Managed Firewall
NATユースケース
2.0版
2017/7/25
更新履歴
版数
更新日
更新内容
1.0 2017/07/18
•
初版
2.0 2017/07/25
•
「送信元NAT」→「NAPT」に変更
送信先NAT/DESTINATION NAT
Managed Firewall
Use Case 1
送信先NAT(ポート変換無し)
<例>公開WebサーバーをECL上に構築し、インターネットからアクセス
•
インターネット上の全てのホストから、ロジカルネットワーク(サーバーセグメント)に配置されて
いるWebServer01へアクセス
•
グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換(送信先
NAT)、TCP 80番の通信を許可する(ポート変換はしない)
Single
HA
Internet-GW Managed Firewall WebServer01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .10 Internet .250 .251 .254 .252 .253 port 4 .254 .252 .253 port 5 Internet-GW Managed Firewall WebServer01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .10 default gateway Internet .250 .251 .254 .254 default gatewayHA
Single
153.x.x.10 153.x.x.10Use Case 1
80 80 80 80 Client Client送信先NAT(ポート変換無し)
Single
HA
Use Case 1
80 送信元 送信先 送信元 送信先 Managed Firewall Client WebServer01 all 153.x.x.10 all 80 10.1.1.10 ※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。 80 送信元 送信先 all 153.x.x.10 <変換イメージ> 送信元 送信先 all 80 10.1.1.10 行きの通信 参考:戻りの通信 ALL 上段:IPアドレス 下段:ポート番号 ALL ALL ALL前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0 • Subnet Mask :0.0.0.0 • Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251) • Interface:デフォルトゲートウェイを設定するポート(例:Port 4) ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NATで使用するグローバルIPアドレス(例:153.x.x.10/32) • ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)※その他必要に応じて、ルーティング設定を追加してください。
WebServer01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
手順①-1 NATオブジェクト作成
項目 設定値
NAT Name DNAT_153.x.x.10 External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10 External Interface Port4
Port Forward (チェック無)
Protocol
External Service Port Mapped Port
Single
HA
Use Case 1
※
External IPアドレスは、
他の機器に実際に設定されている(割り当てられている)
IPアドレスは使用しないでください。
※
External IPアドレスとMapped IPアドレスは、
同一のIPアドレスを使用しないでください。
Destination NATオブジェクトを作成
手順①-2 オブジェクトの保存
Single
HA
Use Case 1
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、
オブジェクトを反映
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4 Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※ Action ACCEPT NAT (チェック無) NAT mode NAPT Object Log (任意) ※既成オブジェクト
Single
Use Case 1
設定値を投入後、[保存]ボタンをクリックしてください。手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4 Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※ Action ACCEPT NAT (チェック無) NAPT Object Log (任意) ※既成オブジェクト
HA
Use Case 1
設定値を投入後、[保存]ボタンをクリックしてください。手順②-2 ポリシーの保存
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映
Single
HA
Use Case 1
送信先NAT/DESTINATION NAT
Managed Firewall
Use Case 2
送信先NAT(ポート変換有り)
<例>公開WebサーバーをECL上に構築し、インターネットからアクセス
•
インターネット上の全てのホストから、ロジカルネットワーク(サーバーセグメント)に配置されて
いるWebServer01へアクセス
•
グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換(送信先
NAT)、TCP 80番宛の通信をWebServer01のTCP 8080番宛へポート変換する
Single
HA
Internet-GW Managed Firewall WebServer01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .10 Internet .250 .251 .254 .252 .253 port 4 .254 .252 .253 port 5 Internet-GW Managed Firewall WebServer01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .10 default gateway Internet .250 .251 .254 .254 default gatewayHA
Single
153.x.x.10 153.x.x.10Use Case 2
80 80 8080 8080 Client Client送信先NAT(ポート変換有り)
Single
HA
Use Case 2
80 送信元 送信先 送信元 送信先 Managed Firewall Client WebServer01 all 153.x.x.10 all 8080 10.1.1.10 ※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。 80 送信元 送信先 all 153.x.x.10 <変換イメージ> 送信元 送信先 all 8080 10.1.1.10 行きの通信 参考:戻りの通信 ALL 上段:IPアドレス 下段:ポート番号 ALL ALL ALL前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0 • Subnet Mask :0.0.0.0 • Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251) • Interface:デフォルトゲートウェイを設定するポート(例:Port 4) ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NATで使用するグローバルIPアドレス(例:153.x.x.10/32) • ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)※その他必要に応じて、ルーティング設定を追加してください。
WebServer01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
手順①-1 NATオブジェクト作成
Destination NATオブジェクトを作成
項目 設定値
NAT Name DNAT_153.x.x.10 External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10 External Interface Port4
Port Forward (チェック無)
Protocol TCP
External Service Port 80
Mapped Port 8080
Single
HA
Use Case 2
※
External IPアドレスは、
他の機器に実際に設定されている(割り当てられている)
IPアドレスは使用しないでください。
※
External IPアドレスとMapped IPアドレスは、
同一のIPアドレスを使用しないでください。
設定値を投入後、[保存]ボタンをクリックしてください。手順①-2 サービスオブジェクト作成
サービスオブジェクトを作成
項目 設定値 Service Name HTTP8080 Protocol Type TCP Source Port (空欄) ※ Destination Port 8080Single
HA
Use Case 2
※ 空欄は
Anyとして定義されます。
設定値を投入後、[保存]ボタンをクリックしてください。手順①-3 オブジェクトの保存
Single
HA
Use Case 2
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、
オブジェクトを反映
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4 Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP8080 Action ACCEPT NAT (チェック無) NAT mode NAPT Object Log (任意)
Single
Use Case 2
設定値を投入後、[保存]ボタンをクリックしてください。手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4 Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP8080 Action ACCEPT NAT (チェック無) NAPT Object Log (任意) ※既成オブジェクト
HA
Use Case 2
設定値を投入後、[保存]ボタンをクリックしてください。手順②-2 ポリシーの保存
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映
Single
HA
Use Case 2
NAPT
Managed Firewall
NAPT
Single
HA
Internet-GW Managed Firewall Host01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .20 Internet .250 .251 .254 .252 .253 153.x.x.20 port 4 .254 .252 .253 port 5 Internet-GW Managed Firewall Host01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .20 default gateway Internet .250 .251 .254 .254 default gatewayHA
Single
all all<例>ECL上のホストがインターネット上のWebサイトへアクセス
•
インターネット上のWebサイトに対して、ロジカルネットワーク(サーバーセグメント)に配置され
ているHost01からアクセス
•
Host01アドレスからの通信の送信元をグローバルアドレスに変換してアクセス(NAPT)、
TCP 80番の通信を許可する(ポート変換はしない)
153.x.x.20Use Case 3
80 80 80 80NAPT
Single
HA
Use Case 3
80 送信元 送信先 送信元 送信先 Managed Firewall Web Site Host01 153.x.x.20 all 10.1.1.20 80 all ※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。 送信元 送信先 <変換イメージ> 送信元 送信先 行きの通信 参考:戻りの通信 ALL 上段:IPアドレス 下段:ポート番号 80 153.x.x.20 all 80 all 10.1.1.20 ALL ALL ALL前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0 • Subnet Mask :0.0.0.0 • Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251) • Interface:デフォルトゲートウェイを設定するポート(例:Port 4) ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:NAPTで使用するグローバルIPアドレス(例:153.x.x.20/32) • ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)※その他必要に応じて、ルーティング設定を追加してください。
Host01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
手順①-1 アドレスオブジェクト作成
Host01のアドレスオブジェクトを作成
項目 設定値
Address Name Host_10.1.1.20
Type Subnet IP Address 10.1.1.20 Subnet Mask 255.255.255.255 Interface Port5
Single
HA
Use Case 3
設定値を投入後、[保存]ボタンをクリックしてください。手順①-2 NATオブジェクト作成
NAPT用のSource NATオブジェクトを作成
項目 設定値
NAT Name SNAT_153.x.x.20 Start IP Address 153.x.x.20 End IP Address 153.x.x.20
Single
HA
※ Source NATオブジェクトは、送信元IPアドレスの変更後
のIPアドレスを定義してください。
※ Source NATオブジェクトのIPアドレスは、
他の機器に実際に設定されている(割り当てられている)
IPアドレスは使用しないでください。
Use Case 3
1つのグローバルIPアドレスを割り当てる場合は、Start IP Addressと End IP Addressに同じ設定値(IPアドレス)を入力してください。 設定値を投入後、[保存]ボタンをクリックしてください。手順①-3 オブジェクトの保存
Single
HA
Use Case 3
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、
オブジェクトを反映
手順②-1 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.20 Destination
Outgoing Interface Port4
Destination Address Type Address Object Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAT mode Use NAPT Object
NAPT Object SNAT_153.x.x.20
Log (任意) ※既成オブジェクト
Single
Use Case 3
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。 設定値を投入後、[保存]ボタンをクリックしてください。手順②-1 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.20 Destination
Outgoing Interface Port4
Destination Address Type Address Object Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAPT Object SNAT_153.x.x.20
Log (任意) ※既成オブジェクト
HA
Use Case 3
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。 設定値を投入後、[保存]ボタンをクリックしてください。手順②-2 ポリシーの保存
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映
Single
HA
Use Case 3
送信先NAT+NAPT
Managed Firewall
Use Case 4
送信先NAT+NAPT
<例>公開Webサーバー(Host01)をECL上に構築し、インターネットからアクセス(送信先NAT)
公開Webサーバー(Host01)からインターネット上のWebサイトへアクセス(NAPT)
1つのグローバルIPアドレスを利用して設定
Single
HA
Internet-GW Managed Firewall Host01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .10 Internet .250 .251 .254 .252 .253 port 4 .254 .252 .253 port 5 Internet-GW Managed Firewall Host01 Logical Network 外部セグメント Logical Network サーバーセグメント port 4 port 5 192.168.1.0/24 10.1.1.0/24 .249 .10 default gateway Internet .250 .251 .254 .254 default gatewayHA
Single
153.x.x.10 153.x.x.10Use Case 4
80 80 80 80 Client Client 80 80 all Web Site 80 80 all Web Site送信先NAT(ポート変換無し)
Single
HA
Use Case 4
80 送信元 送信先 送信元 送信先 Managed Firewall Client Host01 all 153.x.x.10 all 80 10.1.1.10 ※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。 80 送信元 送信先 all 153.x.x.10 <変換イメージ> 送信元 送信先 all 80 10.1.1.10 行きの通信 参考:戻りの通信 上段:IPアドレス 下段:ポート番号 ALL ALL ALL ALLNAPT
Single
HA
Use Case 4
80 送信元 送信先 送信元 送信先 Managed Firewall Web Site Host01 153.x.x.10 all 10.1.1.10 80 all ※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。 送信元 送信先 <変換イメージ> 送信元 送信先 行きの通信 参考:戻りの通信 ALL 上段:IPアドレス 下段:ポート番号 80 153.x.x.10 all 80 all 10.1.1.10 ALL ALL ALL前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0 • Subnet Mask :0.0.0.0 • Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251) • Interface:デフォルトゲートウェイを設定するポート(例:Port 4) ※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NAT/NAPTで使用するグローバルIPアドレス(例:153.x.x.10/32) • ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)※その他必要に応じて、ルーティング設定を追加してください。
Host01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
手順①-1 アドレスオブジェクト作成
Host01のアドレスオブジェクトを作成
項目 設定値
Address Name Host_10.1.1.10
Type Subnet IP Address 10.1.1.10 Subnet Mask 255.255.255.255 Interface Port5
Single
HA
Use Case 4
設定値を投入後、[保存]ボタンをクリックしてください。手順①-2 NATオブジェクト作成
Destination NATオブジェクトを作成
項目 設定値
NAT Name DNAT_153.x.x.10 External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10 External Interface Port4
Port Forward (チェック無)
Protocol
External Service Port Mapped Port
Single
HA
Use Case 4
※
External IPアドレスは、
他の機器に実際に設定されている(割り当てられている)
IPアドレスは使用しないでください。
※
External IPアドレスとMapped IPアドレスは、
同一のIPアドレスを使用しないでください。
設定値を投入後、[保存]ボタンをクリックしてください。手順①-3 NATオブジェクト作成
NAPT用のSource NATオブジェクトを作成
項目 設定値
NAT Name SNAT_153.x.x.10 Start IP Address 153.x.x.10 End IP Address 153.x.x.10
Single
HA
※ Source NATオブジェクトは、送信元IPアドレスの変更後
のIPアドレスを定義してください。
※
Source NATオブジェクトのIPアドレスは、
他の機器に実際に設定されている(割り当てられている)
IPアドレスは使用しないでください。
Use Case 4
1つのグローバルIPアドレスを割り当てる場合は、Start IP Addressと End IP Addressに同じ設定値(IPアドレス)を入力してください。 設定値を投入後、[保存]ボタンをクリックしてください。手順①-4 オブジェクトの保存
Single
HA
Use Case 4
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、
オブジェクトを反映
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバー(Host01)に対して、送信先NATを利用してアクセス
するファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4 Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※ Action ACCEPT NAT (チェック無) NAT mode NAPT Object Log (任意) ※既成オブジェクト
Single
Use Case 4
設定値を投入後、[保存]ボタンをクリックしてください。手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバー(Host01)に対して、送信先NATを利用してアクセス
するファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4 Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※ Action ACCEPT NAT (チェック無) NAPT Object Log (任意) ※既成オブジェクト
HA
Use Case 4
設定値を投入後、[保存]ボタンをクリックしてください。手順②-2 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.10 Destination
Outgoing Interface Port4
Destination Address Type Address Object Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAT mode Use NAPT Object
NAPT Object SNAT_153.x.x.10
Log (任意) ※既成オブジェクト
Single
Use Case 4
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。 設定値を投入後、[保存]ボタンをクリックしてください。手順②-2 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスする
ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.10 Destination
Outgoing Interface Port4
Destination Address Type Address Object Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAPT Object SNAT_153.x.x.10
Log (任意) ※既成オブジェクト