パブリック IP を使用して内部サーバーを公開するには、宛先 NAT (DNAT) が必要です。 - NAT タイプ: 受信パケットの宛先 IP アドレスをパブリック IP から内部サーバーのプライベート IP に変更するには、宛先 NAT (DNAT) が必要です。外部ポートが内部ポートと異なる場合はポート転送を含めることができますが、コア要件は DNAT です。 - NAT ルールの一致: NAT ルールは、パブリック IP ('203.0.113.10') およびパブリック ポート (443) 宛ての、外部インターフェイス/ゾーン上の受信トラフィックと一致します。 - セキュリティ ポリシーの一致: セキュリティ ポリシー ルールは、宛先 IP の NAT 変換が考慮された後、トラフィックを許可する必要があります。このルールは通常、「外部」ゾーンから発信され、内部サーバーを含むゾーン (「DMZ」または「内部」など) 宛てのトラフィックと一致し、セキュリティ ポリシーの宛先アドレスは、ファイアウォールに到着したパケットの元の宛先 IP (パブリック IP (「203.0.113.10」)) になります。ルールでは、アプリケーション (「SSI」または「web-browsing」など) とサービス (service-https) も指定する必要があります。オプション B は、宛先 NAT を必要な NAT タイプとして正しく識別し、NAT ルールが一致した後にトラフィックを許可するセキュリティ ポリシー ルールの正しいゾーン フローと宛先アドレスを指定します。オプション A は送信元 NAT について説明しています。オプション C は静的 NAT について説明しています。これは NAT の一種 (多くの場合、DNAT および SNAT と組み合わされる) ですが、セキュリティ ルールのゾーン フローと宛先アドレスは着信アクセスに対して正しくありません。オプション D は動的 SNAT と、セキュリティ ルールの誤った宛先アドレスについて説明しています。オプション E は DNAT とポート フォワーディングについて言及している点で近いですが、セキュリティ ポリシー ルールの宛先アドレスは、ポリシーが評価される前にトラフィックの宛先となるパブリック IP と一致する必要があります。これは、NAT ルールが最初に評価され、宛先が変更されてからセキュリティ ルールが適用され、変換されたフローが許可されるかどうかが決定されるためです。ただし、ポリシー評価が変換ルックアップの後、パケットが実際に変更される前に行われる場合、セキュリティ ポリシーは変換された宛先と一致できると主張する人もいるかもしれません。ただし、標準的なロジックは、一致した NAT ルールの変更が決定された後のパケットに基づいてポリシーが評価されるというものです。オプション B のセキュリティ ポリシーの宛先アドレスがパブリック IP と一致する方法は、着信 DNAT ポリシーに対してより標準的で推奨されるアプローチです。

きめ細かな ID およびアプリケーション対応のセキュリティ ポリシー ルールは、複数の基準を活用して、誰が何に、どこに、どのようにアクセスできるかを正確に定義します。 - オプション A および B (正解): 送信元ゾーンと宛先ゾーンは、トラフィック フローに関係するネットワーク セグメントを定義します。 - オプション C (正解): User-ID は、IP アドレスだけでなく、ユーザー ID に基づいたポリシーを許可します。 - オプション D (正解): 宛先アドレス (通常は再利用可能なアドレス オブジェクトとして定義されます) は、ターゲット サーバーを指定します。 - オプション E (正解): App-ID は、使用されている特定のアプリケーションを識別し、ポート以外の制御も可能にします。 - オプション F (オプションですが推奨される application-default): サービス (ポート/プロトコル) を指定できますが、アプリケーション対応ポリシーでは、識別されたアプリの標準ポートをファイアウォールが決定できるように、App-ID を 'application-default' サービスと共に使用することが推奨される方法です。オプション A、B、C、D、および E は、きめ細かな ID 認識型およびアプリケーション認識型のポリシーの中核要素を表します。

App-IDを用いた最小権限への移行では、明示的に承認されたアプリケーションのみを許可します。オプションAはすべてをブロックします。オプションCは除外を使用しますが、これは明示的な包含よりも精度が低くなります。オプションDはサービスポートに関連しますが、どのアプリケーションを許可するかは定義しません。オプションEは検査を追加しますが、アクセス制御自体は洗練されていません。オプションBは、必要なApp-IDのみを指定することにより、「あらゆる」アプリケーションの問題に直接対処し、VPNゾーンとサーバーゾーン間で承認されたアプリケーションのみを許可するようにします。

クライアント証明書認証を実装するには、ゲートウェイとクライアントの両方で、信頼できる CAS と証明書の配布を含む構成が必要です。 - オプション A (正解): ゲートウェイは、クライアント証明書を発行した CA を信頼する必要があります。クライアント CA (クライアント証明書に署名したルート CA または中間 CA) をインポートし、この CA を参照する証明書認証を使用するように認証プロファイルを構成すると、ゲートウェイでクライアント証明書を検証できるようになります。 - オプション B (正解): 証明書を使用して認証する各エンドポイントには、一意のクライアント証明書がインストールされ、使用可能になっている必要があります。 - オプション C (正解): エンドポイント上の GlobalProtect エージェント構成は、構成されたゲートウェイに接続するときに、認証プロセス中にクライアント証明書を提示するようにセットアップする必要があります。 - オプション D (正解): このオプションは前の質問の概念の繰り返しですが、ここでも関連しています。クライアントが独自の証明書も提示しているかどうかに関係なく、トンネルを安全に確立するためには、クライアントがゲートウェイのサーバー証明書を信頼する必要があります。 - オプション E (誤り): SSL 受信検査は、ゲートウェイへの GlobalProtect クライアントの認証ではなく、内部サーバー宛ての受信トラフィックの暗号化解除を目的としています。