またはバーチャル ワイヤー導入の設定に関する詳細は、 『 Palo Alto Networks 管理者ガ イド』の第 4 章を参照してください。

ファイアウォールは、Ethernet 1/1 ポートと Ethernet 1/2 （および対応するデフォル トのセキュリティポリシーと仮想ルーター）の間のデフォルトのバーチャルワイ ヤーインターフェイスが事前設定されて出荷されます。このデフォルトのバーチャ ルワイヤーを使用する予定がない場合は、定義する他の設定と干渉しないようにす るため、手動でこの設定を削除してから設定を続行する必要があります。デフォル トのバーチャルワイヤーとその関連セキュリティポリシーおよびゾーンを削除す る方法の詳細は、外部サービスへのアクセス用データポートのセットアップのス テップ 3を参照してください。

スタート ガイド 49 ペリメータセキュリティの確立 インターフェイスおよびゾーンの設定

インターフェイスおよびゾーンの設定

ステップ 1 外部インターフェイス (インター ネットに接続するインターフェ イス) を設定します。

1. 設定するインターフェイスを選択します。この例では、

Ethernet1/3 を外部インターフェイスとして設定します。

2. [インターフェイス タイプ] を選択します。ここで選択 するタイプはご使用のネットワークトポロジに応じて 異なりますが、この例では、[ レイヤー 3] の場合の手 順を示します。

3. [設定] タブで、[セキュリティ ゾーン] ドロップダウン を展開して [新規ゾーン] を選択します。[ゾーン] ダ イアログの [名前] で「Untrust」などの名前をつけて新 しいゾーンを定義し、[OK] をクリックします。

4. インターネットルータへの静的ルートを設定します。

a [仮想ルーター] ドロップダウンリストから [新規仮 想ルーター] を選択し、[名前] フィールドに「VR1」 などの仮想ルーター名を入力します。

b [スタティック ルート] タブを選択して [追加] をク リックします。[名前] フィールドにルート名を入力 し、[宛先] フィールドにルートの宛先 (例: 0.0.0.0/0) を入力します。

c [ネクスト ホップ] で [IP アドレス] ラジオボタンを クリックし、インターネットゲートウェイの IP アド レスとネットマスク (例: 208.80.56.1/24) を入力します。

d [OK] を 2 度クリックすると、仮想ルーターの設定が

保存されます。

5. IP アドレスをインターフェイスに割り当てるには、[IPv4]

タブを選択してから IP セクションで [追加] をクリック し、インターフェイスに割り当てる IP アドレスとネット マスク (例: 208.80.56.100/24) を入力します。

6. インターフェイスの ping を有効にするには、[詳細] >

[その他の情報] の順にクリックし、[管理プロファイ ル ] ドロップダウンリストから [新規管理プロファイ ル] を選択します。[名前] フィールドにプロファイル 名を入力し、[Ping] を選択してから [OK] をクリックし ます。

7. インターフェイス設定を保存するには、[OK] をクリッ クします。

インターフェイスおよびゾーンの設定 ペリメータセキュリティの確立

ステップ 2 内部ネットワークに接続するイン ターフェイスを設定します。

注意 この例のインターフェイスは、プ ライベート IP アドレスを使用す るネットワークセグメントに接 続します。プライベート IP アド レスは外部にルーティングでき ないため、NAT を設定する必要 があります。51ページの「NAT ポリシーの設定」を参照してくだ さい。

1. [Network] > [インターフェイス] の順に選択し、設定

す る イ ン タ ー フ ェ イ ス を 選 択 し ま す。こ の 例 で は、

Ethernet1/4 を内部インターフェイスとして設定します。

2. [インターフェイス タイプ] ドロップダウンリストか

ら [Layer3] を選択します。

3. [設定] タブで、[セキュリティ ゾーン] ドロップダウン を展開して [新規ゾーン] を選択します。[ゾーン] ダ イアログの [名前] で「Trust」などの名前をつけて新し いゾーンを定義し、[OK] をクリックします。

4. ステップ 1で作成した仮想ルーター (この例では VR1) を選択します。

5. IP アドレスをインターフェイスに割り当てるには、[IPv4]

タブを選択してから IP セクションで [追加] をクリック し、インターフェイスに割り当てる IP アドレスとネット マスク (例: 192.168.1.4/24) を入力します。

6. インターフェイスの ping を有効にするには、ステッ プ 1-6 で作成した管理プロファイルを選択します。

7. インターフェイス設定を保存するには、[OK] をクリッ クします。

ステップ 3 DMZ に接続するインターフェイ スを設定します。

1. 設定するインターフェイスを選択します。

2. [インターフェイス タイプ] ドロップダウンリストから

[Layer3] を選択します。この例では、Ethernet1/13 を

DMZ インターフェイスとして設定します。

3. [設定] タブで、[セキュリティ ゾーン] ドロップダウン を展開して [新規ゾーン] を選択します。[ゾーン] ダ イアログの [名前 ] で「DMZ」などの名前をつけて新 しいゾーンを定義し、[OK] をクリックします。

4. ステップ 1で作成した仮想ルーター (この例では VR1) を選択します。

5. IP アドレスをインターフェイスに割り当てるには、[IPv4]

タブを選択してから IP セクションで [追加] をクリック し、インターフェイスに割り当てる IP アドレスとネット マスク (例: 10.1.1.1/24) を入力します。

6. インターフェイスの ping を有効にするには、ステッ プ 1-6 で作成した管理プロファイルを選択します。

7. インターフェイス設定を保存するには、[OK] をクリッ クします。

ステップ 4 インターフェイスの設定を保存 します。

[Commit] をクリックします。

インターフェイスおよびゾーンの設定 （続き）

スタート ガイド 51

ペリメータセキュリティの確立 NAT ポリシーの設定

NAT ポリシーの設定

インターフェイスおよびゾーンの作成に使用したサンプル トポロジを元に、次の 3 つの NAT ポ リシーを作成する必要があります。



内部ネットワークのクライアントからインターネット上のリソースにアクセスできるよう にするには、内部アドレス 192.168.1.0 をルーティング可能なパブリック アドレスに変換する 必要があります。この場合、出力インターフェイス アドレス 208.80.56.100 を使用して、内部 ゾーンからファイアウォールを通過するすべてのパケットの送信元アドレスとして、送信元 NAT を設定します。方法については、

₅₂ページの「内部クライアントの IP アドレスからパブリッ ク IP アドレスへの変換」

を参照してください。

ステップ 6 インターフェイスがアクティブ であることを確認します。

Web インターフェイスの場合、[Network] > [インターフェ イス] の順に選択し、[リンク状態] 列のアイコンが緑になっ ていることを確認します。また、[Dashboard] の [インター フェイス ] ウィジェットからリンク状態をモニタリングす ることもできます。

インターフェイスおよびゾーンの設定 （続き）

NAT ポリシーの設定 ペリメータセキュリティの確立



内部ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスで きるようにするには、外部ネットワークからのパケットをリダイレクトする NAT ルールを 設定する必要があります。この場合、元のルーティング テーブルを検索することにより、パ ケット内の宛先アドレス 208.80.56.11 に基づき、 DMZ ネットワーク上の Web サーバーが持つ 実際のアドレス 10.1.1.11 に移動する必要があると判断します。このような変換を行うには、

宛先アドレスを DMZ ゾーンのアドレスに変換するための、 Trust ゾーン ( パケットの送信元 アドレスが存在する場所 ) から Untrust ゾーン ( 元の宛先アドレスが存在する場所 ) への NAT ルールを作成する必要があります。このタイプの宛先 NAT を「 U ターン NAT 」といいます。

方法については、

₅₄ページの「内部ネットワークのクライアントからパブリックサーバーへのアク セスを有効にする」

を参照してください。



DMZ ネットワークのプライベート IP アドレスと、外部ユーザーがアクセスするパブリック フェイシング アドレスの両方を持つ Web サーバーで、要求を送受信できるようにするには、

ファイアウォールでパブリック IP アドレスからプライベート IP アドレスに着信するパケッ トを、プライベート IP アドレスからパブリック IP アドレスに発信するパケットに変換する 必要があります。ファイアウォールで双方向の静的な送信元 NAT のポリシーを 1 つ作成す れば、このような変換を実現できます。

₅₅ページの「パブリックフェイシングサーバーの双方向 アドレス変換を有効にする」

を参照してください。

内部クライアントの IP アドレスからパブリック IP アドレスへの変換

内部ネットワークのクライアントから要求を送信する場合、パケットの送信元アドレスにその内

部ネットワーク クライアントの IP アドレスが含まれます。プライベート IP アドレスの範囲を

内部で使用している場合、ネットワークから発信されるパケットの送信元 IP アドレスをルー

ティング可能なパブリック アドレスに変換しない限り、クライアントのパケットをインター

ネットにルーティングできません。送信元アドレスと送信元ポート ( 任意 ) とをパブリック アド

レスに変換する送信元 NAT のポリシーをファイアウォールで設定すれば、このような変換を実

現できます。その方法の 1 つとして、以下の手順に示すように、すべてのパケットの送信元アド

レスをファイアウォールの出力インターフェイスに変換する方法があります。

スタート ガイド 53

ペリメータセキュリティの確立 NAT ポリシーの設定

送信元 NAT の設定

ステップ 1 使用する外部 IP アドレスのオブ ジェクトを作成します。

1. Web インターフェイスから、[Objects] > [アドレス] の 順に選択し、[追加] をクリックします。

2. [名前] フィールドに名前を入力し、必要に応じて [内 容] フィールドにオブジェクトの説明を入力します。

3. [タイプ] ドロップダウンリストから [IP ネットマスク] を選択し、ファイアウォールの外部インターフェイスの IP アドレスとネットマスク (この例では 208.80.56.100/24) を入力します。

4. アドレスオブジェクトを保存するには、[OK] をクリッ クします。

注意 ポリシーでアドレス オブジェクトを使用する必要 がない場合でも、アドレス オブジェクトを作成し ておけば、アドレスの参照基準となるポリシーを個 別ではなく一括で更新できるなど、管理者の負担が 軽減されるため、作成しておくのがベストプラク ティスです。

ステップ 2 NAT ポリシーを作成します。

1. [Policies] > [NAT] の順に選択し て [追加] をクリックします。

2. [名前] フィールドに分かりやす いポリシー名を入力します。

3. [元のパケット] タブで、[送信

元ゾーン] セクションで内部ネッ

トワーク用に作成したゾーンを、

[宛先ゾーン] ドロップダウンリ ストで外部ネットワーク用に作 成したゾーンを、それぞれ選択し

ます ([追加] をクリックしてゾーンを選択します)。

4. [変換済みパケット] タブの [送信元アドレスの変換] セクションで、[変換タイプ] ドロッ プダウンリストから [ダイナミック IP およびポート] を選択し、[追加] をクリックしま す。ステップ 1で作成したアドレスオブジェクトを選択します。

5. [OK] をクリックして NAT ポリ

シーを保存します。

ステップ 3 設定を保存します。 [Commit] をクリックします。

NAT ポリシーの設定 ペリメータセキュリティの確立

内部ネットワークのクライアントからパブリック サーバーへのアクセスを 有効にする

内部ネットワークのユーザーが、 DMZ にある企業 Web サーバーへのアクセス要求を送信する場合、

DNS サーバーがパブリック IP アドレスを解決します。要求を処理する際に、ファイアウォールで はパケットの元の宛先 ( パブリック IP アドレス ) を使用して、 Untrust ゾーンの出力インターフェイ スにパケットをルーティングします。 Trust ゾーンのユーザーから要求を受信したときに、ファイア ウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークのアドレスに変換する必要 があると判断するには、次のように、ファイアウォールから DMZ ゾーンの出力インターフェイス に要求を送信できるようにするための、宛先 NAT のルールを作成する必要があります。

Uターン NAT の設定

ステップ 1 Web サーバーのアドレス オブ ジェクトを作成します。

1. Web インターフェイスから、[Objects] > [アドレス] の

順に選択し、[追加] をクリックします。

2. [名前] フィールドに名前を入力し、必要に応じて [内

容] フィールドにオブジェクトの説明を入力します。

3. [タイプ] ドロップダウンリストから [IP ネットマスク] を選択し、Web サーバーのパブリック IP アドレスとネッ トマスク (この例では 208.80.56.11/24) を入力します。

4. アドレスオブジェクトを保存するには、[OK] をクリッ クします。

ステップ 2 NAT ポリシーを作成します。

1. [Policies] > [NAT] の順に選択して [追加] をクリックします。

2. [名前] フィールドに分かりやすい NAT ルール名を入力します。

3. [元のパケット] タブで、[送信元 ゾーン ] セクションで内部ネット ワーク用に作成したゾーンを、[宛 先ゾーン] ドロップダウンリスト で外部ネットワーク用に作成した ゾ ー ン を 、そ れ ぞ れ 選 択 し ま す ([ 追加 ] をクリックしてゾーンを 選択します)。

4. [宛先アドレス] セクションで [追加] をクリックし、パブリック Web サーバー用に作成し たアドレスオブジェクトを選択します。

5. [変換済みパケット] タブで[宛

先アドレスの変換] チェックボッ クスをオンにしてから、DMZ ネッ トワーク上の Web サーバーイン ターフェイスに割り当てられた IP アドレス (この例では 10.1.1.11)

ドキュメント内 Palo Alto Networks Getting Started Guide (ページ 50-77)