managed firewall natユースケース...internet .250 .251.254 .252 .253 port 4 .254 .252 .253 port...
Post on 29-May-2020
2 Views
Preview:
TRANSCRIPT
送信先NAT(ポート変換無し)
<例>公開WebサーバーをECL上に構築し、インターネットからアクセス
• インターネット上の全てのホストから、ロジカルネットワーク(サーバーセグメント)に配置されているWebServer01へアクセス
• グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換(送信先NAT)、TCP 80番の通信を許可する(ポート変換はしない)
Single HA
Internet-GW
Managed Firewall
WebServer01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.10
Internet
.250 .251
.254 .252 .253 port 4
.254 .252 .253 port 5
Internet-GW
Managed Firewall
WebServer01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.10
default gateway
Internet
.250 .251
.254
.254
default gateway
HA Single
153.x.x.10 153.x.x.10
Use Case 1
80
80
80
80
Client Client
送信先NAT(ポート変換無し) Single HA Use Case 1
80
送信元 送信先
送信元 送信先
Managed Firewall
Client
WebServer01
all 153.x.x.10
all
80
10.1.1.10
※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。
80
送信元 送信先
all 153.x.x.10
<変換イメージ>
送信元 送信先
all
80
10.1.1.10
行きの通信 参考:戻りの通信
ALL
上段:IPアドレス 下段:ポート番号
ALL ALL
ALL
前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NATで使用するグローバルIPアドレス(例:153.x.x.10/32)
• ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)
※その他必要に応じて、ルーティング設定を追加してください。
WebServer01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
Use Case 1 Single HA
手順①-1 NATオブジェクト作成
項目 設定値
NAT Name DNAT_153.x.x.10
External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10
External Interface Port4
Port Forward (チェック無)
Protocol
External Service Port
Mapped Port
Single HA Use Case 1
※ External IPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。
※ External IPアドレスとMapped IPアドレスは、 同一のIPアドレスを使用しないでください。
Destination NATオブジェクトを作成
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-2 オブジェクトの保存 Single HA Use Case 1
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、 オブジェクトを反映
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4
Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※
Action ACCEPT
NAT (チェック無)
NAT mode
NAPT Object
Log (任意)
※既成オブジェクト
Single Use Case 1
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4
Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※
Action ACCEPT
NAT (チェック無)
NAPT Object
Log (任意)
※既成オブジェクト
HA Use Case 1
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-2 ポリシーの保存
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映
Single HA Use Case 1
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
送信先NAT(ポート変換有り)
<例>公開WebサーバーをECL上に構築し、インターネットからアクセス
• インターネット上の全てのホストから、ロジカルネットワーク(サーバーセグメント)に配置されているWebServer01へアクセス
• グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換(送信先NAT)、TCP 80番宛の通信をWebServer01のTCP 8080番宛へポート変換する
Single HA
Internet-GW
Managed Firewall
WebServer01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.10
Internet
.250 .251
.254 .252 .253 port 4
.254 .252 .253 port 5
Internet-GW
Managed Firewall
WebServer01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.10
default gateway
Internet
.250 .251
.254
.254
default gateway
HA Single
153.x.x.10 153.x.x.10
Use Case 2
80 80
8080 8080
Client Client
送信先NAT(ポート変換有り) Single HA Use Case 2
80
送信元 送信先
送信元 送信先
Managed Firewall
Client
WebServer01
all 153.x.x.10
all
8080
10.1.1.10
※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。
80
送信元 送信先
all 153.x.x.10
<変換イメージ>
送信元 送信先
all
8080
10.1.1.10
行きの通信 参考:戻りの通信
ALL
上段:IPアドレス 下段:ポート番号
ALL ALL
ALL
前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NATで使用するグローバルIPアドレス(例:153.x.x.10/32)
• ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)
※その他必要に応じて、ルーティング設定を追加してください。
WebServer01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
Use Case 2 Single HA
手順①-1 NATオブジェクト作成
Destination NATオブジェクトを作成
項目 設定値
NAT Name DNAT_153.x.x.10
External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10
External Interface Port4
Port Forward (チェック無)
Protocol TCP
External Service Port 80
Mapped Port 8080
Single HA Use Case 2
※ External IPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。
※ External IPアドレスとMapped IPアドレスは、 同一のIPアドレスを使用しないでください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-2 サービスオブジェクト作成
サービスオブジェクトを作成
項目 設定値
Service Name HTTP8080
Protocol Type TCP
Source Port (空欄) ※
Destination Port 8080
Single HA Use Case 2
※ 空欄はAnyとして定義されます。
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-3 オブジェクトの保存 Single HA Use Case 2
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、 オブジェクトを反映
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4
Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP8080
Action ACCEPT
NAT (チェック無)
NAT mode
NAPT Object
Log (任意)
Single Use Case 2
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバーに対して、送信先NATを利用してアクセスする ファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4
Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP8080
Action ACCEPT
NAT (チェック無)
NAPT Object
Log (任意)
※既成オブジェクト
HA Use Case 2
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-2 ポリシーの保存
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映
Single HA Use Case 2
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
NAPT Single HA
Internet-GW
Managed Firewall
Host01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.20
Internet
.250 .251
.254 .252 .253
153.x.x.20
port 4
.254 .252 .253 port 5
Internet-GW
Managed Firewall
Host01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.20
default gateway
Internet
.250 .251
.254
.254
default gateway
HA Single all all
<例>ECL上のホストがインターネット上のWebサイトへアクセス
• インターネット上のWebサイトに対して、ロジカルネットワーク(サーバーセグメント)に配置されているHost01からアクセス
• Host01アドレスからの通信の送信元をグローバルアドレスに変換してアクセス(NAPT)、 TCP 80番の通信を許可する(ポート変換はしない)
153.x.x.20
Use Case 3
80 80
80 80
Web Site Web Site
NAPT Single HA Use Case 3
80
送信元 送信先
送信元 送信先
Managed Firewall
Web Site
Host01
153.x.x.20 all
10.1.1.20
80
all
※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。
送信元 送信先
<変換イメージ>
送信元 送信先
行きの通信 参考:戻りの通信
ALL
上段:IPアドレス 下段:ポート番号
80
153.x.x.20 all
80
all 10.1.1.20
ALL
ALL
ALL
前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:NAPTで使用するグローバルIPアドレス(例:153.x.x.20/32)
• ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)
※その他必要に応じて、ルーティング設定を追加してください。
Host01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
Use Case 3 Single HA
手順①-1 アドレスオブジェクト作成
Host01のアドレスオブジェクトを作成
項目 設定値
Address Name Host_10.1.1.20
Type Subnet
IP Address 10.1.1.20
Subnet Mask 255.255.255.255
Interface Port5
Single HA Use Case 3
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-2 NATオブジェクト作成
NAPT用のSource NATオブジェクトを作成
項目 設定値
NAT Name SNAT_153.x.x.20
Start IP Address 153.x.x.20
End IP Address 153.x.x.20
Single HA
※ Source NATオブジェクトは、送信元IPアドレスの変更後のIPアドレスを定義してください。
※ Source NATオブジェクトのIPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。
Use Case 3
1つのグローバルIPアドレスを割り当てる場合は、Start IP Addressと End IP Addressに同じ設定値(IPアドレス)を入力してください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-3 オブジェクトの保存 Single HA Use Case 3
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、 オブジェクトを反映
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
手順②-1 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスするファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.20
Destination
Outgoing Interface Port4
Destination Address Type Address Object
Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAT mode Use NAPT Object
NAPT Object SNAT_153.x.x.20
Log (任意)
※既成オブジェクト
Single Use Case 3
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-1 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスするファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.20
Destination
Outgoing Interface Port4
Destination Address Type Address Object
Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAPT Object SNAT_153.x.x.20
Log (任意)
※既成オブジェクト
HA Use Case 3
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-2 ポリシーの保存
デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映
Single HA Use Case 3
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
送信先NAT+NAPT
<例>公開Webサーバー(Host01)をECL上に構築し、インターネットからアクセス(送信先NAT) 公開Webサーバー(Host01)からインターネット上のWebサイトへアクセス(NAPT) 1つのグローバルIPアドレスを利用して設定
Single HA
Internet-GW
Managed Firewall
Host01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.10
Internet
.250 .251
.254 .252 .253 port 4
.254 .252 .253 port 5
Internet-GW
Managed Firewall
Host01
Logical Network 外部セグメント
Logical Network サーバーセグメント
port 4
port 5
192.168.1.0/24
10.1.1.0/24
.249
.10
default gateway
Internet
.250 .251
.254
.254
default gateway
HA Single
153.x.x.10 153.x.x.10
Use Case 4
80
80
80
80
Client Client
80
80 all
Web Site
80
80 all
Web Site
送信先NAT(ポート変換無し) Single HA Use Case 4
80
送信元 送信先
送信元 送信先
Managed Firewall
Client
Host01
all 153.x.x.10
all
80
10.1.1.10
※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。
80
送信元 送信先
all 153.x.x.10
<変換イメージ>
送信元 送信先
all
80
10.1.1.10
行きの通信 参考:戻りの通信 上段:IPアドレス 下段:ポート番号
ALL
ALL ALL
ALL
NAPT Single HA Use Case 4
80
送信元 送信先
送信元 送信先
Managed Firewall
Web Site
Host01
153.x.x.10 all
10.1.1.10
80
all
※ ステートフルインスペクション機能により、 行きの通信をポリシーとして許可設定すると、 戻りの通信は自動的に許可されます。
送信元 送信先
<変換イメージ>
送信元 送信先
行きの通信 参考:戻りの通信
ALL
上段:IPアドレス 下段:ポート番号
80
153.x.x.10 all
80
all 10.1.1.10
ALL
ALL
ALL
前提
ユースケースに応じた以下の作業が、完了していることを前提とします。
Managed Firewallの作成
Managed Firewallのインターフェース設定/ロジカルネットワークへの接続
Managed Firewallのルーティング設定(デフォルトゲートウェイの設定)
• Destination IP :0.0.0.0
• Subnet Mask :0.0.0.0
• Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
• Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
※その他必要に応じて、ルーティング設定を追加してください。
Internet-GWのルーティング設定
• 宛先:送信先NAT/NAPTで使用するグローバルIPアドレス(例:153.x.x.10/32)
• ネクストホップ :シングル Managed Firewllの当該インターフェースのIPアドレス(例:192.168.1.254) :HA Managed Firewllの当該インターフェースのVRRP IPアドレス(例:192.168.1.254)
※その他必要に応じて、ルーティング設定を追加してください。
Host01にて必要に応じた設定
• ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など
Use Case 4 Single HA
手順①-1 アドレスオブジェクト作成
Host01のアドレスオブジェクトを作成
項目 設定値
Address Name Host_10.1.1.10
Type Subnet
IP Address 10.1.1.10
Subnet Mask 255.255.255.255
Interface Port5
Single HA Use Case 4
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-2 NATオブジェクト作成
Destination NATオブジェクトを作成
項目 設定値
NAT Name DNAT_153.x.x.10
External IP Address 153.x.x.10
Mapped IP Address 10.1.1.10
External Interface Port4
Port Forward (チェック無)
Protocol
External Service Port
Mapped Port
Single HA Use Case 4
※ External IPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。
※ External IPアドレスとMapped IPアドレスは、 同一のIPアドレスを使用しないでください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-3 NATオブジェクト作成
NAPT用のSource NATオブジェクトを作成
項目 設定値
NAT Name SNAT_153.x.x.10
Start IP Address 153.x.x.10
End IP Address 153.x.x.10
Single HA
※ Source NATオブジェクトは、送信元IPアドレスの変更後のIPアドレスを定義してください。
※ Source NATオブジェクトのIPアドレスは、 他の機器に実際に設定されている(割り当てられている) IPアドレスは使用しないでください。
Use Case 4
1つのグローバルIPアドレスを割り当てる場合は、Start IP Addressと End IP Addressに同じ設定値(IPアドレス)を入力してください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順①-4 オブジェクトの保存 Single HA Use Case 4
ファイアウォールポリシーを作成する前にデバイス管理画面の[変更の保存]をして、 オブジェクトを反映
保存が完了すると、[デバイスからの同期]ボタンのみ表示されます。
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバー(Host01)に対して、送信先NATを利用してアクセス するファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4
Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※
Action ACCEPT
NAT (チェック無)
NAT mode
NAPT Object
Log (任意)
※既成オブジェクト
Single Use Case 4
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-1 ファイアウォールポリシー作成
インターネットからWebサーバー(Host01)に対して、送信先NATを利用してアクセス するファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port4
Source Address all ※
Destination
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTP ※
Action ACCEPT
NAT (チェック無)
NAPT Object
Log (任意)
※既成オブジェクト
HA Use Case 4
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-2 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスするファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.10
Destination
Outgoing Interface Port4
Destination Address Type Address Object
Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAT mode Use NAPT Object
NAPT Object SNAT_153.x.x.10
Log (任意)
※既成オブジェクト
Single Use Case 4
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。
設定値を投入後、[保存]ボタンをクリックしてください。
手順②-2 ファイアウォールポリシー作成
ECL上のHost01がインターネット上のWebサイトに対して、NAPTを利用してアクセスするファイアウォールポリシーの作成
項目 設定値
Enable (チェック有)
Source Incoming Interface Port5
Source Address Host_10.1.1.10
Destination
Outgoing Interface Port4
Destination Address Type Address Object
Destination NAT all ※
Service HTTP ※
Action ACCEPT
NAT (チェック有)
NAPT Object SNAT_153.x.x.10
Log (任意)
※既成オブジェクト
HA Use Case 4
DNSサーバーなどで名前解決している場合は、必要な通信を許可してください。
設定値を投入後、[保存]ボタンをクリックしてください。
top related