ファイアウォール 管理ガイド R75.40VS - Check Point
ファイアウォール 管理ガイド R75.40VS - Check Point
ファイアウォール 管理ガイド R75.40VS - Check Point
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Static NAT<br />
以 下 の 例 は、 一 般 的 な Static NAT の 配 置 を 表 します。ノードの Static NAT は、プライベート・アドレスをユニークな<br />
パブリック・アドレスに 変 換 します。ネットワークまたはアドレス 範 囲 での Static NAT は、ネットワーク 内 の 各 IP アドレ<br />
スまたは 範 囲 を、 定 義 済 みの 静 的 IP アドレスから 始 まる 対 応 するパブリック IP アドレスに 変 換 します。<br />
Hide NAT<br />
Hide NAT モードでは、 全 てのパケットの 発 信 元 ポート 番 号 が 変 更 されます。 戻 りのパケットが<strong>ファイアウォール</strong>に 到<br />
達 すると、Security Gateway はポート 番 号 を 使 用 して、どの 内 部 コンピュータへパケットが 送 信 されているかを 判 定<br />
します。ポート 番 号 は、2 つの 番 号 プールから 動 的 に 割 り 当 てられます。2 つの 番 号 プールは、600~1023 と 10,000~<br />
60,000 です。<br />
ポート 番 号 は 通 常 、2 番 目 のプールから 割 り 当 てられます。 最 初 のプールは 3 つだけのサービス、rlogin( 宛 先 ポート<br />
512)、rshell( 宛 先 ポート 513)、および rexec( 宛 先 ポート 514)に 使 用 されます。これらのサービスのいずれかを 使<br />
用 した 接 続 で、オリジナルの 発 信 元 ポートが 1024 よりも 小 さい 場 合 は、ポート 番 号 は 1 番 目 のプールから 割 り 当 て<br />
られます。この 動 作 は 設 定 可 能 です。<br />
Security Gateway は 割 り 当 てられたポート 番 号 を 記 憶 しているので、 戻 りのパケットに 元 のポート 番 号 が 正 しく 復 元<br />
され、 使 用 中 のポート 番 号 が 再 び 新 しい 接 続 に 割 り 当 てられることはありません。<br />
Hide NAT はサーバあたり 最 大 5 万 接 続 をサポートします。つまり Hide NAT の 容 量 は、Hide NAT された 内 部 クラ<br />
イアントからの 保 護 されていない 側 の 1 台 のサーバに 向 けられた 接 続 が 同 時 に 50,000 を 超 えて 発 生 した 時 にのみ<br />
限 界 に 達 します。ただし、これはめったに 起 こりません。<br />
NAT ゲートウェイを 利 用 すると、イントラネット 内 のプライベート・アドレスを 割 り 当 てられた 複 数 のコンピュータで、1<br />
つのパブリック・アドレスを 共 有 できます。アクセスされたインターネット 上 のサーバは、インターネットとイントラネット<br />
の 区 別 はできず、 複 数 のコンピュータからの 接 続 は 単 一 のコンピュータからの 接 続 として 処 理 されます。<br />
Hide NAT は、 内 部 ネットワークから 開 始 される 接 続 のみを 許 可 します。これにより、 内 部 ホストはイントラネットの 内<br />
側 と 外 側 の 両 方 への 接 続 を 開 始 できますが、ネットワークの 外 側 のホストは 内 部 ホストへの 接 続 を 開 始 できませ<br />
ん。<br />
Hide Address( 隠 蔽 アドレス)は、その 背 後 に 内 部 ネットワーク、アドレス 範 囲 あるいはノードが 隠 れているアドレス<br />
です。 内 部 アドレスを 隠 蔽 するには 以 下 のいずれかの 方 法 があります。<br />
<br />
<br />
ルーティング 可 能 で、どの 実 コンピュータにも 属 さないパブリック IP アドレスである 仮 想 IP アドレスの 背 後 に 隠 蔽<br />
します。<br />
パケットがルーティングされるインタフェースを 通 して、Security Gateway の IP アドレスの 背 後 に 隠 蔽 します。<br />
42 | <strong>ファイアウォール</strong> 管 理 ガイド <strong>R75.40VS</strong>