ファイアウォール管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

たとえば、内部ネットワーク内のクライアントがインターネット上のサーバへの接続を開始すると仮定します。内部クライアントの発信元アドレスは、接続が発生したインタフェースに応じて外部インタフェースのアドレス 192.168.0.1 または 172.16.1.1 に変換されます。注 - 通常の NAT ルールは、内部ネットワーク用 NAT ルールよりも優先されます。接続が両方の NAT ルールのタイプと一致する場合、接続には通常の NAT ルールが適用されます。アクセス・ルールもルール・ベース内で定義する必要があります。詳細については、内部ネットワーク用の自動 Hide NAT の設定も参照してください。 NAT ルール・ベース各ルールは、接続の最初のパケットをどのように扱うかを指定します。応答パケットは、送信パケットと反対方向に送信されますが、同一のルールと照合されます。 NAT ルール・ベースは以下の 2 つのセクションに分かれています。 Original Packet: ルールが適用されるときの条件を指定します。 Translated Packet: ルールが適用されたときのアクションを指定します。 NAT ルール・ベース・エディタ内のそれぞれのセクションは、[Source]、[Destination]、および[Service]に分かれています。以下のアクションが実行されます。 [Original Packet]の下の[Source]を[Translated Packet]の[Source]に変換する。 [Original Packet]の下の[Destination]を[Translated Packet]の[Destination]に変換する。 [Original Packet]の下の[Service]を[Translated Packet]の[Service]に変換する。 Original Packet Translated Packet Source Destination Service Source Destination Service Alaska_Web Any Any Alaska_Web (Hidden Address) = Original = Original ルール照合順序 NAT ルール・ベースのルール照合は、セキュリティのルール・ベースと同じ方式で行われます。ファイアウォールは接続に属するパケットを受け取ると、まずそれをルール・ベースの最初のルールと比較し、次に 2 番目のルール、3 番目のルールと順次比較します。ルールに一致するパケットが見つかると、検査を停止してそのルールを適用します。 44 | ファイアウォール 管理ガイド R75.40VS
この原則の例外は、2 つの自動ルールが接続に一致する場合です。その場合は、双方向 NAT が適用されます。自動および手動の NAT ルール NAT は、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス範囲 )によって自動的に定義できます。このようにして NAT を定義すると、ルールは自動的に NAT ルール・ベースに追加されます。 NAT ルール・ベースの NAT ルールを追加または編集して、NAT ルールを手動で定義できます。ファイアウォールは手動 NAT ルールを検証し、設定プロセスの間違いを防止できるように支援します。手動で NAT ルールを作成すると NAT の機能を最大限に活用できます。元のパケットおよび変換されたパケットの両方に対して発信元、宛先、およびサービスを個別に指定できます。手動 NAT ルールを作成する場合は、元のオブジェクトの他に、変換されたネットワーク・オブジェクトを定義する必要があります。双方向 NAT 双方向 NAT は NAT ルール・ベース内の自動 NAT ルールに適用され、2 つの自動 NAT ルールが接続に一致できるようにします。双方向 NAT を使用しない場合は、1 つの自動 NAT ルールのみが接続に一致します。ネットワーク・オブジェクトに対して NAT が定義されているときは、必要な変換を行う自動 NAT ルールが生成されます。自動 NAT ルールが定義された 2 つのネットワーク・オブジェクトがあり、一方が接続の発信元で、もう一方が宛先の場合には、双方向 NAT を使用すると自動 NAT ルールが両方とも適用され、両方のオブジェクトが変換されます。以下は、双方向 NAT の背後にあるロジックです。接続が最初に手動 NAT ルールに一致した場合は、NAT ルール・ベースはそれ以上検査されません。接続が最初に自動 NAT ルールに一致した場合は、残りの NAT ルール・ベースのルールが一度に1つずつ調べられ、別の自動 NAT ルールが接続に一致するかどうかがチェックされます。別の NAT ルールが接続に一致した場合は、両方のルールが一致したと見なされ、それ以上検査されません。双方向 NAT の動作は、SmartView Tracker の[NAT Rule Number]および[NAT Additional Rule Number]フィールドを使用してトラッキングできます。[NAT Additional Rule Number]は、双方向 NAT の 2 番目のオブジェクトに対して実行される自動変換に一致するルールです。自動生成ルールについて NAT は、ネットワーク・オブジェクト(ノード、ネットワーク、またはアドレス範囲 )によって、NAT ルール・ベースに自動的に定義できます。ノードの Hide NAT は、NAT ルール・ベースに 1 つのルールを追加します。これは、内部ネットワークのノードから開始される接続に対してパケットの発信元アドレスを変換することを指定します( 発信元の Hide ルール)。ノードの Static NAT は、NAT ルール・ベースに 2 つのルールを追加します。発信元の Static ルールの他にもう一つのルールが追加され、外部ネットワークから開始される接続に対してパケットの宛先アドレスを変換することを指定します( 宛先の Static ルール)。ネットワークまたはアドレス範囲に対して NAT(Hide または Static)を行うと、特別なルールが追加されます。追加されたルールは、ネットワークまたはアドレス範囲内の通信を変換しないことを指定します( 同じネットワーク内の 1 台のコンピュータから他のコンピュータへ送信されるパケットは変更されません)。 ファイアウォール 管理ガイド R75.40VS | 45
Page 1 and 2: ファイアウォール R75.40VS
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 自動ルールと手動ルー
Page 7 and 8: 付録 ...........................
Page 9 and 10: Application Control と Identity Aw
Page 11 and 12: 項目 Install-On Time 説明ル
Page 13 and 14: たは[Destination]を「Any」と
Page 15 and 16: ポリシーはまた 2 つの基
Page 17 and 18: Hit Count 表示を設定す
Page 19 and 20: 7. [Interface Properties]ウィン
Page 21 and 22: ラジオを特定の周波
Page 23 and 24: 13. ルール・ベースにマル
Page 25 and 26: SmartDashboard からアクセス
Page 27 and 28: アイデンティティを識別
Page 29 and 30: 2. Identity Awareness でユーザ
Page 31 and 32: 3. Security Gateway からユーザ
Page 33 and 34: ログでのユーザ識別 Smart
Page 35 and 36: 2. Captive Portal で、通常
Page 37 and 38: このログ・エントリは、
Page 39 and 40: 次のステップ Identity Agent
Page 41 and 42: 第 3 章ネットワーク・ア
Page 43: たとえば、10.1.1.2 から 10.1
Page 47 and 48: 自動ルールの順序自
Page 49 and 50: Static NAT を定義すると、
Page 51 and 52: Alaska.Web Any Any Alaska.Web (Vali
Page 53 and 54: ネットワークの設定た
Page 55 and 56: オブジェクト·データベー
Page 57 and 58: SecuRemote/SecureClient から MEP(
Page 59 and 60: デフォルトの[Do not reuse IP
Page 61 and 62: 第 4 章 IPv6 この章の構
Page 63 and 64: Security Gateway での IPv6 の
Page 65 and 66: [Interface Properties]ウィンド
Page 67 and 68: ICMPv6 router- advertisement ICMPv6
Page 69 and 70: 4. [Other Service Properties]ウィ
Page 71 and 72: Any Any Any Traffic Any drop None
Page 73 and 74: 第 5 章 ISP の冗長性こ
Page 75 and 76: Security Gateway の DNS への設
Page 77 and 78: ISP リンク・ステートの強
Page 79 and 80: メール・セキュリティの
Page 81 and 82: 2. [Spam]、[Suspected Spam]また
Page 83 and 84: 2. [Anti-Spam]オプションを
Page 85 and 86: 詳細については、「連
Page 87 and 88: アンチウイルスアンチス
Page 89 and 90: 第 8 章 ConnectControl - サー
Page 91 and 92: HTTP リダイレクト・メカニ
Page 93 and 94: 永続サーバのタイムアウ
Page 95 and 96:
第 9 章 CoreXL 管理この章
Page 97 and 98:
すべてのインタフェース
Page 99 and 100:
たとえば、「eth0」と「eth1
Page 101 and 102:
データ値説明デーモン
Page 103 and 104:
パラメータ説明 -k カー
Page 105 and 106:
1. コンピュータが起動
Page 107 and 108:
6. SmartConsole クライアント
Page 109 and 110:
fwboot bootconf 「fwboot bootconf
Page 111 and 112:
付録 B 付録このセクシ
Page 113 and 114:
c) ポート 1645 サービス上
Page 115 and 116:
2. SmartDashboard でゲートウ
Page 117 and 118:
3. ユーザが正常に認証
Page 119 and 120:
4. 以下のいずれかのオプ
Page 121 and 122:
tower 3% telnet london 259 Trying 1
Page 123 and 124:
1. [Authentication]ページで、S
Page 125 and 126:
5. [Yes]をクリックします。
Page 127 and 128:
付録 C 付録この付録
Page 129:
ファイアウォール管理
show all

ファイアウォール 管理ガイド R75.40VS - Check Point

Create successful ePaper yourself

Delete template?

Save as template?

ファイアウォール管理ガイド R75.40VS - Check Point