NATポリシーの概要
ネットワークアドレス変換(NAT)は、ゾーンまたはインターフェイス間でデバイスやサイトを隠すことができるネットワークマスカレードの一種です。信頼できるゾーンとは、セキュリティ対策が適用されるネットワークのセグメントです。通常、内部 LAN に割り当てられます。信頼できないゾーンの一例がインターネットです。NAT は、信頼できるゾーンと信頼できないゾーン間を移動するパケットの IP アドレスを変更します。
パケットがNATデバイスから出るたびに(内部LANから外部WANを通過する場合)、デバイスはパケットのIPアドレスに対して変換を実行します。パケットのIPアドレスが外部使用用に指定されたIPアドレスで書き換えられました。変換後、パケットはネットワーク内の元のデバイスではなく、ゲートウェイから発信されたように見えます。このプロセスにより、内部IPアドレスが他のネットワークから隠され、ネットワークが安全に保たれます。
NATを使用することで、より多くの内部IPアドレスを使用できます。これらのIPアドレスは非表示であるため、異なるネットワークのIPアドレスと競合するリスクはありません。これにより、IPアドレスを節約できます。
NATポリシーページでは、NATポリシーとNATポリシールールを作成、変更、複製、削除できます。この情報をフィルターおよびソートして、設定したいものをより深く理解することができます。
このページにアクセスするには、 を選択します。
NATポリシーをクリックすると、関連するルールが表示されます。NATポリシールールページには、NATポリシーに関連付けられたNATルールが表示され、各ポリシーのルールの数と順序を追跡します。
サポートされているNATタイプ
Juniper Security Director Cloud は、SRXシリーズファイアウォール上で3つのタイプのNATの設定をサポートしています。
-
送信元 NAT—トラストゾーンを離れたパケットの送信元 IP アドレスを変換します(アウトバウンドトラフィック)。トラストゾーン内のデバイスから発信されたトラフィックを変換します。トラフィックの送信元IPアドレス(プライベートIPアドレス)は、NATルールで指定された宛先デバイスからアクセスできるパブリックIPアドレスに変換されます。宛先IPアドレスは変換されません。
以下のユースケースは、IPv6とIPv4アドレスドメイン間のソースNAT変換のサポートを示しています。
-
ネットワークアドレスポート変換(NAPT)なしで、あるIPv6サブネットから別のIPv6サブネットへの変換。ポートアドレス変換(PAT)とも呼ばれます。
-
IPv4アドレスからIPv6プレフィックスへの変換とIPv4アドレス変換
-
NAPTの有無にかかわらず、IPv6ホストからIPv6ホストへの変換
-
NAPTの有無にかかわらず、IPv6ホストからIPv4ホストへの変換
-
NAPTの有無にかかわらず、IPv4ホストからIPv6ホストへの変換
-
-
宛先 NAT—パケットの宛先 IP アドレスを変換します。宛先 NAT を使用して、外部デバイスは非表示の内部デバイスにパケットを送信できます。例として、NATデバイスの背後にあるWebサーバーの場合を考えてみましょう。WAN向けのパブリックIPアドレス(宛先IPアドレス)へのトラフィックは、内部WebサーバーのプライベートIPアドレスに変換されます。
以下のユースケースは、IPv6とIPv4アドレスドメイン間の宛先NAT変換のサポートを示しています。
-
あるIPv6サブネットから別のIPv6サブネットへのマッピング
-
IPv6ホストと別のIPv6ホスト間のマッピング
-
1つのIPv6ホスト(およびオプションのポート番号)への特別なIPv6ホスト(およびオプションのポート番号)のマッピング
-
1つのIPv6ホスト(およびオプションのポート番号)への特別なIPv4ホスト(およびオプションのポート番号)のマッピング
-
1つのIPv4ホスト(およびオプションのポート番号)への特別なIPv6ホスト(およびオプションのポート番号)のマッピング
-
-
静的NAT—プライベートIPアドレスを常に同じパブリックIPアドレスに変換します。ネットワークの両方(送信元と宛先の両方)からのトラフィックを変換します。例えば、プライベートIPアドレスを持つWebサーバーは、静的な1対1のアドレス変換を使用してインターネットにアクセスできます。この場合、Webサーバーからの発信トラフィックは送信元NAT変換を受け、Webサーバーへの受信トラフィックは宛先NAT変換されます。
以下のユースケースは、IPv6とIPv4アドレスドメイン間の静的NAT変換のサポートを示しています。
-
あるIPv6サブネットを別のIPv6サブネットにマッピング
-
IPv6ホストと別のIPv6ホスト間のマッピング
-
IPv4アドレス a.b.c.d とIPv6アドレス Prefix::a.b.c.d間のマッピング
-
IPv4ホストとIPv6ホスト間のマッピング
-
IPv6ホストとIPv4ホスト間のマッピング
-
Juniper Security Director Cloud は、セッション終了後設定可能な時間にわたってアドレス変換がデータベースに維持される永続的なNATの設定もサポートしています。
| 送信元NATアドレス |
変換されたアドレス |
宛先NATアドレス |
永続的な NAT サポート |
|---|---|---|---|
| IPv4 |
IPv6 |
IPv4 |
いいえ |
| IPv4 |
IPv6 |
IPv6 |
いいえ |
| IPv6 |
IPv4 |
IPv4 |
はい |
| IPv6 |
IPv6 |
IPv6 |
いいえ |
| 送信元NATアドレス |
宛先アドレス |
プールアドレス |
|---|---|---|
| IPv4 |
IPv4 |
IPv4 |
| IPv4 |
IPv6 - サブネットは96以上である必要があります。 |
IPv6 |
| IPv6 |
IPv4 |
IPv4 |
| IPv6 |
IPv6 |
IPv6 |
| 送信元NATアドレス |
宛先アドレス |
プールアドレス |
|---|---|---|
| IPv4 |
IPv4 |
IPv4またはIPv6 |
| IPv4 |
IPv6 - サブネットは96以上である必要があります。 |
IPv4またはIPv6 |
| IPv6 |
IPv4 |
IPv4 |
| IPv6 |
IPv6 |
IPv4またはIPv6 |
-
ソースNATでは、プロキシネイバーディスカバリプロトコル(NDP)がNATプールアドレスに使用可能です。宛先NATと静的NATでは、宛先NATアドレスに対してプロキシNDPが使用可能です。
-
NATプールには、単一のIPv6サブネットまたは複数のIPv6ホストを含めることができます。
-
アドレスタイプがIPv6の場合、オーバーフロープールを設定することはできません。
-
NATプールでは、IPv4またはIPv6の1つのバージョンタイプのアドレスエントリーのみが許可されます。
フィールドの説明 - NATポリシーページ
| 畑 |
形容 |
|---|---|
| シーケンス |
NATポリシーの注文番号 |
| 名前 |
NATポリシーの名前を表示します。 |
| 準則 |
NATポリシーに割り当てられたルール数 |
| デバイス |
NATポリシーが導入されるデバイス。 |
| 地位 |
NATポリシーの導入ステータス |
| 変更者: |
ポリシーを変更したユーザー |
| 最終更新日 |
ポリシーが変更された日付と時刻 |
| 形容 |
NATポリシーの説明。 |
フィールドの説明 - NATポリシールールページ
| 畑 |
形容 |
|---|---|
| シーケンス |
NATポリシーの注文番号 |
| ルール名 |
NATポリシールール名 |
| 種類 |
送信元、宛先、静的などのNATルールのタイプ。 |
| ソース |
NATポリシーが適用される送信元エンドポイントを表示します。送信元エンドポイントには、ゾーン、インターフェイス、ルーティングインスタンス、ゾーン、アドレス、またはポートがあります。 |
| 目的 地 |
NATポリシーが適用される宛先エンドポイントを表示します。宛先エンドポイントは、ゾーン、インターフェイス、ルーティングインスタンス、ゾーン、アドレス、またはポートです。 |
| サービス/プロトコル |
送信元および宛先タイプのNATルールを許可または拒否するサービスとプロトコル |
| 翻訳 |
着信または発信トラフィックに適用される変換タイプを表示します。 |
ページの右上隅にあるTotal Rules フィールドには、NATポリシーに関連するルールの合計数が表示されます。 展開保留中 フィールドには、NATポリシーに関連付けられたルールの展開ステータスが表示されます。