Managed Firewall NATユースケース

Similar documents
なお ここでは ECL2.0 のロジカルネットワークを下記のような設定で作成しております お客さまの NW 構成に応じて適宜 アドレスを変更してください ロジカルネットワーク1( インターネット側 ) サブネット名 :sub-nw-inet 01 ネットワークアドレス : /

FW Migration Guide (Single)

R80.10_FireWall_Config_Guide_Rev1

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

Managed UTM NG例

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

R76/Gaia ブリッジ構成設定ガイド

FW Migration Guide(ipsec2)

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

IPIP(Si-RGX)

FW Migration Guide(ipsec1)

OS5.2_SSLVPN設定手順書

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 5 日ネットワールド 新規 I

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

User's Manual補足:遠隔監視

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

ECL2.0 ロードバランサーNetScaler VPX 10.5 VRRP設定

conf_example_260V2_inet_snat.pdf

クラウド接続 「Windows Azure」との接続

2

オートビュー

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

シナリオ:DMZ の設定

<4D F736F F F696E74202D20836C F815B834E D A838B83672E B8CDD8AB B83685D>

2

第5回 マインクラフト・プログラミング入門

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

Microsoft Word - (修正)101.BLU-103のVoIP設定方法.docx

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

Microsoft Word - ID32.doc

Si-R/Si-R brin シリーズ設定例

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

IPIP(Si-RG)

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

オートビュー

L2TP_IPSec-VPN設定手順書_

プレゼンタイトルを入力してください

目次 改訂履歴... はじめに... IPsec-VPN 設定.... ユーザ ユーザグループの作成..... ユーザの作成..... ユーザグループの作成.... ファイアウォールアドレスの作成.... VPN ウィザードの作成 VPN フェーズ 設定変更 ファイアウォール

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

インターネットVPN_IPoE_IPv6_fqdn

IPSEC(Si-RGX)

IBM Proventia Management/ISS SiteProtector 2.0

R80.10_Distributed_Config_Guide_Rev1

Microsoft Word - GXS?C?“?^?[?l?b?gVPN?T?[?r?X?N?‰?C?A?“?g?A?N?Z?X?Z?b?g?A?b?v?K?C?h GXS-V docx

ict2-.key

NAT の例と参照

GA-1190J

ios 用 IPSec-VPN 設定手順書 Ver. 1.0 承認確認担当 年 1 0 月 2 2 日株式会社ネットワールド S I 技術本部インフラソリューション技術部

IPCOMとWindows AzureのIPsec接続について

WatchGuard XTMv スタートアップガイド

拠点間 VPN オプション設定手手順書 お客客様環境お客様様宅環境のネットワーク構成を下図図に記入しておきます 接続方法 ( )PPPoE ( )Static ( )DHCP IP アドレス ( グローバル )... 接続の詳細情情報ユーーザ ID パスワード 接続の詳細情情報 IP アドレスネット

アライドテレシス ディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

注意 : ネットワークカメラの画像を回転させて表示した場合 モーション検知ウインドウは回転しないまま表示されますが 検知ウインドウは被写体に対して 指定した場所通りに動作します モーション検知ウインドウの縦横のサイズは 8 ピクセルで割り切れるサイズに自動調整されます モーション検知ウインドウを作成

稼働環境 GXS インターネット VPN( クライアントアクセス ) を利用して IE/EX サービスに接続するには 以下の環境が必要です OS サポート プロトコル Windows10 Enterprise, Pro (32bit/64bit) IP 全銀 WEBIEAS, FTP(Passive

IPSEC(Si-RG)

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 2 日ネットワールド 新規 I

PowerPoint Presentation

アマチュア無線のデジタル通信

Mobile Access簡易設定ガイド

PowerPoint プレゼンテーション

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

改訂履歴 版番号改訂日改訂者改訂内容.0 06 年 3 月 7 日ネットワールド 新規 I

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

情報通信の基礎

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

---> 1 <------IP configurationの1を選択 2. IP address: Subnet mask: > 2 < IP addressの1を選択 Enter IP address: 192.

スライド 1

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

Microsoft PowerPoint - RM-PDU_IP設定方法.ppt

Microsoft Word - ibaqs-setup2.doc

使用説明書

ZVH_VIEWER

tcp/ip.key

PowerPoint プレゼンテーション

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

Technical Information 文書番号 SYMC-SBG タイトル IPMI/iDRAC による情報採取方法 対象機器 Symantec Messaging Gateway 8300 Series ソフトウェアバージョン - 文書作成日 2011/2/22 最終更新日

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

AP-700/AP-4000 eazy setup

Syslog、SNMPトラップ監視の設定

1

Mobile Access IPSec VPN設定ガイド

マルチ VRFCE PE-CE リンクのプロビジョ ニング

スライド 1

HeartCoreインストールマニュアル

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

目次 2 1 PC Control Utility PD 1 について 動作環境

6.2 基本的なネットワーク構成 6.2 基本的なネットワーク構成 このトピックではネットワークの基本的な設定ファイルやコマンドの使用法ついて出題されます 例題 NIC に設定されている IP アドレスを確認するコマンドを選択せよ A) traceroute B) route C) ifconfig

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

SonicDICOM Cloud Connector インストール手順書 SonicDICOM Cloud Connector とは 検査装置が撮影した画像を自動的にクラウドへアップロー ドするためのソフトウェアです 1 前準備 クラウド上に PACS を作成する SonicDICOM Cloud

untitled

Microsoft Word - GXS?C?“?^?[?l?b?gVPN?T?[?r?X?N?‰?C?A?“?g?A?N?Z?X?Z?b?g?A?b?v?K?C?hE7530_v2.5.docx

Transcription:

Managed Firewall NAT ユースケース 2.0 版 2017/7/25 NTT Communications

更新履歴 版数更新日更新内容 1.0 2017/07/18 初版 2.0 2017/07/25 送信元 NAT NAPT に変更 ユースケースを追加

Use Case 1 Managed Firewall 送信先 NAT/DESTINATION NAT ~ 送信先のポート変換なし ~

Use Case 1 送信先 NAT( ポート変換無し ) < 例 > 公開 Web サーバーを ECL 上に構築し インターネットからアクセス インターネット上の全てのホストから ロジカルネットワーク ( サーバーセグメント ) に配置されている WebServer01 へアクセス グローバルアドレス宛にアクセスされた通信の送信先を WebServer01 のアドレスへ変換 ( 送信先 NAT) TCP 番の通信を許可する ( ポート変換はしない ) Client Client Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.250 192.168.1.0/24 153.x.x.10.254.252.253 port 4 Logical Network サーバーセグメント port 5 WebServer01.254.10 10.1.1.0/24 default gateway port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.10 WebServer01 default gateway

Use Case 1 送信先 NAT( ポート変換無し ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x.10 153.x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all 10.1.1.10 10.1.1.10 all ALL ALL WebServer01

前提 Use Case 1 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください WebServer01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

Use Case 1 手順 1-1 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x.10 153.x.x.10 Mapped IP Address 10.1.1.10 External Interface Port4 Port Forward ( チェック無 ) Protocol External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください

Use Case 1 手順 1-2 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 1 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 1 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 1 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 2 Managed Firewall 送信先 NAT/DESTINATION NAT ~ 送信先のポート変換あり ~

Use Case 2 送信先 NAT( ポート変換有り ) < 例 > 公開 Web サーバーを ECL 上に構築し インターネットからアクセス インターネット上の全てのホストから ロジカルネットワーク ( サーバーセグメント ) に配置されている WebServer01 へアクセス グローバルアドレス宛にアクセスされた通信の送信先を WebServer01 のアドレスへ変換 ( 送信先 NAT) TCP 番宛の通信を WebServer01 の TCP 番宛へポート変換する Client Client Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.250 192.168.1.0/24 153.x.x.10.254.252.253 port 4 Logical Network サーバーセグメント port 5 WebServer01.254.10 10.1.1.0/24 default gateway port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.10 WebServer01 default gateway

Use Case 2 送信先 NAT( ポート変換有り ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x.10 153.x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all 10.1.1.10 10.1.1.10 all ALL ALL WebServer01

前提 Use Case 2 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください WebServer01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

Use Case 2 手順 1-1 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x.10 153.x.x.10 Mapped IP Address 10.1.1.10 External Interface Port4 Port Forward ( チェック無 ) Protocol TCP External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください

Use Case 2 手順 1-2 サービスオブジェクト作成 サービスオブジェクトを作成 項目 設定値 Service Name HTTP Protocol Type TCP Source Port ( 空欄 ) Destination Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください 空欄はAnyとして定義されます

Use Case 2 手順 1-3 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 2 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 2 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバーに対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 2 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 3 Managed Firewall NAPT

Use Case 3 NAPT < 例 >ECL 上のホストがインターネット上の Web サイトへアクセス インターネット上の Web サイトに対して ロジカルネットワーク ( サーバーセグメント ) に配置されている Host01 からアクセス Host01 アドレスからの通信の送信元をグローバルアドレスに変換してアクセス (NAPT) TCP 番の通信を許可する ( ポート変換はしない ) Web Site all Web Site all Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.20 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.254.252.253.250 192.168.1.0/24 153.x.x.20 port 4 Logical Network サーバーセグメント port 5.254.20 10.1.1.0/24 port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.20 Host01 default gateway Host01 default gateway

Use Case 3 < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Web Site 行きの通信 NAPT 参考 : 戻りの通信 送信元 送信先 送信元 送信先 153.x.x.20 all all 153.x.x.20 ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 10.1.1.20 ALL all all 10.1.1.20 ALL Host01

前提 Use Case 3 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 :NAPT で使用するグローバル IP アドレス ( 例 :153.x.x.20/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください Host01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

Use Case 3 手順 1-1 アドレスオブジェクト作成 Host01 のアドレスオブジェクトを作成 項目 設定値 Address Name Host_10.1.1.20 Type Subnet IP Address 10.1.1.20 Subnet Mask 255.255.255.255 Interface Port5 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 3 手順 1-2 NAT オブジェクト作成 NAPT 用の Source NAT オブジェクトを作成 1 つのグローバル IP アドレスを割り当てる場合は Start IP Address と End IP Address に同じ設定値 (IP アドレス ) を入力してください 項目 NAT Name Start IP Address End IP Address 設定値 SNAT_153.x.x.20 153.x.x.20 153.x.x.20 設定値を投入後 [ 保存 ] ボタンをクリックしてください Source NAT オブジェクトは 送信元 IP アドレスの変更後の IP アドレスを定義してください Source NAT オブジェクトの IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください

Use Case 3 手順 1-3 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 3 手順 2-1 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Source Address Outgoing Interface Port5 Host_10.1.1.20 Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAT mode NAPT Object Use NAPT Object SNAT_153.x.x.20 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNSサーバーなどで名前解決している場合は 必要な通信を許可してください

Use Case 3 手順 2-1 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port5 Source Address Host_10.1.1.20 Outgoing Interface Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAPT Object SNAT_153.x.x.20 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNS サーバーなどで名前解決している場合は 必要な通信を許可してください

Use Case 3 手順 2-2 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 4 Managed Firewall 送信先 NAT+NAPT 1 つのグローバルアドレスを利用した Use Case 1 と Use Case 3 の組み合わせ例

Use Case 4 送信先 NAT+NAPT < 例 > 公開 Web サーバー (Host01) を ECL 上に構築し インターネットからアクセス ( 送信先 NAT) 公開 Web サーバー (Host01) からインターネット上の Web サイトへアクセス (NAPT) 1 つのグローバル IP アドレスを利用して設定 Client Web Site all Client Web Site all Internet Internet Internet-GW Logical Network 外部セグメント Managed Firewall.249 port 4.254.251.250 192.168.1.0/24 153.x.x.10 Internet-GW Logical Network 外部セグメント port 4 Managed Firewall.249.251.250 192.168.1.0/24 153.x.x.10.254.252.253 port 4 Logical Network サーバーセグメント port 5 Host01.254.10 10.1.1.0/24 default gateway port 5.252.253 port 5.254 Logical Network 10.1.1.0/24 サーバーセグメント.10 Host01 default gateway

Use Case 4 送信先 NAT( ポート変換無し ) < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Client 行きの通信 参考 : 戻りの通信 送信元 送信先 送信元 送信先 all 153.x.x.10 153.x.x.10 all ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 all 10.1.1.10 10.1.1.10 all ALL ALL Host01

Use Case 4 < 変換イメージ > 上段 :IP アドレス下段 : ポート番号 Web Site 行きの通信 NAPT 参考 : 戻りの通信 送信元 送信先 送信元 送信先 153.x.x.10 all all 153.x.x.10 ALL ALL Managed Firewall ステートフルインスペクション機能により 行きの通信をポリシーとして許可設定すると 戻りの通信は自動的に許可されます 送信元 送信先 送信元 送信先 10.1.1.10 ALL all all 10.1.1.10 ALL Host01

前提 Use Case 4 ユースケースに応じた以下の作業が 完了していることを前提とします Managed Firewall の作成 Managed Firewall のインターフェース設定 / ロジカルネットワークへの接続 Managed Firewall のルーティング設定 ( デフォルトゲートウェイの設定 ) Destination IP :0.0.0.0 Subnet Mask :0.0.0.0 Gateway アドレス :Internet-GW のゲートウェイ IPv4 アドレス ( 例 :192.168.1.251) Interface: デフォルトゲートウェイを設定するポート ( 例 :Port 4) その他必要に応じて ルーティング設定を追加してください Internet-GW のルーティング設定 宛先 : 送信先 NAT/NAPT で使用するグローバル IP アドレス ( 例 :153.x.x.10/32) ネクストホップ : シングル Managed Firewll の当該インターフェースの IP アドレス ( 例 :192.168.1.254) : Managed Firewll の当該インターフェースの VRRP IP アドレス ( 例 :192.168.1.254) その他必要に応じて ルーティング設定を追加してください Host01 にて必要に応じた設定 ルーティング設定 iptables/windows ファイアウォールなどの設定 名前解決設定など

Use Case 4 手順 1-1 アドレスオブジェクト作成 Host01 のアドレスオブジェクトを作成 項目 設定値 Address Name Host_10.1.1.10 Type Subnet IP Address 10.1.1.10 Subnet Mask 255.255.255.255 Interface Port5 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 4 手順 1-2 NAT オブジェクト作成 Destination NAT オブジェクトを作成 項目 設定値 NAT Name External IP Address DNAT_153.x.x.10 153.x.x.10 Mapped IP Address 10.1.1.10 External Interface Port4 Port Forward ( チェック無 ) Protocol External Service Port Mapped Port 設定値を投入後 [ 保存 ] ボタンをクリックしてください External IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください External IP アドレスと Mapped IP アドレスは 同一の IP アドレスを使用しないでください

Use Case 4 手順 1-3 NAT オブジェクト作成 NAPT 用の Source NAT オブジェクトを作成 1 つのグローバル IP アドレスを割り当てる場合は Start IP Address と End IP Address に同じ設定値 (IP アドレス ) を入力してください 項目 NAT Name Start IP Address End IP Address 設定値 SNAT_153.x.x.10 153.x.x.10 153.x.x.10 設定値を投入後 [ 保存 ] ボタンをクリックしてください Source NAT オブジェクトは 送信元 IP アドレスの変更後の IP アドレスを定義してください Source NAT オブジェクトの IP アドレスは 他の機器に実際に設定されている ( 割り当てられている ) IP アドレスは使用しないでください

Use Case 4 手順 1-4 オブジェクトの保存 ファイアウォールポリシーを作成する前にデバイス管理画面の [ 変更の保存 ] をして オブジェクトを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

Use Case 4 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバー (Host01) に対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAT mode NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 4 手順 2-1 ファイアウォールポリシー作成 インターネットから Web サーバー (Host01) に対して 送信先 NAT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port4 Source Address all Outgoing Interface Port5 Destination Destination Address Type NAT Object Destination NAT DNAT_153.x.x.10 Service HTTP Action ACCEPT NAT ( チェック無 ) NAPT Object Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください

Use Case 4 手順 2-2 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Source Address Outgoing Interface Port5 Host_10.1.1.10 Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAT mode NAPT Object Use NAPT Object SNAT_153.x.x.10 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNSサーバーなどで名前解決している場合は 必要な通信を許可してください

Use Case 4 手順 2-2 ファイアウォールポリシー作成 ECL 上の Host01 がインターネット上の Web サイトに対して NAPT を利用してアクセスするファイアウォールポリシーの作成 項目 設定値 Enable ( チェック有 ) Source Incoming Interface Port5 Source Address Host_10.1.1.10 Outgoing Interface Port4 Destination Destination Address Type Address Object Destination NAT all Service HTTP Action ACCEPT NAT ( チェック有 ) NAPT Object SNAT_153.x.x.10 Log ( 任意 ) 既成オブジェクト 設定値を投入後 [ 保存 ] ボタンをクリックしてください DNS サーバーなどで名前解決している場合は 必要な通信を許可してください

Use Case 4 手順 2-3 ポリシーの保存 デバイス管理の [ 変更の保存 ] をして ファイアウォールポリシーを反映 保存が完了すると [ デバイスからの同期 ] ボタンのみ表示されます

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック