Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NATポリシーの概要

ネットワーク アドレス変換(NAT)とは、ゾーンやインターフェイス間でデバイスやサイトを非表示にできる、マスカレード(ネットワーク アドレス変換)の一種です。信頼できるゾーンは、セキュリティ対策が適用されるネットワークのセグメントです。通常、内部 LAN に割り当てられます。信頼できないゾーンの例としてインターネットがあります。NAT は、信頼できるゾーンと信頼されていないゾーン間を移動するパケットの IP アドレスを変更します。

パケットがNATデバイスを出るたびに(内部LANから外部WANに通過する場合)、デバイスはパケットのIPアドレス上で変換を実行します。外部使用のために指定された IP アドレスでパケットの IP アドレスを書き直しました。変換後、パケットはネットワーク内の元のデバイスではなく、ゲートウェイから発信されたようです。このプロセスは、内部 IP アドレスを他のネットワークから隠し、ネットワークのセキュリティを維持します。

NAT を使用すると、内部 IP アドレスを増やして使用することもできます。これらのIPアドレスが非表示になっているため、異なるネットワークのIPアドレスと競合するリスクはありません。これにより、IP アドレスの節約に役立ちます。

Juniper Security Director Cloudは、SRXシリーズファイアウォールで3種類のNATの設定をサポートしています。

  • NAT-Src は、trust ゾーン(アウトバウンド トラフィック)を離れるパケットの送信元 IP アドレスを変換します。trustゾーン内のデバイスから発信されたトラフィックを変換します。トラフィックの送信元IPアドレス(プライベートIPアドレス)は、NATルールで指定された宛先デバイスからアクセスできるパブリックIPアドレスに変換されます。宛先 IP アドレスは変換されません。

    以下のユースケースは、IPv6とIPv4アドレスドメイン間のソースNAT変換のサポートを示しています。

    • ネットワークアドレスポート変換(NAPT)を使用しない、あるIPv6サブネットから別のIPv6サブネットへの変換(PAT(ポートアドレス変換)とも呼ばれます)。

    • IPv4アドレス変換とともに、IPv4アドレスからIPv6プレフィックスへの変換。

    • NAPT の有無にかかわらず、IPv6 ホストから IPv6 ホストへの変換。

    • NAPT の有無にかかわらず、IPv6 ホストから IPv4 ホストへの変換。

    • NAPT の有無にかかわらず、IPv4 ホストから IPv6 ホストへの変換。

  • 宛先 NAT — パケットの宛先 IP アドレスを変換します。宛先 NAT を使用すると、外部デバイスは非表示の内部デバイスにパケットを送信できます。例として、NAT デバイスの背後にある Web サーバーの事例を考えてみましょう。WAN に面したパブリック IP アドレス(宛先 IP アドレス)へのトラフィックは、内部 Web サーバーのプライベート IP アドレスに変換されます。

    以下のユースケースは、IPv6とIPv4アドレスドメイン間の宛先NAT変換のサポートを示しています。

    • 1つのIPv6サブネットを別のIPv6サブネットにマッピング

    • 1つのIPv6ホストと別のIPv6ホスト間のマッピング

    • 1つのIPv6ホスト(およびオプションのポート番号)を別の特別なIPv6ホスト(およびオプションのポート番号)にマッピングする

    • 1つのIPv6ホスト(およびオプションのポート番号)を別の特別なIPv4ホスト(およびオプションのポート番号)にマッピングする

    • 1つのIPv4ホスト(およびオプションのポート番号)を別の特別なIPv6ホスト(およびオプションのポート番号)にマッピングする

  • 静的 NAT — 常にプライベート IP アドレスを同じパブリック IP アドレスに変換します。ネットワークの両側(送信元と宛先の両方)からのトラフィックを変換します。たとえば、プライベート IP アドレスを持つ Web サーバーは、静的な 1 対 1 のアドレス変換を使用してインターネットにアクセスできます。この場合、Web サーバーからの送信トラフィックはソース NAT 変換を受け、Web サーバーへの受信トラフィックは宛先 NAT 変換を受けます。

    以下のユースケースは、IPv6とIPv4アドレスドメイン間の静的NAT変換のサポートを示しています。

    • 1 つの IPv6 サブネットを別の IPv6 サブネットにマッピングします。

    • 1つのIPv6ホストと別のIPv6ホスト間のマッピング。

    • IPv4 アドレスと IPv6 アドレスa.b.c.dPrefix::a.b.c.d間のマッピング。

    • IPv4 ホストと IPv6 ホスト間のマッピング。

    • IPv6 ホストと IPv4 ホスト間のマッピング。

Juniper Security Director Cloudは、セッション終了後にアドレス変換がデータベース内で設定可能な時間維持される永続的NATの設定もサポートしています。

表 1 は、異なるソース NAT とディスティネーション NAT アドレスに対する永続的 NAT のサポートを示しています。

表 1:永続的 NAT のサポート

NAT アドレスの送信元

翻訳済みアドレス

ディスティネーション NAT

アドレス

永続的 NAT サポート

IPv4

IPv6

IPv4

いいえ

IPv4

IPv6

IPv6

いいえ

IPv6

IPv4

IPv4

はい

IPv6

IPv6

IPv6

いいえ

表 2 および 表 3 は、ソース NAT、ディスティネーション NAT、静的 NAT アドレスに対する変換されたアドレス プールの選択を示しています。

表 2:ソース NAT の変換されたアドレス プールの選択

NAT アドレスの送信元

宛先アドレス

プールアドレス

IPv4

IPv4

IPv4

IPv4

IPv6 - サブネットは 96 を超える必要があります

IPv6

IPv6

IPv4

IPv4

IPv6

IPv6

IPv6
表 3:変換先 NAT とスタティック NAT の変換アドレス プールの選択

NAT アドレスの送信元

宛先アドレス

プールアドレス

IPv4

IPv4

IPv4 または IPv6

IPv4

IPv6 - サブネットは 96 を超える必要があります

IPv4 または IPv6

IPv6

IPv4

IPv4

IPv6

IPv6

IPv4 または IPv6
メモ:

  • ソースNATでは、NATプールアドレスにプロキシネイバーディスカバリープロトコル(NDP)を使用できます。ディスティネーション NAT と静的 NAT では、宛先 NAT アドレスにプロキシ NDP を使用できます。

  • NATプールは、単一のIPv6サブネットまたは複数のIPv6ホストを持つことができます。

  • アドレスタイプがIPv6の場合、オーバーフロープールを設定することはできません。

  • NAT プールは、IPv4 または IPv6 の 1 つのバージョン タイプのみのアドレス エントリーを許可します。