2.1.5.3. Destination NAT の設定¶
ファイアウォールポリシーで使用する通信の宛先に対するNATオブジェクトの設定について説明します。
ポートフォワーディングを利用する場合の定義もあります。
Destination NAT は デバイス管理 から設定します。
注釈
- HA構成で、インターフェースと同じネットワーク内のIPアドレスをNAT設定する場合は、プロキシーARPの設定が必要です。プロキシーARPの設定 を参照し、お客さま環境に応じて設定してください。
2.1.5.3.2. Destination NAT 設定項目¶
Destination NAT の設定項目は、以下の通りです。
| 項目 | 値 | 説明 |
|---|---|---|
| NAT Name | (半角英数字) | Destination NATの名前を入力します。
日本語など2バイトの文字と次の記号は使用できません。
< > ( ) # ' " スペース(空白)
|
| SSL-Offloading | □ または ✔ | チェックするとこのオブジェクトでSSL-Offloadingを有効化します。
UTMでのみ設定可能な項目となります。
|
| External IP Address | xxx.xxx.xxx.xxx | 仮想IPアドレス(通信を受付ける外側のIPアドレス)を10進表記で入力します。
External IP addressはMapped IP addressに変換されます。
|
| Mapped IP Address | xxx.xxx.xxx.xxx | 変換する内側のIPアドレスを10進表記で入力します。
External IP addressはMapped IP addressに変換されます。
|
| External Interface | Port[4-10] | このアドレスを関連付ける(通信を受ける)外側のインターフェースを選択します。 |
| Port Forward | □ または ✔ | チェックするとこのオブジェクトでポート フォワーディングを有効にします。 |
| Comment | (半角英数字) | コメントをつけたい場合は入力します。
255文字以内で、日本語など2バイトの文字は使用できません。
|
Port Forward をチェックした場合の追加設定項目は、以下の通りです。
| 項目 | 値 | 説明 |
|---|---|---|
| Protocol | TCPまたはUDP | ポート フォワーディングするプロトコルを選択します。 |
| External Service Port | (半角数字) | External側のサービス ポート番号を入力します。
- (ハイフン)で連結してRangeを指定することもできます。
|
| Mapped Port | (半角数字) | Internal側のサービス ポート番号を入力します。
- (ハイフン)で連結してRangeを指定することもできます。
|
SSL-Offloadingをチェックした場合の追加設定項目は、以下の通りです。
| 項目 | 値 | 説明 |
|---|---|---|
| External Service Port | (半角数字) | External側のサービス ポート番号を入力します。 |
| SSL-Mode | (リストから選択) | halfまたはfull のいずれか選択します。
halfを選ぶとInternal側がHTTPSからHTTP通信にプロトコル変換されます。
|
| SSL/TLS Encryption Level | (リストから選択) | 暗号レベルをMediumかHigh、またはCustomを選択します。
Customを選択した場合は、Ciphers for TLS1.xにて暗号スイートを選択します。
|
| Realserver IP Address | xxx.xxx.xxx.xxx | Internal側のIPアドレスを10進表記で入力します。
External IP addressはRealserver IPに変換されます。
|
| Realserver Port | (半角数字) | Internal側のサービス ポート番号を入力します。 |
| Maximum Supported HTTP Versions | (リストから選択) | HTTP/1.xまたはHTTP/2のいずれか選択します。 |
| SSL-Certificate | (リストから選択) | あらかじめ準備した証明書から選択します。 |
| TLS 1.2 | □ または ✔ | チェックするとこのオブジェクトでTLS1.2を有効にします。 |
| TLS 1.3 | □ または ✔ | チェックするとこのオブジェクトでTLS1.3を有効にします。 |
| Ciphers for TLS 1.2 | (リストから選択) | TLS 1.2を有効化すると表示されます。SSL/TLS Encryption Level にてCustom選択している場合のみ暗号スイートを選択します。
設定可能な暗号スイートは、 暗号スイート一覧 を参照してください。
|
| Ciphers for TLS 1.3 | (リストから選択) | TLS 1.3を有効化すると表示されます。SSL/TLS Encryption Level にてCustom選択している場合のみ暗号スイートを選択します。
設定可能な暗号スイートは、 暗号スイート一覧 を参照してください。
|
注釈
- SSL Offloading設定ではHTTPSパケットを復号処理します。セキュリティ プロファイルを適用することで暗号化通信のインスペクションが可能となります。なおHTTPS以外のプロトコルについては復号処理の対象外となります。
- 暗号化通信Maximum Supported HTTP VersionsにHTTP/1.xを選んだ場合、External側の対向装置に合わせてHTTP1.1またはHTTP1.0で通信が行われます。HTTP/2を選んだ場合、External側の対向装置に合わせてHTTP/2がHTTP1.1やHTTP1.0よりも優先的に選択されて通信されます。ただしInternal側の対向装置がHTTP/2に対応していない場合は通信ができなくなる可能性があります。ご利用の環境に応じて適切な値へ設定をお願います。
- TLS 1.2とTLS 1.3についてはどちらか一方、または両方を有効にしてください。SSL/TLS Encryption LevelでCustomを設定した場合は、TLS 1.2/TLS 1.3で有効にしたバージョンと一致する暗号スイートをCiphers for TLS 1.2/Ciphers for TLS 1.3からそれぞれ1つ以上選択してください。これらの制約を無視してオブジェクトを保存しようとするとエラーになります。
- Ciphers for TLS 1.2とCiphers for TLS 1.3はExternal側の対向装置との通信で利用する暗号スイートをカスタムで指定するものとなります。なおHTTP/2 over TLSで通信する場合は、RFC7540で”Cipher Suite Black List”に記載のない暗号スイートを選択してください。そうでない場合、クライアントソフトによってはブロック動作が発生し通信ができなくなる可能性があります。ご利用の環境に応じて適切な値へ設定をお願います。
2.1.5.3.3. 使用禁止 IP address¶
次のIPアドレスは、インターフェース、ルーティング、アドレスオブジェクト、Destination NAT、Source NATに使用することができません。
これらのIPアドレスを使用すると、正常に動作しない場合があります。
- 100.65.0.0/16
- 100.66.0.0/15
- 100.68.0.0/14
- 100.72.0.0/14
- 100.76.0.0/15
- 100.78.0.0/16
- 100.80.0.0/13
- 100.88.0.0/15
- 100.91.0.0/16
- 100.92.0.0/14
- 100.126.0.0/15
また、他の機器に割り当てられたIPアドレスは Destination NAT および Source NAT に使用することができません。
Destination NAT または Source NAT のオブジェクトとして登録されたIPアドレスは、MACアドレスとして Managed FirewallおよびManaged UTMのMACアドレスを使用します。
このため他の機器に割り当てられたIPアドレスをDestination NATまたはSource NATのIPアドレスに使用すると、正常に機能しません。
2.1.5.3.4. Destination NAT 追加¶
- 画面左側のオブジェクト画面から Destination NAT をクリックします。
NAT Object ‣ Destination NAT
画面右側の Destination NAT 画面で[オブジェクトを追加]をクリックします。
- 設定値を入力して、[保存]をクリックします。 設定項目の詳細は、 Destination NAT 設定項目 を参照してください。
- [変更を保存]をクリックして、設定をデバイスへ適用します。
注釈
- FTP通信においてDestination NATのPort Forward機能によりポートフォワーディングを行った場合、正常に通信できない場合がございます。FTP通信をご利用いただく際はPort Forward機能を無効にしてご利用ください。
注釈
- ファイアウォールポリシーを作成する前に、必ずオブジェクトの保存[変更の保存]を実施してください。
2.1.5.3.5. Destination NAT 変更(編集/複製/削除)¶
- 画面左側のオブジェクト画面から Destination NAT をクリックします。
NAT Object ‣ Destination NAT
画面右側の Destination NAT 画面で変更対象の行を選択して、操作内容に応じてボタンをクリックします。
Destination NAT の各ボタンの説明です。
| ボタン | 説明 |
|---|---|
| 編集 | 既に設定済みの Destination NAT の値を変更します。 |
| 行を削除 | 選択した Destination NAT を削除します。 |
| Duplicate | 設定されている Destination NAT を複製して、同じ値が入力されたオブジェクト設定画面が開きます。
NAT Name は必ず変更してください。
同じような値で別の Destination NAT を定義したいときに便利です。
|
削除の場合、確認メッセージが表示されます。本当に削除する場合は[OK]をクリックしてください。
※Firewall Policyで使用中のオブジェクトは削除できません。
[変更を保存]をクリックして、設定をデバイスへ適用します。
注釈
- ファイアウォールポリシーを作成する前に、必ずオブジェクトの保存[変更を保存]を実施してください。