Managed Firewall NATユースケース

Transcription

1 Managed Firewall NAT ユースケース 2.0 版 2017/7/25 NTT Communications

2 更新履歴 版数更新日更新内容 /07/18 初版 /07/25 送信元 NAT NAPT に変更 ユースケースを追加

3 Use Case 1 Managed Firewall 送信先 NAT/DESTINATION NAT ~ 送信先のポート変換なし ~

4 Use Case 1 送信先 NAT( ポート変換無し ) < 例 > 公開 Web サーバーを ECL 上に構築し インターネットからアクセス インターネット上の全てのホストから ロジカルネットワーク ( サーバーセグメント ) に配置されている WebServer01 へアクセス グローバルアドレス宛にアクセスされた通信の送信先を WebServer01 のアドレスへ変換 ( 送信先 NAT) TCP 番の通信を許可する ( ポート変換はしない ) Client Client Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port / x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall / x.x port 4 Logical Network サーバーセグメント port 5 WebServer /24 default gateway port port Logical Network /24 サーバーセグメント.10 WebServer01 default gateway

5 Use Case 1 送信先 NAT( ポート変換無し ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all all ALL ALL WebServer01

6 前提 Use Case 1 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP : Subnet Mask : Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 : ) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 : ) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 : ) その他必要に応じて ルーティング設定を追加してください WebServer01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

7 Use Case 1 手順 1-1 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x x.x.10 Mapped IP Address External Interface Port4 Port Forward ( チェック無 ) Protocol External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください

8 Use Case 1 手順 1-2 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

9 Use Case 1 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

10 Use Case 1 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

11 Use Case 1 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

12 Use Case 2 Managed Firewall 送信先 NAT/DESTINATION NAT ~ 送信先のポート変換あり ~

13 Use Case 2 送信先 NAT( ポート変換有り ) < 例 > 公開 Web サーバーを ECL 上に構築し インターネットからアクセス インターネット上の全てのホストから ロジカルネットワーク ( サーバーセグメント ) に配置されている WebServer01 へアクセス グローバルアドレス宛にアクセスされた通信の送信先を WebServer01 のアドレスへ変換 ( 送信先 NAT) TCP 番宛の通信を WebServer01 の TCP 番宛へポート変換する Client Client Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port / x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall / x.x port 4 Logical Network サーバーセグメント port 5 WebServer /24 default gateway port port Logical Network /24 サーバーセグメント.10 WebServer01 default gateway

14 Use Case 2 送信先 NAT( ポート変換有り ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all all ALL ALL WebServer01

15 前提 Use Case 2 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP : Subnet Mask : Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 : ) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 : ) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 : ) その他必要に応じて ルーティング設定を追加してください WebServer01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

16 Use Case 2 手順 1-1 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x x.x.10 Mapped IP Address External Interface Port4 Port Forward ( チェック無 ) Protocol TCP External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください

17 Use Case 2 手順 1-2 サービスオブジェクト作成 サービスオブジェクトを作成 項目 設定値 Service Name HTTP Protocol Type TCP Source Port ( 空欄 ) Destination Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください 空欄はAnyとして定義されます

18 Use Case 2 手順 1-3 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

19 Use Case 2 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 設定値を投入後 [ 保存 ] ボタンをクリックしてください

20 Use Case 2 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

21 Use Case 2 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

22 Use Case 3 Managed Firewall NAPT

23 Use Case 3 NAPT < 例 >ECL 上のホストがインターネット上の Web サイトへアクセス インターネット上の Web サイトに対して ロジカルネットワーク ( サーバーセグメント ) に配置されている Host01 からアクセス Host01 アドレスからの通信の送信元をグローバルアドレスに変換してアクセス (NAPT) TCP 番の通信を許可する ( ポート変換はしない ) Web Site all Web Site all Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port / x.x.20 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall / x.x.20 port 4 Logical Network サーバーセグメント port /24 port port Logical Network /24 サーバーセグメント.20 Host01 default gateway Host01 default gateway

24 Use Case 3 < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Web Site 行きの通信 NAPT 参考 : 戻りの通信 送信元 送信先 送信元 送信先 153.x.x.20 all all 153.x.x.20 ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 ALL all all ALL Host01

25 前提 Use Case 3 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP : Subnet Mask : Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 : ) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 :NAPT で使用するグローバル IP アドレス ( 例 :153.x.x.20/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 : ) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 : ) その他必要に応じて ルーティング設定を追加してください Host01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

26 Use Case 3 手順 1-1 アドレスオブジェクト作成 Host01 のアドレスオブジェクトを作成 項目 設定値 Address Name Host_ Type Subnet IP Address Subnet Mask Interface Port5 設定値を投入後 [ 保存 ] ボタンをクリックしてください

27 Use Case 3 手順 1-2 NAT オブジェクト作成 NAPT 用の Source NAT オブジェクトを作成 1 つのグローバル IP アドレスを割り当てる場合は Start IP Address と End IP Address に同じ設定値 (IP アドレス ) を入力してください 項目 NAT Name Start IP Address End IP Address 設定値 SNAT_153.x.x x.x x.x.20 設定値を投入後 [ 保存 ] ボタンをクリックしてください Source NAT オブジェクトは 送信元 IP アドレスの変更後の IP アドレスを定義してください Source NAT オブジェクトの IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください

28 Use Case 3 手順 1-3 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

29 Use Case 3 手順 2-1 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Source Address Outgoing Interface Port5 Host_ Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAT mode NAPT Object Use NAPT Object SNAT_153.x.x.20 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNSサーバーなどで名前解決している場合は 必要な通信を許可してください

30 Use Case 3 手順 2-1 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port5 Source Address Host_ Outgoing Interface Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAPT Object SNAT_153.x.x.20 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNS サーバーなどで名前解決している場合は 必要な通信を許可してください

31 Use Case 3 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

32 Use Case 4 Managed Firewall 送信先 NAT+NAPT 1 つのグローバルアドレスを利用した Use Case 1 と Use Case 3 の組み合わせ例

33 Use Case 4 送信先 NAT+NAPT < 例 > 公開 Web サーバー (Host01) を ECL 上に構築し インターネットからアクセス ( 送信先 NAT) 公開 Web サーバー (Host01) からインターネット上の Web サイトへアクセス (NAPT) 1 つのグローバル IP アドレスを利用して設定 Client Web Site all Client Web Site all Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port / x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall / x.x port 4 Logical Network サーバーセグメント port 5 Host /24 default gateway port port Logical Network /24 サーバーセグメント.10 Host01 default gateway

34 Use Case 4 送信先 NAT( ポート変換無し ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all all ALL ALL Host01

35 Use Case 4 < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Web Site 行きの通信 NAPT 参考 : 戻りの通信 送信元 送信先 送信元 送信先 153.x.x.10 all all 153.x.x.10 ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 ALL all all ALL Host01

36 前提 Use Case 4 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP : Subnet Mask : Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 : ) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT/NAPT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 : ) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 : ) その他必要に応じて ルーティング設定を追加してください Host01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

37 Use Case 4 手順 1-1 アドレスオブジェクト作成 Host01 のアドレスオブジェクトを作成 項目 設定値 Address Name Host_ Type Subnet IP Address Subnet Mask Interface Port5 設定値を投入後 [ 保存 ] ボタンをクリックしてください

38 Use Case 4 手順 1-2 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x x.x.10 Mapped IP Address External Interface Port4 Port Forward ( チェック無 ) Protocol External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください

39 Use Case 4 手順 1-3 NAT オブジェクト作成 NAPT 用の Source NAT オブジェクトを作成 1 つのグローバル IP アドレスを割り当てる場合は Start IP Address と End IP Address に同じ設定値 (IP アドレス ) を入力してください 項目 NAT Name Start IP Address End IP Address 設定値 SNAT_153.x.x x.x x.x.10 設定値を投入後 [ 保存 ] ボタンをクリックしてください Source NAT オブジェクトは 送信元 IP アドレスの変更後の IP アドレスを定義してください Source NAT オブジェクトの IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください

40 Use Case 4 手順 1-4 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

41 Use Case 4 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバー (Host01) に対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

42 Use Case 4 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバー (Host01) に対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

43 Use Case 4 手順 2-2 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Source Address Outgoing Interface Port5 Host_ Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAT mode NAPT Object Use NAPT Object SNAT_153.x.x.10 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNSサーバーなどで名前解決している場合は 必要な通信を許可してください

44 Use Case 4 手順 2-2 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port5 Source Address Host_ Outgoing Interface Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAPT Object SNAT_153.x.x.10 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNS サーバーなどで名前解決している場合は 必要な通信を許可してください

45 Use Case 4 手順 2-3 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます