NATゲートウェイを利用すると、イントラネット内のプライベート・アドレスを割り当てられた複 数のコンピュータで、1つのパブリック・アドレスを共有できます。アクセスされたインターネッ ト上のサーバは、インターネットとイントラネットの区別はできず、複数のコンピュータからの接 続は単一のコンピュータからの接続として処理されます。
Hide NATは、内部ネットワークから開始される接続のみを許可します。これにより、内部ホスト
はイントラネットの内側と外側の両方への接続を開始できますが、ネットワークの外側のホストは 内部ホストへの接続を開始できません。
Hide Address(隠蔽アドレス)は、その背後に内部ネットワーク、アドレス範囲あるいはノードが 隠れているアドレスです。内部アドレスを隠蔽するには以下のいずれかの方法があります。
• どの実コンピュータにも属さないパブリックIPアドレス(ルーティング可能な)である仮想 IPアドレスの背後に隠蔽する。
• パケットが発信されるVPN-1インタフェースのIPアドレスの背後に隠蔽する(これは従来
「IPアドレス0.0.0.0の背後に隠蔽する」と呼ばれていました)。
図 3-2では、ア ド レ ス 範 囲10.1.1.2~10.1.1.10はVPN-1の 外 部 イ ン タ フ ェ ース の ア ド レ ス
(192.168.0.1)の背後に隠蔽されています。この図は、10.1.1.3から開始された接続と、元のパケッ トと応答パケットの発信元IPアドレスおよび宛先IPアドレスの変換を示しています。
図 3-2 アドレス範囲のHide NAT
Hide NAT の仕組み
Hideモードでは、パケットの発信元ポート番号が変更されます。戻りのパケットがファイアウォー ルに到達すると、VPN-1はポート番号を使用して、どの内部コンピュータへパケットが送信されて いるかを判定します。 ポート番号は、2つの番号プールから動的に割り当てられます。 2つの番号 プールは、600~1023と10,000~60,000です。
ポート番号は通常、2番目のプールから割り当てられます。最初のプールは rlogin(宛先ポート512)、
rshell(宛先ポート513)、およびrexec(宛先ポート514)の3つのサービスにのみ使用されます。
これらのサービスのいずれかを使用した接続で、オリジナルの発信元ポートが1024よりも小さい 場合は、ポート番号は1番目のプールから割り当てられます。 この動作は設定可能です。
VPN-1は割り当てられたポート番号を記憶しているので、戻りのパケットに元のポート番号が正しく
復元され、使用中のポート番号が再び新しい接続に割り当てられることはありません。
Hide NATの容量はサーバあたり50,000接続です。 つまりHide NATの容量は、Hide NATされた内
部クライアントからVPN-1ゲートウェイの保護されていない側の1台のサーバに向けられた接続が 同時に50,000を超えて発生したときにのみ限界に達します。ただし、これはめったに起こりません。
自動および手動 NAT ルール
NATは、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス範囲)によって自 動的に定義できます。このようにしてNATを定義すると、ルールは自動的にアドレス変換ルール・
ベースに追加されます。
アドレス変換ルール・ベースのNATルールを追加または編集して、NATルールを手動で定義でき ます。VPN-1は手動NATルールを検証し、設定プロセスの間違いを防止できるように支援します。
手動でNATルールを作成するとNATの機能を最大限に活用できます。元のパケットおよび変換さ れたパケットの両方に対して発信元、宛先、およびサービスを個別に指定できます。
手動NATルールを作成する場合は、元のオブジェクトの他に、変換されたネットワーク・オブジェ クトを定義する必要があります。
内部ネットワーク用の自動 Hide NAT
Hide NATを使用すると、認識されていないサブネットも含んだ多くのサブネットを持つ、大きくて 複雑な内部ネットワークでインターネット・アクセスを行うことができます。
通常のHide NATでは、変換する必要があるすべての内部ネットワーク・アドレスを指定する必要 があります。しかし、実用的でない場合もあります。
このような場合は、すべての内部ネットワークに対して自動Hide NATを指定できます。つまり、
ゲートウェイの外部インタフェース宛てに内部インタフェースから発信されるすべての接続(ゲート ウェイ・オブジェクトの[Topology]ページで定義されます)が、ゲートウェイのインタフェース・
アドレスに変換されます。
図 3-3に、接続を開始する内部ネットワーク内のクライアントからインターネット上のサーバへの 接続を示します。内部クライアントの発信元アドレスは、接続が発生したインタフェースに応じて 外部インタフェースのアドレス192.168.0.1または172.16.1.1に変換されます。
図 3-3 ゲートウェイ・インタフェースの背後のHide NAT
アクセス・ルールもセキュリティ・ルール・ベース内で定義する必要があります。
設定の詳細については、117ページの「内部ネットワーク用の自動Hide NATの設定」を参照してく ださい。
注: 通常のNATルールは、内部ネットワーク用NATルールよりも優先されます。接続が通 常のNATルールと内部ネットワーク用のNATルールの両方に一致する場合は、接続は通常 のNATルールに一致します。
アドレス変換ルール・ベース
図 3-4にアドレス変換ルール・ベースを示します。
図 3-4 アドレス変換ルール・ベース
各ルールは、接続の最初のパケットをどのように扱うかを指定します。 応答パケットは、送信パケッ トと反対方向に送信されますが、同一のルールと照合されます。
アドレス変換ルール・ベースは以下の2つのセクションに分かれています。
• Original Packet:ルールが適用されるときの条件を指定します。
• Translated Packet: ルールが適用されたときのアクションを指定します。
アドレス変換ルール・ベース・エディタ内のそれぞれのセクションは、[Source]、[Destination]、
および[Service]に分かれています。 以下のアクションが実行されます。
• [Original Packet]の下の[Source]を[Translated Packet]の[Source]に変換する。
• [Original Packet]の下の[Destination]を[Translated Packet]の[Destination]に変換 する。
• [Original Packet]の下の[Service]を[Translated Packet]の[Service]に変換する。
ルール照合順序
アドレス変換ルール・ベースのルール照合は、セキュリティ・ルール・ベースと同じ方式で行われ
ます。VPN-1は接続に属するパケットを受け取ると、まずそれをルール・ベースの最初のルールと比
較し、次に2番目のルール、3番目のルールと順次比較します。ルールに一致するパケットが見つか ると、検査を停止してそのルールを適用します。
この原則の例外は、2つの自動ルールが接続に一致する場合です。その場合は、双方向NATが適用 されます。
双方向 NAT
双方向NATはアドレス変換ルール・ベース内の自動NATルールに適用され、2つの自動NATルー ルが接続に一致できるようにします。双方向NATを使用しない場合は、1つの自動NATルールのみ が接続に一致します。
ネットワーク・オブジェクトに対してNATが定義されているときは、必要な変換を行う自動NAT ルールが生成されます。 自動NATルールが定義された2つのネットワーク・オブジェクトがあり、
一方が接続の発信元で、もう一方が宛先の場合には、双方向NATを使用すると自動NATルールが 両方とも適用され、両方のオブジェクトが変換されます。
双方向NATの背後にあるロジックは以下のとおりです。
• 接続が最初に手動NATルールに一致した場合は、NATルール・ベースはそれ以上検査されま せん。
• 接続が最初に自動NATルールに一致した場合は、残りのNATルール・ベースのルールが一度 に1つずつ調べられ、別の自動NATルールが接続に一致するかどうかがチェックされます。
別のNATルールが接続に一致した場合は、両方のルールが一致したと見なされ、それ以上検 査されません。
双方向NATの動作は、SmartView Trackerの[NAT Rule Number]および[NAT Additional Rule Number]フィールドを使用してトラッキングできます。[NAT Additional Rule Number]は、双方
向NATの2番目のオブジェクトに対して実行される自動変換に一致するルールです。
自動生成ルールについて
NATは、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス範囲)によってアド レス変換ルール・ベースに自動的に定義できます。
ノードのHide NATは、アドレス変換ルール・ベースに1つのルールを追加します。これは、内部
ネットワークのノードから開始される接続に対してパケットの発信元アドレスを変換することを 指定します(Source Hideルール)。
ノードのStatic NATは、アドレス変換ルール・ベースに2つのルールを追加します。Source Static
ルールの他にもう一つのルールが追加され、外部ネットワークから開始される接続に対してパケット の宛先アドレスを変換することを指定します(Destination Staticルール)。
ネットワークまたはアドレス範囲に対してNAT(HideまたはStatic)を行うと、特別なルールが追 加されます。追加されたルールは、ネットワークまたはアドレス範囲内の通信を変換しないことを 指定します(同じネットワーク内の1台のコンピュータから他のコンピュータへ送信されるパケッ トは変更されません)。
自動生成ルールの例(Hide NAT)
100ページの図3-2に表示されたシナリオでは、アドレス範囲ノードの定義された自動Hide NATに より、2つのルールがNATルール・ベースに追加されます(図 3-5)。
図 3-5 アドレス範囲のHide NATで自動的に生成されたNATルール
ルール1は、ファイアウォールの内側(保護側)のみで行われる接続ではNATを行わないことを指定 します。
ルール2は、ファイアウォールの内側(保護側)から開始された接続に対してパケットの発信元アド レスをパブリックHide NATアドレスに変換することを指定します。
自動Hide NATルールでは、変換後のアドレスは「隠蔽アドレス」と呼ばれ、VPN-1ゲートウェイ
の保護されていない側で使用されます。実際のアドレスは、VPN-1ゲートウェイの保護されている 側で使用されるプライベート・アドレスです。