Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

NAT ポリシーの概要

ネットワークアドレス変換(NAT)は、ゾーンまたはインターフェイス間でデバイスまたはサイトを隠すことができるネットワークマスカレードの一種です。信頼ゾーンは、セキュリティ対策が適用されるネットワークのセグメントです。通常は内部LANに割り当てられます。信頼されていないゾーンの例として、インターネットがあります。NAT は、トラステッド ゾーンとアントラステッド ゾーンの間を移動するパケットの IP アドレスを変更します。

パケットがNATデバイスから出るたびに(内部LANから外部WANに移動する場合)、デバイスはパケットのIPアドレスで変換を実行します。外部使用のために指定された IP アドレスで書き換えられたパケットの IP アドレス。変換後、パケットはネットワーク内の元のデバイスからではなく、ゲートウェイから発信されたように見えます。このプロセスにより、内部IPアドレスが他のネットワークから非表示になり、ネットワークが安全に保たれます。

NAT を使用すると、より多くの内部 IP アドレスを使用できます。これらのIPアドレスは隠されているため、別のネットワークからのIPアドレスと競合するリスクはありません。これにより、IPアドレスを節約できます。

[NAT ポリシー(NAT Policies)] ページを使用して、NAT ポリシーおよびポリシー ルールを作成、変更、複製、および削除します。この情報をフィルタリングしたり並べ替えたりして、設定する内容をよりよく理解できます。

このページにアクセスするには、[ SRX > NAT ] > [NAT Policies]を選択します。

NAT ポリシーをクリックすると、それに関連付けられているルールが表示されます。[NAT ポリシー ルール] ページには、NAT ポリシーに関連付けられている NAT ルールが表示され、各ポリシーのルールの数と順序を追跡します。

サポートされている NAT タイプ

Juniper Security Director Cloud は、SRXシリーズファイアウォールで3タイプのNATの設定をサポートしています。

  • 送信元NAT—trustゾーンを離れるパケットの送信元IPアドレス(送信トラフィック)を変換します。trustゾーンのデバイスから発信されたトラフィックを変換します。トラフィックの送信元IPアドレス(プライベートIPアドレス)は、NAT ルールで指定された宛先デバイスからアクセスできるパブリックIPアドレスに変換されます。IP アドレスは変換されません。

    以下のユースケースは、IPv6アドレスドメインとIPv4アドレスドメイン間の送信元NAT変換のサポートを示しています。

    • ポートアドレス変換(PAT)とも呼ばれる、ネットワーク アドレス ポート変換(NAPT)を使用しない、ある IPv6 サブネットから別の IPv6 サブネットへの変換。

    • IPv4 アドレスから IPv6 プレフィックスへの変換と、IPv4 アドレス変換。

    • IPv6 ホストから IPv6 ホストへの変換(NAPT の有無は問いません)。

    • IPv6 ホストから IPv4 ホストへの変換(NAPT の有無は問いません)。

    • IPv4 ホストから IPv6 ホストへの変換 (NAPT あり/なし)

  • 宛先 NAT—パケットの宛先 IP アドレスを変換します。宛先NATを使用すると、外部デバイスは非表示の内部デバイスにパケットを送信できます。例として、NATデバイスの背後にあるWebサーバーの場合を考えてみましょう。WAN に面したパブリック IP アドレス (IP アドレス) へのトラフィックは、内部 Web サーバーのプライベート IP アドレスに変換されます。

    次のユースケースは、IPv6アドレスドメインとIPv4アドレスドメイン間の宛先NAT変換のサポートを示しています。

    • ある IPv6 サブネットから別の IPv6 サブネットへのマッピング

    • ある IPv6 ホストと別の IPv6 ホスト間のマッピング

    • 1 つの IPv6 ホスト (およびオプションのポート番号) から別の特別な IPv6 ホスト (およびオプションのポート番号) へのマッピング

    • 1 つの IPv6 ホスト (およびオプションのポート番号) から別の特別な IPv4 ホスト (およびオプションのポート番号) へのマッピング

    • 1 つの IPv4 ホスト (およびオプションのポート番号) から別の特別な IPv6 ホスト (およびオプションのポート番号) へのマッピング

  • 静的 NAT - 常にプライベート IP アドレスを同じパブリック IP アドレスに変換します。ネットワークの両側(送信元と宛先の両方)からのトラフィックを変換します。たとえば、プライベートIPアドレスを持つWebサーバーは、静的な1対1のアドレス変換を使用してインターネットにアクセスできます。この場合、Web サーバからの発信トラフィックは送信元 NAT 変換を受け、Web サーバへの受信トラフィックは宛先 NAT 変換を受けます。

    以下のユースケースは、IPv6とIPv4アドレスドメイン間の静的NAT変換のサポートを示しています。

    • ある IPv6 サブネットから別の IPv6 サブネットへのマッピング。

    • ある IPv6 ホストと別の IPv6 ホスト間のマッピング。

    • IPv4 アドレス a.b.c.d と IPv6 アドレス Prefix::a.b.c.d間のマッピング

    • IPv4 ホストと IPv6 ホスト間のマッピング。

    • IPv6 ホストと IPv4 ホスト間のマッピング

Juniper Security Director Cloud は、セッション終了後の設定可能な時間、アドレス変換がデータベースに保持される永続的NATの設定もサポートしています。

表 1:異なる送信元 NAT アドレスと宛先 NAT アドレスに対する永続的な NAT サポート

送信元NATアドレス

変換されたアドレス

宛先 NAT アドレス

永続的な NAT サポート

IPv4

IPv6

IPv4

いいえ

IPv4

IPv6

IPv6

いいえ

IPv6

IPv4

IPv4

はい

IPv6

IPv6

IPv6

いいえ
表 2: 送信元 NAT の変換されたアドレスプールの選択

送信元NATアドレス

宛先アドレス

プールアドレス

IPv4

IPv4

IPv4

IPv4

IPv6 - サブネットは 96 より大きくする必要があります

IPv6

IPv6

IPv4

IPv4

IPv6

IPv6

IPv6
表 3:宛先 NAT とスタティック NAT の変換済みアドレスプールの選択

送信元NATアドレス

宛先アドレス

プールアドレス

IPv4

IPv4

IPv4 または IPv6

IPv4

IPv6 - サブネットは 96 より大きくする必要があります

IPv4 または IPv6

IPv6

IPv4

IPv4

IPv6

IPv6

IPv4 または IPv6
手記:

  • 送信元 NAT では、プロキシの近隣探索プロトコル (NDP) を NAT プール アドレスに使用できます。宛先 NAT および静的 NAT では、プロキシ NDP を宛先 NAT アドレスに使用できます。

  • NAT プールは、単一の IPv6 サブネットまたは複数の IPv6 ホストを持つことができます。

  • アドレスタイプが IPv6 の場合、オーバーフロープールは設定できません。

  • NAT プールは、IPv4 または IPv6 の 1 つのバージョン タイプのアドレス エントリーのみを許可します。

フィールドの説明 - [NAT ポリシー(NAT Policies)] ページ

表 4:[NAT Policies] ページのフィールド

形容

シーケンス

NAT ポリシーのオーダー番号。

名前

NAT ポリシーの名前を表示します。

準則

NAT ポリシーに割り当てられたルールの数。

デバイス

NAT ポリシーが展開されるデバイス。

地位

NAT ポリシーの展開ステータス。

変更者

ポリシーを変更したユーザー。

最終更新日

ポリシーが変更された日時。

形容

NAT ポリシーの説明。

フィールドの説明 - [NAT Policy Rules] ページ

表 5: [NAT Policy Rules] ページのフィールド

形容

シーケンス

NAT ポリシーのオーダー番号。

ルール名

NAT ポリシー ルール名。

種類

NAT ルールのタイプ(送信元、宛先、静的など)。

ソース

NAT ポリシーが適用される送信元エンドポイントを表示します。送信元エンドポイントは、ゾーン、インターフェイス、ルーティング インスタンス、ゾーン、アドレス、ポートのいずれかです。

目的 地

NAT ポリシーが適用される宛先エンドポイントを表示します。宛先エンドポイントは、ゾーン、インターフェイス、ルーティング インスタンス、ゾーン、アドレス、またはポートです。

サービス/プロトコル

送信元と宛先のタイプのNATルールを許可または拒否するサービスとプロトコル。

翻訳

着信トラフィックまたは発信トラフィックに適用されている変換タイプを表示します。

ページの右上隅にある [トータルルール ] フィールドには、NAT ポリシーに関連付けられているルールの合計数が表示されます。[ 展開保留中(Deploy pending )] フィールドには、NAT ポリシーに関連付けられたルールの展開ステータスが表示されます。

関連資料