アカウントのためのリモートポートフォワーディングの設定

リモートポートフォワーディング (RPF) により、インターネットからのインバウンド接続を Cato クラウドを通じて内部 LAN ホストに直接できます。 その接続は、さまざまな Cato セキュリティサービスの恩恵を受けます。

注意

注意: RPF は中国にある PoP ではサポートされていません。 これらの中国 PoP の場合、割り当てIP を選択することはできません。

Catoによるリモートポートフォワードの概要

許可リストアプローチまたはブロックリストアプローチを使用して、RPFリソースへのインバウンドアクセス制御を制限できます:

  • 許可リスト - 全ての送信元(IPアドレスと範囲)をブロックし、特に設定された送信元のみを許可します。
  • ブロックリスト - 全ての送信元(IPアドレスと範囲)を許可し、特に設定された送信元のみをブロックします。

インターネット向けのRPFリソースへのアクセスを制御する必要があり、許可された送信元が知られていない場合や定義されていない場合、ブロックリストアプローチが推奨されます。 このアプローチにより、Cato管理画面や API を通じて、ブロックされた送信元のリストを設定するオプションが提供されます。 ブロックリストは、顧客が管理するブロックリスト、プライベートセキュリティフィード、特定の地理情報、およびサードパーティシステムからの指標に基づく場合があります。

注意

注意: CatoのIPSサービスは、インバウンド RPF トラフィックを保護しますが、インバウンド トラフィックに対して TLS インスペクションを実行しません。 これは、侵入防御システム (IPS) が暗号化されたトラフィックのコンテンツを検査できないことを意味しますが、IPS は評判チェック(スキャナー、ポートスウィーパー、既知の C&C など)に基づいてトラフィックを検査します。

Catoファイアウォールにおけるアンチスプーフィング保護

NGFWの基本的な機能の1つは、アンチスプーフィング攻撃から保護することです。 Catoクラウドのセキュリティエンジンは、ソースIPが設定されたエンティティ(サイト、ネットワーク範囲、デバイス、ユーザーなど)の範囲外である場合は、接続を暗示的にドロップします。 これにより、アンチスプーフィング攻撃をブロックし、設定された論理トポロジーの違反を防ぎます。

複数の管理者によるポリシーの修正と同時編集

リモートポートフォワーディングポリシーにより、異なる管理者がポリシーを並行して編集できます。 各管理者はルールを編集し、変更を自分のプライベートリビジョンに保存し、それをアカウントポリシー(公開済みリビジョン)に公開することができます。 ポリシーリビジョンの管理方法について詳しくは、Working with Policy Revisionsを参照してください。

自律インサイトの理解

RPF_auto.png

リモートポートフォワードインサイトは、リモートポートフォワードポリシーを評価し、Catoの推奨にどのように準拠しているかを示すベストプラクティスのリストです。 これらの推奨に従うことで、ファイアウォール構成が最適化され、セキュリティ態勢が向上します。

インサイトには2種類があります:

  • AIによるスターアイコン: リモートポートフォワードポリシーの有効なルールを人工知能(AI)が自動分析し、削除や修正可能なルールを検出します。

    • 期限切れのルールまたは将来の有効期限付きルール: 特定のニーズに応じて作成されたルールであり、望ましい終了日が既に過ぎている、またはまだ到達していない、または証明/評価できないルール。
    • 一時ルール: 差し迫ったニーズに応じた短期的な解決策として導入されたルール。 これらのルールは、適切なまたは恒久的な解決策が展開または開発される間、一時的に機能するように作成されています。
    • テストルール: 特定の機能やシナリオを検証、デバッグ、または実験するために明示的に作成されたルール。
  • 設定ベース: リモートポートフォワードポリシーの構成と設定は、ベストプラクティスを遵守していることを確認します。

リモートポートフォワーディングを有効化する

リモートポートフォワーダについて:

  1. ナビゲーションメニューから、セキュリティ > リモートポートフォワード をクリックします。
  2. 無効スライダーをクリックします。 スライダーは緑色で、有効なRPFを示しています。
  3. 保存をクリックしてください。 RPFはアカウントに対して有効になっています。

リモートポートフォワードルールの定義

RPFルールの外部IPは、Catoに割り当てられたIPアドレスです。 詳細情報については、アカウント用IPアドレスの割り当てを参照してください。 内部アプリケーションには、ルールで内部IP andポートを使用します。

RPFルールを定義する際、許可されたリモートIP設定にはさまざまなオプションがあります:

  • これらの形式のいずれかで特定のIPアドレスまたはIP範囲を入力してください:

    • IPアドレスの範囲 - 192.0.2.10-192.0.2.20
    • サブネット(CIDR) - 192.0.2.0/24

    また、例として: 10.1.1.1, 10.2.1.1-10.2.1.105 のように、コンマで区切られた複数のIPアドレスと範囲を貼り付けることもできます

  • トラッキングと各種通知を有効にする。

ネットワークが複数の外部ポートから単一の内部ポートへのマッピングを必要とする場合、複数のRPFルールを作成することでこれを設定できます。

外部ポートと内部ポート範囲の順序に基づいた外部から内部へのポートの特定の一対一のマッピングです。 例として、外部ポート範囲5000-5005が内部ポート範囲6103-6108にマップされます。 つまり、外部ポート5000は内部ポート6103に、外部ポート5001は内部ポート6104にマッピングされます。

RemotePortForwarding.png

注意

注意: アカウントにIPsecサイトが含まれている場合、RPFルールの外部IPがIPsecサイトのIPアドレスと重複する時、IPsecトンネルポートUDP/500とUDP/4500をルールから除外してください。

リモートポートフォワードルールを定義するには:

  1. ナビゲーションメニューから、セキュリティ > リモートポートフォワード をクリックします。

    リモートポートフォワーディングページは、既存の非公開リビジョンまたは最新の公開リビジョンに開きます。

  2. 新規をクリックします。 ルール追加パネルが開きます。
  3. ルールの名前を入力します。
  4. (オプション) ICMPを転送する を選択して、このルールに対するICMPメッセージの転送を有効にします。
  5. 外部セクションで、Catoが割り当てた外部IPとポップが監視するポートの外部ポート範囲を定義します。
  6. 内部セクションで、トラフィックが転送される内部IPアドレスと内部ポート範囲を入力します。
  7. リモートIPセクションで、このルールが許可リストまたはブロックリスト かを選択します。
    1. ホストに接続を許可されるトラフィックのみを定義するには:
      1. 許可リストを選択します。
      2. トラフィック送信元IPまたはサブネットに基づいて選択します。 これらはホストにRPFを実行することが許可されるIPアドレスと範囲です。
      3. add.png (追加)をクリックして、許可されたリモートIPをさらに追加します。
    2. このホストへの全てのトラフィックを許可し、接続できないブロックされた送信元を定義するには:
      1. ブロックリストを選択します。
      2. トラフィック送信元IPまたはサブネットに基づいて選択します。 これらはホストにRPFを実行できないようにブロックされたIPアドレスと範囲です。
      3. add.png (追加)をクリックして、ブロックされたリモートIPをさらに追加します。
  8. (オプション) ルールに一致するトラフィックのメール通知を定義します。 詳細情報は、アカウントレベルのアラートとシステム通知を参照してください。
  9. 適用をクリックします。 ルールが追加されました。

  10. 保存をクリックしてください。

    変更は未公開の改訂版に保存され、公開または破棄されるまで編集可能です。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント