Cisco ASA シリーズ ファイアウォール ASDM コンフィギュレーション ガイド ソフトウェア バージョン 7.1 ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA 5585-X、および ASA サービス モジュール用
NAT の設定(ASA 8.2 以前)
NAT の設定(ASA 8.2 以前)
発行日;2013/10/09 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

NAT の設定(ASA 8.2 以前)

NAT の概要

NAT の概要

ルーテッド モードの NAT

トランスペアレント モードの NAT

NAT コントロール

NAT のタイプ

ダイナミック NAT

PAT

スタティック NAT

スタティック PAT

NAT 制御がイネーブルな状態での NAT のバイパス

ポリシー NAT

NAT および同じセキュリティ レベルのインターフェイス

実際のアドレスとの照合に使用される NAT ルールの順序

マッピング アドレスの注意事項

DNS および NAT

NAT 制御の設定

ダイナミック NAT の使用

ダイナミック NAT の実装

プール ID を使用した実際のアドレスとグローバル プールのペア

別のインターフェイス上の同じグローバル プールを使用する NAT ルール

複数のインターフェイス上の同じプール ID を持つグローバル プール

同じインターフェイス上の異なるグローバル プールを使用する複数の NAT ルール

同じグローバル プール内の複数のアドレス

外部 NAT

NAT ルール内の実際のアドレスは同位または低位のセキュリティ レベルのインターフェイスすべてで変換が必要

グローバル プールの管理

ダイナミック NAT、ダイナミック PAT、またはダイナミック アイデンティティ NAT の設定

ダイナミック ポリシー NAT またはダイナミック ポリシー PAT の設定

スタティック NAT の使用

スタティック NAT、スタティック PAT、またはスタティック アイデンティティ NAT の設定

スタティック ポリシー NAT、スタティック ポリシー PAT、またはスタティック ポリシー アイデンティティ NAT の設定

NAT 免除の使用

NAT の設定(ASA 8.2 以前)

この章では、ネットワーク アドレス変換について説明します。次の項目を取り上げます。

「NAT の概要」

「NAT 制御の設定」

「ダイナミック NAT の使用」

「スタティック NAT の使用」

「NAT 免除の使用」

NAT の概要

ここでは、ASA 上での NAT の機能について説明します。次の項目を取り上げます。

「NAT の概要」

「ルーテッド モードの NAT」

「トランスペアレント モードの NAT」

「NAT コントロール」

「NAT のタイプ」

「ポリシー NAT」

「NAT および同じセキュリティ レベルのインターフェイス」

「実際のアドレスとの照合に使用される NAT ルールの順序」

「マッピング アドレスの注意事項」

「DNS および NAT」

NAT の概要

アドレス変換は、パケット内の実際のアドレスを、宛先ネットワーク上でルーティング可能な、マッピングされたアドレスで置き換えます。NAT は 2 つのステップで構成されます。実際のアドレスをマッピング アドレスに変換するプロセスと、リターン トラフィック用に変換を元に戻すプロセスです。

ASAは、NAT ルールがトラフィックに一致すると、アドレスを変換します。NAT ルールが一致しなかった場合、パケットの処理が続行されます。ただし、NAT 制御をイネーブルにしている場合は例外です。NAT 制御では、よりセキュリティの高いインターフェイス(内部)からよりセキュリティの低いインターフェイス(外部)へのパケット通過は NAT ルールに一致している必要があります。一致していない場合、パケットの処理は停止します。セキュリティ レベルに関する詳細については、一般的な操作のコンフィギュレーション ガイドのを参照してください。NAT 制御の詳細については、「NAT コントロール」を参照してください。


) このマニュアルでは、すべてのタイプの変換を NAT と呼びます。NAT の説明では、内部および外部という用語は任意の 2 つのインターフェイス間のセキュリティ関係を表しています。セキュリティ レベルの高い方が内部で、セキュリティ レベルの低い方が外部になります。たとえば、インターフェイス 1 が 60 でインターフェイス 2 が 50 の場合、インターフェイス 1 が「内部」、インターフェイス 2 が「外部」です。


NAT の利点の一部を紹介します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT は他のネットワークから実アドレスを隠すので、攻撃側はホストの実アドレスを突き止めることができません。

重複アドレスなど、IP ルーティングの問題を解決できます。

NAT でサポートされないプロトコルについては、表 9-1を参照してください。

ルーテッド モードの NAT

図 5-1 は、内部にプライベート ネットワークを持つ、ルーテッド モードの一般的な NAT の例を示しています。10.1.1.27 にある内部ホストが Web サーバにパケットを送信すると、そのパケットの送信元実アドレス 10.1.1.27 がマップ アドレス 209.165.201.10 に変更されます。サーバが応答すると、応答がマッピング アドレス 209.165.201.10 に送信されます。そのパケットをセキュリティ アプライアンスが受信します。セキュリティ アプライアンスはその後、パケットをホストに送信する前に、変換したマッピング アドレス 209.165.201.10 を元の実際のアドレス 10.1.1.1.27 に戻します。

図 5-1 NAT の例:ルーテッド モード

 

トランスペアレント モードの NAT

NAT をトランスペアレント モードで使用すると、ネットワークで NAT を実行するためのアップストリーム ルータまたはダウンストリーム ルータが必要なくなります。たとえば、トランスペアレント ファイアウォール ASA は 2 つの VRF 間で役立ちます。つまり、VRF およびグローバル テーブル間で BGP ネイバー関係を確立できます。ただし、VRF ごとの NAT はサポートされない場合があります。この場合、トランスペアレント モードで NAT を使用することが必要不可欠です。

トランスペアレント モードの NAT には、次の要件および制限があります。

マッピング アドレスがトランスペアレント ファイアウォールと同じネットワーク上にない場合、アップストリーム ルータで、(ASA から)ダウンストリーム ルータを指しているマッピング アドレスにスタティック ルートを追加する必要があります。

NAT および検査がイネーブルである VoIP または DNS トラフィックがある場合、VoIP パケットおよび DNS パケット内の IP アドレスを正常に変換するには、ASA でルート ルックアップを実行する必要があります。ホストが直接接続されたネットワーク上にない限り、パケットに埋め込まれている実際のホスト アドレス用のスタティック ルーツをASAで追加する必要があります。

alias コマンドはサポートされていません。

トランスペアレント ファイアウォールにはインターフェイス IP アドレスがないため、インターフェイス PAT を使用できません。

ARP インスペクションはサポートされていません。さらに、何らかの理由でファイアウォールの片側にあるホストからもう片側にあるホストに ARP 要求が送信され、送信側ホストの実アドレスが同じサブネット上の別のアドレスにマップされている場合、その実アドレスは ARP 要求で表示されたままになります。

図 5-2 に、インターフェイス内部と外部に同じネットワークを持つ、トランスペアレント モードの一般的な NAT のシナリオを示します。このシナリオのトランスペアレント ファイアウォールは NAT サービスを実行しているため、アップストリーム ルータは NAT を実行する必要がありません。内部ホスト 10.1.1.27 が Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.1.27 はマッピング アドレス 209.165.201.10 に変更されます。サーバが応答すると、マッピング アドレス 209.165.201.10 に応答を送信し、ASA がそのパケットを受信します。これは、アップストリーム ルータには、ASA を経由するスタティック ルートのこのマッピング ネットワークが含まれるためです。その後、ASA はマッピング アドレス 209.165.201.10 を変換して実際のアドレス 10.1.1.1.27 に戻します。実際のアドレスは直接接続されているため、ASAはそのアドレスを直接ホストに送信します。

図 5-2 NAT の例:トランスペアレント モード

 

NAT コントロール

NAT 制御では、内部インターフェイスから外部インターフェイスに移動するパケットが NAT 規則と一致する必要があります。内部ネットワークの任意のホストが外部ネットワークのホストにアクセスできるようにするには、内部ホスト アドレスが変換されるように NAT を設定する必要があります(図 5-3 を参照)。

図 5-3 NAT 制御と発信トラフィック

 

セキュリティ レベルが同じインターフェイス同士で通信する場合には、NAT を使用する必要はありません。ただし、ダイナミック NAT または PAT を同じセキュリティ レベルのインターフェイス上に設定した場合は、そのインターフェイスから同じセキュリティ レベルのインターフェイス、または外部インターフェイスに向かうすべてのトラフィックは、NAT 規則と一致する必要があります(図 5-4 を参照)。

図 5-4 NAT 制御と同一セキュリティ トラフィック

 

同様に、外部のダイナミック NAT または PAT をイネーブルにした場合、すべての外部トラフィックは、内部インターフェイスにアクセスするときに、NAT 規則と一致する必要があります(図 5-5 を参照)。

図 5-5 NAT 制御と着信トラフィック

 

スタティック NAT では、これらの制約は発生しません。

デフォルトでは、NAT 制御はディセーブルになっています。したがって、NAT を実行する場合以外、いずれのネットワークにおいても NAT を実行する必要はありません。ただし、新バージョンのソフトウェアにアップグレードした場合、NAT 制御がイネーブルになっていることがあります。NAT 制御がディセーブルになっている場合でも、ダイナミック NAT を設定するすべてのアドレスで NAT を実行する必要があります。ダイナミック NAT の適用方法については、「ダイナミック NAT の実装」を参照してください。

NAT 制御によってセキュリティ レベルを上げる必要があるが、一部のケースで内部アドレスを変換しない場合、このようなアドレスに NAT 除外またはアイデンティティ NAT ルールを適用できます。(詳細については、「NAT 免除の使用」を参照してください)。

NAT 制御を設定するには、「NAT 制御の設定」を参照してください。


) マルチ コンテキスト モードでは、共有インターフェイスで固有の MAC アドレスをイネーブルにしない場合、パケット分類子が NAT コンフィギュレーションに依存してパケットをコンテキストに割り当てる場合があります。分類子と NAT の関係に関する詳細については、一般的な操作のコンフィギュレーション ガイドの を参照してください。


NAT のタイプ

この項では、使用可能な NAT のタイプについて説明します。次の項目を取り上げます。

「ダイナミック NAT」

「PAT」

「スタティック NAT」

「スタティック PAT」

「NAT 制御がイネーブルな状態での NAT のバイパス」

アドレス変換は、ダイナミック NAT、ポート アドレス変換(PAT)、スタティック NAT、スタティック PAT、またはこれらのタイプの組み合わせとして実装できます。NAT をバイパスする規則を設定することもできます。たとえば、NAT を実行しない場合に、NAT 制御をイネーブルにします。

ダイナミック NAT

ダイナミック NAT では、実際のアドレスのグループは、宛先ネットワーク上でルーティング可能なマッピング アドレスのプールに変換されます。マッピングされたプールにあるアドレスは、実際のグループより少ないことがあります。変換対象のホストが宛先ネットワークにアクセスすると、ASAは、マッピングされたプールから IP アドレスをそのホストに割り当てます。この変換は、実ホストが接続を開始するときにだけ追加されます。変換は接続が継続している間だけ有効であり、変換がタイムアウトすると、そのユーザは同じ IP アドレスを保持しません。したがって、アクセス リストでその接続が許可されている場合でも、宛先ネットワークのユーザは、ダイナミック NAT を使用しているホストへの確実な接続を開始できません。また、ASAは、実際のホスト アドレスに直接接続しようとする試みを拒否します。ホストへの確実なアクセスについては、「スタティック NAT」の項または「スタティック PAT」の項を参照してください。


) ASAがセッションを拒否した場合でも、接続に変換が追加されることがあります。この状況は通常、変換がタイムアウトになる着信アクセス リスト、管理専用インターフェイス、またはバックアップ インターフェイスで発生します。


図 5-6 は、リモート ホストによる実アドレスへの接続試行を示しています。ASAはマッピング アドレスへのリターン接続だけを許可するため、この接続は拒否されています。

図 5-6 リモート ホストによる実アドレスへの接続試行

 

図 5-7 に、マッピング アドレスへの接続開始を試みているリモート ホストを示します。このアドレスは、現時点では変換テーブルにないため、ASAはパケットをドロップしています。

図 5-7 マッピング アドレスへの接続開始を試みているリモート ホスト

 


) 変換の実施中、リモート ホストから、変換されたホストへの接続を開始できます(その接続がアクセス リストで許可されている場合)。アドレスは予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセス リストのセキュリティに依存できます。


ダイナミック NAT には、次の欠点があります。

マッピングされたプールにあるアドレスが実際のグループより少ない場合、予想以上にトラフィックが多いと、アドレスが不足する可能性があります。

この事象が発生した場合には、PAT を使用します。PAT では、単一アドレスのポートを使用して 64,000 を超える変換を処理できるためです。

マッピング プールでは、ルーティング可能なアドレスを多数使用する必要があります。インターネットのように宛先ネットワークで登録済みアドレスが必要になる場合は、使用可能なアドレスが不足することがあります。

ダイナミック NAT の利点は、一部のプロトコルが PAT を使用できないということです。たとえば、PAT は次の場合は機能しません。

GRE バージョン 0 などのように、オーバーロードするためのポートがない IP プロトコルでは機能しません。

一部のマルチメディア アプリケーションなどのように、1 つのポート上にデータ ストリームを持ち、別のポート上に制御パスを持ち、公開規格ではないアプリケーションでも機能しません。

NAT および PAT のサポートの詳細については、「アプリケーション プロトコル インスペクションを使用するタイミング」を参照してください。

PAT

PAT では、実際のアドレスおよび送信元ポートが 1 つのマッピング アドレスおよび固有のポートに変換されることによって、複数の実際のアドレスが 1 つのマッピング IP アドレスに変換されます。使用できる場合、実際の送信元ポート番号がマッピング ポートに対して使用されます。ただし、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(0 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。そのため、1024 よりも下のポートでは、小さい PAT プールのみを使用できます。

接続ごとに送信元ポートが異なるため、それぞれの接続で個別に変換を行う必要があります。たとえば、10.1.1.1:1025 には、10.1.1.1:1026 とは別の変換が必要です。

接続の有効期限が切れると、ポート変換も 30 秒間の非アクティブ状態の後に有効期限切れになります。このタイムアウトは変更できません。宛先ネットワーク上のユーザは、PAT を使用するホストに対して(アクセス リストによって接続が許可されていた場合でも)、接続を確実に開始することはできません。ホストの実またはマップ ポート番号を予測できないだけでなく、ASA は変換対象ホストが接続を開始する側でない限り、変換を作成しません。ホストへの確実なアクセスについては、次の「スタティック NAT」または「スタティック PAT」の項を参照してください。

PAT では単一のマッピング先のアドレスを使用するため、ルーティング可能なアドレスの使用を抑えることができます。さらに、ASA インターフェイスの IP アドレスを PAT アドレスとして使用できます。PAT は、データ ストリームが制御パスとは別のものであるマルチメディア アプリケーションでは機能しません。NAT および PAT のサポートの詳細については、「アプリケーション プロトコル インスペクションを使用するタイミング」を参照してください。


) 変換の実施中、リモート ホストから、変換されたホストへの接続を開始できます(その接続がアクセス リストで許可されている場合)。実際のポート アドレスおよびマッピング ポート アドレスはどちらも予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセス リストのセキュリティに依存できます。ただし、ポリシー PAT では時間ベースの ACL をサポートしていません。


スタティック NAT

スタティック NAT では、実アドレスからマッピング先のアドレスへの固定変換が作成されます。ダイナミック NAT および PAT では、各ホストは、後続の変換ごとに異なるアドレスまたはポートを使用します。スタティック NAT では、マッピング アドレスは連続する各接続で同じであり、永続的な変換規則が存在するため、宛先ネットワークのホストは変換済みのホストへのトラフィックを開始できます(そのトラフィックを許可するアクセス リストがある場合)。

ダイナミック NAT とスタティック NAT のアドレス範囲との主な違いは、スタティック NAT ではリモート ホストが変換済みのホストへの接続を開始でき(それを許可するアクセス リストがある場合)、ダイナミック NAT では開始できないという点です。また、スタティック NAT では、実アドレスと同じ数のマッピング先のアドレスが必要です。

スタティック PAT

スタティック PAT は、プロトコル(TCP または UDP)および実際のアドレスとマッピング アドレスのポートを指定できる点を除いて、スタティック NAT と同じです。

この機能により、各文のポートが別個である限り、多数の異なるスタティック文にわたって同じマッピング アドレスを指定できます。複数のスタティック NAT 文に対しては、同じマッピング アドレスを使用できません。

セカンダリ チャネルの検査が必要なアプリケーション(FTP、VoIP など)を使用する場合は、ASAが自動的にセカンダリ ポートを変換します。

たとえば、FTP、HTTP、および SMTP にアクセスする複数のリモート ユーザに単一アドレスを提供し、実際にはそれぞれが実ネットワーク上の別々のサーバである場合、マップ IP アドレスは同じでもポートが異なる各サーバに対し、スタティック PAT ステートメントを指定できます(図 5-8 を参照)。

図 5-8 スタティック PAT

 

スタティック PAT を使用して、well-known ポートを非標準ポートに、またはその逆に変換することもできます。たとえば、内部 Web サーバがポート 8080 を使用する場合、ポート 80 に接続することを外部ユーザに許可し、その後、変換を元のポート 8080 に戻すことができます。同様に、セキュリティをさらに高めるには、Web ユーザに標準以外のポート 6785 に接続するように指示し、その後、変換をポート 80 に戻すことができます。

NAT 制御がイネーブルな状態での NAT のバイパス

NAT コントロールをイネーブルにした場合、内部ホストは、外部ホストにアクセスするときに NAT ルールに一致する必要があります。一部のホストに対して NAT が実行されないようにするには、ホストに対する NAT をバイパスするか、NAT 制御をディセーブルにします。NAT をサポートしないアプリケーションを使用している場合などには、NAT をバイパスすることを推奨します。NAT をサポートしないインスペクション エンジンについては、「アプリケーション プロトコル インスペクションを使用するタイミング」を参照してください。

3 通りの方法で、NAT をバイパスするようにトラフィックを設定できます。どの方法でも、インスペクション エンジンとの互換性が確保されます。ただし、機能は少しずつ異なります。

アイデンティティ NAT:アイデンティティ NAT(ダイナミック NAT と類似)を設定するときは、変換を特定のインターフェイス上のホストに限定しません。つまり、アイデンティティ NAT は、すべてのインターフェイスを通過する接続に対して使用する必要があります。このため、インターフェイス A にアクセスするときには実アドレスに対して通常の変換の実行を選択できませんが、インターフェイス B にアクセスするときにはアイデンティティ NAT を使用できます。一方、通常のダイナミック NAT では、アドレス変換を実施する特定のインターフェイスを指定できます。アイデンティティ NAT を使用する実アドレスが、アクセス リストに従って使用できるすべてのネットワークでルーティング可能であることを確認します。

アイデンティティ NAT の場合、マッピング先のアドレスは実アドレスと同じですが、外部から内部への接続を(インターフェイスのアクセス リストで許可されていても)開始できません。この機能には、スタティックなアイデンティティ NAT または NAT 免除を使用してください。

スタティック アイデンティティ NAT:スタティック アイデンティティ NAT では、インターフェイスを指定して実際のアドレスを見えるようにするかどうかを許可できるため、インターフェイス A にアクセスするときにアイデンティティ NAT を使用し、インターフェイス B にアクセスするときに標準の変換を使用できます。スタティック アイデンティティ NAT では、ポリシー NAT も使用できます。この場合、変換する実アドレスを決定するときに、実アドレスと宛先アドレスを指定します(ポリシー NAT の詳細については、「ポリシー NAT」を参照してください)。たとえば、内部アドレスから外部インターフェイスにアクセスし、宛先がサーバ A の場合に、内部アドレスにスタティック アイデンティティ NAT を使用し、外部サーバ B にアクセスするときには標準変換を使用するといったことが可能です。

NAT 免除:NAT 免除では、変換済みのホストとリモート ホストの両方が接続を開始できます。アイデンティティ NAT と同様に、特定のインターフェイスでホストの変換を制限するのではなく、すべてのインターフェイスを経由する接続に NAT 免除を使用する必要があります。ただし、NAT 免除では、変換する実アドレスを判別するときに実アドレスおよび宛先アドレスを指定できるため(ポリシー NAT に似ています)、NAT 免除を使用する方が制御の柔軟性が増します。その反面、ポリシー NAT と異なり、NAT 免除ではアクセス リストのポートが考慮されません。NAT 免除では、最大 TCP 接続数など、接続制限の設定もできません。

ポリシー NAT

ポリシー NAT を使用すると、送信元アドレスおよび宛先アドレスを指定することにより、アドレス変換対象の実際のアドレスを指定できます。任意で送信元ポートおよび宛先ポートを指定することもできます。標準 NAT では送信元アドレスだけが考慮され、宛先は考慮されません。たとえば、ポリシー NAT を使用した場合、サーバ A にアクセスするときには実アドレスをマップ アドレス A に変換しますが、サーバ B にアクセスするときには実アドレスをマップ アドレス B に変換します。

セカンダリ チャネルのアプリケーション インスペクションを必要とするアプリケーション(FTP、VoIP など)では、ポリシー NAT ルールで指定されたポリシーにセカンダリ ポートが含まれている必要があります。ポートを予測できない場合、ポリシーはセカンダリ チャネルの IP アドレスだけを指定する必要があります。このコンフィギュレーションを使用して、セキュリティ アプライアンスはセカンダリ ポートを変換します。

図 5-9 に、2 台の異なるサーバにアクセスしている 10.1.2.0/24 ネットワークのホストを示します。ホストがサーバ 209.165.201.11 にアクセスすると、実際のアドレスは 209.165.202.129 に変換されます。ホストがサーバ 209.165.200.225 にアクセスすると、実際のアドレスは 209.165.202.130 に変換されます その結果、ホストはサーバと同じネットワークにあるように見え、ルーティングに役立ちます。

図 5-9 異なる宛先アドレスを使用するポリシー NAT

 

図 5-10 に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワークのホストは Web サービスと Telnet サービスの両方を提供する 1 つのホストにアクセスします。ホストが Web サービスを求めてサーバにアクセスすると、実際のアドレスは 209.165.202.129 に変換されます。ホストが Telnet サービスを求めて同じサーバにアクセスすると、実際のアドレスは 209.165.202.130 に変換されます。

図 5-10 異なる宛先ポートを使用するポリシー NAT

 

ポリシー スタティック NAT では、変換済みのホストとリモート ホストの両方がトラフィックを発信できます。変換済みのネットワークで発信されたトラフィックについては、NAT ルールで実際のアドレスと 宛先 アドレスが指定されますが、リモート ネットワークで発信されたトラフィックについては、この変換を使用してホストに接続することを許可されているリモート ホストの実際のアドレスと 送信元 アドレスがルールで指定されます。

図 5-11 に、変換済みのホストに接続するリモート ホストを示します。変換対象ホストには、ネットワーク 209.165.201.0/27 との双方向のトラフィックだけに対し実アドレスを変換する、ポリシー スタティック NAT 変換が設定されています。209.165.200.224/27 ネットワーク用の変換は存在しません。したがって、変換済みのホストはそのネットワークに接続できず、そのネットワークのホストも変換済みのホストに接続できません。

図 5-11 宛先アドレス変換を行うポリシー スタティック NAT

 


) ポリシー NAT は SQL*Net をサポートしませんが、標準 NAT は SQL*Net をサポートします。他のプロトコルの NAT サポートについては、「アプリケーション プロトコル インスペクションを使用するタイミング」を参照してください。


NAT および同じセキュリティ レベルのインターフェイス

セキュリティ レベルが同じインターフェイス間では、NAT コントロールをイネーブルにした場合でも、NAT は必要ありません。必要に応じて任意で NAT を設定できます。ただし、NAT 制御がイネーブルになっている場合にダイナミック NAT を設定するときは、NAT が必要です。詳細については、「NAT コントロール」を参照してください。また、同一セキュリティ レベルのインターフェイス上でダイナミック NAT または PAT に対して IP アドレス グループを指定する場合、そのアドレス グループが下位または同一セキュリティ レベルのインターフェイスにアクセスするときには、アドレス グループに対して NAT を実行する必要があります(NAT 制御がイネーブルでない場合でも)。スタティック NAT として識別されたトラフィックは影響を受けません。


) 同一セキュリティ レベルのインターフェイス上に NAT を設定した場合、ASA は VoIP インスペクション エンジンをサポートしません。これらのインスペクション エンジンには、Skinny、SIP、および H.323 が含まれます。サポートされるインスペクション エンジンについては、「アプリケーション プロトコル インスペクションを使用するタイミング」を参照してください。


実際のアドレスとの照合に使用される NAT ルールの順序

ASAは、次の順序で実際のアドレスを NAT ルールと照合します。

1. NAT 免除:順序に従って、最初の一致が見つかるまで続行されます。

2. スタティック NAT とスタティック PAT(標準およびポリシー):順序に従って、最初の一致が見つかるまで続行されます。スタティック アイデンティティ NAT はこのカテゴリに含まれません。

3. ポリシー ダイナミック NAT:順序に従って、最初の一致が見つかるまで続行されます。アドレスの重複は可能です。

4. 標準のダイナミック NAT:最も適合する一致を見つけます。標準アイデンティティ NAT はこのカテゴリに含まれます。NAT ルールの順序は関係なく、実際のアドレスと最も適合する NAT ルールが使用されます。たとえば、インターフェイス上のすべてのアドレス(0.0.0.0)を変換する汎用文を作成できます。ネットワークのサブネット(10.1.1.1)を別のアドレスに変換する場合は、10.1.1.1 だけを変換する文を作成できます。10.1.1.1 が接続を開始すると、10.1.1.1 用の特定のルールが使用されます。これは、それが実際のアドレスに最も適合するからです。重複するルールを使用することはお勧めしません。重複するルールにより、使用メモリが増え、ASAのパフォーマンスが低下する可能性があります。

マッピング アドレスの注意事項

実際のアドレスをマッピング アドレスに変換するときは、次のマッピング アドレスを使用できます。

マッピング インターフェイスと同じネットワーク上のアドレス

(ASA から出ていくトラフィックが通過する)マッピング インターフェイスと同じネットワーク上のアドレスを使用した場合、ASA はプロキシ ARP を使用してマッピング アドレスの要求に応答することによって、実アドレス宛てのトラフィックを代行受信します。この方法では、ASA がその他のネットワークのゲートウェイである必要がないため、ルーティングが簡略化されます。ただし、この方法では、変換に使用できるアドレス数に限度があります。

PAT では、マッピング インターフェイスの IP アドレスも使用できます。

固有のネットワーク上のアドレス

マッピング インターフェイスで使用可能なアドレスより多くのアドレスが必要な場合は、別のサブネット上のアドレスを指定できます。ASA は、プロキシ ARP を使用してマッピング アドレス要求に応答することによって、実アドレス宛てのトラフィックを代行受信します。OSPF を使用し、マッピング インターフェイス上でルートをアドバタイズする場合、ASA はマッピング アドレスをアドバタイズします。マッピング インターフェイスがパッシブの場合(ルートをアドバタイズしない)、またはスタティック ルーティングを使用する場合は、マッピング アドレス宛てのトラフィックを ASA に送信するアップストリーム ルータ上でスタティック ルートを追加する必要があります。

DNS および NAT

応答内のアドレスを NAT コンフィギュレーションと一致するアドレスに置き換えて、DNS 応答を修正するようにASAを設定することが必要になる場合があります。DNS 修正は、各変換を設定するときに設定できます。

たとえば、DNS サーバが外部インターフェイスからアクセス可能であるとします。ftp.cisco.com というサーバが内部インターフェイス上にあります。ftp.cisco.com の実際のアドレス(10.1.3.14)を、外部ネットワーク上で可視のマッピング アドレス(209.165.201.10)にスタティックに変換するように、ASAを設定します(図 5-12 を参照)。この場合、このスタティック文で DNS 応答修正をイネーブルにする必要があります。これにより、実際のアドレスを使用して ftp.cisco.com にアクセスすることを許可されている内部ユーザは、マッピング アドレスではなく実際のアドレスを DNS サーバから受信できるようになります。

内部ホストが ftp.cisco.com のアドレスを求める DNS 要求を送信すると、DNS サーバは応答でマッピング アドレス(209.165.201.10)を示します。ASA は内部サーバのスタティック ステートメントを参照し、DNS 応答内のアドレスを 10.1.3.14 に変換します。DNS 応答修正をイネーブルにしない場合、内部ホストは ftp.cisco.com に直接アクセスする代わりに、209.165.201.10 にトラフィックを送信することを試みます。

図 5-12 DNS 応答修正

 


) 他のネットワーク(DMZ など)のユーザも外部 DNS サーバから ftp.cisco.com の IP アドレスを要求している場合、そのユーザがスタティック規則で参照される内部インターフェイスに存在しない場合でも、そのユーザに対して DNS 応答の IP アドレスも修正されます。


図 5-13 に、外部の Web サーバと DNS サーバを示します。ASAには、外部サーバ用のスタティック変換があります。この場合、ftp.cisco.com のアドレスを DNS サーバに要求すると、DNS サーバは応答で実際のアドレス 209.165.20.10 を示します。ftp.cisco.com のマッピング アドレス(10.1.2.56)が内部ユーザによって使用されるようにするには、スタティック変換に対して DNS 応答修正を設定する必要があります。

図 5-13 外部 NAT を使用する DNS 応答修正

 

NAT 制御の設定

NAT 制御では、内部インターフェイスから外部インターフェイスへのパケットは NAT ルールと一致する必要があります。詳細については、「NAT コントロール」を参照してください。

NAT 制御をイネーブルにするには、[Configuration] > [Firewall] > [NAT Rules] ペインで、[Enable traffic through the firewall without address translation] チェックボックスをオンにします。

ダイナミック NAT の使用

この項では、ダイナミック NAT および PAT、ダイナミック ポリシー NAT および PAT、アイデンティティ NAT を含む、ダイナミック NAT の設定方法について説明します。

ポリシー NAT を使用すると、送信元アドレスおよび宛先アドレスを指定することにより、アドレス変換対象の実際のアドレスを指定できます。任意で送信元ポートおよび宛先ポートを指定することもできます。標準 NAT では送信元アドレスだけが考慮され、宛先は考慮されません。詳細については、「ポリシー NAT」を参照してください。

この項では、次のトピックについて取り上げます。

「ダイナミック NAT の実装」

「グローバル プールの管理」

「ダイナミック NAT、ダイナミック PAT、またはダイナミック アイデンティティ NAT の設定」

「ダイナミック ポリシー NAT またはダイナミック ポリシー PAT の設定」

ダイナミック NAT の実

この項では、ダイナミック NAT の実装方法について説明します。説明する内容は次のとおりです。

「プール ID を使用した実際のアドレスとグローバル プールのペア」

「別のインターフェイス上の同じグローバル プールを使用する NAT ルール」

「複数のインターフェイス上の同じプール ID を持つグローバル プール」

「同じインターフェイス上の異なるグローバル プールを使用する複数の NAT ルール」

「同じグローバル プール内の複数のアドレス」

「外部 NAT」

「NAT ルール内の実際のアドレスは同位または低位のセキュリティ レベルのインターフェイスすべてで変換が必要」

プール ID を使用した実際のアドレスとグローバル プールのペア

ダイナミック NAT ルールでは、実際のアドレスを指定し、それをアドレスのグローバル プールとペアにします。実際のアドレスは別のインターフェイスを出るときにこのグローバル プールにマッピングされます(PAT の場合、これは 1 つのアドレスになり、アイデンティティ NAT の場合は同じ実際のアドレスになります)。各グローバル プールにはプール ID が割り当てられます。

別のインターフェイス上の同じグローバル プールを使用する NAT ルール

同じグローバル アドレス プールを使用してインターフェイスごとに NAT ルールを作成できます。たとえば、内部インターフェイス用と DMZ インターフェイス用の両方に外部インターフェイス上のグローバル プール 1 を使用して NAT ルールを設定できます。内部インターフェイスと DMZ インターフェイスからのトラフィックは、外部インターフェイスを出るときに、マップ プールまたは PAT アドレスを共有します(図 5-14 を参照)。

図 5-14 複数のインターフェイス上の同じグローバル プールを使用する NAT ルール

 

複数のインターフェイス上の同じプール ID を持つグローバル プール

同じプール ID を使用してインターフェイスごとにグローバル プールを作成できます。ID 1 で外部インターフェイスと DMZ インターフェイス用にグローバル プールを作成した場合、トラフィックが外部インターフェイスと DMZ インターフェイスの両方に向かうとき、ID 1 に関連付けられた 1 つの NAT ルールが変換対象のトラフィックを識別します。同様に、ID 1 で DMZ インターフェイス用の NAT ルールを作成した場合、ID 1 のすべてのグローバル プールもまた DMZ トラフィックに使用されます (図 5-15 を参照)。

図 5-15 複数のインターフェイス上の同じ ID を使用する NAT ルールとグローバル プール

 

同じインターフェイス上の異なるグローバル プールを使用する複数の NAT ルール

異なる実際のアドレス セットが異なるマッピング アドレスを持つように指定できます。たとえば、内部インターフェイスに 2 つの異なるプール ID で 2 つの NAT ルールを設定できます。外部インターフェイスに、これらの 2 つの ID に対する 2 つのグローバル プールを設定します。設定後、内部ネットワーク A からのトラフィックが外部インターフェイスを出ると、IP アドレスはプール 1 のアドレスに変換され、内部ネットワーク B からのトラフィックはプール 2 のアドレスに変換されます(図 5-16 を参照)。ポリシー NAT を使用すると、宛先アドレスとポートが各アクセス リスト内で一意である限り、複数の NAT ルールに対して同じ実際のアドレスを指定できます。

図 5-16 異なる NAT ID

 

同じグローバル プール内の複数のアドレス

同じグローバル プール内に複数のアドレスを持てます。ASAは最初にダイナミック NAT のアドレス範囲をコンフィギュレーション内の順序に従って使用し、次に PAT の 1 つのアドレスを順序に従って使用します。さらに、特定のアプリケーションにはダイナミック NAT を使用し、ダイナミック NAT のアドレスをすべて使い切ったときに備えて予備の PAT ルールを用意する必要がある場合、アドレス範囲と PAT アドレスの両方を追加できます。同様に、1 つの PAT マッピング アドレスがサポートするおよそ 64,000 より多くの PAT セッションが必要な場合、プールに 2 つの PAT アドレスを持てます(図 5-17 を参照)。

図 5-17 NAT および PAT の併用

 

外部 NAT

アドレスを外部インターフェイスから内部インターフェイスに変換する NAT ルールは外部 NAT ルールです。外部 NAT ルールが着信トラフィックを変換することを指定する必要があります。同じトラフィックがセキュリティの低いインターフェイスにアクセスするときも変換が必要な場合(たとえば、DMZ のトラフィックを内部および外部インターフェイスにアクセスするときに変換する場合など)、同じ NAT ID を使用して、発信を指定する 2 つ目の NAT ルールを作成できます(図 5-18 を参照)。外部 NAT(DMZ インターフェイスから内部インターフェイス)の場合、内部ホストはスタティック ルールを使用して外部アクセスを許可するので、送信元アドレスと宛先アドレスの両方が変換されます。

図 5-18 外部 NAT および内部 NAT の組み合わせ

 

NAT ルール内の実際のアドレスは同位または低位のセキュリティ レベルのインターフェイスすべてで変換が必要

IP アドレス グループに対する NAT ルールを作成した場合、そのグループが同位か低位のセキュリティ レベルのインターフェイスにアクセスするときに NAT を実行する必要があります。また、各インターフェイスに同じプール ID を持つグローバル プールを作成するか、スタティック ルールを使用する必要があります。グループが高位のセキュリティ インターフェイスにアクセスするときには、NAT は必要ありません。外部 NAT ルールを作成した場合、上記の NAT 要件は、そのアドレス グループが高位のセキュリティ インターフェイスにアクセスするときは常に適用されます。スタティック ルールで指定されたトラフィックは影響を受けません。

グローバル プールの管理

ダイナミック NAT は変換にグローバル プールを使用します。グローバル プールの動作については、「ダイナミック NAT の実装」を参照してください。

グローバル プールを管理するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Global Pools] ペインで、[Add] をクリックして新しいプールを作成するか、プールを選択して [Edit] をクリックします。

[Add/Edit Dynamic NAT Rule] ダイアログボックスで [Manage] をクリックしてもグローバル プールを管理できます。

[Add/Edit Global Address Pool] ダイアログボックスが表示されます。

ステップ 2 新しいプールの場合、[Interface] ドロップダウン リストから、マッピング IP アドレスを使用するインターフェイスを選択します。

ステップ 3 新しいプールの場合、[Pool ID] フィールドに 1 ~ 2147483647 の範囲の数値を入力します。すでに使用されているプール ID は入力しないでください。すでに使用されている場合、設定は拒否されます。

ステップ 4 [IP Addresses to Add] 領域で、[Range]、[Port Address Translation (PAT)]、または [PAT Address Translation (PAT) Using IP Address of the interface] をクリックします。

アドレスの範囲を指定すると、ASAはダイナミック NAT を実行します。[Netmask] フィールドにサブネット マスクを指定すると、その値がマッピング アドレスがホストに割り当てられるときに使用されるサブネット マスクになります。マスクを指定しない場合は、アドレス クラスのデフォルト マスクが使用されます。

ステップ 5 [Addresses Pool] ペインにアドレスを追加するには、[Add] をクリックします。

ステップ 6 (任意)グローバル プールには複数のアドレスを追加できます。たとえば、ダイナミック範囲を設定した後に PAT アドレスを追加する場合、PAT アドレスの値を入力して再度 [Add] をクリックします。 1 つのインターフェイスに同じプール ID で複数のアドレスを使用する方法については、「同じグローバル プール内の複数のアドレス」を参照してください。

ステップ 7 [OK] をクリックします。


 

ダイナミック NAT、ダイナミック PAT、またはダイナミック アイデンティティ NAT の設定

図 5-19 に、一般的な、ダイナミック NAT、ダイナミック PAT、およびアイデンティティ NAT のシナリオを示します。接続を開始できるのは実際のホストだけです。

図 5-19 ダイナミック NAT のシナリオ

 

ダイナミック NAT、ダイナミック PAT、またはダイナミック アイデンティティ NAT のルールを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインで、[Add] > [Add Dynamic NAT Rule] を選択します。

[Add Dynamic NAT Rule] ダイアログボックスが表示されます。

ステップ 2 [Original] 領域で、[Interface] ドロップダウン リストから、変換対象の実際のアドレスを持つホストに接続するインターフェイスを選択します。

ステップ 3 [Source] フィールドに実際のアドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

ステップ 4 グローバル プールを選択するには、次のいずれかのオプションを使用します。

すでに定義されているグローバル プールを選択する。

プールにアドレス範囲が含まれている場合、ASAはダイナミック NAT を実行します。プールに含まれるアドレスが 1 つだけの場合、ASAはダイナミック PAT を実行します。プールにアドレス範囲と単一アドレスの両方が含まれている場合、範囲が順序に従って使用され、続いて PAT アドレスが順序に従って使用されます。詳細については、「同じグローバル プール内の複数のアドレス」を参照してください。

プールはプール ID で識別されます。異なるインターフェイスにある複数のグローバル プールが同じプール ID を共有する場合、それらのプールはグループとなります。複数のインターフェイスを持つプール ID を選択すると、トラフィックはプールのいずれかのインターフェイスにアクセスしたときに指定どおりに変換されます。プール ID の詳細については、「ダイナミック NAT の実装」を参照してください。

[Manage] をクリックして新しいグローバル プールを作成するか既存のプールを編集する。 「グローバル プールの管理」を参照してください。

[global pool 0] を選択してアイデンティティ NAT を選択する。

ステップ 5 (任意)DNS 応答内部のアドレスの変換をイネーブルにするには、[Connection Settings] 領域を展開して、[Translate the DNS replies that match the translation rule] チェックボックスをオンにします。

NAT ルールに DNS サーバ内にエントリを持つホストの実際のアドレスが含まれており、その DNS サーバがクライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバではホストのアドレスが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが必要です。このオプションは、クライアントに送信される DNS 応答内のアドレスを書き換えます。マッピングされるホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にある必要があります。通常、他のインターフェイスからのアクセスを許可する必要があるホストはスタティック変換を使用するため、このオプションはスタティック ルールで使用される可能性があります。詳細については、「DNS および NAT」を参照してください。

ステップ 6 (任意)接続設定をイネーブルにするには、[Connection Settings] 領域を展開し、次のオプションを 1 つ以上設定します。


) これらの値は、セキュリティ ポリシー ルールを使用しても設定できます(「接続の設定」を参照)。これらのオプションを両方に設定した場合、ASAは低い方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、ASAは TCP シーケンスのランダム化をディセーブルにします。


[Randomize sequence number]:このチェックボックスをオンにすると(デフォルト)、ASA は TCP パケットのシーケンス番号をランダム化します。それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。ASAは、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。

保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次に例を示します。

別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラフィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要がない場合。

ASAで eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダム化により、MD5 チェックサムは分解されます。

ASAで接続のシーケンスをランダム化しないようにする必要がある WAAS デバイスを使用する場合。

[Maximum TCP Connections]:TCP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum UDP Connections] UDP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum Embryonic Connections] 初期接続の最大数を 65,536 までの範囲で指定します。 初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能がイネーブルになります。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

ステップ 7 [OK] をクリックします。


 

ダイナミック ポリシー NAT またはダイナミック ポリシー PAT の設定

図 5-20 に、一般的な、ダイナミック ポリシー NAT およびダイナミック ポリシー PAT のシナリオを示します。接続を開始できるのは実際のホストだけです。

図 5-20 ダイナミック ポリシー NAT のシナリオ

 

ダイナミック ポリシー NAT またはダイナミック ポリシー PAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインで、[Add] > [Advanced] > [Add Dynamic Policy NAT Rule] を選択します。

[Add Dynamic Policy NAT Rule] ダイアログボックスが開きます。

ステップ 2 [Original] 領域で、[Interface] ドロップダウン リストから、変換対象の実際のアドレスを持つホストに接続するインターフェイスを選択します。

ステップ 3 [Source] フィールドに実際のアドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

実際のアドレスが複数ある場合はカンマで区切ります。

ステップ 4 [Destination] フィールドに宛先アドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

宛先アドレスが複数ある場合はカンマで区切ります。

デフォルトでは、フィールドには任意の宛先アドレスを許可する any が表示されています。

ステップ 5 グローバル プールを選択するには、次のいずれかのオプションを使用します。

すでに定義されているグローバル プールを選択する。

プールにアドレス範囲が含まれている場合、ASAはダイナミック NAT を実行します。プールに含まれるアドレスが 1 つだけの場合、ASAはダイナミック PAT を実行します。プールにアドレス範囲と単一アドレスの両方が含まれている場合、範囲が順序に従って使用され、続いて PAT アドレスが順序に従って使用されます。詳細については、「同じグローバル プール内の複数のアドレス」を参照してください。

プールはプール ID で識別されます。異なるインターフェイスにある複数のグローバル プールが同じプール ID を共有する場合、それらのプールはグループとなります。複数のインターフェイスを持つプール ID を選択すると、トラフィックはプールのいずれかのインターフェイスにアクセスしたときに指定どおりに変換されます。プール ID の詳細については、「ダイナミック NAT の実装」を参照してください。

[Manage] をクリックして新しいグローバル プールを作成するか既存のプールを編集する。 「グローバル プールの管理」を参照してください。

[global pool 0] を選択してアイデンティティ NAT を選択する。

ステップ 6 (任意)[Description] フィールドに説明を入力します。

ステップ 7 (任意)DNS 応答内部のアドレスの変換をイネーブルにするには、[Connection Settings] 領域を展開して、[Translate the DNS replies that match the translation rule] チェックボックスをオンにします。

NAT ルールに DNS サーバ内にエントリを持つホストの実際のアドレスが含まれており、その DNS サーバがクライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバではホストのアドレスが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが必要です。このオプションは、クライアントに送信される DNS 応答内のアドレスを書き換えます。マッピングされるホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にある必要があります。通常、他のインターフェイスからのアクセスを許可する必要があるホストはスタティック変換を使用するため、このオプションはスタティック ルールで使用される可能性があります。詳細については、「DNS および NAT」を参照してください。

ステップ 8 (任意)接続設定をイネーブルにするには、[Connection Settings] 領域を展開し、次のオプションを 1 つ以上設定します。


) これらの値は、セキュリティ ポリシー ルールを使用しても設定できます。ホスト統計情報用に保持されているレート間隔数を設定するには、[Configuration] > [Firewall] > [Threat Detection] > [Scanning Threat Statistics] 領域で、[User can specify the number of rate for Threat Detection Host] ドロップダウン リストから [1]、[2]、または [3] を選択します。ホスト統計情報では大量のメモリが使用されるため、レート間隔の数値をデフォルトの 3 より減らすと、メモリ使用率が軽減します。デフォルトで、[Firewall Dashboard] タブには、たとえば最近 1 時間、8 時間、および 24 時間のように、3 つのレート間隔の情報が表示されます。このキーワードを 1 に設定すると、最も短いレート間隔の統計情報だけが保持されます。値を 2 に設定すると、短い方から 2 つの間隔が保持されます。これらのオプションを両方に設定した場合、ASAは低い方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、ASAは TCP シーケンスのランダム化をディセーブルにします。


[Randomize sequence number]:このチェックボックスをオンにすると(デフォルト)、ASA は TCP パケットのシーケンス番号をランダム化します。それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。ASAは、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。

保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次に例を示します。

別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラフィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要がない場合。

ASAで eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダム化により、MD5 チェックサムは分解されます。

ASAで接続のシーケンスをランダム化しないようにする必要がある WAAS デバイスを使用する場合。

[Maximum TCP Connections]:TCP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum UDP Connections] UDP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum Embryonic Connections] 初期接続の最大数を 65,536 までの範囲で指定します。 初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能がイネーブルになります。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

ステップ 9 [OK] をクリックします。


 

スタティック NAT の使用

この項では、標準またはポリシー スタティック NAT、PAT、またはアイデンティティ NAT を使用してスタティック変換を設定する方法について説明します。

スタティック NAT の詳細については、「スタティック NAT」を参照してください。

ポリシー NAT を使用すると、送信元アドレスおよび宛先アドレスを指定することにより、アドレス変換対象の実際のアドレスを指定できます。任意で送信元ポートおよび宛先ポートを指定することもできます。標準 NAT では送信元アドレスだけが考慮され、宛先は考慮されません。詳細については、「ポリシー NAT」を参照してください。

スタティック PAT を使用すると、実 IP アドレスをマップ IP アドレスに変換し、さらに実ポートをマップ ポートに変換できます。同じポートを変換する場合は、特定のトラフィック タイプを変換できます。または、別のポートに変換することによってさらに細かく制御することもできます。セカンダリ チャネルのアプリケーション インスペクションが必要なアプリケーション(FTP、VoIP など)を使用する場合は、ASAが自動的にセカンダリ ポートを変換します。スタティック PAT の詳細については、「スタティック PAT」を参照してください。

同じ 2 つのインターフェイス間で複数のスタティック ルールに同じ実際のアドレスまたはマッピング アドレスを使用するには、スタティック PAT を使用する必要があります。同じマッピング インターフェイスのグローバル プールにも定義されているマッピング アドレスをスタティック ルールに使用しないでください。

スタティック アイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。

この項では、次のトピックについて取り上げます。

「スタティック NAT、スタティック PAT、またはスタティック アイデンティティ NAT の設定」

「スタティック ポリシー NAT、スタティック ポリシー PAT、またはスタティック ポリシー アイデンティティ NAT の設定」

スタティック NAT、スタティック PAT、またはスタティック アイデンティティ NAT の設定

図 5-21 に、一般的な、スタティック NAT、スタティック PAT、およびスタティック アイデンティティ NAT のシナリオを示します。変換は常にアクティブになっているので、変換済みのホストとリモート ホストの両方で接続を開始できます。

図 5-21 スタティック NAT のシナリオ

 

スタティック NAT、スタティック PAT、またはスタティック アイデンティティ NAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインで、[Add] > [Add Static NAT Rule] を選択します。

[Add Static NAT Rule] ダイアログボックスが表示されます。

ステップ 2 [Original] 領域で、[Interface] ドロップダウン リストから、変換対象の実際のアドレスを持つホストに接続するインターフェイスを選択します。

ステップ 3 [Source] フィールドに実際のアドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

ステップ 4 [Translated] 領域で、[Interface] ドロップダウン リストから、マッピング アドレスを使用するインターフェイスを選択します。

ステップ 5 マッピング IP アドレスを指定するには、次のいずれかをクリックします。

Use IP Address

IP アドレスを入力するか、[...] ボタンをクリックして ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

Use Interface IP Address

実際のアドレスとマッピング アドレスのサブネット マスクは同じである必要があります。


) アイデンティティ NAT の場合、[Original] フィールドと [Translated] フィールドに同じ IP アドレスを入力します。


ステップ 6 (任意)スタティック PAT を使用するには、[Enable Port Address Translation (PAT)] をオンにします。

a. [Protocol] では、[TCP] または [UDP] をクリックします。

b. [Original Port] フィールドで、実際のポート番号を入力します。

c. [Translated Port] フィールドで、マッピング ポート番号を入力します。

ステップ 7 (任意)DNS 応答内部のアドレスの変換をイネーブルにするには、[Connection Settings] 領域を展開して、[Translate the DNS replies that match the translation rule] チェックボックスをオンにします。

NAT ルールに DNS サーバ内にエントリを持つホストの実際のアドレスが含まれており、その DNS サーバがクライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバではホストのアドレスが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが必要です。このオプションは、クライアントに送信される DNS 応答内のアドレスを書き換えます。マッピングされるホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にある必要があります。詳細については、「DNS および NAT」を参照してください。

ステップ 8 (任意)接続設定をイネーブルにするには、[Connection Settings] 領域を展開し、次のオプションを 1 つ以上設定します。


) これらの値は、セキュリティ ポリシー ルールを使用しても設定できます。ホスト統計情報用に保持されているレート間隔数を設定するには、[Configuration] > [Firewall] > [Threat Detection] > [Scanning Threat Statistics] 領域で、[User can specify the number of rate for Threat Detection Host] ドロップダウン リストから [1]、[2]、または [3] を選択します。ホスト統計情報では大量のメモリが使用されるため、レート間隔の数値をデフォルトの 3 より減らすと、メモリ使用率が軽減します。デフォルトで、[Firewall Dashboard] タブには、たとえば最近 1 時間、8 時間、および 24 時間のように、3 つのレート間隔の情報が表示されます。このキーワードを 1 に設定すると、最も短いレート間隔の統計情報だけが保持されます。値を 2 に設定すると、短い方から 2 つの間隔が保持されます。これらのオプションを両方に設定した場合、ASAは低い方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、ASAは TCP シーケンスのランダム化をディセーブルにします。


[Randomize sequence number]:このチェックボックスをオンにすると(デフォルト)、ASA は TCP パケットのシーケンス番号をランダム化します。それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。ASAは、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。

保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次に例を示します。

別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラフィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要がない場合。

ASAで eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダム化により、MD5 チェックサムは分解されます。

ASAで接続のシーケンスをランダム化しないようにする必要がある WAAS デバイスを使用する場合。

[Maximum TCP Connections]:TCP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum UDP Connections] UDP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum Embryonic Connections] 初期接続の最大数を 65,536 までの範囲で指定します。 初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能がイネーブルになります。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

ステップ 9 [OK] をクリックします。


 

スタティック ポリシー NAT、スタティック ポリシー PAT、またはスタティック ポリシー アイデンティティ NAT の設定

図 5-22 に、一般的な、スタティック ポリシー NAT、スタティック ポリシー PAT、およびスタティック ポリシー アイデンティティ NAT のシナリオを示します。変換は常にアクティブになっているので、変換済みのホストとリモート ホストの両方で接続を開始できます。

図 5-22 スタティック ポリシー NAT のシナリオ

 

スタティック ポリシー NAT、スタティック ポリシー PAT、またはスタティック ポリシー アイデンティティ NAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインで、[Add] > [Advanced] > [Add Static Policy NAT Rule] を選択します。

[Add Static Policy NAT Rule] ダイアログボックスが表示されます。

ステップ 2 [Original] 領域で、[Interface] ドロップダウン リストから、変換対象の実際のアドレスを持つホストに接続するインターフェイスを選択します。

ステップ 3 [Source] フィールドに実際のアドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

ステップ 4 [Destination] フィールドに宛先アドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

宛先アドレスが複数ある場合はカンマで区切ります。

デフォルトでは、フィールドには任意の宛先アドレスを許可する any が表示されています。

ステップ 5 [Translated] 領域で、[Interface] ドロップダウン リストから、マッピング アドレスを使用するインターフェイスを選択します。

ステップ 6 マッピング IP アドレスを指定するには、次のいずれかをクリックします。

Use IP Address

IP アドレスを入力するか、[...] ボタンをクリックして ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

Use Interface IP Address

実際のアドレスとマッピング アドレスのサブネット マスクは同じである必要があります。

ステップ 7 (任意)スタティック PAT を使用するには、[Enable Port Address Translation (PAT)] をオンにします。

a. [Protocol] では、[TCP] または [UDP] をクリックします。

b. [Original Port] フィールドで、実際のポート番号を入力します。

c. [Translated Port] フィールドで、マッピング ポート番号を入力します。

ステップ 8 (任意)[Description] フィールドに説明を入力します。

ステップ 9 (任意)DNS 応答内部のアドレスの変換をイネーブルにするには、[Connection Settings] 領域を展開して、[Translate the DNS replies that match the translation rule] チェックボックスをオンにします。

NAT ルールに DNS サーバ内にエントリを持つホストの実際のアドレスが含まれており、その DNS サーバがクライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバではホストのアドレスが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが必要です。このオプションは、クライアントに送信される DNS 応答内のアドレスを書き換えます。マッピングされるホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にある必要があります。詳細については、「DNS および NAT」を参照してください。

ステップ 10 (任意)接続設定をイネーブルにするには、[Connection Settings] 領域を展開し、次のオプションを 1 つ以上設定します。


) これらの値は、セキュリティ ポリシー ルールを使用しても設定できます。ホスト統計情報用に保持されているレート間隔数を設定するには、[Configuration] > [Firewall] > [Threat Detection] > [Scanning Threat Statistics] 領域で、[User can specify the number of rate for Threat Detection Host] ドロップダウン リストから [1]、[2]、または [3] を選択します。ホスト統計情報では大量のメモリが使用されるため、レート間隔の数値をデフォルトの 3 より減らすと、メモリ使用率が軽減します。デフォルトで、[Firewall Dashboard] タブには、たとえば最近 1 時間、8 時間、および 24 時間のように、3 つのレート間隔の情報が表示されます。このキーワードを 1 に設定すると、最も短いレート間隔の統計情報だけが保持されます。値を 2 に設定すると、短い方から 2 つの間隔が保持されます。これらのオプションを両方に設定した場合、ASAは低い方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、ASAは TCP シーケンスのランダム化をディセーブルにします。


[Randomize sequence number]:このチェックボックスをオンにすると(デフォルト)、ASA は TCP パケットのシーケンス番号をランダム化します。それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。ASAは、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。

保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

TCP 初期シーケンス番号のランダム化は、必要に応じてディセーブルにできます。次に例を示します。

別の直列接続されたファイアウォールでも初期シーケンス番号がランダム化され、トラフィックに影響することはないものの、両方のファイアウォールでこの動作を実行する必要がない場合。

ASAで eBGP マルチホップを使用しており、eBGP ピアで MD5 を使用している場合。ランダム化により、MD5 チェックサムは分解されます。

ASAで接続のシーケンスをランダム化しないようにする必要がある WAAS デバイスを使用する場合。

[Maximum TCP Connections]:TCP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum UDP Connections] UDP の最大接続数を 0 ~ 65,535 の範囲で指定します。 この値を 0 に設定すると、接続数は無制限になります。

[Maximum Embryonic Connections] 初期接続の最大数を 65,536 までの範囲で指定します。 初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能がイネーブルになります。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

ステップ 11 [OK] をクリックします。


 

NAT 免除の使用

NAT 除外ではアドレスを変換処理から除外して、実ホストとリモート ホストの両方で接続を開始できるようにします。NAT 免除では、免除対象の実際のトラフィックを決定するときに実際のアドレスと宛先アドレスを指定できるので(ポリシー NAT と同様)、NAT 免除を使用するとダイナミック アイデンティティ NAT よりも詳細に制御が可能です。ただし、ポリシー NAT とは異なり、NAT 免除ではポートは考慮されません。ポートを考慮するには、スタティック ポリシー アイデンティティ NAT を使用してください。

NAT 免除の詳細については、「NAT 制御がイネーブルな状態での NAT のバイパス」を参照してください。

図 5-23 に、一般的な NAT 除外の使用例を示します。

図 5-23 NAT 免除

 

NAT 免除を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインで、[Add] > [Add NAT Exempt Rule] を選択します。

[Add NAT Exempt Rule] ダイアログボックスが表示されます。

ステップ 2 [Action: Exempt] をクリックします。

ステップ 3 [Original] 領域で、[Interface] ドロップダウン リストから、免除対象の実際のアドレスを持つホストに接続するインターフェイスを選択します。

ステップ 4 [Source] フィールドに実際のアドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。


) 免除対象外のアドレスは後で指定できます。たとえば、免除対象のサブネット(10.1.1.0/24 など)を指定できますが、10.1.1.50 を変換する必要がある場合は、そのアドレスについて免除を除外する別のルールを作成できます。


実際のアドレスが複数ある場合はカンマで区切ります。

ステップ 5 [Destination] フィールドに宛先アドレスを入力します。または [...] ボタンをクリックして、ASDM ですでに定義されている IP アドレスを選択します。

プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

宛先アドレスが複数ある場合はカンマで区切ります。

デフォルトでは、フィールドには任意の宛先アドレスを許可する any が表示されています。

ステップ 6 [NAT Exempt Direction] 領域で、低位のセキュリティ インターフェイス(デフォルト)と高位のセキュリティ インターフェイスのどちらに向かうトラフィックを免除対象とするかを、該当するオプション ボタンをクリックして選択します。

ステップ 7 (任意)[Description] フィールドに説明を入力します。

ステップ 8 [OK] をクリックします。

ステップ 9 (任意)NAT 免除ルールに含まれていた一部のアドレスを免除対象外とする場合、免除を削除する別のルールを作成します。既存の NAT Exempt ルールを右クリックし、[Insert] を選択します。

[Add NAT Exempt Rule] ダイアログボックスが表示されます。

a. [Action: Do not exempt] をクリックします。

b. ステップ 3 8 を実行してルールを完成させます。

No Exempt ルールが Exempt ルールの前に追加されます。Exempt ルールと No Exempt ルールの順序は重要です。ASAがパケットを免除するかどうか判断するとき、ASAは、ルールが並んでいる順序に従い、パケットをそれぞれの NAT Exempt ルールと No Exempt ルールについて検証します。いずれかのルールに合致した場合、それ以降のルールはチェックされません。