2.1.31.10. 送信先NAT(SSL-Offloadingあり/HA構成)

2.1.31.10.1. ユースケース

以下のユースケースについてご説明いたします。

＜例＞公開WebサーバーをSDPF上に構築し、インターネットからアクセス

• インターネット上の全てのホストから、ロジカルネットワーク（サーバーセグメント）に配置されているWebServer01へTCP443番でアクセス

• グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換（送信先NAT）、TCP 443番の通信を許可する（ポート変換はしない）

• Managed-UTM通過時にSSL-Offloadingにて暗号通信の中身を復号してUTMのセキュリティ機能で検査を実施する。

• WebServer01はTLS1.3及びTLS1.2のいずれのバージョンの暗号通信にも対応しており、HTTP/2には非対応となっている。

2.1.31.10.2. 変換イメージ

2.1.31.10.3. 前提

ユースケースに応じた以下の作業が、完了していることを前提とします。

• Managed UTMの作成
• Managed UTMへSSL-Offloadingで利用する証明書のインポート(例：hoge.sdpf.ntt.com)

  ※WebServer01のアクセスに必要な証明書をインポートしてください。
• Managed UTMのインターフェース設定/ロジカルネットワークへの接続
• Managed UTMのルーティング設定（デフォルトゲートウェイの設定）
  • Destination IP ：0.0.0.0
  • Subnet Mask ：0.0.0.0
  • Gatewayアドレス：Internet-GWのゲートウェイIPv4アドレス（例：192.168.1.251）
  • Interface：デフォルトゲートウェイを設定するポート（例：Port 4）

    ※その他必要に応じて、ルーティング設定を追加してください。
• Internet-GWのルーティング設定
  • 宛先：送信先NATで使用するグローバルIPアドレス（例：153.x.x.10/32）
  • ネクストホップ |
• Managed UTMの当該インターフェースのVRRP IPアドレス（例：192.168.1.254）

  ※その他必要に応じて、ルーティング設定を追加してください。
• WebServer01にて必要に応じた設定
  • ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など

2.1.31.10.4. 手順①-1 NATオブジェクト作成

Destination NATオブジェクトを作成ください。

設定値を投入後、[保存]ボタンをクリックしてください。

項目	設定値
NAT Name	DNAT_153.x.x.10
SSL-Offloading	チェック有
External IP Address	153.x.x.10
External Interface	Port4
External Service Port	443
SSL-Mode	full
SSL/TLS Encryption Level	High
Realserver IP Address	10.10.1.10
Realserver Port	443
Maximum Supported HTTP Versions	HTTP/1.x
SSL-Certificate	hoge.sdpf.ntt.com
TLS1.2	チェック有
TLS1.3	チェック有

注釈

• External IPアドレスは、他の機器に実際に設定されている（割り当てられている）IPアドレスは使用しないでください。

• External IPアドレスとMapped IPアドレスは、同一のIPアドレスを使用しないでください。

2.1.31.10.5. 手順①-2 オブジェクトの保存

ファイアウォールポリシーを作成する前にデバイス管理画面の[変更を保存]をして、オブジェクトを反映ください。

保存が完了すると、[設定を同期]ボタンのみ表示されます。

2.1.31.10.6. 手順②-1 ファイアウォールポリシー作成

インターネットからWebサーバーに対して、送信先NATを利用してアクセスするファイアウォールポリシーを作成ください。

設定値を投入後、[保存]ボタンをクリックしてください。

項目	設定値
Enable	チェック有
Incoming Interface	Port4
Source Address	all
Outgoing Interface	Port5
Destination Address Type	NAT Object
Destination NAT	DNAT_153.x.x.10
Service	HTTPS
Action	ACCEPT
NAT	チェック無
Log	任意

2.1.31.10.7. 手順②-2 ポリシーの保存

デバイス管理の[変更を保存]をして、ファイアウォールポリシーを反映ください。

保存が完了すると、[設定を同期]ボタンのみ表示されます。

設定は以上です。

目次

• 1. オーダー/Order
  • 1.1. Managed Firewall / Managed UTM Version2
  • 1.1. Managed Firewall / Managed UTM Version3
  • 1.2. Managed WAF Version2
  • 1.2. Managed WAF Version3
• 2. オペレーション/Operation
  • 2.1. Managed Firewall / Managed UTM Version2
  • 2.1. Managed Firewall / Managed UTM Version3
  • 2.2. Managed WAF Version2
  • 2.2. Managed WAF Version3

---

2.1.31.9. 送信先NAT(SSL-Offloadingあり/Single構成)

2.1.31.11. 共通機能をManaged FW経由で利用する際のNAT構成例