FireSIGHT システム ユーザ ガイド バージョン 5.3.1
NAT ポリシーの使用
NAT ポリシーの使用
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

NAT ポリシーの使用

NAT ポリシーの計画と実装

NAT ポリシーの設定

NAT ポリシー ターゲットの管理

NAT ポリシー内のルールの編成

NAT ルールの警告とエラーの操作

NAT ポリシーの管理

NAT ポリシーの作成

NAT ポリシーの編集

NAT ポリシーのコピー

NAT ポリシーの表示

2 つの NAT ポリシーの比較

NAT ポリシー比較ビューの使用

NAT ポリシー比較レポートの使用

NAT ポリシーの適用

完全な NAT ポリシーの適用

選択したポリシー設定の適用

NAT ルールの作成と編集

NAT ルール タイプについて

NAT ルール条件と条件のしくみについて

NAT ルール条件について

NAT ルールへの条件の追加

NAT ルール条件リストの検索

NAT ルールへのリテラル条件の追加

NAT ルール条件でのオブジェクトの使用

NAT ルールのさまざまな条件タイプの使用

NAT ルールへのゾーン条件の追加

ダイナミック NAT ルールへの送信元ネットワーク条件の追加

NAT ルールへの宛先ネットワーク条件の追加

NAT ルールへのポート条件の追加

NAT ポリシーの使用

ネットワーク アドレス変換(NAT)ポリシーは、システムがネットワーク アドレス変換を使用してルーティングを達成する方法を定めます。1 つ以上の NAT ポリシーを設定して、1 つ以上の管理対象デバイスに適用できます。各デバイスに同時に適用できるポリシーは 1 つだけです。

ポリシーに NAT ルールを追加して、システムがネットワーク アドレス変換を処理する方法を制御します。各ルールは、変換する特定のトラフィックを識別する、条件のセットを含みます。次のタイプのルールを作成できます。

スタティック。宛先ネットワークと任意選択のポートおよびプロトコルで 1 対 1 変換を提供します。

ダイナミック IP。多対多の送信元ネットワークを変換しますが、ポートおよびプロトコルを維持します

ダイナミック IP およびポート。多対 1 または多対多の送信元ネットワークとポートおよびプロトコルを変換します。

システムはダイナミック変換を検査する前に、スタティック変換に対してトラフィックを照合します。次にシステムはダイナミック NAT ルールに対して順にトラフィックを照合します。最初に一致したルールがトラフィックを処理します。詳細については、「NAT ポリシー内のルールの編成」を参照してください。

展開にアクセス コントロール ポリシーが存在する場合、システムはアクセス制御を通過するまでトラフィックを変換しません。

アプライアンスで NAT ポリシーを設定および適用するには、適用先の各管理対象デバイスでControl ライセンスが有効になっている必要があります。また、NAT ポリシーを適用できるのは、仮想ルータまたはハイブリッド インターフェイスが設定された シリーズ 3 デバイスのみです。

NAT ポリシーを設定および展開した後、管理対象デバイスのコマンドライン インターフェイス(CLI)を使用して、展開のトラブルシューティングを行うことができます。CLI には設定、ルール定義、およびアクティブな変換という 3 種類の NAT 情報が表示されます。詳細については、「コマンドライン リファレンス」を参照してください。

NAT ポリシーの作成および管理の詳細については、次の項を参照してください。

「NAT ポリシーの計画と実装」

「NAT ポリシーの設定」

「NAT ポリシー内のルールの編成」

「NAT ポリシーの管理」

「NAT ルールの作成と編集」

「NAT ルール タイプについて」

「NAT ルール条件と条件のしくみについて」

「NAT ルールのさまざまな条件タイプの使用」

NAT ポリシーの計画と実装

ライセンス:任意

特定のネットワーク ニーズを管理するためにさまざまな方法で NAT ポリシーを設定できます。この項では、NAT ポリシーを展開する方法の一部について説明します。


注意 クラスタ構成で、NAT 変換により影響を受けるすべてのネットワークがプライベートの場合、クラスタ デバイスのスタティック NAT ルールに対して、個別のピア インターフェイスのみを選択します。パブリック ネットワークとプライベート ネットワーク間のトラフィックに影響するスタティック NAT ルールに対してこの設定を使用しないでください。

NAT を設定して、内部サーバを外部ネットワークに公開できます。この設定では、外部 IP アドレスから内部 IP アドレスへのスタティック変換を定義するため、システムはネットワーク外部から内部サーバにアクセスできます。サーバに送信されるトラフィックは、外部 IP アドレスまたは IP アドレスとポートを対象とし、内部 IP アドレスまたは IP アドレスとポートに変換されます。サーバからのリターン トラフィックは、外部アドレスに再度変換されます。

NAT を設定して、内部ホストまたはサーバが外部アプリケーションに接続することを許可できます。この設定では、内部アドレスから外部アドレスへのスタティック変換を定義します。この定義により、内部ホストまたはサーバは、内部ホストまたはサーバが特定の IP アドレスおよびポートを持っていると予期する外部アプリケーションへの接続を開始できます。したがって、システムは内部ホストまたはサーバのアドレスを動的に割り当てることはできません。

NAT を設定して、IP アドレスのブロックを使用することにより、外部ネットワークからプライベート ネットワーク アドレスを隠すことができます。これは内部ネットワーク アドレスをマスクする場合、内部ネットワークのニーズを満たす十分な外部 IP アドレスがをある場合に便利です。この設定では、すべての発信トラフィックの送信元 IP アドレスを、外部に面する IP アドレスのうち未使用の IP アドレスに自動的に変換するダイナミック変換を作成します。

NAT を設定して、IP アドレスおよびポート変換の限定的なブロックを使用することにより、外部ネットワークからプライベート ネットワーク アドレスを隠すことができます。これは内部ネットワーク アドレスをマスクする場合で、内部ネットワークのニーズを満たす十分な外部 IP アドレスがない場合に便利です。この設定では、発信トラフィックの送信元 IP アドレスとポートを、外部に面する IP アドレスのうち未使用の IP アドレスとポートに自動的に変換するダイナミック変換を作成します。

NAT ポリシーの設定

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシーを設定するには、ポリシーに一意の名前を付け、ポリシーを適用するデバイスつまり ターゲット を特定する必要があります。また、NAT ルールを追加、編集、削除、有効化、および無効化することができます。NAT ポリシーを作成または変更した後、ターゲット デバイスのすべてまたは一部にポリシーを適用できます。

スタンドアロン デバイスと同様に、NAT ポリシーをクラスタ スタックを含むデバイス クラスタに適用できます。ただし、個別のクラスタ デバイスまたはクラスタ全体でインターフェイスのスタティック NAT ルールを定義し、送信元ゾーン内でインターフェイスを使用できます。ダイナミック ルールの場合、送信元ゾーンまたは宛先ゾーンでクラスタ全体のインターフェイスのみを使用できます。


注意 クラスタ構成で、NAT 変換により影響を受けるすべてのネットワークがプライベートの場合、クラスタ デバイスのスタティック NAT ルールに対して、個別のピア インターフェイスのみを選択します。パブリック ネットワークとプライベート ネットワーク間のトラフィックに影響するスタティック NAT ルールに対してこの設定を使用しないでください。

HA リンク インターフェイスが確立されていないデバイス クラスタでダイナミック NAT を設定した場合、両方のクラスタ デバイスは別々にダイナミック NAT エントリを割り当て、システムはデバイス間でエントリを同期できません。詳細については、「HA リンク インターフェイスの設定」を参照してください。

スタンドアロン デバイスと同様に、NAT ポリシーをデバイス スタックに適用できます。NAT ポリシーに含まれ、スタックのメンバーであるセカンダリ デバイスのインターフェイスに関連付けられているルールを持ったデバイスからデバイス スタックを確立した場合、セカンダリ デバイスのインターフェイスは NAT ポリシーに残ります。インターフェイスを持つポリシーを保存および適用できますが、ルールは変換を実現しません。詳細については、「スタックに含まれるデバイスの管理」を参照してください。

次の表は、NAT ポリシーの [Edit] ページで実行可能な設定アクションを示します。

 

表 12-1 NAT ポリシーの設定アクション

目的
可能な操作

ポリシーの名前または説明を変更する

[Name] フィールドまたは [Description] フィールドをクリックして、必要に応じて文字を削除し、新しい名前または説明を入力します。

ポリシーの適用対象を管理する

詳細については、「NAT ポリシー ターゲットの管理」を参照してください。

ポリシーの変更を保存する

[Save] をクリックします。

ポリシーを保存し、適用する

[Save and Apply] をクリックします。詳細については、「NAT ポリシーの適用」を参照してください。

ポリシーの変更をキャンセルする

[Cancel] をクリックします。変更を行った場合は、次に [OK] をクリックします。

ポリシーにルールを追加する

[Add Rule] をクリックします。詳細については、「NAT ルールの作成と編集」を参照してください。

ヒント 既存のルールを右クリックし、[Insert new rule] を選択することもできます。

既存のルールを編集する

ルールの横にある編集アイコン( )をクリックします。詳細については、「NAT ルールの作成と編集」を参照してください。

ヒント ルールを右クリックして、[Edit] を選択することもできます。

ルールを削除する

ルールの横にある削除アイコン( )をクリックし、[OK] をクリックします。

ヒント 1 つ以上のルールを削除するには、選択したルールの行の空白部分を右クリックし、[Delete] を選択して、[OK] をクリックします。

既存のルールを有効または無効にする

選択したルールを右クリックして [State] を選択した後、[Disable] または [Enable] を選択します。無効なルールはグレーで表示され、ルール名の下に [(disabled)] というマークが付きます。

特定のルール属性の設定ページを表示する

ルールの行で、該当する条件のカラムに示されている名前、値、またはアイコンをクリックします。たとえば、[Source Network] 列の名前または値をクリックすると、選択したルールの [Source Network] ページが表示されます。詳細については、「NAT ルールのさまざまな条件タイプの使用」を参照してください。

NAT ポリシー ターゲットの管理

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシーを適用するには、その前に、ポリシーを適用するデバイス スタック、クラスタ、またはグループなどの管理対象デバイスを識別する必要があります。ポリシーを適用する管理対象デバイスは、ポリシーを作成または編集する際に特定できます。使用可能なデバイス、スタック、およびクラスタのリストを検索して、選択したデバイスのリストに追加できます。また、選択したデバイスをドラッグ アンド ドロップしたり、2 つのリスト間のボタンを使用してデバイスを追加したりすることもできます。

異なるバージョンの FireSIGHT システムを実行中のスタック デバイスをターゲットにすることはできません(たとえば、デバイスのいずれかでのアップグレードが失敗します)。詳細については、「スタックに含まれるデバイスの管理」を参照してください。

次の表では、対象のデバイスを管理する場合に実行可能な操作の概要を説明しています。

 

表 12-2 対象のデバイス管理アクション

目的
可能な操作

使用可能なデバイス、スタック、およびクラスタのリストを検索する

検索フィールド内をクリックし、検索文字列を入力します。検索文字列を入力すると、デバイスのリストが更新されて、検索文字列に一致するデバイス名が表示されます。

使用可能なデバイスの検索をクリアする

検索フィールドのクリア アイコン( )をクリックします。

選択されているターゲットのリストに追加するための使用可能なデバイス、スタック、またはクラスタを選択する

デバイス名をクリックします。複数のデバイスを選択するには、Ctrl キーまたは Shift キーを押しながらクリックします。

ヒント 使用可能なデバイスを右クリックして、[Select All] をクリックするという方法もあります。

選択したデバイス、スタック、またはクラスタを追加する

[Add to Policy] をクリックします。

ヒント 選択済みデバイスのリストにドラッグ アンド ドロップするという方法もあります。

[Selected Devices] リストから単一のデバイス、スタック、またはクラスタを削除する

デバイスの横にある削除アイコン( )をクリックします。

ヒント デバイスを右クリックして、[Delete] を選択するという方法もあります。

選択済みデバイスのリストから複数のデバイスを削除する

Ctrl キーまたは Shift キーを押しながらクリックして複数のデバイスを選択し、選択したデバイスの行を右クリックで強調表示してから、[Delete Selected] をクリックします。

設定を保存する

[Save] をクリックします。

変更を保存せずに設定を廃棄する

[Cancel] をクリックします。

次の手順では、対象デバイスを管理するための NAT ポリシーの設定方法について説明します。NAT ポリシーを編集するための詳細な手順については「NAT ポリシーの編集」を参照してください。

NAT ポリシーで対象のデバイスを管理する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 設定する NAT ポリシーの横にある編集アイコン( )をクリックします。

[NAT Policy Editor] ページが表示されます。

ステップ 3 [Targets] タブをクリックします。

[Targets] ページが表示されます。

ステップ 4 オプションで、[Available Devices] リストの上にある [Search] プロンプトをクリックして、名前を入力します。

検索文字列を入力すると、リストが更新されて、検索文字列に一致するデバイスが表示されます。クリア アイコン( )をクリックすることで、リストをクリアできます。

ステップ 5 追加するデバイス、スタック、クラスタ、またはデバイス グループをクリックします。複数のデバイスを選択するには、Ctrl キーまたは Shift キーを押しながらクリックします。


ヒント 使用可能なデバイスを右クリックして、[Select All] をクリックするという方法もあります。

ステップ 6 [Add to Policy] をクリックします。

選択したデバイスが追加されます。


ヒント ドラッグ アンド ドロップしてデバイスを追加することもできます。

ステップ 7 オプションで、削除アイコン( )をクリックして、選択済みデバイスのリストからデバイスを削除します。または、Ctrl キーまたは Shift キーを押しながらクリックして複数のデバイスを選択し、選択したデバイスを右クリックして [Delete Selected] を選択します。

ステップ 8 [Save] をクリックして、設定を保存します。または、[Cancel] をクリックして、設定を廃棄します。


 

NAT ポリシー内のルールの編成

ライセンス:任意

NAT ポリシー の [Edit] ページにはスタティックな NAT ルールとダイナミックな NAT ルールが別々に表示されます。スタティック ルールは名前のアルファベット順に並べ替えられ、表示順序を変更できません。同一の照合値を持つスタティック ルールは作成できません。システムの照合では、ダイナミック変換を検査する前に、スタティック変換を検査します。

ダイナミック ルールは番号順に処理されます。各ダイナミック ルールの番号位置は、ページ左側のルールの横に表示されます。ダイナミック ルールは移動または挿入したり、ルールの順序を変更したりすることができます。たとえば、ダイナミック ルール 10 をダイナミック ルール 3 の下に移動した場合、ルール 10 がルール 4 になり、後に続くすべての番号が順次繰り上がります。

システムはポリシーの [Edit] ページ上のルールの番号順にパケットとダイナミック ルールを比較するので、ダイナミック ルールの位置は重要です。パケットがダイナミック ルールのすべての条件を満たすと、システムはパケットにそのルール条件を適用し、そのパケットに対する後続の規則はすべて無視します。

オプションで、ダイナミック ルールを追加または編集する際、ダイナミック ルールの番号の位置を指定できます。新しいダイナミック ルールを追加する前にダイナミック ルールを強調表示して、強調表示したルールの下に新しいルールを挿入することもできます。「NAT ルールの作成と編集」を参照してください。

ルールの行内の空白部分をクリックすることにより、1 つ以上のダイナミック ルールを選択できます。選択したダイナミック ルールを新しい場所にドラッグ アンド ドロップできます。これにより、移動したルールと後続のすべてのルールの位置が変更されます。

選択したルールを既存のルールの上または下にカット アンド ペーストできます。スタティック ルールは [Static Translations] リストにのみ、ダイナミック ルールは [Dynamic Translations] リストにのみ貼り付けることができます。また、選択したルールを削除したり、既存のルール リスト内の任意の場所に新しいルールを挿入したりすることもできます。


スタティック ルールはコピーできますが、切り取ることはできません。


先行ルールが優先して適用されるために決して一致することがないルールを示す、説明的な警告メッセージを表示することもできます。

展開にアクセス コントロール ポリシーが存在する場合、システムはアクセス制御を通過するまでトラフィックを変換しません。

次の表に、ルールを編成するために実行できる操作を要約します。

 

表 12-3 NAT ルール編成アクション

目的
可能な操作

ルールを選択する

ルールの行の空白部分をクリックします。複数のルールを選択するには、Ctrl キーまたは Shift キーを押しながらクリックします。選択したルールが強調表示されます。

ルールの選択をクリアする

ページの右下にある再ロード アイコン( )をクリックします。個別のルールをクリアするには、Ctrl キーを押しながら各ルールの行内の空白部分をクリックします。

選択したルールを切り取る、またはコピーする

選択したルールの行の空白部分を右クリックし、[Cut] または [Copy] を選択します。

ヒント スタティック ルールはコピーできますが、切り取ることはできません。

切り取ったルールまたはコピーしたルールをルール リストに貼り付ける

選択したルールを貼り付けるルールの行の空白部分を右クリックし、[Paste above] または [Paste below] を選択します。

ヒント スタティック ルールは [Static Translations] リストにのみ、ダイナミック ルールは [Dynamic Translations] リストにのみ貼り付けることができます。

選択したルールを移動する

選択したルールを新しい場所の下にドラッグ アンド ドロップします。ドラッグしたときにポインタの上に青い横線が表示される場所が移動先です。

ルールを削除する

ルールの横にある削除アイコン( )をクリックし、[OK] をクリックします。

ヒント 選択したルールの行の空白部分を右クリックして [Delete] を選択した後、[OK] をクリックして、選択した 1 つ以上のルールを削除するという方法もあります。

警告を表示する

[Show Warnings] をクリックします。「NAT ルールの警告とエラーの操作」を参照してください。

NAT ルールの警告とエラーの操作

ライセンス:任意

NAT ルールの条件が後続のルールによるトラフィックの照合をプリエンプション処理する場合があります。どのようなタイプのルール条件でも、後続のルールを回避する可能性があります。

あるルールとその後続のルールがまったく同じで、いずれもすべて同じ条件が設定されている場合、後続のルールは回避されます。いずれかの条件が異なっていた場合、後続のルールはプリエンプション処理されません。

次の表に、警告の表示および消去を行うために実行可能なアクションを示します。

 

表 12-4 プリエンプション処理されたルールの警告アクション

目的
可能な操作

警告を表示する

[Show Warnings] をクリックします。ページが更新され、プリエンプション処理された各ルールの横に警告アイコン( )が表示されます。

ルールの警告を表示
する

ルールの横の警告アイコン( )の上にポインタを移動します。ルールをプリエンプション処理するルールを示すメッセージが表示されます。

警告を消去する

[Hide Warnings] をクリックします。ページが更新され、警告が消えます。

)のクリックでも、警告は消えます。

NAT ポリシーの適用が失敗するルールを作成した場合、ルールの横にエラー アイコン( )が表示されます。スタティック ルールに矛盾がある場合、または現時点で無効となるポリシーで使用されるネットワーク オブジェクトを編集した場合、エラーが発生します。たとえば、IPv6 アドレスのみを使用するようにネットワーク オブジェクトを変更した結果、少なくとも 1 つのネットワークが必要な状況で、そのオブジェクトを使用するルールに有効なネットワークがなくなると、エラーが発生します。エラー アイコンは自動的に表示されます。[Show Warnings] をクリックする必要はありません。

NAT ポリシーの管理

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシーのページ([Devices] > [NAT])で、オプションの説明と次のステータス情報と共に、現在のすべての NAT ポリシーを名前別に表示できます。

ターゲット デバイスに対してポリシーが最新の状態になっている(緑のテキスト)

ターゲット デバイスに対してポリシーが失効している(赤のテキスト)

このページのオプションを使用して、ポリシーの比較、新しいポリシーの作成、ターゲット デバイスへのポリシーの適用、ポリシーのコピー、各ポリシーで最後に保存されたすべての設定を示すレポートの表示、およびポリシーの編集を行うことができます。


管理対象デバイスに NAT ポリシーを適用した後は、期限切れであってもポリシーを削除できません。その代わり、ルールを持たない NAT ポリシーを適用して、適用済みの NAT ルールを管理対象デバイスから削除する必要があります。


次の表に、NAT ポリシーのページでポリシーを管理するために実行可能なアクションについて説明します。

 

表 12-5 NAT ポリシー管理アクション

目的
可能な操作

新しい NAT ポリシーを作成する

[New Policy] をクリックします。詳細については、「NAT ポリシーの作成」を参照してください。

既存の NAT ポリシーの設定を変更する

編集アイコン( )をクリックします。詳細については、「NAT ポリシーの編集」を参照してください。

ポリシーのターゲットであるすべてのデバイスに NAT ポリシーを適用する

ポリシー適用アイコン( )をクリックします。詳細については、「NAT ポリシーの適用」を参照してください。

NAT ポリシーをコピーする

コピー アイコン( )をクリックします。詳細については、「NAT ポリシーのコピー」を参照してください。

NAT ポリシーの現在の設定を示す PDF レポートを表示する

レポート アイコン( )をクリックします。詳細については、「NAT ポリシーの表示」を参照してください。

NAT ポリシーを比較する

[Compare Policies] をクリックします。詳細については、「2 つの NAT ポリシーの比較」を参照してください。

NAT ポリシーを削除する

削除アイコン( )をクリックして [OK] をクリックするか、または、ポリシーを削除しない場合は [Cancel] をクリックします。続行するかどうかの確認を要求される場合は、ポリシー内に別のユーザによる未保存の変更があるかどうかも通知されます。

(注) 管理対象デバイスに NAT ポリシーを適用した後は、デバイスからそのポリシーを削除できません。その代わり、ルールを持たない NAT ポリシーを適用して、適用済みの NAT ルールを管理対象デバイスから削除する必要があります。また、どのターゲット デバイスでも、最後に適用されたポリシーは期限切れであっても削除できません。ポリシーを完全に削除する前に、それらのターゲットに異なるポリシーを適用する必要があります。

NAT ポリシーの作成

ライセンス:Control

サポート対象デバイス:シリーズ 3

新しい NAT ポリシーを作成する場合、少なくとも一意の名前を付ける必要があります。ポリシーの作成時にポリシー ターゲットを特定する必要はありませんが、ポリシーを適用する前には、この手順に実行する必要があります。「NAT ポリシー ターゲットの管理」を参照してください。ルールを持たない NAT ポリシーをデバイスに適用すると、そのデバイスからすべての NAT ルールが削除されます。

NAT ポリシーを作成する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 [New Policy] をクリックします。

[New NAT Policy] ポップアップ ウィンドウが表示されます。

ステップ 3 [Name] に一意のポリシー名を入力し、オプションで [Description] にポリシーの説明を入力します。

スペースや特殊文字を含めて、印刷可能なすべての文字を使用できます。

ステップ 4 [Available Devices] から、ポリシーを適用するデバイスを選択します。

複数のデバイスを選択するには、Ctrl キーまたは Shift キーを押しながらクリックするか、または右クリックをして [Select All] を選択します。表示されるデバイスを絞り込むには、[Search] フィールドに検索文字列を入力します。検索をクリアするには、クリア アイコン( )をクリックします。

ステップ 5 [Selected Devices] に、選択したデバイスを追加します。それには、クリックしてドラッグするか、[Add to Policy] をクリックします。

ステップ 6 [Save] をクリックします。

[NAT policy Edit] ページが表示されます。ルールの追加を含め、新しいポリシーの設定方法については、「NAT ポリシーの編集」を参照してください。ポリシーを有効にするには適用する必要があることに注意してください。「NAT ポリシーの適用」を参照してください。


 

NAT ポリシーの編集

ライセンス:Control

サポート対象デバイス:シリーズ 3

[NAT policy Edit] ページで、ポリシーを設定できます。詳細については、「NAT ポリシーの設定」を参照してください。

設定を変更すると、変更がまだ保存されていないことを通知するメッセージが表示されます。変更を維持するには、[NAT policy Edit] ページを終了する前にポリシーを保存する必要があります。変更を保存しないでポリシーの [Edit] ページを終了しようとすると、変更がまだ保存されていないことを警告するメッセージが表示されます。この場合、変更を破棄してポリシーを終了するか、ポリシーの [Edit] ページに戻るかを選択できます。

セッションのプライバシーを保護するために、ポリシーの編集ページが非アクティブになってから 60 分後に、ポリシーの変更は廃棄され、NAT ページに戻ります。非アクティブの最初の 30 分後にメッセージが表示され、変更が廃棄されるまでの残り時間(分)が定期的に更新されます。ページで何らかの操作を行うとタイマーはリセットされます。

2 つのブラウザ ウィンドウで同じポリシーを編集しようとすると、新しいウィンドウで編集を再開するか、元のウィンドウでの変更を破棄して新しいウィンドウで編集を続ける か、または 2 番目のウィンドウをキャンセルしてポリシーの [Edit] ページに戻るかを選択するよう求めるプロンプトが出されます。

複数のユーザが同じポリシーを同時に編集する場合、各ユーザに対して、ポリシーの編集ページにメッセージが表示され、他のユーザによる未保存の変更があることが通知されます。変更を保存しようとするすべてのユーザに、変更を保存すると他のユーザの変更が上書きされることが警告されます。複数のユーザが同じポリシーを保存した場合は、最後に保存された変更が保持されます。

インターフェイスのタイプを、そのインターフェイスがあるデバイスを対象とする NAT ポリシーでの使用が無効なタイプに変更した場合、ポリシーはそのインターフェイスに削除済みのラベルを付けます。NAT ポリシーの [Save] をクリックすると、インターフェイスはポリシーから自動的に削除されます。

NAT ポリシーを編集する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 設定する NAT ポリシーの横にある編集アイコン( )をクリックします。

[NAT policy Edit] ページが表示されます。

ステップ 3 ポリシーを設定するには、「NAT ポリシーの設定」で説明しているいずれかの操作を実行します。

ステップ 4 設定を保存または廃棄します。次の選択肢があります。

変更を保存し、編集を続行する場合は、[Save] をクリックします。

変更を保存し、ポリシーを適用する場合は、[Save and Apply] をクリックします。「NAT ポリシーの適用」を参照してください。

変更を有効にするには、ポリシーを適用する必要があります。

変更を廃棄する場合は、[Cancel] をクリックし、プロンプトが出たら [OK] をクリックします。

変更は廃棄され、[NAT] ページが表示されます。


 

NAT ポリシーのコピー

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシーをコピーして、名前を変更できます。ポリシーをコピーすると、そのポリシーのすべてのルールと設定がコピーされます。

NAT ポリシーをコピーする方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 設定する NAT ポリシーの横にあるコピー アイコン( )をクリックします。

[Copy NAT Policy] ポップアップ ウィンドウが表示されます。

ステップ 3 [Name] に一意のポリシー名を入力します。

スペースや特殊文字を含めてすべての印刷可能な文字を使用できます。

ステップ 4 [OK] をクリックします。

コピーしたポリシーは [NAT] ページに名前のアルファベット順に表示されます。


 

NAT ポリシーの表示

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシー レポートは、特定の時点でのポリシーとルール設定の記録です。このレポートは、監査目的や、現行の設定を調べるために使用できます。


ヒント また、ポリシーを現在適用されているポリシーまたは別のポリシーと比較する NAT 比較レポートを生成することもできます。詳細については、「2 つの NAT ポリシーの比較」を参照してください。

NAT ポリシー レポートには、次の表で説明するセクションが含まれます。

 

表 12-6 NAT ポリシー レポートのセクション

セクション
説明

Title Page

ポリシー レポートの名前、ポリシーの最終変更日時、ポリシーの最終変更ユーザ名を示します。

Table of Contents

レポートの内容が記載されます。

Policy Information

ポリシーの名前と説明、ポリシーを最後に変更したユーザの名前、ポリシーが最後に変更された日時が記載されます。「NAT ポリシーの編集」を参照してください。

Device Targets

ポリシーがターゲットとする管理対象デバイスがリストされます。「NAT ポリシー ターゲットの管理」を参照してください。

Rules

ポリシーの各ルールのルール タイプと条件を示します。「NAT ルールの作成と編集」を参照してください。

Referenced Objects

ポリシーで使用されているすべての個別オブジェクトとグループ オブジェクトの名前および設定を、オブジェクトが設定された条件のタイプ(ゾーン、ネットワーク、およびポート)別に示します。

NAT ポリシー レポートを表示する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 レポートの生成対象とするポリシーの横にあるレポート アイコン( )をクリックします。NAT ポリシー レポートを生成する前に、すべての変更を保存してください。保存された変更のみがレポートに表示されます。

システムによってレポートが生成されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウに表示されることがあります。または、コンピュータにレポートを保存するかどうか確認するプロンプトが出される場合があります。


 

2 つの NAT ポリシーの比較

ライセンス:Control

サポート対象デバイス:シリーズ 3

ポリシーの変更を確認するために、2 つの NAT ポリシーの違いを調べることができます。任意の 2 つのポリシーを比較することも、現在適用されているポリシーを別のポリシーと比較することもできます。オプションで、比較した後に PDF レポートを生成することで、2 つのポリシーの間の差異を記録できます。

ポリシーを比較するために使用できるツールは 2 つあります。

比較ビューは、2 つのポリシーを左右に並べて表示し、その差異のみを示します。比較ビューの左右のタイトル バーに、それぞれのポリシーの名前が示されます。。ただし、[Running Configuration] を選択した場合、現在アクションなポリシーは空白のバーで表されます。

このツールを使用すると、Web インターフェイスで 2 つのポリシーを表示してそれらに移動するときに、差異を強調表示することができます。

比較レポートは、ポリシー レポートと同様の形式ですが、2 つのポリシーの間の差異だけが、PDF 形式で記録されます。

これを使用して、ポリシーの比較の保存、コピー、出力、共有を行って、さらに検証することができます。

ポリシーの比較ツールの内容と使用方法の詳細については、次の項を参照してください。

「NAT ポリシー比較ビューの使用」

「NAT ポリシー比較レポートの使用」

NAT ポリシー比較ビューの使用

ライセンス:Control

サポート対象デバイス:シリーズ 3

比較ビューには、両方のポリシーが左右に並べて表示されます。それぞれのポリシーは、比較ビューの左右のタイトル バーに示される名前で特定されます。現在実行されている設定ではない 2 つのポリシーを比較する場合、最後に変更された日時とその変更を行ったユーザがポリシー名と共に表示されます。

2 つのポリシーの違いは、次のように強調表示されます。

青色は強調表示された設定が 2 つのポリシーで異なることを示し、差異は赤色で示されます。

緑色は強調表示された設定が一方のポリシーには存在するが、他方には存在しないことを示します。

次の表に、実行できる操作を記載します。

 

表 12-7 NAT ポリシー比較のビューのアクション

目的
可能な操作

個別の変更を移動する

タイトル バーの上の [Previous] または [Next] をクリックします。

右側と左側の間にある二重の矢印アイコン( )が移動され、[Difference] 番号が調整されて、表示中の差異が示されます。

新しいポリシー比較ビューを生成する

[New Comparison] をクリックします。

[Select Comparison] ウィンドウが表示されます。詳細については、「NAT ポリシー比較レポートの使用」を参照してください。

ポリシー比較レポートを生成する

[Comparison Report] をクリックします。

ポリシー比較レポートは、2 つのポリシーの間の差異だけをリストした PDF ドキュメントです。

NAT ポリシー比較レポートの使用

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシー比較レポートは、ポリシー比較ビューによって示される 2 つの NAT ポリシー間または 1 つのポリシーと現在適用されているポリシーの間のすべての差異を PDF 形式で表示する記録です。このレポートを使用することで、2 つのポリシー設定の間の違いをさらに調べ、調査結果を保存して共有できます。

アクセス可能な任意のポリシーに関して、比較ビューから NAT ポリシー比較レポートを生成できます。ポリシー レポートを生成する前に、必ずすべての変更を保存してください。レポートには、保存されている変更だけが表示されます。

ポリシー比較レポートの形式はポリシー レポートと同じですが、1 つだけ例外があります。ポリシー レポートはポリシーのすべての設定を含みますが、ポリシー比較レポートはポリシー間で異なる設定のみを示します。NAT ポリシー比較レポートには、 「NAT ポリシー レポートのセクション」 の表で説明しているセクションが含まれます。

2 つの NAT ポリシーを比較する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 [Compare Policies] をクリックします。

[Select Comparison] ウィンドウが表示されます。

ステップ 3 [Compare Against] ドロップダウン リストから、比較するタイプを次のように選択します。

異なる 2 つのポリシーを比較するには、[Other Policy] を選択します。

ページが更新されて、[Policy A] と [Policy B] という 2 つのドロップダウン リストが表示されます。

2 つのリビジョンを比較するには、[Other Revision] を選択します。

ページが更新され、ポリシーの [Revision A] ドロップダウン リストと [Revision B] ドロップダウン リストが表示されます。

現在アクティブなポリシーと別のポリシーを比較するには、[Running Configuration] を選択します。

ページが更新されて、[Target/Running Configuration A] と [Policy B] という 2 つのドロップダウン リストが表示されます。

ステップ 4 選択した比較タイプによって、次の選択肢があります。

2 つの異なるポリシーを比較する場合、[Policy A] ドロップダウン リストと [Policy B] ドロップダウン リストから比較するポリシーを選択します。

2 つの異なるリビジョンを比較する場合、[Revision A] ドロップダウン リストと [Revision B] ドロップダウン リストから比較するリビジョンを選択します。

実行中の設定を別のポリシーと比較する場合、[Policy B] ドロップダウン リストから 2 番目のポリシーを選択します。

ステップ 5 ポリシー比較ビューを表示するには、[OK] をクリックします。

比較ビューが表示されます。

ステップ 6 オプションで、[Comparison Report] をクリックして、NAT ポリシー比較レポートを生成します。

NAT ポリシー比較レポートが表示されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウに表示されることがあります。または、コンピュータにレポートを保存するかどうか確認するプロンプトが出される場合があります。


 

NAT ポリシーの適用

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシーに変更を加えたら、ポリシーを 1 つ以上のデバイスに適用し、デバイスによって監視するネットワーク上に設定変更を実装する必要があります。ポリシーを適用するには、その前に、ポリシーを適用するターゲット デバイスを指定する必要があります。「NAT ポリシー ターゲットの管理」を参照してください。

NAT ポリシーを適用する場合は、次の点に注意してください。

防御センターでは複数の NAT ポリシーを設定および保持できますが、1 つのデバイスに一度に適用可能なポリシーは 1 つだけです。

デバイスがいずれも複数のポリシーのターゲットであっても、2 つの異なる NAT ポリシーを異なるデバイスに適用できます。

複数の異なるバージョンの FireSIGHT システムを実行中のスタック デバイスに NAT ポリシーを適用することはできません(たとえば、一方のデバイスでアップグレードに失敗した場合など)。詳細については、「スタックに含まれるデバイスの管理」を参照してください。

適用が保留されているポリシーがある場合、新しい NAT ポリシーを適用できません。

NAT ポリシーのインターフェイスに影響するデバイス設定を適用すると、インターフェイスの変更を含め、デバイスの NAT ポリシーが再適用されます。ただし、ポリシーは DC で変更されず、インターフェイスにはエラー アイコン( )が表示されます。


空の NAT ポリシーを適用すると、デバイスからすべての NAT ルールが削除されます。


詳細については、次の項を参照してください。

「完全な NAT ポリシーの適用」ではクイック適用オプションを使用して NAT ポリシーを適用する方法について説明します。

「選択したポリシー設定の適用」では NAT ポリシー内の設定を選択して適用する方法について説明します。

完全な NAT ポリシーの適用

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ポリシーはいつでも適用できます。NAT ポリシーを適用すると、関連するルール設定、オブジェクト、およびポリシーの変更もポリシーの対象となるデバイスに適用されます。ポップアップ ウィンドウを使用して、1 つのクイック適用アクションとして、すべての変更をまとめて適用できます。

完全な NAT ポリシーをクイック適用する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 適用するポリシーの横にある適用アイコン( )をクリックします。

[Apply NAT Rules] ポップアップ ウィンドウが表示されます。

または、ポリシーの [Edit] ページで [Save and Apply] をクリックするという方法もあります。「NAT ポリシーの編集」を参照してください。

ステップ 3 [Apply All] をクリックします。

ポリシー適用タスクがキューに入れられます。[OK] をクリックして、[NAT] ページに戻ります。


ヒント ポリシー適用タスクの進行状況は、[Task Status] ページ([System] > [Monitoring] > [Task Status])でモニタできます。


 

選択したポリシー設定の適用

ライセンス:Control

サポート対象デバイス:シリーズ 3

詳細なポリシー適用ページを使用して、NAT ポリシーおよび任意の指定ターゲット デバイスに変更を適用できます。詳細ページには、ポリシーのターゲットである各デバイスが表示され、デバイス別に NAT ポリシーを表す列が含まれます。期限切れの各ターゲット デバイスに対して、NAT ポリシーに変更を適用するかどうかを指定できます。

選択した NAT ポリシー設定を適用する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 適用するポリシーの横にある適用アイコン( )をクリックします。

[Apply NAT Rules] ポップアップ ウィンドウが表示されます。

または、ポリシーの [Edit] ページで [Save and Apply] をクリックするという方法もあります。「NAT ポリシーの編集」を参照してください。

ステップ 3 [Details] をクリックします。

[detailed Apply NAT Rules] ポップアップ ウィンドウが表示されます。


ヒント [NAT] ページ([Devices] > [NAT])で、ポリシーの [Status] 列の期限切れメッセージをクリックして、ポップアップ ウィンドウを開くこともできます。

ステップ 4 デバイス名の横の [NAT policy] チェック ボックスをオンまたはオフにして、ターゲット デバイスに NAT ポリシーを適用するかどうかを指定します。

ステップ 5 [Apply Selected Configurations] をクリックします。

ポリシー適用タスクがキューに入れられます。[OK] をクリックして、[NAT] ページに戻ります。


ヒント ポリシー適用タスクの進行状況は、[Task Status] ページ([System] > [Monitoring] > [Task Status])でモニタできます。


 

NAT ルールの作成と編集

ライセンス:Control

サポート対象デバイス:シリーズ 3

NAT ルールは次の働きを持つ設定および条件のセットです。

ネットワーク トラフィックを限定する

条件に一致するトラフィックの変換方法を指定する

既存の NAT ポリシーから NAT ルールを作成および編集します。各ルールは 1 つのポリシーにのみ属します。

ルールの追加と編集は同様の Web インターフェイスで行います。ページの上部でルールの名前、状態、タイプ、および位置(ダイナミックの場合)を指定します。ページの左側のタブを使用して、条件を構築します。条件タイプごとに独自のタブがあります。

次のリストは、NAT ルールの設定可能なコンポーネントを示しています。

Name

各ルールに一意の名前を付けます。30 文字までの印刷可能文字を使用できます。スペースや特殊文字を含めることができますが、コロン( : )は使用できません。

Rule State

デフォルトでは、ルールが有効状態になります。ルールを無効にすると、変換用のネットワーク トラフィックの評価に使用されません。NAT ポリシーのルール リストを表示すると、無効なルールはグレー表示されますが、変更は可能です。

Type

ルールのタイプによって、ルールの条件に一致するトラフィックの処理方法が決まります。NAT ルールを作成および編集する際、設定可能なコンポーネントはルール タイプによって異なります。

ルール タイプとそれらが変換およびトラフィック フローに与える影響の詳細については、「NAT ルール タイプについて」を参照してください。

Position(ダイナミック ルールのみ)

NAT ポリシーのダイナミック ルールには 1 から始まる番号が付いています。システムは、ルール番号の昇順で、NAT ルールを上から順にトラフィックと照合します。

ルールをポリシーに追加する際、参照ポイントとしてルール番号を使用し、特定のルールの上または下に配置することによって位置を指定します。既存のルールを編集するときには、同様の方法でルールを移動できます。詳細については、「NAT ポリシー内のルールの編成」を参照してください。

Conditions

ルール条件は変換する特定のトラフィックを識別します。条件はセキュリティ ゾーン、ネットワーク、および転送プロトコルのポートなど、複数の属性を任意に組み合わせてトラフィックと照合できます。

条件の追加の詳細については、「NAT ルール条件と条件のしくみについて」および「NAT ルールのさまざまな条件タイプの使用」を参照してください。

NAT ルールを作成または編集する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 ルールを追加する NAT ポリシーの横にある編集アイコン( )をクリックします。

[NAT policy Edit] ページが表示されます。

ステップ 3 次のように新しいルールを追加するか、既存のルールを編集します。

新しいルールを追加するには、[Add Rule] をクリックします。

既存のルールを編集するには、そのルールの横にある編集アイコン( )をクリックします。

[Add Rule] ページまたは [Editing Rule] ページが表示されます。


ヒント 右クリック コンテキスト メニューを使用して、さまざまなルール作成/管理操作を実行することができます(「コンテキスト メニューの使用」を参照)。また、ルールをドラッグ アンド ドロップして順序を変更することもできます。

ステップ 4 前述の方法で、ルールのコンポーネントを設定します。次の設定をするか、デフォルト設定をそのまま使用することができます。

ルールに一意の名前 [Name] を付ける必要があります。

ルールを有効にするかどうか [Enabled] を指定します。

ルール タイプを [Type] から選択します。

ルールの位置(ダイナミック ルールのみ)を指定します。

ルールの条件を設定します。

スタティック ルールは元の宛先ネットワークを含む必要があります。

ダイナミック ルールは変換された送信元ネットワークを含む必要があります。

ステップ 5 [Add] または [Save] をクリックします。

変更が保存されます。変更内容を有効にするには、NAT ポリシーを適用する必要があります。「NAT ポリシーの適用」を参照してください。


 

NAT ルール タイプについて

ライセンス:任意

すべての NAT ルールには次の働きを持つタイプが関連付けられています。

ネットワーク トラフィックを限定する

条件に一致するトラフィックの変換方法を指定する

次に、NAT ルール タイプの概要を示します。

スタティック

スタティック ルールは宛先ネットワークと任意選択のポートおよびプロトコルで 1 対 1 変換を提供します。スタティック変換を設定する場合、送信元ゾーン、宛先ネットワーク、および宛先ポートを設定できます。宛先ゾーンまたは送信元ネットワークを設定できません。

元の宛先ネットワークを指定する 必要 があります。宛先ネットワークでは、単一の IP アドレスを含むネットワーク オブジェクトおよびグループを選択するか、または単一の IP アドレスを表すリテラル IP アドレスを入力することのみが可能です。元の宛先ネットワークと変換後の宛先ネットワークはそれぞれ 1 つのみ指定できます。

必要に応じて、元の宛先ポートと変換後の宛先ポートをそれぞれ 1 つ指定できます。元の宛先ポートを指定するには、その前に、元の宛先ネットワークを指定する必要があります。さらに、元の宛先ポートを指定しない場合は、変換後の宛先ポートを指定できません。また、変換後の値は、元の値のプロトコルと一致する必要があります。


注意 クラスタ デバイスのスタティック NAT に関して、NAT 変換で影響を受けるすべてのネットワークがプライベートの場合、個別のピア インターフェイスのみを選択します。パブリック ネットワークとプライベート ネットワーク間のトラフィックに影響するスタティック NAT ルールに対してこの設定を使用しないでください。

ダイナミック IP 専用

ダイナミック IP 専用ルールは多対多の送信元ネットワークを変換しますが、ポートおよびプロトコルを維持します ダイナミック IP 専用変換を設定する場合、ゾーン、送信元ネットワーク、元の宛先ネットワーク、および元の宛先ポートを設定できます。変換後の宛先ネットワークまたは変換後の宛先ポートは設定できません。

変換後の送信元ネットワークを少なくとも 1 つ指定する 必要 があります。変換後の送信元ネットワーク値の数が元の送信元ネットワークの数よりも小さい場合、元のアドレスがすべて照合される前に変換後のアドレスが不足する可能性があるという警告がルールに表示されます。

同じパケットに一致する条件を持つルールが複数個ある場合、優先度の低いルールはデッド ルールとなり、トリガーされなくなります。デッド ルールにも警告が表示されます。ツールチップを表示して、デッド ルールに代わるルールを判別できます。


デッド ルールを持つポリシーを保存し、適用することは可能ですが、ルールは変換を実現できません。


場合によっては、範囲の広いルールよりも優先される、範囲が限定されたルールを作成することをお勧めします。次に例を示します。

Rule 1: Match on address A and port A/Translate to address B
Rule 2: Match on address A/Translate to Address C

この例で、ルール 1 はルール 2 にも一致するいくつかのパケットに一致します。したがって、ルール 2 が完全に無効ではありません。

必要に応じて、元の宛先ポートだけを指定できます。変換後の宛先ポートは指定できません。

ダイナミック IP およびポート

ダイナミック IP およびポート ルールは多対 1 または多対多の送信元ネットワークとポートおよびプロトコルを変換します。ダイナミック IP およびポート変換を設定する場合、ゾーン、送信元ネットワーク、元の宛先ネットワーク、および元の宛先ポートを設定できます。変換後の宛先ネットワークまたは変換後の宛先ポートは設定できません。

変換後の送信元ネットワークを少なくとも 1 つ指定する 必要 があります。同じパケットに一致する条件を持つルールが複数個ある場合、優先度の低いルールはデッド ルールとなり、トリガーされなくなります。デッド ルールにも警告が表示されます。ツールチップを表示して、デッド ルールに代わるルールを判別できます。


デッド ルールを持つポリシーを保存し、適用することは可能ですが、ルールは変換を実現できません。


必要に応じて、元の宛先ポートだけを指定できます。変換後の宛先ポートは指定できません。


ダイナミック IP およびポート ルールを作成し、システムがポートを使用しないトラフィックを渡す場合、そのトラフィックに対して変換は発生しません。たとえば、送信元ネットワークに一致する IP アドレスからの ping(ICMP)は、ICMP がポートを使用しないため、マッピングされません。


次の表に、指定された NAT ルール タイプに基づいて設定可能な NAT ルールの条件タイプをまとめています。

 

表 12-8 NAT ルール タイプごとに使用可能な NAT ルールの条件タイプ

条件
スタティック
ダイナミック(IP 専用または IP およびポート)

送信元ゾーン

任意

任意

宛先ゾーン

不可

任意

元の送信元ネットワーク

不可

任意

変換後の送信元ネットワーク

不可

必須

元の宛先ネットワーク

必須

任意

変換後の宛先ネットワーク

オプション。単一アドレスのみ

不可

元の宛先ポート

オプション。単一ポートでのみ、元の宛先ネットワークを定義する場合のみ可能

任意

変換後の宛先ポート

オプション。単一ポートでのみ、元の宛先ポートを定義する場合のみ可能

不可

NAT ルール条件と条件のしくみについて

ライセンス:任意

ルールに一致するトラフィックのタイプを識別するために NAT ルールに条件を追加できます。それぞれの条件タイプごとに、使用可能条件リストから、ルールに追加する条件を選択します。条件フィルタを適用できる場合は、条件フィルタを使って使用可能な条件を限定できます。使用可能な条件リスト、および選択した条件リストは、1 つの条件だけを含む場合も、数ページに及ぶ場合もあります。使用可能な条件は検索することができ、名前や値を入力するとそれに一致する条件だけが表示され、入力していくにつれてそのリストが更新されます。

条件のタイプに応じて、使用可能条件リストには、シスコから直接提供された条件と、他の FireSIGHT システム機能を使って設定された条件が一緒に含まれることがあります。その中には、オブジェクト マネージャ ([Objects] > [Object Management] )を使って作成されたオブジェクト、個別の条件ページから直接作成されたオブジェクト、およびリテラル条件が含まれます。

ルール条件の指定については、次の項を参照してください。

「NAT ルール条件について」に、さまざまなタイプのルール条件の定義を示します。

「NAT ルールへの条件の追加」に、ルール条件を選択および追加するためのコントロールを示しています。

「NAT ルール条件リストの検索」では、使用可能な条件の検索方法を説明します。入力した名前や値に一致する条件だけが表示され、入力していくにつれてそのリストが更新されます。

「NAT ルールへのリテラル条件の追加」に、リテラル条件をルールに追加する方法の説明を示します。

「NAT ルール条件でのオブジェクトの使用」では、該当する条件タイプの設定ページから個別のオブジェクトをシステムに追加する方法について説明します。

NAT ルール条件について

ライセンス:任意

次の表で説明されている条件のいずれかを満たすトラフィックを照合するための NAT ルールを設定できます。

 

表 12-9 NAT ルールの条件タイプ

条件
説明
サポートされる防御センター
サポートされるデバイス

ゾーン

NAT ポリシーを適用できる 1 つ以上のルーテッド インターフェイスの設定。ゾーンは、送信元インターフェイスと宛先インターフェイスでトラフィックを分類するメカニズムであり、ルールに送信元のゾーン条件と宛先のゾーン条件を追加することができます。オブジェクト マネージャを使ってゾーンを作成する方法については、「セキュリティ ゾーンの操作」を参照してください。

任意

シリーズ 3

ネットワーク

明示的に指定された、またはネットワーク オブジェクトとグループ(「ネットワーク オブジェクトの操作」を参照)を使って指定された、個別の IP アドレス、CIDR ブロック、およびプレフィクス長からなる任意の組み合わせ。NAT ルールに送信元ネットワークおよび宛先ネットワークの条件を追加できます。

任意

シリーズ 3

宛先ポート

トランスポート プロトコルに基づいて作成される、個別のポート オブジェクトとグループ ポート オブジェクトを含むトランスポート プロトコル ポート。オブジェクト マネージャを使用して個別のトランスポート プロトコル オブジェクトとグループ トランスポート プロトコル オブジェクトを作成する方法については、「ポート オブジェクトの操作」を参照してください。

任意

シリーズ 3

NAT ルールへの条件の追加

ライセンス:任意

NAT ルールへの条件の追加は基本的にどの条件のタイプでも同じです。左側の使用可能な条件のリストから選択して、右側で選択した条件の 1 つまたは 2 つのリストに、選択した条件を追加します。

すべての条件タイプで、使用可能な個々の条件を 1 つまたは複数クリックすると、それが強調表示され、選択状態になります。2 つのタイプのリスト間にあるボタンをクリックして選択した使用可能な条件を選択した条件のリストに追加するか、または選択した使用可能な条件を選択した条件のリストにドラッグ アンド ドロップします。

選択済み条件リストには、タイプごとに最大 50 個までの条件を追加できます。たとえばアプライアンスの上限に達するまで、最大 50 個の送信元ゾーン条件、最大 50 個の宛先ゾーン条件、最大 50 個の送信元ネットワーク条件などを追加できます。

次の表に、条件を選択してルールに追加する際に実行できる操作の説明を示します。

 

表 12-10 NAT ルールへの条件の追加

目的
可能な操作

使用可能な条件を選択して、選択済み条件のリストに追加する

使用可能な条件をクリックします。複数の条件を選択するには Ctrl キーと Shift キーを使用します。

リストされたすべての使用可能な条件を選択する

いずれかの使用可能な条件の行を右クリックし、[Select All] をクリックします。

使用可能な条件またはフィルタのリストを検索する

検索フィールド内をクリックし、検索文字列を入力します。 詳細については、「NAT ルール条件リストの検索」を参照してください。

使用可能な条件やフィルタを検索しているときに検索内容をクリアする

検索フィールドの上のリロード アイコン( )、または検索フィールド内のクリア アイコン( )をクリックします。

使用可能な条件のリストから選択したゾーン条件を、選択した送信元または宛先の条件のリストに追加する

[Add to Source] または [Add to Destination] をクリックします。詳細については、「NAT ルールへのゾーン条件の追加」を参照してください。

使用可能な条件のリストから選択したネットワークとポートの条件を、選択した元または変換後の条件のリストに追加する

[Add to Original] または [Add to Translated] をクリックします。詳細については、「ダイナミック NAT ルールへの送信元ネットワーク条件の追加」「NAT ルールへの宛先ネットワーク条件の追加」、または「NAT ルールへのポート条件の追加」を参照してください。

選択した使用可能な条件を、選択済み条件リストにドラッグ アンド ドロップする

選択した条件をクリックし、選択した条件のリストにドラッグ アンド ドロップします。

リテラル フィールドを使用して、選択済み条件リストにリテラル条件を追加する

クリックしてリテラル フィールドからプロンプトを除去し、リテラル条件を入力して、[Add] をクリックします。ネットワーク条件は、リテラル条件を追加するためのフィールドを提供します。

ドロップダウン リストを使用して、選択済み条件リストにリテラル条件を追加する

ドロップダウン リストから条件を選択して、[Add] をクリックします。ポート条件には、リテラル条件を追加するためのドロップダウン リストがあります。詳細については、「NAT ルールへのポート条件の追加」を参照してください。

個々のオブジェクトまたは条件フィルタを追加して、使用可能条件リストからそれを選択できるようにする

追加アイコン( )をクリックします。オブジェクト マネージャを使ってオブジェクトを追加する方法については、「再利用可能なオブジェクトの管理」を参照してください。

選択済み条件リストから 1 つの条件を削除する

条件の横にある削除アイコン( )をクリックします。

選択済み条件リストから 1 つの条件を削除する

1 つの選択済み条件の行を右クリックして強調表示し、[Delete] をクリックします。

選択済み条件リストから複数の条件を削除する

Shift キーと Ctrl キーを使って複数の条件を選択するか、右クリックして [Select All] を選択します。次に、いずれかの選択済み条件の行を右クリックして強調表示し、[Delete Selected] をクリックします。

該当する条件ページとポリシー編集ページで、ポインタを 1 つの個別オブジェクトの上に置くとそのオブジェクトの内容が表示され、グループ オブジェクトの上に置くと、グループ内の個々のオブジェクトの数が表示されます。

新しいルールに条件を追加する基本的な手順を次に示します。ルールの追加と変更に関する詳しい説明は、「NAT ルールの作成と編集」を参照してください。

使用可能な条件を選択済み条件リストに追加する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 変更する NAT ポリシーの横にある編集アイコン( )をクリックします。

ポリシーの [Edit] ページが表示されます。

ステップ 3 [Add Rule] をクリックします。

[Add Rule] ページが表示されます。

ステップ 4 ルールに追加する条件タイプに対応したタブをクリックします。

選択した条件のタイプに対応する条件ページが表示されます。

ステップ 5 「NAT ルールへの条件の追加」 表に含まれているいずれかのアクションを実行します。

ステップ 6 設定を保存するには、[Add] をクリックします。

ルールが追加され、ポリシー編集ページが表示されます。


 

NAT ルール条件リストの検索

ライセンス:任意

使用可能な NAT ルール条件のリストをフィルタして、リストに表示される項目の数を制限できます。入力していくと、リストが更新されて一致する項目が表示されます。

オプションで、オブジェクト名およびオブジェクトに設定されている値を検索対象にすることができます。たとえば Texas Office という名前の個別ネットワーク オブジェクトがあり、 192.168.3.0/24 という値が設定されていて、 US Offices というグループ オブジェクトに含まれる場合、 Tex などの部分的または完全な検索文字列を入力するか、または 3 などの値を入力することにより、両方のオブジェクトを表示できます。

新しいルールでリストをフィルタ処理する基本的な手順を次に示します。ルールの追加と変更に関する詳しい説明は、「NAT ルールの作成と編集」を参照してください。

使用可能な条件のリストを検索する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [NAT] を選択します。

[NAT] ページが表示されます。

ステップ 2 変更する NAT ポリシーの横にある編集アイコン( )をクリックします。

ポリシーの [Edit] ページが表示されます。

ステップ 3 [Add Rule] をクリックします。

[Add Rule] ページが表示されます。

ステップ 4 リストを検索するには、検索フィールド内部をクリックしてプロンプトをクリアした後、検索文字列を入力します。

入力していくとリストが更新され、一致する項目とクリア アイコン( )が検索フィールドに表示されます。検索文字列に一致する項目がない場合、リストが更新されて、リストには何も表示されません。

ステップ 5 オプションで、[Search] フィールドの上のリロード アイコン( )をクリックするか、[Search] フィールド内のクリア アイコン( )をクリックして、検索文字列を消去します。

完全なリストが表示されます。

ステップ 6 設定を保存するには、[Add] をクリックします。

ルールが追加され、ポリシー編集ページが表示されます。


 

NAT ルールへのリテラル条件の追加

ライセンス:任意

次の条件タイプについて、元のおよび変換後の条件のリストにリテラル値を追加できます。

ネットワーク

ポート

ネットワーク条件の場合、元のまたは変換後の条件リストの下にある設定フィールドにリテラル値を入力します。

ポート条件では、ドロップダウン リストからプロトコルを選択します。プロトコルが [All] の場合、またオプションでプロトコルが [TCP] または [UDP] の場合、設定フィールドにポート番号を入力します。

該当するそれぞれの条件ページには、リテラル値を追加するために必要なコントロールがあります。設定フィールドに入力した値が無効である場合や、まだ有効と認識されていない場合は、赤いテキストとして表示されます。入力時に有効と認識された値は青色に変わります。有効な値が認識されると、グレー表示の [Add] ボタンがアクティブになります。追加したリテラル値は、選択済み条件リストにただちに表示されます。

それぞれのタイプのリテラル値を追加する詳しい方法については、次を参照してください。

「ダイナミック NAT ルールへの送信元ネットワーク条件の追加」

「NAT ルールへの宛先ネットワーク条件の追加」

「NAT ルールへのポート条件の追加」

NAT ルール条件でのオブジェクトの使用

ライセンス:任意

オブジェクト マネージャ([Objects] > [Object Management])で作成されたオブジェクトは、使用可能な NAT ルール条件の関連リストからすぐに選択可能になります。詳細については、「再利用可能なオブジェクトの管理」を参照してください。

NAT ポリシーから直接オブジェクトを作成することもできます。該当する条件ページ上のコントロールでは、オブジェクト マネージャでの設定コントロールと同じ機能を利用できます。

直接作成された個別のオブジェクトは使用可能なオブジェクトのリストにすぐに表示されます。それらを現在のルールと他の既存および将来のルールに追加できます。該当する条件ページとポリシー編集ページで、ポインタを 1 つの個別オブジェクトの上に置くとそのオブジェクトの内容が表示され、グループ オブジェクトの上に置くと、グループ内の個々のオブジェクトの数が表示されます。

NAT ルールのさまざまな条件タイプの使用

ライセンス:任意

トラフィックを 1 つまたは複数のルール条件と照合できます。詳細については、次の項を参照してください。

「NAT ルールへのゾーン条件の追加」ではオブジェクト マネージャを使用して作成したセキュリティ ゾーンにより、トラフィックを照合する方法について説明します。

「ダイナミック NAT ルールへの送信元ネットワーク条件の追加」および「NAT ルールへの宛先ネットワーク条件の追加」では IP アドレスまたはアドレス ブロックによりトラフィックを照合する方法について説明します。

「NAT ルールへのポート条件の追加」では指定した転送プロトコル ポートにより、トラフィックを照合する方法について説明します。

NAT ルールへのゾーン条件の追加

ライセンス:任意

システムのセキュリティ ゾーンは、管理対象デバイス上のインターフェイスで構成されます。NAT ルールに追加するゾーンは、それらのゾーン内にルーテッドまたはハイブリッド インターフェイスを持つネットワーク上のデバイスへのルールをターゲットにします。NAT ルールの条件として、ルーテッドまたはハイブリッド インターフェイスを持つセキュリティ ゾーンのみを追加できます。オブジェクト マネージャを使ってセキュリティ ゾーンを作成する方法については、「セキュリティ ゾーンの操作」を参照してください。

現在仮想ルータに割り当てられているゾーンまたはスタンドアロン インターフェイスのどちらかを NAT ルールに追加できます。デバイス設定が適用されていないデバイスがある場合、[Zones] ページの使用可能なゾーン リストの上に警告アイコン( )が表示され、適用済みのゾーンおよびインターフェイスのみが表示されることが示されます。ゾーンの横にある矢印アイコン( )をクリックして、ゾーンを縮小または展開し、そのインターフェイスを非表示または表示することができます。

インターフェイスがクラスタ デバイス上にある場合、使用可能なゾーンのリストに、そのインターフェイスからの追加のブランチが表示されると共に、クラスタ内の他のインターフェイスがクラスタ内のアクティブなデバイスのプライマリ インターフェイスの子として表示されます。矢印アイコン( )をクリックして、クラスタ インターフェイスを縮小または展開し、そのインターフェイスを非表示または表示することもできます。


無効にされたインターフェイスを持つポリシーを保存して適用できますが、インターフェイスが有効になるまでルールは変換を実現できません。


右側の 2 つのリストは、NAT ルールによって照合目的に使用される送信元ゾーンと宛先のゾーンです。すでにルールに値が設定されている場合、ルールを編集する際、これらのリストには既存の値が表示されます。送信元ゾーンのリストが空の場合、ルールは任意のゾーンまたはインターフェイス からの トラフィックを照合します。宛先ゾーンのリストが空の場合、ルールは任意のゾーンまたはインターフェイス 宛ての トラフィックを照合します。

対象のデバイスでトリガーされることがないゾーンの組み合わせを持つルールに対しては警告が表示されます。


これらのゾーンの組み合わせを持つポリシーを保存して適用できますが、ルールは変換を実現しません。


ゾーン内の項目を選択するか、またはスタンドアロン インターフェイスを選択することによって、個別のインターフェイスを追加できます。割り当てられているゾーンがまだ送信元ゾーンまたは宛先ゾーンのリストに追加されていない場合のみ、ゾーン内のインターフェイスを追加できます。これらの個別に選択されたインターフェイスは、削除して別のゾーンに追加した場合でも、ゾーンに対する変更に影響されません。インターフェイスがクラスタのプライマリ メンバーであり、ダイナミック ルールを設定する場合、プライマリ インターフェイスのみを送信元ゾーンまたは宛先ゾーンのリストに追加できます。スタティック ルールの場合、送信元ゾーンのリストに個別のクラスタ メンバー インターフェイスを追加できます。プライマリ クラスタ インターフェイスは、その子がまったく追加されていない場合だけ、リストに追加できます。また、個別のクラスタ インターフェイスは、プライマリが追加されていない場合だけ追加できます。

ゾーンを追加すると、ルールはゾーンに関連付けられたすべてのインターフェイスを使用します。ゾーンに対してインターフェイスを追加または削除すると、インターフェイスが存在するデバイスにデバイス設定が再適用されるまで、ルールはゾーンの更新バージョンを使用しません。


スタティック NAT ルールでは、送信元ゾーンのみを追加できます。ダイナミック NAT ルールでは、送信元ゾーンと宛先ゾーンの両方を追加できます。


次の手順では、NAT ルールの追加または編集の際に、送信元と宛先のゾーン条件を追加する方法について説明します。詳細については、「NAT ルール条件と条件のしくみについて」を参照してください。

ゾーン条件を NAT ルールに追加する方法:

アクセス:Admin/Network Admin


ステップ 1 ルール編集ページの [Zones] タブを選択します。

[Zones] ページが表示されます。

ステップ 2 必要に応じて、[Available Zones] リストの上にある [Search by name] プロンプトをクリックし、名前か値を入力します。

入力していくと、リストが更新されて一致する条件が表示されます。詳細については、「NAT ルール条件リストの検索」を参照してください。

ステップ 3 [Available Zones] リスト内のゾーンまたはインターフェイスをクリックします。複数の条件を選択するには、Shift キーと Ctrl キーを使用するか、右クリックして [Select All] をクリックします。

選択した条件が強調表示されます。

ステップ 4 次の選択肢があります。

送信元ゾーンによりトラフィックを照合するには、[Add to Source] をクリックします。

宛先ゾーンによりトラフィックを照合するには、[Add to Destination] をクリックします。

オプションで、選択した条件を [Source Zones] リストまたは [Destination Zones] リストにドラッグ アンド ドロップできます。

選択した条件が追加されます。無効になっているインターフェイスを NAT ルールに追加できますが、ルールは変換を実現しないことに注意してください。


スタティック NAT ルールには送信元ゾーンのみを追加できます。


ステップ 5 ルールを保存するか、編集を続けます。

変更内容を有効にするには、NAT ポリシーを適用する必要があります。「NAT ポリシーの適用」を参照してください。


 

ダイナミック NAT ルールへの送信元ネットワーク条件の追加

ライセンス:任意

パケットの送信元 IP アドレスの照合値と変換値を設定します。元の送信元ネットワークが設定されていない場合、すべての送信元 IP アドレスがダイナミック NAT ルールに一致します。スタティック NAT ルールの送信元ネットワークは設定できないことに注意してください。パケットが NAT ルールに一致すると、システムは変換後の送信元ネットワークの値を使用して、送信元 IP アドレスの新しい値を割り当てます。ダイナミック ルール用に少なくとも 1 つの値を持つ変換後の送信元ネットワークを設定する必要があります。


注意 ネットワーク オブジェクトまたはオブジェクト グループが NAT ルールで使用されている場合に、オブジェクトまたはグループを変更または削除すると、ルールが無効になる可能性があります。

ダイナミック NAT ルールに、次の種類の送信元ネットワーク条件を追加できます。

オブジェクト マネージャを使って作成した個別およびグループのネットワーク オブジェクト

オブジェクト マネージャを使用して個別のネットワーク オブジェクトとグループ ネットワーク オブジェクトを作成する方法については、「ネットワーク オブジェクトの操作」を参照してください。

送信元ネットワーク条件のページから追加し、ユーザのルールと他の既存および将来のルールに追加可能な個別のネットワーク オブジェクト

詳細については、「NAT ルール条件でのオブジェクトの使用」を参照してください。

リテラル、単一 IP アドレス、範囲、またはアドレス ブロック

詳細については、「NAT ルールへのリテラル条件の追加」を参照してください。

次の手順では、ダイナミック NAT ルールの追加または編集の際に、送信元ネットワーク条件を追加する方法について説明します。詳細については、「NAT ルール条件と条件のしくみについて」を参照してください。

ネットワーク条件をダイナミック NAT ルールに追加する方法:

アクセス:Admin/Network Admin


ステップ 1 ルールの編集ページの [Source Networks] タブを選択します。

[Source Network] ページが表示されます。

ステップ 2 必要に応じて、[Available Networks] リストの上にある [Search by name or value] プロンプトをクリックし、名前か値を入力します。

入力していくと、リストが更新されて一致する条件が表示されます。詳細については、「NAT ルール条件リストの検索」を参照してください。

ステップ 3 [Available Networks] リスト内の条件をクリックします。複数の条件を選択するには、Shift キーと Ctrl キーを使用するか、右クリックして [Select All] をクリックします。

選択した条件が強調表示されます。

ステップ 4 次の選択肢があります。

元の送信元ネットワークによりトラフィックを照合するには、[Add to Original] をクリックします。

変換後の送信元ネットワークと照合するトラフィックの変換値を指定するには、[Add to Translated] をクリックします。

または、選択した条件を [Original Source Network] リストまたは [Translated Source Network] リストにドラッグ アンド ドロップできます。

選択した条件が追加されます。

ステップ 5 オプションで、[Available Networks] リストの上にある追加アイコン( )をクリックし、個別のネットワーク オブジェクトを追加します。

各ネットワーク オブジェクトに複数の IP アドレス、CIDR ブロック、およびプレフィクス長を追加できます。

その後、オプションで、追加済みのオブジェクトを選択できます。詳細については、「ネットワーク オブジェクトの操作」および「NAT ルール条件でのオブジェクトの使用」を参照してください。

ステップ 6 オプションで、[Original Source Network] リストまたは [Translated Source Network] リストの下の [Enter an IP address] プロンプトをクリックします。次に、IP アドレス、範囲、またはアドレス ブロックを入力して、[Add] をクリックします。

範囲は、下位の IP アドレス-上位の IP アドレスの形式で追加します。例: 179.13.1.1-179.13.1.10

リストが更新されて、それらのエントリが表示されます。詳細については、「NAT ルールへのリテラル条件の追加」を参照してください。

ステップ 7 ルールを保存するか、編集を続けます。

変更内容を有効にするには、NAT ポリシーを適用する必要があります。「NAT ポリシーの適用」を参照してください。


 

NAT ルールへの宛先ネットワーク条件の追加

ライセンス:任意

パケットの宛先 IP アドレスの照合値と変換値を設定します。ダイナミック NAT ルールの変換後の宛先ネットワークを設定できないことに注意してください。

スタティック NAT ルールは 1 対 1 変換であるため、[Available Networks] リストには単一の IP アドレスのみを含むネットワーク オブジェクトおよびグループのみが含まれます。スタティック変換用に、単一のオブジェクトまたはリテラル値のみを [Original Destination Network] リストと [Translated Destination Network] リストの両方に追加できます。


注意 ネットワーク オブジェクトまたはオブジェクト グループが NAT ルールで使用されている場合に、オブジェクトまたはグループを変更または削除すると、ルールが無効になる可能性があります。

NAT ルールに、次の種類の宛先ネットワーク条件を追加できます。

オブジェクト マネージャを使って作成した個別およびグループのネットワーク オブジェクト

オブジェクト マネージャを使用して個別のネットワーク オブジェクトとグループ ネットワーク オブジェクトを作成する方法については、「ネットワーク オブジェクトの操作」を参照してください。

宛先ネットワーク条件のページから追加し、ユーザのルールと他の既存および将来のルールに追加可能な個別のネットワーク オブジェクト

詳細については、「NAT ルール条件でのオブジェクトの使用」を参照してください。

リテラル、単一 IP アドレス、範囲、またはアドレス ブロック

スタティック NAT ルールでは、リストにまだ値がない場合に限り、CIDR とサブネット マスク /32 のみを追加できます。

詳細については、「NAT ルールへのリテラル条件の追加」を参照してください。

次の手順では、NAT ルールの追加または編集の際に、宛先ネットワーク条件を追加する方法について説明します。詳細については、「NAT ルール条件と条件のしくみについて」を参照してください。

宛先ネットワーク条件を NAT ルールに追加する方法:

アクセス:Admin/Network Admin


ステップ 1 ルールの編集ページの [Destination Network] タブを選択します。

[Destination Network] ページが表示されます。

ステップ 2 必要に応じて、[Available Networks] リストの上にある [Search by name or value] プロンプトをクリックし、名前か値を入力します。

入力していくと、リストが更新されて一致する条件が表示されます。詳細については、「NAT ルール条件リストの検索」を参照してください。

ステップ 3 [Available Networks] リスト内の条件をクリックします。複数の条件を選択するには、Shift キーと Ctrl キーを使用するか、右クリックして [Select All] をクリックします。

選択した条件が強調表示されます。

ステップ 4 次の選択肢があります。

元の宛先ネットワークによりトラフィックを照合するには、[Add to Original] をクリックします。

変換後の宛先ネットワークと照合するトラフィックの変換値を指定するには、[Add to Translated] をクリックします。

または、選択した条件を [Original Destination Network] リストまたは [Translated Destination Network] リストにドラッグ アンド ドロップできます。

選択した条件が追加されます。

ステップ 5 オプションで、[Available Networks] リストの上にある追加アイコン( )をクリックし、個別のネットワーク オブジェクトを追加します。

ダイナミック ルールの場合、各ネットワーク オブジェクトに複数の IP アドレス、CIDR ブロック、およびプレフィクス長を追加できます。スタティック ルールの場合、単一の IP アドレスのみを追加できます。その後、オプションで、追加済みのオブジェクトを選択できます。詳細については、「ネットワーク オブジェクトの操作」および「NAT ルール条件でのオブジェクトの使用」を参照してください。

ステップ 6 オプションで、[Original Destination Network] リストまたは [Translated Destination Network] リストの下の [Enter an IP address] プロンプトをクリックし、次に、IP アドレスまたはアドレス ブロックを入力して、[Add] をクリックします。

リストが更新されて、それらのエントリが表示されます。詳細については、「NAT ルールへのリテラル条件の追加」を参照してください。

ステップ 7 ルールを保存するか、編集を続けます。

変更内容を有効にするには、NAT ポリシーを適用する必要があります。「アクセス コントロール ポリシーの適用」を参照してください。


 

NAT ルールへのポート条件の追加

ライセンス:任意

ルールにポート条件を追加し、元と変換後の宛先ポートおよび変換用の転送プロトコルに基づいて、ネットワーク トラフィックを照合できます。元のポートが設定されていない場合、すべての宛先ポートがルールに一致します。パケットが NAT ルールに一致し、変換後の宛先ポートが設定されている場合、システムはその値にポートを変換します。ダイナミック ルールでは元の宛先ポートのみを指定できることに注意してください。スタティック ルールの場合、変換後の宛先ポートを定義できますが、元の宛先ポート オブジェクトまたはリテラル値と同じプロトコルを持つオブジェクトでのみ可能です。

システムは宛先ポートを、スタティック ルールの元の宛先ポート リスト内のポート オブジェクトまたはリテラル ポートの値、またはダイナミック ルールの複数の値と照合します。

スタティック NAT ルールは 1 対 1 変換であるため、[Available Ports] リストには単一のポートのみを含むポート オブジェクトおよびグループのみが含まれます。スタティック変換用に、単一のオブジェクトまたはリテラル値のみを [Original Port] リストと [Translated Port] リストの両方に追加できます。

ダイナミック ルールの場合は、ポートの範囲を追加できます。たとえば、元の宛先ポートを指定する場合、リテラル値として 1000-1100 を追加できます。


注意 ポート オブジェクトまたはオブジェクト グループが NAT ルールで使用されている場合に、オブジェクトまたはグループを変更または削除すると、ルールが無効になる可能性があります。

NAT ルールに、次の種類のポート条件を追加できます。

オブジェクト マネージャを使って作成した個別およびグループのポート オブジェクト

オブジェクト マネージャを使用して個別のポート オブジェクトとグループ ポート オブジェクトを作成する方法については、「ポート オブジェクトの操作」を参照してください。

宛先ポート条件のページから追加し、ユーザのルールと他の既存および将来のルールに追加可能な個別のポート オブジェクト

詳細については、「NAT ルール条件でのオブジェクトの使用」を参照してください。

TCP、UDP、またはすべて(TCP および UDP)の転送プロトコルとポートから構成されるリテラル ポート値

詳細については、「NAT ルールへのリテラル条件の追加」を参照してください。

次の手順では、NAT ルールの追加または編集の際に、ポート条件を追加する方法について説明します。詳細については、「NAT ルール条件と条件のしくみについて」を参照してください。

宛先ポート条件を NAT ルールに追加する方法:

アクセス:Admin/Network Admin


ステップ 1 ルールの編集ページの [Destination Port] タブを選択します。

[Destination Port] ページが表示されます。

ステップ 2 必要に応じて、[Available Ports] リストの上にある [Search by name or value] プロンプトをクリックし、名前または値を入力します。

入力していくと、リストが更新されて一致する条件が表示されます。詳細については、「NAT ルール条件リストの検索」を参照してください。

ステップ 3 [Available Ports] リスト内の条件をクリックします。複数の条件を選択するには、Shift キーと Ctrl キーを使用するか、右クリックしてすべての条件を選択します。なお、最大で 50 個の条件を追加できます。

選択した条件が強調表示されます。

ステップ 4 次の選択肢があります。

[Add to Original] をクリックして、選択したポートを [Original Ports] リストに追加します。

[Add to Translated] をクリックして、選択したポートを [Translated Ports] リストに追加します。

使用可能なポートをリストにドラッグ アンド ドロップします。

ステップ 5 オプションで、個別のポート オブジェクトを作成して追加するには、[Available Ports] リストの上の追加アイコン( )をクリックします。

追加する各ポート オブジェクトで、単一のポーとまたはポート範囲を指定できます。その後、追加済みのオブジェクトをルールの条件として選択できます。詳細については、「NAT ルール条件でのオブジェクトの使用」を参照してください。

スタティック ルールの場合、単一のポートを持つポート オブジェクトのみを使用できます。

ステップ 6 オプションで、リテラル ポートを追加するには、[Original Port] リストまたは [Translated Port] リストの下の [Protocol] ドロップダウン リストからエントリを選択します。

ポートを入力し、[Add] をクリックします。0 から 65535 までのポート番号を指定できます。ダイナミック ルールの場合、単一のポートまたは範囲を指定できます。

リストが更新され、選択内容が表示されます。詳細については、「NAT ルールへのリテラル条件の追加」を参照してください。

選択した条件が追加されます

ステップ 7 ルールを保存するか、編集を続けます。

変更内容を有効にするには、NAT ポリシーを適用する必要があります。「NAT ポリシーの適用」を参照してください。