2.1.31.9. 送信先NAT(SSL-Offloadingあり/Single構成)


2.1.31.9.1. ユースケース

以下のユースケースについてご説明いたします。

<例>公開WebサーバーをSDPF上に構築し、インターネットからアクセス
• インターネット上の全てのホストから、ロジカルネットワーク(サーバーセグメント)に配置されているWebServer01へTCP443番でアクセス

• グローバルアドレス宛にアクセスされた通信の送信先をWebServer01のアドレスへ変換(送信先NAT)、TCP 443番の通信を許可する。

• Managed-UTM通過時にSSL-Offloadingにて暗号通信の中身を復号してUTMのセキュリティ機能で検査を実施する。

• WebServer01はTLS1.3及びTLS1.2のいずれのバージョンの暗号通信にも対応しており、HTTP/2には非対応となっている。
dnat-ssl-single01.png

2.1.31.9.2. 変換イメージ

dnat-ssl-single02.png

2.1.31.9.3. 前提

ユースケースに応じた以下の作業が、完了していることを前提とします。

  • Managed UTMの作成
  • Managed UTMへSSL-Offloadingで利用する証明書のインポート(例:hoge.sdpf.ntt.com)
    ※WebServer01のアクセスに必要な証明書をインポートしてください。
  • Managed UTMのインターフェース設定/ロジカルネットワークへの接続
  • Managed UTMのルーティング設定(デフォルトゲートウェイの設定)
    • Destination IP :0.0.0.0
    • Subnet Mask :0.0.0.0
    • Gatewayアドレス:Internet-GWのゲートウェイIPv4アドレス(例:192.168.1.251)
    • Interface:デフォルトゲートウェイを設定するポート(例:Port 4)
      ※その他必要に応じて、ルーティング設定を追加してください。
  • Internet-GWのルーティング設定
    • 宛先:送信先NATで使用するグローバルIPアドレス(例:153.x.x.10/32)
    • ネクストホップ
  • Managed UTMの当該インターフェースのIPアドレス(例:192.168.1.254)
    ※その他必要に応じて、ルーティング設定を追加してください。
  • WebServer01にて必要に応じた設定
    • ルーティング設定、iptables/Windowsファイアウォールなどの設定、名前解決設定など

2.1.31.9.4. 手順①-1 NATオブジェクト作成

Destination NATオブジェクトを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-ssl-single03.png

項目 設定値
NAT Name DNAT_153.x.x.10
SSL-Offloading チェック有
External IP Address 153.x.x.10
External Interface Port4
External Service Port 443
SSL-Mode full
SSL/TLS Encryption Level High
Realserver IP Address 10.10.1.10
Realserver Port 443
Maximum Supported HTTP Versions HTTP/1.x
SSL-Certificate hoge.sdpf.ntt.com
TLS1.2 チェック有
TLS1.3 チェック有

注釈

  • External IPアドレスは、他の機器に実際に設定されている(割り当てられている)IPアドレスは使用しないでください。
  • External IPアドレスとMapped IPアドレスは、同一のIPアドレスを使用しないでください。

2.1.31.9.5. 手順①-2 オブジェクトの保存

ファイアウォールポリシーを作成する前にデバイス管理画面の[変更を保存]をして、オブジェクトを反映ください。
Save Config

保存が完了すると、[設定を同期]ボタンのみ表示されます。
synchronize-device

2.1.31.9.6. 手順②-1 ファイアウォールポリシー作成

インターネットからWebサーバーに対して、送信先NATを利用してアクセスするファイアウォールポリシーを作成ください。
設定値を投入後、[保存]ボタンをクリックしてください。
dnat-ssl-single04.png

項目 設定値
Enable チェック有
Incoming Interface Port4
Source Address all
Outgoing Interface Port5
Destination Address Type NAT Object
Destination NAT DNAT_153.x.x.10
Service HTTPS
Action ACCEPT
NAT チェック無
Log 任意

2.1.31.9.7. 手順②-2 ポリシーの保存

デバイス管理の[変更の保存]をして、ファイアウォールポリシーを反映ください。
Save Config

保存が完了すると、[設定を同期]ボタンのみ表示されます。
synchronize-device

設定は以上です。