セキュリティポリシーが先か NAT が先か問題
Palo Alto ファイアウォールでは、セキュリティポリシーと NAT ルールは互いに独立して設定します。
ここで気になるのが、セキュリティポリシーの評価と NAT はどちらが先に実施されるのかということです。
その順序によってセキュリティポリシーで設定すべきアドレスも変わってきます。
答え:複雑なので以下参照
Palo Alto ファイアウォールがパケット受信時の各処理の順序は以下の通りです。
NAT に関わる処理プロセス
- パケットを着信したインターフェースから送信元ゾーンが確定する
- 入力パケットの宛先 IP アドレスに基いてルーティングされ、出力インターフェース及び宛先ゾーンが決定される
- この時点の [送信元/宛先] IP アドレス、及び [送信元/宛先] ゾーンに基いて NAT ルールの適用有無を検査・確定する
- NAT 後の宛先 IP アドレスに基いて再度ルーティングされ、宛先ゾーンが再決定される(宛先 NAT が適用される場合)
- NAT 前の [送信元/宛先] IP アドレス、及びこの時点での [送信元/宛先] ゾーンに基づいて、一致するセキュリティポリシーを検査・適用する
- 一致する NAT ルールに基づいて、出力時に送信元・宛先アドレス、ポート番号を変換する
以上の処理順序から、セキュリティポリシーを設定する際には以下のように設定する必要があります。
- 宛先ゾーン: 宛先 NAT 後にルーティングされた結果決まる宛先ゾーンを設定
- それ以外(送信元/宛先 IP、送信元ゾーン): NAT 前の IP アドレス、送信元ゾーンを設定
参考資料
【PDF】PAN-OS® 管理者ガイド Version 10.0 (EoL)
コメント