BIG-IP AFM設定例-NAT

はじめに

F5 AFMではアプリケーション環境における高度なFW機能を提供しております。

M&Aなどにより同じアドレス帯のシステムが相互接続するなどの必要性に応じてNATを利用してアドレスを隠すことによって接続を行うなど、様々なケースでNATをご利用いただいているかと存じます。

例ではアドレス変換のみであればLTMのVS機能にて実現可能な部分もありますが、NWFWとしてFW機能と合わせてログ出力するといった用途ではAFMでのNATをご利用いただくことも可能です。

 本ブログではAFMの設定をイメージいただけるよう、AFMの設定例や設定時のポイントをご紹介します。

今回は下図の構成でのNAT設定例をご紹介します。

設定例の構成

 

AFM NAT設定について

AFMのNAT設定フローを下記に表示します。AFMのNAT設定は以下のフローに沿って設定することで簡単にNATを実装することができます。

以下、フローに沿って設定のポイントを記載します。設定詳細はマニュアルをご参照いただければと存じます。

1.AFM Logging設定

出力するログ内容をLogging Profileで定義し、出力先をLogging Publisherで定義します。

 

 

 

2.変換後アドレスリストの設定

送信元アドレス、宛先アドレスそれぞれで返還後のアドレスリストを作成します。

 

 

 

3.NATポリシーの設定

作成したアドレスリストとLog Profileをポリシーによって紐づけします。

 

 

4.NATポリシーの適用

最後に作成したポリシーを適用します。適用先は筐体全体、ルートドメイン、Virtual Server単位で適用可能です。

尚、AFM　FW機能と組み合わせてご利用いただく際、処理順序について考慮が必要です。

ポイントとしては以下です。

・AFM NATルールは、AFMファイアウォールルールの後に適用されます。

・NATルールのコンテキスト優先順位は次の順序で適用します。（FWとは逆のため注意が必要です）

　1.仮想サーバー

　2.ルートドメイン

　3.グローバル

 

5.NAT変換の確認

以下のような形でNAT変換が確認できます。

 

以上です。

F5 BIG-IPでは上記のような機能を利用いただくことで、FWとLBを統合してご利用いただくことが可能です。システム間の相互接続や機能統合などにご利用いただきますのでF5 BIG-IPをぜひご活用ください。