Cisco Security Manager 4.2 ユーザ ガイド
ネットワーク アドレス変換の設定
ネットワーク アドレス変換の設定
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ネットワーク アドレス変換の設定

ネットワーク アドレス変換について

アドレス変換のタイプ

ASA 8.3+ デバイスでの「簡易」NAT について

Cisco IOS ルータにおける NAT ポリシー

[NAT] ページ - [Interface Specification]

[NAT] ページ - [Static Rules]

[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス

[NAT] ページ - [Dynamic Rules]

[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス

[NAT] ページ - [Timeouts]

セキュリティ デバイスの NAT ポリシー

トランスペアレント モードの NAT

[Translation Options] ページ

PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定

Address Pools

[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA

Translation Exemptions (NAT 0 ACL)

[Dynamic Rules] タブ

[Policy Dynamic Rules] タブ

[Static Rules] タブ

[General] タブ

ASA 8.3+ デバイスでの NAT の設定

[Translation Rules]:ASA 8.3+

ネットワーク アドレス変換の設定

ここでは、Network Address Translation(NAT; ネットワーク アドレス変換)に関する一般的な概念と、変換タイプおよびさまざまな実装について説明します。

「ネットワーク アドレス変換について」

「アドレス変換のタイプ」

「ASA 8.3+ デバイスでの「簡易」NAT について」

次の項では、さまざまなシスコ デバイスでの NAT ルールの設定および管理について説明します。

Cisco IOS ルータ

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Interface Specification]」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

PIX、FWSM、および ASA セキュリティ デバイス

「セキュリティ デバイスの NAT ポリシー」

「トランスペアレント モードの NAT」

「[Translation Options] ページ」

PIX、FWSM、および 8.3 よりも前の ASA デバイス

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「Address Pools」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

ASA 8.3+ デバイス

「ASA 8.3+ デバイスでの NAT の設定」

「[Translation Rules]:ASA 8.3+」

「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

ネットワーク アドレス変換について

アドレス変換は、パケット内の実際のアドレスを、宛先ネットワーク上でルーティング可能な、マッピングされたアドレスで置き換えます。また、プロセスの一環として、デバイスにより変換データベースにその置換が記録されます。これらのレコードは、「xlate」エントリと呼ばれます。リターン パケット上でのアドレス変換(マッピングされたアドレスを元の実際のアドレスに置き換えること)を可能にするには、適切な xlate エントリが存在している必要があります。この手順は「逆変換」と呼ばれることがあります。このように、Network Address Translation(NAT; ネットワーク アドレス変換)は、事実上、実際のアドレスからマッピングされたアドレスへの変換と、リターン トラフィック用の逆の変換の 2 つの手順で構成されます。

NAT の主な機能の 1 つは、プライベート IP ネットワークをインターネットに接続できるようにすることです。ネットワーク アドレス変換により、プライベート IP アドレスはパブリック IP アドレスに置き換えられます。つまり、内部ネットワーク内のプライベート アドレスが、パブリックなインターネットで使用できる合法的なルーティング可能アドレスに変換されます。このようにして、NAT はパブリック アドレスを保護します。たとえば、ネットワーク全体で 1 つのパブリック アドレスだけを外部との通信に使用するように NAT ルールを設定できます。

NAT のその他の機能は、次のとおりです。

セキュリティ:内部 IP アドレスを隠蔽することで、直接攻撃を阻止します。

IP ルーティング ソリューション:重複する IP アドレスの問題がなくなります。

柔軟性:外部で使用可能なパブリック アドレスに影響を与えずに、内部 IP アドレッシング方式を変更できます。たとえば、インターネットにアクセス可能なサーバでは、インターネット用に固定の IP アドレスを保持できますが、内部的には、サーバ アドレスを変更できます。

シスコ デバイスでは、NAT(アウトバウンドの各ホスト セッションに、グローバルに一意のアドレスを提供する)と Port Address Translation(PAT; ポート アドレス変換)(一意のポート番号を組み合わせた単一の同じアドレスを提供する)の両方を、最大で 64,000 個のアウトバウンドまたはインバウンドの同時ホスト セッションに対してサポートしています。NAT で使用するグローバル アドレスは、アドレス変換用に特別に指定したアドレス プールから取得されます。PAT で使用する一意のグローバル アドレスには、1 つのグローバル アドレスまたは指定されたインターフェイスの IP アドレスのいずれかを指定できます。

デバイスは、既存の NAT ルールが特定のトラフィックと一致した場合にアドレスを変換します。NAT ルールが一致しなかった場合、パケットの処理が続行されます。ただし、NAT 制御をイネーブルにしている場合は例外です。NAT 制御では、よりセキュリティの高いインターフェイス(内部)からよりセキュリティの低いインターフェイス(外部)へのパケット通過は NAT ルールに一致している必要があります。一致していない場合、パケットの処理は停止します。

シスコ デバイスは、インバウンドとアウトバウンドの両方の接続で、NAT または PAT を実行できます。インバウンド アドレスを変換するこの機能は、外部の、つまりセキュリティの高くないインターフェイス上のアドレスが、使用可能な内部 IP アドレスに変換されるため、「外部 NAT」と呼ばれます。アウトバウンド トラフィックを変換する場合と同様に、ダイナミック NAT、スタティック NAT、ダイナミック PAT、またはスタティック PAT を選択できます。必要に応じて、内部 NAT とともに外部 NAT を使用して、パケットの送信元 IP アドレスおよび宛先 IP アドレスの両方を変換できます。


) このマニュアルでは、すべての変換タイプを一般的に NAT と呼びます。それぞれのタイプの詳細については、「アドレス変換のタイプ」を参照してください。NAT を説明する場合、内部および外部という用語は 2 つのインターフェイス間のセキュリティ関係を表します。セキュリティ レベルの高い方が内部で、セキュリティ レベルの低い方が外部になります。


以前の ASA バージョンおよび他のデバイスと比較すると、ASA バージョン 8.3 のリリースでは、ネットワーク アドレス変換を設定する、インターフェイスに依存しない簡単なアプローチが提供されています。詳細については、「ASA 8.3+ デバイスでの「簡易」NAT について」を参照してください。

関連項目

「アドレス変換のタイプ」

「ASA 8.3+ デバイスでの「簡易」NAT について」

アドレス変換のタイプ

次の表に、アドレス変換のさまざまなタイプについての簡単な説明を示します。

 

表 22-1 アドレス変換のタイプ

スタティック NAT

実際の送信元アドレスから特定のマッピングされたアドレスへの固定変換。個々の送信元アドレスは、IP プロトコルおよびポート番号に関係なく、常にマッピングされた同じアドレスに変換されます。

スタティック PAT

特定の TCP または UDP ポート番号を含む実際の送信元アドレスから特定のマッピングされたアドレスおよびポートへの固定変換。つまり、個々の送信元アドレス/ポートは、常にマッピングされた同じアドレス/ポートに変換されます。

ポリシー スタティック NAT

実際の送信元アドレスから特定のマッピングされたアドレスへの固定変換。宛先ネットワーク/ホストも指定しますが、サービスは常に IP です。

ポリシー スタティック PAT

特定の TCP または UDP ポート番号を含む実際の送信元アドレスから特定のマッピングされたアドレスおよびポートへの固定変換。宛先ネットワーク/ホストおよびサービスも指定します。

ダイナミック NAT

実際の送信元アドレスから、共有アドレス プールから取得されるマッピングされたアドレスへのダイナミック変換。個々の送信元アドレスを、プール内の使用可能な任意のアドレスにマッピングできます。

ダイナミック PAT

実際の送信元アドレスから単一のマッピングされたアドレスへの変換。関連するポート番号のダイナミック変換によって、単一性が実現されます。つまり、個々の実際のアドレス/ポートの組み合わせは、マッピングされた同じアドレスに変換されますが、一意のポートに割り当てられます。これは、「オーバーロード」と呼ばれることがあります。

ポリシー ダイナミック NAT

共有アドレス プールを使用する、指定したインターフェイス上の特定の送信元アドレス/宛先アドレス/サービスの組み合わせのダイナミック変換。変換の方向(アウトバウンドまたはインバウンド)も指定します。

アイデンティティ NAT

指定したアドレスがそれ自身に変換されます。つまり、事実上、変換されません。アウトバウンド接続だけに適用されます。アイデンティティ NAT は、スタティック NAT の特別なタイプです。

NAT 免除

指定した送信元/宛先アドレスの組み合わせに対して変換がバイパスされます。接続は、アウトバウンド方向とインバウンド方向の両方で開始できます。


) これらのタイプの一部は ASA 8.3 以降のデバイスに適用されませんが、ASA 8.3+ デバイスではダイナミック NAT と PAT のオプションが提供されます。これは、ダイナミック PAT のバックアップ機能を伴うダイナミック NAT です。


ASA 8.3+ デバイスでの「簡易」NAT について

以前の ASA バージョンおよび他のデバイスと比較すると、ASA バージョン 8.3 のリリースでは、Network Address Translation(NAT; ネットワーク アドレス変換)を設定する簡単なアプローチが提供されています。NAT の設定は、以前のフローベース方式を、「元のパケット」から「変換後のパケット」へのアプローチで置き換えることによって簡素化されています。

デバイス上のすべての NAT ルール(スタティック NAT、ダイナミック PAT、およびダイナミック NAT)が単一のテーブルに示され、基本的にすべての NAT ルールの設定に同じダイアログボックスが使用されます。NAT ルールはインターフェイスに依存せず(つまり、インターフェイスは任意)、このことは、セキュリティ レベルにも依存しないということを意味します。

NAT ルールは、セキュリティ レベルに依存しなくなりました。すべてのインターフェイスからなるグローバル アドレス空間が使用可能であり、キーワード「any」で指定されます。すべての [Interface] フィールドがデフォルトで any に設定されるため、特定のインターフェイスを指定しないかぎり、ルールはすべてのインターフェイスに適用可能になります。

ネットワーク オブジェクト NAT

対応する NAT ルールが指定したセキュリティ デバイスに自動的に適用されるように、ホスト、アドレス範囲、およびネットワーク オブジェクトに NAT プロパティを定義することもできます。これらのオブジェクトを使用するということは、必要な IP アドレス、サービス、ポート、および任意のインターフェイスを 1 度だけ入力すればよいということを意味します。自動的に生成されるこれらのオブジェクトベースのルールは、「ネットワーク オブジェクト NAT」ルールと呼ばれます。これらのルールはルール テーブルからは編集できないことに注意してください。Policy Object Manager で適切なオブジェクトを編集する必要があります。

NAT テーブル

前述のとおり、デバイス上のすべての NAT ルールが単一のテーブルで示されます。このテーブルは、「手動」セクション、ネットワーク オブジェクト NAT ルール セクション、およびもう 1 つの手動ルール セクションの 3 つのセクションに分かれています。両方の手動セクションでルールを追加、編集、および順序付けできます。ネットワーク オブジェクト NAT ルールは自動的に追加および順序付けされます。前述のとおり、これらのルールを編集するには、関連するオブジェクトを編集する必要があります。

テーブル内の NAT ルールはトップダウン方式で最初に一致したルールから順に適用されます。つまり、パケットは、NAT ルールに一致した場合にだけ変換され、一致するとすぐに、その位置またはセクションに関係なく、NAT ルールの処理が停止します。

このテーブルを使用して、手動ルールの整理および管理を行うことができます。つまり、任意の順序でルールを挿入したり、ルールを再順序付けしたりできます。手動ルールの 2 つのセクションにより、自動オブジェクト ルールの前と後の両方に手動ルールを配置できます。

ネットワーク オブジェクト NAT ルールは、スタティック ルールがダイナミック ルールの前にくるように、自動的に配置されます。これらの 2 つのタイプは、それぞれさらに次のように順序付けされます。

IP アドレスの数が最も少ないルール:1 つの IP アドレスを持つオブジェクトのルールのあとに、2 つのアドレスを持つオブジェクトのルールが表示され、そのあとに 3 つのアドレスを持つオブジェクトのルールが表示されるというように続きます。

IP アドレス番号:同じ数の IP アドレスを持つオブジェクトについては、IP アドレス自体が番号順(昇順)になるように整列されます。たとえば、10.1.1.1 のルールのあとに 11.1.1.1 のルールが表示されます。

オブジェクト名:IP アドレスが等しい場合は、オブジェクト名のアルファベット順にルールが順序付けされます。

また、変換は最初に一致したルールに基づくことに注意してください。

Destination Translation

手動のスタティック ルールでは、送信元アドレス変換に加えて、宛先アドレス変換も設定できます。送信元変換と宛先変換は、同じダイアログボックスで同時に定義できます。さらに、送信元変換にはスタティックまたはダイナミックを指定できますが、宛先変換は常にスタティックであり、手動ルールでだけ使用できます。

双方向または Twice NAT

手動のスタティック ルールを作成するときに、[Bi-directional] オプションを選択できます。このオプションでは、実際には 2 つのスタティック NAT ルール(両方向の変換を含む)を示す 1 つのエントリがルール テーブル内に作成されます。つまり、指定した送信元/変換後のアドレスのペアに対してスタティック ルールが作成されるとともに、変換後のアドレス/送信元のペアに対して、逆のルールが作成されます。

たとえば、[Source] フィールドが [Host1] で [Translated] フィールドが [Host2] のスタティック ルールを作成するときに [Bi-directional] を選択した場合、ルール テーブルに 2 つの行が追加されます。1 つは Host1 を Host2 に変換する行、もう 1 つは Host2 を Host1 に変換する行です。

この変換は、実際には 2 つのルールを取得および処理するために必要なルックアップが 1 つだけで済むため、「Twice NAT」と呼ばれることがあります。

多対 1 のアドレッシング

一般に、スタティック NAT ルールは、1 対 1 のアドレス マッピングを使用して設定されますが、多数の IP アドレスを少数または 1 つの IP アドレスにマッピングするスタティック NAT ルールを定義できるようになりました。機能的には、多対少数のマッピングは多対 1 のマッピングと同じですが、設定がより複雑になるため、必要に応じてアドレスごとに多対 1 のルールを作成することを推奨します。

多対 1 のアドレッシングは、たとえば、要求を内部ネットワークにリダイレクトするロード バランサにアクセスするためにパブリック IP アドレスの範囲を使用する場合などに役立つことがあります。

関連項目

「ASA 8.3+ デバイスでの NAT の設定」

「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

Cisco IOS ルータにおける NAT ポリシー

[NAT] ポリシー ページの次のタブから Cisco IOS ルータ上の NAT ポリシーを設定できます。

「[NAT] ページ - [Interface Specification]」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

Network Address Translation(NAT; ネットワーク アドレス変換)はプライベートな内部 LAN アドレスをグローバルにルーティング可能な IP アドレスに変換します。NAT を使用すると、少ない数のパブリック IP アドレスで多数のホストにグローバル接続を提供できます。

詳細については、「ネットワーク アドレス変換について」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

[NAT] ページ - [Interface Specification]

NAT ルールを作成する前に、内部および外部インターフェイスを指定して、変換されるトラフィックの「方向」を定義する必要があります。内部インターフェイスは、通常、ルータが提供する LAN に接続されます。外部インターフェイスは、通常、組織の WAN またはインターネットに接続されます。少なくとも内部インターフェイスおよび外部インターフェイスを 1 つずつ指定して、ルータがネットワーク アドレス変換を実行できるようにする必要があります。

内部および外部の指定は、変換ルールを解釈するときに使用されます。つまり、内部インターフェイスに接続されたアドレスが、外部インターフェイス上のアドレスに変換されます。これらのインターフェイスの定義が完了したあと、これらをすべてのスタティックおよびダイナミック NAT 変換ルールに使用します。

[NAT] ポリシー ページの [Interface Specification] タブを使用して、内部および外部インターフェイスを指定します。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Interface Specification] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Interfaces Specification] タブをクリックします。

内部インターフェイスと外部インターフェイスの定義

[NAT Inside Interfaces] および [NAT Outside Interfaces] フィールドに、内部および外部インターフェイスのインターフェイス名またはインターフェイス ロールをそれぞれ入力するか、または選択します。複数の名前またはロールは、カンマで区切ります(Ethernet1/1, Ethernet1/2 など)。両方のフィールドに同じ名前は入力できないことに注意してください。

関連項目

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

「[NAT] ページ - [Timeouts]」

[NAT] ページ - [Static Rules]

変換が必要なローカル アドレスと、そのローカル アドレスが変換されるグローバル アドレスを指定して、スタティック NAT ルールを定義します。これは、スタティックまたは固定のマッピングであり、ローカル アドレスは常に同じグローバル アドレスに変換されます。

単一ホストのアドレスを変換するスタティック NAT ルールと、サブネット内の複数のアドレスを変換するスタティック ルールを定義できます。複数のローカル アドレスで同じグローバル アドレスを使用する必要がある場合は、必要なポート リダイレクト情報を定義する必要があります。リダイレクト情報では、グローバル アドレスを使用して各ローカル アドレスにそれぞれ異なるポートを定義します。


) VPN を介して送信されるトラフィックに対しては NAT を実行しないことを強く推奨します。このトラフィックでアドレスを変換すると、暗号化された状態ではなく暗号化されていない状態で VPN を介して送信されます。


スタティック ルールの作成手順は、変換されるアドレスがポート、単一ホスト、またはサブネット全体のいずれを示しているかで決まります。

単一ホスト用のスタティック NAT ルール を定義するには、変換する元のアドレスと、そのアドレスが変換されるグローバル アドレスを入力します。グローバル アドレスは、デバイス上のインターフェイスから取得できます。

サブネット用のスタティック NAT ルール を定義するには、元のアドレスとしてサブネット内(サブネット マスクを含む)のアドレスの 1 つを入力し、変換されたアドレスとして使用するグローバル アドレスの 1 つを入力します。ルータは、入力したサブネット マスクに基づいて残りのアドレスを設定します。

ポート用のスタティック NAT ルール を定義するには、元の IP アドレスと、そのアドレスが変換されるグローバル アドレスを入力します。グローバル アドレスは、デバイス上のインターフェイスから取得できます。さらに、ポートが使用するプロトコルと、ローカル ポート番号およびグローバル ポート番号も選択する必要があります。

これらのルールを追加および編集するには、[Add Static NAT Rule] および [Edit Static NAT Rule] ダイアログボックスを使用します。このページのテーブルに表示されるフィールドについては、「[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス」を参照してください。

始める前に

NAT に使用する内部インターフェイスと外部インターフェイスを定義します。「[NAT] ページ - [Interface Specification]」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Static Rules] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Static Rules] タブをクリックします。

関連項目

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Dynamic Rules]」

「[NAT] ページ - [Timeouts]」

Security Manager の標準のルール テーブルに関する項:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス

[Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックスを使用して、スタティック アドレス変換ルールを追加または編集します。タイトルを除き、2 つのダイアログボックスは同じです。

ナビゲーション パス

「[NAT] ページ - [Static Rules]」タブに移動します。テーブルの下にある [Add] ボタンをクリックして新しいルールを追加するか、またはテーブルでルールを選択し、[Edit] をクリックしてそのルールを更新します。

関連項目

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 22-2 [Add NAT Static Rule]/[Edit NAT Static Rule] ダイアログボックス

要素
説明

Static Rule Type

このスタティック ルールで変換されるローカル アドレスのタイプ。

[Static Host]:単一ホストでスタティック アドレス変換が必要な場合。

[Static Network]:サブネットでスタティック アドレス変換が必要な場合。

[Static Port]:単一ポートでスタティック アドレス変換が必要な場合。このオプションを選択した場合は、[Port Redirection] パラメータを定義する必要があります。

Original Address

IP アドレス、または変換されるアドレスを示すネットワーク/ホスト オブジェクトの名前。オブジェクト名を入力するか、または選択できます。

ネットワーク/ホスト オブジェクトは、ネットワーク、ホスト、またはこれらの両方を表す IP アドレスの論理集合です。詳細については、「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」を参照してください。

(注) Security Manager の管理トラフィックを変換してしまう可能性があるため、このルータに属するローカル アドレスは入力しないでください。このトラフィックを変換すると、ルータと Security Manager 間の通信が失われます。

Translated Address

ダイアログボックスのこのセクションのオプションを使用して、元のアドレスが変換されるアドレスを指定します。

[Specify IP]:IP アドレス、または変換後のアドレスを提供するネットワーク/ホスト オブジェクトの名前を指定するには、このオプションを選択します。IP アドレス、またはネットワーク/ホスト オブジェクトの名前を [Translated IP/Network] フィールドに追加します。オブジェクト名を入力するか、または選択できます。

[Use Interface IP]:特定のインターフェイスに割り当てられている IP アドレスを変換後のアドレスとして使用するように指定するには、このオプションを選択します。 インターフェイス の名前を入力するか、または選択します。(これは、通常、変換されたパケットがルータから発信される際の発信元のインターフェイスです)。

(注) このオプションは、ルールのタイプとして [Static Network] を選択している場合には使用できません。1 つのインターフェイスに 1 つのスタティック ルールしか定義できません。

Port Redirection

これらのパラメータは、アドレス変換のポート情報を指定します。ポート アドレス変換を使用すると、デバイスごとに異なるポートを指定しているかぎり、複数のデバイスに同じパブリック IP アドレスを使用できます。

(注) これらのポートは、ルールのタイプとして [Static Port] を選択している場合にだけ使用できます。

[Redirect Port]:ルールのタイプとして [Static Port] を選択した場合、このチェックボックスは自動的にオンになります。変更はできません。次のフィールドに、適切な情報を入力します。

[Protocol]:これらのポートで使用する通信プロトコル(TCP または UDP)。

[Local Port]:送信元ネットワーク上のポート番号。有効な値の範囲は 1 ~ 65535 です。

[Global Port]:ルータによってこの変換に使用される宛先ネットワーク上のポート番号。有効な値の範囲は 1 ~ 65535 です。

Advanced

このセクションには、任意の高度な変換オプションが含まれています。

(注) [Advanced] オプションは、変換されたアドレスの定義方法として [Specify IP] オプションを選択している場合にだけ使用できます。

[No Alias]:選択すると、グローバル IP アドレス変換の自動エイリアス設定がディセーブルになります。

内部グローバル プールとして使用する NAT プールが、接続されているサブネット上のアドレスで構成されている場合、ルータでこれらのアドレスの Address Resolution Protocol(ARP; アドレス解決プロトコル)要求に応答できるように、そのアドレスに対してエイリアスが生成されます。

選択を解除すると、グローバル アドレスのエイリアスが許可されます。

[No Payload]:選択すると、ペイロード内の埋め込みアドレスまたはポートの変換が禁止されます。

ペイロード オプションは、同じ IP アドレスを共有している重複ネットワーク上のデバイス間で NAT を実行します。外部デバイスが DNS クエリーを送信して内部デバイスにアクセスした場合、DNS 応答のペイロード内のローカル アドレスは、関連する NAT ルールに応じて、グローバル アドレスに変換されます。

この機能は、[No Payload] オプションを選択することでディセーブルにできます。ディセーブルにしなかった場合、ペイロード内の埋め込みアドレスおよびポートが変換されることがあります。詳細については、「重複するネットワークのペイロード オプションのディセーブル化」を参照してください。

[Create Extended Translation Entry]:オンにすると、変換テーブル内に拡張変換エントリ(アドレスおよびポート)が作成されます。これにより、複数のグローバル アドレスを単一のローカル アドレスに関連付けることができます。これがデフォルトです。

このオプションをオフにすると、簡単な変換エントリが作成され、単一のグローバル アドレスをローカル アドレスに関連付けできるようになります。

(注) このオプションは、ルールのタイプとして [Static Port] を選択している場合には使用できません。

重複するネットワークのペイロード オプションのディセーブル化

すでに合法的に所有されインターネットまたは外部ネットワーク上のデバイスに割り当てられている IP アドレスを、独自のネットワーク上の別のデバイスに割り当てると、ネットワークの重複が発生します。また、ネットワークの重複は、それぞれのネットワーク内で RFC 1918 IP アドレスを使用している 2 つの会社をマージした場合にも発生する可能性があります。これらの 2 つのネットワークは、可能であれば、すべてのデバイスのアドレスを再指定することなく、通信できる必要があります。

この通信は、次のように実現されます。内部デバイスの IP アドレスは外部デバイスに割り当てられているアドレスと同じであるため、外部デバイスは内部デバイスの IP アドレスを使用できません。代わりに、外部デバイスは内部デバイスのドメイン名を問い合わせる Domain Name System(DNS; ドメイン ネーム システム)クエリーを送信します。このクエリーの送信元は外部デバイスの IP アドレスであり、この IP アドレスは指定したアドレス プールのアドレスに変換されます。内部ネットワーク上に配置されている DNS サーバは、パケットのデータ部分に格納されている内部デバイスのドメイン名に関連付けられた IP アドレスを使用して応答します。応答パケットの宛先アドレスは外部デバイスのアドレスに変換され、応答パケットのデータ部分に格納されているアドレスは別のアドレス プールのアドレスに変換されます。このような方法で、外部デバイスは、内部デバイスの IP アドレスが 2 番目のアドレス プールのアドレスの 1 つであることを学習して、内部デバイスとの通信時にこのアドレスを使用します。NAT を実行しているルータは、この時点で変換を処理します。

ペイロード内のアドレスの変換をディセーブルにするには、グローバル IP 変換に基づいたスタティック NAT ルールを作成するときに、[No Payload] オプションをオンにします。

[NAT] ページ - [Dynamic Rules]

ルータの [NAT] ページの [NAT Dynamic Rules] タブを使用して、ダイナミック アドレス変換ルールを管理します。ダイナミック アドレス変換ルールは、特定のインターフェイスの IP アドレス(ダイナミック ポート変換を使用)、または宛先ネットワーク内でグローバルに一意であるアドレス プール内のアドレスを使用して、ホストをアドレスに動的にマッピングします。

ダイナミック NAT ルールの定義

ダイナミック NAT ルールを定義するには、最初に、変換が必要なトラフィックをルールで指定している Access Control List(ACL; アクセス コントロール リスト)を選択します。

次に、変換後の IP アドレスを持つインターフェイスを選択するか、または使用されるアドレス プールを定義する必要があります。プールを定義するには、アドレスの範囲を指定して、その範囲に一意の名前を指定します。複数の範囲を指定できます。ルータは、インターネットまたは別の外部ネットワークとの接続に、プール内の使用可能なアドレス(スタティック変換にも、独自の WAN IP アドレスにも使用されていないアドレス)を使用します。アドレスは、不用になると、あとで別のデバイスに動的に割り当てられるようにアドレス プールに戻されます。

ネットワークのアドレッシング要求がダイナミック NAT プール内の使用可能なアドレスの数を超えた場合は、Port Address Translation(PAT; ポート アドレス変換)機能(オーバーロードとも呼ばれる)を使用して、多数のプライベート アドレスを 1 つまたは少数のパブリック IP アドレス グループに関連付け、ポート アドレッシングを使用して各変換を一意にすることができます。PAT をイネーブルにすると、ルータは各アウトバウンド変換スロットの IP アドレスに対して一意のポート番号を選択します。この機能は、アウトバウンド接続に割り当て可能な十分な数の一意の IP アドレスがない場合に役立ちます。ポート アドレス変換は、アドレス プールが枯渇するまでは行われません。


) デフォルトでは、Security Manager は VPN を介して送信されるトラフィックに対して NAT を実行しません。それ以外の場合、暗号化の前には常に NAT が実行されるため、インターフェイスに定義されている NAT ACL とクリプト ACL の両方に含まれるすべてのトラフィックが暗号化されずに送信されます。ただし、このデフォルト設定は変更できます。



ヒント [Global VPN Settings] ページから直接、VPN トポロジのスポーク上のスプリット トンネル トラフィックに対して PAT を実行できます。スポークごとにダイナミック NAT ルールを作成する必要はありません。個々のデバイスに定義した NAT ルールによって、VPN 設定は上書きされます。詳細については、「VPN グローバル NAT 設定」を参照してください。

これらのルールを追加および編集するには、[Add Dynamic NAT Rule] および [Edit Static NAT Rule] ダイアログボックスを使用します。このページのテーブルに表示されるフィールドについては、「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

始める前に

NAT に使用する内部インターフェイスと外部インターフェイスを定義します。「[NAT] ページ - [Interface Specification]」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Dynamic Rules] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Dynamic Rules] タブをクリックします。

関連項目

「Cisco IOS ルータにおける NAT ポリシー」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Timeouts]」

Security Manager の標準のルール テーブルに関する項:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス

[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックスを使用して、ダイナミック アドレス変換ルールを追加または編集します。タイトルを除き、2 つのダイアログボックスは同じです。

ナビゲーション パス

「[NAT] ページ - [Dynamic Rules]」タブに移動します。テーブルの下にある [Add] ボタンをクリックして新しいルールを追加するか、またはテーブルでルールを選択し、[Edit] をクリックしてそのルールを更新します。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 22-3 [Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス

要素
説明

トラフィック フロー

[Access List] フィールドに、ダイナミック変換が必要なアドレスをエントリで定義している Access Control List(ACL; アクセス コントロール リスト)オブジェクトの名前を入力するか、または選択します。

(注) 指定した ACL で、このルータ上のデバイス アドレスを経由する Security Manager 管理トラフィックの変換が許可されていないことを確認してください。このトラフィックを変換すると、ルータと Security Manager 間の通信が失われます。

Translated Address

ダイアログボックスのこのセクションのオプションを使用して、ダイナミック変換に使用する方式およびアドレスを指定します。

[Use Interface IP]:特定のインターフェイスに割り当てられているグローバルに登録された IP アドレスを変換後のアドレスとして使用するように指定するには、このオプションを選択します。ポート アドレッシングによって、各変換が一意であることが保証されます([Enable Port Translation (Overload)] オプションは、[Use Interface IP] を選択すると自動的にオンになります)。

インターフェイス の名前を入力するか、または選択します。これは、通常、変換されたパケットがルータから発信される際の発信元のインターフェイスです。つまり、インターフェイスまたはインターフェイス ロールは、ルータ上の外部インターフェイスを示している必要があります(「[NAT] ページ - [Interface Specification]」を参照)。

[Address Pool]:[Network Ranges] プールで指定したアドレスに基づいてアドレス変換を実行させるには、このオプションを選択します。

1 つまたは複数のアドレス範囲を、プレフィクスを含めて入力します。書式は min1-max1/prefix (CIDR 表記)を使用し、「prefix」は有効なネットマスクを示します。たとえば、 172.16.0.0-172.31.0.223/12 などです。

必要な数のアドレス範囲をアドレス プールに追加できますが、すべての範囲で同じプレフィクスを共有している必要があります。複数のエントリを指定する場合は、カンマで区切ります。

Settings

このセクションには 2 つのオプションが含まれています。

[Enable Port Translation (Overload)]:選択すると、アドレス プール内のグローバル アドレスの供給が枯渇した場合に、ルータはポート アドレッシング(PAT)を使用します。選択を解除すると、PAT は使用されません。

(注) [Translated Address] セクションで [Use Interface IP] を選択した場合、このチェックボックスは自動的にオンになります。変更はできません。

[Do Not Translate VPN Traffic (Site-to-Site VPN only)]:このオプションの選択を解除すると、サイト間 VPN 用のトラフィックに対してアドレス変換が許可されます。

選択すると、VPN トラフィックに対してアドレス変換は実行されません。選択を解除した場合、ルータは、NAT ACL とクリプト ACL 間でアドレスが重複している場合に、VPN トラフィックに対してアドレス変換を実行します。

(注) このオプションの選択は解除しないことを強く推奨します。解除した場合、NAT ACL とクリプト ACL の両方に定義されているすべてのトラフィックが暗号化されずに送信されます。IPsec に対して NAT を実行する場合も、このオプションは選択したままにしておくことを推奨します。このオプションを選択しても、重複するネットワークから到着したアドレスの変換は実行されます。

この設定は、NAT ACL がサイト間 VPN で使用されるクリプト ACL と重複している状況でだけ適用されます。インターフェイスは最初に NAT を実行するため、この重複内のアドレスから到着したトラフィックはすべて変換され、その結果、トラフィックは暗号化されずに送信されます。このチェックボックスをオンのままにすると、このような問題は発生しなくなります。

(注) このオプションは、リモート アクセス VPN には適用されません。

[NAT] ページ - [Timeouts]

ルータの [NAT] ページの [NAT Timeouts] タブを使用して、ポート アドレス(オーバーロード)変換のタイムアウト値を管理します。これらのタイムアウトにより、指定した非アクティブ期間が経過したあと、ダイナミック変換は期限切れになります。また、このページのオプションを使用すると、ダイナミック NAT テーブルに格納できるエントリの数を制限したり、PAT 処理を含まないすべてのダイナミック変換に対してデフォルトのタイムアウトを変更したりできます。

ダイナミック NAT のタイムアウトについて

ダイナミック NAT 変換には不使用に対するタイムアウト時間があり、この時間が経過すると、ダイナミック NAT 変換は期限切れとなり、変換テーブルから削除されます。各変換エントリには、そのエントリを使用するトラフィックの状況に応じた追加情報が含まれているため、オーバーロード機能をイネーブルにして PAT を実行する場合は、これらのタイムアウトを詳細に制御できるさまざまな値を指定できます。

たとえば、非 DNS 変換は、デフォルトでは 5 分後にタイムアウトしますが、DNS 変換は 1 分後にタイムアウトします。さらに、TCP 変換は、RST または FIN がストリーム上で検出されないかぎり 24 時間後にタイムアウトし、検出された場合は、1 分後にタイムアウトします。これらのタイムアウト値はいずれも変更できます。


) すべてのダイナミック ルールに対してポート変換(オーバーロード)機能をディセーブルにしている場合は、PAT 関連のタイムアウト値を入力する必要はありません。ただし、PAT 以外のダイナミック変換のデフォルト タイムアウト値は変更できます(デフォルトでは、すべてのダイナミック変換が 24 時間後に期限切れになります)。オーバーロード機能の詳細については、「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。


ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [NAT] を選択し、次に [Timeouts] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (Router)] > [Translation Rules] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[Timeouts] タブをクリックします。

関連項目

「[NAT] ページ - [Interface Specification]」

「[NAT] ページ - [Static Rules]」

「[NAT] ページ - [Dynamic Rules]」

フィールド リファレンス

 

表 22-4 [NAT Timeouts] タブ

要素
説明

Max Entries

ダイナミック NAT テーブルに格納できるエントリの最大数。1 ~ 2147483647 の値を入力できます。またはこのフィールドを空白(デフォルト)のままにできます。空白にすると、テーブル内のエントリの数は無制限になります。

Timeout (sec.)

ダイナミック変換が期限切れになるまでの秒数。PAT(オーバーロード)変換には適用されません。デフォルトは 86400 秒(24 時間)です。

UDP Timeout (sec.)

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポートに適用されるタイムアウト値。デフォルトは 300 秒(5 分)です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

DNS Timeout (sec.)

Domain Naming System(DNS; ドメイン ネーミング システム)サーバ接続に適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

TCP Timeout (sec.)

Transmission Control Protocol(TCP)ポートに適用されるタイムアウト値。デフォルトは 86400 秒(24 時間)です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

FINRST Timeout (sec.)

終了(FIN)パケットまたはリセット(RST)パケット(どちらも接続を終了させる)が TCP ストリーム内で検出された場合に適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

ICMP Timeout (sec.)

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)フローに適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

PPTP Timeout (sec.)

NAT Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)フローに適用されるタイムアウト値。デフォルトは 86400 秒(24 時間)です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

SYN Timeout (sec.)

同期伝送(SYN)メッセージ(正確なクロッキングに使用)が検出されたあと、TCP フローに適用されるタイムアウト値。デフォルトは 60 秒です。

(注) この値が適用されるのは、ダイナミック NAT ルールでポート変換(オーバーロード)がイネーブルになっている場合だけです。「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照してください。

セキュリティ デバイスの NAT ポリシー

ここでは、管理対象のセキュリティ アプライアンス(PIX ファイアウォール、Catalyst スイッチの Firewall Service Modules(FWSM; ファイアウォール サービス モジュール)、8.3 よりも前のバージョンの Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)、および ASA 8.3+ デバイス)で Network Address Translation(NAT; ネットワーク アドレス変換)オプションを設定する方法について説明します。説明の順序は次のとおりです。

「トランスペアレント モードの NAT」

「[Translation Options] ページ」

PIX、FWSM、および 8.3 よりも前の ASA

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「Address Pools」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

ASA 8.3+

「ASA 8.3+ デバイスでの NAT の設定」

「[Translation Rules]:ASA 8.3+」

トランスペアレント モードの NAT

トランスペアレント モードで動作しているセキュリティ アプライアンスで NAT を使用すると、上流または下流のルータでそれらのネットワークに対して NAT を実行する必要性がなくなります。トランスペアレント モードの NAT には、次の要件および制限があります。

マッピングされたアドレスがトランスペアレント ファイアウォールと同じネットワークにない場合、マッピングされたアドレス用に、(セキュリティ アプライアンス経由で)下流のルータを指し示すスタティック ルートを上流のルータに追加する必要があります。

実際の宛先アドレスが直接セキュリティ アプライアンスに接続されていない場合は、実際の宛先アドレス用に、下流のルータを指し示すスタティック ルートをセキュリティ アプライアンスに追加する必要もあります。NAT を使用しない場合、上流のルータから下流のルータへのトラフィックは MAC アドレス テーブルを使用するため、セキュリティ アプライアンス上のルートを必要としません。ただし、NAT を使用すると、セキュリティ アプライアンスは MAC アドレス ルックアップの代わりにルート ルックアップを使用するため、下流のルータへのスタティック ルートが必要になります。

トランスペアレント ファイアウォールにはインターフェイス IP アドレスがないため、インターフェイス PAT を使用できません。

ARP インスペクションはサポートされていません。さらに、何らかの理由でセキュリティ アプライアンスの片側にあるホストからもう片側にあるホストに ARP 要求が送信され、送信側ホストの実アドレスが同じサブネット上の別のアドレスにマップされている場合、その実アドレスは ARP 要求で表示されたままになります。

[Translation Options] ページ

[Translation Options] ページを使用して、選択したセキュリティ アプライアンスのネットワーク アドレス変換に影響するオプションを設定します。これらの設定は、デバイス上のすべてのインターフェイスに適用されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Translation Options] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Translation Options] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Translation Options] を右クリックして新しいポリシーを作成します。

関連項目

「セキュリティ デバイスの NAT ポリシー」

フィールド リファレンス

 

表 22-5 [Translation Options] ページ

要素
説明

Enable traffic through the firewall without address translation

選択すると、トラフィックはアドレス変換なしでセキュリティ アプライアンスを通過できるようになります。このオプションを選択しなかった場合、変換ルールと一致しないトラフィックはすべてドロップされます。

(注) このオプションは、PIX 7.x、FWSM 3.x、および ASA デバイスでだけ使用可能です。

Enable xlate bypass

選択すると、変換されないトラフィックに対する NAT セッションの確立がディセーブルになります(この機能は「xlate バイパス」と呼ばれます)。

(注) このオプションは、FWSM 3.2 以降でだけ使用可能です。

デフォルトでは、FWSM は、NAT が使用されていなくても、すべての接続に対して NAT セッションを作成します。たとえば、NAT 制御がイネーブルになっていない場合、NAT 免除またはアイデンティティ NAT が使用されている場合、または同じセキュリティのインターフェイスを使用しており NAT を設定していない場合にも、セッションは変換対象でない接続ごとに作成されます。NAT セッションの数には最大限度があるため(266、同時には 144)、このような種類の NAT セッションで制限に達してしまう可能性があります。制限に達しないようにするには、xlate バイパスをイネーブルにします。

NAT 制御をディセーブルにして変換対象でないトラフィックを存在させるか NAT 免除を使用する場合、または NAT 制御をイネーブルにして NAT 免除を使用する場合には、xlate バイパスを使用すると、FWSM はこれらのタイプの変換対象でないトラフィックに対してセッションを作成しません。ただし、次の場合には、NAT セッションが作成されます。

(NAT 制御の有無に関係なく)アイデンティティ NAT を設定する場合。アイデンティティ NAT は 1 つの変換と見なされます。

NAT 制御で同じセキュリティのインターフェイスを使用する場合。同じセキュリティのインターフェイス間のトラフィックは、そのトラフィックに NAT を設定していなくても、NAT セッションを作成します。このような場合に NAT セッションを回避するには、NAT 制御をディセーブルにするか、または NAT 免除と xlate バイパスを使用します。

Do not translate VPN traffic

選択すると、VPN トラフィックはアドレス変換なしでセキュリティ アプライアンスを通過します。

Clear translates for existing connections

選択すると、ダイナミック変換に割り当てられた変換スロットおよび関連付けられた接続が、各セッションのあとにクリアされます。

セキュリティ アプライアンスを介して接続され、何らかの形式の NAT または PAT が実行される各セッションは、「xlate」と呼ばれる変換スロットに割り当てられます。これらの変換スロットは、セッションが完了したあとも存続する可能性があり、そのために、変換スロットの枯渇、予期しないトラフィック動作、またはその両方が発生する可能性があります。

PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定

ここでは、PIX デバイスと FWSM デバイス、および 8.3 よりも前のバージョンの ASA でネットワーク アドレス変換を設定する方法について説明します(ASA 8.3+ デバイスでの NAT の設定については、「ASA 8.3+ デバイスでの NAT の設定」を参照してください)。

「Address Pools」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「Translation Exemptions (NAT 0 ACL)」

「[Dynamic Rules] タブ」

「[Policy Dynamic Rules] タブ」

「[Static Rules] タブ」

「[General] タブ」

Address Pools

[Address Pools] ページを使用して、ダイナミック NAT ルールで使用されるグローバル アドレス プールを表示および管理します。

これらのアドレス プールを追加および編集するには、[Address Pool] ダイアログボックスを使用します。このページの [Global Address Pools] テーブルに表示されるフィールドについては、「[Address Pool] ダイアログボックス」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Address Pools] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Address Pools] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Address Pools] を右クリックして新しいポリシーを作成します。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

[Address Pool] ダイアログボックス

[Address Pool] ダイアログボックスを使用して、ダイナミック NAT ルールで使用するグローバル アドレス プールを追加または編集します。

ナビゲーション パス

[Address Pool] ダイアログボックスを開くには、「Address Pools」で [Add Row] または [Edit Row] ボタンをクリックします。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

フィールド リファレンス

 

表 22-6 [Address Pools] ダイアログボックス

要素
説明

Interface Name

マッピングされた IP アドレスが使用されるデバイス インターフェイスの名前を入力するか、または選択します。

Pool ID

このアドレス プールの一意の識別番号を 1 ~ 2147483647 の整数で入力します。ダイナミック NAT ルールを設定する場合は、[Pool ID] を選択して、変換に使用されるアドレス プールを指定します。

IP address ranges

このアドレス プールに割り当てられるアドレスを入力するか、または選択します。これらのアドレスは次のように指定できます。

ダイナミック NAT のアドレス範囲(192.168.1.1-192.168.1.15 など)

サブネットワーク(192.168.1.0/24 など)

カンマ区切りのアドレスのリスト(192.168.1.1, 192.168.1.2, 192.168.1.3 など)

PAT に使用する単一のアドレス(192.168.1.1 など)

上記の組み合わせ(192.168.1.1-192.168.1.15, 192.168.1.25 など)

接続されるネットワーク上のホストの名前。これらは IP アドレスに解決されます。

Description

アドレス プールの説明を入力します。

Enable Interface PAT

オンにすると、指定したインターフェイスでポート アドレス変換がイネーブルになります。

[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA

[Translation Rules] ページを使用して、選択したデバイスの Network Address Translation(NAT; ネットワーク アドレス変換)ルールを定義します。[Translation Rules] ページは、次のタブで構成されています。

「Translation Exemptions (NAT 0 ACL)」:このタブを使用して、アドレス変換が免除されるトラフィックを指定するルールを設定します。


) 変換免除は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされます。


「[Dynamic Rules] タブ」:このタブを使用して、ダイナミック NAT ルールとダイナミック PAT ルールを設定します。


) ダイナミック変換ルールは、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされます。


「[Policy Dynamic Rules] タブ」:このタブを使用して、送信元アドレスと宛先アドレスおよびサービスに基づいたダイナミック変換ルールを設定します。


) ポリシーのダイナミック ルールは、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされます。


「[Static Rules] タブ」:このタブを使用して、セキュリティ アプライアンスまたは共有ポリシーのスタティック変換ルールを設定します。

「[General] タブ」:このタブを使用して、デバイス上で検証される順序で、現在あるすべての変換ルールを一覧表示します。


) [General] タブは、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけで表示されます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされ、概要情報を表示する必要はありません。


ナビゲーション パス

[Translation Rules] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Translation Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Translation Rules] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Translation Rules] を右クリックして新しいポリシーを作成します。

Translation Exemptions (NAT 0 ACL)

[Translation Rules] ページの [Translation Exemptions (NAT 0 ACL)] タブを使用して、トラフィックにアドレス変換を免除するルールを表示および指定します。ルールは、リスト内の順序に従って評価されます。行番号は、リスト内の順序におけるルールの位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択したルールの位置を変更できます。

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックスを使用して、これらのルールを追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス」を参照してください。


) 変換免除は、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされます。


ナビゲーション パス

[Translation Exemptions (NAT 0 ACL)] タブには、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」ページからアクセスできます。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Advanced NAT Options] ダイアログボックス」

「[General] タブ」

Security Manager の標準のルール テーブルに関する項:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックスを使用して、ルータ モードの PIX、FWSM、および 8.3 よりも前の ASA デバイスと、トランスペアレント モードの FWSM 3.2 デバイスでの変換免除ルールを定義および編集します。

ナビゲーション パス

[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックスには、[Translation Exemptions (NAT 0 ACL)] タブからアクセスできます。詳細については、「Translation Exemptions (NAT 0 ACL)」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Advanced NAT Options] ダイアログボックス」

フィールド リファレンス

 

表 22-7 [Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス

要素
説明

Enable Rule

オンにすると、ルールがイネーブルになります。ルールを削除せずにディセーブルにするには、このオプションの選択を解除します。

Action

このルールのアクションを選択します。

[exempt]:NAT が免除されるトラフィックをルールで指定します。

[do not exempt]:NAT が免除されないトラフィックをルールで指定します。

Original: Interface

ルールを適用するデバイス インターフェイスの名前を入力するか、または選択します。

Original: Sources

ルールを適用する発信元ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

このパラメータは、[Translation Exemptions (NAT 0 ACL)] テーブルのカラム見出し [Original Address] の下に表示されることに注意してください。

Translated: Direction

このオプションによる指定に従って、ルールをインバウンド トラフィックまたはアウトバウンド トラフィックに適用できます。

Traffic flow: Destinations

ルールを適用する宛先ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

Category

ルールをカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリは、ラベルやカラーコーディングを使用したルールとオブジェクトの識別に役立ちます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

Description

ルールの説明を入力します。

[Advanced] ボタン(FWSM だけ)

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、このルールの高度な設定を行うことができます。

[Dynamic Rules] タブ

[Translation Rules] ページの [Dynamic Rules] タブを使用して、ダイナミック NAT ルールとダイナミック PAT ルールを表示および設定します。ルールは、リスト内の順序に従って評価されます。行番号は、リスト内の順序におけるルールの位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択したルールの位置を変更できます。

ダイナミック NAT では、内部 IP アドレスは、グローバル アドレス プールの IP アドレスを使用して動的に変換されます。ダイナミック PAT では、内部 IP アドレスは、動的に割り当てられるポート番号とマッピングされたアドレスを併用して、単一のマッピングされたアドレスに変換されます。ダイナミック変換は、多くの場合、ローカルの RFC 1918 IP アドレスをインターネットでルーティング可能なアドレスにマッピングするために使用されます。

[Add/Edit Dynamic Translation Rule] ダイアログボックスを使用して、これらのルールを追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Dynamic Translation Rule] ダイアログボックス」を参照してください。


) ダイナミック変換ルールは、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされます。


ナビゲーション パス

[Dynamic Rules] タブには、[Translation Rules] ページからアクセスできます。[Translation Rules] ページの詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。


) デフォルトでは、[Dynamic Rule] の標準要素だけがこのテーブルに表示されます。カラムの見出しを右クリックすると、[Advanced NAT Options] ダイアログボックスで定義されている要素の他のカラムを表示できます(「[General] タブ」には、デフォルトですべてのカラムが表示されます)。


関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

「[General] タブ」

標準のルール テーブルに関する内容:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Dynamic Translation Rule] ダイアログボックス

[Add/Edit Dynamic Translation Rule] ダイアログボックスを使用して、ダイナミック NAT ルールとダイナミック PAT ルールを定義および編集します。

ナビゲーション パス

[Add/Edit Dynamic Translation Rule] ダイアログボックスには、[Dynamic Rules] タブからアクセスできます。詳細については、「[Dynamic Rules] タブ」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

フィールド リファレンス

 

表 22-8 [Add/Edit Dynamic Translation Rule] ダイアログボックス

要素
説明

Enable Rule

オンにすると、ルールがイネーブルになります。ルールを削除せずにディセーブルにするには、このオプションの選択を解除します。

Original: Interface

ルールを適用するデバイス インターフェイスの名前を入力するか、または選択します。

Original: Address

ルールを適用する発信元ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

Translated: Pool

変換に使用するアドレスのプールの ID 番号を入力するか、または選択します。[Select] をクリックすると「[Select Address Pool] ダイアログボックス」が開きます。

これをアイデンティティ NAT ルールとして指定するには、値 0 を入力します。

Translated: Direction

このオプションによる指定に従って、ルールをインバウンド トラフィックまたはアウトバウンド トラフィックに適用できます。

[Advanced] ボタン

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、このルールの高度な設定を行うことができます。

[Select Address Pool] ダイアログボックス

[Select Address Pool] ダイアログボックスには、グローバル アドレス プールのリストが表示されます。これらのプールは、「Address Pools」を使用して定義および管理されます。このダイアログボックスを使用して、ダイナミック変換ルールまたはポリシー ダイナミック変換ルールで使用するアドレス プールを選択します。

ナビゲーション パス

ダイナミック変換ルールを追加または編集する場合は「[Add/Edit Dynamic Translation Rule] ダイアログボックス」から、ポリシー ダイナミック変換ルールを追加または編集する場合は「[Add/Edit Policy Dynamic Rules] ダイアログボックス」から [Select Address Pool] ダイアログボックスにアクセスできます。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「Address Pools」

フィールド リファレンス

 

表 22-9 [Select Address Pool] ダイアログボックス

要素
説明

Pool ID

アドレス プールの識別番号。

Interface

アドレス プールが適用されるデバイス インターフェイスの名前。

IP Address Ranges

プールに割り当てられる IP アドレス。このリストの「インターフェイス」は、指定したインターフェイスで PAT がイネーブルになっていることを示します。

Description

アドレス プールの説明。

Selected Row

このフィールドは、リスト内で現在選択されているプールを示します。[OK] をクリックするとダイアログボックスが閉じ、このプールが変換ルールに割り当てられます。

[Policy Dynamic Rules] タブ

[Translation Rules] ページの [Policy Dynamic Rules] タブを使用して、送信元アドレスと宛先アドレスおよびサービスに基づいたダイナミック変換ルールを表示および設定します。ルールは、リスト内の順序に従って評価されます。行番号は、リスト内の順序におけるルールの位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択したルールの位置を変更できます。

[Add Policy Dynamic Rule]/[Edit Policy Dynamic Rule] ダイアログボックスを使用して、これらのルールを追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Policy Dynamic Rules] ダイアログボックス」を参照してください。


) ポリシーのダイナミック ルールは、ルータ モードの PIX、ASA、および FWSM とトランスペアレント モードの FWSM 3.2 デバイスだけでサポートされます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされます。


ナビゲーション パス

[Policy Dynamic Rules] タブには、[Translation Rules] ページからアクセスできます。詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。


) デフォルトでは、[Policy Dynamic Rule] の標準要素だけがこのテーブルに表示されます。カラムの見出しを右クリックすると、[Advanced NAT Options] ダイアログボックスで定義されている要素の他のカラムを表示できます(「[General] タブ」には、デフォルトですべてのカラムが表示されます)。


関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Add/Edit Policy Dynamic Rules] ダイアログボックス」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

「[General] タブ」

標準のルール テーブルに関する内容:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Policy Dynamic Rules] ダイアログボックス

[Add/Edit Policy Dynamic Rules] ダイアログボックスを使用して、送信元アドレスと宛先アドレスおよびサービスに基づいたダイナミック変換ルールを定義および編集します。

ナビゲーション パス

[Add/Edit Policy Dynamic Rules] ダイアログボックスには、[Policy Dynamic Rules] タブからアクセスできます。詳細については、「[Policy Dynamic Rules] タブ」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Policy Dynamic Rules] タブ」

「[Advanced NAT Options] ダイアログボックス」

「[Select Address Pool] ダイアログボックス」

フィールド リファレンス

 

表 22-10 [Add/Edit Policy Dynamic Rules] ダイアログボックス

要素
説明

Enable Rule

オンにすると、ルールがイネーブルになります。ルールを削除せずにディセーブルにするには、このオプションの選択を解除します。

Original: Interface

ルールを適用するデバイス インターフェイスの名前を入力するか、または選択します。

Original: Sources

ルールを適用する発信元ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

このパラメータは、[Policy Dynamic Rules] テーブルのカラム見出し [Original Address] の下に表示されることに注意してください。

Translated: Pool

変換に使用するアドレスのプールの ID 番号を入力するか、または選択します。[Select] をクリックすると「[Select Address Pool] ダイアログボックス」が開きます。

これをアイデンティティ NAT ルールとして指定するには、値 0 を入力します。

Translated: Direction

このオプションによる指定に従って、ルールをインバウンド トラフィックまたはアウトバウンド トラフィックに適用できます。

Traffic flow: Destinations

ルールを適用する宛先ホストおよびネットワーク オブジェクトの IP アドレスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

Traffic flow: Services

ルールを適用するサービスを入力するか、または選択します。複数のエントリを指定する場合は、カンマで区切ります。

Category

ルールをカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリは、ラベルやカラーコーディングを使用したルールとオブジェクトの識別に役立ちます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

Description

ルールの説明を入力します。

[Advanced] ボタン

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、このルールの高度な設定を行うことができます。

[Static Rules] タブ

[Translation Rules] ページの [Static Rules] タブを使用して、セキュリティ アプライアンスまたは共有ポリシーのスタティック変換ルールを表示および設定します。ルールは、リスト内の順序に従って評価されます。行番号は、リスト内の順序におけるルールの位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択したルールの位置を変更できます。

スタティック変換では、内部 IP アドレスは常にグローバル IP アドレスにマッピングされます。これらのルールは、セキュリティレベルの低いインターフェイス上のホスト アドレスをセキュリティレベルの高いインターフェイス上のグローバル アドレスにマッピングします。たとえば、スタティック ルールは、境界ネットワーク上の Web サーバのローカル アドレスを、外部インターフェイス上のホストが Web サーバへのアクセスに使用するグローバル アドレスにマッピングするために使用されます。


注意 セキュリティ デバイス上のスタティック NAT ルールの順序は重要であり、Security Manager は展開時にこの順序を保持します。ただし、セキュリティ アプライアンスでは、スタティック NAT ルールのインライン編集はサポートしていません。つまり、リストの末尾よりも上の任意の場所でルールを移動、編集、または挿入すると、Security Manager は、新規または変更したルールの後に続くすべてのスタティック NAT ルールをデバイスから削除し、その時点から更新されたリストを再送信します。リストの長さによっては、この処理にかなりのオーバーヘッドがかかる可能性があり、結果としてトラフィックが中断されることがあります。可能なかぎり、新しいスタティック NAT ルールはリストの末尾に追加してください。

[Add/Edit Static Rule] ダイアログボックスを使用して、これらのルールを追加および編集します。このページのテーブルに表示されるフィールドについては、「[Add/Edit Static Rule] ダイアログボックス」を参照してください。

[Static Rules] テーブルの [Nailed] カラム

「[Add/Edit Static Rule] ダイアログボックス」で指定したパラメータを示すカラムに加えて、[Static Rules] テーブルには [Nailed] というラベルの付いたカラムが表示されます。この値は、デバイス検出で入力される値であり、Security Manager では変更できません。

[Nailed] カラムのエントリは、その接続に対して TCP ステート トラッキングおよびシーケンス チェックがスキップされるかどうかを [true] または [false] で示します。

ナビゲーション パス

[Static Rules] タブには、[Translation Rules] ページからアクセスできます。詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。


) デフォルトでは、[Static Rules] の標準要素だけがこのテーブルに表示されます。カラムの見出しを右クリックすると、[Advanced NAT Options] ダイアログボックスで定義されている要素の他のカラムを表示できます(「[General] タブ」には、デフォルトですべてのカラムが表示されます)。


関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Add/Edit Static Rule] ダイアログボックス」

「[Advanced NAT Options] ダイアログボックス」

「[General] タブ」

標準のルール テーブルに関する内容:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

[Add/Edit Static Rule] ダイアログボックス

[Add/Edit Static Rule] ダイアログボックスを使用して、ファイアウォール デバイスまたは共有ポリシーのスタティック変換ルールを追加または編集します。

ナビゲーション パス

[Add/Edit Static Rule] ダイアログボックスには、「[Static Rules] タブ」からアクセスできます。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

「[Advanced NAT Options] ダイアログボックス」

フィールド リファレンス

 

表 22-11 [Add/Edit Static Rule] ダイアログボックス

要素
説明

Enable Rule

オンにすると、ルールがイネーブルになります。ルールを削除せずにディセーブルにするには、このオプションの選択を解除します。

Translation Type

このルールの変換のタイプ([NAT] または [PAT])を選択します。

Original Interface

変換される元のアドレスを持つホストまたはネットワークに接続されているデバイス インターフェイスを入力するか、または選択します。

Original Address

変換される送信元アドレスを入力するか、または選択します。

Translated Interface

変換後のアドレスが使用されるインターフェイスを入力するか、または選択します。

このルールをアイデンティティ NAT ルールとして指定するには、このフィールドと [Original Interface] フィールドの両方に同じインターフェイスを入力します。

Use Interface IP/Use Selected Address

変換後のインターフェイスで使用するアドレスを指定します。[Use Interface IP](アドレス)を選択するか、または [Use Selected Address] を選択してアドレスを入力するかネットワーク/ホスト オブジェクトを選択します。

Enable Policy NAT

この変換ルールに対してポリシー NAT をイネーブルにするには、このオプションを選択します。

Dest Address

ポリシー NAT をイネーブルにした場合は、ルールが適用されるホストまたはネットワークの宛先アドレスを指定します。

Services

ポリシー NAT をイネーブルにした場合は、ルールが適用されるサービスを入力するか、または選択します。

(注) スタティック ポリシー NAT の場合、指定できるサービスは IP だけです。

サービスおよびサービス オブジェクトを指定する構文は、次のとおりです。

{ tcp | udp | tcp&udp }/{ source_port_number | port_list_object }/ { destination_port_number | port_list_object }

1 つのポート パラメータしか入力しなかった場合、このパラメータは宛先ポートとして解釈されることに注意してください(送信元ポートは「any」になります)。たとえば、 tcp/4443 は tcp、送信元ポート any、宛先ポート 4443 を意味し、 tcp/4443/Default Range は tcp、送信元ポート 4443、宛先ポート Default Range(通常、1 ~ 65535)を意味します。

すべてのテキスト入力フィールドと同様に、Security Manager によってオートコンプリート オプションが表示されることがあります。たとえば、このフィールドに tcp/ と入力すると、Security Manager に定義されているすべてのポート リスト オブジェクトのオートコンプリート リストが表示されます。このリストには、DEFAULT RANGE、HTTPS、および WEBPORTS などのシステム生成オブジェクトが含まれています。

ポート リストの詳細については「ポート リスト オブジェクトの設定」を、サービス定義の詳細については「サービス オブジェクトの設定」を参照してください。

Protocol

[Translation Type] で [PAT] を選択した場合は、ルールが適用されるプロトコル(TCP または UDP)を選択します。

Original Port

[Translation Type] で [PAT] を選択した場合は、変換されるポート番号を入力します。

このパラメータは、[Static Rules] テーブルのカラム見出し [Local Port] の下に表示されることに注意してください。

Translated Port

[Translation Type] で [PAT] を選択した場合は、元のポート番号が変換されるポート番号を入力します。

このパラメータは、[Static Rules] テーブルのカラム見出し [Global Port] の下に表示されることに注意してください。

Category

ルールをカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリは、ラベルやカラーコーディングを使用したルールとオブジェクトの識別に役立ちます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

Description

ルールの説明を入力します。

[Advanced] ボタン

クリックすると、「[Advanced NAT Options] ダイアログボックス」が開き、このルールの高度な設定を行うことができます。

[Edit Translated Address] ダイアログボックス

スタティック変換ルールに割り当てられている変換後のアドレスだけを変更するには、[Edit Translated Address] ダイアログボックスを使用します。変換後のアドレスとは、元のアドレスが変更されるアドレスです。インターフェイスの IP アドレスを使用することも、特定の IP アドレスを入力することもできます。スタティック ルールおよび変換後のアドレスの詳細については、「[Static Rules] タブ」を参照してください。

ファイアウォール ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

ナビゲーション パス

([NAT] > [Translation Rules] ページにある)[Static Rules] テーブルの [Translated Address] セルを右クリックして、[Edit Translated Address] を選択します。

[Advanced NAT Options] ダイアログボックス

[Advanced NAT Options] ダイアログボックスを使用して、NAT およびポリシー NAT の高度な接続設定(DNS 書き換え、最大 TCP および最大 UDP 接続数、初期接続制限、タイムアウト(PIX 6.x)、およびシーケンス番号のランダム化)を指定します。これらのオプションは、FWSM の変換免除(NAT 0 ACL)ルールでも設定できます。

ナビゲーション パス

変換ルールの追加または編集時に [Advanced] ボタンをクリックすると、[Advanced NAT Options] ダイアログボックスにアクセスできます。詳細については、次の項を参照してください。

「[Add/Edit Translation Exemption (NAT-0 ACL) Rule] ダイアログボックス」

「[Add/Edit Dynamic Translation Rule] ダイアログボックス」

「[Add/Edit Policy Dynamic Rules] ダイアログボックス」

「[Add/Edit Static Rule] ダイアログボックス」

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」

フィールド リファレンス

 

表 22-12 [Advanced NAT Options] ダイアログボックス

要素
説明

Translate the DNS replies that match the translation rule

オンにすると、外部クライアントが内部 DNS サーバを使用して内部ホストの名前を解決できるように、またその逆ができるように、セキュリティ アプライアンスは DNS 応答を書き換えます。たとえば、NAT ルールに、DNS サーバ内にエントリを持つホストの実際のアドレスが含まれていて、DNS サーバがクライアントとは別のインターフェイス上にある場合、クライアントおよび DNS サーバにはそれぞれ異なるホスト用アドレスが必要です。つまり、片方にはマッピングされたアドレス、もう片方には実際のアドレスが必要です。このオプションは、クライアントに送信される DNS 応答内のアドレスを書き換えます。

例として、内部 Web サーバ www.example.com に IP アドレス 192.168.1.1 があり、このアドレスがアプライアンスの外部インターフェイス上の 10.1.1.1 に変換されるとします。外部クライアントは内部 DNS サーバに DNS 要求を送信し、これにより www.example.com は 192.168.1.1 に解決されます。DNS 書き換えをイネーブルにしたセキュリティ アプライアンスに応答が到着すると、外部クライアントが正しい IP アドレスを取得できるように、セキュリティ アプライアンスはペイロード内の IP アドレスを 10.1.1.1 に変換します。

マッピングされたホストがクライアントまたは DNS サーバと同じインターフェイス上に存在している必要があることに注意してください。通常、他のインターフェイスからのアクセスを許可する必要があるホストはスタティック変換を使用するため、このオプションはスタティック ルールで使用される可能性があります。

Max TCP Connections per Rule

許容される TCP 接続の最大数を入力します。有効な値は 0 ~ 65,535 です。この値を 0 に設定すると、接続数は無制限になります。

Max UDP Connections per Rule

許容される UDP 接続の最大数を入力します。有効な値は 0 ~ 65,535 です。この値を 0 に設定すると、接続数は無制限になります。

Max Embryonic Connections

初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。初期接続は、送信元と宛先間で必要なハンドシェイクを完了しなかった接続要求です。この制限は、初期接続のフラッドによる攻撃を防ぐために設定します。有効な値は 0 ~ 65,535 です。この値を 0 に設定すると、接続数は無制限になります。

任意の正の値を入力すると、TCP 代行受信機能がイネーブルになります。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

Timeout

PIX 6.x デバイスの場合は、この変換ルールのタイムアウト値を hh:mm:ss の書式で入力します。この値は、00:00:00 を指定しないかぎり、[Platform] > [Security] > [Timeouts] で指定したデフォルトの変換タイムアウトを上書きします。00:00:00 を指定した場合、このルールに一致する変換では、([Platform] > [Security] > [Timeouts] で指定した)デフォルトの変換タイムアウトが使用されます。

Randomize Sequence Number

オンにすると、セキュリティ アプライアンスによって TCP パケットのシーケンス番号がランダム化されます。個々の TCP 接続には 2 つの Initial Sequence Number(ISN; 初期シーケンス番号)があり、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。セキュリティ アプライアンスは、インバウンド方向とアウトバウンド方向の両方で、TCP SYN の ISN をランダム化します。保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

この機能は、次の場合にかぎりディセーブルにします。

別のインライン セキュリティ アプライアンスでも初期シーケンス番号をランダム化しており、データがスクランブル化されている場合。

セキュリティ アプライアンスを介して eBGP マルチホップを使用しており、eBGP ピアが MD5 を使用している場合。ランダム化すると、MD5 チェックサムが破損します。

セキュリティ アプライアンスによって接続のシーケンス番号がランダム化されないことを必要とする WAAS デバイスを使用している場合。

このオプションをディセーブルにすると、セキュリティ アプライアンスにセキュリティ ホールが開きます。

[General] タブ

[Translation Rules] ページの [General] タブを使用して、現在のデバイスまたは共有ポリシーに定義されているすべての変換ルールの概要を表示します。変換ルールは、デバイス上で検証される順序で一覧表示されます。


) [General] タブは、ルータ モードの PIX、ASA、および FWSM デバイスとトランスペアレント モードの FWSM 3.2 デバイスだけで表示されます。トランスペアレント モードのその他のデバイスでは、スタティック変換ルールだけがサポートされ、概要情報を表示する必要はありません。


ナビゲーション パス

[General] タブには、[Translation Rules] ページからアクセスできます。詳細については、「[Translation Rules]:PIX、FWSM、および 8.3 よりも前の ASA」を参照してください。

関連項目

「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」

「Translation Exemptions (NAT 0 ACL)」

「[Dynamic Rules] タブ」

「[Policy Dynamic Rules] タブ」

「[Static Rules] タブ」

標準のルール テーブルに関する内容:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

フィールド リファレンス

 

表 22-13 [General] タブ - [Translation Rules Summary] テーブル

要素
説明
(注) テーブル内のエントリに斜線の網掛けが適用されている場合は、ルールが現在ディセーブルになっていることを示します(これらのルールのイネーブル化およびディセーブル化の詳細については、「[Add/Edit Dynamic Translation Rule] ダイアログボックス」の [Enable Rule] を参照してください)。

No.

ルールは、リスト内の順序に従って評価されます。この番号は、リストの順序におけるルールの位置を示します。

Type

トランスレーション ルールのタイプ。[Static]、[Dynamic]、[Exemption] など。

Action

NAT 免除ルールの場合は [exempt] が表示されます。

Original Interface

ルールが適用されるデバイス インターフェイスの ID。

Original Address

ルールが適用される送信元ホストおよびネットワークのオブジェクト名または IP アドレス。

Local Port

ホストまたはネットワークによって提供されるポート番号(スタティック PAT 用)。

Translated Pool

変換に使用されるアドレス プールの ID 番号。

Translated Interface

変換後のアドレスが使用されるインターフェイス。

Translated Address

変換後のアドレス。

Global Port

元のポート番号が変換されるポート番号(スタティック PAT 用)。

Destination

ルールが適用される宛先ホストまたはネットワークのオブジェクト名および IP アドレス。

Protocol

ルールが適用されるプロトコル。

Service

ルールが適用されるサービス。

Direction

ルールが適用されるトラフィックの方向([Inbound] または [Outbound])。

DNS Rewrite

DNS 書き換えオプションがイネーブルであるかどうか([Yes] または [No])。このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

Maximum TCP Connections

静的に変換された IP アドレスに接続できる TCP 接続の最大数。0 の場合、接続数は無制限です。このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

Embryonic Limit

セキュリティ アプライアンスが初期接続を拒否し始めるまでに確立が許可される初期接続の数。0 の場合、接続数は無制限です。正の数を入力すると、TCP 代行受信機能がイネーブルになります。

このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

Maximum UDP Connections

静的に変換された IP アドレスに接続できる UDP 接続の最大数。0 の場合、接続数は無制限です。このオプションは、「[Advanced NAT Options] ダイアログボックス」で設定します。

Timeout

PIX 6.x デバイスの場合、これはスタティック変換ルールのタイムアウト値です。この値は、[Platform] > [Security] > [Timeouts] で指定したデフォルトの変換タイムアウトを上書きします。ここで 00:00:00 のタイムアウト値を指定すると、このルールと一致する変換では、[Platform] > [Security] > [Timeouts] で指定したデフォルトの変換タイムアウトが使用されます。

Randomize Sequence Number

セキュリティ アプライアンスが TCP パケットのシーケンス番号をランダム化するかどうか([Yes] または [No])。このオプションは「[Advanced NAT Options] ダイアログボックス」で設定します。デフォルトではイネーブルになります。

Category

ルールが割り当てられるカテゴリ。カテゴリはラベルやカラーコーディングを使用して、ルールおよびオブジェクトを識別しやすくします。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) カテゴリ属性のコマンドは生成されません。

Description

ルールの説明(指定してある場合)。

ASA 8.3+ デバイスでの NAT の設定

ここでは、バージョン 8.3 以降の ASA デバイスでネットワーク アドレス変換を設定する方法について説明します。

「[Translation Rules]:ASA 8.3+」

「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

他のセキュリティ アプライアンスでの NAT の設定については、「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」を参照してください。NAT ルールの一般的な情報、および ASA 8.3 で実装された NAT 設定の変更点については、「ASA 8.3+ デバイスでの「簡易」NAT について」を参照してください。

[Translation Rules]:ASA 8.3+

[Translation Rules] ページを使用して、選択した ASA 8.3+ デバイスの Network Address Translation(NAT; ネットワーク アドレス変換)ルールを管理します。他のセキュリティ デバイスでの変換ルールの設定については、「セキュリティ デバイスの NAT ポリシー」を参照してください。

このテーブルには 2 つのタイプの NAT ルールが表示されます。該当ユーザや別のユーザが追加した「手動」ルールと、NAT プロパティを持つオブジェクトがデバイスに割り当てられている場合に Security Manager によって生成および適用される「自動」ルールです。これらはそれぞれ「NAT ルール」および「ネットワーク オブジェクト NAT ルール」と呼ばれます。

[Translation Rules] テーブルの一部の機能

この [Translation Rules] テーブルは、「ルール テーブルの使用」で示すような標準的な Security Manager のルール テーブルです。たとえば、カラムを移動、表示、または非表示にしたり、手動ルールを再順序付けしたり、特定のテーブル セルを右クリックしてそのパラメータを編集したりできます。また、次の機能はこの [Translation Rules] テーブルに固有です。

すべてのルールが、テーブル内にある事前定義済みの 3 つのセクションのいずれかに割り当てられます。

[NAT Rules Before]:これらは、該当ユーザまたは別のユーザがそのデバイスに「手動で」定義したルールです。ルールを追加する前にセクション見出しをクリックすることで、このセクションにルールが追加されることを指定できますが、セクションを指定しなかった場合にも、新しいルールはデフォルトでこのセクションに追加されます。

[Network Object NAT Rules]:これらは、NAT プロパティを含むネットワーク オブジェクトがデバイスに割り当てられている場合に、Security Manager によって自動的に生成され、順序付けされるルールです。NAT プロパティをオブジェクトに割り当てる方法については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」を参照してください。これらのルールを順序付けする方法については、「ASA 8.3+ デバイスでの「簡易」NAT について」のセクション「NAT テーブル」を参照してください。


) これらのルールはデバイス固有であるため、このセクションはポリシー ビューの [Translation Rules] テーブルには表示されません。


[NAT Rules After]:これらもまた、該当ユーザまたは別のユーザがそのデバイスに手動で定義したルールです。ルールを追加する前にセクション見出しをクリックすることで、このセクションにルールが追加されることを指定できます。

このテーブルに一覧表示されている NAT ルールは最初に一致したものから順に処理されます。そのため、順序は重要です。ルールはそのセクション内でしか再順序付けできないため、自動ルールの前と後の両方で手動セクションを指定することによって、すべてのルールが適切な順序になるように設定できます。各セクションのルールは、そのあとのセクションのルールに優先します。たとえば、一番上の「前」セクションのルールは、ネットワーク オブジェクト NAT セクションのルールに優先するというように続きます。

各ルールのタイプ(スタティック、ダイナミック PAT、またはダイナミック NAT と PAT)は、[Translated] カラムの [Source] パラメータの次に青色で (S) (DP) 、または (DNP) を表示することによって、テーブル内で視覚的に示されます。

双方向ルールは、実際にはペアになった 2 つのルール(指定した送信元の値と宛先の値の間で実行される発信変換と着信変換のそれぞれに 1 つずつ)で構成されるスタティック ルールです。ルール テーブルには、各双方向ルール エントリが 2 行で表示されます。

たとえば、[Source] フィールドが [Host1] で [Translated] フィールドが [Host2] のスタティック ルールを作成するときに [Bi-directional] を選択した場合、ルール テーブルに 2 つの行が追加されます。1 つは Host1 を Host2 に変換する行、もう 1 つは Host2 を Host1 に変換する行です。

関連項目

「セキュリティ デバイスの NAT ポリシー」

「ASA 8.3+ デバイスでの「簡易」NAT について」

標準のルール テーブルに関する内容:

「ルール テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [NAT] > [Translation Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [NAT (PIX/ASA/FWSM)] > [Translation Rules] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または [Translation Rules] を右クリックして新しいポリシーを作成します。

[Translation Rules] ページが表示されます。ネットワーク オブジェクト NAT ルールはデバイス固有であるため、ポリシー ビューでは [Network Object NAT Rules] セクションが表示されないことに注意してください。

ルールの追加、編集、および削除

NAT ルールを 追加 するには、次の手順を実行します。

1. ルールを追加するセクションの見出しを選択します。見出しを選択しなかった場合、ルールはデフォルトで [NAT Rules Before] に追加されます。

2. [Add NAT Rule] ダイアログボックスを開きます。テーブルの下部にある [Add Row] ボタンをクリックするか、またはテーブル内の任意の場所(既存のルール エントリの上以外)を右クリックしてポップアップ メニューから [Add Row] を選択します。

3. ルールを定義してから [OK] をクリックしてダイアログボックスを閉じると、ルールがテーブルに追加されます。

NAT ルールを 編集 するには、次の手順を実行します。

1. 目的のルールの [Edit NAT Rule] ダイアログボックスを開きます。NAT ルール テーブルでルールを選択してテーブルの下部にある [Edit Row] ボタンをクリックするか、または単に目的のルール エントリを右クリックしてポップアップ メニューから [Edit Row] を選択します。

2. ルールを編集してから [OK] をクリックしてダイアログボックスを閉じます。

[Add NAT Rule] ダイアログボックスの詳細な説明については、「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」を参照してください。

NAT ルールを 削除 するには、テーブルでルールを選択してテーブルの下部にある [Delete Row] ボタンをクリックするか、または単に目的のルール エントリを右クリックしてポップアップ メニューから [Delete Row] を選択します。


) このテーブルからネットワーク オブジェクト NAT ルールを削除するには、関連する [Edit Network Host] ダイアログボックスで [Add Automatic Address Translation NAT Rule] オプションをオフにするか、またはルールの割り当て先のデバイスを変更します。詳細については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」を参照してください。


ルールのイネーブル化とディセーブル化

次のように、1 つ以上の連続するルールをテーブルから削除せずにディセーブルにできます。

1. ディセーブルにするルールを選択します。連続したルールのブロックを選択する場合は、ブロックの最初のルールをクリックしてから、ブロックの最後のルールを Shift を押した状態でクリックします。

2. 選択したルールを右クリックして、ポップアップ メニューから [Disable] を選択します。

テーブル内では、ディセーブルになっているルールが、ルール エントリ全体に対する斜線の網掛けで示されます。

ディセーブルになっている 1 つ以上の連続するルールを再度イネーブルにするには、このプロセスを繰り返して、ポップアップ メニューから [Enable] を選択します。

[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス

[Add NAT Rule] ダイアログボックスを使用して、選択した ASA 8.3+ デバイスに NAT ルールを追加します。このダイアログボックスは、以前のバージョンの ASA でも、PIX または FWSM デバイスでも使用できません。これらのデバイスで NAT ルールを追加および編集する方法については、「PIX、FWSM、および 8.3 よりも前の ASA デバイスでの NAT の設定」を参照してください。


) タイトルを除いて、[Add NAT Rule] ダイアログボックスと [Edit NAT Rule] ダイアログボックスは同一であり、次の説明は両方に適用されます。


ナビゲーション パス

ルールを追加するには、ルールを追加するセクション([NAT Rules Before] または [NAT Rules After])を選択してから、ルール テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の任意の場所を右クリックし、[Add Row] を選択して [Add NAT Rule] ダイアログボックスを開きます。セクションを選択しなかった場合、新しいルールは [NAT Rules Before] セクションに追加されることに注意してください。

ルールを編集するには、ルールを選択して [Edit Row] ボタンをクリックするか、単にルールを右クリックし [Edit Row] コマンドを選択して、そのルールの [Edit NAT Rule] ダイアログボックスを開きます。

関連項目

「ネットワーク アドレス変換の設定」

「[Translation Rules]:ASA 8.3+」

「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」

フィールド リファレンス

 

表 22-14 [Add NAT Rule]/[Edit NAT Rule] ダイアログボックス

要素
説明

Type

作成する変換ルールのタイプ。

[Static]:実際のアドレスからマッピングされたアドレスへのスタティックな割り当てを提供します。

[Dynamic PAT (Hide)]:複数のローカル アドレスから単一のグローバル IP アドレスおよび一意のポート番号へのダイナミックな割り当てを提供し、実質的に、ローカル アドレスを 1 つのグローバル アドレスの背後に「隠します」。

[Dynamic NAT and PAT]:実際のアドレスからマッピングされたアドレス、および実際のポートからマッピングされたポートへのダイナミックな割り当てを提供します。

このオプションを選択すると、[PAT Pool Address Translation] オプションがダイアログボックスに追加されます。ルーテッド モードで稼動しているデバイスでは、このオプションによって次で説明するフォールスルー オプションも提供されます。

(注) このセクションは指定した送信元の変換にだけ適用されます。宛先の変換は常にスタティックになります。

Original Source

NAT ルールで変換される送信元アドレス。アドレス範囲またはネットワークの場合は、範囲またはネットワーク内のすべてのアドレスが変換されます。

Address

Interface

変換がデバイス上のアドレスまたはインターフェイスのどちらに基づくかを示します。いずれかを選択します。

[Address]:[Translated Source] フィールドで指定したネットワーク/ホスト(または、ネットワーク/ホスト オブジェクト)を使用して、元のアドレスを変換します。

[Interface]:[Translated Source] フィールドで指定したインターフェイスに基づいて、元のアドレスを変換します。

(注) これらのオプションは、タイプとして [Dynamic NAT and PAT] を選択している場合、使用できません。また、トランスペアレント モードで稼動しているデバイスでも使用できません。

Translated Source

上記で [Address] を選択した場合、このエントリは変換アドレスのプールを示します。目的のネットワーク/ホストを入力するか、または選択します。デフォルトは元の送信元アドレスです(アイデンティティ NAT ルールが作成されます)。

上記で [Interface] を選択した場合は、目的のインターフェイスを入力するか、または選択します。インターフェイス セレクタ リストには、デバイスに現在定義されているすべてのインターフェイスが含まれています。このインターフェイスに基づくポート アドレス変換については、必ず(このダイアログボックスの [Advanced] パネルにある)[Service Translation] セクションでオプションを設定してください。

[Interface] フィールドを空白のままにすると、[Address] と [Interface] の選択は [Address] に戻り、元の送信元アドレスが [Address] フィールドに挿入されます。これにより、アイデンティティ NAT ルールが作成されます。つまり、指定したアドレスはそれ自身に変換されます(事実上、変換されません)。アイデンティティ NAT はアウトバウンド接続だけに適用されます。

PAT Pool Address Translation

このオプションは、タイプとして [Dynamic NAT and PAT] を選択している場合に使用できます。関連するパラメータによって、ポート アドレス変換で特に使用する IP アドレスの「プール」の指定や、PAT マッピングに使用するアルゴリズムの変更ができます。これらの機能の詳細については、「PAT プールとラウンド ロビン割り当て」を参照してください。

[PAT Pool Address Translation] チェックボックスをオンにして、次のオプションをイネーブルにします。

[Address] または [Interface]:[PAT Pool Address] フィールドに含まれているのが、PAT プールとして使用するネットワーク/ホスト(または、ネットワーク/ホスト オブジェクト)であることを示すには、[Address] を選択します。フォールスルー インターフェイスを指定するには、[Interface] を選択します。

[PAT Pool Address]:上記の [Address] または [Interface] の選択に従い、目的のネットワーク/ホストまたは目的のインターフェイスを入力または選択します。

[Use Round Robin Allocation for PAT Pool]:「ラウンド ロビン」アプローチを使用してアドレス/ポートをマッピングするには、このチェックボックスをオンにします。このオプションの詳細については、「PAT プールとラウンド ロビン割り当て」を参照してください。

[Advanced] ヘッダーをクリックすると、ダイアログボックスが展開し、次の高度なオプションが表示されます。ヘッダーをもう一度クリックすると、[Advanced] パネルが非表示になります。

Destination Translation

宛先アドレスの任意のスタティック変換を設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Address] または [Interface]:[Translated Destination] フィールドで指定したネットワーク/ホスト オブジェクトを使用して元の宛先アドレスを変換するには、[Address] を選択します。[Translated Destination] フィールドで指定したインターフェイスを使用して元の宛先アドレスを変換するには、[Interface] を選択します。

(注) これらのオプションは、トランスペアレント モードで動作しているデバイスでは使用できません。

[Original Destination]:このフィールドで指定したネットワーク/ホスト オブジェクトで定義されている元の宛先アドレスを変換します。

[Translated Destination]:[Address] を選択した場合、このエントリは宛先アドレスのプールを示します。目的のネットワーク/ホスト オブジェクトを入力するか、または選択します。[Interface] を選択した場合は、目的のインターフェイスを入力するか、または選択します。インターフェイス セレクタ リストには、デバイスに現在定義されているすべてのインターフェイスが含まれています。

(注) 定義すると、ルールのタイプに関係なく、宛先変換は常にスタティックになります。

Service Translation

ポート アドレス変換を設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Original Service]:変換対象のサービスが定義されているサービス オブジェクトを入力するか、または選択します。

[Translated Service]:変換に使用されるサービスを示すサービス オブジェクトを入力するか、または選択します。

任意のサービスから、指定した変換後のサービスへの変換を設定するには、[Original Service] フィールドを空白のままにします。

(注) 両方のサービス オブジェクトに指定されているプロトコルが同じである必要があります。

これらのサービス オブジェクトは、サービス プロトコル(TCP または UDP)と 1 つ以上のポートを示します。元のポートから変換後のポートへのマッピングは循環されます。つまり、最初の元の値が最初の変換後の値にマッピングされ、2 番めの元の値が 2 番めの変換後の値にマッピングされるというように、元の値がすべて変換されるまで続きます。その時点までに変換後のポートのプールが枯渇してしまった場合、マッピングは、最初の変換後の値を再使用して続行されます。サービス オブジェクトの設定の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

オプションは、同時には使用できません。

Interface Translation

インターフェイスの変換オプションを設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Translate DNS replies that match this rule]:オンにすると、このルールと一致する DNS 応答内の埋め込みアドレスが書き換えられます。

マッピングされたインターフェイスから実際のインターフェイスへの DNS 応答の場合、Address(または「A」)レコードはマッピングされた値から実際の値に書き換えられます。反対に、実際のインターフェイスからマッピングされたインターフェイスへの DNS 応答の場合、A レコードは実際の値からマッピングされた値に書き換えられます。この機能をサポートするには、DNS 検査をイネーブルにする必要があります。

[Source Interface]:パケットが発信されるインターフェイスの名前。これは「実際の」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。目的のインターフェイスを入力するか、または選択します。

[Destination Interface]:パケットが到着するインターフェイスの名前。これは「マッピングされた」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。目的のインターフェイスを入力するか、または選択します。

[Fallthrough to Interface PAT](宛先インターフェイス):オンにすると、ダイナミック PAT のバックアップがイネーブルになります。ダイナミック NAT アドレスのプールが枯渇すると、[Use Address] フィールドで指定されたアドレス プールを使用して、ポート アドレス変換が実行されます。このオプションは、ルーテッド モードで稼動しているデバイスで、タイプとして [Dynamic NAT and PAT] を選択している場合にだけ使用できます。

Others

他の NAT ルール オプションを設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

(注) これらのオプションは、タイプとして [Static] を選択している場合にだけ使用できます。

[Direction]:この機能を使用すると、単一方向だけのスタティック NAT ルールか、または両方向(順方向と逆方向)に 1 つずつの 2 つのルールを設定できます。次のいずれかを選択します。

[Uni-directional]:このダイアログボックスの他のオプションの指定に従って、単一のスタティック NAT が作成されます。ダイナミック ルールは、デフォルトでは単一方向です。

[Bidirectional]:このダイアログボックスの他のオプションの指定に従って、両方向の変換を含む 2 つのリンクされたスタティック NAT ルールが作成されます。ルール テーブルでは、各双方向ルール エントリが 2 行で構成されることに注意してください。

[Do not proxy ARP on Destination Interface]:指定した宛先インターフェイスでプロキシ ARP をディセーブルにするには、このチェックボックスをオンにします。

(注) このオプションは、方向として [Bidirectional] を選択している場合に、ASA 8.4.2+ デバイスだけで使用できます。

デフォルトでは、すべての NAT ルールに出力インターフェイスでのプロキシ ARP が含まれます。NAT 免除ルールは、入力と出力の両方のトラフィックで NAT をバイパスするために使用されます。これは、出力インターフェイスを探すルート ルックアップに依存します。そのため、NAT 免除ルールでは、プロキシ ARP をディセーブルにする必要があります。(NAT 免除ルールは、常にその他すべての NAT ルールよりも優先され、[Translation Rules] テーブルで最も上に表示されます。)

(注) プロキシ ARP は、「[No Proxy ARP] の設定」で説明したように、個別のインターフェイスでディセーブルにすることもできます。

[Perform route lookup for Destination Interface]:このオプションが選択されている場合、指定された宛先インターフェイスではなく、ルート ルックアップを使用して出力インターフェイスが決定されます。NAT 免除ルールでは、このチェックボックスをオンにしてください。

(注) このオプションは、方向として [Bidirectional] を選択している場合に、ASA 8.4.2+ デバイスだけで使用できます。このオプションは、トランスペアレント モードで動作しているデバイスでは使用できません。

Description

(任意)ルールの説明を入力します。

Category

(任意)ルールに割り当てるカテゴリを選択します。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

(注) このオプションは、ルールのタイプとして [Dynamic NAT and PAT] を選択している場合には使用できません。

PAT プールとラウンド ロビン割り当て

適応型セキュリティ アプライアンス バージョン 8.4.2 以降には、Port Address Translation(PAT; ポート アドレス変換)の方法を変更できる 2 つの機能が含まれています。1 つは、PAT 用に IP アドレスのプールを明示的に定義できる機能で、もう 1 つは、PAT 時のポート割り当てに「ラウンド ロビン」アルゴリズムを選択できる機能です。

これらの機能によって、大量の PAT アドレスの設定を単純化でき、DoS 攻撃の一部として利用されることがある、単一の PAT アドレスからの大量の接続を防ぐことができます。

明示的な PAT プールの定義

バージョン 8.4.2 以前では、[Dynamic NAT and PAT] ルールを定義するときに、変換に使用する IP アドレスの「プール」を指定していました([Add NAT Rule]/[Edit NAT Rule] ダイアログボックスの [Translated Source] フィールド)。このプールは、個別の IP アドレス、アドレスの範囲、ネットワーク/ホスト オブジェクトまたはネットワーク/ホスト グループ オブジェクト、およびこれらの組み合わせで構成できました。

複数の IP アドレスの範囲およびオブジェクトが「NAT プール」と見なされ、個別の IP アドレス、および 1 つ以上の個別のアドレスで構成されるグループ オブジェクトは「PAT プール」の一部と見なされていました。

デバイスのアドレス変換は、すべての使用可能なアドレスが枯渇するまで、NAT プールを使用して動作します。その後、PAT プールを使用してポート アドレス変換が起動します。PAT プールの最初の IP アドレスにポートを割り当て、すべてのポート(約 64,000 個)を割り当て終えると、プールの次のアドレスにポートを割り当てます。その後も同様に動作します。すべてのポートが PAT プールのすべての IP アドレスに完全に登録されると、変換は発生しなくなります。

バージョン 8.4.2 以降の ASA デバイスでは、[Dynamic NAT and PAT] ルール用に個別の PAT プールを明示的に定義できます。定義した場合、アドレスの最初のコレクション([Translated Source] フィールドで定義)が NAT プールと見なされ、[PAT Pool Address Translation] フィールドで PAT プール アドレスが指定されます。


) 明示的に PAT プールを指定しない場合、アドレス変換は 8.4.2 以前のデバイスの説明に従って実行されます。


変換ルールの定義の詳細については、「[Add NAT Rule]/[Edit NAT Rule] ダイアログボックス」を参照してください。

ラウンド ロビン方式のポート割り当て

バージョン 8.4.2 以降の ASA デバイスでは、PAT 処理でのポート割り当てに別の方法を指定することもできます。すでに説明したように、PAT ポート番号は、最後のポート番号が割り当てられるまで単一の IP アドレスに連続して割り当てられ、その後、プールで次に使用できる IP アドレスを使用して、プロセスが再開します。

ただし、8.4.2 以降のデバイスの新しいパラメータ [Use Round Robin Allocation for PAT Pool] を使用すると、使用可能な IP アドレスおよびポート番号で「ラウンド ロビン」循環を行うように指定できます。この方法では、プールでそれぞれ連続するアドレスを使用して、アドレス/ポートの組み合わせを割り当てます。その後、最初のアドレスを異なるポートで再度使用し、次に 2 番目のアドレスを使用し、以後、同様に動作します。

さらに、ラウンド ロビン アルゴリズムには、PAT の処理でアドレス/ポートの組み合わせを割り当てるときに従うべき、2 つの追加の原則が組み込まれています。

特定の送信元と宛先のマッピングがすでに存在する場合、アルゴリズムは新しい接続に既存の変換を使用するように試みます。使用できない場合(たとえば、その IP アドレスのすべてのポートが枯渇している場合)、アルゴリズムは標準のラウンド ロビン循環に進みます。

使用できる場合、元の送信元ポート番号が、マッピングされたポート番号として使用されます。たとえば、変換するアドレス/ポートの組み合わせのポート番号が 4904 で、4904 が PAT プールの次の IP アドレスで使用できる場合、変換されたアドレスは PAT_address /4904 になります。これができない場合(次の PAT アドレスでそのポートが使用できない場合)、アルゴリズムは標準のラウンド ロビン循環に進みます。


) 明示的にラウンド ロビン割り当てを指定しない場合、ポート割り当て循環は 8.4.2 以前のデバイスの説明に従って実行されます。


[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ

ホスト、ネットワーク、またはアドレス範囲オブジェクトの追加または編集に使用するダイアログボックスのいずれかの [NAT] タブを使用して、オブジェクト NAT ルールを作成または更新します。この NAT 設定は、ASA 8.3+ デバイスでだけ使用されます。他のタイプのデバイスでこのオブジェクトを使用した場合、NAT 設定は無視されます。

NAT 設定は、デバイスのオーバーライドとして作成され、グローバル オブジェクトには保持されません。そのため、これらの NAT オプションを設定する場合は、[Allow Value Override per Device] オプションを選択する必要があります(このオプションはダイアログボックスを閉じたときに、自動的に選択されます)。

この項では、[NAT] タブのフィールドについて説明します。[General] タブのフィールドの詳細については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス(IPv4 または IPv6)」を参照してください。

ナビゲーション パス

ホスト、ネットワーク、またはアドレス範囲オブジェクトの作成時か編集時に、 [Add Network/Host]/[Edit Network/Host] ダイアログボックス(IPv4 または IPv6)の [NAT] タブを選択します。

関連項目

「ネットワーク アドレス変換の設定」

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「ポリシー定義中の IP アドレスの指定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 22-15 [Add Network/Host]/[Edit Network/Host] ダイアログボックスの [NAT] タブ

要素
説明

Add Automatic Address Translation NAT Rule

オンにすると、Network Address Translation(NAT; ネットワーク アドレス変換)ルールが、ここでの定義に従って、[Translated By] フィールドで指定したデバイスに適用されます。ルールは、そのデバイスの [Translation Rules] テーブルの [Network Object NAT Rule] セクションに表示されます(「[Translation Rules]:ASA 8.3+」を参照)。

Translated By

NAT ルールを設定するデバイス。[Select] をクリックして、リストからデバイスを選択します。リストは、ASA 8.3+ デバイスだけを表示するようにフィルタリングされています。

Original value

このダイアログボックスの [General] タブで設定したアドレスが表示されます。これは、NAT ルールで変換する送信元アドレスです。アドレス範囲またはネットワークの場合は、範囲またはネットワーク内のすべてのアドレスが変換されます。

Type

作成する変換ルールのタイプ。

[Static]:実際のアドレスからマッピングされたアドレスへのスタティックな割り当てをイネーブルにします。

[PAT (Hide)]:複数のローカル アドレスから単一のグローバル IP アドレスおよび一意のポート番号へのダイナミックな割り当てをイネーブルにします。

[Dynamic NAT and PAT]:実際のアドレスからマッピングされたアドレス、および実際のポートからマッピングされたポートへのダイナミックな割り当てをイネーブルにします。

Use Address

Use Interface(スタティックおよび PAT にかぎり有効)

変換がデバイス上のアドレスまたはインターフェイスのどちらに基づくかを示します。

[Use Address]:指定したアドレスまたはネットワーク/ホスト オブジェクトを使用して、元のアドレスを変換します。[Address] フィールドにアドレスまたはオブジェクト名を入力するか、または [Select] をクリックしてリストからオブジェクトを選択します。

[Use Interface]:指定したインターフェイスに基づいて元のアドレスを変換します。[Interface] リストには、選択したデバイスに現在定義されているすべてのインターフェイスが含まれています。目的のインターフェイスを選択します。

[Interface] フィールドを空白のままにすると、このオブジェクトが挿入され、アイデンティティ NAT ルールが作成されます。つまり、指定したアドレスはそれ自身に変換されます(事実上、変換されません)。アイデンティティ NAT はアウトバウンド接続だけに適用されます。

(注) [Use Interface] オプションは、タイプとして [Static] または [PAT (Hide)] を選択している場合にだけ使用できます。

Advanced

[Advanced] ヘッダーをクリックすると、ダイアログボックスが展開し、次の高度なオプションが表示されます。ヘッダーをもう一度クリックすると、[Advanced] パネルが非表示になります。

Translate DNS replies for rule

オンにすると、このルールと一致する DNS 応答内の Address(または「A」)レコードが書き換えられます。

マッピングされたインターフェイスから実際のインターフェイスへの DNS 応答の場合、A レコードはマッピングされた値から実際の値に書き換えられます。反対に、実際のインターフェイスからマッピングされたインターフェイスへの DNS 応答の場合、A レコードは実際の値からマッピングされた値に書き換えられます。この機能をサポートするには、DNS 検査をイネーブルにする必要があります。

(注) このオプションと [Service Translation](下記を参照)は、同時には使用できません。

Interfaces

インターフェイスの変換オプションを設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Source Interface]:パケットが発信されるインターフェイスの名前。これは「実際の」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。

[Destination Interface]:パケットが到着するインターフェイスの名前。これは「マッピングされた」インターフェイスです。デフォルトは、すべてのインターフェイスを表す [any] です。

[Fallthrough to Interface](宛先インターフェイス):オンにすると、ダイナミック PAT のバックアップがイネーブルになります。ダイナミック NAT アドレスのプールが枯渇すると、[Use Address] フィールドで指定されたアドレス プールを使用して、ポート アドレス変換が実行されます。このオプションは、タイプとして [Dynamic NAT] を選択している場合にだけ使用できます。

Service Translation

(スタティック ルールにかぎり有効)

スタティック ポート アドレス変換を設定するには、[Advanced] パネルのこのセクションのオプションを使用します。

[Protocol]:TCP ポートまたは UDP ポートのいずれか。

[Original Port]:トラフィックがデバイスに着信するポート。

[Translated Port]:元のポート番号に置き換わるポート番号。

オプションは、同時には使用できません。