

簡単な方法としては、セキュリティゲートウェイを有効にして、外部ネットワークとのすべてのトラフィックに対してHide NATを自動的に隠すことだ。セキュリティゲートウェイは、外部インタフェースを経由するすべてのトラフィックを、そのインタフェースの有効なIPアドレスに変換する。

このサンプルでは、内部ネットワークのコンピュータがインターネット上の外部サーバへの接続を開く構成になっています。内部クライアントの発信元IPアドレスは、外部インタフェースのIPアドレスに変換されます。

項目

説明

1

社内ネットワーク

2

セキュリティゲートウェイ は Automatic Hide NAT で設定されています。

2A、2B

外部インタフェース 192.0.2.1 と 192.0.2.100 の2つ。

1 -->3

インターネット上の外部のコンピュータやサーバ

ソースIPアドレスは、該当する外部インタフェースIPアドレスに変換される:192.0.2.1または192.0.2.100

- 接続が通常のNATルールとNAT-for-Internal-Networksルールに一致する場合、通常のNATルールが優先されます。

自動Hide NATを有効にするには

  1. 左側のナビゲーションパネルでGateways & Serversをクリックします。

  2. Security Gatewayオブジェクトを右クリックします。

  3. ナビゲーションツリーでNATをクリックします。

  4. Hide internal networks behind the Gateway's external IPを選択します。

  5. クリックOK

  6. アクセスコントロールポリシーをインストールします。