ファイアウォール 管理ガイド R75.40VS - Check Point

Static NAT
以 下 の 例 は、 一 般 的 な Static NAT の 配 置 を 表 します。ノードの Static NAT は、プライベート・アドレスをユニークな
パブリック・アドレスに 変 換 します。ネットワークまたはアドレス 範 囲 での Static NAT は、ネットワーク 内 の 各 IP アドレ
スまたは 範 囲 を、 定 義 済 みの 静 的 IP アドレスから 始 まる 対 応 するパブリック IP アドレスに 変 換 します。
Hide NAT
Hide NAT モードでは、 全 てのパケットの 発 信 元 ポート 番 号 が 変 更 されます。 戻 りのパケットがファイアウォールに 到
達 すると、Security Gateway はポート 番 号 を 使 用 して、どの 内 部 コンピュータへパケットが 送 信 されているかを 判 定
します。ポート 番 号 は、2 つの 番 号 プールから 動 的 に 割 り 当 てられます。2 つの 番 号 プールは、600~1023 と 10,000~
60,000 です。
ポート 番 号 は 通 常 、2 番 目 のプールから 割 り 当 てられます。 最 初 のプールは 3 つだけのサービス、rlogin( 宛 先 ポート
512)、rshell( 宛 先 ポート 513)、および rexec( 宛 先 ポート 514)に 使 用 されます。これらのサービスのいずれかを 使
用 した 接 続 で、オリジナルの 発 信 元 ポートが 1024 よりも 小 さい 場 合 は、ポート 番 号 は 1 番 目 のプールから 割 り 当 て
られます。この 動 作 は 設 定 可 能 です。
Security Gateway は 割 り 当 てられたポート 番 号 を 記 憶 しているので、 戻 りのパケットに 元 のポート 番 号 が 正 しく 復 元
され、 使 用 中 のポート 番 号 が 再 び 新 しい 接 続 に 割 り 当 てられることはありません。
Hide NAT はサーバあたり 最 大 5 万 接 続 をサポートします。つまり Hide NAT の 容 量 は、Hide NAT された 内 部 クラ
イアントからの 保 護 されていない 側 の 1 台 のサーバに 向 けられた 接 続 が 同 時 に 50,000 を 超 えて 発 生 した 時 にのみ
限 界 に 達 します。ただし、これはめったに 起 こりません。
NAT ゲートウェイを 利 用 すると、イントラネット 内 のプライベート・アドレスを 割 り 当 てられた 複 数 のコンピュータで、1
つのパブリック・アドレスを 共 有 できます。アクセスされたインターネット 上 のサーバは、インターネットとイントラネット
の 区 別 はできず、 複 数 のコンピュータからの 接 続 は 単 一 のコンピュータからの 接 続 として 処 理 されます。
Hide NAT は、 内 部 ネットワークから 開 始 される 接 続 のみを 許 可 します。これにより、 内 部 ホストはイントラネットの 内
側 と 外 側 の 両 方 への 接 続 を 開 始 できますが、ネットワークの 外 側 のホストは 内 部 ホストへの 接 続 を 開 始 できませ
ん。
Hide Address( 隠 蔽 アドレス)は、その 背 後 に 内 部 ネットワーク、アドレス 範 囲 あるいはノードが 隠 れているアドレス
です。 内 部 アドレスを 隠 蔽 するには 以 下 のいずれかの 方 法 があります。
ルーティング 可 能 で、どの 実 コンピュータにも 属 さないパブリック IP アドレスである 仮 想 IP アドレスの 背 後 に 隠 蔽
します。
パケットがルーティングされるインタフェースを 通 して、Security Gateway の IP アドレスの 背 後 に 隠 蔽 します。
42 | ファイアウォール 管 理 ガイド R75.40VS