ポート番号を変更できないプロトコルでは、Hide NATを使用できません。
Hide NATは、外部サーバがIPアドレスによってクライアントを識別する必要がある場合には使用
できません。なぜなら、Hide NATではすべてのクライアントが同じIPアドレスを共有するからです。
外部ネットワークから内部ネットワークへの接続を許可するために使用できるのはStatic NATのみ です。
自動ルールと手動ルール
設定が簡単な自動NATルールは、設定エラーを起こす危険性を低減できます。 自動ARP設定は自 動ルールに対してのみ有効です。
手動で定義するNATルールは複雑ですが、NATを完全に制御できます。以下の処理は手動NATルー ルでのみ可能です。
• 指定された宛先IPアドレス、および指定された発信元IPアドレスにルールを限定する。
• 同じパケットの発信元IPアドレスと宛先IPアドレスの両方を変換する。
• 一方向にのみStatic NATを行う。
• サービス(宛先ポート)を変換する。
• 指定されたサービス(ポート)にルールを限定する。
• ダイナミック・オブジェクトに対してNATを行う。
Hide対Static 110ページ
自動ルールと手動ルール 110ページ
Hide NATによる隠匿アドレスの選択 111ページ
Hide NAT による隠匿アドレスの選択
Hide Address(隠蔽アドレス)は、その背後にネットワーク、アドレス範囲あるいはノードが隠れ ているアドレスです。
これらは、VPN-1ゲートウェイのインタフェースまたは特定のIPアドレスの背後に隠蔽することも できます。
固定のパブリックIPアドレスを選択すると、VPN-1 ゲートウェイのアドレスを隠蔽することがで きます。ただし、ルーティング可能なパブリックIPアドレスを余分に取得する必要があります。
VPN-1ゲートウェイのアドレスの背後に隠蔽することは、管理上望ましいオプションです。たとえ
ば、ファイアウォールの外部IPアドレスが変更されても、NAT設定を変更する必要がありません。
NAT の設定
このセクションの構成
NAT 設定の一般的な手順
NATを設定するには、以下の手順に従います。
1. 変換に使用するIPアドレスを決定します。
2. ネットワーク・オブジェクトを定義します。
3. ルール・ベース内にアクセス・ルールを定義します。 手動NATルールを定義するときは、変換 されたアドレスでネットワーク・オブジェクトを定義する必要があります。 自動NATルールを 使用するときは、実オブジェクトごとに1つのネットワーク・オブジェクトを定義するだけで 済みます。たとえば、Alaska_Webというオブジェクトに対してStatic NATを定義すると、
ルール・ベースはAlaska_Web(表 3-1)を参照するだけで済み、Alaska_Web(有効アドレス)
のルールを定義する必要はありません。
4. NATルール(自動または手動)を定義します。
5. セキュリティ・ポリシーをインストールします。
NAT設定の一般的な手順 112ページ
基本設定(ネットワーク・ノードのHide NAT) 113ページ 設定例(Static NATとHide NAT) 114ページ 設定例(ポート変換に手動ルールを使用する) 116ページ 内部ネットワーク用の自動Hide NATの設定 117ページ
表 3-1 自動NATオブジェクトのルール・ベース・ルール SOURCE DESTINATION ACTION
Any Alaska_Web Accept
基本設定(ネットワーク・ノードの Hide NAT )
図 3-9は、ネットワーク・ノードのHide NATの基本設定を示しています。目的は、Alaska_Web ウェブサーバ(10.1.1.10)のIPアドレスを、インターネット上で開始される接続から隠蔽するこ とです。Alaska_GWには3つのインタフェースがあり、1つはAlaska_Webがあるネットワークを 向いています。
図 3-9 ネットワーク・ノードのHide NAT
1. Alaska_Webのノード・オブジェクトを編集し、NATページで[Add Automatic Address
Translation rules]を選択します(図 3-10)。 図 3-10 Hide NAT設定
2. [Translation Method」に[Hide]と[Hide behind the interface of the Install on
Gateway]オプションを選択します。
3. [Install on Gateway]を選択します。この例ではNATゲートウェイはAlaska_GWなので、
[Alaska_GW]または[All]を選択します。
Alaska_Webからインターネットに向けられたパケットは、発信元アドレスが10.1.1.10から
192.168.0.1に変換されます。
設定例( Static NAT と Hide NAT )
図 3-11は、内部ネットワーク上のSMTPサーバとHTTPサーバを、パブリック・アドレスを使用し てインターネットから使用できるようにし、内部ネットワーク上のすべてのユーザがインターネッ トにアクセスできるようにすることを目的としています。
図 3-11 設定例(Static NATとHide NAT)
Webサーバとメール・サーバは、インターネットから着信接続が行われるのでStatic変換が必要です。
2つのルーティング可能なアドレスを使用できます。 この例の場合、Alaska.Web HTTPサーバには
192.168.0.5が使用され、Alaska.Mail SMTPサーバには192.168.0.6が使用されます。
内部クライアントは接続を開始するのでHide変換が必要です。 インターネットからこれらに着信 接続はできません。これらは、VPN-1ゲートウェイの外部インタフェースの背後に隠蔽されます。
Static NATとHide NATの設定を実行するには、以下の手順に従います。
1. Alaska.Web(10.1.1.5)、Alaska.Mail(10.1.1.6)、Alaska_LAN(10.1.1.0、ネット・マス ク255.255.255.0)、およびVPN-1ゲートウェイ(Alaska.GW)のネットワーク・オブジェク トを定義します。
2. Alaska.Webオブジェクトを編集し、[NAT]ページで[Add Automatic Address
Translation Rules]チェック・ボックスをオンにします。
3. [Translation Method]として[Static]を選択して、[Translate to IP Address]を
4. Alaska.Mailに対して[Translation Method]として[Static]を選択し、[Translate to IP Address]を192.168.0.6として定義します。
5. Alaska_LANオブジェクトを編集し、[NAT]ページの[Translation Method]として[Hide]を
選択し、[Hide behind the interface of the Install On Gateway]を選択します。 Alaska_LAN 上にある内部クライアントの有効なHideアドレスは192.168.0.1です。 図 3-12に結果のアド レス変換ルール・ベースを示します。
図 3-12 StaticおよびHide NATの自動アドレス変換ルール・ベース
設定例(ポート変換に手動ルールを使用する)
図 3-13は、DMZネットワーク内のWebサーバとメール・サーバの両方を、1つのIPアドレスを使 用してインターネットから使用できるようにすることを目的としています。Hide NATはDMZ内の すべてのアドレスに対して実行されます。
図 3-13 設定例(手動NATを使用したポート変換)
ポート変換に手動ルールを使用した設定例を実行するには、以下の手順に従います。
1. ネットワークAlaska.DMZ.LAN(172.16.0.0、ネット・マスク255.255.0.0)、Webサーバ Alaska_DMZ_Web(172.16.1.7)、メール・サーバAlaska_DMZ_Mail(172.16.1.5)、および
VPN-1ゲートウェイ(Alaska.GW)のネットワーク・オブジェクトを定義します。
2. Alaska.DMZ.LANネットワーク・オブジェクトの[NAT]タブで、[Add Automatic Address
Translation Rules]を選択します。
3. [Translation Method]として[Hide]を選択し、[Hide behind the interface of the Install
on Gateway]を選択します。この手順によりアドレス変換ルール・ベースに2つの自動ルー
ルが追加されます(図 3-14のルール1と2)。
4. アドレス変換ルール・ベースで、WebサーバへのHTTPサービスのリクエストを変換する手 動NATルール(図 3-14のルール3)とSMTPサーバへのSMTPリクエストを変換する手動 NATルール(図 3-14のルール4)を定義します。
図 3-14 ポート変換用のアドレス変換ルール・ベース
内部ネットワーク用の自動 Hide NAT の設定
内部ネットワーク用の自動Hide NATを設定するには、以下の手順に従います。
1. チェック・ポイント・ゲートウェイ・オブジェクトの[NAT]ページにアクセスします。
2. [Automatic Hide for Internal Networks]セクションで、[Hide all connections from internal interfaces to external interfaces behind the gateway]チェック・ボックスをオン またはオフにします。
内部ネットワーク用の自動Hide NATの設定の詳細については、102ページの「内部ネットワーク 用の自動Hide NAT」を参照してください。
NAT の詳細設定
このセクションの構成
異なるゲートウェイ・インタフェース上の変換された オブジェクト間の通信の許可
以下のセクションでは、異なるVPN-1ゲートウェイ・インタフェース上の静的に変換されたオブ ジェクト(ノード、ネットワーク、アドレス範囲)の間で双方向通信を可能にする方法について説 明します。
NATが手動NATルールではなくネットワーク・オブジェクトを使用して定義されている場合は、双 方向NATが有効になっていることを確認する必要があります。
異なるゲートウェイ・インタフェース上の変換されたオブジェクト間の 通信の許可
118ページ
重複IPアドレスを使用する内部ネットワーク間通信の有効化 119ページ
NATの背後のSmartCenter 123ページ
IPプールNAT 127ページ
重複 IP アドレスを使用する内部ネットワーク間通信の 有効化
概要
2つの内部ネットワークで重複する(または部分的に重複する)IPアドレスを使用する場合は、
VPN-1によって以下のことが可能になります。
• 重複する内部ネットワーク間の通信。
• 重複する内部ネットワークと外部間の通信。
• 重複する各内部ネットワークに対する異なるセキュリティ・ポリシーの適用。
ネットワークの設定
図 3-15はネットワーク設定例です。
図 3-15 ネットワーク設定例:クラスCネットワーク
図 3-15では、ネットワークAとネットワークBの両方が同じアドレス空間(192.168.1.0/24)を 使用しているため、標準的なNATを使用してネットワークAとネットワークB間の通信を有効にす ることはできません。 代わりに、インタフェースごとに重複NATを実行する必要があります。
ネ ッ ト ワ ー クA内 の ユ ー ザ が ネ ッ ト ワ ー クB内 の ユ ー ザ と 通 信 し た い 場 合 は、宛 先 と し て
192.168.30.0/24ネットワークを使用する必要があります。ネットワークB内のユーザがネット
ワークA内のユーザと通信したい場合は、宛先として192.168.20.0/24ネットワークを使用する必要 があります。