DNAT/フル NAT/負荷分散ルールの追加

このページでは、DNAT/フル NAT/負荷分散 (Web 未対応) ルールの構成方法を説明します。

DNAT/フル NAT/負荷分散ベースのルールは、ネットワーク内 (LAN または DMZ) 内でホストされているメールや他のサーバーのような Web 未対応サーバーを保護するために使用します。このルールを使用して、WAN またはインターネット経由でアクセスが必要なユーザーにサービスを提供するサーバーのアクセス権を定義できます。
  1. 「ファイアウォール」に移動し、デフォルトフィルタを使用して「IPv4」または「IPv6」を選択します。
  2. 「+ファイアウォールルールの追加」をクリックし、「業務アプリケーションルール」を選択します。
  3. 一般的なルールの詳細を指定します。
    アプリケーションテンプレート
    「DNAT/フル NAT/負荷分散」を選択して、一般的な Web 未対応のアプリケーションのルールを構成します。
    説明
    ルールの説明を入力します。
    ルールの位置
    ルールの位置を指定します。
    利用可能なオプション:
    • 最上位
    • 最下位
    ルールグループ
    ファイアウォールルールの追加先となるルールグループを指定します。リストから「新規作成」を選択して、新規ルールグループを作成することもできます。
    「自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。
    ルール名
    ルールの識別名を指定します。
  4. 「送信元」の詳細を指定します。
    送信元ゾーン
    送信元ゾーンを選択するか、「新規項目の追加」をクリックして新しい LAN または DMZ ゾーンを定義します。
    許可されたクライアントネットワーク
    許可されたホストを選択するか、「新規項目の追加」をクリックして新しいホストを追加します。
    ブロックされたクライアントネットワーク
    ブロックされているホスト/ネットワークを選択します。
  5. 「宛先・サービス」の詳細を指定します。
    宛先ホスト/ネットワーク
    ルールを適用する宛先ホスト/ネットワークを選択します。これは、ユーザーがインターネット経由で内部サーバー/ホストにアクセスするパブリック IP アドレスです。
    利用可能なオプション:
    • IP アドレス: 指定された IP アドレスが、関連するマップ済みの単一 IP アドレスまたは IP アドレスの範囲にマップされます。単一の IP アドレスが IP アドレスの範囲にマップされる場合、デバイスはラウンドロビン アルゴリズムを使用して要求の負荷を分散します。
    • IP の範囲: (IPv4 でのみ利用可能): 指定された IP アドレス範囲がマップ済み IP アドレスの関連する範囲にマップされます。「IP 範囲」はアドレス範囲の開始と終了を定義しています。範囲の開始には、IP 範囲の終了よりも小さい値を指定してください。デバイスポート、エイリアスまたは仮想 LAN (VLAN) のサブインターフェースを宛先ホストまたはネットワークにマップする必要がある場合に選択します。
    転送タイプ
    利用可能なオプションから外部ポートの種類を選択します。
    利用可能なオプション:
    • ポート
    • ポートの範囲
    • ポートリスト
    • 全て

    「全て」を選択すると、すべてのポートは転送されます。カスタムポートの転送を有効にしてポート転送の詳細を指定するには、その他のオプションを選択します。

    転送済みサービスポート (「転送タイプ」「全て」が選択されている場合は利用不可)
    ポート転送を構成するパブリックポート番号を指定します。
    プロトコル (「転送タイプ」「全て」が選択されている場合は利用不可)
    転送パッケトが使用するプロトコル TCP または UDP を選択します。
  6. 「次へ転送:」の詳細を指定します。
    保護されたサーバー
    利用可能なオプションから、Web サーバーをホストするアプリケーションサーバーを選択します。
    利用可能なオプション:
    • IP アドレス: 外部 IP アドレスが指定された IP アドレスにマップされます。
    • IP の範囲: 外部 IP アドレスの範囲が指定された IP アドレスの範囲にマップされます。
    • IP リスト: 外部 IP アドレスが指定された IP リストにマップされます。
    • FQDN: 外部 IP アドレスが指定された FQDN にマップされます。FQDN は内部のマップ済みサーバーにアクセスできます。このオプションは IPv4 仮想ホストでのみ利用可能です。
    マップ済みポート
    パブリックポート番号がマップされている宛先ネットワーク上で、マップ済みポート番号を指定します。「マップ済みポート」のポート数は、パブリックサービスのポート数と同じか、または少なくとも 1つにしてください。以下の場合には、「マップ済みポート」が無効です:
    • TCP/UDP サービスが選択されていない場合
    • 複数のサービスが選択されている場合
    • サービスグループが選択されている場合
    • 選択したサービスに TCP/UDP の組み合わせがある場合
    保護されたゾーン
    Web サーバーのルールを適用するゾーンを選択します。
  7. 「負荷分散」の詳細を指定します。
    負荷分散 (「保護されたサーバー」「IP 範囲」「IP リスト」であるか、または「宛先ホスト/ネットワーク」「IP アドレス」である場合にのみ利用可能)
    利用可能なオプションから負荷分散の方法を選択します。
    利用可能なオプション:
    • ラウンドロビン: 要求はシーケンス形式で処理されるため、最初の要求は最初のサーバーに転送され、2 番目の要求は 2 番目のサーバーに転送されます。要求を受信すると、デバイスは要求を割り当てた最後のサーバーを確認します。その後、デバイスは新しい要求を次の利用可能なサーバーに割り当てます。トラフィックを均一に分散させ、セッション保持が必要ではない場合にこの方法を使用できます。
    • ファーストアライブ: 受信したすべての要求は最初のサーバーにより送信されます (「IP 範囲」で構成された最初の IP アドレス)。このサーバーはプライマリサーバーとして考慮され、他のすべてのサーバーはバックアップとして考慮されます。最初のサーバーにエラーが生じると、要求は次のサーバーに転送されます。この方法はフェールオーバーのシナリオに使用されます。
    • ランダム: 要求はサーバーにランダムに転送されます。ただし、デバイスはすべての構成済みサーバーに均一に負荷分散されることを確認します。従って、これは一様無作為分布とも呼ばれます。トラフィックを均一に分散させ、セッション保持または分散順序が必要ない場合にこの方法を使用できます。
    • IP の維持: ラウンドロビンのトラフィック分散と併せて、デバイスは送信元 IP アドレスに基づいて受信トラフィックを転送します。特定の送信元からのすべてのトラフィックは、マップ済みサーバーにのみ転送されます。これは、指定された送信元 IP のすべての要求は、同じアプリケーションサーバーのインスタンスに送信されることを意味します。この方法は、すべての要求またはセッションが同じサーバーにより処理される必要がある場合に役立ちます。例: 銀行の Web サイト、電子商取引の Web サイト。
    正常性チェック (「負荷分散」が有効にされている場合にのみ利用可能)
    クリックしてフェールオーバーの正常性チェックを有効にし、以下の説明に基づいてパラメータを指定します。
    • ポート: サーバーの正常性を監視するポート。
    • 頻度: 正常性の監視間隔 (秒)
    • プローブの方法: サーバーの正常性を確認する方法。
    • タイムアウト: サーバーの応答を待機する時間 (秒)
    • 試行回数: サーバー正常性のプローブを試行する回数。この試行回数の後、サーバーが到達不可能と宣言されます。
  8. 「ID」の詳細を指定します。
    既知のユーザーを一致
    ユーザー ID を基にしたルールベースの一致は、選択されたゾーンから指定されたユーザー/ユーザーのグループが、選択されたサービスにアクセスできるかどうかを確認します。
    クリックして、ユーザー ID を添付します。
    「ID の確認」を有効にして、ユーザーごとに次のポリシーを適用します。
    不明なユーザーにキャプティブポータルを表示する
    不明なユーザーからのトラフィックを許可するには、このチェックボックスを選択します。「キャプティブポータル」ページには、ユーザーがインターネットにアクセスするためのログイン場所が表示されます。
    不明なユーザーからのトラフィックを破棄するには、このチェックボックスの選択を解除します。
    ユーザーまたはグループ (「既知のユーザーを一致」が選択されている場合に利用可能)
    利用可能なオプションのリストから、ユーザーまたはグループを選択します。
    データ利用通信量の計算からこのユーザーアクティビティを除外 (「既知のユーザーを一致」が選択されている場合に利用可能)
    クリックして、データ通信量の計算からユーザートラフィックのアクティビティを有効/無効にします。

    デフォルトにより、データ通信量の計算でユーザーのネットワークトラフィックが考慮されます。ユーザーデータ通信量の計算から特定のトラフィック除外する場合に選択します。このファイアウォールのルールから許可されているトラフィックは、このユーザーのデータ転送を行う責任はありません。

  9. 「詳細設定」を指定します。
    1. 業務アプリケーションのポリシーを指定します。
      侵入防御
      必要な IPS ポリシーを選択します。「ユーザー ID に基づきルールを照合」が有効にされている場合、ユーザーの IPS ポリシーは自動的に適用されますが、各モジュールが登録されるまで反映されません。新しい IPS ポリシーはこのページから直接作成できます。または、「侵入防御」 > 「IPS ポリシー」の順にアクセスした先のページからも作成できます。
      トラフィックシェーピング ポリシー
      必要なトラフィックシェーピングポリシーを選択します。「ユーザー ID に基づきルールを照合」が有効にされている場合は、ユーザーのトラフィックシェーピングポリシーが自動的に適用されます。
      「既知のユーザーを一致」が選択されていない場合は、このルールのトラフィックシェーピングポリシーを選択する必要があります。
      新しいトラフィックシェーピングポリシーはこのページから直接作成できます。または、「プロファイル」 > 「トラフィックシェーピング」の順にアクセスした先のページからも作成できます。
    2. セキュリティハートビートの詳細を指定します (「IPv4」が選択されている場合にのみ利用可能)。
      送信元ハートビートの最小値
      送信元デバイスがこのルールで最低限遵守する必要のある正常性の状態を選択します。正常性の状態には「緑」「黄色」または「制限なし」のいずれかを選択できます。正常性の条件を満たしていない場合は、このルールで定義したアクセスと権限はそのユーザーに付与されません。
      ハートビートがないクライアントをブロック
      ハートビート対応デバイスを使用して、正常性の状態についての情報を定義された間隔で送信します。これは、ハートビートと呼ばれます。
      その情報に基づいて、特定のサービスやネットワークへの送信元デバイスのアクセスを制限できます。
      ハートビートの送信を義務付けるオプションを有効にします。
      ハートビートがない宛先へのリクエストをブロック (「保護されたゾーン」「WAN」が選択されている場合は利用不可)
      ハートビート対応デバイスを使用して、正常性の状態についての情報を定義された間隔で送信します。これは、ハートビートと呼ばれます。
      その情報に基づいて、ハートビートを送信していない宛先へのリクエストをブロックできます。

      ハートビートの送信を義務付けるオプションを有効/無効にします。

    3. 「ルーティング」の詳細を指定します。
      送信元アドレスの書き換え (マスカレード)
      送信元アドレスの書き換えを有効/無効にするか、NAT ポリシーを指定します。
      送信用アドレスの使用 (「送信元アドレスの書き換え」が有効にされている場合は利用可能)
      利用可能な NAT ポリシーのリストから適用する NAT ポリシーを選択します。
      新しい NAT ポリシーはこのページから直接作成できます。または、「プロファイル」 > 「ネットワークアドレス変換」の順にアクセスした先のページからも作成できます。
      デフォルトの NAT ポリシーは「仮」です。

      MASQ (インターフェースデフォルト IP): 「ネットワーク」 > インターフェースで構成されたとおり、選択した「保護されたゾーン」の IP アドレスが (インターフェースデフォルト IP の) 代わりに表示されます。

      再帰ルールの作成
      有効にして、保護ホストの再帰ファイアウォールルールを自動的に作成します。
      再帰ルールは構成済みのホスト型サーバーのポリシーと同じですが、送信元ゾーンから宛先ゾーンの代わりに、このルールは宛先ゾーンから送信元ゾーンのトラフィック上に適用することができます。
      デフォルトにより、再帰ルールは作成されません。
  10. ユーザーアプリケーショントラフィックの「ログオプション」を指定します。
    ファイアウォールトラフィックのログ
    クリックして、許可される/拒否されるトラフィックのログを有効にします。
  11. 「保存」をクリックします。
Web 未対応のルールが作成され、「ファイアウォール」ページに表示されます。