読者です 読者をやめる 読者になる 読者になる

APC 技術ブログ

株式会社エーピーコミュニケーションズ 先進サービス開発部の公式ブログです。

株式会社 エーピーコミュニケーションズシステム基盤エンジニアリング事業部の公式ブログです。

【PaloAlto-FW】構築時における確認ポイント(NAT Policy編)

Firewall Palo Alto Networks

PaloAltoファイアウォールを構築する上で必要となりそうな設定項目&要素メモ。

今回はNAT Policy編です。

 

●NATポリシーについて
 PaloAltoファイアウォールのNATはポリシーベースによる処理を行います。
 処理するトラフィック(オリジナルパケット)の送信元と宛先のゾーンに基づいてポリシーを参照します。


 送信元、宛先、両方必要に応じて変更設定を行います。

 ▼送信元
  ・静的変換 ⇒ 1:1
  ・IPアドレス及びポートの動的変換
    ⇒IPアドレスはInterfaceアドレスの指定や
     アドレスプール等の指定が可能
  ・IPアドレスの動的変換
    ⇒IPアドレスはInterfaceアドレスの指定や
     アドレスプール等の指定が可能
 ▼宛先
  ・一つのIPアドレスまたはIPアドレスの範囲を指定可能。
   また、宛先ポート変換も可能
    ※宛先ポート項目は空白の場合は変換しない

   IPアドレス範囲(192.168.1.0/24)で設定した場合は
    - 10.10.10.100 ⇒ 192.168.1.100
    - 10.10.10.200 ⇒ 192.168.1.200
    - 10.10.10.11 ⇒ 192.168.1.11
    という変換がされます。
    ホスト部分だけ変換されずにそのまま使うようです。

 

到達トラフィックのZone判定はルーティングテーブルに基づいて判定します。
※インターネットユーザが公開用Webサーバ(パブリックIP)へアクセスする際は、
 Untrust to Untrust というような判定になります。

 

●NATポリシー利用時の注意事項

 ▼Original Packet項目は必ずNAT実行前の条件を設定する。
  ・前述したようにオリジナルパケットのZone判定は
   ルーティングテーブルにて行われるので、
   送信元、宛先がどのZone所属しているかを確認した上でZoneを設定する。

 

 ▼NAT用Security Policyの宛先ZoneはNAT変換後のIPアドレスに所属するZoneを設定する。
  ・送信元については変更はなくNAT変換前のZoneで設定し、
   宛先ZoneだけNAT変換後のZoneを設定しないとマッチングしません。