• SonicOS 7 ルールとポリシー
• アクセス ルール
  • ファイアウォール アクセス ルールの設定
    • ステートフル パケット検査の既定のアクセス ルールについて
    • 接続の制限について
    • アクセス ルールによる帯域幅管理の使用
      • アクセス ルールでの帯域幅管理の有効化
    • アクセス ルールの設定
      • 詳細設定の構成
      • QoS 設定値の構成
      • 詳細帯域幅管理での帯域幅管理の設定
      • グローバル帯域幅管理での帯域幅管理の設定
      • 地域 IP 設定値の構成
      • アクセス ルールの確認
      • IPv6 のアクセス ルールの設定
      • NAT64 のアクセス ルールの設定
      • DNS プロキシのアクセス ルール
      • アクセス ルールのユーザ優先順位
      • アクセス ルールの表示
        • ゾーン別
        • 列ごと
      • ゾーン間アクセス ルールの最大数の指定
      • ゾーンのアクセス ルールの設定
    • アクセス ルールの有効化と無効化
    • アクセス ルールの編集
    • アクセス ルールの削除
    • アクセス ルールの既定の設定の復元
    • アクセス ルールのトラフィック統計の表示
  • アクセス ルールの設定例
    • Ping の有効化
    • 特定のサービスへの LAN アクセスの遮断
    • LAN ゾーンからの WAN プライマリ IP アクセスの許可
• NAT ルール
  • SonicOS での NAT について
  • NAT 負荷分散について
    • 使用する NAT LB 方式の決定
    • 注意
    • 負荷分散アルゴリズムの適用方法
    • スティッキー IP アルゴリズムの例
      • 例 1 - ネットワークへの割付
      • 例 2 - IP アドレス範囲への割付
  • NAT64 について
    • Pref64::/n の使用
  • FQDN ベースの NAT について
  • 送信元 MAC アドレスの置き換えについて
  • NAT ポリシー エントリの表示
    • 表示の変更
    • 表示のフィルタリング
    • ポリシーに関する情報の表示
  • 「NAT または NAT64 の追加または編集」ポリシー
  • NAT ポリシーの削除
  • NAT ルール ポリシーの作成 例
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    • WAN IP アドレス経由の着信ポート アドレス変換
    • 多対 1 の NAT ポリシーの作成
    • 多対多の NAT ポリシーの作成
    • 1 対多の NAT 負荷分散ポリシーの作成
    • 2 台のウェブ サーバの NAT 負荷分散ポリシーの作成
    • NAT64 ポリシーのための WAN から WAN へのアクセス ルールの作成
    • DNS 改竄
• ルーティング ルール
  • ルーティングについて
    • メトリックと管理距離
      • メトリックについて
      • 管理距離について
    • ルート通知
    • ECMP ルーティング
    • ポリシーベース ルーティング
    • ポリシーベース TOS ルーティング
    • PBR のメトリックベースの優先順位
    • ポリシー ベースのルーティングと IPv6
    • OSPF および RIP の高度なルーティング サービス
      • ルーティング サービスについて
        • プロトコル種別
        • 最大ホップ数
        • スプリット ホライズン
        • ポイズン リバース
        • ルーティング テーブル更新
        • サブネット サイズのサポート
        • 自律システム トポロジ
      • OSPF の条件
    • ドロップ トンネル インターフェース
    • アプリベースのルーティング
  • ルールとポリシー > ルーティング ルール
    • ルーティング ルールの設定
      • 静的ルートの追加
      • プローブに対応したポリシーベース ルーティングの設定
• コンテンツ フィルタ ルール
  • コンテンツ フィルタ ルール (CFS) について
    • コンテンツ フィルタ ルールについて
    • CFS ポリシーの UUID について
    • コンテンツ フィルタ オブジェクトについて
    • CFS の動作
  • CFS ポリシーの設定
    • コンテンツ フィルタ ルール テーブルについて
      • コンテンツ フィルタ ルール テーブルの検索
    • コンテンツ フィルタ ルールの追加
    • コンテンツ フィルタ ルールの編集
    • コンテンツ フィルタ ルールの削除
• アプリケーション ルール
  • アプリケーション ルールについて
    • アプリケーション ルールとは？
      • アプリケーション ルール ポリシーについて
      • アプリケーション ルールの性能について
    • アプリケーション ルールのメリット
    • アプリケーション制御の仕組み
    • アプリケーション制御ポリシーの作成について
    • アプリケーション ルール ポリシーの作成について
    • プリケーション ルールとアプリケーション制御 のライセンス
    • 用語
  • ルールとポリシー > アプリケーション ルール
    • アプリケーション ルール ポリシーの設定
    • アプリケーション ルール ウィザードを使用する
  • アプリケーション ルール設定の確認
    • 便利なツール
      • Wireshark
      • 16 進エディタ
  • アプリケーション ルールの使用例
    • 一致オブジェクトでの正規表現の作成
    • ポリシーベースのアプリケーション ルール
    • アプリケーション シグネチャベース ポリシーのログ
    • コンプライアンスの施行
    • サーバの保護
    • ホストされる電子メール環境
    • 電子メール制御
    • ウェブ ブラウザ制御
    • HTTP POST 制御
    • 禁止するファイル タイプ制御
    • ActiveX コントロール
    • FTP 制御
      • 機密ファイルの FTP 送信の遮断
      • 送信 UTF-8/UTF-16 エンコード ファイルの遮断
      • FTP コマンドの遮断
    • 帯域幅管理
    • DPI をバイパス
    • 個別のシグネチャ
    • リバース シェル悪用の防御
      • ネットワーク アクティビティの生成
      • Wireshark を使用したペイロードのキャプチャおよびテキスト ファイルへのエクスポート
      • 一致オブジェクトの作成
      • ポリシーの定義
• エンドポイント ルール
• SonicWall サポート

「NAT または NAT64 の追加または編集」ポリシー

既定の NAT ポリシーは編集できません。

さまざまな種別の NAT ポリシーの例については、「NAT ポリシーの作成: 例」を参照してください。

NAT または NAT64 ポリシーを作成または編集するには、以下の手順に従います。

1. 「ポリシー | ルールとポリシー > NAT ルール」に移動します。

2. 以下のいずれかを実行します。

   • 新しい NAT ポリシーを作成するには、ページの上部にある「追加」をクリックします。「NAT ポリシーの追加」ダイアログが表示されます。

   • 既存の NAT ポリシーを編集するには、その NAT ポリシーの「設定」列にある編集アイコンを選択します。「NAT ポリシーの編集」ダイアログが表示されます。

     この 2 つのダイアログは同じ内容ですが、「NAT ポリシーの編集」ダイアログの一部のオプションは変更できません。「IP バージョン」で「NAT64 のみ」が選択されている場合、オプションは変わります。

     

3. 「一般」画面で、次の設定を行います。

• 名前: NAT ポリシーを識別するためのわかりやすい一意の名前を入力します。

  • 変換前の送信元または IPv6 変換前の送信元: このドロップダウン メニューの設定は、ファイアウォールを通過するパケット (インターフェース間を転送されるパケットや、VPN トンネルに入る/から出るパケット) の送信元の IP アドレスを識別するために使用されます。次の操作が可能です。

    • 事前定義されたアドレス オブジェクトを選択する
    • 「すべて」を選択する

    • 独自のアドレス オブジェクトを作成する

    エントリとして指定できるのは、単一のホストのエントリ、アドレス範囲、または IP サブネットです。FQDN アドレス オブジェクトがサポートされています。

    「IPv6 変換前の送信元」では、IPv6 アドレス オブジェクトのみがドロップダウン メニューに表示され、作成可能です。

  • 変換後の送信元または変換後の IPv4 送信元 このドロップダウン メニューでは、「変換前の送信元」で指定した送信元からのパケットがファイアウォールから出るとき (つまり、別のインターフェースに転送されるか、VPN トンネルを出入りするとき)、送信元をどのアドレスに変換するかを設定します。次の操作が可能です。
    • 事前定義されたアドレス オブジェクトを指定する
    • 「オリジナル」を選択する
    • 独自のアドレス オブジェクト エントリを作成する

    エントリとして指定できるのは、単一のホストのエントリ、アドレス範囲、または IP サブネットです。

  • 変換前の送信先または Pref64: このドロップダウン メニューでは、ファイアウォールを通過するパケット (インターフェース間を転送されるパケットや、VPN トンネルを出入りするパケット) の送信先 IP アドレスを指定します。発信 NAT ではパケットの送信先は変更されず、送信元のみが変更されるので、発信 NAT ポリシーの作成時には、通常、このエントリは「すべて」に設定します。ただし、これらのアドレス オブジェクトのエントリとして、単一のホストのエントリ、アドレス範囲、または IP サブネットを指定することもできます。FQDN アドレス オブジェクトがサポートされています。

    「Pref64」の場合、これは NAT ポリシーの変換前の送信先です。IPv6 ネットワーク アドレス オブジェクトのみがドロップダウン メニューに表示され、作成可能です。Pref64 は常に pref64::/n ネットワークです。これは AAAA レコードを作成するために DNS64 によって使用されます。
    「既知の Pref64」を選択することも、ネットワーク アドレス オブジェクトを Pref64 として設定することもできます。
    

  • 変換後の送信先: このドロップダウン メニューでは、「変換前の送信先」で指定した送信先へのパケットがファイアウォールから出るとき (つまり、別のインターフェースに転送されるか、VPN トンネルを出入りするとき)、送信先をどのアドレスに変換するかを設定します。発信 NAT ではパケットの送信先は変更されず、送信元のみが変更されるので、発信 NAT ポリシーの作成時には、通常、このエントリは「オリジナル」に設定します。ただし、これらのアドレス オブジェクトのエントリとして、単一のホストのエントリ、アドレス範囲、または IP サブネットを指定することもできます。

    「IP バージョン」が「NAT64 のみ」の場合、このオプションは「埋め込み IPv4 アドレス」に設定され、変更できません。

  • 変換前のサービス: このドロップダウン メニューでは、ファイアウォールを通過するパケット (インターフェース間を転送されるパケットや、VPN トンネルを出入りするパケット) の IP サービスを指定します。ユーザはファイアウォールの事前定義されたサービスを使用するか、または独自のエントリを作成することができます。多くの場合、NAT ポリシーでは送信元または送信先の IP アドレスのみを変更するので、このフィールドは「すべて」に設定します。

    「IP バージョン」が「NAT64 のみ」の場合、このオプションは「ICMP UDP TCP」に設定され、変更できません。

  • 変換後のサービス: このドロップダウン メニューでは、「変換前のサービス」で指定したサービスのパケットがファイアウォールから出るとき (つまり、別のインターフェースに転送されるか、VPN トンネルを出入りするとき)、そのサービスをどのサービスに変換するかを設定します。ユーザはファイアウォールの事前定義されたサービスを使用するか、または独自のエントリを作成することができます。多くの場合、NAT ポリシーでは送信元または送信先の IP アドレスのみを変更するので、このフィールドは「オリジナル」に設定します。

    「IP バージョン」が「NAT64 のみ」の場合、このオプションは「変換前」に設定され、変更できません。

  • 受信インターフェース: このドロップダウン メニューでは、パケットを受信するインターフェースを指定します。既定は「すべて」です。

    VPN トンネルは実際のインターフェースではないので、VPN を扱う場合は、通常、「すべて」 (既定) に設定します。

  • 発信インターフェース: このドロップダウン メニューでは、NAT ポリシー適用後のパケットを送信するインターフェースを指定します。このフィールドは主に、どの WAN インターフェースに変換を適用するかを指定するために使用されます。

    このフィールドの設定は、NAT ポリシーのさまざまなフィールドの中でも特に混乱しやすいので注意してください。

    VPN トンネルは実際のインターフェースではないので、VPN を扱う場合は、通常、「すべて」(既定) に設定します。また、「NAT ポリシーの作成: 例」に記載されているように、送信先をパブリック IP アドレスからプライベート IP アドレスに再割付する受信 1 対 1 NAT ポリシーの作成時には、このフィールドを「すべて」に設定する必要があります。

  • コメント: このフィールドは NAT ポリシー登録の説明を記述するために使用できます。フィールドに入力できるのは最大 32 文字です。保存後に「ポリシー | ルールとポリシー > NAT ルール」メイン ページで NAT ポリシー エントリの「コメント」アイコンにマウスを移動すると、ここで指定した説明が表示されます。コメントは、マウスが「コメント」アイコン上にある間、ポップアップ ダイアログに表示されます。

  • IP バージョン: IP バージョンを選択します。

    「NAT ポリシーの編集」ダイアログでは IP バージョンを変更できません。

    • IPv4 のみ (既定)

    • IPv6 のみ

    • NAT64 のみ

    「NAT ポリシーの追加」ダイアログのオプションは、「NAT64 のみ」が選択されると変更され、「詳細」ビューは使用できなくなります。

  • NAT ポリシーを有効にする: 既定では、このチェックボックスがオンになっています。これは、新しい NAT ポリシーが保存された瞬間に有効になることを意味します。NAT ポリシー エントリを作成しても、すぐに有効にしないようにするには、このチェックボックスをオフにします。

  • 再帰ポリシーを作成する: このチェックボックスをオンにすると、「NAT ポリシーの追加」ダイアログで定義した NAT ポリシーに対応するミラーの発信または受信 NAT ポリシーが自動的に作成されます。このオプションは、既定では選択されていません。

  • DNS 改竄を有効にする: このチェック ボックスをオンにすると、NSv によるドメイン ネーム システム応答での埋め込み IP アドレスの変更が可能になるので、クライアントはサーバの正しい IP アドレスを取得できます。「DNS 改竄」を参照してください。

  4. NAT 負荷分散を設定するには、「詳細」を選択します。それ以外の場合は、ステップ 8 にスキップして、現在の構成でポリシーを追加します。

     「詳細」ビューは、「NAT64 のみ」が「IP バージョン」で選択されているか、「FQDN」のアドレス オブジェクト/グループが「変換前の送信元」または「変換前の送信先」で選択されている場合は、表示されません。

     

     「送信元ポートの変換を無効にする」オプションを除き、このタブの他のすべてのオプションは、「一般」画面のいずれかのドロップダウン メニューでグループを指定したときだけ有効になります。このタブが無効の場合、NAT ポリシーでは NAT 方式として既定の「スティッキー IP」が使用されます。

  5. 「NAT 方式」の「詳細」画面で、「NAT 方式」ドロップダウン リストから次のいずれかを選択します。

  • スティッキー IP － 送信元 IP は、(その接続先が接続可能な状態であるならば) 常に同じ送信先 IPに接続されます。この方式は、ウェブ アプリケーション、ウェブ フォーム、ショッピング カート アプリケーションなど、接続の恒久性が要求される公開ホストのサイトに最適です。これは既定のメカニズムであり、ほとんどの配備環境では、この方式を使用することをお勧めします。

  • ラウンド ロビン － 送信元 IP は、循環的な順序で、動作中の負荷分散対象の各リソースに順に振り分けられます。この方式は、恒久性が要求されない状況で負荷を均等に分散したい場合に最適です。

  • ブロック再割付/対称再割付 － この 2 つの方式は、送信元 IP アドレス/ネットワークが既知のとき (特定のサブネットからのトラフィックの変換方法を精密に制御したい場合など) に有用です。

  • ランダム分散 － 送信元 IP は、各送信先 IP にランダムに接続されます。この方式は、トラフィックを対象の内部リソース全体に無作為に分散させたい場合に有用です。

    NAT 方式がスティッキー IP 以外のいずれかに設定されている場合、FQDN ベースのアドレス オブジェクトは「変換前の送信元」や「変換前の送信先」で使用できません。

  6. 必要に応じて、ファイアウォールで NAT ポリシーの IP アドレス変換のみを行い、ポート変換を行わないように指定するには、「送信元ポートの変換を無効にする」チェックボックスをオンにします。SonicOS は、ほかの NAT マッピングを実行している間も接続の送信元ポートを保持します。このオプションは、送信元 IP アドレスが変換されている場合の NAT ポリシーの追加または編集時に使用できます。このオプションは、既定では選択されていません。

     このオプションは、「変換後の送信元」(「一般」ビュー上) が「オリジナル」に設定されている場合、無効で淡色表示になります。

     メンテナンスその他の理由でインターフェースを一時的にオフラインにするとき、このオプションを選択します。接続していたリンクは切断されます。チェックボックスをオフにすると、インターフェースが有効になり再びリンクが接続されます。

  7. 「高可用性」セクションで、オプションで「論理監視を有効にする」を選択します。このチェックボックスがオンの場合、SonicOS は、2 つの方法 (ICMP Ping による単純な問い合わせによってリソースが動作中であるかを判断する方法と、TCP ソケットが開いているかを問い合わせて、リソースが動作中であるかを判断する方法) のどちらかを使用して、負荷分散グループ内のアドレスの動作状態を監視します。この問い合わせは設定可能な一定の間隔で行われ、これにより、応答のないリソースへのトラフィックの振り分けの中止と、応答が復活した時点でのそのリソースの使用再開が可能になります。

     「論理監視を有効にする」チェックボックスをオンにすると、以下のオプションが利用可能になります。

  • ホストを n 秒おきにプローブする — ホストのプローブ間隔を指定します。既定値は 5 秒です。

  • プローブ種別 — プローブ種別 (TCP など) をドロップダウン メニューから選択します。既定値は Ping (ICMP) です。

    • ポート — ポートを指定します。既定値は 80 です。

  • 応答タイムアウト — タイムアウトまでの最大時間を指定します。既定値は 1 秒です。

  • 次に達したらホストを停止する: n 回の失敗した間隔 — この回数を超えて応答が無い場合はホストを停止します。既定値は 3 です。

  • 次に達したらホストを再度有効にする: n 回の成功した間隔 — この回数以上応答に成功した場合はホストを再度有効にします。既定値は 3 です。

  • ポート プローブを有効にする – 上で選択した「プローブ種別」使用してポート プローブを有効にする場合に選択します。このオプションを選択すると、負荷分散時にポートも考慮するように NAT 機能が強化されます。このオプションは、既定では無効になっています。

  • RST 応答を未応答としてカウントする — RST 応答を未応答としてカウントするときに選択します。このオプションは、「ポート プローブを有効にする」を選択した場合に、既定で選択されます。

    プローブが有効になっている場合、FQDN ベースのアドレス オブジェクトは「変換前の送信元」や「変換前の送信先」で使用できません。

  8. 「追加」をクリックして NAT ポリシーを追加するか、ポリシーを編集する場合は「OK」をクリックします。