PowerPoint プレゼンテーション

Firewallブレード設定ガイド -

Check Point R77/GAiA

アジェンダ

1

SmartConsoleの導入

Check Pointオブジェクトの設定

2

オブジェクトの設定

3

Firewallルールの設定

4

変更履歴



Rev1

– R76ベースで作成



Rev1a

– ポリシー管理を追加 – Firewallルール作成時のTipsを追加



Rev2

– R77ベースで作成 – いつくかの機能説明を追加

アジェンダ

1

SmartConsoleの導入

Check Pointオブジェクトの設定

2

オブジェクトの設定

3

Firewallルールの設定

4

SmartConsoleとは



SmartConsole

は、

Check Point

製品を設定、運用するための復数

の

Windows

アプリケーションです



主なコンポーネントの紹介

– SmartDashboard：セキュリティ・ポリシーを設定します – SmartView Tracker：ログの参照に利用します – SmartLog：ログを高速で検索します – SmartView Monitor：管理対象機器の状態の確認ができます – 一部機能は、別途ライセンスが必要です – SmartUpdate：リモートからパッケージ、ライセンスの管理ができます – 一部機能は、別途ライセンスが必要です

– SmartEvent：複数のSoftware Bladeのログなどの情報から、イベントを

収集しグラフィカルに表示します

SmartConsoleのインストール(1)



SmartConsole

のインストーラーを入手します

– SecurePlatformもしくはGAiAを利用している場合は、OSのポータルか らダウンロードすることができます – GAiAの場合、ログイン直後のOverviewページにリンクがあります – サポートサイトから入手する – SK92965から入手出来ます – ダウンロードにはサポート契約が必要です – メディアからインストールする – メディアにSmartConsoleのインストーラーが含まれています



SmartConsole

のインストーラーを実行します

– インストールウィザードが開始されます

SmartConsoleのインストール(2)



SmartConsole

を利用する際には、

MS Visual C++

、

MS .NET

Framework

が必要になります

– システムにインストールされていない場合は、下記ダイアログが出てき

ます

SmartConsoleのインストール(3)



引続き、

SmartConsole

のインストールを行います

SmartConsoleのインストール(4)



インストールが完了したら、

Finish

をクリックして、

SmartDashboard

を起動します

SmartDashboardの起動(1)



インストールウィザード終了後、

SmartDashboard

が起動します

– WindowsのメニューからもSmartDashboardの起動が可能です



初期セットアップで設定したユーザ名とパスワード、

Security

SmartDashboardの起動(2)



初回のみ

Fingerprint

の確認ダイアログが出ます

– FingerprintはSecurity Managementサーバでcpconfigを実行すると確

認できます

– Fingerprintはレジストリーに書き込まれます

– Approveを押して継続します



トライアルライセンスの場合

SmartDashboardの起動(3)



SmartDashboard

が起動しました

各Software Bladeタブ

アジェンダ

1

SmartConsoleの導入

Check Pointオブジェクトの設定

2

オブジェクトの設定

3

Firewallルールの設定

4

Check Pointオブジェクトとは



オブジェクトとは、ネットワーク情報やサービス情報などを事前に登

録しておくための要素です



最初にオブジェクトを作成してからポリシーを作成します

– オブジェクトを作成しないと、ポリシーは設定出来ません



オブジェクトには様々な復数の定義があります

– 代表的なオブジェクトは、次の章で説明しています



Check Point

オブジェクトとは、これらのオブジェクトの中で

Check

Point

製品がインストールされたものを指します

– ネットワーク・オブジェクトの1つとして設定します

– すべてのSoftware Bladeは、このCheck Pointオブジェクトを設定する

Check Pointオブジェクトの設定



Check Point

オブジェクトはインストールされている製品によって、設

定は異なります



この章では、

Security Gateway

と

Security Management

がインス

トールされてオブジェクトを前提に説明しています

– Security GatewayとSecurity Managementも構成(例えば、分散構成

や冗長化構成)によって設定が異なります



左側のペインのネットワーク・オブジェクトから、

Check Point

以下に

あるオブジェクトをダブルクリックし、設定を行います

– 右クリックから、Edit…を選択でも同様の動作になります

Check Point Gatewayオブジェクト

オブジェクト名と_IPアドレスを 変更する際は注意が必要です Security Gatewayの Software Bladeを選択します Security Managementの Software Bladeを選択します 機能を有効にする Software Bladeを選択します (それぞれにライセンスが必要です)

Topologyの設定(1)



Gateway

オブジェクトで最初に設定しなくてはならいのが

Topology

で

す



Topology

を正しく設定しないと、

Gateway

は正しくパケットを処理で

きません



Topology

には、

Gateway

の各インターフェイスに接続されているネッ

トワークを設定します

– ネットワークの先にルータがあり、さらにネットワークがある場合も定義 が必要です



OS

のネットワーク設定が正しく行われていれば、ある程度は自動的

に設定されます

– 必ず、正しく設定されているか確認する必要があります

Topologyの設定(2)



Gateway

オブジェクトの左側のペインから、

Topology

を選択します

– デフォルトで取得されたインターフェイス情報が表示されています



Get…

から

Interface with Topology…

を選択します

– OSの設定から自動的にTopologyを取得します

– 現在設定されている情報は上書きされる旨のダイアログが表示されま

Topologyの設定(3)



OS

から情報が取得できた場合、取得できた内容が表示されます

– Acceptを押してダイアログを閉じます



それぞれのインターフェイスを設定していきます

– インターフェイスが表示されているところをダブルクリックし設定ダイアロ グを表示させます ダブルクリック

Topologyの設定(4)



General

タブにて、インターフェイス名、

IP

アドレス、ネットマスクが正

しいか確認します

– インターフェイス名はOSと同じ必要がありますので、変更しないでくださ

Topologyの設定(5)



以下は

External

側のインターフェイスの場合です

– TopologyタブのTopologyがExternalに設定されているか確認します



External

に設定したインターフェイス間でのルーティングしません

– Externalのインターフェイスから入ってきて、別のExternalのインター

Topologyの設定(6)



以下はInternal側のインターフェイスの場合です

– TopologyタブのTopologyがInternalに設定されているか確認します



IP Addresses behind this interfaceには、このインターフェイスに接続され

ているネットワークを指定する必要があります

– Not Defined：設定しない(Anti-SpoofingはOFFになります)(推奨しません)

– Network defined by the interface IP and Net Mask：このインターフェイスに

設定されているサブネットワーク

Topologyの設定(7)



インターフェイスの背後にルータなどが存在し、復数のネットワーク

が存在する場合は以下のように設定します

– 実際のネットワークに合わせて、ネットワークオブジェクトを作成します – グループオブジェクトを使って、復数のネットワークオブジェクトをまとめ ます – TopologyにSpecificを選択し、作成したグループオブジェクトを指定し ます



ネットワークオブジェクトやグループオブジェクトの作成方法は、次の

章を参照してください

Topologyの設定(8)



Internal

、

External

共に

Anti-Spoofing

を実行するように設定します

– Anti-Spoofingとは、IPアドレスを偽装して接続を行おうとしている通信 を遮断する機能です – Anti-SpoofingをOFFにすることは、推奨しません – Topologyが正しく設定されていないと、Anti-Spoofing機能により通信 できないネットワークが出来てしまいます – 通信できない場合は、Anti-Spoofingによるものか、ログを確認します



Topology

は

Security Gateway

のインターフェイス情報やネットワー

Topologyの設定(9)



インターフェイスの接続先が

DMZ

の場合、以下のように設定します

– TopologyはInternalを選択します

– DMZのネットワーク構成に合わせてIP Addresses behind this

interfaceを設定します

– Interface leads to DMZにチェックを入れます

Gatewayオブジェクトのその他設定



Topology

の設定が完了すれば、

Check Point

オブジェクトに対する

最低限の設定は完了です



それぞれの

Software Blade

を有効にする場合は

…

– General Propertiesで該当のSoftware Bladeにチェックを入れます

– 左側のペインに該当する_Bladeの設定が増えます₍一部の_Bladeで増え

ないものもあります)ので、詳細なオプションを設定します

– 各Software Bladeタブの設定画面で、ルールを作成します

– Software Bladeを有効にする場合は、1つずつ有効にし動作確認しな

Security Managementの設定



Security Management

の場合は、

Log

の設定を確認しておくのをお

勧めします

指定サイズで新しいロ グファイルを作成 指定した時間で新しい ログファイルを作成 ディスクスペースが少 なくなったら古いログを 削除する

アジェンダ

1

SmartConsoleの導入

Check Pointオブジェクトの設定

2

オブジェクトの設定

3

Firewallルールの設定

4

オブジェクトとは



Firewall

ルールの

Source/Destination

や

NAT

の設定には事前にオ

ブジェクトを作成し、それらをルールに定義します

– 先にオブジェクトを作成しなければ、ルールは作成できません



代表的なオブジェクト

– ネットワークオブジェクト – ネットワーク情報を登録するオブジェクト群 – サービスオブジェクト – サービス情報(ポート番号など)を登録するオブジェクト群 – サーバ及びOPSECオブジェクト – 特定のサーバや、_OPSEC連携するサーバなどを登録するオブジェクト群 – ユーザ及び管理者オブジェクト – ユーザの登録、管理をするオブジェクト群 – 管理者の登録、管理をするオブジェクト群

ネットワークオブジェクト



Firewall

ルールを構成する上で一番良く使われるオブジェクトです



代表的なネットワークオブジェクト

GroupsのSimple Group:復数のオブジェクトを1つにまと

めたい場合に定義します NetworksのNetwork:ネットワーク(192.168.1.0/24などの ブロードキャストドメイン₎を定義します NodesのHost:IPアドレスを1つ持つホスト(メールサーバや Webサーバなど) を定義します Address Range:ブロードキャストドメインではなく、IPアドレスの 範囲(192.168.1.50から192.168.1.100までなど)で定義します Check Point製品がインストールされているホストなどを定義します ネットワークオブジェクトを選択

ネットワークオブジェクトの作成方法



サブネットワークアドレスを登録する場合に作成します



Networks

を右クリックし、

Networks…

を選択します



ダイアログが表示されますので、オブジェクト名、ネットワークアドレス、ネッ トマスクを入力します



OKを押してダイアログを閉じます

ホストオブジェクトの作成方法



1つのIPアドレスを持つホストを登録するときに作成します



Nodesを右クリックし、Node -> Host…を選択します



ダイアログが表示されますので、オブジェクト名、IPアドレスを入力し、OKを押しま す



復数の_IPアドレスを持つホストも登録することも可能です – 左側のペインから、Topologyを選択し、インターフェイスと、IPアドレスを登録し ます – 復数のIPアドレスを持つ場合で、ルーティングしないホストの場合にホストオブ ジェクトを利用します – ルーティングするホストの場合は、NodesのGatewayオブジェクトで設定します

アドレスレンジオブジェクトの作成方法



特定の

IP

アドレスの範囲を登録する場合に作成します



Address Ranges

を右クリックし、

Address Ranges -> Address

Range…

を選択します



ダイアログが表示されますので、オブジェクト名、開始のネットワークアドレ

ス、終了のネットワークアドレスを入力します

グループオブジェクトの作成方法(1)



復数のオブジェクトをまとめて、

1

つのオブジェクトにする場合に作成

します



Groups

を右クリックし、

Groups -> Simple Group…

を選択します



ダイアログが表示されますので、オブジェクト名を入力しグルーピン

グしたいオブジェクトを

Add

していきます

グループオブジェクトの作成方法(2)



復数のオブジェクトを追加する場合は、

Control

キーを押しながらク

リックすることで同時に追加することができます



検索ダイアログからオブジェクトを検索することができます



View

ボタンを押すことにより、オブジェクトのプロパティを確認できま

す



右下の

New

ボタンを押すと、このダイアログから新しいオブジェクトを

作成し追加することができます



「

Suggest to add objects to this group

」のチェックボックスにチェッ

クを入れると、検索条件のダイアログが表示され、たくさんのオブジェ

クトから効率よくオブジェクトを追加することができます

サービスオブジェクト



TCP/UDP

におけるポート番号などを定義するオブジェクトです

– デフォルトで数百はありますので、独自プロトコル以外は作成する機会 は少ないでしょう – ポート番号だけではなく、ソースポートの設定、セッションタイムアウトや セッション同期に関する設定なども行います



代表的なサービスオブジェクト

TCP：TCPで使われるポート番号を定義します UDP：UDPで使われるポート番号を定義します ICMP：ICMPで使われるタイプやコードを定義します RCP：RCPで使われるプログラム番号を定義します DCE-RPC：DCE-RPCで使われるUUIDを定義します Other：IPプロトコル番号を定義します

TCPサービスオブジェクト



TCPを利用する通信の定義をします

– 例：httpは下記のようにポート80番を使う通信として登録されています



Advancedをクリックするとダイアログが表示され、更に詳しい設定が可能

サービスオブジェクトの検索



膨大なサービスオブジェクトの中から、目的のサービスを簡単に検

索できます

– 画面右下の^マークをクリックし、検索ウィンドウを表示します

– Objects Listが表示されていない場合は、ViewメニューのObjects List

にチェックが入っているか確認して下さい

検索時のTips



検索はサービスオブジェクトだけではなく、ネットワークオブジェクトな

ども検索できます

– プルダウンメニューから対象のオブジェクトを選択してください



検索のキーワードは何でも

OK

– 例えば、IPアドレスやポート番号などでも検索できます



検索結果からルールの作成

– 検索結果に表示されているオブジェクトをドラッグアンドドロップで、 Firewallルールに定義することが出来ます

その他のオブジェクト



サーバ及び

OPSEC

オブジェクト

– RADIUSサーバやLDAPサーバ、CAサーバなどを登録します – OPSEC連携するサーバを登録します



ユーザ及び管理者オブジェクト

– ユーザオブジェクトは主に認証のために利用されます – Check Pointが管理するユーザを登録します – LDAPによって提供されるDNから、グループを登録します – Active Directoryによって提供されるユーザ、コンピュータ情報を登録し ます – 復数の管理者を登録します – 登録する管理者は、それぞれに対して細かく権限を付与(例えば ReadOnlyの権限)できます – インストール時に作成した管理者は削除出来ません

便利な機能



それぞれのオブジェクトには、コメント、色を付けることができます

– 検索などに使えますので、あらかじめルールを決めておくといいでしょう – 残念ながら、コメントに日本語を入力することはサポートしていません



どこで使われているか検索することが出来ます

– オブジェクトを右クリックし、_{Where Used…}を選択します – ダイアログが表示され、選択したオブジェクトがどこで使われているか 表示されます Firewallのルール4番、Sourceカラムに使われている

アジェンダ

1

SmartConsoleの導入

Check Pointオブジェクトの設定

2

オブジェクトの設定

3

Firewallルールの設定

4

Firewallルールの考え方



Firewallルールは最初のルールから順番に通信がマッチするか調べます



ステートフル・インスペクションですから、戻りの通信のルールを書く必要はありま せん



通信の内容とFirewallルールがマッチした場合、以後のFirewallルールは無視さ れます – マッチするFirewallルールが無い場合の通信はDropされます



Firewallルールの書き方は、基本的にSource、Destination、Service、Action、 Logだけです。



Source、Destinationの項目には、事前にオブジェクトを作成し、それらを指定しま す



Serviceには事前に定義されたものが数百はありますので、サービス名やポート番 号等で検索してください(一覧表はありません)



マシンパフォーマンスに余裕があればすべてのログを取得すべきですが、本番環 境では重要と判断したもののみ取得すべきです

Firewallルールの作成(1)



Firewall

タブ、左側のペインから

Policy

をクリックします



Firewall

ルールを作成します

– (左から)Add Rule below Current：選択している行の下に新しいルール

を作成します

– Add Rule above Current：選択している行の上に新しいルールを作成

します

– Add Rule at the Bottom：ルールの一番最後に新しいルールを追加し

ます

Firewallルールの作成(2)



Add rule at the Top

をクリックしてルールを

1

行作ります

– 空のルールが1行出来た状態になります – No.：ルール番号(自動で付加されます) – Name：ルール名(ログで利用します) – Source：通信元 – Destination：通信先 – VPN：VPNで使用(VPNのルール以外はAny Trafficにしておく) – Service：対象となるサービス – Action：通信がマッチした場合の動作 – Track：ロギングの設定

Firewallルールの作成(3)



設定例として、内部ネットワークから外部への

HTTP/HTTPS

を許可

するルールを作成します

– 内部ネットワークを定義するネットワークオブジェクトを作成します – 復数のネットワークセグメントがあるのであれば、必要なだけネットワーク オブジェクトを作成します – 大量のネットワークオブジェクトが必要な場合は、グループオブジェクトを 使ってオブジェクトをまとめると、効率よく管理できます – HTTP/HTTPSはデフォルトで定義されているサービスオブジェクトを利 用します – 通信がルールとマッチした場合は、ログを取る設定とします



Firewall

ルールを作成します

– 次のようなルールが作成されることになります

Firewallルールの作成(4)



Source/Destination/Service

へのオブジェクト追加方法

– 各カラムにオブジェクトを設定する場合、以下の方法があります

– カラムを右クリックして、Network Object/Add Objectsを選択する

– カラムの上にカーソルを持っていくと、＋のマークが出てくるのでクリックし ダイアログから選択する(検索もできます) – 左側のペインに表示されているオブジェクトをドラッグアンドドロップ – 検索ウィンドウで表示されているオブジェクトをドラッグアンドドロップ



異なるルール間でも、オブジェクトのドラッグアンドドロップが出来ま

す



カラム内に復数のオブジェクトを定義した場合、

OR

条件になります

– 上記の場合、Serviceはhttpまたはhttpsとのマッチングになります

Firewallルールの作成(5)



Action

カラムの設定

– Source/Destination/Serviceがマッチした場合の動作を定義します – Accept：通信を許可します – Drop：通信を遮断します – Reject：通信を切断します – DropとRejectの違い – どちらも、送信先となる対象のネットワークとは通信できません – Dropは通信を遮断しますので、送信元では相手からの応答が無いように 見えます – Rejectは通信に対してRSTパケットを送信しますので、送信元では相手か ら切断されたように見えます



Track

カラムの設定

– Trackカラムにはログをどうするかを設定します

Firewallルールの作成(6)



その他のカラム

– Hits：ルールにマッチした通信が何回あったかをレポートしています – ルールNoの右クリックで、表示方法を変更できます – カーソルを上に合わせると情報がポップアップします – Install On：ポリシーを実施する場所を設定します – 復数のセキュリティ・ゲートウェイがあり、異なるルールを適用したい場合 などに利用します – Time：ルールを有効にする時間帯を設定します – Comment：コメントを記入します – 日本語の入力はサポートされていません

ルールの作成に便利な機能(1)



Negate

– オブジェクトに定義しているネットワーク以外という意味になります – 例えば、192.168.1.0/24というネットワークオブジェクトをNegateすると、 192.168.1.0/24以外のネットワークとのマッチングになります – ルールに定義しているオブジェクトを右クリックしてNagate Cellを選択 します – オブジェクトに赤い×が付きます Nagete Cellを選択した状態

ルールの作成に便利な機能(3)



Section Title

の挿入

– 復数のルールを1つのセクションとしてまとめることが出来ます

– 例えば、最初のセクションは外部からのルール、次のセクションは内部か らのルールといった具合に整理でき、折りたたむこともできます

– ルールNo.を右クリックして、Add Section TitleからAbove/Belowを選

択して設定します



Section Title

の例

ルールの作成に便利な機能(3)



ルールの移動

– ルールの順番を変えたい場合は、ルールNoをクリック(ドラッグ)したま

ま目的の場所でドロップすることにより、簡単に移動することが出来ま す

– 通信量(Hit Count)が多いルールは、なるべく上の(No.が少ない)ほうに

ある方がパフォーマンス面で有利です

ルールの作成に便利な機能(4)



Disable

– 必要がないルールを削除すること無く、残したまま無効にすることが出

来ます

– 一時的に無効したい場合などに利用します

– ルールNo.を右クリックしてDisable Rule(s)を選択することで、ルール

が無効になります

– Control + クリックで復数のルールを一度に無効にすることも出来ます

ポリシーのインストール(1)



Install Policy

ボタンでポリシーをインストールします

– Install Policyを選択すると、ルールなどをコンパイルし、Security Gatewayにプッシュします

– ポリシーをインストールしない限り、Security Gatewayの動作は変更さ

れません



ダイアログが表示されますので、ポリシーをインストールする

ポリシーのインストール(2)



OK

を押すと、ルールなどがコンパイルできるか検証します

– エラーが出た場合は、エラーメッセージを確認して、対応してください



正常にポリシーがインストールされると

OK

が表示されます

– エラーが出た場合は、エラーメッセージを確認して、対応してください – Verifyでエラーがなくてもインストール時にエラーが出る場合があります



ポリシーのインストールはバックグラウンドに回しておけます

ポリシーの管理



作成された

Firewall

ルールなどはポリシーと呼ばれ、それらは

1

つの

ポリシーパッケージとして定義されています

– デフォルトでは、Standardというパッケージ名で保存されています – FileメニューのSaveで、現在編集中のポリシーを(上書き)保存出来ます – FileメニューのNewから、新しいポリシーパッケージを作成できます – FileメニューのSave asで、現在編集中のポリシーを別の名前で保存す ることが出来ます



ポリシーのインストール時に、ポリシーパッケージは自動的に保存さ

れます

ポリシーパッケージの注意点



すべてのポリシーパッケージにおいて、

オブジェクトは共通

です

– ポリシーパッケージにはオブジェクトの情報は含まれていません – オブジェクトを修正すれば、すべてのポリシーパッケージに影響します – 例えばポリシーパッケージAと、ポリシーパッケージBがあった場合 – ポリシーパッケージAでネットワークオブジェクトの変更を行いSaveしたと します – この後、ポリシーパッケージBをOpenしても、変更したネットワークオブジェ クトの情報は変更後のままです



ポリシーをインストールしない限り、

Security Gateway

における処理

は変更されません

– ポリシーパッケージは編集中でのSaveや、新規のOpenができます



オブジェクトの情報を含め、ポリシーを管理したい場合は次のリビ

ジョンコントロール機能をご利用ください

ポリシーのリビジョン管理(1)



ポリシーのリビジョンコントロール機能を使うことにより、ポリシーのリ

ビジョン管理を行うことが出来ます

– リビジョンコントロールには、すべての情報が含まれています(例えば IPSのシグニチャ情報など



リビジョンコントロールを使うことにより、リビジョンを作成した時点に

ロールバックすることが出来ます



リビジョンコントロールを利用するためには、

File

メニューの

Database Revision Control

を選択します

ポリシーのリビジョン管理(2)



Createをクリックし、新たなリビジョンを作成します – 最初にポリシーを_Saveする旨のダイアログがでます

– リビジョンに名前と、必要であればコメントを付けて_OKを押します



過去のリビジョンにロールバックしたい場合は、ロールバックしたいリビジョ

ポリシーのリビジョン管理(3)



ポリシーのインストール時に、自動的に新しいリビジョンを作成するこ

とが出来ます

– ポリシーのインストールダイアログのRevision ControlのCreate

database versionにチェックを入れます

– リビジョンに名前と、必要であればコメントを付けます

– ポリシーをインストールする前に、ポリシーが保存され、新しいリビジョ

暗黙のルール



ユーザが作成する

Firewall

ルール以外に、モジュール間などの通信

を許可する暗黙のルール

(Implied Rule)

が定義されています

– 確認するためには、メニューのViewからImplied Ruleを選択します

その他ルール



Security Gateway

を保護する

Firewall

ルール

– Security Gatewayはインターネットの境界に置かれることが多く、常に

脅威にさらされています

– Security Gatewayを保護するためのFirewallルールを最初に書くことを

おすすめします

– Security Gatewayへの一部通信は、Implied Ruleで許可されています (Global PropertiesのFirewallで設定出来ます)



クリーンナップ・ルール

– すべてのFirewallルールの、一番最後に書くルールです

– 設定したFirewallルールが間違っていてDropされているかもしれない

Firewallルール作成時のTips



Firewall

ルールはなるべく少ないほうがよい

– Firewallルールが多いと、パフォーマンスに影響があります



まとめられるルールは、まとめたほうが良い

– 例えば、以下の様なルールの場合 – 次のようにまとめるほうが、効率的です

アドレス変換機能(NAT)



IP

アドレスを変換する機能です

– Static NAT：1対1でIPアドレスを変換する機能

– Hide NAT：n対1でIPアドレスを変換する機能

– Manual NAT：ユーザが独自に設定する機能



Static NAT/Hide NAT

はオブジェクト内に設定があります

– ネットワークオブジェクトやホストオブジェクトで設定します



NAT

ルールは

SmartDashboard

から確認できます

Hide NATの設定方法



Hide NAT(n

対

1)

の設定は以下のように行います

– NATするNetworkオブジェクトを作成します

– NATのタブを選択します

– Add Automatic Address Translation rulesにチェックを入れます

– Translation methodがHideになっているのを確認します

– Hide behind Gatewayを選択すると、Security GatewayのIPアドレスに変

換され、特定のIPアドレスを使いたい場合はHide behind IP addressを選

択しIPアドレスを入力します

※グループオブジェクトで もHide NATを定義するこ とはできます

Hide NATの動作確認



Hide NAT

の設定が終わったら、ポリシーをインストールします

– 設定したネットワークから外部への通信を許可するルールが必要です



Hide NAT

されるネットワークから、インターネット側の外部に接続で

きるか確認します



SmartView Tracker

を起動し、

Hide NAT

されてたログが残っている

か確認します

gaia-gw> ping www.google.com

PING www.google.com (74.125.235.114) 56(84) bytes of data.

64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=1 ttl=127 time=41.1 ms 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=2 ttl=127 time=7.99 ms

Static NATの設定方法



Static NAT(1

対

1)

の設定は以下のように行います

– NATするHostオブジェクトを作成します

– 左側のペインから、NATを選択します

– Add Automatic Address Translation rulesにチェックを入れます

– Translation methodがStaticにします

Static NATのルール



設定したホストへの接続を許可するルールを作成します

– 例えば、外部から内部サーバへの通信を許可するルールはSourceに

Any、Destinationに作成したHostオブジェクト、Serviceは任意のサー

ビス、ActionはLogにします

– ホストオブジェクトは、グローバルIPで作成しプライベートIPにStatic

NATするように設定します



ポリシーをインストールします

Manual NATの設定



通常の

NAT

ルールは自動的に作成されますが、手動で作成すること

も可能です

– 自動で作成されたルールと同じことが、手動でも出来ます – 自動で作成したくない場合などは、手動で作成します – 特定のサービスのみのNATやポートの変換なども出来ます



例えば、

Hide NAT

を自動で設定しているが、あるセグメントへの通

信は

NAT

させたくない場合などで利用します

– 以下の様なルール(1行目)を作成することにより可能です – ルールの書き方はFirewallルールの考え方と全く同じです

Automatic ARP



デフォルトでは、

Automatic ARP

が有効です

– Static NATなどで、実際にインターフェイスに割り当てられていないIPア ドレスに対するARP応答は自動的に行われます – Automatic ARPはグローバルプロパティで設定できます – 左側のペインから_NATを選んで設定してください



Automatic ARP

を利用しない場合

– OSの設定でProxy ARP設定を行ってください



独自の

_MAC

アドレス等で

_ARP

応答を行いたい場合

– $FWDIR/conf/local.arpにIPアドレスとMACアドレスを記述することによ り、ARP応答することが可能です