SonicWall NATポリシー設定方法

SonicWall(SonicOS Enhanced5.1)における1対1のNATポリシーと、それに付随するアクセスルールの設定方法をまとめました。

設定例の前提として、まず以下のアクセスオブジェクトを作成しています。

オブジェクト名	アドレス/アドレス範囲	タイプ	ゾーン
www	ww.x.y.z/255.255.255.255	ホスト	DMZ
www-global	www.xxx.yyy.zz/255.255.255.255	ホスト	WAN
DMZ-ANY	0.0.0.0/0.0.0.0	ネットワーク	DMZ
INTERNET	0.0.0.0/0.0.0.0	ネットワーク	WAN

※ ホストのアドレスには実際のIPアドレスが入ります。

 

今回の設定方針は以下の通りです。

1.    wwwからINTERNETへの接続は、グローバルアドレスであるwww-globalを経由（変換）する。
2.    wwwからINTERNETへの接続時に許容するサービスは、https, httpのみにする。
3.    その他wwwからINTERNETへのサービスはすべて禁止する。
4.    INTERNETからwwwへの接続は、www-globalを経由（変換）する。
5.    INTERNETからwwwへの接続時に許容するサービスは、http, pingのみにする。
6.    その他INTERNETからwwwへのサービスはすべて禁止する。

 

上記、設定方針に基づいた設定例は以下の通りです。

 

・NATポリシーの作成

 

※ 設定環境で、WANポートをX2に、DMZポートをX4にそれぞれ割り当てています。

1.    発信トラフィック用1対1のNATポリシー作成

変換前の送信元	www
変換後の送信元	www-global
変換前の送信先	すべて
変換後の送信先	オリジナル
変換前サービス	すべて
変換後サービス	オリジナル
受信（着信）インターフェース	X4 （DMZ側インターフェース）
発信インターフェース	X2 （WAN側インターフェース）

2.    着信トラフィック用1対1のNATポリシー作成（再帰ポリシー）

上記1の「発信トラフィック用1対1のNATポリシー」作成時、「再帰ポリシーを作成する」のチェックボックスにチェックを入れると、自動で再帰ポリシーが生成されます。この自動で生成されたポリシーを、今回の設定方針に基づいて以下のように編集します。

変換前の送信元	すべて
変換後の送信元	オリジナル
変換前の送信先	www-global
変換後の送信先	www
変換前サービス	すべて
変換後サービス	オリジナル
受信（着信）インターフェース	X2 （WAN側インターフェース）
発信インターフェース	すべて

・アクセスルールの作成（DMZ -> WAN）

 

DMZ（www）からWAN（INTERNET）へのアクセスルールを以下のように作成します。

1.    httpsサービスを許容するアクセスルールの作成

優先順位	1
送信元	www
送信先	INTERNET
サービス	HTTPS
動作	許可
ユーザ	すべて
有効	有効

2.    httpサービスを許容するアクセスルールの作成

優先順位	2
送信元	www
送信先	INTERNET
サービス	HTTP
動作	許可
ユーザ	すべて
有効	有効

3.    DMZからWANへすべてのサービスを禁止するルールを作成

優先順位	3
送信元	DMZ-ANY
送信先	INTERNET
サービス	すべて
動作	禁止
ユーザ	すべて
有効	有効

・アクセスルールの作成（WAN -> DMZ）

 

WAN（INTERNET）からDMZ（www）へのアクセスルールを以下のように作成します。

1.    httpサービスを許容するアクセスルールの作成

優先順位	1
送信元	INTERNET
送信先	www-global
サービス	HTTP
動作	許可
ユーザ	すべて
有効	有効

 

2.    Pingサービスを許容するアクセスルールの作成

優先順位	2
送信元	INTERNET
送信先	www-global
サービス	Ping
動作	許可
ユーザ	すべて
有効	有効

3.    WANからDMZへすべてのサービスを禁止するルールを作成

優先順位	3
送信元	INTERNET
送信先	DMZ-ANY
サービス	すべて
動作	禁止
ユーザ	すべて
有効	有効

NATポリシー、及びアクセスルールの設定例は以上になります。