Managed Firewall NAT ユースケース 2.0 版 2017/7/25 NTT Communications
更新履歴 版数更新日更新内容 1.0 2017/07/18 初版 2.0 2017/07/25 送信元 NAT NAPT に変更 ユースケースを追加
Use Case 1 Managed Firewall 送信先 NAT/DESTINATION NAT ~ 送信先のポート変換なし ~
Use Case 1 送信先 NAT( ポート変換無し ) < 例 > 公開 Web サーバーを ECL 上に構築し インターネットからアクセス インターネット上の全てのホストから ロジカルネットワーク ( サーバーセグメント ) に配置されている WebServer01 へアクセス グローバルアドレス宛にアクセスされた通信の送信先を WebServer01 のアドレスへ変換 ( 送信先 NAT) TCP 番の通信を許可する ( ポート変換はしない ) Client Client Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.250 192.168.1.0/24 153.x.x.10.254.252.253 port 4 Logical Network サーバーセグメント port 5 WebServer01.254.10 10.1.1.0/24 default gateway port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.10 WebServer01 default gateway
Use Case 1 送信先 NAT( ポート変換無し ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x.10 153.x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all 10.1.1.10 10.1.1.10 all ALL ALL WebServer01
前提 Use Case 1 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください WebServer01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など
Use Case 1 手順 1-1 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x.10 153.x.x.10 Mapped IP Address 10.1.1.10 External Interface Port4 Port Forward ( チェック無 ) Protocol External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください
Use Case 1 手順 1-2 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 1 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 1 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 1 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 2 Managed Firewall 送信先 NAT/DESTINATION NAT ~ 送信先のポート変換あり ~
Use Case 2 送信先 NAT( ポート変換有り ) < 例 > 公開 Web サーバーを ECL 上に構築し インターネットからアクセス インターネット上の全てのホストから ロジカルネットワーク ( サーバーセグメント ) に配置されている WebServer01 へアクセス グローバルアドレス宛にアクセスされた通信の送信先を WebServer01 のアドレスへ変換 ( 送信先 NAT) TCP 番宛の通信を WebServer01 の TCP 番宛へポート変換する Client Client Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.250 192.168.1.0/24 153.x.x.10.254.252.253 port 4 Logical Network サーバーセグメント port 5 WebServer01.254.10 10.1.1.0/24 default gateway port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.10 WebServer01 default gateway
Use Case 2 送信先 NAT( ポート変換有り ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x.10 153.x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all 10.1.1.10 10.1.1.10 all ALL ALL WebServer01
前提 Use Case 2 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください WebServer01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など
Use Case 2 手順 1-1 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x.10 153.x.x.10 Mapped IP Address 10.1.1.10 External Interface Port4 Port Forward ( チェック無 ) Protocol TCP External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください
Use Case 2 手順 1-2 サービスオブジェクト作成 サービスオブジェクトを作成 項目 設定値 Service Name HTTP Protocol Type TCP Source Port ( 空欄 ) Destination Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください 空欄はAnyとして定義されます
Use Case 2 手順 1-3 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 2 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 2 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 2 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 3 Managed Firewall NAPT
Use Case 3 NAPT < 例 >ECL 上のホストがインターネット上の Web サイトへアクセス インターネット上の Web サイトに対して ロジカルネットワーク ( サーバーセグメント ) に配置されている Host01 からアクセス Host01 アドレスからの通信の送信元をグローバルアドレスに変換してアクセス (NAPT) TCP 番の通信を許可する ( ポート変換はしない ) Web Site all Web Site all Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.20 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.254.252.253.250 192.168.1.0/24 153.x.x.20 port 4 Logical Network サーバーセグメント port 5.254.20 10.1.1.0/24 port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.20 Host01 default gateway Host01 default gateway
Use Case 3 < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Web Site 行きの通信 NAPT 参考 : 戻りの通信 送信元 送信先 送信元 送信先 153.x.x.20 all all 153.x.x.20 ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 10.1.1.20 ALL all all 10.1.1.20 ALL Host01
前提 Use Case 3 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 :NAPT で使用するグローバル IP アドレス ( 例 :153.x.x.20/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください Host01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など
Use Case 3 手順 1-1 アドレスオブジェクト作成 Host01 のアドレスオブジェクトを作成 項目 設定値 Address Name Host_10.1.1.20 Type Subnet IP Address 10.1.1.20 Subnet Mask 255.255.255.255 Interface Port5 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 3 手順 1-2 NAT オブジェクト作成 NAPT 用の Source NAT オブジェクトを作成 1 つのグローバル IP アドレスを割り当てる場合は Start IP Address と End IP Address に同じ設定値 (IP アドレス ) を入力してください 項目 NAT Name Start IP Address End IP Address 設定値 SNAT_153.x.x.20 153.x.x.20 153.x.x.20 設定値を投入後 [ 保存 ] ボタンをクリックしてください Source NAT オブジェクトは 送信元 IP アドレスの変更後の IP アドレスを定義してください Source NAT オブジェクトの IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください
Use Case 3 手順 1-3 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 3 手順 2-1 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Source Address Outgoing Interface Port5 Host_10.1.1.20 Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAT mode NAPT Object Use NAPT Object SNAT_153.x.x.20 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNSサーバーなどで名前解決している場合は 必要な通信を許可してください
Use Case 3 手順 2-1 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port5 Source Address Host_10.1.1.20 Outgoing Interface Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAPT Object SNAT_153.x.x.20 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNS サーバーなどで名前解決している場合は 必要な通信を許可してください
Use Case 3 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 4 Managed Firewall 送信先 NAT+NAPT 1 つのグローバルアドレスを利用した Use Case 1 と Use Case 3 の組み合わせ例
Use Case 4 送信先 NAT+NAPT < 例 > 公開 Web サーバー (Host01) を ECL 上に構築し インターネットからアクセス ( 送信先 NAT) 公開 Web サーバー (Host01) からインターネット上の Web サイトへアクセス (NAPT) 1 つのグローバル IP アドレスを利用して設定 Client Web Site all Client Web Site all Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.250 192.168.1.0/24 153.x.x.10.254.252.253 port 4 Logical Network サーバーセグメント port 5 Host01.254.10 10.1.1.0/24 default gateway port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.10 Host01 default gateway
Use Case 4 送信先 NAT( ポート変換無し ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x.10 153.x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all 10.1.1.10 10.1.1.10 all ALL ALL Host01
Use Case 4 < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Web Site 行きの通信 NAPT 参考 : 戻りの通信 送信元 送信先 送信元 送信先 153.x.x.10 all all 153.x.x.10 ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 10.1.1.10 ALL all all 10.1.1.10 ALL Host01
前提 Use Case 4 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT/NAPT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください Host01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など
Use Case 4 手順 1-1 アドレスオブジェクト作成 Host01 のアドレスオブジェクトを作成 項目 設定値 Address Name Host_10.1.1.10 Type Subnet IP Address 10.1.1.10 Subnet Mask 255.255.255.255 Interface Port5 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 4 手順 1-2 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x.10 153.x.x.10 Mapped IP Address 10.1.1.10 External Interface Port4 Port Forward ( チェック無 ) Protocol External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください
Use Case 4 手順 1-3 NAT オブジェクト作成 NAPT 用の Source NAT オブジェクトを作成 1 つのグローバル IP アドレスを割り当てる場合は Start IP Address と End IP Address に同じ設定値 (IP アドレス ) を入力してください 項目 NAT Name Start IP Address End IP Address 設定値 SNAT_153.x.x.10 153.x.x.10 153.x.x.10 設定値を投入後 [ 保存 ] ボタンをクリックしてください Source NAT オブジェクトは 送信元 IP アドレスの変更後の IP アドレスを定義してください Source NAT オブジェクトの IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください
Use Case 4 手順 1-4 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます
Use Case 4 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバー (Host01) に対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 4 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバー (Host01) に対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください
Use Case 4 手順 2-2 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Source Address Outgoing Interface Port5 Host_10.1.1.10 Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAT mode NAPT Object Use NAPT Object SNAT_153.x.x.10 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNSサーバーなどで名前解決している場合は 必要な通信を許可してください
Use Case 4 手順 2-2 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port5 Source Address Host_10.1.1.10 Outgoing Interface Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAPT Object SNAT_153.x.x.10 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNS サーバーなどで名前解決している場合は 必要な通信を許可してください
Use Case 4 手順 2-3 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます