コンテンツにスキップ
ページの一部またはすべては機械翻訳されました。
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=aws-auto-scaling-dnat-use-case

DNAT ユースケースの構成

ソフォスファイアウォールを使用してAWS Auto ScalingでDNATネットワークを構成します。

このガイドでは、サードパーティ製品に関する手順についても説明しています。各ベンダーの最新ドキュメントを確認することを推奨します。

要件

AWS Auto Scalingのデプロイメントを構築する必要があります。詳細は、Sophos Firewall と AWS Auto Scalingを参照してください。

ネットワーク図

下の図は、Sophos FirewallとAWS Auto Scalingを使用してDNATを介してアクセスできるRDPサーバーを示しています。

DNAT ユースケース。

ファイアウォール管理

以下のようにSophos Centralファイアウォールグループを構成します:

  1. Sophos Central にサインインします。
  2. マイプロダクト > ファイアウォール管理 > ファイアウォール」に移動します。
  3. Auto Scaling グループのために、... ボタン \<target>AWSの3つのドットボタン。\</target>。 をクリックします。
  4. ポリシーの管理」をクリックします。

ポリシーの管理。

IP ホストを作成する

両方の可用性ゾーンのWANサブネット用のIP範囲ホストを作成します。各サブネットの最初のIPアドレスを含めないでください。また、RDPサーバーのためのIPホストを作成してください。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. 最初の利用可能ゾーンのIP範囲の名前を入力してください。

  3. 次の設定を行います。

    • IP バージョン: IPv4
    • 種類: IP アドレス範囲
    • IP アドレス: 172.25.1.2 - 172.25.1.254

  4. 保存」をクリックします。

  5. 追加」をクリックします。
  6. 第2の可用性ゾーンのIP範囲の名前を入力してください。

  7. 次の設定を行います。

    • IP バージョン: IPv4
    • 種類: IP アドレス範囲
    • IP アドレス: 172.25.2.2 - 172.25.2.254

  8. 保存」をクリックします。

  9. Add」(追加) をクリックします。
  10. 「RDPサーバーの名前を入力してください。」

  11. 次の設定を行います。

    • IP バージョン: IPv4
    • 種類: IP
    • IP アドレス:

  12. 保存」をクリックします。

IP ホスト:。

サービスポートを作成する

次のようにサービスポートを作成します:

  1. ホストとサービス > サービス」に移動し、「追加」をクリックします。
  2. 名前を入力します。

  3. 次の設定を行います。

    • 種類: TCP/UDP
    • プロトコル: TCP
    • Source port:
    • 宛先ポート

  4. 保存」をクリックします。

    RDP ポート。

  5. Add」(追加) をクリックします。

  6. 名前を入力します。

  7. 次の設定を行います。

    • 種類: TCP/UDP
    • プロトコル: TCP
    • Source port:
    • 宛先ポート

  8. 保存」をクリックします。

    TCP 8080。

ファイアウォールルール

次のようにファイアウォールルールを作成します:

  1. ルールとポリシー > ファイアウォールルール」に移動し、「ファイアウォールルールの追加」、「新しいファイアウォールルール」の順にクリックします。
  2. 名前を入力します。
  3. タグペア2の下で、Acceptを選択してください。
  4. タグペア2のルール位置
  5. ログファイアウォールトラフィックをオンにしてください。

  6. 次の設定を行います。

    • 送信元ゾーン: WAN
    • 送信元ネットワークとデバイス任意
    • 宛先ゾーン: WAN
    • 宛先ネットワーク: 作成したIP範囲ホスト
    • サービス: 作成したサービスポート。

    ファイアウォールルール。

  7. 保存」をクリックします。

NAT ルール

RDPサーバーのために次のようなDNATルールを作成してください:

  1. Go to Rules and policies > NAT rules > Add NAT rule > New NAT rule.
  2. 名前を入力します。

  3. 次の設定を行います。

    • 変換前の送信元任意
    • 変換前の宛先: 作成したIPレンジホスト
    • 変換前のサービス:作成したRDPサービス。
    • 変換後の送信元 (SNAT)MASQ
    • 変換後の宛先 (DNAT)RDPサーバーホストを作成した場合。
    • 変換されたサービス (PAT)変換前
    • 受信インターフェース任意
    • アウトバウンドインターフェース任意

    DNAT ルール。

  4. 保存」をクリックします。

AWS の設定

AWSで以下の設定を構成します。

RDPターゲットグループ

RDPサーバーのターゲットグループを次のように作成してください:

  1. AWS Web コンソールにアクセスし、サインインしてください。」
  2. EC2」を検索し、「EC2」サービスをクリックしてください。
  3. ロード バランシング > ターゲット グループに移動してください。
  4. Click ターゲットグループの作成.
  5. 基本設定の下で、インスタンスを選択してください。
  6. ターゲットグループ名
  7. プロトコルの下で、TCPを選択してください。
  8. ポートの下に、3389を入力してください。
  9. タグペア2の下で、VPCを選択してください。
  10. Next」をクリックします。
  11. 使用可能なインスタンス
  12. クリックターゲットグループを作成します。

RDP ターゲット グループ。

Auto Scaling グループ

以下のようにAuto Scalingグループを編集します:

  1. Auto scaling」>「Auto scaling groups」に移動し、ファイアウォールEC2インスタンスのために作成されたAuto Scalingグループをクリックしてください。
  2. Integrations
  3. 作成したRDPターゲットグループを選択して、更新をクリックします。

Auto Scaling グループ。

負荷分散

以下のようにロードバランサーを編集します:

  1. ロード バランシング > ロード バランサーに移動し、ファイアウォール EC2 インスタンスのオートスケーリング グループ用に作成されたロード バランサーをクリックします。
  2. リスナー」タブで、「リスナーを追加」をクリックします。
  3. タグペア2の「プロトコル」の下で、TCPを選択してください。
  4. Port タグの下に、3389 を入力してください。
  5. デフォルトアクションの下で、作成したターゲットグループを選択してください。
  6. クリックリスナーを追加

リスナーを追加します。

ネットワーク ロード バランサーに新しいリスナーを追加しました。それは今、インターネットからのRDPトラフィックを受け入れ、それをターゲットグループであるファイアウォールEC2インスタンスのオートスケーリンググループに転送します。

リスナー。

現在、AWSネットワークロードバランサーからRDPポートが開かれています。RDPサーバーへのアクセスを取得するには、ネットワークロードバランサーのDNS名をDetailsセクションからコピーしてください。

オートスケーリング ロードバランサー。

内部サーバーへのRDPアクセス権が付与されました。トラフィックはファイアウォールEC2インスタンスの1つを経由して流れます。

オートスケーリングRDP接続。