ネットワーク

SonicWall NATポリシー設定方法

SonicWall(SonicOS Enhanced5.1)における1対1のNATポリシーと、それに付随するアクセスルールの設定方法をまとめました。

設定例の前提として、まず以下のアクセスオブジェクトを作成しています。

オブジェクト名 アドレス/アドレス範囲 タイプ ゾーン
www
ww.x.y.z/255.255.255.255
ホスト DMZ
www-global
www.xxx.yyy.zz/255.255.255.255
ホスト
WAN
DMZ-ANY
0.0.0.0/0.0.0.0
ネットワーク
DMZ
INTERNET
0.0.0.0/0.0.0.0
ネットワーク
WAN

※ ホストのアドレスには実際のIPアドレスが入ります。

 

今回の設定方針は以下の通りです。

1.    wwwからINTERNETへの接続は、グローバルアドレスであるwww-globalを経由(変換)する。
2.    wwwからINTERNETへの接続時に許容するサービスは、https, httpのみにする。
3.    その他wwwからINTERNETへのサービスはすべて禁止する。
4.    INTERNETからwwwへの接続は、www-globalを経由(変換)する。
5.    INTERNETからwwwへの接続時に許容するサービスは、http, pingのみにする。
6.    その他INTERNETからwwwへのサービスはすべて禁止する。

 

上記、設定方針に基づいた設定例は以下の通りです。

 

・NATポリシーの作成

CAP_NAT

 

※ 設定環境で、WANポートをX2に、DMZポートをX4にそれぞれ割り当てています。

1.    発信トラフィック用1対1のNATポリシー作成

変換前の送信元 www
変換後の送信元 www-global
変換前の送信先 すべて
変換後の送信先 オリジナル
変換前サービス すべて
変換後サービス オリジナル
受信(着信)インターフェース X4 (DMZ側インターフェース)
発信インターフェース X2 (WAN側インターフェース)


2.    着信トラフィック用1対1のNATポリシー作成(再帰ポリシー)

上記1の「発信トラフィック用1対1のNATポリシー」作成時、「再帰ポリシーを作成する」のチェックボックスにチェックを入れると、自動で再帰ポリシーが生成されます。この自動で生成されたポリシーを、今回の設定方針に基づいて以下のように編集します。

変換前の送信元 すべて
変換後の送信元 オリジナル
変換前の送信先 www-global
変換後の送信先 www
変換前サービス すべて
変換後サービス オリジナル
受信(着信)インターフェース X2 (WAN側インターフェース)
発信インターフェース すべて

・アクセスルールの作成(DMZ -> WAN)

CAP_DMZ_WAN

 

DMZ(www)からWAN(INTERNET)へのアクセスルールを以下のように作成します。

1.    httpsサービスを許容するアクセスルールの作成

優先順位 1
送信元 www
送信先 INTERNET
サービス HTTPS
動作 許可
ユーザ すべて
有効 有効


2.    httpサービスを許容するアクセスルールの作成

優先順位 2
送信元 www
送信先 INTERNET
サービス HTTP
動作 許可
ユーザ すべて
有効 有効


3.    DMZからWANへすべてのサービスを禁止するルールを作成

優先順位 3
送信元 DMZ-ANY
送信先 INTERNET
サービス すべて
動作 禁止
ユーザ すべて
有効 有効



・アクセスルールの作成(WAN -> DMZ)

CAP_WAN_DMZ

 

WAN(INTERNET)からDMZ(www)へのアクセスルールを以下のように作成します。

1.    httpサービスを許容するアクセスルールの作成

優先順位 1
送信元 INTERNET
送信先 www-global
サービス HTTP
動作 許可
ユーザ すべて
有効 有効

 

2.    Pingサービスを許容するアクセスルールの作成

優先順位 2
送信元 INTERNET
送信先 www-global
サービス Ping
動作 許可
ユーザ すべて
有効 有効

3.    WANからDMZへすべてのサービスを禁止するルールを作成

優先順位 3
送信元 INTERNET
送信先 DMZ-ANY
サービス すべて
動作 禁止
ユーザ すべて
有効 有効

NATポリシー、及びアクセスルールの設定例は以上になります。