PowerPoint プレゼンテーション - PDF 無料ダウンロード

Firewall ブレード設定ガイド - Check Point R77/GAiA チェックポイントソフトウェアテクノロジーズ ( 株 )

アジェンダ 1 SmartConsole の導入 2 3 4 Check Point オブジェクトの設定オブジェクトの設定 Firewall ルールの設定 2

変更履歴 Rev1 R76 ベースで作成 Rev1a ポリシー管理を追加 Firewall ルール作成時の Tips を追加 Rev2 R77 ベースで作成いつくかの機能説明を追加 3

アジェンダ 1 SmartConsole の導入 2 3 4 Check Point オブジェクトの設定オブジェクトの設定 Firewall ルールの設定 4

SmartConsole とは SmartConsole は Check Point 製品を設定運用するための復数の Windows アプリケーションです主なコンポーネントの紹介 SmartDashboard: セキュリティポリシーを設定します SmartView Tracker: ログの参照に利用します SmartLog: ログを高速で検索します SmartView Monitor: 管理対象機器の状態の確認ができます一部機能は別途ライセンスが必要です SmartUpdate: リモートからパッケージライセンスの管理ができます一部機能は別途ライセンスが必要です SmartEvent: 複数の Software Blade のログなどの情報からイベントを収集しグラフィカルに表示します別途ライセンスが必要です 5

SmartConsole のインストール (1) SmartConsole のインストーラーを入手します SecurePlatform もしくは GAiA を利用している場合は OS のポータルからダウンロードすることができます GAiA の場合ログイン直後の Overview ページにリンクがありますサポートサイトから入手する SK92965 から入手出来ますダウンロードにはサポート契約が必要ですメディアからインストールするメディアに SmartConsole のインストーラーが含まれています SmartConsole のインストーラーを実行しますインストールウィザードが開始されます 6

SmartConsole のインストール (2) SmartConsole を利用する際には MS Visual C++ MS.NET Framework が必要になりますシステムにインストールされていない場合は下記ダイアログが出てきます OK をクリックして必要なコンポーネントをインストールします 7

SmartConsole のインストール (3) 引続き SmartConsole のインストールを行いますライセンスに同意し Next をクリックしてプロセスを進めます 8

SmartConsole のインストール (4) インストールが完了したら Finish をクリックして SmartDashboard を起動します.Net 4.0 をインストールした場合再起動が必要になります 9

SmartDashboard の起動 (1) インストールウィザード終了後 SmartDashboard が起動します Windows のメニューからも SmartDashboard の起動が可能です初期セットアップで設定したユーザ名とパスワード Security Management サーバの IP アドレス ( またはホスト名 ) を入力します 10

SmartDashboard の起動 (2) 初回のみ Fingerprint の確認ダイアログが出ます Fingerprint は Security Management サーバで cpconfig を実行すると確認できます Fingerprint はレジストリーに書き込まれます Approve を押して継続しますトライアルライセンスの場合トライアル期間のダイアログが表示されます 11

SmartDashboard の起動 (3) SmartDashboard が起動しました各 Software Blade タブオブジェクトツリー 12

アジェンダ 1 SmartConsole の導入 2 3 4 Check Point オブジェクトの設定オブジェクトの設定 Firewall ルールの設定 13

Check Point オブジェクトとはオブジェクトとはネットワーク情報やサービス情報などを事前に登録しておくための要素です最初にオブジェクトを作成してからポリシーを作成しますオブジェクトを作成しないとポリシーは設定出来ませんオブジェクトには様々な復数の定義があります代表的なオブジェクトは次の章で説明しています Check Point オブジェクトとはこれらのオブジェクトの中で Check Point 製品がインストールされたものを指しますネットワークオブジェクトの 1 つとして設定しますすべての Software Blade はこの Check Point オブジェクトを設定することから始まります 14

Check Point オブジェクトの設定 Check Point オブジェクトはインストールされている製品によって設定は異なりますこの章では Security Gateway と Security Management がインストールされてオブジェクトを前提に説明しています Security Gateway と Security Management も構成 ( 例えば分散構成や冗長化構成 ) によって設定が異なります左側のペインのネットワークオブジェクトから Check Point 以下にあるオブジェクトをダブルクリックし設定を行います右クリックから Edit を選択でも同様の動作になりますダブルクリック 15

Check Point Gateway オブジェクトオブジェクト名とIPアドレスを変更する際は注意が必要です Security Gatewayの Software Bladeを選択します Security Managementの Software Bladeを選択します機能を有効にする Software Blade を選択します ( それぞれにライセンスが必要です ) 左側のペインは構成や Software Blade の選択によって異なります 16

Topology の設定 (1) Gateway オブジェクトで最初に設定しなくてはならいのが Topology です Topology を正しく設定しないと Gateway は正しくパケットを処理できません Topology には Gateway の各インターフェイスに接続されているネットワークを設定しますネットワークの先にルータがありさらにネットワークがある場合も定義が必要です OS のネットワーク設定が正しく行われていればある程度は自動的に設定されます必ず正しく設定されているか確認する必要があります 17

Topology の設定 (2) Gateway オブジェクトの左側のペインから Topology を選択しますデフォルトで取得されたインターフェイス情報が表示されています Get から Interface with Topology を選択します OS の設定から自動的に Topology を取得します現在設定されている情報は上書きされる旨のダイアログが表示されます 18

Topology の設定 (3) OS から情報が取得できた場合取得できた内容が表示されます Accept を押してダイアログを閉じますそれぞれのインターフェイスを設定していきますインターフェイスが表示されているところをダブルクリックし設定ダイアログを表示させますダブルクリック 19

Topology の設定 (4) General タブにてインターフェイス名 IP アドレスネットマスクが正しいか確認しますインターフェイス名は OS と同じ必要がありますので変更しないでください 20

Topology の設定 (5) 以下は External 側のインターフェイスの場合です Topology タブの Topology が External に設定されているか確認します External に設定したインターフェイス間でのルーティングしません External のインターフェイスから入ってきて別の External のインターフェイスから出て行く通信はできません 21

Topology の設定 (6) 以下は Internal 側のインターフェイスの場合です Topology タブの Topology が Internal に設定されているか確認します IP Addresses behind this interface にはこのインターフェイスに接続されているネットワークを指定する必要があります Not Defined: 設定しない (Anti-Spoofing は OFF になります )( 推奨しません ) Network defined by the interface IP and Net Mask: このインターフェイスに設定されているサブネットワーク Specific: ネットワークオブジェクトやグループオブジェクトを指定します 22

Topology の設定 (7) インターフェイスの背後にルータなどが存在し復数のネットワークが存在する場合は以下のように設定します実際のネットワークに合わせてネットワークオブジェクトを作成しますグループオブジェクトを使って復数のネットワークオブジェクトをまとめます Topology に Specific を選択し作成したグループオブジェクトを指定しますネットワークオブジェクトやグループオブジェクトの作成方法は次の章を参照してください 23

Topology の設定 (8) Internal External 共に Anti-Spoofing を実行するように設定します Anti-Spoofing とは IP アドレスを偽装して接続を行おうとしている通信を遮断する機能です Anti-Spoofing を OFF にすることは推奨しません Topology が正しく設定されていないと Anti-Spoofing 機能により通信できないネットワークが出来てしまいます通信できない場合は Anti-Spoofing によるものかログを確認します Topology は Security Gateway のインターフェイス情報やネットワーク構成が変わった場合必ず設定し直す必要があります 24

Topology の設定 (9) インターフェイスの接続先が DMZ の場合以下のように設定します Topology は Internal を選択します DMZ のネットワーク構成に合わせて IP Addresses behind this interface を設定します Interface leads to DMZ にチェックを入れます DMZ の設定は一部の Software Blade で有効になります 25

Gateway オブジェクトのその他設定 Topology の設定が完了すれば Check Point オブジェクトに対する最低限の設定は完了ですそれぞれの Software Blade を有効にする場合は General Properties で該当の Software Blade にチェックを入れます左側のペインに該当する Blade の設定が増えます ( 一部の Blade で増えないものもあります ) ので詳細なオプションを設定します各 Software Blade タブの設定画面でルールを作成します Software Blade を有効にする場合は 1 つずつ有効にし動作確認しながら設定することをお勧めします 26

Security Management の設定 Security Management の場合は Log の設定を確認しておくのをお勧めします指定サイズで新しいログファイルを作成指定した時間で新しいログファイルを作成ディスクスペースが少なくなったら古いログを削除する 27

アジェンダ 1 SmartConsole の導入 2 3 4 Check Point オブジェクトの設定オブジェクトの設定 Firewall ルールの設定 28

オブジェクトとは Firewall ルールの Source/Destination や NAT の設定には事前にオブジェクトを作成しそれらをルールに定義します先にオブジェクトを作成しなければルールは作成できません代表的なオブジェクトネットワークオブジェクトネットワーク情報を登録するオブジェクト群サービスオブジェクトサービス情報 ( ポート番号など ) を登録するオブジェクト群サーバ及び OPSEC オブジェクト特定のサーバや OPSEC 連携するサーバなどを登録するオブジェクト群ユーザ及び管理者オブジェクトユーザの登録管理をするオブジェクト群管理者の登録管理をするオブジェクト群 29

ネットワークオブジェクト Firewall ルールを構成する上で一番良く使われるオブジェクトです代表的なネットワークオブジェクトネットワークオブジェクトを選択 Check Point 製品がインストールされているホストなどを定義します Nodes の Host:IP アドレスを 1 つ持つホスト ( メールサーバや Web サーバなど ) を定義します Networks の Network: ネットワーク (192.168.1.0/24 などのブロードキャストドメイン ) を定義します Groups の Simple Group: 復数のオブジェクトを 1 つにまとめたい場合に定義します Address Range: ブロードキャストドメインではなく IP アドレスの範囲 (192.168.1.50 から 192.168.1.100 までなど ) で定義します 30

ネットワークオブジェクトの作成方法サブネットワークアドレスを登録する場合に作成します Networks を右クリックし Networks を選択しますダイアログが表示されますのでオブジェクト名ネットワークアドレスネットマスクを入力します OK を押してダイアログを閉じます 31

ホストオブジェクトの作成方法 1 つの IP アドレスを持つホストを登録するときに作成します Nodes を右クリックし Node -> Host を選択しますダイアログが表示されますのでオブジェクト名 IP アドレスを入力し OK を押します復数の IP アドレスを持つホストも登録することも可能です左側のペインから Topology を選択しインターフェイスと IP アドレスを登録します復数の IP アドレスを持つ場合でルーティングしないホストの場合にホストオブジェクトを利用しますルーティングするホストの場合は Nodes の Gateway オブジェクトで設定します 32

アドレスレンジオブジェクトの作成方法特定の IP アドレスの範囲を登録する場合に作成します Address Ranges を右クリックし Address Ranges -> Address Range を選択しますダイアログが表示されますのでオブジェクト名開始のネットワークアドレス終了のネットワークアドレスを入力します OK を押してダイアログを閉じます 33

グループオブジェクトの作成方法 (1) 復数のオブジェクトをまとめて 1 つのオブジェクトにする場合に作成します Groups を右クリックし Groups -> Simple Group を選択しますダイアログが表示されますのでオブジェクト名を入力しグルーピングしたいオブジェクトを Add していきます 34

グループオブジェクトの作成方法 (2) 復数のオブジェクトを追加する場合は Control キーを押しながらクリックすることで同時に追加することができます検索ダイアログからオブジェクトを検索することができます View ボタンを押すことによりオブジェクトのプロパティを確認できます右下の New ボタンを押すとこのダイアログから新しいオブジェクトを作成し追加することができます Suggest to add objects to this group のチェックボックスにチェックを入れると検索条件のダイアログが表示されたくさんのオブジェクトから効率よくオブジェクトを追加することができます 35

サービスオブジェクト TCP/UDP におけるポート番号などを定義するオブジェクトですデフォルトで数百はありますので独自プロトコル以外は作成する機会は少ないでしょうポート番号だけではなくソースポートの設定セッションタイムアウトやセッション同期に関する設定なども行います代表的なサービスオブジェクト TCP:TCP で使われるポート番号を定義します UDP:UDP で使われるポート番号を定義します RCP:RCP で使われるプログラム番号を定義します ICMP:ICMP で使われるタイプやコードを定義します DCE-RPC:DCE-RPC で使われる UUID を定義します Other:IP プロトコル番号を定義します Group: いくつかのサービスオブジェクトをグループ化します 36

TCP サービスオブジェクト TCP を利用する通信の定義をします例 :http は下記のようにポート 80 番を使う通信として登録されています Advanced をクリックするとダイアログが表示され更に詳しい設定が可能になります 37

サービスオブジェクトの検索膨大なサービスオブジェクトの中から目的のサービスを簡単に検索できます画面右下の ^ マークをクリックし検索ウィンドウを表示します Objects List が表示されていない場合は View メニューの Objects List にチェックが入っているか確認して下さい検索キーワードを入力するとマッチした結果が表示されます 38

検索時の Tips 検索はサービスオブジェクトだけではなくネットワークオブジェクトなども検索できますプルダウンメニューから対象のオブジェクトを選択してください検索のキーワードは何でも OK 例えば IP アドレスやポート番号などでも検索できます検索結果からルールの作成検索結果に表示されているオブジェクトをドラッグアンドドロップで Firewall ルールに定義することが出来ます 39

その他のオブジェクトサーバ及び OPSEC オブジェクト RADIUS サーバや LDAP サーバ CA サーバなどを登録します OPSEC 連携するサーバを登録しますユーザ及び管理者オブジェクトユーザオブジェクトは主に認証のために利用されます Check Point が管理するユーザを登録します LDAP によって提供される DN からグループを登録します Active Directory によって提供されるユーザコンピュータ情報を登録します復数の管理者を登録します登録する管理者はそれぞれに対して細かく権限を付与 ( 例えば ReadOnly の権限 ) できますインストール時に作成した管理者は削除出来ません Unix で言うところの root Windows で言うところの administrator に相当します 40

便利な機能それぞれのオブジェクトにはコメント色を付けることができます検索などに使えますのであらかじめルールを決めておくといいでしょう残念ながらコメントに日本語を入力することはサポートしていませんどこで使われているか検索することが出来ますオブジェクトを右クリックし Where Used を選択しますダイアログが表示され選択したオブジェクトがどこで使われているか表示されます Firewall のルール 4 番 Source カラムに使われている 41

アジェンダ 1 SmartConsole の導入 2 3 4 Check Point オブジェクトの設定オブジェクトの設定 Firewall ルールの設定 42

Firewall ルールの考え方 Firewall ルールは最初のルールから順番に通信がマッチするか調べますステートフルインスペクションですから戻りの通信のルールを書く必要はありません通信の内容と Firewall ルールがマッチした場合以後の Firewall ルールは無視されますマッチする Firewall ルールが無い場合の通信は Drop されます Firewall ルールの書き方は基本的に Source Destination Service Action Log だけです Source Destination の項目には事前にオブジェクトを作成しそれらを指定します Service には事前に定義されたものが数百はありますのでサービス名やポート番号等で検索してください ( 一覧表はありません ) マシンパフォーマンスに余裕があればすべてのログを取得すべきですが本番環境では重要と判断したもののみ取得すべきです 43

Firewall ルールの作成 (1) Firewall タブ左側のペインから Policy をクリックします Firewall ルールを作成します ( 左から )Add Rule below Current: 選択している行の下に新しいルールを作成します Add Rule above Current: 選択している行の上に新しいルールを作成します Add Rule at the Bottom: ルールの一番最後に新しいルールを追加します Add Rule at the Top: ルールの一番最初に新しいルールを追加します 44

Firewall ルールの作成 (2) Add rule at the Top をクリックしてルールを 1 行作ります空のルールが 1 行出来た状態になります No.: ルール番号 ( 自動で付加されます ) Name: ルール名 ( ログで利用します ) Source: 通信元 Destination: 通信先 VPN:VPN で使用 (VPN のルール以外は Any Traffic にしておく ) Service: 対象となるサービス Action: 通信がマッチした場合の動作 Track: ロギングの設定 45

Firewall ルールの作成 (3) 設定例として内部ネットワークから外部への HTTP/HTTPS を許可するルールを作成します内部ネットワークを定義するネットワークオブジェクトを作成します復数のネットワークセグメントがあるのであれば必要なだけネットワークオブジェクトを作成します大量のネットワークオブジェクトが必要な場合はグループオブジェクトを使ってオブジェクトをまとめると効率よく管理できます HTTP/HTTPS はデフォルトで定義されているサービスオブジェクトを利用します通信がルールとマッチした場合はログを取る設定とします Firewall ルールを作成します次のようなルールが作成されることになります 46

Firewall ルールの作成 (4) Source/Destination/Service へのオブジェクト追加方法各カラムにオブジェクトを設定する場合以下の方法がありますカラムを右クリックして Network Object/Add Objects を選択するカラムの上にカーソルを持っていくと + のマークが出てくるのでクリックしダイアログから選択する ( 検索もできます ) 左側のペインに表示されているオブジェクトをドラッグアンドドロップ検索ウィンドウで表示されているオブジェクトをドラッグアンドドロップ異なるルール間でもオブジェクトのドラッグアンドドロップが出来ますカラム内に復数のオブジェクトを定義した場合 OR 条件になります上記の場合 Service は http または https とのマッチングになります 47

Firewall ルールの作成 (5) Action カラムの設定 Source/Destination/Service がマッチした場合の動作を定義します Accept: 通信を許可します Drop: 通信を遮断します Reject: 通信を切断します Drop と Reject の違いどちらも送信先となる対象のネットワークとは通信できません Drop は通信を遮断しますので送信元では相手からの応答が無いように見えます Reject は通信に対して RST パケットを送信しますので送信元では相手から切断されたように見えます Track カラムの設定 Track カラムにはログをどうするかを設定します None/Log 以外の詳細設定はグローバルプロパティにあります 48

Firewall ルールの作成 (6) その他のカラム Hits: ルールにマッチした通信が何回あったかをレポートしていますルール No の右クリックで表示方法を変更できますカーソルを上に合わせると情報がポップアップします Install On: ポリシーを実施する場所を設定します復数のセキュリティゲートウェイがあり異なるルールを適用したい場合などに利用します Time: ルールを有効にする時間帯を設定します Comment: コメントを記入します日本語の入力はサポートされていません 49

ルールの作成に便利な機能 (1) Negate オブジェクトに定義しているネットワーク以外という意味になります例えば 192.168.1.0/24 というネットワークオブジェクトを Negate すると 192.168.1.0/24 以外のネットワークとのマッチングになりますルールに定義しているオブジェクトを右クリックして Nagate Cell を選択しますオブジェクトに赤いが付きます Nagete Cell を選択した状態 50

ルールの作成に便利な機能 (3) Section Title の挿入復数のルールを 1 つのセクションとしてまとめることが出来ます例えば最初のセクションは外部からのルール次のセクションは内部からのルールといった具合に整理でき折りたたむこともできますルール No. を右クリックして Add Section Title から Above/Below を選択して設定します Section Title の例 Rule2 と Rule3 は Section Title によって折りたたまれています 51

ルールの作成に便利な機能 (3) ルールの移動ルールの順番を変えたい場合はルール No をクリック ( ドラッグ ) したまま目的の場所でドロップすることにより簡単に移動することが出来ます通信量 (Hit Count) が多いルールはなるべく上の (No. が少ない ) ほうにある方がパフォーマンス面で有利です Rule3 を Rule1 と Rule2 の間にドラッグして移動している状態 52

ルールの作成に便利な機能 (4) Disable 必要がないルールを削除すること無く残したまま無効にすることが出来ます一時的に無効したい場合などに利用しますルール No. を右クリックして Disable Rule(s) を選択することでルールが無効になります Control + クリックで復数のルールを一度に無効にすることも出来ます Rule2 を Disable にした状態 ( ルールがグレイアウトしている ) 53

ポリシーのインストール (1) Install Policy ボタンでポリシーをインストールします Install Policy を選択するとルールなどをコンパイルし Security Gateway にプッシュしますポリシーをインストールしない限り Security Gateway の動作は変更されませんダイアログが表示されますのでポリシーをインストールする Security Gateway を選択し OK を押します 54

ポリシーのインストール (2) OK を押すとルールなどがコンパイルできるか検証しますエラーが出た場合はエラーメッセージを確認して対応してください正常にポリシーがインストールされると OK が表示されますエラーが出た場合はエラーメッセージを確認して対応してください Verify でエラーがなくてもインストール時にエラーが出る場合がありますポリシーのインストールはバックグラウンドに回しておけます右下の Policy Installation Status をクリックすると確認できます 55

ポリシーの管理作成された Firewall ルールなどはポリシーと呼ばれそれらは 1 つのポリシーパッケージとして定義されていますデフォルトでは Standard というパッケージ名で保存されています File メニューの Save で現在編集中のポリシーを ( 上書き ) 保存出来ます File メニューの New から新しいポリシーパッケージを作成できます File メニューの Save as で現在編集中のポリシーを別の名前で保存することが出来ますポリシーのインストール時にポリシーパッケージは自動的に保存されます 56

ポリシーパッケージの注意点すべてのポリシーパッケージにおいてオブジェクトは共通ですポリシーパッケージにはオブジェクトの情報は含まれていませんオブジェクトを修正すればすべてのポリシーパッケージに影響します例えばポリシーパッケージ A とポリシーパッケージ B があった場合ポリシーパッケージ A でネットワークオブジェクトの変更を行い Save したとしますこの後ポリシーパッケージ B を Open しても変更したネットワークオブジェクトの情報は変更後のままですポリシーをインストールしない限り Security Gateway における処理は変更されませんポリシーパッケージは編集中での Save や新規の Open ができますオブジェクトの情報を含めポリシーを管理したい場合は次のリビジョンコントロール機能をご利用ください 57

ポリシーのリビジョン管理 (1) ポリシーのリビジョンコントロール機能を使うことによりポリシーのリビジョン管理を行うことが出来ますリビジョンコントロールにはすべての情報が含まれています ( 例えば IPS のシグニチャ情報などリビジョンコントロールを使うことによりリビジョンを作成した時点にロールバックすることが出来ますリビジョンコントロールを利用するためには File メニューの Database Revision Control を選択します Database Revision Control のダイアログが表示されます 58

ポリシーのリビジョン管理 (2) Create をクリックし新たなリビジョンを作成します最初にポリシーを Save する旨のダイアログがでますリビジョンに名前と必要であればコメントを付けて OK を押します過去のリビジョンにロールバックしたい場合はロールバックしたいリビジョンを選択し Action から Restore Version を選択します 59

ポリシーのリビジョン管理 (3) ポリシーのインストール時に自動的に新しいリビジョンを作成することが出来ますポリシーのインストールダイアログの Revision Control の Create database version にチェックを入れますリビジョンに名前と必要であればコメントを付けますポリシーをインストールする前にポリシーが保存され新しいリビジョンが作成されます 60

暗黙のルールユーザが作成する Firewall ルール以外にモジュール間などの通信を許可する暗黙のルール (Implied Rule) が定義されています確認するためにはメニューの View から Implied Rule を選択します設定はグローバルプロパティから設定できます 61

その他ルール Security Gateway を保護する Firewall ルール Security Gateway はインターネットの境界に置かれることが多く常に脅威にさらされています Security Gateway を保護するための Firewall ルールを最初に書くことをおすすめします Security Gateway への一部通信は Implied Rule で許可されています (Global Properties の Firewall で設定出来ます ) クリーンナップルールすべての Firewall ルールの一番最後に書くルールです設定した Firewall ルールが間違っていて Drop されているかもしれないのでかならずログを取っておきます 62

Firewall ルール作成時の Tips Firewall ルールはなるべく少ないほうがよい Firewall ルールが多いとパフォーマンスに影響がありますまとめられるルールはまとめたほうが良い例えば以下の様なルールの場合次のようにまとめるほうが効率的です 63

アドレス変換機能 (NAT) IP アドレスを変換する機能です Static NAT:1 対 1 で IP アドレスを変換する機能 Hide NAT:n 対 1 で IP アドレスを変換する機能 Manual NAT: ユーザが独自に設定する機能 Static NAT/Hide NAT はオブジェクト内に設定がありますネットワークオブジェクトやホストオブジェクトで設定します NAT ルールは SmartDashboard から確認できます Manual NAT はここで設定します 64

Hide NAT の設定方法 Hide NAT(n 対 1) の設定は以下のように行います NAT する Network オブジェクトを作成します NAT のタブを選択します Add Automatic Address Translation rules にチェックを入れます Translation method が Hide になっているのを確認します Hide behind Gateway を選択すると Security Gateway の IP アドレスに変換され特定の IP アドレスを使いたい場合は Hide behind IP address を選択し IP アドレスを入力しますグループオブジェクトでも Hide NAT を定義することはできます 65

Hide NAT の動作確認 Hide NAT の設定が終わったらポリシーをインストールします設定したネットワークから外部への通信を許可するルールが必要です Hide NAT されるネットワークからインターネット側の外部に接続できるか確認します gaia-gw> ping www.google.com PING www.google.com (74.125.235.114) 56(84) bytes of data. 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=1 ttl=127 time=41.1 ms 64 bytes from nrt19s02-in-f18.1e100.net (74.125.235.114): icmp_seq=2 ttl=127 time=7.99 ms SmartView Tracker を起動し Hide NAT されてたログが残っているか確認します 66

Static NAT の設定方法 Static NAT(1 対 1) の設定は以下のように行います NAT する Host オブジェクトを作成します左側のペインから NAT を選択します Add Automatic Address Translation rules にチェックを入れます Translation method が Static にします Translate to IP Address に変換後の IP アドレスを設定します 67

Static NAT のルール設定したホストへの接続を許可するルールを作成します例えば外部から内部サーバへの通信を許可するルールは Source に Any Destination に作成した Host オブジェクト Service は任意のサービス Action は Log にしますホストオブジェクトはグローバル IP で作成しプライベート IP に Static NAT するように設定しますポリシーをインストールします SmartView Tracker を起動してログを確認します 68

Manual NAT の設定通常の NAT ルールは自動的に作成されますが手動で作成することも可能です自動で作成されたルールと同じことが手動でも出来ます自動で作成したくない場合などは手動で作成します特定のサービスのみの NAT やポートの変換なども出来ます例えば Hide NAT を自動で設定しているがあるセグメントへの通信は NAT させたくない場合などで利用します以下の様なルール (1 行目 ) を作成することにより可能ですルールの書き方は Firewall ルールの考え方と全く同じです 69

Automatic ARP デフォルトでは Automatic ARP が有効です Static NAT などで実際にインターフェイスに割り当てられていない IP アドレスに対する ARP 応答は自動的に行われます Automatic ARP はグローバルプロパティで設定できます左側のペインから NAT を選んで設定してください Automatic ARP を利用しない場合 OS の設定で Proxy ARP 設定を行ってください独自の MAC アドレス等で ARP 応答を行いたい場合 $FWDIR/conf/local.arp に IP アドレスと MAC アドレスを記述することにより ARP 応答することが可能です 70

Thank you