• SonicOS 7 ルールとポリシー
• アクセス ルール
  • ファイアウォール アクセス ルールの設定
    • ステートフル パケット検査の既定のアクセス ルールについて
    • 接続の制限について
    • アクセス ルールによる帯域幅管理の使用
      • アクセス ルールでの帯域幅管理の有効化
    • アクセス ルールの設定
      • 詳細設定の構成
      • QoS 設定値の構成
      • 詳細帯域幅管理での帯域幅管理の設定
      • グローバル帯域幅管理での帯域幅管理の設定
      • 地域 IP 設定値の構成
      • アクセス ルールの確認
      • IPv6 のアクセス ルールの設定
      • NAT64 のアクセス ルールの設定
      • DNS プロキシのアクセス ルール
      • アクセス ルールのユーザ優先順位
      • アクセス ルールの表示
        • ゾーン別
        • 列ごと
      • ゾーン間アクセス ルールの最大数の指定
      • ゾーンのアクセス ルールの設定
    • アクセス ルールの有効化と無効化
    • アクセス ルールの編集
    • アクセス ルールの削除
    • アクセス ルールの既定の設定の復元
    • アクセス ルールのトラフィック統計の表示
  • アクセス ルールの設定例
    • Ping の有効化
    • 特定のサービスへの LAN アクセスの遮断
    • LAN ゾーンからの WAN プライマリ IP アクセスの許可
• NAT ルール
  • SonicOS での NAT について
  • NAT 負荷分散について
    • 使用する NAT LB 方式の決定
    • 注意
    • 負荷分散アルゴリズムの適用方法
    • スティッキー IP アルゴリズムの例
      • 例 1 - ネットワークへの割付
      • 例 2 - IP アドレス範囲への割付
  • NAT64 について
    • Pref64::/n の使用
  • FQDN ベースの NAT について
  • 送信元 MAC アドレスの置き換えについて
  • NAT ポリシー エントリの表示
    • 表示の変更
    • 表示のフィルタリング
    • ポリシーに関する情報の表示
  • 「NAT または NAT64 の追加または編集」ポリシー
  • NAT ポリシーの削除
  • NAT ルール ポリシーの作成 例
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    • WAN IP アドレス経由の着信ポート アドレス変換
    • 多対 1 の NAT ポリシーの作成
    • 多対多の NAT ポリシーの作成
    • 1 対多の NAT 負荷分散ポリシーの作成
    • 2 台のウェブ サーバの NAT 負荷分散ポリシーの作成
    • NAT64 ポリシーのための WAN から WAN へのアクセス ルールの作成
    • DNS 改竄
• ルーティング ルール
  • ルーティングについて
    • メトリックと管理距離
      • メトリックについて
      • 管理距離について
    • ルート通知
    • ECMP ルーティング
    • ポリシーベース ルーティング
    • ポリシーベース TOS ルーティング
    • PBR のメトリックベースの優先順位
    • ポリシー ベースのルーティングと IPv6
    • OSPF および RIP の高度なルーティング サービス
      • ルーティング サービスについて
        • プロトコル種別
        • 最大ホップ数
        • スプリット ホライズン
        • ポイズン リバース
        • ルーティング テーブル更新
        • サブネット サイズのサポート
        • 自律システム トポロジ
      • OSPF の条件
    • ドロップ トンネル インターフェース
    • アプリベースのルーティング
  • ルールとポリシー > ルーティング ルール
    • ルーティング ルールの設定
      • 静的ルートの追加
      • プローブに対応したポリシーベース ルーティングの設定
• コンテンツ フィルタ ルール
  • コンテンツ フィルタ ルール (CFS) について
    • コンテンツ フィルタ ルールについて
    • CFS ポリシーの UUID について
    • コンテンツ フィルタ オブジェクトについて
    • CFS の動作
  • CFS ポリシーの設定
    • コンテンツ フィルタ ルール テーブルについて
      • コンテンツ フィルタ ルール テーブルの検索
    • コンテンツ フィルタ ルールの追加
    • コンテンツ フィルタ ルールの編集
    • コンテンツ フィルタ ルールの削除
• アプリケーション ルール
  • アプリケーション ルールについて
    • アプリケーション ルールとは？
      • アプリケーション ルール ポリシーについて
      • アプリケーション ルールの性能について
    • アプリケーション ルールのメリット
    • アプリケーション制御の仕組み
    • アプリケーション制御ポリシーの作成について
    • アプリケーション ルール ポリシーの作成について
    • プリケーション ルールとアプリケーション制御 のライセンス
    • 用語
  • ルールとポリシー > アプリケーション ルール
    • アプリケーション ルール ポリシーの設定
    • アプリケーション ルール ウィザードを使用する
  • アプリケーション ルール設定の確認
    • 便利なツール
      • Wireshark
      • 16 進エディタ
  • アプリケーション ルールの使用例
    • 一致オブジェクトでの正規表現の作成
    • ポリシーベースのアプリケーション ルール
    • アプリケーション シグネチャベース ポリシーのログ
    • コンプライアンスの施行
    • サーバの保護
    • ホストされる電子メール環境
    • 電子メール制御
    • ウェブ ブラウザ制御
    • HTTP POST 制御
    • 禁止するファイル タイプ制御
    • ActiveX コントロール
    • FTP 制御
      • 機密ファイルの FTP 送信の遮断
      • 送信 UTF-8/UTF-16 エンコード ファイルの遮断
      • FTP コマンドの遮断
    • 帯域幅管理
    • DPI をバイパス
    • 個別のシグネチャ
    • リバース シェル悪用の防御
      • ネットワーク アクティビティの生成
      • Wireshark を使用したペイロードのキャプチャおよびテキスト ファイルへのエクスポート
      • 一致オブジェクトの作成
      • ポリシーの定義
• エンドポイント ルール
• SonicWall サポート

1 対 1 の NAT ポリシーによる着信ポート アドレス変換

このタイプの NAT ポリシーは、内部サーバの実際のリスニング ポートを隠して、別のポートでのサーバへのパブリック アクセスを可能にしたい場合に便利です。以下の例では、別のポート (TCP 9000) 用のサービス オブジェクトを作成したうえで、「着信トラフィック用の 1 対 1 の NAT ポリシーの作成」セクションで作成した NAT ポリシーとルールを変更して、パブリック ユーザがパブリック IP アドレスを通じてプライベート ウェブ サーバに接続できるようにします。その接続には、標準の HTTP ポート (TCP 80) ではなく、作成したポートを使用します。

着信ポート アドレス変換のための 1 対 1 のポリシーを作成するには、以下の手順に従います。

1. 「オブジェクト | 一致オブジェクト > サービス」ページに移動します。このページでは、使用する非標準ポートのユーザ定義サービスを作成します:

   

2. 「サービス オブジェクト」ビューで「+ 追加」を選択して、「サービス オブジェクト」ダイアログを表示します。

   

3. ユーザ定義サービスに webserver_public_port などのわかりやすい名前を付けます。

4. 「プロトコル」ドロップダウン メニューで「TCP(6)」を選択します。

5. 「ポート範囲」の場合、両方のフィールドに9000をサービスの開始および終了ポート番号として入力します。

6. 設定が完了したら、「追加」をクリックしてユーザ定義サービスを保存し、「閉じる」をクリックします。

   • 「サービス オブジェクト」画面が更新されます。

7. 「ポリシー | ルールとポリシー > NAT ルール」ページに移動します。

   「着信トラフィック用の 1 対 1 の NAT ポリシーの作成」セクションで作成した、パブリック ユーザがパブリック IP アドレスを通じてプライベート ウェブ サーバに接続できるようにする NAT ポリシーを変更します。

8. NAT ポリシーの横の「編集」アイコンをクリックします。「NAT ポリシーの編集」ダイアログが表示されます。

9. 表に示されているオプションを使用して NAT ポリシーを編集します (「 オプションの選択: 1 対 1 の NAT ポリシーによる着信ポート アドレス変換 」の表を参照)。

   オプションの選択: 1 対 1 の NAT ポリシーによる着信ポート アドレス変換

   オプション	値
   変換前の送信元	すべて
   変換後の送信元	変換前
   変換前の送信先	webserver_public_ip
   変換後の送信先	webserver_private_ip
   変換前のサービス	webserver_public_port (または上記で付けた任意の名前)
   変換後のサービス	HTTP
   着信インターフェース	X1
   発信インターフェース	すべて
   コメント	簡単な説明を入力
   NAT ポリシーを有効にする	オン

着信インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。これは直観に反しているように思われるかもしれませんが、正しい設定です (インターフェースを指定しようとすると、エラーが発生します)。

10. 「OK」をクリックし、「閉じる」をクリックします。
11. このポリシーを適用すると、ファイアウォールは、WAN インターフェース (既定では X1 インターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベート IP アドレスに変換し、要求されたポート (TCP 9000) をサーバの実際のリスニング ポート (TCP 80) に変換します。
12. 最後に、前のセクションで作成したファイアウォール アクセス ルールを変更して、すべてのパブリック ユーザがサーバの実際のリスニング ポート (TCP 80) の代わりに新しいポート (TCP 9000) でウェブ サーバに接続できるようにします。
13. 「ポリシー | ルールとポリシー > NAT ルール」ページに移動し、webserver_public_ip 用のルールを探します。
14. 「編集」アイコンを選択し、「ルールの編集」ダイアログでルールを表示します。

15. 表に示すように値を編集します (「 オプションの選択: 1 対 1 の NAT ポリシー ルールによる着信ポート アドレス変換 」の表を参照)。

    オプションの選択: 1 対 1 の NAT ポリシー ルールによる着信ポート アドレス変換

    オプション	値
    動作	許可
    サービス	webserver_public_port (または任意の名前)
    送信元	すべて
    送信先	webserver_public_ip
    許可ユーザ	すべて
    スケジュール	常に有効
    ログ	オン
    コメント	簡単な説明を入力

16. 「OK」をクリックします。

確認するには、パブリック インターネット上に配置されているシステムを使用して、新しいカスタム ポートでウェブ サーバのパブリック IP アドレスにアクセスしてください (例: http://67.115.118.70:9000). 正常に接続できるはずです。接続不可の場合は、このセクションを調べて、必要なすべての項目を正しく設定したことを確認します。