...

SonicOS Standard 3.8 管理者ガイド

by user

on
Category: Documents
67

views

Report

Comments

Transcript

SonicOS Standard 3.8 管理者ガイド
&2035(+(16,9( ,17(51(7 6(&85,7<
Œ
D
6RQLF:$// ࠗࡦ࠲࡯ࡀ࠶࠻ ࠮ࠠࡘ࡝࠹ࠖⵝ⟎
㪪㫆㫅㫀㪺㪦㪪㩷㪊㪅㪏㩷㪪㫋㪸㫅㪻㪸㫉㪻
㪪㫆㫅㫀㪺㪮㪘㪣㪣㩷㪫㪱㩷㪈㪏㪇
▤ℂ⠪䉧䉟䊄
Chapter :
目次
目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
序章 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
著作権情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
登録商標. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
限定保証. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
こ のガ イ ド について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
こ のガ イ ド の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv
表記上の規約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
こ のマニ ュ アルで使われている ア イ コ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
テ ク ニ カル サポー ト の利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
S o n i c W A L L 製品に関する その他の情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
第 1 部 : は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
第 1 章は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
S o n i c W A L L 管理イ ン タ ー フ ェ ース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理イ ン タ ー フ ェ ースのナ ビゲー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
状況バー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テーブルのナ ビゲー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理イ ン タ ー フ ェ ースの共通ア イ コ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ヘルプの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロ グアウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
23
24
24
25
25
26
26
第 2 章 S o n i c W A L L セキ ュ リ テ ィ 装置の基本セ ッ ト ア ッ プ . . . . . . . 27
S o n i c W A L L セキ ュ リ テ ィ 装置の設定手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
必須の I S P 情報の収集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
イ ン タ ーネ ッ ト サービ ス プ ロバイ ダ ( I S P ) の情報 . . . . . . . . . . . . . . . . . . . . . . . . . .
その他の情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L セキ ュ リ テ ィ 装置の管理イ ン タ ー フ ェ ースへのア ク セス . . . . . . . . .
S o n i c W A L L セ ッ ト ア ッ プ ウ ィ ザー ド の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
静的 I P ア ド レ スのイ ン タ ーネ ッ ト 接続の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D H C P イ ン タ ーネ ッ ト 接続の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
P P P o E イ ン タ ーネ ッ ト 接続の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
P P T P イ ン タ ーネ ッ ト 接続の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L セキ ュ リ テ ィ 装置の登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ご登録の前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
m y s o n i c w a l l . c o m ア カ ウ ン ト の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L セキ ュ リ テ ィ 装置の登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
27
27
28
28
29
30
31
32
33
35
35
36
37
第 2 部 : シス テム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
第 3 章 S o n i c W A L L セキ ュ リ テ ィ ダ ッ シ ュ ボー ド の表示 . . . . . . . . 41
シ ス テム > セキ ュ リ テ ィ ダ ッ シ ュ ボー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L セキ ュ リ テ ィ ダ ッ シ ュ ボー ド の概要 . . . . . . . . . . . . . . . . . .
S o n i c W A L L セキ ュ リ テ ィ ダ ッ シ ュ ボー ド の使用 . . . . . . . . . . . . . . . . . .
関連機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SonicWALL SonicOS Standard 3 . 8管理者ガイド
......
......
......
......
41
41
44
52
iii
目次
第 4 章シ ス テム状況情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
シ ス テム > 状況 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ウ ィ ザー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
シ ス テム メ ッ セージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
シ ス テム情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキ ュ リ テ ィ サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
最新の警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク イ ン タ ー フ ェ ース . . . . . . . . . . . . . . . . . . . . . . . .
.......................
.......................
.......................
.......................
.......................
.......................
.......................
53
54
54
54
55
55
55
第 5 章シ ス テム > ラ イ セ ン ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
シ ス テム > ラ イ セ ン ス . . . . . . . . . . . . . . . . .
ノ ー ド ラ イ セ ン ス状況 . . . . . . . . . . . . . . . .
現在のラ イ セ ン ス済み ノ ー ド . . . . . . . . . . .
ノ ー ド ラ イ セ ン ス除外 リ ス ト . . . . . . . . . .
セキ ュ リ テ ィ サービ ス > 概要 . . . . . . . . .
セキ ュ リ テ ィ サービ スのオ ン ラ イ ン管理
手動で ア ッ プグ レ ー ド . . . . . . . . . . . . . . . . .
閉 じ た環境での手動ア ッ プグ レ ー ド . . . . .
.......................................
.......................................
.......................................
.......................................
.......................................
.......................................
.......................................
.......................................
57
57
58
58
59
60
60
60
第 6 章シ ス テム > 管理の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
シ ス テム > 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フ ァ イ アウ ォ ール名. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
名前/パスワー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロ グ イ ン セキ ュ リ テ ィ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ウ ェ ブ管理設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
高度な管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
63
64
64
64
65
第 7 章シ ス テム時間の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
シ ス テム > 時間 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
時間の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
N P T の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
第 8 章シ ス テム設定の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
シ ス テム > 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フ ァ ームウ ェ アの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セー フ モー ド - S o n i c W A L L セキ ュ リ テ ィ 装置の再起動 . . . . . . . . . . . . . . . . . .
71
71
72
73
第 9 章診断テ ス ト の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
シ ス テム > 診断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テ ク ニ カル サポー ト レ ポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
診断ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ア ク テ ィ ブ接続監視. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C P U 監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D N S 名前ル ッ ク ア ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク パスの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
パケ ッ ト ト レース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
P i n g ...................................................................
プ ロ セス監視. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
名前の逆引き. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
T r a c eRo u t e........................................................
シ ス テム > 再起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
77
77
78
79
80
80
81
81
83
83
83
84
84
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 3 部 : ネ ッ ト ワー ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
第 10 章ネ ッ ト ワー ク 設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
ネ ッ ト ワー ク > 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
セ ッ ト ア ッ プ ウ ィ ザー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
イ ン タ ー フ ェ ース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
D N S の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
W A N イ ン タ ー フ ェ ースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
ト ラ ン スペア レ ン ト モー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
N A T 有効の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
D H C P ク ラ イ ア ン ト での N A T の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
P P P o E ク ラ イ ア ン ト での N A T の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
L 2 T P ク ラ イ ア ン ト での N A T の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
P P T P ク ラ イ ア ン ト での N A T の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
W A N プ ロパテ ィ のイ ーサネ ッ ト 設定の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
L A N イ ン タ ー フ ェ ースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
基本的な L A N 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
複数の L A N サブネ ッ ト の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
イ ーサネ ッ ト 設定の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
ルー ト の通知 - D M Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
O P T イ ン タ ー フ ェ ースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
ト ラ ン スペア レ ン ト モー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
N A T モー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
D M Z イ ン タ ー フ ェ ースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
ト ラ ン スペア レ ン ト モー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
N A T モー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
モデム イ ン タ ー フ ェ ースの設定 ( T Z 1 7 0 S P ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
フ ェ イルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
詳細設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
モデムの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
W L A N プ ロパテ ィ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
第 11 章 1 対 1 N A T の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
ネ ッ ト ワー ク > 1 対 1 N A T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
1 対 1 N A T の設定例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
第 12 章ウ ェ ブ プ ロキシ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
ネ ッ ト ワー ク > ウ ェ ブ プ ロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自動ウ ェ ブ プ ロキシ転送の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
プ ロキシ障害時にプ ロキシ サーバをバイパスする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
W L A N ク ラ イ ア ン ト リ ク エ ス ト を プ ロキシ サーバに転送する . . . . . . . . . . . . . . . . .
109
109
110
110
第 13 章イ ン ト ラ ネ ッ ト 設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
ネ ッ ト ワー ク > イ ン ト ラ ネ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
設置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
イ ン ト ラ ネ ッ ト の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
第 14 章静的ルー ト の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
ネ ッ ト ワー ク > ルーテ ィ ン グ. .
静的ルー ト . . . . . . . . . . . . . . . . .
ルー ト の通知 . . . . . . . . . . . . . . .
ルー ト テーブル . . . . . . . . . . . .
ルー ト 通知 . . . . . . . . . . . . . . . . .
..
..
..
..
..
.............................................
.............................................
.............................................
.............................................
.............................................
SonicWALL SonicOS Standard 3 . 8管理者ガイド
113
114
115
116
116
v
目次
ルーテ ィ ン グ テーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
第 15 章 A d d r e s s R e s o l u t i o n P r o t o c o l 設定の構成 119
ネ ッ ト ワー ク > A R P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
静的 A R P エ ン ト リ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
静的 A R P での副格のサブネ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
動的 A R P 登録の禁止. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A R P キ ャ ッ シ ュ テーブルのナ ビゲー ト お よび並べ替え . . . . . . . . . . . . . . . . . . . . . . . .
A R P キ ャ ッ シ ュの フ ラ ッ シ ュ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
119
120
122
123
123
第 16 章 D H C P サーバの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
ネ ッ ト ワー ク > D H C P サーバ .
D H C P サーバの設定 . . . . . . . .
D H C P サーバ リ ース範囲. . . .
動的 D H C P 範囲の設定. . . . . .
静的 D H C P 範囲の設定. . . . . .
現在の D H C P リ ース . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
.....
.....
.....
.....
.....
.....
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
.
.
.
125
125
125
126
127
128
第 17 章動的 D N S の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
ネ ッ ト ワー ク > 動的 D N S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サポー ト し ている動的 D N S プ ロバイ ダ . . . . . . . . . . . . . . . . . . . . . . .
動的 D N S の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
動的 D N S 設定テーブル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
...............
...............
...............
...............
129
129
130
132
第 4 部 : フ ァ イ アウ ォ ール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
第 18 章ネ ッ ト ワー ク ア ク セス ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . 137
ネ ッ ト ワー ク ア ク セス ルールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ア ク セス ルールに基づ く 帯域幅管理の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フ ァ イ アウ ォ ール > ア ク セス ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
既定のネ ッ ト ワー ク ア ク セス ルールの復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク ア ク セス ルール ウ ィ ザー ド を使用 し たルールの追加 . . . . . . . . . . . . . . .
公開サーバ ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
一般的なネ ッ ト ワー ク ア ク セス ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
「ルールの追加」 ウ ィ ン ド ウ を使用 し たルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルールの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
137
137
138
139
139
139
140
142
144
第 19 章詳細設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
ア ク セス ルール > 詳細設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ウ ィ ン ド ウズ ネ ッ ト ワー ク ( N e t B I O S ) ブ ロー ド キ ャ ス ト の転送 . . . . . . . . . .
外部か らの存在検出行為に向けた予防対策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ソ ース ルーテ ィ ン グ パケ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
T C P 接続無動作時 タ イ ムアウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
T C P チ ェ ッ ク サム妥当性検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ア ク セス ルール サービ ス オプ シ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
147
147
148
148
148
148
第 20 章ユーザ定義サービ スの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
フ ァ イ アウ ォ ール > サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
ユーザ定義サービ ス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
定義済みサービ ス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
第 21 章 V o I P の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
フ ァ イ アウ ォ ール > V o I P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
V o I P の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
vi
SonicWALL SonicOS Standard 3 . 8管理者ガイド
V o I P 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
V o I P 配備のシナ リ オ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
第 22 章ア ク テ ィ ブ フ ァ イ アウ ォ ール接続の監視 . . . . . . . . . . . . . . . . . . . . . 165
フ ァ イ アウ ォ ール > 接続監視. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
ア ク テ ィ ブ接続監視の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
グループの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
第 5 部 : V P N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
第 23 章 V P N 設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
S o n i c W A L L V P N オプ シ ョ ンの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V P N > 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V P N グ ローバル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V P N ポ リ シー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
現在ア ク テ ィ ブ な V P N ト ン ネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L の G r o u p V P N ポ リ シーの設定. . . . . . . . . . . . . . . . . . . . . . . . .
I K E の事前共有鍵の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
I K E (サー ド パーテ ィ 証明書) での G r o u p V P N の設定 . . . . . . . . . . . . . . . . .
G r o u p V P N ク ラ イ ア ン ト ポ リ シーのエ ク スポー ト . . . . . . . . . . . . . . . . . . . . . . .
サイ ト 間 V P N の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サイ ト 間 V P N の配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サイ ト 間 V P N ポ リ シーの V P N プ ラ ン ニ ン グ シー ト . . . . . . . . . . . . . . . . . . . . . . . .
V P N ウ ィ ザー ド を使用 し たサイ ト 間 V P N ポ リ シーの設定 . . . . . . . . . . . . . . . . . . .
一般的な I K E 事前共有鍵の V P N ポ リ シーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . .
事前共有鍵を使用 し た I K E でのカ ス タ ム V P N ポ リ シーの作成 . . . . . . . . . . . . . .
V P N ウ ィ ザー ド を使用 し て手動鍵 V P N ポ リ シーを作成する . . . . . . . . . . . . . . . . .
V P N ウ ィ ザー ド を使用 し た I K E サー ド パーテ ィ 証明書の設定 . . . . . . . . . . . . . . .
V P N ポ リ シー ウ ィ ン ド ウ を使用 し たサイ ト 間 V P N ポ リ シーの作成 . . . . . . . . . .
169
169
169
169
170
170
171
174
179
179
179
180
181
181
183
184
185
186
第 24 章 V P N の詳細設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
V P N > 詳細設定 . . . . .
V P N の詳細設定 . . . .
V P N ユーザ認証設定
V P N 帯域幅管理 . . . .
..
..
..
..
.
.
.
.
..
..
..
..
.
.
.
.
..
..
..
..
..
..
..
..
.
.
.
.
..
..
..
..
.
.
.
.
..
..
..
..
..
..
..
..
.
.
.
.
..
..
..
..
.....
.....
.....
.....
.
.
.
.
..
..
..
..
.
.
.
.
..
..
..
..
..
..
..
..
.
.
.
.
..
..
..
..
.
.
.
.
..
..
..
..
.............
.............
.............
.............
195
195
196
196
第 25 章 V P N を越えた D H C P の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
V P N > V P N を越えた D H C P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D H C P リ レ ー モー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V P N を越えた D H C P 用のセ ン ト ラル ゲー ト ウ ェ イの設定 . . . . . . . . . . . . . . . . . .
V P N を越えた D H C P の リ モー ト ゲー ト ウ ェ イの設定 . . . . . . . . . . . . . . . . . . . . . .
機器の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
現在の V P N を越えた D H C P リ ース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
199
200
200
202
202
第 26 章 L 2 T P サーバの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
V P N > L 2 T P サーバ . . . . . . . . .
L 2 T P サーバの設定 . . . . . . . . . .
I P ア ド レ スの設定 . . . . . . . . . . . . .
S o n i c W A L L への L 2 T P
現在動作中の L 2 T P セ ッ シ ョ ン
..........................................
..........................................
..........................................
ク ラ イ ア ン ト の追加 . . . . . . . . . . . . . . . . . . . . . . . .
..........................................
205
206
206
206
206
第 27 章証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
デジ タ ル証明書の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
S o n i c W A L L のサー ド パーテ ィ デジ タ ル証明書のサポー ト . . . . . . . . . . . . . . . 209
SonicWALL SonicOS Standard 3 . 8管理者ガイド
vii
目次
V P N > ロー カル証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
秘密鍵を含む証明書のイ ンポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書の詳細情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書署名 リ ク エ ス ト の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V P N > C A 証明書. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L への C A 証明書のイ ンポー ト . . . . . . . . . . . . . . . . . . . . .
証明書の詳細情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書失効 リ ス ト ( C R L ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.........
.........
.........
.........
.........
.........
.........
.........
210
210
210
211
213
213
213
214
第 6 部 : ユーザ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
第 28 章ユーザ状況の表示 と ユーザ認証の設定 . . . . . . . . . . . . . . . . . . . . . . . 217
ユーザ レ ベル認証の概要 . .
ユーザ > 状況 . . . . . . . . . . .
現在のユーザ. . . . . . . . . . .
ユーザ > 設定 . . . . . . . . . . .
認証方法 . . . . . . . . . . . . . .
グ ローバル ユーザ設定 . .
除外 リ ス ト . . . . . . . . . . . .
規約の承諾 . . . . . . . . . . . .
R A D I U S 認証の設定
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
...............
...............
...............
...............
...............
...............
...............
...............
...............
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
..
..
..
..
..
..
..
..
..
.
.
.
.
.
.
.
.
.
......
......
......
......
......
......
......
......
......
217
217
217
218
218
218
219
220
220
第 29 章ロー カル ユーザの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
ユーザ > ロー カル ユーザ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
ロー カル ユーザの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
第 7 部 : セキ ュ リ テ ィ サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
第 30 章 S o n i c W A L L セキ ュ リ テ ィ サービ スの管理 . . . . . . . . . . . . 227
S o n i c W A L L セキ ュ リ テ ィ サービ ス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
m y s o n i c w a l l .c om . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
無料 ト ラ イ アルの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキ ュ リ テ ィ サービ ス > 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキ ュ リ テ ィ サービ ス > 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ラ イ セ ン スの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L セキ ュ リ テ ィ 装置が登録 さ れていない場合. . . . . . . . . . . . . . . . . . .
セキ ュ リ テ ィ サービ スの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキ ュ リ テ ィ サービ ス情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
228
228
229
229
229
230
230
231
第 31 章 S o n i c W A L L コ ン テ ン ツ フ ィ ル タ サービ スの設定 . . . . . 233
S o n i c W A L L コ ン テ ン ツ フ ィ ル タ サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキ ュ リ テ ィ サービ ス > コ ン テ ン ツ フ ィ ル タ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
コ ン テ ン ツ フ ィ ル タ の状況 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L コ ン テ ン ツ フ ィ ル タ サービ スの有効化 . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L コ ン テ ン ツ フ ィ ル タ サービ スの無料 ト ラ イ アルの有効化 . . . . .
コ ン テ ン ツ フ ィ ル タ の種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ウ ェ ブの機能性を制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
信頼 さ れた ド メ イ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C F S 除外 リ ス ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
遮断の発生を知 ら せる メ ッ セージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L フ ィ ル タ プ ロパテ ィ の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
U R L リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CFS ....................................................................
個別検閲指定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
viii
233
233
234
234
235
235
236
236
237
237
238
238
239
240
SonicWALL SonicOS Standard 3 . 8管理者ガイド
設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
時限閲覧規約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
検閲を強制にする I P ア ド レ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
第 32 章 S o n i c W A L L ア ン チ ウ ィ ルス サービ スおよび電子 メ ール フ ィ ル タ サービ ス
の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
S o n i c W A L L ク ラ イ ア ン ト /サーバ ア ン チ ウ ィ ルス . . . . . . . . . . . . . . . . . . . . . . 245
セキ ュ リ テ ィ サービ ス > ク ラ イ ア ン ト A V 執行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
S o n i c W A L L ク ラ イ ア ン ト /サーバ ア ン チ ウ ィ ルスの有効化 . . . . . . . . . . . . . 246
S o n i c W A L L ク ラ イ ア ン ト /サーバ ア ン チ ウ ィ ルスの有効化無料 ト ラ イ アル 247
セキ ュ リ テ ィ サービ ス > 電子 メ ール フ ィ ル タ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
S o n i c W A L L ネ ッ ト ワー ク の設定ア ン チウ ィ ルス. . . . . . . . . . . . . . . . . . . . . . . . . . 248
第 33 章 S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルス サービ スの管理 249
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルスの概要 . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルス/侵入防御の機能 . . . . . . . . . . . . .
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルスの有効化 . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルスの有効化 . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルスの有効化無料 ト ラ イ アル . . . . . . .
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルスの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
イ ン タ ー フ ェ ース上での S o n i c W A L L G A V 保護の適用 . . . . . . . . . . . . . . . . .
S o n i c W A L L G A V のス テー タ ス情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L G A V 手口の更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
プ ロ ト コ ル フ ィ ル タ の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
受信検査の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S M T P 発信検査の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フ ァ イル転送の制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ゲー ト ウ ェ イ A V 設定値の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ク ラ イ ア ン ト への警告の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
H T T P ク ラ イ ア ン ト 不要の通知の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L G A V 除外 リ ス ト の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c W A L L G A V 手口の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
手口の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ゲー ト ウ ェ イ ア ン チウ ィ ルス手口テーブルでのナ ビゲー ト . . . . . . . . . . . . . . . . . . . . . .
ゲー ト ウ ェ イ ア ン チウ ィ ルス手口デー タ ベース での検索 . . . . . . . . . . . . . . . . . . . . . . . .
249
249
250
251
251
252
252
252
253
253
254
254
254
255
255
255
256
257
257
257
258
第 34 章 S o n i c W A L L 侵入 防御 サービ スの管理. . . . . . . . . . . . . . . . 259
S o n i c W A L L 侵入防御サービ ス . . . . . . . . . . . . . .
S o n i c W A L L I P S の機能 . . . . . . . . . . . . . . . .
S o n i c W A L L 精密パケ ッ ト 検査. . . . . . . . . . . . .
S o n i c W A L L の精密パケ ッ ト 検査手法の概要 .
セキ ュ リ テ ィ サービ ス > 侵入防御 . . . . . . . . . . . . . . . . .
S o n i c W A L L I P S の有効化 . . . . . . . . . . . . . .
S o n i c W A L L I P S 無料 ト ラ イ アルの有効化
.
.
.
.
.
.
.
..
..
..
..
..
..
..
.
.
.
.
.
.
.
..
..
..
..
..
..
..
.............
.............
.............
.............
.............
.............
.............
........
........
........
........
........
........
........
259
259
260
260
261
262
262
第 35 章 S o n i c W A L L の有効化
ア ン チスパイ ウ ェ ア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
S o n i c W A L L ア ン チ スパイ ウ ェ アの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
スパイ ウ ェ アの脅威 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
S o n i c W A L L ア ン チ スパイ ウ ェ ア サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
S o n i c W A L L 統合脅威管理 ソ リ ュ ーシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルス、 ア ン チスパイ ウ ェ ア、 お よび侵入防御サービ ス 265
S o n i c W A L L 精密パケ ッ ト 検査の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
送信 と 受信の保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ix
目次
S o n i c W A L L ア ン チスパイ ウ ェ ア ラ イ セ ン スの有効化 . . . . . . . . . . . . . . . . . . . . 268
m y s o n i c w a l l . c o m ア カ ウ ン ト の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
S o n i c W A L L セキ ュ リ テ ィ 装置の登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
S o n i c W A L L ゲー ト ウ ェ イ ア ン チウ ィ ルス、 ア ン チスパイ ウ ェ ア、 および侵入防御サービ スの ラ イ
セ ン スの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
無料 ト ラ イ アルの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
S o n i c W A L L ア ン チスパイ ウ ェ アの保護のセ ッ ト ア ッ プ . . . . . . . . . . . . . . . . . . . . 273
S o n i c W A L L ア ン チスパイ ウ ェ アの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
スパイ ウ ェ アの危険度別の保護の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
第 8 部 : ロ グ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
第 36 章ログ イ ベン ト の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
S o n i c O S ロ グ イ ベ ン ト メ ッ セージ概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロ グ > 表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロ グ テーブルのエ ン ト リ のナ ビゲー ト お よび並べ替え . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c O S ログ エン ト リ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
279
280
280
281
第 37 章ログの種別の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
ロ グ > 種別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
ロ グの種別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
警告お よび S N M P ト ラ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
第 38 章ログ自動化の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
ロ グ > 自動化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
電子 メ ール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
S y s l o g サーバ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
第 39 章名前解決の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
ロ グ > 名前解決の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
名前解決の設定の選択. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
D N S サーバの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
第 40 章ログ レポー ト の生成および表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
ロ グ > レ ポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デー タ 収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デー タ 表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ > V i e w P o i n t . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S o n i c WA L L V i e w P o i n t . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
289
289
289
290
290
付録 A セーフモードを使用した SonicWall セキュリティ装置のリセット 293
S o n i c W A L L セー フ モー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
S o n i c O S フ ァ ームウ ェ アのア ッ プグ レ ー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
x
SonicWALL SonicOS Standard 3 . 8管理者ガイド
序章
著作権情報
(c) 2007 SonicWALL, Inc.
All rights reserved.
著作権の法律に基づき、 このマニュアルおよびこのマニュアルに記載されているソフトウェアの一部または
全部を製造元の書面による同意なしに複製することは、 通常のソフトウェア バックアップ コピー使用の場
合を除き、 禁じられています。 バックアップ コピーには、 元の製品に記載されたのと同じ商標登録表示お
よび著作権表示を記載する必要があります。 第三者のために作成したコピーは、 営利目的であるかどう
かにかかわらず、 バックアップ コピーとは認められません。 ただし、 購入された製品については、 (すべ
てのバックアップ コピーを含め) 第三者に販売、 譲渡、 あるいは貸し出すことができます。 著作権法で
は、 他の言語への翻訳または書式の変更もコピーと見なされます。
仕様および記載内容は、 予告なく変更されることがあります。
登録商標
SonicWALL は SonicWALL, Inc. の登録商標です。
マイクロソフト ウィンドウズ 98、 ウィンドウズ NT、 ウィンドウズ 2000、 ウィンドウズ XP、 ウィンドウズ
2003、 ウィンドウズ Vista、 インターネット エクスプローラ、 アクティブ ディレクトリは、 Microsoft
Corporation の商標または登録商標です。
Netscape は米国およびその他の国における Netscape Communications Corporation の登録商標で
す。 Netscape Navigator および Netscape Communicator も、 Netscape Communications
Corporation の商標であり、 米国外でも登録されている可能性があります。
Adobe、 Acrobat、 および Acrobat Reader は、 米国およびその他の国における Adobe Systems
Incorporated の登録商標または商標です。
本ガイドに記載されたその他の製品名および会社名は、 それぞれの会社の商標あるいは登録商標である
可能性があり、 それぞれの製造者が所有する財産です。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
XI
限定保証
SonicWALL, Inc. は、 お客様への納品日 (ただし、 SonicWALL から最初に出荷されて 90 日を超え
ない範囲とする) から 12ヶ月の期間にわたって、 通常の使用下で製品に欠陥が生じないことを保証しま
す。 この限定保証は、 製品の原エンド ユーザにのみ適用され、 その権利を他に譲渡することはできませ
ん。 この限定保証のもとで SonicWALL およびその製造業者の法的責任とお客様への唯一限定的な賠
償は、 代替製品の出荷によって全うされるものとします。 SonicWALL の判断により、 代替製品は機能
的に等価かそれより大きくなることがあります。 また、 品質的に新しいもの、 あるいはやや新しいものにな
ることもあります。 この保証のもとでの SonicWALL の責任は、 SonicWALL の当時最新のサポート
サービス ポリシーの条項に従って欠陥製品を返却したとき生じます。
製品に異常な電気的ストレスを加えた場合、 事故や誤用により製品を破損した場合、 SonicWALL に正
式の許可を受けずに製品に変更を加えた場合、 この保証は適用されません。
保証に関する免責条項。 この保証で指定されている行為、 明示的または暗黙的に示したすべての条件、
表現、 保証 (暗黙的保証や販売条件を無制限に含む) を例外として、 特定の目的、 法遵守、 十分な品
質、 または取引、 法律、 利用、 商習慣による要件を満たすための行為は、 この条項によって該当する
法律で最大限許容される程度に除外されます。 暗黙の保証を超えない範囲で、 保証は当該保証期間の
範囲に限定されます。 関係国の法律や管轄裁判所が暗黙の保証への制限を認めていない場合、 上記の
制限が適用されないこともあります。 この保証は特定の法的権利を与えるものであって、 管轄裁判所に
よってはそれ以外の権利が与えられることもあります。 この権利放棄 ・ 免責条項は上記に明示された保証
がその本来の目的を果たせない場合にも適用されるものとします。
責任に関する免責条項。 SonicWALL では、 上記の有限保証に記載されているとおり、 交換用製品の
発送についてのみ責任を負います。 SonicWALL およびその製造業者は、 本製品を使用したため、 ま
たは使用できなかったために生じた損失、 業務の中断、 情報の消失、 あるいはそれによって直接または
間接に生じた偶発的、 懲罰的損害について、 SonicWALL またはその製造業者が損害の可能性を忠告
したかどうかに関係なく、 本製品の使用または不使用によって生じる一切の法的責任を免れるものとしま
す。 SonicWALL およびその製造業者は、 いかなる場合にもお客様に対して、 契約上の不法行為や、
お客様が支払った価格を超える責任を負わないものとします。 以上の制限は、 上記の保証書がその本来
の目的を果たせない場合にも適用されるものとします。 関係国の法律や管轄裁判所が間接または偶発の
損害に対する制限 ・ 免責を認めていない場合、 上記の制限が適用されないこともあります。
XII
SonicWALL SonicOS Standard 3 . 8管理者ガイド
このガイドについて
このガイドについて
SonicWALL SonicOS Standard3.8 管理者ガイドをご利用いただき、 ありがとうございます。 次の
SonicWALL セキュリティ装置の SonicOS Standard3.8 を正常に起動、 設定、 管理するために必要
な情報を提供します。
• SonicWALL TZ 180
9
補足 本マニュアルの最新版、 およびその他の SonicWALL 製品のマニュアルについては、 〈http://
www.sonicwall.com/us/Support.html〉 を参照してください。
ヒント SonicWALL セキュリティ装置の 『導入ガイド』 では、 セキュリティ保護されたインターネット接
続用 SonicWALL セキュリティ装置でネットワークに接続するための SonicWALL セキュリティ装置のイ
ンストールおよび設定手順を説明します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
XIII
このガイドの構成
SonicOS Standard3.8 管理者ガイドは、 SonicWALL のウェブベース管理インターフェースのトップレベ
ルのメニュー項目に対応して、 以下の部で構成されています。 各部の個々の章は、 管理インターフェース
のサブメニュー項目として表示される特定の設定ページに対応しています。
第 1 部 はじめに
ここでは、 管理インターフェース表記規則の概要、 セットアップ ウィザードを使用して SonicWALL セキュ
リティ装置でインターネットへセキュリティ保護されたネットワーク接続をする方法、 SonicWALL セキュリ
ティ装置の登録について説明します。
第 2 部 システム
ここでは、 システム状況情報の管理、 SonicWALL セキュリティ装置の登録、 SonicWALL セキュリティ
サービスライセンスのアクティブ化と管理、 SonicWALL セキュリティ装置のローカル管理オプションとリ
モート管理オプションの設定、 ファームウェア バージョンとプリファレンスの管理、 およびトラブルシューティ
ング用の付属診断ツールの使用についてのさまざまな SonicWALL セキュリティ装置の設定について説明
します。
第 3 部 ネットワーク
ここでは、 ネットワーク環境に合わせた SonicWALL セキュリティ装置の設定手順について説明します。
手動によるネットワーク インターフェース設定、 DHCP サーバのセットアップ、 ネットワーク プロキシ サー
バへのウェブプロキシ要求の設定、 静的ルートおよび ARP 設定の設定、 動的 DNS の設定について説
明します。
第 4 部 ファイアウォール
ここでは、 トラフィックを否定または許可するファイアウォール アクセス ポリシーの設定および管理方法、
Voice over IP (VoIP) トラフィックを通過させる設定方法、 アクティブ ファイアウォール接続の監視方法
について説明します。
第 5 部 VPN
ここでは、 SonicWALL セキュリティ装置上で、 SonicWALL グローバル VPN クライアントをサポートす
る VPN ポリシーの作成方法、 SonicWALL セキュリティ装置が稼働しているオフィスを接続するサイト間
VPN ポリシーの作成方法、 およびサードパーティ VPN 機器との相互運用性について説明します。
第 6 部 ユーザ
ここでは、 SonicWALL セキュリティ装置上におけるローカル ユーザ データベースの作成および管理方
法、 SonicWALL セキュリティ装置と RADIUS サーバを統合してユーザ認証を行う方法について説明し
ます。
第 7 部 セキュリティ サービス
ここでは、 オプションである SonicWALL セキュリティ サービスの概要について説明します。
SonicWALL セキュリティ装置のネットワーク セキュリティ機能とこれらのサービスを組み合わせると、 ウィ
ルス、 ワーム、 トロイの木馬、 スパイウェア、 ピアツーピアおよびインスタント メッセージング アプリケー
ションへの侵入、 悪意のあるコード、 不適切または非生産的なウェブ サイトなど、 さまざまな脅威に対す
る包括的な保護が提供されます。
これらの購読ベースのサービスには、 SonicWALL コンテンツ フィルタ サービス、 SonicWALL ネット
ワーク アンチウィルス、 ゲートウェイ アンチウィルス、 SonicWALL 侵入防御サービス、 SonicWALL グ
XIV
SonicWALL SonicOS Standard 3 . 8管理者ガイド
このガイドについて
ローバル セキュリティ クライアントなどのサービスが含まれます。 SonicWALL セキュリティ装置を登録す
ると、 これらのセキュリティ購読サービスの多くの無料トライアルをご利用いただけます。
第 8 部 ログ
ここでは、 SonicWALL セキュリティ装置の拡張されたログ、 警告、 レポート機能の管理について説明し
ます。 SonicWALL セキュリティ装置のログ機能は、 セキュリティとネットワーク アクティビティを監視する
ための広範囲なログ種別を提供します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
XV
表記上の規約
このガイドの表記上の規約は以下のとおりです。
表記
用例
ボールド
SonicWALL の管理インターフェースから選択できる項目を強調表示
します。
イタリック
フィールドに入力する値を強調表示します。 たとえば、 「IP アドレス」
フィールドに 192.168.168.168 と入力します。
メニュー項目 > メニュー項目
管理インターフェースで選択する複数のメニュー項目を表します。 た
とえば、 「セキュリティ サービス > コンテンツ フィルタ」 は、 「セキュリ
ティ サービス」 を選択してから、 「コンテンツ フィルタ」 を選択するこ
とを意味します。
このマニュアルで使われているアイコン
注意を喚起するために以下の記号を使用しています。
S
9
XVI
警告 ファイアウォールのパフォーマンスやセキュリティ機能、 または SonicWALL セキュリティ装置の潜
在的な問題に関係する重要な情報。
ヒント SonicWALL セキュリティ装置のセキュリティ機能および構成に関する便利な情報です。
補足 特に注意を促す必要のある機能に関する重要な情報です。
参照 トピックの関連または詳細情報へのポインタです。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
テクニカル サポートの利用
テクニカル サポートの利用
このガイドで取り上げていない問題について、 SonicWALL セキュリティ装置に関するテクニカル サポート
が必要な場合、 SonicWALL の北米サポート ウェブ サイトで入手できるリソースを参照してください。
〈http://www.sonicwall.com/us/Support.html〉
国際サポート ウェブ サイトの場合、 〈http://www.sonicwall.com〉 を参照して該当する地域または国を選択
し、 上部のナビゲーション バーで 「サポート」 を選択します。
また、 SonicWALL の対話的なオンライン Knowledge Portal も利用できます。
『SonicOS Standard 管理者ガイド』 やトピックベースの TechNote で適切なソリューションが見つからな
い場合、 下記の電話番号の SonicWALL グローバル テクニカル アシスタンス センターにお問い合わせく
ださい。
SonicWALL ワールドワイド サポート電話番号
国
フリーダイヤル
ローカル (有料) 番号
北米からの通話
米国
+1 888.777.1476
カナダ
+1 888.777.1476
ヨーロッパ、 中東、 アフリカからの通話 (英語、 フランス語、 ドイツ語、 イタリア語、 ス
ペイン語でサポート可能)
オーストリア
+43 (0) 820.400.105
ベルギー
+31 (0) 411.617.810
チェコ共和国
+31 (0) 411.617.810
デンマーク
807.02.652
エジプト
+31 (0) 411.617.810
フィンランド
800.77.0265
フランス
0800.970.019
+31 (0) 411.617.812
ドイツ
0800.0003.668
+31 (0) 411.617.813
アイルランド
イタリア
+31 (0) 411.617.811
800.909.106
ヨルダン
+31 (0) 411.617.814
+31 (0) 411.617.810
ルクセンブルク
+31 (0) 411.617.810
オランダ
0.411.617.810
ナイジェリア
+31 (0) 411.617.810
ノルウェー
800.57.477
ポーランド
+31 (0) 411.617.810
ロシア
+31 (0) 411.617.810
サウジアラビア
+31 (0) 411.617.810
南アフリカ
+31 (0) 411.617.810
スペイン
900.811.056
+31 (0) 411.617.815
スイス
0800.562.221
+31 (0) 411.617.810
スウェーデン
+020.140.14.25
トルコ
+31 (0) 411.617.810
アラブ首長国連邦
8000.4411.869
英国
0800.0280.488
SonicWALL SonicOS Standard 3 . 8管理者ガイド
+31 (0) 411.617.811
XVII
国
フリーダイヤル
その他すべての国
ローカル (有料) 番号
+31 (0) 411.617.810
アジア太平洋地域からの通話
オーストラリア
+1 800.35.1642
香港
+1 800.93.0997
インド
+1 800.425.9255
日本
+81 (0) 3.3457.8971
ニュージーランド
800.446489
シンガポール
+ 800.110.1441
ラテンアメリカからの通話
ブラジル
0800.891.4306
メキシコ
+1 888.777.1476
補足 テクニカル サポートの最新の連絡先電話番号については、 〈http://www.sonicwall.com/us/sup-
port/contact.html〉 でご確認ください。
SonicWALL 製品に関するその他の情報
SonicWALL の製品とサービスについては、 SonicWALL, Inc. までお問合せください。
ウェブ :
〈http://www.sonicwall.com〉
電話 : 03-3457-8971
ドキュメントの最新版
このマニュアルおよびその他の SonicWALL 製品ドキュメントの最新版については、 下記 URL の
SonicWALL ドキュメンテーション ウェブ サイトを参照してください。
〈http://www.sonicwall.com/us/Support.html〉
XVIII
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第1部
ëÊ 1 ïî
SonicWALL SonicOS Standard 3 . 8管理者ガイド
はじめに
21
22
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 1 èÕ
第1章
はじめに
SonicWALL のゲートウェイ アンチウイルス、 アンチスパイウェア、 進入防御サービスと SonicWALL セ
キュリティ装置の統合により、 ウイルス、 スパイウェア、 ウォーム、 トロイの木馬をはじめとする悪質な攻撃
から保護するための、 強力でしかも使いやすい機能のご提供が実現しています。 また、 SonicWALL セキュ
リティ装置は、 SonicWALL のコンテンツ フィルタ サービスにも対応しているため、 生産性が向上するほか、
ネットワークのより効率的な利用が可能になります。
SonicWALL 管理インターフェース
SonicWALL セキュリティ装置のウェブベース管理インターフェースは、 SonicWALL セキュリティ装置設定
用の使いやすい GUI を提供しています。 以下に、 管理インターフェース オブジェクトの概要を説明します。
管理インターフェースのナビゲート
SonicWALL 管理インターフェースのナビゲートには、 ナビゲーション バー (ブラウザ ウィンドウの左側) の
「メニュー」 ボタンの階層が含まれます。
23
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 1 章 : はじめに
「メニュー」 ボタンを選択すると、 関連する管理機能がナビゲーション バーにサブメニュー項目として表示さ
れます。
サブメニュー ページを表示するには、 そのリンクを選択します。 「メニュー」 ボタンを選択すると、 最初の
サブメニュー項目のページが表示されます。 例えば、 「ネットワーク」 ボタンを選択すると、 「ネットワーク
> 設定」 ページが表示されます。
状況バー
管理インターフェース ウィンドウ下部の 「状況」 バーには、 SonicWALL 管理インターフェースで実行され
るアクションの状況が表示されます。
変更の適用
そのページで行った設定変更を保存するには、 SonicWALL 管理インターフェース右上隅の 「適用」 ボタ
ンを選択します。
24
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL 管理インターフェース
管理インターフェースのセカンダリ ウィンドウ内の設定は、 「OK」 を選択すると、 SonicWALL セキュリ
ティ装置に自動的に適用されます。
テーブルのナビゲート
管理インターフェースのテーブルに多数のエントリがある場合は、 テーブル右上隅のナビゲーション ボタン
を使用します。
テーブルのナビゲーション バーに、 テーブルのページ内を移動するためのボタンがあります。
管理インターフェースの共通アイコン
以下で SonicWALL 管理インターフェースで使用される共通アイコンの機能について説明します。
編集
アイコンを選択して設定編集ウィンドウを表示します。
削除
アイコンを選択すると、 テーブル エントリが削除されます。
コメント
す。
アイコンの上にポインタを移動すると、 「コメント」 フィールド エントリのテキストが表示されま
SonicWALL SonicOS Standard 3 . 8管理者ガイド
25
第 1 章 : はじめに
ヘルプの表示
各 SonicWALL セキュリティ装置では、 管理インターフェースからウェブベースのオンライン ヘルプを利用
することができます。
各ページの右上隅の疑問符 「?」 ボタンを選択すると、 そのページの状況に応じたヘルプが表示されま
す。
S
警告 SonicWALL セキュリティ装置のオンライン ヘルプにアクセスするには、 インターネットに接続して
いる必要があります。
ログアウト
メニュー バー下部の 「ログアウト」 ボタンを選択すると、 管理インターフェース セッションが終了し、
SonicWALL セキュリティ装置にログインするための認証ページが表示されます。
26
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第2章
SonicWALL セキュリティ装置の基本セット
アップ
ëÊ 2 èÕ
SonicWALL セキュリティ装置の設定手順
この章では、 SonicOS Standard 3.8 が動作している SonicWALL セキュリティ装置の基本的なインストー
ル手順について説明します。 この章の完了後は、 LAN 上のコンピュータからインターネットへのアクセスがセ
キュリティで保護されます。
• 「必須の ISP 情報の収集」 ページ 27
• 「SonicWALL セキュリティ装置の管理インターフェースへのアクセス」 ページ 28
• 「SonicWALL セットアップ ウィザードの使用」 ページ 29
• 「SonicWALL セキュリティ装置の登録」 ページ 35
必須の ISP 情報の収集
コンピュータのインターネット接続のために SonicWALL セキュリティ装置を設定する前に、 利用できるイン
ターネット接続の種類に関して必須の情報を収集しておく必要があります。
インターネット サービス プロバイダ (ISP) の情報
ケーブル モデムをご使用の場合
多くの場合、 ISP は DHCP を使用して、 コンピュータに動的にアドレスを割り当てています。
この場合、 インターネット接続情報は必要ありません。
DSL をご使用の場合
多くの場合、 ISP は PPPoE を使用してログインを動的に認証し、 コンピュータにアドレスを割り当てていま
す。 次の情報が必要です。
ユーザ名 :
ISP によっては、 ユーザ名に “@” 記号とドメイン名を含め、 “[email protected]” のように指定する
必要があります。
補足 パスワード :
静的 IP アドレスをご使用の場合
ISP は、 コンピュータに静的 IP アドレスを割り当てている場合があります。 その場合、 ISP からの書類また
は確認の電子メールに、 次の設定情報が含まれています。
27
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 2 章 : SonicWALL セキュリティ装置の基本セットアップ
IP アドレス :
サブネット マスク :
デフォルト ゲートウェイ :
主格 DNS :
副格 DNS (オプション) :
ISP がサーバ IP アドレス、 ユーザ名、 およびパスワードを指定した場合
ISP は、 PPTP を使用してコンピュータとサーバ間に保護された接続を確立している場合があります。 次
の情報が必要です。
サーバ アドレス :
ユーザ名 :
パスワード :
接続の種類が不明の場合、 ISP からの書類または確認の電子メールに情報が含まれています。 情報が
見つからない場合は、 SonicWALL セキュリティ装置がセットアップ中に自動的に正しい設定を検出しま
す。
その他の情報
SonicWALL 管理インターフェース
SonicWALL セキュリティ装置のウェブベース管理インターフェースにアクセスするには、 次の情報が必要
です。 これらは既定の設定であり、 変更することができます。
ユーザ名 : admin
パスワード : password
補足 上記のいずれかのネットワーク設定を使用していない場合は、 「第 3 章、 ネットワーク設定の構
成」 を参照してください。
SonicWALL セキュリティ装置の管理インターフェース
へのアクセス
SonicWALL セキュリティ装置のウェブベースの管理インターフェースにアクセスするには :
1. ネットワーク ポートに接続したコンピュータで、 ウェブ ブラウザを起動します。
S
警告 ウェブ ブラウザは Java および Javascript をサポートしている必要があります。 また、 ポップアッ
プ ブロッカを無効にする必要があります。 インターネット エクスプローラ 6.0 以降または Mozilla Firefox
2.0 以降を推奨します。
2. 「場所」 または 「アドレス」 フィールドに 「192.168.168.168」 と入力します。 SonicWALL 管理イ
ンターフェースに最初にアクセスするときは、 SonicWALL のセットアップ ウィザードが起動し、
SonicWALL セキュリティ装置の設定とセットアップを案内します。
3. セットアップ ウィザードが表示されない場合は、 「システム > 状況」 ページが表示されます。
ワーク > 設定」 ページの 「セットアップ ウィザード」 ボタンを選択します。
28
「ネット
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL セットアップ ウィザードの使用
4. インターネット接続の種類に合わせて、 次のいずれかの設定オプションに進んでください。
• 「静的 IP アドレスのインターネット接続の設定」 ページ 30
• 「DHCP インターネット接続の設定」 ページ 31
• 「PPPoE インターネット接続の設定」 ページ 32
• 「PPTP インターネット接続の設定」 ページ 33
9
ヒント インターネット接続の種類が不明な場合は、 SonicWALL セットアップ ウィザードが接続設定の
検出を試みます。
SonicWALL セットアップ ウィザードの使用
SonicWALL セットアップ ウィザードでは、 SonicWALL セキュリティ装置を設定するためのユーザ向け
の手順が示されます。 管理インターフェースにアクセスしたときにセットアップ ウィザードが起動しない場合
は、 次のいずれかの方法を使用してセットアップ ウィザードを起動できます。
• 左側のナビゲーション バーで、 「ウィザード」 を選択します。 SonicWALL 設定ウィザードが表示され
ます。 「セットアップ ウィザード」 を選択し、 「次へ」 を選択します。
• 「ネットワーク > 設定」 を選択し、 「セットアップ ウィザード」 ボタンを選択します。
9
補足 セットアップ ウィザードを使用する前に、 設定を完了するために必要な ISP 情報を用意しておいて
ください。
ヒント WAN およびネットワークのすべての設定は、 SonicWALL 管理インターフェースの 「ネットワー
ク > 設定」 ページで手動で構成することもできます。
SonicWALL のセットアップ ウィザードを設定するには、 次の手順を完了します。
1. 「ネットワーク > 設定」 ページの 「セットアップ ウィザード」 ボタンを選択します。
トアップ ウィザードにようこそ」 ページが表示されます。 「次へ」 を選択します。
「SonicWALL セッ
2. パスワードを設定するには、 「新しいパスワード」 フィールドおよび 「確認」 フィールドに新しいパス
ワードを入力します。 「次へ」 を選択します。
補足 パスワードは覚えておいてください。 最初の設定後に SonicWALL セキュリティ装置の管理イン
ターフェースにアクセスするには、 パスワードが必要になります。
3. 「タイムゾーン」 メニューからローカル タイムゾーンを選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
「次へ」 を選択します。
29
第 2 章 : SonicWALL セキュリティ装置の基本セットアップ
補足 SonicWALL セキュリティ装置を登録する前に、 タイムゾーンを正確に設定します。
4. ネットワーク環境に合わせて適切な 「WAN ネットワーク モード」 を選択します。 以下のセクションで
は、 4 つの WAN ネットワーク モードを設定する方法について説明します。
• 「静的 IP アドレスのインターネット接続の設定」 ページ 30
• 「DHCP インターネット接続の設定」 ページ 31
• 「PPPoE インターネット接続の設定」 ページ 32
• 「PPTP インターネット接続の設定」 ページ 33
静的 IP アドレスのインターネット接続の設定
ISP より 1 つの IP アドレスが割り当てられている場合は、 次の手順を実行します。
9
ヒント WAN IP アドレス、 サブネット マスク、 および DNS 設定を含むネットワーク情報を用意しておい
てください。 この情報は、 ISP より取得します。
1. 「スタティック IP」 を選択し、 「次へ」 を選択します。
30
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL セットアップ ウィザードの使用
2. ISP から提供された情報を次のフィールドに入力します。 「SonicWALL WAN IP アドレス」、 「WAN
サブネット マスク」、 「ゲートウェイ (ルータ) アドレス」、 および 「DNS サーバ アドレス」。 「次へ」
を選択します。
3. 「LAN 設定」 ページでは、 「SonicWALL LAN IP アドレス」 および 「LAN サブネット マスク」 の設定
ができます。 「SonicWALL LAN IP アドレス」 は、 SonicWALL セキュリティ装置の LAN ポートに
割り当てられたプライベート IP アドレスです。 「LAN サブネット マスク」 では、 LAN 上の IP アドレス
範囲が定義されます。 SonicWALL セキュリティ装置で指定される既定値は、 ほとんどのネットワーク
で使用できます。 既定の設定を使用しない場合は、 適切なプライベート IP アドレスおよびサブネット マ
スクをフィールドに入力してください。
4. 「次へ」 を選択します。 「LAN DHCP サーバ」 ページでは、 SonicWALL セキュリティ装置の DHCP
サーバが設定されます。 このサーバを有効にすると、 SonicWALL セキュリティ装置は自動的に
LAN 上のコンピュータの IP 設定を構成します。 DHCP サーバを有効にするには、 「DHCP サーバを
有効にする」 を選択し、 LAN 上のコンピュータに割り当てる IP アドレス範囲を指定します。
「DHCP サーバを無効にする」 を選択する場合は、 LAN 上の静的 IP アドレスを使用してネットワーク
の各コンピュータを設定する必要があります。 「次へ」 を選択します。
5. 「設定の概要」 ページには、 インストール ウィザードを使用して定義された設定が表示されます。 設定
を変更するには、 「戻る」 を選択して前のページに戻ります。 設定が正しい場合は、 「適用」 を選択し
ます。 SonicWALL セキュリティ装置はネットワーク設定を保存し、 「セットアップ ウィザードの完了」
ページを表示します。
9
ヒント 「セットアップ ウィザードの完了」 ページの 「URL」 フィールドに表示される、 SonicWALL セ
キュリティ装置の LAN IP アドレスは、 SonicWALL セキュリティ装置へのログインと管理に使用されま
す。
6. 「再起動」を選択して SonicWALL セキュリティ装置を再起動します。 SonicWALL セキュリティ装置が
再起動するには、 約 90 秒以上かかります。 この時間中は、 黄色のテスト LED が点灯します。
DHCP インターネット接続の設定
DHCP インターネット接続は、 ケーブル インターネット サービスを使用しているお客様にとって一般的な
ネットワーク設定です。 この場合、 ISP から特定の IP アドレスは割り当てられません。
1. 「DHCP」 を選択します。
が表示されます。
「次へ」 を選択します。 DHCP インターネット接続について説明するページ
2. 「次へ」 を選択します。
3. 「LAN 設定」 ページでは、 SonicWALL セキュリティ装置の LAN IP アドレスおよびサブネット マスクを
設定できます。 SonicWALL セキュリティ装置の LAN IP アドレスは、 SonicWALL セキュリティ装置
SonicWALL SonicOS Standard 3 . 8管理者ガイド
31
第 2 章 : SonicWALL セキュリティ装置の基本セットアップ
の LAN に割り当てられるプライベート IP アドレスです。 「LAN サブネット マスク」 では、 ネットワーク
上の IP アドレス範囲が定義されます。 SonicWALL セキュリティ装置で指定される既定値は、 ほとん
どのネットワークで有用です。 「次へ」 を選択します。
4. 「LAN DHCP サーバ」 ウィンドウでは、 SonicWALL セキュリティ装置の DHCP サーバが設定されま
す。 このサーバを有効にすると、 SonicWALL は LAN 上のコンピュータに自動的に IP 設定を割り当
てます。 DHCP サーバを有効にするには、 「DHCP サーバを有効にする」 を選択し、 LAN 上のコン
ピュータに割り当てる IP アドレス範囲を指定します。
「DHCP サーバを無効にする」 を選択すると、 DHCP サーバは無効になります。
て、 操作を続けてください。
「次へ」 を選択し
5. 「設定の概要」 ウィンドウには、 インストール ウィザードを使用して定義された設定が表示されます。
設定を変更するには、 「戻る」 を選択して前のページに戻ります。 設定が正しい場合は、 「適用」 を
選択します。 SonicWALL セキュリティ装置はネットワーク設定を保存し、 「セットアップ ウィザードの
完了」 ページを表示します。
9
ヒント 「セットアップ ウィザードの完了」 ページの 「URL」 フィールドに表示される、 SonicWALL セ
キュリティ装置の新しい LAN IP アドレスは、 SonicWALL セキュリティ装置へのログインと管理に使用さ
れます。
6. 「再起動」を選択して SonicWALL セキュリティ装置を再起動します。 SonicWALL セキュリティ装置が
再起動するには、 90 秒かかります。 この時間中は、 黄色のテスト LED が点灯します。
PPPoE インターネット接続の設定
通常、 PPPoE は DSL モデムを使用する DSL インターネット サービスに使用されます。 ISP は、 リ
モート サーバへのログインにはユーザ名とパスワードを要求します。
1. 「PPPoE」 を選択します。
「次へ」 を選択します。
2. ISP から提供されたユーザ名とパスワードを 「ユーザ名」 フィールドおよび 「パスワード」 フィールドに
入力します。 「次へ」 を選択します。
3. 「LAN 設定」ページでは、SonicWALL セキュリティ装置の LAN IP アドレスおよび LAN サブネット マス
クを設定できます。 SonicWALL セキュリティ装置の LAN IP アドレスは、 SonicWALL セキュリティ
装置の LAN ポートに割り当てられるプライベート IP アドレスです。 「LAN サブネット マスク」 では、
LAN 上の IP アドレス範囲が定義されます。 SonicWALL セキュリティ装置で指定される既定値は、
ほとんどのネットワークで有用です。 既定の設定を使用しない場合は、 適切な IP アドレスをフィールド
に入力します。 「次へ」 を選択します。
4. 「LAN DHCP サーバ」 ウィンドウでは、 SonicWALL セキュリティ装置の DHCP サーバが設定されま
す。 このサーバを有効にすると、 SonicWALL セキュリティ装置は LAN 上のコンピュータに自動的に
32
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL セットアップ ウィザードの使用
IP 設定を割り当てます。 DHCP サーバを有効にするには、 「DHCP サーバを有効にする」 を選択
し、 LAN 上のコンピュータに割り当てる IP アドレス範囲を指定します。
「DHCP サーバを無効にする」 を選択する場合は、 LAN 上の静的 IP アドレスを使用してネットワーク
の各コンピュータを設定する必要があります。 「次へ」 を選択します。
5. 「設定の概要」 ウィンドウには、 インストール ウィザードを使用して定義された設定が表示されます。
設定を変更するには、 「戻る」 を選択して前のページに戻ります。 設定が正しい場合は、 「適用」 を
選択します。 SonicWALL セキュリティ装置はネットワーク設定を保存し、 「セットアップ ウィザードの
完了」 ページを表示します。
9
ヒント 「セットアップ ウィザードの完了」 ページの 「URL」 フィールドに表示される、 SonicWALL セ
キュリティ装置の新しい LAN IP アドレスは、 SonicWALL セキュリティ装置へのログインと管理に使用さ
れます。
6. 「再起動」を選択して SonicWALL セキュリティ装置を再起動します。 SonicWALL セキュリティ装置が
再起動するには、 90 秒かかります。 この時間中は、 黄色のテスト LED が点灯します。
PPTP インターネット接続の設定
PPTP は、 インターネット接続を使用してリモート サーバに接続するために使用されます。 PPTP は、 ト
ンネル接続を必要とする古いマイクロソフト実装をサポートします。
1. 「PPTP」 を選択します。
「次へ」 を選択します。
2. 「PPTP サーバ IP アドレス」 フィールドに PPTP サーバ IP アドレスを入力します。
3. ISP から提供されたユーザ名とパスワードを 「PPTP ユーザ名」 および 「PPTP パスワード 」 フィール
ドに入力します。 「次へ」 を選択します。
4. 「LAN 設定」ページでは、SonicWALL セキュリティ装置の LAN IP アドレスおよび LAN サブネット マス
クを設定できます。 SonicWALL セキュリティ装置の LAN IP アドレスは、 SonicWALL セキュリティ
装置の LAN ポートに割り当てられるプライベート IP アドレスです。 「LAN サブネット マスク」 では、
LAN 上の IP アドレス範囲が定義されます。 SonicWALL セキュリティ装置で指定される既定値は、
ほとんどのネットワークで有用です。 既定の設定を使用しない場合は、 適切な IP アドレスをフィールド
に入力します。 「次へ」 を選択します。
5. 「LAN DHCP サーバ」 ウィンドウでは、 SonicWALL セキュリティ装置の DHCP サーバが設定されま
す。 このサーバを有効にすると、 SonicWALL セキュリティ装置は LAN 上のコンピュータに自動的に
IP 設定を割り当てます。 DHCP サーバを有効にするには、 「DHCP サーバを有効にする」 を選択
し、 LAN 上のコンピュータに割り当てる IP アドレス範囲を指定します。
「DHCP サーバを無効にする」 を選択する場合は、 LAN 上の静的 IP アドレスを使用してネットワークの各
コンピュータを設定する必要があります。 「次へ」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
33
第 2 章 : SonicWALL セキュリティ装置の基本セットアップ
6. 「設定の概要」 ウィンドウには、 インストール ウィザードを使用して定義された設定が表示されます。
設定を変更するには、 「戻る」 を選択して前のページに戻ります。 設定が正しい場合は、 「適用」 を
選択します。 SonicWALL セキュリティ装置はネットワーク設定を保存し、 「セットアップ ウィザードの
完了」 ページを表示します。
9
ヒント 「セットアップ ウィザードの完了」 ページの 「URL」 フィールドに表示される、 SonicWALL セ
キュリティ装置の新しい LAN IP アドレスは、 SonicWALL セキュリティ装置へのログインと管理に使用さ
れます。
7. 「再起動」を選択して SonicWALL セキュリティ装置を再起動します。 SonicWALL セキュリティ装置が
再起動するには、 90 秒かかります。 この時間中は、 黄色のテスト LED が点灯します。
WAN 設定の構成
「静的 IP アドレス」 を選択した場合は、 「WAN ネットワーク モード」 の各フィールドに入力するため、
ISP から提供された IP アドレス情報が必要になります。 ISP から提供されたパブリック IP アドレスを
「SonicWALL WAN IP アドレス」 に入力し、 「WAN サブネット マスク」、 「ゲートウェイ (ルータ) アドレ
ス」、 および主格と副格の 「DNS サーバ アドレス」 に入力します。 「次へ」 を選択します。
LAN 設定の構成
プライベート IP アドレスを 「SonicWALL LAN IP アドレス」 フィールドに入力します。 ほとんどの設定で
は、 既定のプライベート IP アドレスを使用できます。 「サブネット マスク」 フィールドにサブネットを入力し
ます。 マイクロソフトでは、 通信に NetBIOS ブロードキャストを使用しています。 「ウィンドウズ ネット
ワーク サポートを有効にする」 チェック ボックスをオンにすると、 LAN ポートおよび OPT ポート上にシス
テムがあるときに発生する一般的な問題を解決できます。 「次へ」 を選択します。
LAN DHCP 設定の構成
SonicWALL セキュリティ装置の DHCP サーバを使用する場合は、 「LAN に対する DHCP サーバを有
効にする」 チェック ボックスをオンにし、 ネットワーク機器に割り当てる IP アドレス範囲を 「アドレス範囲」
の各フィールドに入力します。 既定のエントリは、 ほとんどのネットワーク設定に使用できます。 「次へ」
を選択します。
WLAN 802.11b / g 設定の構成
サービス セット ID (SSID) は、 ワイヤレス ネットワークを識別します。 この ID は最大 32 文字の英数字
とすることができ、 大文字と小文字が区別されます。 ワイヤレス ポートに必要なチャネルを選択します。
既定ではチャネル 11 が選択されます。 これは最も一般的に使用されるチャネルです。 「無線モード」 メ
ニューから無線モードを選択します。 既定の 「2.4GHz 802.11b / g Mixed」 オプションでは、
SonicWALL Secure Anti-Virus Router 80 Wireless が b および g をサポートします。 「国番号」 メ
ニューから 「米国 - US」 または 「カナダ - CA」 を選択します。 「チャネル」 メニューの既定の 「自動
チャネル」 設定を使用します。 「次へ」 を選択します。
WLAN セキュリティ設定
SonicWALL ワイヤレス セキュリティ装置の適切なセキュリティ設定を選択します。 「WPA / WPA2
モード」 は強力なセキュリティを提供しますが、 接続するにはワイヤレス コンピュータとノードで WPA のサ
ポートが必要です。 「管理を伴わないワイヤレス接続モード」 は、 セキュリティを適用せずに装置および
インターネットへのワイヤレス アクセスを提供します。
34
補足 WiFiSec では、 VPN が有効になっている必要があります。 そのため、 ユーザが最初に VPN を
有効にせずに WiFiSec を設定することを許可してワイヤレス アクセスを遮断することのないように、
WiFiSec オプションはウィザードから削除されています。 WiFiSec を使用するには、 最初に 「VPN > 設
定」 ページで VPN を有効にする必要があります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL セキュリティ装置の登録
WPA モードの設定
「WPA / WPA2 モード」 を選択すると、 「WPA モードの設定」 ウィンドウが表示されます。 適切な 「認
証タイプ」 を選択します。 「WPA2 - 自動」 設定では、 WPA2 を使用して接続を試みますが、 WPA2
が失敗した場合、 既定で WPA に設定されます。 次の暗号化プロトコルがサポートされます。
ƒ 事前共有鍵 (PSK) : PSK によって、 設定した事前共有パスフレーズから WPA で鍵を生成できま
す。 時間やパケット数に基づいて、 鍵は定期的に更新されます。 RADIUS サーバを実装していな
い小規模配備の場合は、 PSK を使用してください。
ƒ 拡張認証プロトコル (EAP) : EAP によって、 WPA で鍵を外部 RADIUS サーバと同期できるよう
になります。 時間やパケット数に基づいて、 鍵は定期的に更新されます。 EAP は、 RADIUS フ
レームワークを実装している大規模な企業などの配備で使用してください。
「暗号化方式」 設定では、 WPA の使用時は 「TKIP」 を選択し、 WPA2 の使用時は 「AES」 を選択し
ます。 「タイムアウトごと」 を選択すると、 指定した間隔 (秒単位) で新しいグループ鍵が生成されます。
「パケットごと」 を選択すると、 指定の数のパケットごとに新しいグループ鍵が生成されます。 「無効」 を
選択すると、 静的な鍵が使用されます。 「タイムアウトごと」 を選択した場合は、 WPA によって自動的
に新しいグループ鍵が生成されるまでの秒数を 「間隔」 フィールドに入力します。
PSK の場合は、 「パスフレーズ」 に入力します。 EAP の場合は、 少なくとも 1 台の RADIUS サーバご
とに、 「RADIUS サーバ IP」、 「ポート番号」、 および 「RADIUS サーバ シークレット」 を入力します。
設定の概要
「設定概要」 ページには、 配備シナリオ ウィザードを使用して構成されたすべての設定が表示されます。
いずれかの設定を変更するには、 変更する設定が表示されるまで 「戻る」 を選択します。 セキュリティ装
置で設定を使用するには、 「適用」 を選択します。
設定の保存
セキュリティ装置で設定が有効になるまで待ちます。
おめでとうございます!
設定がセキュリティ装置に適用されると、 「おめでとうございます!」 ページが表示されます。
を選択して設定を完了します。
「再起動」
SonicWALL セキュリティ装置の登録
インターネット接続を確立したら、 SonicWALL セキュリティ装置を登録することをお勧めします。
SonicWALL セキュリティ装置の登録には、 以下のようなメリットがあります。
• SonicWALL 侵入防御サービス、 SonicWALL ゲートウェイ アンチウィルス、 コンテンツ フィルタ
サービス、 およびネットワーク アンチウィルスの 30 日間無料トライアルを試用できる
• SonicWALL セキュリティ サービスおよびアップグレードを有効にできる
• SonicOS ファームウェア更新にアクセスできる
• SonicWALL テクニカル サポートが得られる
ご登録の前に
SonicWALL セキュリティ装置が登録されていないと、 SonicWALL 管理インターフェースの 「システム
> 状況」 ページの 「セキュリティ サービス」 フォルダに、 次のメッセージが表示されます。 SonicWALL
が登録されていません。 ここを選択して SonicWALL を登録してください。 SonicWALL セキュリティ装
置を登録するには、 mysonicwall.com アカウントが必要です。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
35
第 2 章 : SonicWALL セキュリティ装置の基本セットアップ
SonicWALL セキュリティ装置がインターネットに接続されている場合は、 mysonicwall.com アカウント
を作成して、SonicWALL 管理インターフェースから直接 SonicWALL セキュリティ装置を登録できます。
mysonicwall.com アカウントをすでにお持ちの場合は、 管理インターフェースから直接 SonicWALL セ
キュリティ装置を登録できます。
mysonicwall.com アカウントは、 ウェブ ブラウザを 〈https://www.mysonicwall.com〉 に接続することに
よってインターネットからアクセスできます。 mysonicwall.com は HTTPS (Hypertext Transfer
Protocol Secure) プロトコルを使って機密情報を保護しています。
S
警告 機器を登録する場合は、 SonicWALL セキュリティ装置のタイムゾーンと DNS の設定が正しいこ
補足 mysonicwall.com の登録情報は、 販売されたり他の企業と共有されたりすることはありません。
とを確認してください。 セットアップ ウィザードを使用したタイムゾーンと DNS の設定方法については、
SonicWALL セットアップ ウィザードの手順を参照してください。
セキュリティ装置は、 セキュリティ サービス セクションに表示されるシリアル番号と認証コードを使うことに
よって 〈https://www.mysonicwall.com〉 サイトでも登録できます。 「SonicWALL」 リンクを選択すると、
mysonicwall.com アカウントにアクセスします。 セキュリティ装置の登録完了後に認証コードが提供され
ます。 「取得した登録コードを下記に入力してください」 という見出しの下のフィールドに登録コードを入力
し、 「更新」 を選択します。
mysonicwall.com アカウントの作成
mysonicwall.com アカウントは、 すばやく簡単に作成できます。 しかも無料です。 SonicWALL 管理イ
ンターフェースのオンライン登録フォームに入力するだけです。
SonicWALL 管理インターフェースから mysonicwall.com アカウントを作成するには、 以下の手順に従
います。
1. 「システム > 状況」 ページの 「セキュリティ サービス」 セクションで、 「SonicWALL が登録されていま
せん。 ここを選択して SonicWALL を登録してください」 の 「登録」 リンクを選択します。
2. 「mysonicwall ログイン」 ページの 「mysonicwall アカウントをお持ちでない場合は、 ここを選択して
アカウントを作成してください」 の 「 ここを選択」 リンクを選択します。
3. 「MySonicWALL アカウント」 ページで、 mysonicwall.com アカウント フォームの 「アカウント情報」、
「個人情報」、 および 「プリファレンス」 の各フィールドに情報を入力します。 *のマークが付いている
フィールドはすべて必須フィールドです。
36
補足 mysonicwall.com アカウントにアクセスするためのユーザ名およびパスワードを覚えておいてくだ
さい。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL セキュリティ装置の登録
4. 「mySonicWALL アカウント」 フォームを記入した後、 「この内容を送付する」 を選択します。
5. mysonicwall.com サーバがアカウントの処理を終了すると、 アカウントが作成されたことを確認する
ページが表示されます。 「次へ」 を選択します。
6. おめでとうございます。 mysonicwall.com アカウントがアクティブになりました。 次に、 管理インター
フェースから mysonicwall.com にログインして SonicWALL セキュリティ装置を登録する必要があり
ます。
SonicWALL セキュリティ装置の登録
mysonicwall.com アカウントをすでにお持ちの場合は、 以下の手順に従ってセキュリティ装置を登録しま
す。
1. 「システム > 状況」 ページの 「セキュリティ サービス」 セクションで、 「SonicWALL が登録されてい
ません。 ここを選択して SonicWALL を 登録してください」 の 「登録」 リンクを選択します。
「mysonicwall ログイン」 ページが表示されます。
2. 「mysonicwall.com ログイン」 ページの 「ユーザ名」 フィールドと 「パスワード」 フィールドに、
mysonicwall.com のユーザ名とパスワードを入力し、 「この内容を送付する」 を選択します。
3. 次に続く数ページは、 SonicWALL セキュリティ サービスの無料トライアルのお知らせです。
• ゲートウェイ アンチウィルス - ネットワーク全体をウィルスから保護します
• ネットワーク アンチウィルス - ネットワーク上のコンピュータをウィルスから保護します
• プレミアム コンテンツのフィルタ サービス - 不適切かつ生産的でないウェブ サイトへのアクセスを制限
することで、 ネットワークを保護し、 生産性を向上させます
• 侵入防御サービス - トロイの木馬、 ワーム、 およびアプリケーション層攻撃からネットワークを保護し
ます
各ページで、 「次へ」 を選択します。
4. 製品サーベイ ページの一番上の 「ニックネーム」 フィールドに、 ご使用の SonicWALL セキュリティ装
置に付けるニックネームを入力し、 オプションの製品サーベイを完了します。
5. 「この内容を送付する」 を選択します。
6. mysonicwall.com サーバが登録の処理を終了すると、 SonicWALL セキュリティ装置が登録されたこ
とを確認するページが表示されます。
7. 「次へ」 を選択します。
表示されます。
Â
「システム > ライセンス」 ページの 「サービスのオンライン管理」 テーブルが
参照 SonicWALL セキュリティ サービスの概要、 および無料トライアルの詳細については、 「第 7 部、
セキュリティ サービス」 を参照してください。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
37
第 2 章 : SonicWALL セキュリティ装置の基本セットアップ
38
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第2部
ëÊ 2 ïî
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム
39
40
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第3章
SonicWALL セキュリティ ダッシュボードの
表示
ëÊ 3 èÕ
システム > セキュリティ ダッシュボード
この章では、 SonicOS ファームウェア 3.8 以降を実行している SonicWALL セキュリティ装置で
SonicWALL セキュリティ ダッシュボード機能を使用する方法について説明します。 この章は、 次のセクショ
ンで構成されています。
• 「SonicWALL セキュリティ ダッシュボードの概要」 ページ 41
ƒ 「とは SonicWALL セキュリティ ダッシュボード」 ページ 41
ƒ 「利点」 ページ 42
ƒ 「SonicWALL セキュリティダッシュボードの仕組み」 ページ 43
ƒ 「プラットフォーム」 ページ 44
• 「SonicWALL セキュリティ ダッシュボードの使用」 ページ 44
ƒ 「管理者が前もって行う必要がある準備」 ページ 44
ƒ 「管理者の設定作業」 ページ 44
• 「関連機能」 ページ 52
SonicWALL セキュリティ ダッシュボードの概要
このセクションでは、 Remotely Triggered Dial-Out 機能の概要を説明します。 このセクションは、 次のサブセ
クションから構成されています。
• 「とは SonicWALL セキュリティ ダッシュボード」 ページ 41
• 「利点」 ページ 42
• 「SonicWALL セキュリティダッシュボードの仕組み」 ページ 43
• 「プラットフォーム」 ページ 44
「Remotely Triggered Dial-Out の概要」 セクションを読むと、 SonicWALL セキュリティ ダッシュボードの機能
とその利点を把握できます。
とは SonicWALL セキュリティ ダッシュボード
SonicWALL セキュリティ ダッシュボードは、 1 台の SonicWALL セキュリティ装置で収集された最新の脅
威防御データのレポート、 およびグローバルに配備された複数の SonicWALL セキュリティ装置で収集され
た脅威防御データの集計レポートを提供します。 SonicWALL セキュリティ ダッシュボードは、 SonicOS
ファームウェア 3.8 以降を実行している SonicWALL セキュリティ装置への認証が成功すると自動的に表示さ
れます。 また、 左側のメニューで 「システム > セキュリティ ダッシュボード」 を選択すると、 いつでも
SonicWALL セキュリティ ダッシュボードを表示できます。 セキュリティ ダッシュボードのレポートには次のも
のがあります。
• SonicWALL ネットワークが遮断したウィルス
• SonicWALL ネットワークが阻止した侵入
41
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 3 章 : SonicWALL セキュリティ ダッシュボードの表示
• SonicWALL ネットワークが遮断したスパイウェア
• SonicWALL ネットワークが検出/遮断したマルチメディア (IM / P2P)
各レポートには、 遮断した脅威の経時グラフおよび遮断数の最も多かった脅威の表が含まれます。 レポー
トは 1 時間ごとに更新され、 最新 12 時間、 14 日間、 21 日間、 または 6 か月間のデータを表示する
ようにカスタマイズできます。 ボタンを選択して、 SonicWALL セキュリティ ダッシュボードのレポートを見
やすい PDF ファイル形式に変換できます。
利点
Remotely Triggered Dial-Out は、 最新の脅威防御情報を表示して、 SonicWALL セキュリティ装置が遮
断する潜在的な脅威を知らせます。 ゲートウェイ アンチウィルス、 ゲートウェイ アンチスパイウェア、 侵入
防御サービス (IPS)、 コンテンツ フィルタ サービスなどの SonicWALL のセキュリティ サービスを購読し
42
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > セキュリティ ダッシュボード
ている場合は、 SonicWALL セキュリティ ダッシュボードで報告される脅威に対する防御が自動的に行わ
れます。 SonicWALL のセキュリティ サービスには、 新しい手口の継続的な更新が含まれており、 最新
のウィルスやスパイウェアによる攻撃を防御できます。 SonicWALL セキュリティ サービスの有効化の詳
細については、 「セキュリティ サービスの購入」 ページ 46 を参照してください。
セキュリティ ダッシュボードには、 脅威に関する経時的なデータが表示されます。 複数の異なる期間の
データを表示するように設定することもできます。 SonicWALL セキュリティ ダッシュボードは、
SonicWALL 装置の管理インターフェースの 「システム > セキュリティ ダッシュボード」 ページに表示され
るほか、 個別に生成した PDF ファイルとして表示することもできます。
SonicWALL セキュリティダッシュボードの仕組み
SonicWALL セキュリティ ダッシュボードは、 グローバル レベルおよび装置レベルの脅威防御統計情報を
提供します。 装置レベルでは、 その SonicWALL セキュリティ装置で収集された脅威防御データが表示
されます。 グローバル レベルでは、 グローバルに配備された複数の SonicWALL セキュリティ装置で収
集された脅威防御データの集計が表示され、 その内容は SonicWALL バックエンド サーバから提供され
るデータによって 1 時間ごとに更新されます。 確実にデータを配信するために、 SonicWALL バックエン
ド サーバが提供するデータはローカルでキャッシュされます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
43
第 3 章 : SonicWALL セキュリティ ダッシュボードの表示
補足 SonicWALL セキュリティ装置が、 SonicWALL バックエンド サーバから最新の脅威防御統計情
報を受信するにはインターネット接続が必要です。 このサーバには、 グローバルに配備した各
SonicWALL セキュリティ装置からデータが集められています。 接続を失うと、 最後の更新時にキャッシュ
されたデータが表示され、 接続が回復するまで最新のデータは利用できません。
プラットフォーム
SonicWALL セキュリティ ダッシュボードは、 SonicOS ファームウェア 3.8 以降を実行している
SonicWALL セキュリティ装置で利用できます。
SonicWALL セキュリティ ダッシュボードの使用
このセクションは、 次のサブセクションから構成されています。
• 「管理者が前もって行う必要がある準備」 ページ 44
• 「管理者の設定作業」 ページ 44
管理者が前もって行う必要がある準備
SonicOS ファームウェア 3.8 以降を実行する SonicWALL セキュリティ装置をセットアップし、
mysonicwall.com に登録する必要があります。 登録手順については、 SonicWALL セキュリティ装置
の 『導入ガイド』 を参照してください。 このガイドはウェブ サイト 〈http://www.sonicwall.com/us/
Support.html〉 から入手できます。
補足 SonicWALL セキュリティ装置は、 インターネット接続が設定され、 最新のレポートを表示するた
めにインターネットに接続されている必要があります。
管理者の設定作業
このセクションは、 次のサブセクションから構成されています。
• 「SonicWALL セキュリティ ダッシュボードの設定の概要」 ページ 44
• 「セキュリティ サービスの購入」 ページ 46
SonicWALL セキュリティ ダッシュボードの設定の概要
SonicWALL セキュリティ ダッシュボードを設定して、 グローバル レベルまたは装置レベルの統計情報の
表示、 異なる期間の統計情報の表示、 および個別 PDF ファイルの生成を行うことができます。
SonicWALL セキュリティ ダッシュボードに報告される脅威を防御する SonicWALL セキュリティ サービス
の購入の詳細については、 「セキュリティ サービスの購入」 ページ 46 を参照してください。
SonicWALL セキュリティ ダッシュボードは、 SonicWALL セキュリティ装置へのログインに成功すると自
動的に表示されます。 左側のメニューで 「システム > セキュリティ ダッシュボード」 を選択するといつでも
44
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > セキュリティ ダッシュボード
SonicWALL セキュリティ ダッシュボードにアクセスできます。 セキュリティ ダッシュボードが表示される前
に、 次のような紹介画面が表示される場合があります。
このセクションには以下のサブセクションがあります。
• 「グローバル レベルまたは装置レベルの表示の切り替え」 ページ 45
• 「個別間隔の選択」 ページ 45
• 「セキュリティ ダッシュボードの PDF の生成」 ページ 46
グローバル レベルまたは装置レベルの表示の切り替え
SonicWALL セキュリティ ダッシュボードのグローバル レポートを表示するには、 「システム > セキュリ
ティ ダッシュボード」 画面の上部にある 「グローバル」 の横のラジオ ボタンを選択します。 装置レベルの
レポートを表示するには、 装置のシリアル番号の横のラジオ ボタンを選択します。
個別間隔の選択
SonicWALL セキュリティ ダッシュボードには既定で 「最新 14 日間」 のレポートが表示されます。 この期
間に遮断された脅威の集計がまとめられています。 各レポートの期間を 4 つあるオプションのいずれかに
設定できます。 レポートごとに異なる期間の情報を示すように設定できます。 レポートの期間を変更するに
は、 次の手順を実行します。
1. 変更するレポートを選択します。
ƒ SonicWALL ネットワークが遮断したウィルス
ƒ SonicWALL ネットワークが阻止した侵入
ƒ SonicWALL ネットワークが遮断したスパイウェア
ƒ SonicWALL ネットワークが検出/遮断したマルチメディア (IM / P2P)
2. 選択したレポートのタイトルの横のプルダウン メニューを選択し、 次のいずれかのオプションを選択しま
す。
ƒ 「最新 12 時間」 - 選択したレポートには最新 12 時間の脅威情報が表示されます。
ƒ 「最新 14 日間」 - 選択したレポートには最新 14 日間の脅威情報が表示されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
45
第 3 章 : SonicWALL セキュリティ ダッシュボードの表示
ƒ 「最新 21 日間」 - 選択したレポートには最新 21 日間の脅威情報が表示されます。
ƒ 「最新 6 か月間」 - 選択したレポートには最新 6 か月間の脅威情報が表示されます。
セキュリティ ダッシュボードの PDF の生成
SonicWALL セキュリティ ダッシュボードの PDF バージョンを作成するには、 グローバル レベルまたは装
置レベルの表示を選択し、 各レポートの期間 (最新 12 時間、 14 日間、 21 日間、 または 6 か月間)
を選択します。 ページの上部にある
ボタンを選択します。
セキュリティ サービスの購入
SonicWALL セキュリティ ダッシュボードで報告される脅威を防御するには、 SonicWALL セキュリティ
サービスの購入をお勧めします。 このセクションでは、 SonicWALL 装置の管理インターフェースからアク
セスできる SonicWALL 登録およびライセンス ウィザードを使用して SonicWALL セキュリティ サービス
を購入する方法について説明します。 SonicWALL セキュリティ サービスには、 次のリアルタイム防御
サービスが含まれます。
• ゲートウェイ アンチウィルス - ウィルス、 ワーム、 トロイの木馬、 およびその他の脅威を防御します。
• ゲートウェイ アンチスパイウェア - 新たなおよび既存の悪意のあるスパイウェアを防御します。
• 侵入防御サービス - アプリケーション層の攻撃を防御します。
• コンテンツ フィルタ サービス - 好ましくないウェブ コンテンツへのアクセスを制限することによって、 防
御および生産性を高めます。
• 8 × 5 動的サポート - ソフトウェアおよびファームウェアの更新を含む、 1 年間の電話およびウェブで
のサポートを提供します。
• ViewPoint - ネットワーク活動に関する詳細で包括的なレポートを提供します。
補足 SonicWALL セキュリティ装置は、 インターネット接続が設定され、 登録およびライセンス ウィザー
ドを使用するためにインターネットに接続されている必要があります。
SonicWALL 登録およびライセンス ウィザードを使用して SonicWALL セキュリティ サービスを購入する
には、 次の手順を実行します。
1. SonicWALL 装置の管理インターフェースにログインします。
46
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > セキュリティ ダッシュボード
2. 左側のナビゲーション メニューで、 「ウィザード」 を選択します。 設定ウィザードが表示されます。
3. 「登録およびライセンス ウィザード」 の横のラジオ ボタンを選択し、 「次へ」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
47
第 3 章 : SonicWALL セキュリティ ダッシュボードの表示
4. 最初の画面が表示されます。
「次へ」 を選択します。
5. mysonicwall.com アカウントをお持ちの場合は、 「ユーザ名」 フィールドにユーザ名を入力し、 「パス
ワード」 フィールドにパスワードを入力します。 mysonicwall.com アカウントをお持ちでない場合は、
「sonicwall.com アカウントの作成」 の横のラジオ ボタンを選択します。 「次へ」 を選択します。
6. 「sonicwall.com アカウントの作成」 を選択した場合は、 「ユーザ登録」 ページが表示されます。 アカ
ウントを作成するために必要な情報を入力して、 「次へ」 を選択します。
48
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > セキュリティ ダッシュボード
補足 既存の mysonicwall.com アカウントのユーザ名とパスワードを入力した場合は、 このページは表
示されません。 次の手順に進んでください。
7. 購入するサービスの横のチェックボックスを選択し、 「次へ」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
49
第 3 章 : SonicWALL セキュリティ ダッシュボードの表示
8. 別のブラウザ ウィンドウが開かれるという通知が表示されます。
「OK」 を選択します。
9. 別のブラウザ ウィンドウで 「mysonicwall.com」 ページが開かれます。 画面に表示される指示に従っ
て、 SonicWALL セキュリティ サービスの購入を完了します。
50
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > セキュリティ ダッシュボード
10. セキュリティ サービスの購入が完了すると、 ウィザード ウィンドウに戻ります。 「ライセンス同期」 ウィ
ンドウで、 新しいセキュリティ サービスと SonicWALL セキュリティ装置との同期が行われます。 「次
へ」 を選択して同期を完了します。
11. 「完了しました」 ページが表示されます。 これで、 セキュリティ サービスの購入と同期が正常に完了し
ました。 「閉じる」 を選択してウィザードを閉じます。
セキュリティ サービスのライセンスが付与されたことを確認するには、 左側のメニューで 「セキュリティ
サービス > 概要」 を選択し、 サービスのステータスが 「購読済」 となっていることを確認します。 各サー
ビスの高度な設定の詳細については、 SonicWALL の 『管理者ガイド』 を参照してください。 このガイド
はウェブ サイト 〈http://www.sonicwall.com/us/Support.html〉 から入手できます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
51
第 3 章 : SonicWALL セキュリティ ダッシュボードの表示
関連機能
SonicWALL 登録およびライセンス ウィザード - SonicWALL 登録およびライセンス ウィザードを使用し
て、 SonicWALL セキュリティ装置の管理インターフェースから SonicWALL セキュリティ サービスを直接
購入できます。
SonicWALL セキュリティ サービス - SonicWALL には、 SonicWALL セキュリティ ダッシュボードで報
告される脅威を防御する包括的なセキュリティ サービスが用意されています。 全サービスが記載された一
覧については、 SonicWALL のウェブサイト 〈http://www.sonicwall.com/us/Support.html〉 を参照してく
ださい。
セキュリティ サービスには次のものがあります。
• ゲートウェイ アンチウィルス - ウィルス、 ワーム、 トロイの木馬、 およびその他の脅威を防御します。
• ゲートウェイ アンチスパイウェア - 新たなおよび既存の悪意のあるスパイウェアを防御します。
• 侵入防御サービス - アプリケーション層の攻撃を防御します。
• コンテンツ フィルタ サービス - 好ましくないウェブ コンテンツへのアクセスを制限することによって、 防
御および生産性を高めます。
• 8 × 5 動的サポート - ソフトウェアおよびファームウェアの更新を含む、 1 年間の電話およびウェブで
のサポートを提供します。
• ViewPoint - ネットワーク活動に関する詳細で包括的なレポートを提供します。
52
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 4 èÕ
第4章
システム状況情報の表示
システム > 状況
systemstatusview
「状況」 ページは、 「システム メッセージ」、 「システム情報」、 「最近の警告」、 「セキュリティ サービス」、
「ネットワーク インターフェース」 の 5 つのセクションで構成されています。
53
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 4 章 : システム状況情報の表示
ウィザード
「システム > 状況」 ページの 「ウィザード」 ボタンを押すと、 SonicWALL 構成ウィザードにアクセスでき
ます。
このウィザードでは、 次のウィザードを使用して SonicWALL セキュリティ装置を簡単に設定できます。
• セットアップ ウィザード - インターネット (WAN) 接続および LAN 接続の安全性が確保されるように
SonicWALL セキュリティ装置をすばやく設定できます。
• ネットワーク アクセス ルール ウィザード - ウェブ サーバや電子メール サーバなどの内部サーバに外部
から誰でもアクセスできるように SonicWALL セキュリティ装置をすばやく設定できます。 また、 一般的
なファイアウォール ルールを作成することもできます。
• VPN ウィザード - 新しいサイト間 VPN ポリシーを作成できるほか、 SonicWALL グローバル VPN
クライアントから VPN で接続できるように WAN GroupVPN を設定できます。
システム メッセージ
SonicWALL セキュリティ装置で問題を引き起こす可能性がある設定に関する情報であり、 パスワード、
ログ メッセージ、 重要なシステム イベントなどがあります。
システム情報
このセクションには、 次の情報が表示されます。
• モデル - SonicWALL セキュリティ装置の種類です。
• シリアル番号 - SonicWALL セキュリティ装置の MAC アドレスでもあります。
• 認証コード - 〈https://www.mysonicwall.com〉 の登録データベースで SonicWALL セキュリティ装置
を認証するのに使用する英数字コードです。
• ファームウェア バージョン - SonicWALL セキュリティ装置にロードされているファームウェア バージョ
ンです。
• ROM バージョン - ROM バージョンです。
• CPU - SonicWALL セキュリティ装置のプロセッサの使用率と種類が表示されます。
• 搭載しているメモリ - RAM およびフラッシュ メモリの容量です。
• アップタイム - SonicWALL セキュリティ装置が動作し続けている時間です (日、 時、 分、 秒単
位)。
• 現在の接続 - 現在 SonicWALL セキュリティ装置に存在するネットワーク接続の数です。
54
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 状況
• 最終更新 - 管理者の接続元の IP アドレスおよび最終修正時刻です。
• 登録コード - 登録コードは、 〈https://www.mysonicwall.com〉 で SonicWALL セキュリティ装置を登録
すると生成されます。
セキュリティ サービス
mysonicwall.com で SonicWALL セキュリティ装置を登録しないと、 「セキュリティ サービス」 フォルダ
に次のメッセージが表示されます。 「SonicWALL セキュリティ装置は登録されていません。 ここを選択
して、 SonicWALL セキュリティ装置を登録してください。」 SonicWALL セキュリティ装置を登録したり、
セキュリティ サービスを購読したりするには、 mysonicwall.com アカウントが必要です。
mysonicwall.com アカウントは、 SonicWALL 管理インターフェースから直接作成できます。
Â
参照 登録手順の詳細については、 第 2 章 「SonicWALL セキュリティ装置の設定手順」 を参照してく
ださい。
SonicWALL セキュリティ装置を登録すると、 利用可能な SonicWALL セキュリティ サービスのリストが
このセクションに表示されます。 各サービスは 「購読済」 または 「未購読」 のどちらかの状況になってい
ます。 「購読済」 の場合、 「状況」 列にはライセンスの数および使用中のライセンスの数が表示されま
す。 矢印アイコンを選択すると、 「システム > ライセンス」 ページが SonicWALL ウェブベース管理イン
ターフェースに表示されます。 SonicWALL セキュリティ サービスおよび SonicWALL セキュリティ装置
の登録は、 mysonicwall.com によって管理されています。
Â
参照 SonicWALL セキュリティ サービスの詳細と、 SonicWALL セキュリティ装置でセキュリティ サー
ビスを購読する方法については、 「第 7 章セキュリティ サービス」 を参照してください。
最新の警告
このセクションには、 システム エラーや攻撃に関連するメッセージが表示されます。 攻撃メッセージには、
AV 警告、 電子メール添付ファイルの禁止、 ポート スキャン、 不正な資格情報を使用したログイン、 IP
スプーフィング、 smurf アプリケーション攻撃などがあります。 システム エラーには、 WAN IP 変更や暗
号化エラーなどがあります。 青い矢印を選択すると、 「ログ > ログ」 ページが表示されます。
ネットワーク インターフェース
ネットワーク インターフェースには、 SonicWALL セキュリティ装置に搭載されているインターフェースの IP
アドレスおよびリンク情報が表示されます。 このセクションに表示されるインターフェースは、 SonicWALL
SonicWALL SonicOS Standard 3 . 8管理者ガイド
55
第 4 章 : システム状況情報の表示
セキュリティ装置のモデルによって異なります。 矢印を選択すると、 「ネットワーク > 設定」 ページが表示
されます。
Â
56
SonicWALL セキュリティ装置のモデル
インターフェース
SonicWALL TZ 50
WAN、 LAN
SonicWALL TZ 50 Wireless
WAN、 LAN、 WLAN
SonicWALL TZ 150
WAN、 LAN
SonicWALL TZ 150 Wireless
WAN、 LAN、 WLAN
SonicWALL TZ 170
WAN、 LAN、 OPT
SonicWALL TZ 170 SP
WAN、 LAN、 モデム
SonicWALL TZ 170 Wireless
WAN、 LAN、 WLAN
SonicWALL TZ 180
WAN、 LAN、 OPT
SonicWALL TZ 180 Wireless
WAN、 LAN、 WLAN
SonicWALL PRO 1260
WAN、 LAN、 OPT
SonicWALL PRO 2040
WAN、 LAN、 DMZ
SonicWALL PRO 3060
WAN、 LAN、 DMZ
参照 ネットワーク インターフェースの設定の詳細については、 第 10 章 「ネットワーク設定の構成」 を参
照してください。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 5 èÕ
第5章
システム > ライセンス
システム > ライセンス
「システム > ライセンス」 ページには、 SonicWALL セキュリティ サービスおよびアップグレードを有効化、
アップグレードまたは更新するためのリンクが用意されています。
ノード ライセンス状況
「システム > ライセンス」 ページから、 ノードのライセンスを監視および制御できます。 「ノード ライセンス状
況」 セクションには、 ライセンス済みノードの数および現在使用中のノードの数が表示されます。 (インター
ネットへのアクセスを必要としないネットワーク プリンタなどで) ノードのライセンスが消滅しないように、 除外リ
ストを作成するためのファシリティが用意されています。
SonicWALL セキュリティ装置がノード数に制限のないものである場合は、 「ノード ライセンス状況」 セクショ
ンに 「現在のライセンス済みノード」 および 「ノード ライセンス除外リスト」 の設定がありません。
57
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 5 章 : システム > ライセンス
現在のライセンス済みノード
ノードに制限のある機器では、 ローカル インターフェース上に存在し、 かつ WAN インターフェースを通過
しようとしているアクティブなホストの数で、 ノードの使用数が求められます。 ホストは、 まったく動作しな
いまま 5 分間経過すると、 アクティブではないとみなされ、 「現在のライセンス済みノード」 リストから削除
されます。 動作を再開すると、 リストに再登録されます。
ノードのライセンスが制限値に達すると、 制限超過となったホストが WAN にアクセスしようとしても拒否さ
れます。 そのホストが試みているトラフィックが HTTP である場合は、 SonicWALL セキュリティ装置の
「ライセンス超過」 ページにホストがリダイレクトされます。
ノード ライセンス除外リスト
IP アドレスを 「ノード ライセンス除外リスト」 に追加するには、 「追加」 ボタンを選択します。 「ライセンス
除外ノードの追加/編集」 ウィンドウが表示されます。
「ノードの IP アドレス」 フィールドにノードの IP アドレスを入力し、 「コメント」 フィールドにコメントを入力し
ます (コメントは省略可)。
「現在のライセンス済みノード」 テーブルの 「除外」 列にあるアイコンを選択して、 「ノード ライセンス除外
リスト」 に自動的にエントリを追加できます。 このアイコンを選択すると、 ホストを除外リストから除外しよう
としているか、 または追加しようとしているという警告が表示され、 ノードから WAN にアクセスできなくなり
ます。 「OK」 を選択します。 「ノード ライセンス除外リスト」 が更新され、 変更内容が反映されます。
削除
アイコンを使用すると、 除外リストからエントリを削除し、 WAN へのアクセスを復活させて参照
先のホストにアクセスできるようになります。 編集
アイコンを使用すると、 エントリにコメントを追加し
たり、 既存のコメントを変更したりできます。
「ノード ライセンス除外リスト」 テーブルも更新され、 変更内容が反映されます。
58
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > ライセンス
「自動ファイアウォール アクセス ルール」 を選択すると、 管理セッションが 「ファイアウォール > アクセス
ルール」 ページにリダイレクトされます。 このページでは、 自動的に作成された編集不可のルールを参照
できます。
セキュリティ サービス > 概要
「セキュリティ サービスの概要」 は、 SonicWALL セキュリティ装置で利用可能なセキュリティ サービスの
一覧表です。 セキュリティ サービス列には、 SonicWALL セキュリティ サービスと、 SonicWALL セキュ
リティ装置向けのアップグレードが記載されています。 「ステータス」 列は、 セキュリティ サービスが有効
であるか (「購読済」)、 今後有効にできるか (「未購読」)、 すでに有効でなくなっているか (「失効済」)
を示しています。 「カウント」 列には、 ライセンスが許可されたノード/ユーザの数が表示されます。
「セキュリティ サービスの要約」 テーブルの情報は、 次回 SonicWALL セキュリティ装置が自動的に (1
日に 1 回) mysonicwall.com アカウントと同期したとき、 またはユーザが 「セキュリティ サービスのオン
ライン管理」 セクションにある 「mysonicwall.com とライセンスを同期するにはここを選択してください」
のリンクを選択したときに、 mysonicwall.com アカウントの情報で更新されます。
補足 SonicWALL セキュリティ サービスの詳細と、 SonicWALL セキュリティ装置でセキュリティ サー
ビスを有効にする方法については、 「第 8 章セキュリティ サービスの設定」 を参照してください。
activationview
SonicWALL SonicOS Standard 3 . 8管理者ガイド
59
第 5 章 : システム > ライセンス
セキュリティ サービスのオンライン管理
サービスを有効化、 アップグレード、 または更新するには、 「サービスの購読、 アップグレード、 および
更新はここを選択してください。」 のリンクを選択します。 mysonicwall.com アカウントを 「セキュリティ
サービスの概要」 テーブルと同期するには、 「mysonicwall.com とライセンスを同期するにはここを選択
してください」 のリンクを選択します。
また、 「無料トライアルに関してはここを選択してください。」 を選択すると、 SonicWALL の検閲機能およ
びネットワーク アンチウイルスの購読を無料で試すことができます。 これらのリンクを選択すると、
「mysonicwall.com ログイン」 ページが表示されます。 「ユーザ名」 フィールドと 「パスワード」 フィー
ルドに、 mysonicwall.com アカウントのユーザ名とパスワードをそれぞれ入力し、 「この内容を送付す
る」 を選択します。 「サービスのオンライン管理」 ページが開き、 mysonicwall.com アカウントのライセ
ンス情報が表示されます。
手動でアップグレード
「手動でアップグレード」 では、 mysonicwall.com で未購読のサービスに付与されている有効化鍵を入
力して、 サービスを有効化できます。 サービスに添付されている有効化鍵を 「アップグレード キーの入
力」 フィールドに入力し、 「この内容を送付する」 を選択します。
9
ヒント SonicWALL セキュリティ装置でサービスをアップグレードおよび有効化するには、
mysonicwall.com アカウントが必要です。
閉じた環境での手動アップグレード
SonicWALL セキュリティ装置から直接インターネットに接続することを許可していないセキュリティの高い
環境に SonicWALL セキュリティ装置を配備している場合は、 〈http://www.mysonicwall.com〉 から暗号化
されたライセンス キー情報を入手し、 手動で SonicWALL 管理インターフェースの 「システム > ライセン
ス」 ページに入力できます。
補足 暗号化されたライセンス キーセットの手動アップグレードは、 閉じた環境専用の機能です。
SonicWALL セキュリティ装置をインターネットに接続している場合は、 SonicWALL セキュリティ装置の
自動登録機能およびセキュリティ サービス アップグレード機能を使用することをお勧めします。
インターネットに接続されているコンピュータから
1. 先に進む前に、 〈http://www.mysonicwall.com〉 にアカウントがあり、 そのアカウントに SonicWALL セ
キュリティ装置を登録していることを確認してください。
60
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > ライセンス
2. 〈http://www.mysonicwall.com〉 にログインした後、 「Registered SonicWALL Products」 の一覧か
ら、 登録した SonicWALL セキュリティ装置を選択します。
3. 「View License Keyset」 リンクを選択します。 テキスト ボックスに表示されたスクランブル テキスト
は、 選択した SonicWALL セキュリティ装置および有効化したセキュリティ サービスのライセンス キー
セットです。 後で SonicWALL セキュリティ装置にキーセットを手動で入力する場合は、 キーセットをコ
ピーして 「システム > ライセンス」 ページに貼り付けるか、 またはそのページを印刷してください。
SonicWALL セキュリティ装置の管理インターフェースから
4. SonicWALL セキュリティ装置で SonicOS Standard または Enhanced 2.1 (以降) が実行されてい
ることを確認します。
5. 「システム > ライセンス」 ページ (SonicOS) の 「手動でアップグレード」 セクションの 「キーセット」
フィールドにキーセット (手順 3 で作成したもの) を貼り付けます (または入力します)。
6. SonicWALL セキュリティ装置を更新するには、 「この内容を送付する」 ボタンまたは 「適用」 ボタン
を選択します。 ページの最下部にある 「状況」 フィールドには、 設定が更新されたことが表示されま
す。
7. 「システム > 診断 > テクニカル サポート レポート」 を生成して、 アップグレードの詳細を確認できま
す。
S
警告 手動でアップグレードすると、 「システム > ライセンス」 ページには登録情報もアップグレード情報
も表示されません。 警告メッセージ
警告 「SonicWALL の登録情報を更新する必要があります。 SonicWALL セキュリティ装置を登録し
た後で、 「システム > 状況」 ページで登録情報を更新してください。」 が表示されます。 この警告メッセー
ジは無視してください。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
61
第 5 章 : システム > ライセンス
62
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 6 èÕ
第6章
システム > 管理の使用
システム > 管理
「システム > 管理」 ページでは、 SonicWALL セキュリティ装置の安全性の確保とリモート管理のための設
定が可能です。 SonicWALL セキュリティ装置は、 HTTPS、 SonicWALL グローバル管理システム
(SonicWALL GMS) など、 さまざまな方法を使用して管理できます。
ファイアウォール名
ファイアウォール名は SonicWALL セキュリティ装置を一意に識別します。 既定のファイアウォール名は
SonicWALL セキュリティ装置のシリアル番号です。 シリアル番号は SonicWALL セキュリティ装置の MAC
アドレスでもあります。 ファイアウォール名は、 主にログ ファイルを電子メールで送信するときに使用されま
す。 ファイアウォール名を変更するには、 「ファイアウォール名」 フィールドに英数字で一意の名前を入力しま
す。 8 文字以上の長さにする必要があります。
63
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 6 章 : システム > 管理の使用
名前/パスワード
管理者名
管理者名は、 既定で 「admin」 に設定されますが、 32 文字までの英数字を使用して変更できます。 新
しい管理者名を作成するには、 「管理者名」 フィールドに新しい名前を入力します。 「適用」 を選択する
と、 SonicWALL セキュリティ装置に変更が適用されます。
管理者パスワードの変更
パスワードを設定するには、 「古いパスワード」 フィールドに古いパスワードを入力し、 「新しいパスワー
ド」 フィールドに新しいパスワードを入力します。 「パスワードの確認」 フィールドにもう一度新しいパス
ワードを入力し、 「適用」 を選択します。 SonicWALL セキュリティ装置が更新された後、 ブラウザ ウィン
ドウの一番下に更新を確認するメッセージが表示されます。
ログイン セキュリティ
「管理者セッションのタイムアウト時間 (分)」 フィールドの設定により、 操作がない場合に管理インター
フェースから自動的にログアウトされるまでの時間を設定できます。 既定では、 無動作時間が 5 分経過す
ると管理者は自動的にログアウトされます。
9
ヒント 「管理者セッションのタイムアウト時間 (分)」 に 5 分を超える時間を設定した場合は、
SonicWALL ウェブ管理インターフェースへの不正アクセスを防ぐため、 各管理セッションを終了するとき
に必ず 「ログアウト」 を選択してください。
「管理者セッションのタイムアウト時間 (分)」 フィールドに分単位の時間を入力し、 「適用」 を選択しま
す。 時間は 1 ~ 9999 分の範囲に指定できます。 「適用」 を選択すると、 ブラウザ ウィンドウの一番下
に更新を確認するメッセージが表示されます。
管理者/ユーザのロックアウトを有効にする
ログイン資格情報が正しくない場合に管理者またはユーザをロックアウトするよう SonicWALL セキュリティ
装置を設定できます。 「管理者/ユーザのロックアウトを有効にする」 チェック ボックスを選択して、 正し
い認証資格情報がなければ SonicWALL セキュリティ装置にログインできないようにします。 「1 分間で
のログイン最高試行回数」 フィールドに、 ユーザをロックアウトするまでのログイン失敗回数を入力します。
「ロックアウト時間 (分)」 フィールドに、 ロックアウトされたユーザが SonicWALL セキュリティ装置に再
度ログインを試行できるようになるまでの時間を入力します。
S
警告 管理者とユーザが同じ送信元 IP アドレスを使用して SonicWALL セキュリティ装置にログインしよ
うとすると、 管理者も SonicWALL セキュリティ装置からロックアウトされます。 ロックアウトは、 ユーザま
たは管理者の送信元 IP アドレスに基づいています。
ウェブ管理設定
SonicWALL セキュリティ装置は HTTP または HTTPS、 およびウェブ ブラウザを使用して管理できま
す。 既定では、 HTTP と HTTPS の両方が有効になっています。 HTTP の既定ポートはポート 80 です
が、 他のポートからアクセスするように設定することもできます。 「ポート」 フィールドに使用するポート番
64
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 管理
号を入力し、 「更新」 を選択します。 ただし、 HTTP 管理用に 80 番以外のポートを設定した場合、 IP
アドレスを使用して SonicWALL セキュリティ装置にログインするときにポート番号も入力する必要があり
ます。 たとえば、 ポートを 76 番に設定した場合、 ウェブ ブラウザで 〈LAN IP アドレス〉 に 76 を付加し
た値を入力する必要があります。 たとえば、 〈http://192.168.168.1:76〉 のようにします。
HTTPS 管理の既定ポートは標準ポート 443 です。 この既定ポートを変更することによって、
SonicWALL セキュリティ装置へのログインにセキュリティ層をもう 1 つ追加できます。 HTTPS 管理用に
他のポートを設定するには、 「ポート」 フィールドに使用するポート番号を入力し、 「更新」 を選択します。
たとえば、 HTTPS 管理ポートを 700 番に設定した場合、 SonicWALL セキュリティ装置にアクセスする
には、 〈https://192.168.168.1:700〉 のようにポート番号と IP アドレスを使用して SonicWALL セキュリティ
装置にログインする必要があります。
「証明書の選択」 メニューで、 「自己署名証明書を使用」 を選択した場合、 SonicWALL セキュリティ装
置にログインするごとに新しい証明書をダウンロードすることなく、 1 つの証明書を続けて使用できます。
また、 「証明書のインポート」 を選択して、 「VPN > ローカル証明書」 ページでインポートされた証明書
を選択し、 管理インターフェースの認証に利用できます。
「LAN から管理インターフェースへの Ping を有効にする」 を設定すると、 LAN ユーザが SonicWALL
に Ping してオンラインかどうかを確認できるようになります。
SonicWALL 管理インターフェースのテーブルの既定サイズの変更
SonicWALL 管理インターフェースでは、 「ファイアウォール > アクセス ルール」 ページのテーブルのよう
に、 管理インターフェースのあらゆるテーブルの情報を大規模なテーブルにまとめて表示できます。
SonicWALL 管理インターフェースに表示されるすべてのテーブルの既定テーブル ページ サイズは、 既
定では 1 ページあたり 50 アイテムですが、 1 ~ 5,000 アイテムの任意のサイズに変更できます。
テーブルの既定サイズを変更するには :
1. 「テーブル サイズ」 フィールドに最大テーブル サイズ数を入力します。
2. 「適用」 を選択します。
高度な管理
mansnmpview
SNMP を有効にする
SNMP (Simple Network Management Protocol) は UDP (User Datagram Protocol) 上で使用
されるネットワーク プロトコルです。 ネットワーク管理者は SNMP を利用して SonicWALL セキュリティ装
置の状態を監視したり、 ネットワーク上で重大なイベントが発生した際に通知を受信したりできます。
SonicWALL セキュリティ装置は、 SNMP v1 / v2c および関連するすべての Management
Information Base II (MIB II) グループ (egp と at 以外) をサポートしています。 SonicWALL セキュ
リティ装置は任意のインターフェースを介して MIBII 用の SNMP Get コマンドに応答し、 トラップ メッセー
ジ生成のための個別 SonicWALL MIB をサポートします。 個別 SonicWALL MIB は SonicWALL の
ウェブ サイトからダウンロードでき、 HP Openview、 Tivoli、 SNMPC などのサードパーティ製 SNMP
管理ソフトウェアにロードできます。
SonicWALL セキュリティ装置で SNMP を有効にするには、 「SNMP を有効にする」 チェック ボックスを
選択し、 「システム > 管理」 ページの 「設定」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
65
第 6 章 : システム > 管理の使用
補足 SonicWALL セキュリティ装置では、 v1 トラップはサポートされていません。
1. 「システム名」 フィールドに SonicWALL セキュリティ装置のホスト名を入力します。
2. 「システムの連絡先」 フィールドにネットワーク管理者の名前を入力します。
3. 「システムの場所」 フィールドに電子メール アドレス、 電話番号、 またはポケットベル番号を入力しま
す。
4. 「Get コミュニティ名」 フィールドに SNMP データを参照できる管理者のグループまたはコミュニティの名
前を入力します。
5. 「Trap コミュニティ名」 フィールドに SNMP トラップを参照できる管理者のグループまたはコミュニティの
名前を入力します。
6. 「ホスト1」 から 「ホスト4」 のフィールドに SNMP トラップを受信する SNMP 管理システムの IP アドレス
またはホスト名を入力します。 少なくとも 1 つの IP アドレスまたはホスト名を設定する必要があります。
最大 4 つの IP アドレスまたはホスト名を使用できます。
7. 「OK」 を選択します。
トラップ メッセージは、 通常 SonicWALL セキュリティ装置が送信する警告メッセージ種別に関してのみ生
成されます。 たとえば、 攻撃、 システム エラー、 ウェブ サイトの遮断に関してトラップ メッセージが生成さ
れます。 「ログ > 設定」 ページでこれらの種別を選択しなかった場合、 トラップ メッセージは生成されま
せん。
既定では、 SonicWALL セキュリティ装置は LAN インターフェースで受信した 「SNMP 取得」 メッセージ
にのみ応答します。 WAN インターフェースとの間で SNMP トラフィックをやりとりするには、 適切なルー
ルを設定する必要があります。 SNMP トラップ メッセージは、 LAN でも WAN でも送信できます。
補足 SonicWALL セキュリティ装置へのサービスおよびルールの追加については、 「第 4 章ファイア
ウォールの設定」 を参照してください。
SNMP 管理システムが自動検出をサポートしている場合は、 SonicWALL エージェントがネットワーク上
の SonicWALL セキュリティ装置を自動検出します。 サポートしていない場合、 SNMP 管理システム上
の SNMP 管理機器のリストに SonicWALL セキュリティ装置を追加する必要があります。
mangmsview
SonicWALL GMS による管理を有効にする
SonicWALL グローバル管理システム (GMS) で SonicWALL セキュリティ装置を管理できるようにす
るには、 「GMS による管理を有効にする」 チェック ボックスを選択し、 「設定」 を選択します。 「GMS
の設定」 ウィンドウが表示されます。
GMS で管理できるように SonicWALL セキュリティ装置を設定するには :
1. 「GMS ホスト名または IP アドレス」フィールドに GMS コンソールのホスト名または IP アドレスを入力しま
す。
2. 「GMS Syslog サーバ ポート」 フィールドにポートを入力します。 既定値は 514 です。
3. ログ メッセージの代わりにハートビート ステータスのみを送信するには、 「ハートビート ステータス メッ
セージのみ送信する」 を選択します。
4. ネットワークで NAT を実行している機器の背後に GMS コンソールが配置されている場合、 「NAT 機器
背後の GMS」 を選択し、 「NAT 機器の IP アドレス」 フィールドに NAT 機器の IP アドレスを入力し
ます。
5. 「管理モード」 メニューから以下の GMS モードのいずれかを選択します。
「管理用 IPSEC トンネル」 - SonicWALL セキュリティ装置に搭載されている管理用 IPSec トンネル
を使用します。 既定の IPSec VPN 設定が表示されます。
「既存のトンネル」 - 既存のトンネルを使用して GMS で SonicWALL セキュリティ装置を管理します。
「HTTPS」 - HTTPS を使用して GMS で SonicWALL セキュリティ装置を管理します。 HTTPS 管
理モードの次の設定が表示されます。
66
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 管理
「Syslog メッセージを分散 GMS レポーティング サーバに送信する」 - GMS 管理サーバとは異な
る GMS レポーティング サーバに Syslog メッセージを送信します。
「GMS レポーティング サーバ IP アドレス」 - GMS レポーティング サーバが GMS 管理サーバと
は異なる場合、 GMS レポーティング サーバの IP アドレスを入力します。
「GMS レポーティング サーバ ポート」 - GMS レポーティング サーバのポートを入力します。 既定
値は 514 です。
6. 「OK」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
67
第 6 章 : システム > 管理の使用
68
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 7 èÕ
第7章
システム時間の設定
システム > 時間
systemtimeview
「システム > 時間」 ページでは、 ログ イベントのタイム スタンプ、 SonicWALL セキュリティ サービスの自
動更新、 およびその他の内部の目的に使用する時刻と日付の設定を定義します。
時間の設定
SonicWALL セキュリティ装置は、 ログ イベントのタイム スタンプ、 フィルタ購読のサービスの自動更新、 お
よびその他の内部の目的に時刻と日付を使用します。 既定では、 SonicWALL セキュリティ装置は公開
NPT サーバの内部リストを使用して時刻を自動的に更新します。 ネットワーク タイム プロトコル (NPT) は、
コンピュータのネットワーク内でコンピュータの時刻を同期するために使用されるプロトコルです。
SonicWALL セキュリティ装置の時刻の設定
タイム ゾーンを選択して自動的に時刻を更新するには、 「タイム ゾーン」 メニューからタイム ゾーンを選択しま
す。 既定では、 「NTP を使用して自動的に時刻を調整する」 の設定が有効であり、 NTP (ネットワーク タ
イム プロトコル) を使用して時刻が自動的に設定されます。 時刻を手動で設定したい場合は、 この設定をオ
フにします。 「時刻 (hh : mm : ss) 」 メニュー、 および 「日付」 メニューからのデータを使用して、 24
時間形式で時刻を選択します。 既定では、 「夏時間の調整を自動的に行う」 が有効になっていて、 夏時間
の自動調整が有効です。
「ログに UTC (協定世界時) を使用する」 を選択して、 ログ イベントにローカル タイムではなく、 協定世界
時 (UTC) を使用します。
「国際形式で時刻を表示する」 を選択すると、 日付は日の前に月が示される国際形式で表示されます。
システム時刻の設定を選択したら、 「適用」 を選択します。
69
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 7 章 : システム時間の設定
NPT の設定
ネットワーク タイム プロトコル (NPT) は、 コンピュータのネットワーク内でコンピュータの時刻を同期する
ために使用されるプロトコルです。 SonicWALL セキュリティ装置は NPT サーバの内部リストを使用しま
す。 このため、 手動による NPT サーバの入力はオプションです。
「NPT を使用して自動的に時刻を調整する」 を選択して、 NPT を有効にします。 また、 NPT サーバの
「更新間隔 (分)」 を設定して SonicWALL セキュリティ装置を更新することができます。 既定値は 60
分です。
9
ヒント WAN 接続の問題が発生したときは、 可能な場合、 ローカル NPT サーバを使用して
SonicWALL セキュリティ装置の時刻が同期されていることを確認することをお勧めします。
NPT サーバを SonicWALL セキュリティ装置の設定に追加するには、 「追加」 を選択します。 「NPT
サーバの追加」 ウィンドウが表示されます。 「IP アドレス」 フィールドに、 NPT サーバの IP アドレスを入
力します。 「OK」 を選択します。 「システム > 時間」 ページの 「適用」 を選択して、 SonicWALL セ
キュリティ装置を更新します。 NPT サーバを削除するには、 IP アドレスを強調表示して 「削除」 を選択し
ます。 または、 すべてのサーバを削除するには、 「すべて削除」 を選択します。
70
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 8 èÕ
第8章
システム設定の設定
システム > 設定
「システム > 設定」 ページには、 SonicWALL セキュリティ装置のファームウェアおよび個別プリファレンス
を管理するための機能が用意されています。
設定
設定のインポート
以前に保存したプリファレンス ファイルを SonicWALL セキュリティ装置にインポートするには、 次の手順を
実行します。
1. 以前にエクスポートしたプリファレンス ファイルを SonicWALL セキュリティ装置にインポートするには、「設
定のインポート」 を選択します。 「設定のインポート」 ウィンドウが表示されます。
2. 「参照」 を選択して、 拡張子が .exp のファイルを探します。
3. 目的のプリファレンス ファイルを選択します。
4. 「インポート」 を選択し、 SonicWALL セキュリティ装置を再起動します。
設定のエクスポート
SonicWALL セキュリティ装置から設定をエクスポートするには、 次の手順を実行します。
1. 「設定のエクスポート」 を選択します。
2. 「エクスポート」 を選択します。
3. 「保存」 を選択し、 ファイルの保存先を選択します。 ファイルには sonicwall.exp という名前が付けられま
すが、 変更することもできます。
71
SonicWALL SonicOS Standard 3 . 8管理者ガイド
4. 「保存」 を選択します。 この処理には、 最大で 1 分ほどかかることがあります。 ファームウェアのリセット
が必要になった場合には、 エクスポートしたこのプリファレンス ファイルを SonicWALL セキュリティ装置
にインポートできます。
ファームウェアの管理
「ファームウェアの管理」 セクションには、 ファームウェアのアップグレードおよびプリファレンスの管理を簡単
に行うための設定が用意されています。 「ファームウェアの管理」 セクションでは、 次の処理を実行できま
す。
• ファームウェア イメージおよびシステム設定のアップロードおよびダウンロード
• 選択したファームウェアおよびシステム設定での起動
• システム バックアップの管理
• SonicWALL セキュリティ装置の以前のシステム状態への復帰
SonicWALL セキュリティ装置には 「ファームウェアの管理」 セクションと同じ設定を使用するセーフ
モードというものがあり、
不確実な状態からすばやくリカバリできます。
補足 新しいファームウェア
新しいファームウェアが利用可能になったことを自動的に通知してもらうには、 「新しいファームウェアが利用
可能になった時に通知する」 チェック ボックスを選択します。 この機能を有効にすると、 SonicWALL セキュ
リティ装置から SonicWALL セキュリティ装置ファームウェア サーバに状況メッセージが毎日送信されます。
メッセージには次の情報が含まれています。
• SonicWALL シリアル番号
• 製品の種類
• 現在のファームウェア バージョン
• 言語
• 現在利用可能なメモリ
• ROM バージョン
• オプションおよびアップグレード
ユーザ登録し、 有効なサポート契約を結ぶと、 購入から 90 日後にファームウェア更新を利用できる
Sようになります。
〈https://www.mysonicwall.com〉 で SonicWALL セキュリティ装置を登録してください。
警告 手動によるファームウェア更新
SonicWALL セキュリティ装置に新しいファームウェアをロードするには、 「ファームウェアのアップロード」 を
選択します。 現在のファームウェア バージョンがアップロードするバージョンで上書きされることを警告するダイ
アログ ボックスが表示されます。 新しいファームウェアをアップロードする前に、 現在の SonicWALL セキュ
リティ装置の設定をプリファレンス ファイルにエクスポートすることをお勧めします。 「参照」 を選択して、 新
しいファームウェア バージョンがある場所に移動します。 目的のファイルを見つけたら、 「アップロード」 を選
択して、 SonicWALL セキュリティ装置にそのファームウェアをロードします。
ファームウェアの管理の設定
「ファームウェアの管理」 テーブルには、 次の列があります。
• 「ファームウェア イメージ」 - この列には、 ファームウェア イメージの種類が一覧表示されます。
ƒ 「現在のファームウェア」。 SonicWALL セキュリティ装置に現在ロードされているファームウェアです。
ƒ 「現在のファームウェア (工場出荷時の設定)」。 このファームウェア イメージで再起動すると、
SonicWALL セキュリティ装置が既定の IP アドレス、 ユーザ名、 およびパスワードにリセットされま
す。
72
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ƒ 「現在のファームウェア (バックアップされた設定)」。 「設定のバックアップの作成」 を選択して作成し
たファームウェア イメージです。 これは、 バックアップ イメージを作成した後にのみ表示されます。
ƒ 「アップロードされたファームウェア」。 mysonicwall.com からアップロードした最新バージョンです。 こ
れは、 新しいファームウェアをアップロードした後にのみ表示されます。
ƒ 「アップロードされたファームウェア (工場出荷時の設定)」。 このファームウェア イメージで再起動する
と、 SonicWALL セキュリティ装置が既定の IP アドレス、 ユーザ名、 およびパスワードにリセットされ
ます。 これは、 新しいファームウェアをアップロードした後にのみ表示されます。
ƒ 「アップロードされたファームウェア (バックアップされた設定)」。 「設定のバックアップの作成」 を選択
して作成したファームウェア イメージです。 これは、 バックアップ イメージの作成後に新しいファーム
ウェアをアップロードした場合にのみ表示されます。
• 「バージョン」 - この列には、 ファームウェア バージョンが一覧表示されます。
• 「日付」 - ファームウェアをダウンロードした日付と時刻です。
• 「サイズ」 - ファームウェア ファイルのサイズ (メガバイト単位) です。
• 「ダウンロード」 - アイコンを選択すると、 お使いのコンピュータまたはネットワーク上の新しい場所に
ファームウェア ファイルが保存されます。 別の場所に保存できるのは、 アップロードしたファームウェアの
みです。
• 「起動」 - アイコンを選択すると、 SonicWALL セキュリティ装置が再起動されます。 使用されるファーム
ウェアは、 この列と同じ行に示されているバージョンのものとなります。
SonicWALL セキュリティ装置にファームウェアをアップロードするときには、 ウェブ ブラウザを閉じた
Sり、 リンクを選択したり、
新しいページをロードしたりして、 ウェブ ブラウザを中断しないでください。 ウェブ ブ
警告 ラウザを中断すると、 ファームウェアが破損することがあります。
ファームウェア イメージの隣にある 「起動」 を選択すると、 現在のファームウェア イメージが上書きさ
れて、 上書き後のイメージが
「現在のファームウェア」 イメージになります。 PRO 5060 では、 SonicWALL
補足 セキュリティ装置の再起動後に、 アップロードしたファームウェア イメージがテーブルから削除されます。
セーフモード - SonicWALL セキュリティ装置の再起動
セーフモードでは、 ファームウェアおよびプリファレンスを簡単に管理できるほか、 不確実な状態にある設定
をすばやくリカバリできます。 「リセット」 ボタンを 1 秒間押し続けると、 SonicWALL セキュリティ装置が
セーフモードになります。 セーフモードでは、 ロードするファームウェア バージョンを選択し、 SonicWALL セ
キュリティ装置を再起動できます。 SonicWALL セキュリティ装置をセーフモードにするには、 「リセット」 ボタ
ンを 1 秒間押し続けます。 SonicWALL セキュリティ装置が再起動し、 ウェブ ブラウザが開いたら、
SonicWALL セキュリティ装置の現在の IP アドレスまたは既定の IP アドレス (192.168.168.168) を入
力します。 「セーフモード」 ページが表示されます。 セーフモードでは、 次の処理を実行できます。
• SonicWALL セキュリティ装置へのファームウェア イメージのアップロードおよびダウンロード
• SonicWALL セキュリティ装置へのシステム設定のアップロードおよびダウンロード
• 選択したファームウェア オプションでの起動
• システム バックアップ ファイルの作成
• SonicWALL セキュリティ装置の以前のシステム状態への復帰
システム情報
このセクションには、 SonicWALL セキュリティ装置に関するシステム情報が表示されます。
ファームウェアの管理
「ファームウェアの管理」 テーブルには、 次の列があります。
• 「ファームウェア イメージ」 - この列には、 5 種類のファームウェア イメージが一覧表示されます。
ƒ 「現在のファームウェア」。 SonicWALL セキュリティ装置に現在ロードされているファームウェアです。
73
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ƒ 「現在のファームウェア (工場出荷時の設定)」。 このファームウェア イメージで再起動すると、
SonicWALL セキュリティ装置が既定の IP アドレス、 ユーザ名、 およびパスワードにリセットされま
す。
ƒ 「現在のファームウェア (バックアップされた設定)」。 「設定のバックアップの作成」 を選択して作成し
たファームウェア イメージです。 これは、 バックアップ イメージを作成した後にのみ表示されます。
ƒ 「アップロードされたファームウェア」。 mysonicwall.com からアップロードした最新バージョンです。
ƒ 「アップロードされたファームウェア (工場出荷時の設定)」。 このファームウェア イメージで再起動する
と、 SonicWALL セキュリティ装置が既定の IP アドレス、 ユーザ名、 およびパスワードにリセットされ
ます。
ƒ 「アップロードされたファームウェア (バックアップされた設定)」。 「設定のバックアップの作成」 を選択
して作成したファームウェア イメージです。 これは、 バックアップ イメージを作成した後にのみ表示され
ます。
• 「バージョン」 - この列には、 ファームウェア バージョンが一覧表示されます。
• 「サイズ」 - ファームウェア ファイルのサイズ (メガバイト単位) です。
• 「ダウンロード」 - アイコンを選択すると、 お使いのコンピュータまたはネットワーク上の新しい場所に
ファームウェア ファイルが保存されます。 別の場所に保存できるのは、 アップロードしたファームウェアの
みです。
• 「起動」 - アイコンを選択すると、 SonicWALL セキュリティ装置が再起動されます。 使用されるファーム
ウェアは、 この列と同じ行に示されているバージョンのものとなります。
ファームウェア イメージの隣にある 「起動」 を選択すると、 現在のファームウェア イメージが上書きさ
れて、 上書き後のイメージが
「現在のファームウェア」 イメージになります。
補足 SonicWALL セキュリティ装置を再起動するには、 任意のファームウェア行の 「起動」 を選択します。
74
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 設定
SonicWALL SonicOS Standard 3 . 8管理者ガイド
75
第 8 章 : システム設定の設定
76
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 9 èÕ
第9章
診断テストの実行
システム > 診断
systemtoolsview
「システム > 診断」 ページには、 CPU 監視およびプロセス監視のほか、 ネットワーク問題のトラブルシュー
ティングに有用な診断ツールがいくつか用意されています。
テクニカル サポート レポート
テクニカル サポート レポートは、 SonicWALL セキュリティ装置の設定と状況に関する詳細レポートを生成
し、 「レポートのダウンロード」 ボタンを使用してローカルのハード ディスクに保存します。 保存したファイルを
SonicWALL テクニカル サポートに電子メールで送り、 問題解決の助言を得ることができます。
テクニカル サポートを受けるには、 mysonicwall.com に SonicWALL セキュリティ装置を登録する
S必要があります。
警告 テクニカル サポート レポートを電子メールで SonicWALL テクニカル サポート チームに送信する前に、
〈https://www.mysonicwall.com〉 にあるテクニカル サポート リクエスト フォームに必要事項を記入してください。
77
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 9 章 : 診断テストの実行
フォームを送信すると、 一意の事例番号が返されます。 お問い合わせの際には必ずこの事例番号をご連
絡ください。 SonicWALL テクニカル サポートから的確なサービスを受けることができます。
テクニカル サポート レポートの生成
1. 「テクニカル サポート レポート」 セクションで、 次の 4 つのレポート オプションのいずれかを選択しま
す。
ƒ 「VPN 鍵」 - 共有鍵、 暗号鍵、 および認証鍵をレポートに保存します。
ƒ 「ARPキャッシュ」 - IP アドレスを対応するMACアドレスまたは物理アドレスに関連付けたテーブル
を保存します。
ƒ 「DHCP バインディング」 - SonicWALL セキュリティ装置 DHCP サーバからのエントリを保存しま
す。
ƒ 「IKE 情報」 - アクティブな IKE 設定に関する最新情報を保存します。
2. 「レポートのダウンロード」 を選択して、 システムにレポート ファイルを保存します。
ロード」 を選択すると、 警告メッセージが表示されます。
「レポートのダウン
3. 「OK」 を選択してファイルを保存します。 テクニカル サポート リクエストの電子メールにレポートを添付
します。
診断ツール
診断ツールは、 「システム > 診断」 ページの 「診断ツール」 セクションにある 「診断ツール」 メニューか
ら選択します。 次の診断ツールが用意されています。
• 「アクティブ接続監視」 ページ 79
• 「CPU 監視」 ページ 80
• 「DNS 名前ルックアップ」 ページ 80
• 「ネットワーク パスの検索」 ページ 81
• 「パケット トレース」 ページ 81
• 「Ping」 ページ 83
78
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 診断
• 「プロセス監視」 ページ 83
• 「名前の逆引き」 ページ 83
• 「TraceRoute」 ページ 84
アクティブ接続監視
「アクティブ接続監視」 には、 SonicWALL セキュリティ装置との間に確立されている接続がリアルタイム
に表示され、 その情報はエクスポートしたり (プレーン テキストまたは CSV)、 フィルタリングしたりできま
す。
アクティブ接続監視の設定
結果をフィルタリングして、 特定の条件に一致する接続のみを表示できます。 フィルタに使用できる条件
は、 「送信元 IP」、 「送信先 IP」、 「送信先ポート」、 「プロトコル」、 「送信元インターフェース」、 および
「送信先インターフェース」 です。 使用するフィルタ条件を 「アクティブ接続監視設定」 テーブルに入力し
ます。
値を入力したフィールドは、 論理 AND で検索文字列に結合されます。 たとえば、 「送信元 IP」 および
「送信先 IP」 に値を入力した場合は、 次の条件に一致する接続が検索されます。
送信元 IP AND 送信先 IP
2 つ以上指定した条件の隣にある 「グループ」 チェック ボックスを選択すると、 論理 OR で条件が結合さ
れます。 たとえば、 「送信元 IP」、 「送信先 IP」、 および 「プロトコル」 に値を入力し、 「送信元 IP」 お
よび 「送信先 IP」 の隣の 「グループ」 を選択すると、 次の条件に一致する接続が検索されます。
(送信元 IP OR 送信先 IP) AND プロトコル
「絞り込み」 を選択すると、 フィルタがただちに 「アクティブ接続監視」 テーブルに適用されます。 「絞り
込み解除」 を選択すると、 フィルタがクリアされ、 フィルタリングされていない結果が再度表示されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
79
第 9 章 : 診断テストの実行
アクティブ接続のリストをファイルにエクスポートできます。 「エクスポート」 を選択し、 結果のエクスポート
先をプレーン テキスト ファイルにするか、 カンマ区切り (CSV) ファイル (スプレッドシート、 レポート
ツール、 またはデータベースへのインポート用) にするかを選択します。 開くか保存するかを選択するよう
に求めるメッセージが表示されたら、 「保存」 を選択します。 ファイル名とパスを入力し、 「OK」 を選択し
ます。
接続が 「アクティブ接続監視」 テーブルに一覧表示されます。 表示される内容は次のとおりです。
• 送信元 IP
• 送信元 IP
• 送信先 IP
• 送信先ポート
• プロトコル
• 送信バイト
• 受信バイト
列を基準に並べ替えるにはその列見出しを選択します。
CPU 監視
CPU 監視診断ツールには、 CPU 使用率が秒、 分、 時、 および日の間隔でリアルタイムに表示されま
す (履歴データは再起動すると消去されます)。
補足 ウェブ管理ページを表示しているときや、 プリファレンスをフラッシュに保存しているときには、 CPU
使用率が高くなるのがふつうです。 このようなタスクを実行しているときの使用率は、 利用可能なリソース
がアイドル状態にあるのではなく、 効率的に使用されていることを示しています。 スケジューラにより、 トラ
フィック処理やパフォーマンス重視の重大なシステム タスクの方が、 ページの表示やプリファレンスの保存
などの管理タスクよりも、 常に優先順位が高く設定されます。
DNS 名前ルックアップ
SonicWALL セキュリティ装置は、 ドメイン名の IP アドレスを返す DNS ルックアップ ツールを搭載してい
ます。 ただし、 IP アドレスを入力した場合は、 そのアドレスに対応するドメイン名が返されます。
1. 「検索する名前」フィールドにホスト名または IP アドレスを入力します。 ホスト名に http を追加しないでく
ださい。
2. SonicWALL セキュリティ装置から DNS サーバに問い合わせが実行され、 その結果が 「結果」 セク
ションに表示されます。 また、 問い合わせの実行に使用された DNS サーバの IP アドレスも表示され
ます。
80
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 診断
「DNS 名前ルックアップ」 セクションにも、 SonicWALL セキュリティ装置に設定されている DNS サーバ
の IP アドレスが表示されます。 どの 「DNS サーバ」 フィールドにも IP アドレスが表示されていない場合
は、 「ネットワーク > 設定」 ページで IP アドレスを設定する必要があります。
ネットワーク パスの検索
「ネットワーク パスの検索」 によって、 IP ホストが LAN ポートまたは WAN ポートにあるかどうかがわかり
ます。 これで、 SonicWALL セキュリティ装置にネットワーク設定の問題が発生しているかどうかを診断で
きます。 たとえば、 あるコンピュータがインターネット上にあるのに、 SonicWALL セキュリティ装置には
LAN 上にあると示された場合は、 ネットワーク設定またはイントラネット設定が間違っている可能性があり
ます。
「ネットワーク パスの検索」 を使用すると、 対象機器がネットワーク ルータの背後にあるかどうかを確認
し、 その機器のイーサネット アドレスを調べることができます。 また、 機器が使用しているゲートウェイも
わかり、 設定の問題を切り離して考えることができます。
パケット トレース
「パケット トレース」 は、 移動元から移動先までの通信ストリームの状況を追跡するツールです。 通信スト
リームが、 SonicWALL セキュリティ装置で止まっていないかどうか、 インターネット上で失われていない
かどうかを調べるのに便利です。
このツールを把握するには、 TCP 接続を確立するたびに発生する 3 ウェイ ハンドシェークを理解する必要
があります。 以下に、 SonicWALL セキュリティ装置がある LAN 上のホストが、 WAN 上のリモート ホ
ストに対して開始する代表的な 3 ウェイ ハンドシェークを示します。
1. TCP が LAN で受信 [SYN]
送信元 192.168.168.158 / 1282 (00:a0:4b:05:96:4a)
SonicWALL SonicOS Standard 3 . 8管理者ガイド
81
第 9 章 : 診断テストの実行
送信先 204.71.200.74 / 80 (02:00:cf:58:d3:6a)
SonicWALL セキュリティ装置が、 LAN クライアントから SYN を受信します。
2. TCP が WAN で送信 [SYN]
送信元 207.88.211.116 / 1937 (00:40:10:0c:01:4e)
送信先 204.71.200.74 / 80 (02:00:cf:58:d3:6a)
SonicWALL セキュリティ装置が、 LAN クライアントからリモート ホストに SYN を転送します。
3. TCP が WAN で受信 [SYN、 ACK]
送信元 204.71.200.74 / 80 (02:00:cf:58:d3:6a)
送信先 207.88.211.116 / 1937 (00:40:10:0c:01:4e)
SonicWALL セキュリティ装置が、 リモート ホストから SYN,ACK を受信します。
4. TCP が LAN で送信 [SYN,ACK]
送信元 204.71.200.74 / 80 (02:00:cf:58:d3:6a)
送信先 192.168.168.158 / 1282 (00:a0:4b:05:96:4a)
SonicWALL セキュリティ装置が、 LAN クライアントに SYN,ACK を転送します。
5. TCP が LAN で受信 [ACK]
送信元 192.168.168.158 / 1282 (00:a0:4b:05:96:4a)
送信先 204.71.200.74 / 80 (02:00:cf:58:d3:6a)
クライアントが、 最終 ACK を送信し、 データ転送の開始を待機します。
6. TCP が WAN で送信 [ACK]
送信元 207.88.211.116 / 1937 (00:40:10:0c:01:4e)
送信先 204.71.200.74 / 80 (02:00:cf:58:d3:6a)
SonicWALL セキュリティ装置は、 クライアント ACK をリモート ホストに転送し、 データ転送の開始を待
機します。
パケット トレースを使用してネットワーク接続の問題を切り離すときは、 3 ウェイ ハンドシェークが正常に機
能していない場所を探してください。 問題が SonicWALL セキュリティ装置の設定にあるのか、 インター
ネット上に問題があるのかを見極めることができます。
「診断ツール」 メニューから 「パケット トレース」 を選択します。
9
ヒント パケット トレースには IP アドレスが必要です。 SonicWALL セキュリティ装置の DNS 名前ルッ
クアップ ツールを使用すると、 ホストの IP アドレスを検索できます。
7. 「トレースする IP アドレス」 フィールドにリモート ホストの IP アドレスを入力し、 「開始」 を選択します。
「トレースする IP アドレス」 フィールドには IP アドレスを入力する必要があります。
“www.yahoo.com” などのホスト名は入力しないでください。 「トレース オフ」 が赤から緑になり、
「トレース動作中」 が表示されます。
8. ウェブ、 FTP、 Telnet などの IP アプリケーションを使用して、 リモート ホストに問い合わせます。
9. 「更新」 を選択します。 パケット トレース情報が表示されます。
10. パケット トレースを終了するには 「停止」 を選択し、 結果を消去するには 「リセット」 を選択します。
「キャプチャしたパケット」 テーブルには、 パケット番号と、 「ARP Request 受信 WAN42 バイト」 のよう
なパケットの内容が表示されます。
「キャプチャしたパケット」 テーブルのパケットを選択すると、 その詳細が表示されます。 具体的には、 パ
ケット番号、 時刻、 内容、 送信元 IP アドレス、 送信先 IP アドレスなどが表示されます。
82
SonicWALL SonicOS Standard 3 . 8管理者ガイド
システム > 診断
Ping
Ping は、 インターネット上のマシンにパケットを送信し、 そのマシンから送信者にパケットが返されるかど
うかをテストするツールです。 このテストから、 SonicWALL セキュリティ装置がリモート ホストにアクセス
できるかどうかがわかります。 LAN 上のユーザがインターネット上のサービスにアクセスできないなどの問
題を抱えている場合は、 DNS サーバまたは同じ ISP の別のマシンに Ping を実行してください。 このテス
トが失敗した場合は、 ISP の外部にある機器に Ping を実行します。 ISP の外部にある機器に Ping を実
行できる場合は、 ISP 接続に問題があることになります。
1. 「診断ツール」 メニューから 「Ping」 を選択します。
2. 対象機器の IP アドレスまたはホスト名を入力し、 「実行」 を選択します。
3. テストが成功すると、 SonicWALL セキュリティ装置が、 IP アドレスは動作中であるというメッセージと、
返信にかかった時間 (ミリ秒) を返します。
プロセス監視
プロセス監視には、 個々のシステム プロセスと、 その CPU 使用率およびシステム時刻が表示されます。
名前の逆引き
名前の逆引きツールは DNS 名前ルックアップ ツールに似ていますが、 IP アドレスを与えるとサーバ名を
検索するという点が異なります。
「逆引きする IP アドレス」 フィールドに IP アドレスを入力します。 セキュリティ装置用に設定した DNS サー
バがすべてチェックされ、 IP アドレスがサーバ名に解決されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
83
第 9 章 : 診断テストの実行
TraceRoute
TraceRoute は、 インターネット上のルータ接続を診断して、 問題をトラブルシューティングする診断ユー
ティリティです。 TraceRoute では、 Ping パケットによく似た Internet Connect Message Protocol
(ICMP) Echo パケットを使用して、 ネットワーク パスに沿ってはるか遠くにあるルータおよび他のホストと
の相互接続をテストできます。 テストは、 接続が失敗するか、 またはリモート ホストが応答するまで続きま
す。
TraceRoute を使用するには、 宛先ホストの IP アドレスまたはドメイン名を入力します。 たとえば、
yahoo.com と入力し、 「実行」 を選択します。 ウィンドウがもう 1 つ開き、 宛先ホストに至る各ホップが
表示されます。 ルートを追うことによって、 SonicWALL セキュリティ装置と宛先ホストとの接続がどこで失
敗しているかを診断できます。
システム > 再起動
「再起動」 を選択して 「システム > 再起動」 ページを表示します。
SonicWALL セキュリティ装置は、 ウェブ管理インターフェースから再起動できます。
再起動」 を選択し、 「はい」 を選択して再起動を確認します。
「SonicWALL の
SonicWALL セキュリティ装置は再起動までに約 2 ~ 3 分かかり、 再起動の間はテスト LED が黄色に
点灯します。 再起動の間、 LAN ではインターネットへのアクセスが一瞬中断します。
84
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第3部
ëÊ 3 ïî
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク
85
86
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 10 èÕ
第 10 章
ネットワーク設定の構成
ネットワーク > 設定
「Network > 設定」 ページでは、 「インターフェース」 テーブルのネットワークおよびインターネット接続設定
を構成できます。
セットアップ ウィザード
「セットアップ ウィザード」 ボタンを押すと 「SonicWALL セットアップ ウィザード」 にアクセスします。 このウィ
ザードは、 SonicWALL セキュリティ装置を最も一般的なインターネット接続オプションに設定する便利な方法
を提供します。 ネットワークの手動設定についてよく分からない場合は、 「SonicWALL セットアップ ウィザー
ド」 を使用してください。
dmzripsettings
dmzprops
87
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 10 章 : ネットワーク設定の構成
インターフェース
「インターフェース」 セクションに、 ご使用の SonicWALL セキュリティ装置のモデルで利用可能なネット
ワーク インターフェースが表示されます。 インターフェース テーブルにはインターフェースに関する次の情
報が一覧表示されます。
• 名前 - インターフェースの名前
• モード - ネットワーク アドレス指定モード (WAN) のインターフェース
• IP アドレス - インターフェースに割り当てられた IP アドレスまたはトランスペアレント モードの OPT イ
ンターフェースに定義された IP アドレスの範囲。
• サブネット マスク - サブネットに割り当てられたネットワーク マスク
• 状況 - リンクの状況と速度
• 設定 - 編集
す。
アイコンを選択するとインターフェースを設定するプロパティ ウィンドウが表示されま
SonicWALL セキュリティ装置のインターフェース オプション
SonicWALL セキュリティ装置のモデル
インターフェース
SonicWALL TZ 50
WAN、 LAN
SonicWALL TZ 50 Wireless
WAN、 LAN、 WLAN
SonicWALL TZ 150
WAN、 LAN
SonicWALL TZ 150 Wireless
WAN、 LAN、 WLAN
SonicWALL TZ 170
WAN、 LAN、 OPT
SonicWALL TZ 170 SP
WAN、 LAN、 モデム
SonicWALL TZ 170 Wireless
WAN、 LAN、 WLAN
SonicWALL TZ 180
WAN、 LAN、 OPT
SonicWALL TZ 180 Wireless
WAN、 LAN、 WLAN
SonicWALL PRO 1260
WAN、 LAN、 OPT
SonicWALL PRO 2040
WAN、 LAN、 DMZ
SonicWALL PRO 3060
WAN、 LAN、 DMZ
DNS の設定
9
88
ヒント 正しい DNS 情報を入力することは、 SonicWALL セキュリティ装置とその背後のユーザおよび
システムが正しく機能する上で不可欠です。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
WAN インターフェースの設定
DNS (Domain Name System) は、 インターネットまたはプライベート、 企業 TCP / IP ネットワーク
上のホストを識別する階層システムです。 これは、 IP アドレスやホストを検索するのではなく、 扱いやす
い名前のホストを識別する方法です。 ホストはその名前を関連付けられた IP アドレスに解決することで検
索されるため、 ネットワーク通信はホスト コンピュータで開始できます。
「DNS 設定」 設定情報は、 WAN インターフェース設定を構成すると自動的に入力されます。 ただし、
WAN インターフェース接続が静的 IP アドレスを使用している場合、 「DNS 設定」 セクションに最大 3 つ
の IP アドレスを入力できます。 ホスト名を IP アドレスに、 または IP アドレスをホスト名に解決するには、
DNS サーバの IP アドレスが少なくとも 1 つは必要です。
補足 SonicWALL セキュリティ装置では、 少なくとも 2 つの DNS IP アドレスを設定することを強くお勧
めします。 そうすることにより、 1 つの DNS サーバが利用できなくなった場合に冗長性が確保されます。
1. 「DNS サーバ 1」 フィールドに IP アドレスを入力します。
2. 「DNS サーバ 2」 フィールドに 2 番目の IP アドレスを入力します。
3. 「適用」 を選択すると、 SonicWALL セキュリティ装置に変更が適用されます。
DNS 設定を LAN 上のコンピュータに反映するには、 「ネットワーク > DHCP サーバ」 ページの
SonicWALL セキュリティ装置 DHCP サーバを有効にする必要があります。
wanprops
WAN インターフェースの設定
WAN インターフェースの 「インターフェース」 テーブルにある 「モード」 メニューでは、 SonicWALL セ
キュリティ装置のネットワーク アドレス スキーマを決定します。 次の 6 つのオプションがあります。
• 「トランスペアレント モード」 では、 SonicWALL セキュリティ装置で WAN サブネットを LAN インター
フェースにブリッジできます。 このモードでは、 ネットワーク上すべてのコンピュータに有効な IP アドレ
スが必要ですが、 認証されたユーザへのリモート アクセスが可能です。 パブリック WAN IP アドレス
はインターネットで見ることができます。
補足 「トランスペアレント モード」 は、 SonicWALL ワイヤレス セキュリティ装置 (TZ 50 Wireless、
TZ 150 Wireless、 TZ 170 Wireless、 および TZ 150 Wireless) では利用できません。
• 「NAT 有効モード」 では、 ネットワーク上のプライベート IP アドレスを SonicWALL セキュリティ装置
の 1 つの有効な IP アドレスに変換します。 ISP に割り当てられた有効な IP アドレスが 1 つまたは 2
つのみの場合は、 「NAT 有効」 を選択します。
• 「DHCP クライアントでの NAT モード」 では、 SonicWALL セキュリティ装置を設定して、 インター
ネット上の DHCP サーバから IP 設定を要求します。 「DHCP クライアントでの NAT」 は、 ケーブル
および DSL ユーザ向けの一般的なネットワーク アドレス指定モードです。
• 「PPPoE クライアントでの NAT」 モードでは、 PPPoE を使ってインターネットに接続します。 ISP か
らデスクトップ ソフトウェアとユーザ名およびパスワードを要求された場合、 「PPPoE クライアントでの
NAT」 を選択します。
• 「L2TP クライアントでの NAT」 モードでは、 IPSec を使って L2TP サーバーに接続し、 クライアント
からサーバに送信されたデータをすべて暗号化します。 ただし、 他の宛先へのネットワーク トラフィック
は暗号化しません。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
89
第 10 章 : ネットワーク設定の構成
• 「PPTP クライアントでの NAT」 モードでは、 PPTP (ポイント ツー ポイント トンネリング プロトコル) を
使ってリモート サーバに接続します。 このモードはトンネリング接続を必要とする古いマイクロソフトの実
装をサポートしています。
トランスペアレント モードの設定
「トランスペアレント モード」 では、 ネットワーク上すべてのコンピュータに対して有効な IP アドレスが必要
ですが、 認証されたユーザへのリモート アクセスが可能です。 パブリック WAN IP アドレスはインターネッ
トで見ることができます。 「トランスペアレント モード」 を有効にするには、 「モード」 メニューから 「トラン
スペアレント モード」 を選択します。 WAN および LAN IP アドレスが現在同じです。 設定を完了するに
は、 「ネットワーク」 メニュー一覧で 「イントラネット」 を選択してください。
補足 「トランスペアレント モード」 は、 SonicWALL ワイヤレス セキュリティ装置 (TZ 50 Wireless、
TZ 150 Wireless、 TZ 170 Wireless、 および TZ 150 Wireless) では利用できません。
1. 「指定されたアドレス範囲が LAN に接続される」 リンクを選択します。
2. 「開始アドレス」 テーブルで 「追加」 を選択します。
3. LAN 上のネットワーク IP アドレスの範囲を入力します。
4. 「OK」 を選択し、 「適用」 を選択します。
5. 管理インターフェースの状況バーにある 「再起動」 を選択します。 SonicWALL セキュリティ装置は設
定を再起動して更新します。
設定例
ISP より 66.217.71.191 というパブリック IP アドレスを割り当てられました。 パブリック IP アドレスの範
囲は 66.217.71.192 から 66.217.71.200 です。 SonicWALL セキュリティ装置を 「トランスペアレン
ト モード」 で設定するには、 「モード」 メニューから 「トランスペアレント モード」 を選択します。 その後以
下の手順に従います。
1. 「設定」 列のアイコンを選択して 「WAN の設定」 ウィンドウを表示します。
2. IP アドレス 66.217.71.191を 「WAN IP アドレス」 フィールドに入力します。 ISP から提供された情報
を基に 「WAN の設定」 ウィンドウの残りのフィールドも入力します。
3. 「OK」 を選択します。
4. 「ネットワーク」 メニュー一覧から 「イントラネット」 を選択します。
5. 「指定されたアドレス範囲が LAN に接続される」 リンクを選択します。
6. 「LAN / WAN クライアント アドレス範囲」 テーブルで 「追加」 を選択します。
7. IP アドレス 66.217.71.192 を 「開始 IP アドレス」 フィールドに入力します。
8. 「終了 IP アドレス」 フィールドに IP アドレス 66.217.71.200 を入力し、 「OK」 を選択します。
9. 「適用」 を選択し、 状況バーの 「再起動」 を選択します。 SonicWALL セキュリティ装置は設定を再
起動して更新します。
補足 「トランスペアレント モード」 は、 SonicWALL ワイヤレス セキュリティ装置 (TZ 50 Wireless、
TZ 150 Wireless、 TZ 170 Wireless、 および TZ 150 Wireless) では利用できません。
NAT 有効の設定
ISP からインターネット接続に静的 IP アドレスが提供される場合、 「NAT 有効」 を使用します。
1. 「インターフェース」 テーブルの 「モード」 列のドロップダウン メニューから 「NAT 有効」 を選択します。
90
SonicWALL SonicOS Standard 3 . 8管理者ガイド
WAN インターフェースの設定
2. 「WAN」 インターフェースの 「設定」 列にある編集
ウィンドウが表示されます。
アイコンを選択します。
「WAN プロパティ」
3. 「WAN の設定」 セクションで、 「SonicWALL WAN IP (NAT パブリック) アドレス」 フィールドに有効
なパブリック IP アドレスを入力します。
4. 「WAN サブネット マスク」 フィールドにサブネット マスクを入力します。
5. 「WAN ゲートウェイ (ルータ) アドレス」 フィールドにルータの IP アドレスを入力します。
6. 「OK」 を選択します。
DHCP クライアントでの NAT の設定
ISP からパブリック IP アドレスが提供されなかった場合、 SonicWALL セキュリティ装置は ISP の
DHCP サーバから IP アドレスを取得できます。 DHCP クライアントでの NAT は、 一般にケーブルおよび
DSL 接続で使用されます。 DHCP クライアントで NAT を設定するには、 SonicWALL セキュリティ装置
にログインし、 「ネットワーク」 を選択します。
1. 「インターフェース」 テーブルの 「モード」 列のドロップダウン メニューから 「DHCP クライアントでの
NAT」 を選択します。
2. 「インターフェース」 テーブルの 「WAN」 エントリにある編集
ロパティ」 ウィンドウが表示されます。
アイコンを選択します。
3. ISP から割り当てられたホスト名を 「ホスト名」 フィールドに入力します。
「WAN プ
(この項目はオプションです)
4. SonicWALL セキュリティ装置の新しい IP アドレス設定を取得するには 「更新」 を選択します。
5. SonicWALL セキュリティ装置から IP アドレス設定を削除するには 「解放」 を選択します。 現在の設定
を SonicWALL セキュリティ装置に再ロードするには 「リフレッシュ」 を選択します。
6. 「OK」 を選択します。
補足 SonicWALL セキュリティ装置が DHCP サーバから IP アドレス情報を受信すると、 DNS 設定は
自動的に取得されます。
PPPoE クライアントでの NAT の設定
SonicWALL セキュリティ装置はポイント ツー ポイント プロトコル オーバー イーサネットを使ってインター
ネットに接続できます。 ISP からインターネット アクセスに必要なデスクトップ ソフトウェアのインストール
や、 ユーザ名およびパスワードが要求される場合、 「PPPoE クライアントでの NAT」 を有効にします。
1. 「インターフェース」 テーブルの 「モード」 列のドロップダウン メニューから 「PPPoE クライアントでの
NAT」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
91
第 10 章 : ネットワーク設定の構成
2. 「インターフェース」 テーブルの 「WAN」 エントリにある編集
パティ」 ウィンドウが表示されます。
アイコンを選択します。 「WAN プロ
3. ISP からパブリック IP アドレスが提供されない場合は「IP アドレスを自動的に取得する」を選択します。
ISP から IP アドレスを取得した場合は、 「IP アドレスを指定する」 を選択し、 「IP アドレス」 フィールド
に IP アドレスを入力します。
4. 「PPPoE」 タブを選択します。
5. ISP から提供されたユーザ名とパスワードを 「ユーザ名」 フィールドと 「 ユーザパスワード」 フィールド
に入力します。
6. 指定時間無動作であった場合に接続を終了するには、 「無動作時に切断 (分)」 を選択します。 10
分が既定値です。
7. 「OK」 を選択します。
L2TP クライアントでの NAT の設定
インターネット接続が L2TP サーバ経由で提供されている場合、 SonicWALL セキュリティ装置を設定し、
L2TP クライアントで NAT を使用する必要があります。 L2TP (レイヤ 2 トンネリング プロトコル) は
VPN ベンダ間の相互運用性を提供します。 これは PPTP (ポイント ツー ポイント トンネリング プロトコル)
やレイヤ 2 転送などのプロトコルにはありません。
1. SonicWALL セキュリティ装置にログインし、 「ネットワーク」 を選択します。
2. 「ネットワーク アドレス指定モード」 メニューから 「L2TP クライアントでの NAT」 を選択します。
3. 「インターフェース」 テーブルの 「WAN」 エントリにある編集
パティ」 ウィンドウが表示されます。
アイコンを選択します。 「WAN プロ
4. 既定では 「IP アドレスを自動的に取得する」 が選択されています。 ホスト名を 「ホスト名」 フィールド
に入力します。 新しい IP アドレス情報を取得するには 「更新」 を選択します。 IP アドレス情報を破棄
するには 「解放」 を選択します。 IP アドレス情報を再ロードするには 「更新」 を選択します。
5. IP アドレス情報がある場合、 「IP アドレスを指定する」 を選択します。
6. パブリック IP アドレスを 「SonicWALL WAN IP (NAT パブリック) アドレス」 フィールドに入力します。
7. WAN サブネット情報を 「WAN サブネット マスク」 フィールドに入力します。
8. WAN ゲートウェイ IP アドレスを 「WAN ゲートウェイ (ルータ) アドレス」 フィールドに入力します。
9. 「L2TP」 タブを選択します。
10. ユーザ名を 「ユーザ名」 フィールドに入力します。
11. パスワードを 「ユーザ パスワード」 フィールドに入力します。
12. L2TP サーバの IP アドレスを 「L2TP サーバ IP アドレス」 フィールドに入力します。
13. L2TP サーバのホスト名を 「L2TP ホスト名」 フィールドに入力します。
14. 指定時間無動作であった場合に接続を終了するには、 「無動作時に切断 (分)」 を選択します。
15. 接続が確立されると、 「L2TP で取得した設定」 セクションに SonicWALL セキュリティ装置 WAN IP ア
ドレス、 ゲートウェイ アドレスおよび DNS サーバ IP アドレスが表示されます。
16. 「OK」 を選択します。
networksettingspptp
PPTP クライアントでの NAT の設定
インターネット接続が PPTP サーバ経由で提供されている場合、 PPTP クライアントで NAT を使用するよ
うに SonicWALL セキュリティ装置を設定する必要があります。
SonicWALL セキュリティ装置にログインし、 「ネットワーク」 を選択します。
1. 「ネットワーク アドレス指定モード」 メニューから 「PPTP クライアントでの NAT」 を選択します。
2. 「インターフェース」 テーブルの 「WAN」 エントリにある編集
パティ」 ウィンドウが表示されます。
92
アイコンを選択します。 「WAN プロ
SonicWALL SonicOS Standard 3 . 8管理者ガイド
WAN インターフェースの設定
3. 既定では 「IP アドレスを自動的に取得する」 が選択されています。 ホスト名を 「ホスト名」 フィールド
に入力します。 新しい IP アドレス情報を取得するには 「更新」 を選択します。 IP アドレス情報を破棄
するには 「解放」 を選択します。 IP アドレス情報を再ロードするには 「更新」 を選択します。
4. IP アドレス情報がある場合、 「IP アドレスを指定する」 を選択します。
5. WAN IP アドレスを 「SonicWALL WAN IP (NAT パブリック) アドレス」 フィールドに入力します。
6. WAN サブネット情報を 「WAN サブネット マスク」 フィールドに入力します。
7. WAN ゲートウェイ IP アドレスを 「WAN ゲートウェイ (ルータ) アドレス」 フィールドに入力します。
8. 「PPTP」 タブを選択します。
9. ユーザ名を 「ユーザ名」 フィールドに入力します。
10. パスワードを 「ユーザ パスワード」 フィールドに入力します。
11. PPTP サーバの IP アドレスを 「PPTP サーバ IP アドレス」 フィールドに入力します。
12. PPTP クライアントのホスト名を 「PPTP (クライアント) ホスト名」 フィールドに入力します。
13. 指定時間無動作であった場合に接続を終了するには、 「無動作時に切断 (分)」 を選択します。
14. 接続が確立されると、「PPTP で取得した設定」セクションに SonicWALL セキュリティ装置 WAN IP ア
ドレス、 ゲートウェイ アドレスおよび DNS サーバ IP アドレスが表示されます。
15. 「OK」 を選択します。
WAN プロパティのイーサネット設定の設定
「WAN プロパティ」 ウィンドウの 「イーサネット」 タブでは、 WAN インターフェースのイーサネット設定を
管理できます。 ほとんどのネットワークでは、 このページを変更する必要はありません。
「イーサネット」 ページの上部にある 「WAN インターフェースの設定」 は、 SonicWALL セキュリティ装
置での WAN インターフェースのイーサネット アドレスです。
イーサネット リンクはイーサネット接続の速度と通信方式を自動的にネゴシエートするので、 「自動ネゴシ
エーション」 が既定で選択されます。 「強制」 を選択すると、 イーサネット カードから SonicWALL セ
キュリティ装置への接続の速度と通信方式も強制的に変更する必要があります。
「強制」 を選択すると、 以下のメッセージと共に情報ダイアログが表示されます。
このインターフェースで 「自動ネゴシエーション」 を無効にすると、 AutoMDIX も無効になります。 スト
レートスルー イーサネット ケーブルからクロスオーバー イーサネット ケーブルへ、 またはその逆に切り替
える必要があります。 「OK」 を選択して続行します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
93
第 10 章 : ネットワーク設定の構成
ネットワークの LAN 側からイーサネット接続を管理している場合、 「WAN 上のプロキシ管理ワークステー
ション イーサネット アドレス」 を選択します。 SonicWALL セキュリティ装置は、 それを管理するコン
ピュータのイーサネット アドレスを取得し、 そのアドレスを SonicWALL セキュリティ装置の WAN ポートに
プロキシします。 たとえば、 ISP がネットワーク カードの MAC アドレスを使って識別する場合、 ネット
ワーク カードの MAC アドレスを SonicWALL WAN ポートにプロキシできます。
9
ヒント LAN からイーサネット接続を管理していない場合、 SonicWALL セキュリティ装置は、 長い検
索プロセスを形成するネットワーク上のランダム コンピュータを探します。
補足 この機能を有効にしないと、 SonicWALL が管理ステーションを検索するのに長時間かかる場合
があります。
「VPN 以外の送信パケットで WAN の MTU 値以上の大きさのものを断片化する」 が既定で選択されてお
り、 WAN MTU の既定値はイーサネット標準 MTU で 1500 です。 VPN 送信パケットでこのインター
フェースユの MTU 値以上の大きさのものすべてを断片化するように指定します。 最低値は 68 です。 パ
ケット サイズを低下するとネットワーク性能が向上します。 これは、 ルータが当該のパケット サイズを処理
できないとき、 大きなパケットほど多くのネットワーク伝送を必要とするからです。 「VPN > 詳細設定」
ページでは 「VPN 送信パケットの断片化を指定する」 が設定されています。
「(断片化を行わない) を無視する」 - パケットの DF ビットをオーバライドします。
「送信帯域幅管理を有効にする」 を選択すると、 帯域リソースをネットワーク上の重要なアプリケーションに
割り当てます。 「利用可能な送信帯域幅」 フィールドに利用可能な合計帯域幅を入力します。
既定の利用可能な WAN 帯域幅は 20.00Kbps です。
S
警告 帯域幅管理は送信ネットワーク トラフィックでのみ利用可能です。
lanprops
LAN インターフェースの設定
基本的な LAN 設定
1. 「LAN」 情報の 「設定」 列にある編集
表示されます。
アイコンを選択します。
「LAN プロパティ」 ウィンドウが
2. 「一般」 セクションで、 「SonicWALL LAN IP」 フィールドに有効なプライベート IP アドレスを入力しま
す。
94
SonicWALL SonicOS Standard 3 . 8管理者ガイド
LAN インターフェースの設定
3. 「LAN サブネット マスク」 フィールドにサブネット マスクを入力します。
4. 「OK」 を選択します。
複数の LAN サブネットの設定
この複数の LAN サブネット機能は、 SonicWALL セキュリティ装置に搭載された従来のネットワークをサ
ポートしており、 元のサブネットが満杯の場合にはノードを追加することが可能です。 この機能を設定する
には、 SonicWALL セキュリティ装置に追加の IP アドレスが割り当てられている必要があります。 サブ
ネット上のユーザはすべてこのアドレスを既定のルータ揮毫/ゲートウェイ アドレスとして使用する必要が
あります。
1. 「LAN」 情報の 「設定」 列にある編集
表示されます。
2. 「追加」 を選択します。
アイコンを選択します。
「LAN プロパティ」 ウィンドウが
「LAN サブネットの追加」 ウィンドウが表示されます。
3. 「ゲートウェイ アドレス」 フィールドに追加の LAN IP アドレスを入力します。
4. 「サブネット マスク」 フィールドにサブネットを入力します。 LAN サブネット エントリは編集または削除で
きます。
エントリを選択し、 「編集」 を選択して情報を変更します。
エントリを選択し、 「削除」 を選択してテーブルからエントリを削除します。
「すべて削除」 を選択してテーブルのエントリをすべて削除します。
5. 「OK」 を選択します。
イーサネット設定の設定
「LAN プロパティ」 ウィンドウの 「イーサネット」 タブでは、 LAN インターフェースのイーサネット設定を管
理できます。 ほとんどのネットワークでは、 このページを変更する必要はありません。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
95
第 10 章 : ネットワーク設定の構成
「イーサネット」 ページの上部にある 「LAN インターフェース設定」 は、 SonicWALL セキュリティ装置
での LAN インターフェースのイーサネット アドレスです。
イーサネット リンクはイーサネット接続の速度と通信方式を自動的にネゴシエートするので、 「自動ネゴシ
エーション」 が既定で選択されます。 「強制」 を選択すると、 イーサネット カードから SonicWALL セ
キュリティ装置への接続の速度と通信方式も強制的に変更する必要があります。
「強制」 を選択すると、 以下のメッセージと共に情報ダイアログが表示されます。
補足 このインターフェースで 「自動ネゴシエーション」 を無効にすると、 AutoMDIX も無効になります。
ストレートスルー イーサネット ケーブルからクロスオーバー イーサネット ケーブルへ、 またはその逆に切り
替える必要があります。 「OK」 を選択して続行します。
lanripsettings
ルートの通知 - DMZ
SonicWALL セキュリティ装置は RIPv1 または RIPv2 を使って静的および動的ルートをネットワーク上の
他のルータに通知します。 ご利用のルータの機能または設定に基づき、 RIPv1 または RIPv2 を選択して
ください。 RIPv1 はプロトコルの初期バージョンで搭載している機能が少なく、 マルチキャストではなくブ
ロードキャストを使ってパケット送信を行います。 RIPv2 パケットは下位互換性があり、 マルチキャスト パ
ケットのリッスンするオプションを提供する一部の RIPv1 実装でも受け付けることができます。 「RIPv2 有
効 (ブロードキャスト)」 を選択すると、 パケットをマルチキャストする代わりにブロードキャストします。 こ
れは RIPv1 ルータと RIPv2 ルータが混合する異機種ネットワークに適しています。
ルートの通知設定
「インターフェース ルートの通知」 を有効にするには、 以下の手順に従います。
1. インターフェースの 「設定」 列にある編集
が表示されます。
アイコンを選択します。
「ルートの通知設定」 ウィンドウ
2. RIP 通知の種類を以下から選択します。
ƒ RIPv1 有効 - RIPv1 はルーティング情報プロトコルの最初のバージョンです。
ƒ RIPv2 有効 (マルチキャスト) - マルチキャストを使ってルート通知を送信します (1 つのデータ
パケットをネットワーク上の指定ノードに送信します)。
ƒ RIPv2 有効 (ブロードャスト) - ブロードキャストを使ってルート通知を送信します (1 つのデータ
パケットをネットワーク上のすべてのノードに送信します)。
3. SonicWALL セキュリティ装置に静的ルートが設定されている場合、 「静的ルートの通知」 を有効にし
てそれらを 「ルート通知」 から除外します。
4. 「ルート変更通知までの待ち時間 (秒)」 フィールドにネットワークを介してブロードキャストされた通知
間の値を秒単位で入力します。 既定値は “30” 秒です。 低い値ほどネットワークにおけるブロードキャ
スト トラフィック量が多くなります。 「ルート変更通知までの待ち時間 (秒)」 設定は、 VPN トンネル
が状態 (上または下) を変更する時間と変更が RIP に通知される時間の遅延を定義します。 数秒の
遅延を設定することにより、 VPN トンネル状態の一時的な変更から不明瞭なルート通知が送信される
ことを防止します。
5. 「ルート削除時の通知回数 (0 - 99)」 フィールドに削除したルートが通知のブロードキャストを終了す
るまでの回数を入力します。 既定値は 1 です。
6. 「ルート メトリック (1 - 15)」 フィールドに 1 から 15 までの値を入力します。 これは、 送信元 IP アド
レスから送信先 IP アドレスまでにパケットがルータに接触する回数です。
7. 「ルートの通知」 メニューで RIPv2 が選択されている場合、 「RIPv2 ルート タグ (16 進数 4 文字)」
フィールドにルート タグの値を入力できます。 この値は実装依存であり、 ルータが RIPv2 通知の送信
元を分類するメカニズムを提供します。 このフィールドはオプションです。
8. RIPv2 認証を有効にする場合、 「RIPv2 認証」 メニューから次のいずれかのオプションを選択します。
ƒ ユーザ定義 - 「認証種別 (16 進数 4 文字)」 フィールドに 16 進数 4 文字を入力します。
証データ (16 進数 32 文字)」 フィールドに 16 進数 32 文字を入力します。
96
「認
SonicWALL SonicOS Standard 3 . 8管理者ガイド
OPT インターフェースの設定
ƒ 平文パスワード - 「認証用パスワード (最大 16 文字)」 フィールドにパスワードを入力します。
パスワードには最大 16 文字使用できます。
ƒ MD5 Digest - 「認証鍵 Id (0 - 255)」 フィールドに 0 から 255 までの数値を入力します。
「認証鍵 (16 進数 32 文字)」 フィールドに 16 進数 32 文字を入力するか、 生成した鍵を使用し
ます。
9. 「OK」 を選択します。
OPT インターフェースの設定
OPT インターフェースは 「トランスペアレント モード」 または 「NAT モード」 のいずれかで設定できます。
• 「トランスペアレント モード」 では、 SonicWALL セキュリティ装置で DMZ サブネットを OPT インター
フェースにブリッジできます。 このモードでは、 ネットワーク上の OPT インターフェースに接続されたす
べてのコンピュータに有効な IP アドレスが必要ですが、 認証されたユーザへのリモート アクセスが可
能です。 公開サーバおよびご SonicWALL セキュリティ装置が保護するネットワーク外に静的 IP アド
レスを公開したい機器では、 OPT インターフェースを 「トランスペアレント モード」 で使用することがで
きます。
• 「NAT モード」 は、 OPT インターフェースに接続された機器のプライベート IP アドレスを 1 つの静的
IP アドレスに変換します。 既定では、 OPT インターフェースは NAT モードに設定されています。
トランスペアレント モードの設定
「トランスペアレント モード」 では、 ネットワーク上すべてのコンピュータに対して有効な IP アドレスが必要
ですが、 認証されたユーザへのリモート アクセスが可能です。
補足 「トランスペアレント モード」 は、 SonicWALL ワイヤレス セキュリティ装置 (TZ 50 Wireless、
TZ 150 Wireless、 TZ 170 Wireless、 および TZ 150 Wireless) では利用できません。
トランスペアレント モードを有効にするには、 以下の手順に従います。
1. インターフェース テーブルの OPT インターフェースの行にある編集アイコン
プロパティ」 ウィンドウが表示されます。
を選択します。 「OPT
2. 「トランスペアレント モードの OPT」 を選択します。 OPT および WAN IP アドレスは現在同じです。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
97
第 10 章 : ネットワーク設定の構成
3. アドレスまたはアドレスの範囲を追加するには、 アドレス範囲一覧の下にある 「追加」 を選択します。
「Opt エントリの追加」 ダイアログ ボックスが表示されます。
4. 「開始 IP アドレス」 フィールドに 1 つの IP アドレスまたは IP アドレス範囲の開始アドレスを入力します。
補足 アドレスまたはアドレス範囲は WAN インターフェースで利用可能な IP アドレスの範囲内である必要
があります。
5. IP アドレス範囲の場合、 終了アドレスを 「終了 IP アドレス」 に入力します。
6. 「OK」 を選択し、 「適用」 を選択します。
NAT モードの設定
「NAT 有効」 モードでは、 OPT インターフェースに 1 つの IP アドレスと利用可能な IP アドレスのサブネッ
トが提供されます。 OPT インターフェースに接続している機器の IP アドレスは 1 つの OPT インターフェー
ス IP アドレスに変換されます。
1. インターフェース テーブルの OPT インターフェースの行にある編集アイコン
プロパティ」 ウィンドウが表示されます。
を選択します。 「OPT
2. 「NAT モードの OPT」 を選択します。
3. 「OPT プライベート アドレス」 フィールドに IP アドレスを入力します。
4. 「OPT サブネット マスク」 フィールドにサブネット マスクを入力します。
5. OPT インターフェースを DMZ として使用する場合、 「DMZ 多対 1NAT 用パブリック アドレス」 フィール
ドに公開されている IP アドレスを入力します。 このアドレスはネットワークにある公開サーバのインター
ネットから見ることができます。
6. 「OK」 を選択します。
98
SonicWALL SonicOS Standard 3 . 8管理者ガイド
DMZ インターフェースの設定
DMZ インターフェースの設定
DMZ インターフェースは 「トランスペアレント モード」 または 「NAT モード」 のいずれかで設定できます。
• 「トランスペアレント モード」 では、 SonicWALL セキュリティ装置で DMZ サブネットを OPT インター
フェースにブリッジできます。 このモードでは、 ネットワーク上の DMZ インターフェースに接続されたす
べてのコンピュータに有効な IP アドレスが必要ですが、 認証されたユーザへのリモート アクセスが可
能です。 公開サーバおよびご SonicWALL セキュリティ装置が保護するネットワーク外に静的 IP アド
レスを公開したい機器では、 DMZ インターフェースを 「トランスペアレント モード」 で使用することがで
きます。
• 「NAT モード」 は、 DMX インターフェースに接続された機器のプライベート IP アドレスを 1 つの静的
IP アドレスに変換します。
トランスペアレント モードの設定
「トランスペアレント モード」 では、 ネットワーク上すべてのコンピュータに対して有効な IP アドレスが必要
ですが、 認証されたユーザへのリモート アクセスが可能です。
トランスペアレント モードを有効にするには、 以下の手順に従います。
1. インターフェース テーブルの DMZ インターフェースの行にある編集アイコン
プロパティ」 ウィンドウが表示されます。
を選択します。 「DMZ
2. 「トランスペアレント モードの DMZ」 を選択します。 OPT および WAN IP アドレスは現在同じです。
3. アドレスまたはアドレスの範囲を追加するには、 アドレス範囲一覧の下にある 「追加」 を選択します。
「DMZ エントリの追加」 ダイアログ ボックスが表示されます。
4. 「開始 IP アドレス」 フィールドに1つの IP アドレスまたは IP アドレス範囲の開始アドレスを入力します。
補足 アドレスまたはアドレス範囲は WAN インターフェースで利用可能な IP アドレスの範囲内である必
要があります。
5. IP アドレス範囲の場合、 終了アドレスを 「終了 IP アドレス」 に入力します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
99
第 10 章 : ネットワーク設定の構成
6. 「OK」 を選択し、 「適用」 を選択します。
NAT モードの設定
「NAT」 モードでは、 DMZ インターフェースに 1 つの IP アドレスと利用可能な IP アドレスのサブネットを
提供します。 DMZ インターフェースに接続している機器の IP アドレスは 1 つの DMZ インターフェース IP
アドレスに変換されます。
1. 「インターフェース」 テーブルの DMZ インターフェースの行にある編集アイコン
「DMZ プロパティ」 ウィンドウが表示されます。
を選択します。
2. 「NAT モードの DMZ」 を選択します。
3. 「DMZ プライベート アドレス」 フィールドに IP アドレスを入力します。
4. 「DMZ サブネット マスク」 フィールドにサブネット マスクを入力します。
5. DMZ インターフェースを DMZ として使用するには、 「DMZ 多対1NAT 用パブリック アドレス」 フィール
ドに公開されている IP アドレスを入力します。 このアドレスはネットワークにある公開サーバのインター
ネットから見ることができます。
6. 「OK」 を選択します。
モデム インターフェースの設定 (TZ 170 SP)
SonicWALL TZ 170 SP では、 「ネットワーク > 設定」 ページの 「インターフェース」 テーブルに 「モデ
ム」 インターフェースが含まれています。
「モデム」 インターフェースの編集アイコンを選択すると、 「モデム設定」 ウィンドウが表示され、 モデムの
プロパティを設定できます。
100
SonicWALL SonicOS Standard 3 . 8管理者ガイド
モデム インターフェースの設定(TZ 170 SP)
設定
モデム設定
スピーカ ボリューム - モデムのスピーカ ボリュームの 「オン」 または 「オフ」 を選択します。 既定では
「オン」 になっています。
モデムの初期化 - 「モデムの初期化 使用場所」 を選択し、 メニューから国を指定してモデムを初期化す
る国を指定するか、 または 「AT コマンドを使用してモデムの初期」 を選択し、 テキスト フィールドに AT
コマンドを入力して、 AT コマンドを使用するモデムの初期化を指定できます。
プロファイル
「主格プロファイル」 メニューから主格プロファイルを選択します。 「モデム > ダイアルアップ プロファイ
ル」 ページでこのメニューのプロファイルを作成できます。 ISP アカウントが 1 つ以上存在する場合、 「副
格プロファイル」 メニューから副格プロファイルを指定できます。
フェイルオーバー
SonicWALL SonicOS Standard 3 . 8管理者ガイド
101
第 10 章 : ネットワーク設定の構成
「モデム設定」 ウィンドウの 「フェイルオーバー」 ページには、 「モデム > フェイルオーバー」 ページと同
じ設定が含まれています。 「モデム > フェイルオーバー」 ページでフェイルオーバー設定を設定した場
合、 それらは 「フェイルオーバー」 ページに表示されます。 フェイルオーバー設定を設定していない場
合、 次の指示に従って 「フェイルオーバー設定」 を設定します。
1. 「WAN フェイルオーバーを有効にする」 を選択します。
2. 障害発生後、主格 WAN イーサネット インターフェースがアクティブになったとき、副格モデム WAN イン
ターフェースから引き継ぐようにするには 「復旧時の自動回復を有効にする」 を選択します。 「復旧時
の自動回復モード」 を有効にしない場合、 副格 WAN モデム インターフェースは 「切断」 を選択する
まで WAN インターフェースとして有効な状態が保持されます。
3. 「論理監視を有効にする」 を選択します。 WAN 接続の論理監視は、 イーサネット接続、 ダイアルアッ
プ接続、 またはその両方で有効です。 イーサネット リンクで論理監視が無効なとき、 SonicWALL セ
キュリティ装置はリンク検出のみを実行します。 イーサネット接続が
5 - 9 秒間失われると、 SonicWALL セキュリティ装置はイーサネット接続が利用できないと判断しま
す。 イーサネット リンクが喪失した時間が 0 - 4 秒間の場合は、 SonicWALL セキュリティ装置は接
続が失われたとは見なしません。 迅速にケーブルを交換している場合、 SonicWALL セキュリティ装
置で不要な WAN フェイルオーバーが起きることはありません。 論理監視が有効でケーブルが接続さ
れていない場合、 5 - 9 秒間のリンク検出は発生しません。 代わりに、 「監視間隔 (秒)」 設定と
「フェイルオーバー トリガー レベル (論理監視の失敗)」 設定で設定されたパラメータを使用して、 接
続に対して論理監視ルールが適用されます。 論理監視がダイアルアップで有効な場合、 論理監視が
モデムに対して失敗すると、 ダイアルアップ接続が終了され、 再び確立されます。
4. オプションを 「論理監視」 メニューから選択します。 「イーサネットのみ」 を選択すると、 イーサネット
WAN 接続を監視し、 接続が失われたときにモデムへのフェイルオーバーを実行します。 「モデムの
み」 を選択すると、 ダイアルアップ接続を監視し、 ダイアルアップ接続が失われたとき、 モデムのリダ
イアルを実行します。 「モデムとイーサネット」 を選択すると SP に対して両方の論理監視を有効にし
ます。
5. 「論理監視対象 (IP アドレス)」フィールドに、監視対象の IP アドレスを入力します。 監視対象 IP アドレ
スは WAN の静的 IP アドレスです。 このフィールドを空白のままにした場合、 またはアドレスとして
0.0.0.0 と入力した場合、 監視対象は WAN ゲートウェイの IP アドレスになります。
補足 監視対象は、 指定の IP アドレスに送信される Ping で、 インターネット接続を判断します。
6. 「プローブ タイプ」 オプションから 「ICMP プローブ」 または 「TCP プローブ」 を選択します。 「TCP プ
ローブ」 を選択する場合、 「TCP ポート」 フィールドに TCP ポート番号を入力します。
7. 「監視間隔 (秒)」 フィールドに、 「論理監視対象」 に対する監視間隔の時間を入力します。 既定値
は “5” 秒です。 「プローブ検知」 機能を無効にするには、 値に 0 を入力します。 この場合、 WAN
のフェイルオーバーは、 SonicWALL セキュリティ装置で物理 WAN イーサネット接続が失われた場合
にのみ実行されます。
8. 「フェイルオーバー トリガー レベル (論理監視の失敗)」 フィールドに、 WAN フェイルオーバーを実行
するまでに必要な論理監視の失敗数を入力します。
9. 「主格を有効にするまでの論理監視の成功回数」 フィールドに、 主格接続を再度有効にするのに必要
な倫理監視の成功回数を入力します。 既定値は 5 です。 SonicWALL セキュリティ装置が主格接続
に戻るまでの論理監視の成功回数を要求することにより、 SonicWALL セキュリティ装置が、 主格接
続が安定する前にその接続に戻ることを防げます。
102
SonicWALL SonicOS Standard 3 . 8管理者ガイド
WLAN プロパティの設定
詳細設定
「詳細設定」 ページでは、 モデムのダイアル アウトの遠隔開始を有効にし、 WAN 接続を確立するように
設定できます。 「ダイアル アウトの遠隔開始を有効にする」 を選択すると、 モデムが遠隔開始されたダイ
アル アウトを受け入れるように設定します。
「認証を要求する」 を選択する場合、 「パスワード」 フィールドおよび 「パスワードの確認」 フィールドにパ
スワードを入力します。 ダイアル アウトを開始する前に、 パスワードの入力が求められます。
モデムの有効化
モデムが無効の場合、 無効なリンクと 「接続」 ボタンが 「ネットワーク > 設定」 ページの 「インター
フェース」 テーブルにある 「状況」 列に表示されます。 「接続」 ボタンを選択するとモデム接続が確立し
ます。 接続が確立されると、 無効なリンクおよび 「接続」 ボタンは 「有効」 および 「切断」 に変わりま
す。
WLAN プロパティの設定
SonicWALL TZ 50 Wireless、 TZ 150 Wireless、 TZ 170 Wireless、 および TZ 180 Wireless
セキュリティ装置には、 「ネットワーク > 設定」 ページの 「インターフェース」 テーブルに 「WLAN」 イン
ターフェースが含まれています。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
103
第 10 章 : ネットワーク設定の構成
「WLAN」 インターフェースの編集アイコンを選択すると、 「WLAN 設定」 ウィンドウが表示され、 WLAN
のプロパティを設定できます。
• 既定では 「Enable WLAN」 設定が選択されており、 SonicWALL セキュリティ装置の WLAN イン
ターフェースを有効化します。
• WLAN インターフェースに入力されるすべてのトラフィックが IPsec トラフィックまたは WPA トラフィッ
ク、 あるいはその両方になるようにするには、 「WiFiSec を有効にする」 を選択します。 「WiFiSec
を有効にする」 を有効にすると、 ゲスト以外のすべてのワイヤレス クライアントが、 強力な IPsec セ
キュリティを使用するように要求されます。 WiFiSec の固有の VPN 接続の末端は、 GroupVPN
Policy です。 これは、 「VPN > 設定」 ページで設定できます。
• 「WiFiSec を有効にする」 を選択しなかった場合、 すべてのワイヤレス接続がサイト間 VPN に属する
WLAN ゾーンを通過するように WiFiSec セキュリティを設定するために、 「サイト間 VPN トンネルに
向けたトラフィックに WiFiSec を適用する」 を選択できます。
• WPA を IPsec の代替として許可するには、 「WPA トラフィックを WiFiSec と同様に信頼する」 を選
択します。 SonicWALL セキュリティ装置では、 WPA - PSK (事前共有鍵) および WPA - EAP
(外部の 802.1x / EAP 対応 RADIUS サーバを使用した拡張認証プロトコル) がサポートされます。
• WLAN IP アドレス : SonicWALL セキュリティ装置の WLAN インターフェースの IP アドレス。
• WLAN サブネット マスク : SonicWALL セキュリティ装置の WLAN インターフェースのサブネット。
• 「SSID」 : ワイヤレス セキュリティ装置の SSID の認識可能な文字列を入力します。 これが利用可能
なワイヤレス接続のクライアント一覧に表示される名前です。
• 「無線モード」 : 既定では 2.4DHZ 802.11b / g が選択されており、 SonicWALL セキュリティ装置
は 802.11b と 802.11g のワイヤレス カード クライアント両方をサポートします。
• 国コード : SonicWALL セキュリティ装置を使用する国を選択します。 国コードは、 無線機の動作が
該当する 「利用認可対象地域」 を決定します。
• 「チャネル」 : 無線が機能するチャネルを選択します。 既定では 「自動チャネル」 が選択されており、
最も干渉の少ないチャネルを自動的に選択します。 特定のチャネルを使用または回避する特別な理由
がないかぎり、 「自動チャネル」 を使用してください。
104
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 11 章
1 対 1NAT の設定
ëÊ 11 èÕ
ネットワーク > 1 対 1NAT
1 対 1NAT は、 有効な外部アドレスを NAT に隠されたプライベート アドレスにマップします。 プライベート
LAN または OPT インターフェース上のコンピュータが、 インターネット上の対応するパブリック IP アドレスで
アクセスされます。
内部アドレスと外部アドレスを関係付けるには、 内部および外部のアドレス範囲を定義します。 いったん関係
を定義すると、 プライベート アドレス範囲の最初の IP アドレスを持つコンピュータは、 外部アドレス範囲の最
初の IP アドレスでアクセスできるようになり、 2 番目のコンピュータは 2 番目の外部アドレスで、 というように
アクセスできます。
1 対 1NAT を設定するには、 「ネットワーク > 1 対 1NAT」 ページを選択します。
1 対 1NAT を設定するには、 以下の手順に従います。
1. 「1 対 1NAT を有効にする」 チェック ボックスを選択します。
2. 「追加」 を選択します。
「NAT の追加」 ウィンドウが表示されます。
3. 「プライベート開始アドレス」 フィールドに、 マップされるプライベート アドレス範囲の開始 IP アドレスを入力
します。 これはインターネットからアクセス可能になる最初のマシンの IP アドレスです。
4. 「パブリック開始アドレス」 フィールドに、 マップされる有効なアドレス範囲の開始 IP アドレスを入力します。
このアドレスは ISP から割り当てられたもので、 NAT パブリック IP アドレスと、 同じ論理サブネットにある
必要があります。
この範囲には、 SonicWALL セキュリティ装置の WAN IP
Sゲートウェイ
(ルータ) アドレスを入れないでください。
警告 105
(NAT パブリック) アドレスまたは WAN
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 11 章 : 1対1 NAT の設定
5. プライベート アドレスにマップするパブリック IP アドレスの数を、 「範囲長」 フィールドに入力します。 範
囲長が有効な IP アドレスの数を超えることはできません。 最大 64 の範囲を追加できます。 1 つのア
ドレスをマップするには、 範囲長を 1 と入力します。
6. 「OK」 を選択します。
7. 「適用」 を選択します。 SonicWALL セキュリティ装置が更新された後、 ブラウザ ウィンドウの一番下
に更新を確認するメッセージが表示されます。
S
警告 1 対 1NAT は、 有効なパブリック IP アドレスをプライベート LAN または OPT IP アドレスにマップ
9
ヒント 1 対 1NAT を設定したら、 インターネットから LAN または OPT 上のプライベート IP アドレスへ
します。 インターネットからプライベート LAN へのトラフィックは許可しません。
のトラフィックを許可する許可ルールを作成します。
1 対 1 ネットワーク アドレス トランスレーション (NAT) の既存のエントリを編集するには、 編集アイコン
を選択します。 エントリを削除するには、 削除
アイコンを選択します。 すべてのエントリを削除
するには、 「すべて 削除」 を選択します。
1 対 1NAT の設定例
この例では、 SonicWALL セキュリティ装置を NAT 有効モードで実行し、 LAN の IP アドレスは
192.168.1.1 ~ 192.168.1.254 の範囲、 WAN の IP アドレスは 208.1.2.2 であると仮定していま
す。 また、 208.1.2.1 ~ 208.1.2.6 の範囲の IP アドレスを所有すると仮定しています。
S
警告 ISP から割り当てられた IP アドレスが 1 つだけの場合、 1 対 1NAT は使用できません。
LAN 上に、 IP アドレスが 192.168.1.10、 192.168.1.11、 192.168.1.12 の 3 つのウェブ サーバ
があります。 各サーバには、 デフォルト ゲートウェイとして SonicWALL セキュリティ装置の LAN IP アド
レスである 192.168.1.1 を指定しておく必要があります。
また、 ISP から割り当てられた、 208.1.2.4、 208.1.2.5、 208.1.2.6 の 3 つの IP アドレスがあり、
それを 3 つのウェブ サーバ用に追加で使用したいと考えています。 以下の手順によって、 1 対 1NAT を
設定します。
1. 「1 対 1NAT を有効にする」 を選択します。
2. 「追加」 を選択します。
「NAT の追加」 ウィンドウが表示されます。
3. 「プライベート開始アドレス」 フィールドに、 IP アドレス 192.168.1.10 を入力します。
4. 「パブリック開始アドレス」 フィールドに、 IP アドレス 208.1.2.4 を入力します。
5. 「範囲長」 フィールドに 3 を入力します。
9
ヒント IP アドレスを個々に設定することもできますが、 範囲で設定するほうが容易です。 ただし、 アド
レス範囲を設定するには、 プライベート側とパブリック側の両方の IP アドレスが連続している必要がありま
す。
6. 「OK」 を選択します。
7. 「適用」 を選択します。
8. 「ファイアウォール」、 「アクセス ルール」 の順で選択します。
9. 「追加」 を選択します。
10. 以下のように設定します。
• 許可
• 「サービス」 - HTTP
• 「送信元」 - WAN
• 「送信先」 - LAN 192.168.1.10 - 192.168.1.12
「オプション」 タブで、 「ルールの適用」 メニューの 「常に有効」 を選択します。
106
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > 1対1 NAT
11. 「OK」 を選択します。
〈http://208.1.2.4〉 に対する要求は、 192.168.1.10 のサーバによって処理されます。 〈http://
208.1.2.5〉 に対する要求は、 192.168.1.11 のサーバによって処理され、
〈http://208.1.2.6〉 に対する要求は、 192.168.1.12 のサーバによって処理されます。 LAN からサーバ
にアクセスできるのは、 パブリック IP アドレスまたはドメイン名ではなく、 プライベート IP アドレス
(192.168.1.x) を使用した場合のみです。 例えば、 LAN からウェブ サーバにアクセスするには、
〈http://192.168.1.10〉 のような URL を使用する必要があります。 LAN 上では、 公開 LAN サーバの設
定にも公開 LAN サーバの 1 対 1NAT 設定にも、 192.168.1.10 のような IP アドレスを使用することは
できません。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
107
第 11 章 : 1対1 NAT の設定
108
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 12 èÕ
第 12 章
ウェブ プロキシ設定の構成
ネットワーク > ウェブ プロキシ
ウェブ プロキシ サーバは HTTP 要求をインターセプトし、 要求されたウェブ ページのコピーを保管しているか
どうかを判別します。 保管していない場合、 プロキシはインターネット上のサーバへの要求を完了し、 要求さ
れた情報をユーザに返すとともに将来の要求に備えてローカルに保存します。
ネットワーク上の各コンピュータがウェブ要求をサーバに送る設定をする必要があるため、 ネットワーク上の
ウェブ プロキシ サーバのセットアップは手間がかかる場合があります。
プロキシ サーバがネットワーク上にある場合は、 各コンピュータのウェブ ブラウザがプロキシ サーバに接続す
る設定をする代わりに、 サーバを WAN に移動してウェブ プロキシ転送を有効にすることができます。
SonicWALL セキュリティ装置がすべてのウェブ プロキシ要求をプロキシ サーバに自動的に転送し、 ネット
ワーク上のすべてのコンピュータを設定する必要はありません。
自動ウェブ プロキシ転送の設定
S
警告 プロキシ サーバは WAN に配置する必要があり、 LAN に配置することはできません。
プロキシ ウェブ サーバを設定するには、 「ネットワーク > ウェブ プロキシ」 ページを選択します。
1. ウェブ プロキシ サーバをハブに接続し、 ハブを SonicWALL セキュリティ装置の WAN ポートに接続しま
す。
2. 「プロキシ ウェブ サーバ (名前または IP アドレス)」 フィールドに、 プロキシ サーバの名前または IP アドレ
スを入力します。
3. 「プロキシ ウェブ サーバのポート番号」 フィールドに、 プロキシの IP ポートを入力します。
4. 障害が発生した場合にプロキシ サーバをバイパスするには、 「プロキシ サーバが利用できない場合、 プ
ロキシ サーバをバイパスする」 チェック ボックスを選択します。
5. LAN インターフェースだけでなく、 OPT インターフェースからのプロキシ要求も送信するには、 「WLAN ク
ライアント リクエストをプロキシ サーバに転送す」 チェック ボックスを選択します。
6. 「適用」 を選択します。 SonicWALL セキュリティ装置が更新された後、 ブラウザ ウィンドウの一番下に更
新を確認するメッセージが表示されます。
109
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 12 章 : ウェブ プロキシ設定の構成
プロキシ障害時にプロキシ サーバをバイパスする
「ネットワーク > ウェブ プロキシ」 ページにウェブ プロキシ サーバが指定されている場合は、 「プロキシ
サーバが利用できない場合、 プロキシ サーバをバイパスする」 チェック ボックスを選択することにより、
ウェブ プロキシ サーバが利用できなくなったときに、 SonicWALL セキュリティ装置の背後にあるクライア
ントがウェブ プロキシ サーバをバイパスできるようになります。 代わりに、 クライアントのブラウザは、 ウェ
ブ プロキシ サーバが指定されていないかのようにインターネットに直接アクセスします。
WLAN クライアント リクエストをプロキシ サーバに転送する
既定では、 OPT インターフェース経由で入力されたクライアント リクエストは、 プロキシ サーバに転送され
ません。 LAN クライアント リクエストだけでなく、 OPT / DMZ / WLAN クライアント リクエストも送信す
るには、 「OPT / DMZ / WLAN クライアント リクエストをプロキシ サーバに転送する」 チェック ボックス
を選択します。
110
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 13 èÕ
第 13 章
イントラネット設定の構成
ネットワーク > イントラネット
SonicWALL セキュリティ装置をイントラネット ファイアウォールとして設定し、 ネットワーク ユーザが機密性
の高いサーバにアクセスするのを防ぐことができます。 既定では、 LAN 上のユーザはインターネット ルータに
はアクセスできますが、 SonicWALL セキュリティ装置の WAN ポートに接続されている機器にはアクセスで
きません。 SonicWALL セキュリティ装置の WAN ポートとインターネットの間のエリアへのアクセスを許可す
るには、 SonicWALL セキュリティ装置の 「ネットワーク > イントラネット」 ページでイントラネットの設定を構
成する必要があります。
イントラネット ファイアウォールは、 保護されているセグメントと保護されていないセグメントの間に
SonicWALL セキュリティ装置を接続することによって構築できます。
設置
1. SonicWALL の背面にある LAN イーサネット ポートを、不正なアクセスから保護するネットワーク セグメン
トに接続します。
WAN ポートに接続された機器は、 ファイアウォールで保護されません。 別の SonicWALL セキュリ
Sティ装置を使用して、
WAN 上のコンピュータを保護することをお勧めします。
警告 2. SonicWALL セキュリティ装置をコンセントに接続し、 電源がオンになっていることを確認します。
イントラネット ファイアウォールを有効にするには、 LAN 上にあるマシンはどれか、 または、 WAN 上にある
マシンはどれかを指定する必要があります。
マシン数の少ないネットワーク エリアを選ぶとよいでしょう。 例えば、 WAN に接続されているのが 1 台か 2
台のマシンのみである場合、 「指定されたアドレス範囲が、 WAN リンクに接続されている」 を選択します。
そうすると、 「LAN / WAN クライアント アドレス範囲」 セクションには IP アドレスを 1 つか 2 つ入力するだ
けになります。 IP アドレスは個別に指定するか、 範囲として指定します。
イントラネットの設定
1. 左側にあるナビゲーション メニューで、 「ネットワーク」、 「イントラネット」 の順に選択します。
2. 以下のオプションから 1 つを選択します。
111
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 13 章 : イントラネット設定の構成
• SonicWALL の WAN リンクが、 インターネット ルータに直接接続されている
SonicWALL セキュリティ装置がネットワーク全体を保護する場合は、 このオプションを選択します。 こ
のオプションは既定の設定です。
• 指定されたアドレス範囲が、 LAN リンクに接続されている
LAN 上の機器を指定する方が簡単な場合は、 このオプションを選択します。 次に LAN IP アドレス範
囲を入力します。 LAN 上のすべてのコンピュータが含まれるようにしなければ、 含まれなかったコン
ピュータは SonicWALL セキュリティ装置を通してデータを送信または受信できません。
• 指定されたアドレス範囲が、 LAN リンクに接続されている
WAN 上の機器を指定する方が簡単な場合は、 このオプションを選択します。 次に WAN IP アドレス
範囲を入力します。 WAN ポートに接続されていて、 この範囲に含まれないコンピュータは、 LAN 上
のユーザからアクセスできなくなります。
3. LAN または OPT インターフェース上で、イントラネットに含める IP アドレスの指定範囲を追加するには、
「追加」 を選択します。 「追加」 を選択すると、 「アドレス範囲の追加」 ウィンドウが表示されます。
"199.2.23.50" から "199.2.23.54" までのようなアドレス範囲を入力するには、 「開始 IP アドレス」 フィー
ルドに最初のアドレスを入力し、 「終了 IP アドレス」 フィールドに最後のアドレスを入力します。 個別の
IP アドレスは、 「開始 IP アドレス」 フィールドのみに入力します。
9
ヒント 最大 64 のアドレス範囲を入力できます。
4. 更新を選択します。 SonicWALL セキュリティ装置が更新された後、 ブラウザ ウィンドウの一番下に更
新を確認するメッセージが表示されます。
112
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 14 èÕ
第 14 章
静的ルートの設定
ネットワーク > ルーティング
LAN または WAN 上にルータが存在する場合、 「ネットワーク > ルーティング」 ページを使用して、
SonicWALL セキュリティ装置で静的ルートを設定できます。
静的ルーティングとは、 特定の事前定義された送信先にネットワーク トラフィックを送るように SonicWALL セ
キュリティ装置を設定することです。 LAN または WAN が、 容量や使用上の問題からサブネットにセグメント
化されている場合、 静的ルートを定義する必要があります。 例えば、 サブネットを作成すると、 経理部など
企業の特定の部署を、 LAN または WAN 上の他のネットワーク トラフィックから切り離すことができます。
113
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 14 章 : 静的ルートの設定
静的ルート
静的ルートは、 ネットワーク トラフィックをネットワーク上のルータの背後にあるサブネットに送る場合に設
定します。 例えば、 ネットワーク上に IP アドレス 192.168.168.254 のルータがあり、 もう 1 つサブネッ
トがネットワーク上にあって、 IP アドレス範囲は 10.0.5.0 ~ 10.0.5.254、 サブネットマスクは
255.255.255.0 であるとします。 LAN、 WAN、 DMZ、 WLAN のインターフェース上で、 静的ルート
を設定することができます。
静的ルートを 10.0.5.0 サブネットに構成するには、 以下の手順に従います。
1. 「ネットワーク」、 「ルーティング」 の順に選択します。
2. 「静的ルート」 セクションで 「追加」 を選択します。 「ルートの追加」 ウィンドウが表示されます。
3. 「対象先ネットワーク」 フィールドに、 10.0.5.0 と入力します。
4. 「サブネット マスク」 フィールドに、 255.255.255.0 と入力します。
5. 「デフォルト ゲートウェイ」 フィールドに、 192.168.168.254 と入力します。 これはルータの IP アドレ
スです。
6. 「インターフェース」 メニューから 「LAN」 を選択します。
7. 「OK」 を選択します。
9
ヒント SonicWALL セキュリティ装置では、 最大 256 のルートを設定できます。
静的ルートの設定例
静的ルートを設定すると、 SonicWALL セキュリティ装置の LAN の背後で、 内部 (LAN) ルータによっ
て分割された複数のサブネットをサポートできます。 このオプションは、 セカンダリ サブネットへのアクセス
に、 サブネットと SonicWALL セキュリティ装置の LAN ポートの間にある内部 (LAN) ルータ を介する
場合にのみ使用します。 いったん静的ルートを設定すれば、 ネットワーク トラフィックをこれらのサブネット
に送ることが可能になります。
キーワード :
• 対象先ネットワーク - リモート サブネットのネットワーク IP アドレス。 このアドレスは通常、 10.0.5.0
のように、 0 で終わります。
• サブネット マスク - リモート ネットワークのサブネット マスク (例えば、 255.255.255.0)。
• ゲートウェイ - SonicWALL セキュリティ装置に対するローカルな内部 (LAN) ルータの IP アドレス。
例:
Sonic WALL LAN IP アドレス - 192.168.168.1
サブネット マスク - 255.255.255.0
ルータ IP アドレス - 192.168.168.254
セカンダリ サブネット - 10.0.5.0
サブネット マスク - 255.255.255.0
ネットワーク上に IP アドレス 192.168.168.254 の内部 (LAN) ルータがあり、 もう 1 つサブネットが
ネットワーク上にあって、 IP アドレス範囲は 10.0.5.0 ~ 10.0.5.254、 サブネットマスクは
114
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > ルーティング
255.255.255.0 であるとします。 静的ルートを 10.0.5.0 サブネットに構成するには、 以下の手順に従
います。
「ネットワーク」、 「ルーティング」 の順に選択します。
1. 「静的ルート」 セクションで 「追加」 を選択します。
2. 「対象先ネットワーク」 フィールドに、 10.0.5.0 と入力します。
3. 「サブネット マスク」 フィールドに、 255.255.255.0 と入力します。
4. 「デフォルト ゲートウェイ」 フィールドに、 192.168.168.254 と入力します。 これは、 SonicWALL
セキュリティ装置に対するローカルな内部 (LAN) ルータの IP アドレスです。
5. 「インターフェース」 メニューから 「LAN」 を選択します。
6. 「OK」 を選択します。
9
ヒント 内部 (LAN) ルータが以下のように設定されていることを確認してください。 SonicWALL セ
キュリティ装置が NAT 有効モードである場合、 内部 (LAN) ルータの最終的なルート先 (例えばゲート
ウェイ) は、 SonicWALL セキュリティ装置の LAN IP アドレスになっている必要があります。
ルートの通知
SonicWALL セキュリティ装置は、 静的ルートと動的ルートをネットワーク上の他のルータに通知するため
に、 RIPv1 または RIPv2 を使用します。 ルータの機能または設定に基づいて、 RIPv1 または RIPv2
を選択します。 RIPv1 はプロトコルの初期バージョンで、 シンプルな機能です。 またマルチキャストではな
くブロードキャストによってパケットの送信を行います。 RIPv2 パケットは下位互換性があり、 オプションで
マルチキャスト パケットを受信できる RIPv1 実装であれば受け付け可能です。 RIPv1 および RIPv2 ルー
タを混合した混成ネットワークには、 「RIPv2 有効 (ブロードキャスト)」 を選択し、 パケットをマルチキャ
ストではなくブロードキャストで送信します。
ルート通知の設定
「インターフェース ルートの通知」 を有効にするには、 以下の手順に従います。
1. インターフェースの 「設定」 列にある編集
ウが表示されます。
アイコンを選択します。
「ルート通知の設定」 ウィンド
2. 以下の 「RIP の通知」 の形式から 1 つを選択します。
ƒ RIPv1 有効 - RIPv1 はルーティング情報プロトコルの最初のバージョンです。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
115
第 14 章 : 静的ルートの設定
ƒ RIPv2 有効 (マルチキャスト) - マルチキャスト (ネットワーク上の特定のノードへの単一データ
パケット) を使用してルート通知を送信します。
ƒ RIPv2 有効 (ブロードャスト) - ブロードキャストを使ってルート通知を送信します (1 つのデータ
パケットをネットワーク上のすべてのノードに送信します)。
3. SonicWALL セキュリティ装置に静的ルートが設定されている場合、 「静的ルートの通知」 を有効にし
てそれらを 「ルート通知」 から除外します。
4. 「ルート変更ダンプ時間 (秒)」 フィールドにネットワークを介してブロードキャストされた通知間の値を秒
単位で入力します。 既定値は “30” 秒です。 低い値ほどネットワークにおけるブロードキャスト トラ
フィック量が多くなります。 「ルート変更通知までの待ち時間 (秒)」 設定は、 VPN トンネルが状態
(上または下) を変更する時間と変更が RIP に通知される時間の遅延を定義します。 数秒の遅延を設
定することにより、 VPN トンネル状態の一時的な変更から不明瞭なルート通知が送信されることを防止
します。
5. 「ルート削除時の通知回数」 フィールドに削除したルートが通知のブロードキャストを終了するまでの回
数を入力します。 既定値は 1 です。
6. 「ルート メトリック (1 - 15)」 フィールドに 1 から 15 までの値を入力します。 これは、 送信元 IP アド
レスから送信先 IP アドレスまでにパケットがルータに接触する回数です。
7. 「ルートの通知」 メニューで RIPv2 が選択されている場合、 「RIPv2 ルート タグ (16 進数 4 文字)」
フィールドにルート タグの値を入力できます。 この値は実装依存であり、 ルータが RIPv2 通知の送信
元を分類するメカニズムを提供します。 このフィールドはオプションです。
8. RIPv2 認証を有効にしたい場合は、 「RIPv2 認証」 メニューで以下のオプションから 1 つを選択しま
す。
ƒ ユーザ定義 - 「認証種別 (16 進数 4 文字)」 フィールドに 16 進数 4 文字を入力します。
証データ (16 進数 32 文字)」 フィールドに 16 進数 32 文字を入力します。
「認
ƒ 平文パスワード - 「認証用パスワード (最大 16 文字)」 フィールドにパスワードを入力します。
パスワードには最大 16 文字使用できます。
ƒ MD5 ダイジェスト - 「認証鍵 Id (0 - 255)」 フィールドに、 0 から 255 までの数値を入力しま
す。 「認証鍵 (16 進数 32 文字)」 フィールドに、 16 進数 32 文字の値を入力します。 また
は、 生成された鍵を使用します。
9. 「OK」 を選択します。
ルート テーブル
ルーティング テーブルは、 IP ソフトウェアが各ホストおよびルータ上で維持している送信先のリストです。
対象先ネットワーク IP アドレス、 サブネット マスク、 ゲートウェイ アドレス、 対象先リンクが表示されま
す。
ほとんどのエントリは、 LAN、 WAN、 WLAN のネットワーク設定を行った結果です。 SonicWALL セ
キュリティ装置の LAN、 WAN、 WLAN の IP アドレスは、 静的な登録として常に表示されます。
ルート通知
SonicWALL セキュリティ装置は、 静的ルートと動的ルートをネットワーク上の他のルータに通知するため
に、 RIPv1 または RIPv2 を使用します。 ユルータの機能または設定に基づいて、 RIPv1 または RIPv2
116
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > ルーティング
を選択します。 RIPv1 はプロトコルの初期バージョンで、 シンプルな機能です。 またマルチキャストではな
くブロードキャストによってパケットの送信を行います。 RIPv2 パケットは下位互換性があり、 オプションで
マルチキャスト パケットを受信できる RIPv1 実装であれば受け付け可能です。 RIPv1 および RIPv2 ルー
タを混合した混成ネットワークには、 「RIPv2 有効 (ブロードキャスト)」 を選択し、 パケットをマルチキャ
ストではなくブロードキャストで送信します。
ルートの通知設定
「インターフェース ルートの通知」 を有効にするには、 以下の手順に従います。
1. インターフェースの 「設定」 列にある編集
ウが表示されます。
アイコンを選択します。
「ルートの通知設定」 ウィンド
2. 以下の 「RIP の通知」 の形式から 1 つを選択します。
ƒ RIPv1 有効 - RIPv1 はルーティング情報プロトコルの最初のバージョンです。
ƒ RIPv2 有効 (マルチキャスト) - マルチキャストを使ってルート通知を送信します (1 つのデータ
パケットをネットワーク上の指定ノードに送信します)。
ƒ RIPv2 有効 (ブロードャスト) - ブロードキャストを使ってルート通知を送信します (1 つのデータ
パケットをネットワーク上のすべてのノードに送信します)。
3. SonicWALL セキュリティ装置に静的ルートが設定されている場合、 「静的ルートの通知」 を有効にし
てそれらを 「ルート通知」 から除外します。
4. 「ルート変更通知までの待ち時間 (秒)」 フィールドにネットワークを介してブロードキャストされた通知
間の値を秒単位で入力します。 既定値は “30” 秒です。 低い値ほどネットワークにおけるブロード
キャスト トラフィック量が多くなります。 「ルート変更通知までの待ち時間 (秒)」 設定は、 VPN トン
ネルが状態 (上または下) を変更する時間と変更が RIP に通知される時間の遅延を定義します。 数
秒の遅延を設定することにより、 VPN トンネル状態の一時的な変更から不明瞭なルート通知が送信さ
れることを防止します。
5. 「ルート削除時の通知回数 (0 - 99)」 フィールドに削除したルートが通知のブロードキャストを終了
するまでの回数を入力します。 既定値は 1 です。
6. 「ルート メトリック (1 - 15)」 フィールドに 1 から 15 までの値を入力します。 これは、 送信元 IP アド
レスから送信先 IP アドレスまでにパケットがルータに接触する回数です。
7. 「ルートの通知」 メニューで RIPv2 が選択されている場合、 「RIPv2 ルート タグ (16 進数 4 文字)」
フィールドにルート タグの値を入力できます。 この値は実装依存であり、 ルータが RIPv2 通知の送信
元を分類するメカニズムを提供します。 このフィールドはオプションです。
8. RIPv2 認証を有効にする場合、 「RIPv2 認証」 メニューから次のいずれかのオプションを選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
117
第 14 章 : 静的ルートの設定
ƒ ユーザ定義 - 「認証種別 (16 進数 4 文字)」 フィールドに 16 進数 4 文字を入力します。
証データ (16 進数 32 文字)」 フィールドに 16 進数 32 文字を入力します。
「認
ƒ 平文パスワード - 「認証用パスワード (最大 16 文字)」 フィールドにパスワードを入力します。
パスワードには最大 16 文字使用できます。
ƒ MD5 Digest - 「認証鍵 Id (0 - 255)」 フィールドに 0 から 255 までの数値を入力します。
「認証鍵 (16 進数 32 文字)」 フィールドに、 16 進数 32 文字の値を入力します。 または、 生成
された鍵を使用します。
9. 「OK」 を選択します。
ルーティング テーブル
ルーティング テーブルは、 IP ソフトウェアが各ホストおよびルータ上で維持している送信先のリストです。
対象先ネットワーク IP アドレス、 サブネット マスク、 ゲートウェイ アドレス、 対象先リンクが表示されま
す。
ほとんどのエントリは、 LAN、 WAN、 WLAN のネットワーク設定を行った結果です。 SonicWALL セ
キュリティ装置の LAN、 WAN、 WLAN の IP アドレスは、 静的な登録として常に表示されます。
118
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 15 章
Address Resolution Protocol設定の構成
ëÊ15èÕ
ネットワーク > ARP
ARP (Address Resolution Protocol) キャッシュは、 ネットワーク上の ARP ブロードキャスト数を最小限
にするため、 ARP 応答から受信した IP または論理アドレスを保存します。 ネットワーク上で送信されるブ
ロードキャストの要求が多すぎると、 ARP ブロードキャストのネットワーク パフォーマンスが低下する場合があ
ります。 ARP 要求が保存されたら、 ホストは同じ IP のデータグラムに対して ARP 要求を送信する必要があ
りません。
静的 ARP エントリ
静的 ARP 機能により、 第 2 層の MAC アドレスと第 3 層の IP アドレス間で静的な割付が可能になるだけで
なく、 以下の機能も使用できます。
• 「公開」 - 「静的 ARP の追加」 ウィンドウの 「公開」 オプションを有効にすると、 SonicWALL 機器
が、 指定した MAC アドレスで指定した IP アドレスに対する ARP の問い合わせに応答するようになりま
す。 例えば、 SonicWALL の MAC アドレスを追加して、 SonicWALL 機器で特定のインターフェースの
119
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 15 章 : Address Resolution Protocol 設定の構成
副格の IP アドレスに応答できるようになります。 以下の 「副格のサブネット」 セクションを参照してくだ
さい。
• 「バインド MAC」 - 「静的 ARP の追加」 ウィンドウにあるこのオプションを有効にすると、 指定された
MAC アドレスを指定した IP アドレスおよびインターフェースにバインドさせることができます。 これによ
り、 (ネットワーク カードの一意の MAC アドレスで認識された) 特定のワークステーションを
SonicWALL で指定したインターフェースでのみ使用できるようになります。 MAC アドレスが 1 つのイ
ンターフェースにバインドされたら、 SonicWALL は他のインターフェースの MAC アドレスに応答しなく
なります。 また、 存在の可能性がある MAC アドレスに動的にキャッシュされた参照をすべて削除し、
その MAC アドレスへの追加 (一意でない) の静的割付を禁止します。
• 「IP アドレスを動的に更新」 - 「静的 ARP の追加」 ウィンドウにあるこの設定は、 「バインド MAC」
オプションのサブ機能です。 これにより、 DHCP を動的な IP アドレス割付に使用するとき、 MAC アド
レスをインターフェースにバインドさせることができます。 このオプションを有効にすると、 「IP アドレス」
フィールドがあいまいになり、 SonicWALL の内部 DHCP サーバ、 もしくは、 IP ヘルパーが使用中
の場合には外部 DHCP サーバにより割付された IP アドレスで ARP キャッシュが投入されます。
静的 ARP での副格のサブネット
SonicOS Standard では、 「ネットワーク > 設定」 ページにある 「LAN プロパティ」 ウィンドウの 「ネッ
トワーク > ゲートウェイ」 機能による LAN 上の副格のサブネットを既にサポートしていますが、 静的
ARP 機能により、 自動 NAT ルールを追加せずに副格のサブネットを他のインターフェースに追加すること
ができます。
補足 静的 ARP メソッドによりファイアウォール アクセス ルールが作成される場合、 主格と副格のサブ
ネット間でルールを作成することは不可能です。
静的 ARP メソッドで副格サブネットの追加
1. 副格のサブネットに使用されるゲートウェイ アドレスの “公開している” 静的 ARP を、 接続する
SonicWALL インターフェースの MAC アドレスに割り当てて追加します。
2. 副格のサブネットに静的ルートを追加すると、 SonicWALL がそれを有効なトラフィックと見なし、 その
サブネットのトラフィックの経路にするインターフェースが識別されます。
3. アクセス ルールを追加して、 サブネットに正しいネットワーク インターフェースを通過させるためのトラ
フィックの送出を可能にします。
4. オプションとして、 どのゲートウェイ IP で副格のサブネットに到達させるかを識別させるため、 アップスト
リーム機器の静的ルートを追加します。
120
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > ARP
以下のネットワークの例を検討してください。
SonicOS Standard では、 DMZ (または OPT) インターフェースの副格サブネットに対する NAT ルー
ルを作成することは不可能ですが、 ルート設定の副格サブネットをサポートすることは可能です。 上記の設
定をサポートするには、 まず副格サブネットのゲートウェイとなるアドレス 192.168.50.1 の公開している
静的 ARP エントリを作成してから、 DMZ / OPT インターフェースに関連付けます。 「ネットワーク >
ARP」 ページで、 「静的 ARP 登録」 セクションにある 「追加」 ボタンを選択して、 以下のエントリを追加
します。
エントリは、 次のようにテーブルに表示されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
121
第 15 章 : Address Resolution Protocol 設定の構成
「ネットワーク > ルーティング」 を開き、 以下のように 192.168.50.0 / 24 の静的ルートを追加します。
エントリは、 次のようにテーブルに表示されます。
トラフィックを 192.168.50.0 / 24 のサブネットに到達させ、 192.168.50.0 / 24 のサブネットを
LAN のホストに到達させるため、 「ファイアウォール > アクセス ルール」 ページを開き、 以下のアクセス
ルールを追加します。
動的 ARP 登録の禁止
SonicOS Standard には、 インターフェース ベースごとの動的 ARP 登録を禁止させる機能が備わってい
ます。 インターフェースでこの機能を有効にすると、 そのインターフェースに動的に ARP が追加されるのを
防ぎます。 これは、 特定のインターフェース上での操作を許可するホストの MAC アドレスを、 静的および
厳密に定義するセキュリティ メカニズムです。
S
警告 この機能の設定を間違えると、 SonicWALL がアクセス不能となり、 工場の既定で復元しなけれ
ば回復することはできません。 この機能の動作を確実に理解し、 「動的 ARP 登録の禁止」 の設定を適用
する前に、 許可されたホストの静的 ARP 登録を適切に設定してください。
アップストリームのルータに静的 ARP を追加した後、 WAN インターフェース上の動的 ARP を禁止するの
がこの機能の典型的な使用法です。 これにより、 そのルータのみが WAN インターフェース上で許容され
たホストとなります。
122
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > ARP
ルータの静的 ARP エントリを追加した後、 「動的 ARP 登録の禁止」 で 「WAN」 インターフェースの横
のチェックボックスを選択します。 通知のダイアログにある 「OK」 ボタンを選択して続行します。 ページの
上部にある 「適用」 ボタンを選択すると、 設定が有効になります。
ARP キャッシュ テーブルのナビゲートおよび並べ替え
「ARP キャッシュ」 テーブルでは、 多数の ARP エントリを簡単に閲覧できるようにページ付けがされてい
ます。 「ARP キャッシュ」 テーブルの右上にあるナビゲーション コントロール バーを使用して、 「ARP
キャッシュ」 テーブルにリストされた多数の ARP エントリを参照できます。
ナビゲーション コントロール バーには 4 つのボタンがあります。 左端のボタンは、 テーブルの最初のペー
ジを表示します。 右端のボタンは、 最後のページを表示します。 内側の左矢印ボタンと右矢印ボタンで、
それぞれ前または次のページに移動します。
「表示範囲」 フィールドにポリシー番号 (「#名前」 列においてポリシー名の前に記載されている番号) を
入力することにより、 特定の ARP エントリに移動できます。 既定のテーブル設定では、 ページあたり 50
個のエントリが表示されます。 この既定のテーブル エントリ数は、 「システム > 管理」 ページで変更でき
ます。
テーブルのエントリを並べ替えるには、 列見出しを選択します。 エントリは昇順または降順で並べ替えられ
ます。 列エントリの右側にある矢印が、 並べ替え状況を示します。 下向きの矢印は昇順を意味します。 上
向きの矢印は降順を示します。
ARP キャッシュのフラッシュ
ネットワーク上の機器の IP アドレスが変更された場合、 ARP キャッシュをフラッシュする必要があります。
IP アドレスは物理アドレスにリンクされるので、 変更された IP アドレスは ARP キャッシュ内で物理アドレ
スに関連付けられたままです。 ARP キャッシュをフラッシュすると、 新しい情報が収集され、 ARP キャッ
シュに保管されます。 「ARP キャッシュのフラッシュ」 を選択すると、 情報が消去されます。
エントリがタイムアウトするまでの時間を設定するには、 「ARP キャッシュ登録タイムアウト (分)」 フィー
ルドに時間を分単位で入力します。 既定値は 10 分です。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
123
第 15 章 : Address Resolution Protocol 設定の構成
124
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 16 章
DHCP サーバの設定
ëÊ 16 èÕ
ネットワーク > DHCP サーバ
dhcpserverview
SonicWALL セキュリティ装置の DHCP サーバで、 IP アドレス、 サブネット マスク、 ゲートウェイ アドレス、
および DNS サーバアドレスがネットワークのコンピュータに配信されます。 ネットワーク上で、 SonicWALL
の DHCP サーバ、 もしくは他の DHCP サーバを使用することができます。
DHCP サーバの設定
SonicWALL セキュリティ装置で DHCP サーバ機能を有効にするには、 「DHCP サーバを有効にする」 を
選択します。
ネットワークで他の DHCP サーバを使用する場合は、 「DHCP サーバを有効にする」 のチェックマークを外
します。
ネットワークで他の DHCP サーバを使用している場合、 「DHCP パス スルーを許可する」 を選択します。
DHCP サーバ リース範囲
DHCP サーバの 「リース範囲」 テーブルには、 現在設定されている DHCP の IP 範囲が表示されます。
テーブルには以下が表示されます。
• 「タイプ」 : 「動的」 または 「静的」
• 「リース範囲」 : 例えば、 172.16.31.2 - 172.16.31.254 の IP アドレスの範囲です。
• 「インターフェース」 : インターフェースの範囲は、 LAN、 OPT、 DMZ、 WLAN、 WAN に割り当てられ
ます。
125
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 16 章 : DHCP サーバの設定
• 「詳細」 : マウス ポインタを詳細のアイコンの上に移動すると、 リースに関する詳しい情報がツール ヒン
トとして表示されます。
• 「有効」 : 「有効」 列のチェックボックスを選択して、 DHCP 範囲を有効にします。 範囲を無効にする
場合は、 チェックボックスをオフにします。
• 「設定」 : DHCP 範囲を設定するには、 編集
アイコンを選択し、 範囲を削除するには削除
ア
イコンを選択します。
動的 DHCP 範囲の設定
1. 「動的登録の追加」 ボタンを選択します。 「動的 DHCP 範囲の設定」 ウィンドウが表示されます。
2. DHCP 範囲を有効にしたい場合は、 「OK」 を選択した後、 「この DHCP 範囲を有効にする」 が選択さ
れているかを確認してください。
3. 「インターフェース」 メニューからインターフェースを選択します。 IP アドレスは、 SonicWALL セキュリ
ティ装置の LAN と同じプライベート サブネットにあります。
4. 「開始アドレス」フィールドに始めの IP アドレスを入力します。 既定の IP アドレスはほとんどのネットワー
クに適しています。
5. 「終了アドレス」 フィールドに最後の IP アドレスを入力します。 ネットワーク上に 25 台を超えるコン
ピュータがある場合は、 「終了アドレス」 フィールドに適切な終了 IP アドレスを入力します。
6. 「リース期間 (分)」 フィールドに、 他の IP アドレスを発行する前に使用される IP アドレスを分単位で入
力します。 既定値は 1440 分です。
7. 「設定可能なゲートウェイ」 メニューからゲートウェイを選択します。 既定では LAN IP アドレスですが、
「その他」 を選択して異なるゲートウェイの IP アドレスを入力します。
8. 「設定可能なゲートウェイ」 メニューで、 SonicWALL セキュリティ装置の LAN IP アドレスを選択した場
合、 「デフォルト ゲートウェイ」 および 「サブネット マスク」 フィールドは設定できません。 「その他」
を選択すると、 「デフォルト ゲートウェイ」 および 「サブネット マスク」 フィールドに情報を入力すること
ができます。
9. ネットワークに BOOTP クライアントがある場合、「BootP クライアントによる DHCP アドレス範囲の利用
を許可する」 を選択します。
126
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > DHCP サーバ
10. 「DNS / WINS」 タブを選択して、 DHCP サーバの設定を続行します。
11. DNS サーバにドメイン名がある場合は、 「ドメイン名」 フィールドに入力します。
12. 「SonicWALL の DNS 設定から、 動的に DNS 設定を引き継ぐ」 が既定で選択されています。 選択さ
れていると、 DNS サーバの IP フィールドに入力できません。
13. SonicWALL セキュリティ装置のネットワークを設定しない場合、 「マニュアルで DNS サーバを指定」
を選択して 「DNS サーバ」 フィールドに使用する DNS サーバの IP アドレスを入力します。
14. ネットワークに WINS が実行されている場合、「WINS サーバ」フィールドに WINS サーバの IP アドレス
を入力します。
15. 「OK」 を選択して SonicWALL セキュリティ装置に設定を追加します。 次に、 「適用」 を選択して設定
を SonicWALL セキュリティ装置で有効にします。
静的 DHCP 範囲の設定
1. 「静的登録の追加」 ボタンを選択します。 「静的 DHCP 範囲の設定」 ウィンドウが表示されます。
2. DHCP 範囲を有効にしたい場合は、 「OK」 を選択した後、 「この DHCP 範囲を有効にする」 が選択さ
れているかを確認してください。
3. 「インターフェース」 メニューからインターフェースを選択します。 IP アドレスは、 SonicWALL セキュリ
ティ装置の LAN と同じプライベート サブネットにあります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
127
第 16 章 : DHCP サーバの設定
4. 「静的 IP アドレス」 フィールドに機器の IP アドレスを入力します。
5. 「MAC アドレス」 フィールドに機器のイーサネット アドレスを入力します。
6. 「リース期間 (分)」 フィールドに、 他の IP アドレスを発行する前に使用される IP アドレスを分単位で入
力します。 既定値は 1440 分です。
7. 「設定可能なゲートウェイ」 メニューからゲートウェイを選択します。 既定では LAN IP アドレスですが、
「その他」 を選択して異なるゲートウェイの IP アドレスを入力します。
8. 「設定可能なゲートウェイ」 メニューで、 SonicWALL セキュリティ装置の LAN IP アドレスを選択した場
合、 「デフォルト ゲートウェイ」 および 「サブネット マスク」 フィールドは設定できません。 「その他」
を選択すると、 「デフォルト ゲートウェイ」 および 「サブネット マスク」 フィールドに情報を入力すること
ができます。
9. ネットワークに BOOTP クライアントがある場合、「BootP クライアントによる DHCP アドレス範囲の利用
を許可する」 を選択します。
10. 「DNS / WINS」 タブを選択して、 DHCP サーバの設定を続行します。
11. DNS サーバにドメイン名がある場合は、 「ドメイン名」 フィールドに入力します。
12. 「SonicWALL の DNS 設定から、動的に DNS 設定を引き継ぐ」が既定で選択されています。 選択され
ていると、 DNS サーバの IP フィールドに入力できません。
13. SonicWALL セキュリティ装置のネットワークを設定しない場合、 「マニュアルで DNS サーバを指定」 を
選択して 「DNS サーバ」 フィールドに使用する DNS サーバの IP アドレスを入力します。 最低 1 つの
DNS サーバを指定する必要があります。
14. ネットワークに WINS が実行されている場合、「WINS サーバ」フィールドに WINS サーバの IP アドレス
を入力します。
15. 「OK」 を選択して SonicWALL セキュリティ装置に設定を追加します。 次に、 「適用」 を選択して設定
を SonicWALL セキュリティ装置で有効にします。
9
ヒント SonicWALL セキュリティ装置の DHCP サーバに、 合計で 254 の動的および静的 IP アドレス
を割り当てることができます。
dhcpstatprops
現在の DHCP リース
現在の DHCP リースの情報は、 「現在の DHCP リース」 テーブルに表示されます。 それぞれのバインド
に、 動的、 動的 BOOTP、 または静的 BOOTP のバインドのタイプと並んで、 IP アドレスおよびイーサ
ネット アドレスが表示されます。 DHCP サーバの IP アドレスを解放するバインドを削除するには、 エントリ
の横にあるゴミ箱のアイコンを選択します。 エントリを編集するには、 エントリの横にある編集
アイコン
を選択します。
128
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 17 èÕ
第 17 章
動的 DNS の設定
ネットワーク > 動的 DNS
動的 DNS (DDNS) は、 IP アドレスを動的に変更する際、 DNS レコードを人の手を介さず自動的に更新
できるようにするサービスで、 様々な会社や組織によって提供されています。 ユこのサービスは、 対象の IP
アドレスが変更された場合にも、 IP アドレスではなくドメイン名を使用することによって、 ネットワーク アクセス
を可能にします。 例えば、 ユーザが IP アドレスを ISP から動的に割り当てられる DSL 接続を使用している
場合、 DDNS を使用して IP アドレスを DDNS サーバに登録し、 またその後のアドレス変更もすべて登録す
ることによって、 外部のホストは同じドメイン名を使いながら変更後のアドレスにアクセスを継続することができ
ます。
動的 DNS の実装は、 サービス プロバイダごとに内容が異なります。 通信方式や登録できるレコードの種類、
提供可能なサービスの種類に、 厳密な標準はありません。 また、 プレミアム バージョンのサービスを有償で
提供するプロバイダもあります。 このため、 特定の DDNS プロバイダをサポートするには、 そのプロバイダ
固有の実装との明示的な相互運用性が必要です。
プロバイダのほとんどは、 IP アドレスの変更が発生した場合のみ DDNS レコードを更新するほうが望ましい
と考えています。 頻繁な更新は、 特に登録 IP アドレスが変更されていない場合、 プロバイダによってサービ
スの誤用と判断され、 その結果 DDNS アカウントがロック アウトされる場合があります。 プロバイダのページ
に掲載されている使用方針を確認し、 その方針に準拠してください。 SonicWALL では DDNS プロバイダに
関するテクニカル サポートは行いませんので、 お問い合わせはプロバイダの方にお願いします。
サポートしている動的 DNS プロバイダ
すべてのプロバイダのすべてのサービスや機能をサポートしてはいません。 また、 サポートしているプロバイ
ダのリストは、 予告なく変更されることがあります。 SonicOS3.8 は、 現在のところ以下の動的 DNS プロバ
イダをサポートしています。
• DynDNS.org 〈http://www.dyndns.org〉 - DynDNS.org の DDNS を設定するために、 SonicOS は、
ユーザ名、 パスワード、 メール エクスチェンジャー、 予備 MX を必要とします。
• Changeip.com 〈http://www.changeip.com〉 - 単一の伝統的な動的 DNS サービスです。 SonicOS の
設定に必要なのは、 ユーザ名、 パスワード、 ドメイン名のみです。
• No - ip.com 〈http://www.no-ip.com〉 - SonicOS の設定に、 ユーザ名、 パスワード、 ドメイン名の
みを必要とする動的 DNS サービスです。 ホスト名のグループ化もサポートしています。
• Yi.com 〈http://www.yi.org〉 - SonicOS の設定に、 ユーザ名、 パスワード、 ドメイン名のみを必要と
する動的 DNS サービスです。 動的更新を正しく行うには、 yi.org 管理ページ上で RR レコードを作成す
る必要があります。
動的 DNS プロバイダによる追加サービス
動的 DNS プロバイダによって提供される共通の追加サービスには次のようなものがあります。
• ワイルドカード - サブドメインのワイルドカード参照を可能にします。 例えば、 yourdomain.dyndyn.org
を登録した場合、
* .yourdomain.dyndyn.org でのアクセスが可能になります。
129
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 17 章 : 動的 DNS の設定
• つまり、 server.yourdomain.dyndyn.org でも www.yourdomain.dyndyn.org でも
ftp.yourdomain.dyndyn.org でもアクセスできます。
• メール エクスチェンジャー - SMTP サーバが DNS を介してドメインを探し出し、 メールを送信するた
めに、 ドメインの MX レコード エントリを作成します。 注 : 受信 SMTP が、 ISP により遮断されている
場合がありますので、 メール サーバをホストしようとする前にプロバイダへお問い合わせください。
• 予備 MX (dydns.org、 yi.org 提供) - 主格 IP アドレスが停止中のときのために、 MX レコード用の
代替 IP アドレスを指定できます。
• グループ - ホストをグループ化することによって、 更新を個々のメンバーに対して複数回行うのではな
く、 グループ レベルで一度に実行できます。
• オフライン IP アドレス - 登録された主格 IP アドレスがオフラインのときのために、 登録ホスト名用の
代替アドレスを指定できます。
ddnssaddentry
動的 DNS の設定
動的 DNS サービスの使用は、 利用する DDNS サービス プロバイダを選び、 アカウントを設定すること
から始めます。 同時に複数のプロバイダを利用することも可能です。 上に挙げた各種プロバイダのリンクを
参照してください。 通常の登録手続きでは、 プロバイダから確認の電子メールを受け取り、 そのメールに
埋め込まれている固有の URL へのアクセスを実行して最終確認を行います。
選択したプロバイダのページにログインした後、 管理用のリンク (一般に、 「追加」 や 「管理」) を選択
し、 ホスト エントリを作成します。 この作業は、 SonicOS 上で動的 DNS クライアントを使用する前に行う
必要があります。
1. 「ネットワーク > 動的 DNS」 ページで、 「追加」 ボタンを選択します。 「動的 DNS プロファイルの追
加」 ウィンドウが表示されます。
2. 「この動的 DNS プロファイルを有効にする」 チェック ボックスにチェック マークが付いていれば、 このプ
ロファイルは管理上有効になり、 SonicWALL セキュリティ装置によって、 「詳細」 タブの 「オンライン
設定」 セクションで定義されているアクションが実行されます。
3. 「オンライン設定を使用する」 チェック ボックスにチェック マークが付いている場合は、 このプロファイル
の管理はオンラインになります。
4. 「プロファイル名」 フィールドに、 DDNS エントリに割り当てる名前を入力します。 これには、 「動的
DNS 設定」 テーブルでエントリを識別するのに使用する任意の名前を指定できます。
130
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > 動的 DNS
5. 「プロファイル」 ページで、 ページの先頭にあるドロップダウン リストからプロバイダを選択します。
DynDNS.org と changeip.com は HTTPS を使用し、 yi.org と no - ip.com は HTTP を使用して
います。 この例では、 DynDNS.org を使用します。 DynDNS.org では利用するサービスの選択が必
要です。 この例では、 DynDNS.org で動的サービス ・ レコードを作成したものと想定します。
6. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 DynDNS.org でのユーザ名とパスワードを入力
します。
7. DynDNS.org に登録したホスト名の完全修飾ドメイン名 (FQDN) を入力します。 ホスト名とドメイン
が、 設定した通り、 同じであることを確認します。
8. DynDNS.org を使用する際には、ドロップダウン リストから DynDNS.org で選択したサービスの種類に
対応する 「サービス種別」 を選択します。 このオプションには次のものがあります。
ƒ 動的 - 無料の動的 DNS サービスです。
ƒ 個別 - 管理された主格 DNS ソリューションで、 主格および副格の統合 DNS サービスと、 ウェブ
ベースのインターフェースを提供します。 動的、 静的双方の IP アドレスをサポートしています。
ƒ 静的 - 静的 IP アドレスのための無料 DNS サービスです。
9. DynDNS.org を使用する際には、 任意で 「ワイルドカードを有効にする」 を選択したり、 「メール エク
スチェンジャー」 フィールドに MX エントリを設定することもできます。 これが予備のメール エクスチェン
ジャーである場合は、 予備 MX を選択します。
10. 「詳細設定」 タブを選択します。 通常は、 このページの既定の設定をそのまま使用できます。
11. 「オンライン設定」 セクションでは、 動的 DNS プロバイダにどのアドレスを登録するかを指定します。 以
下のオプションがあります。
サーバに IP アドレスを検出させる - 接続の送信元アドレスに基づいて、 動的 DNS プロバイダが IP
アドレスを判別します。 この設定は最も一般的です。
自動的に IP アドレスを主格 WAN インターフェース IP アドレスに設定する - この設定では、
SonicWALL 機器によって WAN IP アドレスが登録 IP アドレスとして割り付けられ、 動的 DNS サー
バによる自動検出に優先して使用されます。 自動検出が適切に動作しない場合に役に立つ設定です。
IP アドレスを手動で指定する - 手動で IP アドレスを指定および割り付けして登録できます。
12. 「オフライン設定」 セクションでは、 SonicWALL で動的 DNS エントリがローカルにオフラインになって
いる (無効になっている) 場合に、 動的 DNS サービス プロバイダにどの IP アドレスを登録するかを
指定します。 以下のオプションがあります。
何も行わない - 既定の設定です。 前に登録したアドレスが、 動的 DNS プロバイダでの現在のアドレ
スになります。
プロバイダ サイトで前に設定したオフライン IP アドレスを使用する - プロバイダでオフライン設定の手
動設定をサポートしている場合は、 このオプションを選択して、 このプロファイルの管理がオフラインの
ときにこれらの設定を使用できます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
131
第 17 章 : 動的 DNS の設定
未知のホストにする - 登録を完全に抹消します。 この動作は、 DNS システム全体で適用されるまで
に時間を要する場合があります。
IP アドレスを手動で指定する - エントリがオフラインになった場合に、 代替アドレスを登録することがで
きます。
13. 「OK」 を選択します。
動的 DNS 設定テーブル
「動的 DNS 設定」 テーブルには、 設定された動的 DNS プロファイルが一覧表形式で示されます。
「動的 DNS 設定」 テーブルには以下のカラムがあります。
• プロファイル名 - 動的 DNS エントリを作成したときに割り当てた名前です。 任意の値が可能で、 識別
のためにのみ使用されます。
• ドメイン - 動的 DNS エントリの完全修飾ドメイン名 (FQDN) です。
• プロバイダ - このエントリで登録されている動的 DNS プロバイダです。
• 状況 - 動的 DNS エントリの最後にレポートされた状況、 または、 現在の状況です。 以下の状況があ
ります。
ƒ オンライン - 動的 DNS エントリは、 管理上オンラインです。 このエントリの現在の IP 設定が、 タイ
ム スタンプとともに表示されます。
ƒ オフライン中 - 動的 DNS エントリは、 管理上オフラインです。 エントリが有効な場合、 「詳細設定」
タブの 「オフライン設定」 セクションで設定された動作を実行します。
ƒ 誤用 - 動的 DNS プロバイダが、頻繁な更新を誤用であると見なしました。 どのような場合に誤用と
されるかを、 動的 DNS プロバイダのガイドラインで確認してください。
ƒ IP 変更なし - 誤用の可能性 - IP アドレスを変更しない強制的な更新を行った場合、誤用であると
見なす動的 DNS プロバイダがあります。 自動更新は、 アドレスや状況が変化した場合にのみ発生
します。 手動の更新や強制更新は、 登録情報が間違っているなど、 明確に必要な場合にのみ行
われます。
ƒ 無効 - 設定エラーまたはポリシー違反のため、 アカウントを無効にされました。 プロファイルの設
定と、 プロバイダの動的 DNS アカウント状況を確認してください。
ƒ 無効なアカウント - 提供されたアカウント情報が有効ではありません。 プロファイルの設定と、 プロ
バイダの動的 DNS アカウント状況を確認してください。
ƒ ネットワーク エラー - 動的 DNS プロバイダと通信できません。 ネットワーク エラーの疑いがありま
す。 プロバイダがアクセス可能であり、 オンラインになっていることを確認してください。 時間を置い
て再度実行してください。
ƒ プロバイダ エラー - 動的 DNS プロバイダは、 今回要求された動作を実行することができません。
プロファイルの設定と、 プロバイダの動的 DNS アカウント状況を確認してください。 時間を置いて
再度実行してください。
ƒ 寄付者のアカウントではありません - プロバイダによって特定の機能 (オフライン アドレス設定な
ど) が有料会員や寄付者にのみ利用可能な場合があります。 どのサービスが有料または寄付が必
要かの詳細は、 プロバイダに確認してください。
• 有効 - 選択すると、 このプロファイルは管理上有効になり、 SonicWALL は 「詳細設定」 タブで設
定した 「オンライン設定」 の動作を行います。 この設定は、 エントリの 「プロファイル」 タブで 「この動
的 DNS プロファイルを有効にする」 チェックボックスを使用して制御することもできます。 チェックボック
スを非選択にするとプロファイルは無効になり、 再度有効になるまで、 このプロファイルのための動的
DNS プロバイダとの通信は発生しません。
132
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ネットワーク > 動的 DNS
• オンライン - 選択すると、 このプロファイルは管理上オンラインになります。 この設定は、 エントリの
「プロファイル」 タブで 「オンライン設定を使用する」 チェックボックスを使用して制御することもできま
す。 プロファイルが有効な間にチェックボックスを非選択にした場合、 プロファイルはオフラインになり、
SonicWALL は 「詳細設定」 タブで設定された 「オフライン設定」 の動作を行います。
• 設定 - 動的 DNS プロファイルを設定するための編集アイコン
と、 動的 DNS プロファイルエント
リを削除するための削除アイコン
があります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
133
第 17 章 : 動的 DNS の設定
134
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第4部
ëÊ 4 ïî
ファイアウォール
SonicWALL SonicOS Standard 3 . 8管理者ガイド
135
136
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 18 èÕ
第 18 章
ネットワーク アクセス ルールの設定
ネットワーク アクセス ルールの概要
ネットワーク アクセス ルールは、 発信/着信アクセス ポリシーの定義、 ユーザー認証の設定、 および
SonicWALL のリモート管理の有効化ができる管理ツールです。
既定では、 SonicWALL のステートフル パケット検査によって、 LAN からインターネットへの通信をすべ
て許可し、 インターネットから LAN に送出されるトラフィックをすべて遮断できます。 SonicWALL で有効
になっている “既定の” ステートフル検査パケット ルールでは、 以下の動作が定義されています。
• LAN、 OPT、 DMZ、 または WLAN から発生したすべてのセッションを WAN に対して許可する
• WAN から発生したすべてのセッションを LAN、 OPT、 DMZ、 または WLAN に対して拒否する
追加のネットワーク アクセス ルールを定義して、 既定のルールを拡張または指定変更することができま
す。 例えば、 LAN からの IRC など特定の種類のトラフィックを WAN に対して遮断するルール、 ロータ
ス ノーツのデータベース同期など特定の種類のトラフィックを、 インターネット上の特定のホストから LAN
上の特定のホストに対して許可するルール、 Telnet など特定のプロトコルの使用を LAN 上の許可された
ユーザーのみに制限するルールなどを作成できます。
個別ルールでは、 ネットワーク トラフィックの送信元 IP アドレス、 送信先 IP アドレス、 および IP プロトコ
ル タイプが評価され、その情報が SonicWALL で作成したルールと比較されます。 ネットワーク アクセス
ルールが優先され、 SonicWALL ステートフル パケット検査に優先させることができます。 例えば、 IRC
トラフィックを遮断するルールは、 このタイプのトラフィックを許可する SonicWALL の既定の設定よりも優
先されます。
S
警告 ネットワーク アクセス ルールを定義する機能は、 非常に強力なツールです。 個別ルールを使用す
ると、 ファイアウォール保護を無効にしたり、 インターネットへのすべてのアクセスを遮断したりできます。
ネットワーク アクセス ルールを作成または削除する際は、 慎重を期してください。
アクセス ルールに基づく帯域幅管理の使用
帯域幅管理を有効にすると、 保証されている最大帯域幅をサービスに割り当て、 発信トラフィックの優先
順位を設定できるようになります。 帯域幅管理の対象となるのは、 SonicWALL から WAN または他の
送信先への発信トラフィックのみです。 保証される最小帯域幅は 20Kbps、 最大帯域幅は
100,000Kbps です。 帯域幅管理を使用するルールは、 帯域幅管理を使用しないルールよりも優先順
位が高くなります。 例えば、 発信メール トラフィック (SMTP) のルールを作成し、 保証される帯域幅を
20Kbps、 最大帯域幅を 40Kbps、 優先順位を 0 として、 発信 SMTP トラフィックは常に 20Kbps を
利用でき、 最大で 40Kbps を利用できるようにする帯域幅管理を有効にするとします。 これが帯域幅管
理を使用する唯一のルールである場合、 このルールは SonicWALL のその他すべてのルールに優先さ
れます。 その他のルールでは、 残りの帯域幅から 20Kbps を引いた帯域幅 (保証) または 40Kbps を
引いた帯域幅 (最大) が使用されます。
S
警告 「WAN > イーサネット」 タブで 「帯域幅管理」 を選択する必要があります。 「ネットワーク」 を選
択し、 「インターフェース」 テーブルの 「WAN」 行の 「設定」 を選択し、 利用可能な帯域幅を 「利用可
能な WAN 帯域幅 (Kbps)」 フィールドに入力します。
第 18 章 : ネットワーク アクセス ルールの設定
ファイアウォール > アクセス ルール
「アクセス ルール」 ページには、 定義済みネットワーク アクセス ルールのテーブルが表示されます。 ルー
ルは、 最も限定的なものから順にテーブルに表示されます。 テーブルの一番下には、 既定のルールが表
示されます。 既定のルールは、 「アクセス ルール」 ページに表示されるものを除くすべての IP サービスで
す。 ルールは、 既定のルールの動作に優先するように作成することもできます。 既定のルールでは、 例
えば LAN 上のユーザが NTTP ニュースを含むすべてのインターネット サービスにアクセスすることが許可
されています。
「有効」 列のチェック ボックスをオンまたはオフにすると、 ネットワーク アクセス ルールを有効または無効
にできます。 編集
アイコンを選択すると既存のルールを編集でき、 削除
アイコンを選択すると
既存のルールを削除できます。 2 つのアイコンが利用できない場合、 そのルールは変更したり、 リストか
ら削除したりすることはできません。 じょうごのアイコンが付いたルールでは、 帯域幅管理が使用されてい
ます。
9
ヒント ネットワーク アクセス ルールは、 ネットワーク アクセス ルール ウィザードを使用して簡単に作成
できます。
アクセス ルール テーブルのエントリのナビゲートおよび並べ替え
アクセス ルール テーブルでは、 多数の VPN ポリシーを簡単に閲覧できるようにページ付けがされていま
す。 「アクセス ルール」 テーブルの右上にあるナビゲーション コントロール バーを使用して、 「アクセス
ルール」 テーブルにリストされた多数の VPN ポリシーを参照できます。 ナビゲーション コントロール バー
には 4 つのボタンが含まれます。 左端のボタンは、 テーブルの最初のページを表示します。 右端のボタ
ンは、 最後のページを表示します。 内側の左矢印ボタンと右矢印で、 それぞれ前または次のページに移
動します。
「表示範囲」 フィールドにポリシー番号 (「#名前」 列においてポリシー名の前に記載されている番号) を
入力することにより、 特定の VPN ポリシーに移動できます。 既定のテーブル設定では、 ページあたり
50 個のエントリが表示されます。 この既定のテーブル エントリ数は、 「システム > 管理」 ページで変更で
きます。
テーブルのエントリを並べ替えるには、 列見出しを選択します。 エントリは昇順または降順で並べ替えられ
ます。 列エントリの右側にある矢印が、 並べ替え状況を示します。 下向きの矢印は昇順を意味します。
上向きの矢印は降順を示します。
138
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > アクセス ルール
既定のネットワーク アクセス ルールの復元
SonicWALL には、 既定のネットワーク アクセス ルールのセットが用意されており、 「アクセス ルール」
テーブルに含まれています。 「既定に復元」 ボタンを選択することにより、 いつでも SonicWALL をリ
セットし、 ネットワーク アクセス ルールを既定のルールのみになるよう復元できます。
ネットワーク アクセス ルール ウィザードを使用したルールの追加
ネットワーク アクセス ルール ウィザードは、 SonicWALL でのネットワーク アクセス ルールと公開サーバ
ルールを作成するための設定手順を 1 段階ごとに案内します。
公開サーバ ルールの設定
1. 「ファイアウォール > アクセス ルール」 ページの右上にある 「ルール ウィザード」 ボタンを選択します。
「次へ」 を選択します。
2. 「公開サーバ ルール」 を選択します。
「次へ」 を選択します。
3. 「コメント」 フィールドに、 必要に応じてテキストを入力します。 この情報は、 「アクセス ルール」 テー
ブルの 「オプション」 列に表示されます。 「次へ」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
139
第 18 章 : ネットワーク アクセス ルールの設定
4. 「サービス」 メニューからルールのサービス タイプを選択します。 この例では、 「ウェブ (HTTP)」 を
選択して、 LAN 上のウェブ サーバに対してネットワーク トラフィックを許可します。
5. 「サーバ IP アドレス」 フィールドに、 メール サーバの IP アドレスを入力します。
6. 「対象先インターフェース」 メニューからネットワーク トラフィックの送信先を選択します。 この場合、
LAN にトラフィックを送信します。 そのため、 「LAN」 を選択します。
7. 「次へ」 を選択します。 次に、 「適用」 を選択してウィザードを完了し、 ネットワーク上に公開サーバを
作成します。
一般的なネットワーク アクセス ルールの設定
1. 「ファイアウォール > アクセス ルール」 ページの右上にある 「ルール ウィザード」 ボタンを選択します。
2. 「一般的なルール」 を選択します。
「次へ」 を選択します。
3. 「コメント」 フィールドに、 必要に応じてテキストを入力します。 この情報は、 「アクセス ルール」 テーブ
ルの 「オプション」 列に表示されます。 「次へ」 を選択します。
4. ルールのサービス タイプを選択します。 リストにサービスが表示されない場合は、 「ファイアウォール >
サービス」 ページでサービスのリストにサービスを手動で追加する必要があります。 「次へ」 を選択し
ます。
140
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > アクセス ルール
5. 「許可」 を選択してネットワークに対してサービスを許可するか、 「禁止」 を選択してネットワークに対し
てサービスを禁止します。
6. 「TCP 接続無動作時タイムアウト (分)」 フィールドに分単位で値を入力します。 既定値は 5 分です。
「次へ」 を選択します。
7. 「インターフェース」 メニューからサービスの送信元インターフェースを選択します。 インターネットから
のサービスを許可または禁止する場合は、 「WAN」 を選択します。 任意の送信元からのサービスを
許可または禁止する場合は、 「インターフェース」 メニューから 「*」 を選択します。
8. IP アドレスの範囲がある場合は、 最初のアドレスを 「開始 IP アドレス」 フィールドに入力します。 IP ア
ドレスを指定しない場合は、 「開始 IP アドレス」 フィールドに " * " と入力します このフィールドに*
(アスタリスク) を入力すると、 サービスを使用するすべてのトラフィックが、 ネットワーク上のすべての
コンピュータに対して許可または禁止されます。 「次へ」 を選択します。
9. 「インターフェース」 メニューからサービスの送信先インターフェースを選択します。 IP アドレスの範囲が
ある場合は、 最初のアドレスを 「開始 IP アドレス」 フィールドに入力します。 IP アドレスを指定しない
場合は、 「開始 IP アドレス」 フィールドに " * " と入力します このフィールドに " * " (アスタリスク)
SonicWALL SonicOS Standard 3 . 8管理者ガイド
141
第 18 章 : ネットワーク アクセス ルールの設定
を入力すると、 サービスを使用するすべてのトラフィックが、 ネットワーク上のすべてのコンピュータに
対して許可または禁止されます。 「次へ」 を選択します。
10. ルールを有効にする期間を指定しない限り、 ルールは常に有効になります。 例えば、 月曜日から金
曜日の 8a.m. から 5p.m. の間はニュース (NTTP) へのアクセスを禁止し、 業務時間外および週末
はアクセスを許可することができます。 「時間」 フィールドおよび 「曜日」 メニューに日時を指定しま
す。 「次へ」 を選択します。
11. 「適用」 を選択して新しいルールを保存します。 新しいルールは 「アクセス ルール」 テーブルに表示さ
れます。
「ルールの追加」 ウィンドウを使用したルールの設定
1. 「アクセス ルール」 テーブルの下部にある 「追加」 を選択します。
示されます。
「ルールの追加」 ウィンドウが表
2. 「一般」 ページで、 ルールの目的が IP トラフィックを許可するのか遮断するのかに応じて、 「動作」 リス
トから 「許可」 または 「禁止」 を選択します。
3. 「サービス」 リストからルールに影響されるサービスの名前を選択します。 サービスがリストに表示され
ていない場合は、 「サービスの追加」 ウィンドウでサービスを定義する必要があります。 「Any」 サー
ビスには、 すべての IP サービスが包括されます。
142
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > アクセス ルール
4. 「送信元」 リストから、 ルールに影響されるトラフィックの送信元を選択します。
5. アドレス開始範囲特定のユーザに対してインターネットへのアクセスを制限するなど、 ルールに影響さ
れる送信元 IP アドレスを定義する場合は、 アドレス範囲の開始 IP アドレスを 「開始アドレス」 フィー
ルドに入力し、 終了 IP アドレスを 「終了アドレス」 フィールドに入力します。 すべての IP アドレスを含
めるには、 「開始アドレス」 フィールドに*と入力します。
6. 「送信先」 メニューから、 ルールに影響されるトラフィックの送信先 (LAN、 WAN、 または*) を選
択します。
7. ルールに影響される送信先 IP アドレスを定義する場合、例えば受信ウェブ アクセスを LAN 上の複数の
ウェブ サーバに対して許可するには、 アドレス範囲の開始 IP アドレスを 「開始アドレス」 フィールドに
入力し、 終了 IP アドレスを 「終了アドレス」 フィールドに入力します。 すべての IP アドレスを含めるに
は、 「開始アドレス」 フィールドに*と入力します。
8. 「コメント」 フィールドに、 ルールの識別に有効な任意のコメントを入力します。
9. 「詳細」 タブを選択します。
10. ルールを常に有効にする場合は、 「ルールの適用」 メニューから 「常にルールを適用する」 を選択し
ます。
11. ルールを適用する特定の時刻および曜日を定義するには、 「ルールの適用」 メニューから 「適用する
期間を指定する」 を選択します。 ルールの適用の開始時刻と終了時刻を (24 時間形式で) 入力しま
す。 次に、 ルールの適用を開始する曜日と終了する曜日を選択します。
9
ヒント 曜日によって異なる時刻にルールを有効にする場合は、 期間ごとに追加のルールを作成しま
す。
12. 無動作時にルールがタイムアウトするようにする場合は、 「TCP 接続無動作時タイムアウト (分)」
フィールドに時間を分単位で設定します。 既定値は 5 分です。
13. 「断片化されたパケットを許可する」 チェックボックスは選択しないでください。 大きな IP パケットは、 し
ばしば断片化されてからインターネット上でルーティングされ、 送信先ホストで再編成されます。 ハッ
カーはサービス妨害 (DoS) 攻撃で IP 断片化を悪用するので、 SonicWALL では断片化されたパ
ケットが既定で遮断されます。 既定の設定に優先し、 断片化されたパケットを PPTP または IPSec で
許可することができます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
143
第 18 章 : ネットワーク アクセス ルールの設定
14. 「帯域幅」 タブを選択します。
15. 「送信帯域幅管理の有効 (「許可」 ルールのみ)」 を選択し、 「保証された帯域幅 (Kbps)」 に値を
入力します。
16. 「最大帯域幅」 フィールドに、 そのルールでいつでも利用できる最大帯域幅量を入力します。
9
ヒント 帯域幅管理を使用したルールは、 帯域幅管理のないルールよりも優先順位が高くなります。
17. 「帯域幅優先順位」 リストで、 0 (最大) から 7 (最低) までの優先順位を割り当てます。
18. 「OK」 を選択します。
9
ヒント 着信 IP トラフィックを許可する個別ルールは作成可能ですが、 SonicWALL では、 SYN 洪水
や Ping of Death 攻撃などのサービス妨害 (DoS) 攻撃に対する保護は無効になりません。
ルールの例
ネットワーク アクセス ルールを作成する方法を、 次の例に示します。
特定のサービスに対する LAN アクセスの遮断
この例は、 業務時間中にインターネット上の NNTP サーバへの LAN アクセスを遮断する方法を示してい
ます。
1. 「追加」 を選択して 「追加」 ウィンドウを起動します。
2. 「動作」 設定から 「禁止」 を選択します。
3. 「サービス」 メニューから 「NNTP」 を選択します。 リストにサービスが表示されていない場合は、
「サービスの追加」 ウィンドウで追加する必要があります。
4. 「送信元イーサネット」 メニューから 「LAN」 を選択します。
5. LAN 上のすべてのコンピュータを対象とするため、 「対象開始アドレス」 フィールドに*と入力します。
6. 「送信先イーサネット」 メニューから 「WAN」 を選択します。
7. 「対象開始アドレス」 フィールドに*と入力し、 すべての NNTP サーバへのアクセスを遮断します。
8. 「オプション」 タブを選択します。
9. 「ルールの適用」 リストから 「適用する期間を指定する」 を選択し、 ルールを有効にする時刻を設定し
ます。
10. 時刻フィールドに 「8 : 30」 および 「17 : 30」 と入力します。
11. メニューから、 「月」 から 「金」 を選択します。
144
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > アクセス ルール
12. 「OK」 を選択します。
Ping の有効化
既定では、 SonicWALL はインターネットからの Ping 要求に応答しません。 ただし、 このルールでは、
ISP サーバから SonicWALL セキュリティ装置への Ping 要求は許可されます。
1. 「追加」 を選択して 「ルールの追加」 ウィンドウを起動します。
2. 「動作」 メニューから 「許可」 を選択します。
3. 「サービス」 メニューから 「Ping」 を選択します。
4. 「送信元イーサネット」 メニューから 「WAN」 を選択します。
5. ISP ネットワークの開始 IP アドレスを 「対象開始アドレス」 フィールドに入力し、 ISP ネットワークの終了
IP アドレスを 「対象終了アドレス」 フィールドに入力します。
6. 「送信先イーサネット」 メニューから 「LAN」 を選択します。
7. SonicWALL セキュリティ装置のみに Ping を許可することが目的であるため、 「対象開始アドレス」
フィールドに SonicWALL セキュリティ装置の LAN IP アドレスを入力します。
8. 「オプション」 タブを選択します。
9. ルールを継続的に有効にするため、 「ルールの適用」 メニューから 「常にルールを適用する」 を選択
します。
10. 「OK」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
145
第 18 章 : ネットワーク アクセス ルールの設定
146
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 19 èÕ
第 19 章
詳細設定の構成
アクセス ルール > 詳細設定
「アクセス ルール」 の下の 「詳細設定」 を選択します。 「詳細設定」 ページが表示されます。
ウィンドウズ ネットワーク (NetBIOS) ブロード キャストの転送
マイクロソフト ウィンドウズを実行しているコンピュータは、 NetBIOS ブロードキャスト パケットを通じてお互い
に通信します。 既定では、 SonicWALL セキュリティ装置はこれらのブロードキャストをブロックします。 ウィ
ンドウズ ネットワークをサポートするため、 ウィンドウズのネットワーク ブロードキャストの通過を許可するイン
ターフェースを選択できます。
外部からの存在検出行為に向けた予防対策
ステルス モードを有効にする
既定では、 SonicWALL セキュリティ装置は着信接続要求を “遮断” または “オープン” として扱います。
ステルス モードを有効にすると、SonicWALL セキュリティ装置は遮断された着信接続要求に応答しません。
ステルス モードにより、 SonicWALL セキュリティ装置は基本的にハッカーに対して見えなくなります。
147
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 19 章 : 詳細設定の構成
IP ID の乱数化を有効にする
ハッカーがさまざまな検出ツールを使用して SonicWALL セキュリティ装置の存在を検出できないようにす
るには、 「IP ID の乱数化を有効にする」 を選択します。 IP パケットには IP ID の乱数が与えられるので、
ハッカーが SonicWALL セキュリティ装置の特徴を検出するのが困難になります。
動的ポート機能への対応
• ネットワーク上にオラクル アプリケーションがある場合は、 「オラクル SQLNet を有効にする」 を選択し
ます。
• SonicWALL セキュリティ装置により、 ウィンドウズ メッセンジャーおよびウィンドウズ XP に問題が発
生する場合は、 「ウィンドウズ メッセンジャーを有効にする」 を選択します。 「ウィンドウズ メッセン
ジャーを有効にする」 が選択されていると、 SonicWALL セキュリティ装置のパフォーマンスに影響が
出ることがあります。
• オーディオとビデオなど、 リアルタイム データのオンデマンド提供をサポートするには、 「RTSP を有効
にする」 を選択します。 RTSP (Real Time Streaming Protocol) は、 リアルタイムのプロパティを
持つデータの提供を制御するための、 アプリケーションレベルのプロトコルです。
ソース ルーティング パケット
既定では、 「ソース ルーティング パケットを破棄する」 が選択されます。 2 つの特定のホスト間のトラ
フィックをテストしていて、 ソース ルーティングを使用している場合は、 このチェック ボックスをオフにしま
す。
TCP 接続無動作時タイムアウト
リモート サーバへの接続が 5 分以上無動作であった場合、 SonicWALL セキュリティ装置により接続が
閉じられます。 このタイムアウトが発生しないと、 インターネット接続が無期限に開いたまま放置され、 セ
キュリティ ホールとなる可能性があります。 Telnet や FTP などのアプリケーションが頻繁に切断される場
合は、 「設定のタイムアウト時間 (分)」 の値を増やすことができます。 既定値は 15 分です。
TCP チェックサム妥当性検証
TCP チェックサム妥当性検査 - エラー チェックのため、 TCP チェックサム妥当性検査を有効にします。
アクセス ルール サービス オプション
発信/着信 FTP データ コネクションで既定の 20 番ポートの使用を強制する - 既定の設定では、 20 番
ポートからの FTP 接続が許可されますが、 発信トラフィックは 1024 などのポートに最割付されます。 こ
のチェック ボックスをオンにした場合、 セキュリティ装置を通過する任意の FTP データ接続は 20 番ポート
からのものである必要があります。 それ以外のトラフィックは削除されます。 このイベントは、 セキュリティ
装置でログ イベントとして記録されます。
148
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 20 èÕ
第 20 章
ユーザ定義サービスの設定
ファイアウォール > サービス
サービスは、 サーバが他のコンピュータに提供するものです。 サービスは、 コンピュータがサーバに正しい
時刻 (NTP) を問い合わせ、 サーバが応答を返すといった簡単なものの場合もあります。 その他の種類の
サービスでは、 さまざまな種類のデータへのアクセスが提供されます。 ウェブ サーバ (HTTP) は、 ファイ
ルやデータにアクセスするためのクライアント (ブラウザ ソフトウェア) からの要求に応答します。
SonicWALL セキュリティ装置では、 ネットワークへのトラフィックの許可または拒否を決定するネットワーク
アクセス ルールを設定するために、 サービスを使用します。
ユーザ定義サービス
「定義済みサービス」 テーブルにプロトコルが含まれていない場合は、 「ユーザ定義サービス」 テーブルに追
加することができます。
1. 「追加」 を選択します。
「サービスの追加」 ウィンドウが表示されます。
2. 「名前」 フィールドにサービスの名前を入力します。
3. 「ポート範囲」 フィールドに、 サービスに適用するポート番号を入力します。 有名なポート番号の一覧は、
ネットワークに関する任意のリファレンスに記載されています。
149
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 20 章 : ユーザ定義サービスの設定
4. 「プロトコル」 メニューから、 「TCP」、 「UDP」、 「ICMP」 などのプロトコルの種類を選択します。
5. 「OK」 を選択します。 「ユーザ定義サービス」 テーブルにサービスが表示されます。
定義済みサービス
「定義済みサービス」 テーブルには、 SonicWALL セキュリティ装置で定義済みのサービスが含まれてい
ます。 このような定義済みのサービスは、 いずれも削除や編集ができません。
「定義済みサービス」 テーブルには、 各定義済みサービスに関する以下の情報が表示されます。
• 名前 - サービスの名前。
• 開始ポート - サービスに関連付けられた開始ポート番号。
• 終了ポート - サービスに関連付けられた終了ポート番号。
• プロトコル - サービスに関連付けられたプロトコル (TCP、 UDP、 ICMP、 または IPSEC-ESP)
• ログを有効にする - オンにすると、 サービス トラフィックは SonicWALL セキュリティ装置のイベント ロ
グに記録されます。 オフにすると、 サービス トラフィックは記録されません。
150
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 21 章
VoIP の設定
ëÊ 21 èÕ
ファイアウォール > VoIP
SonicWALL セキュリティ装置は、 最も広範に使用されている VoIP の標準プロトコルと、 一般的に使用され
ている VoIP のベンダー各社および市販のシステムをサポートしています。 VoIP が全面的にサポートされて
いる SonicWALL セキュリティ装置により、 要員の分散化が進む組織は、 リモート サイトから企業のボイス
サービスにアクセスできるようになります。 VoIP システムは、 複数のクライアント (IP 電話またはソフト フォ
ンなど) とネットワークの異なる部分にある VoIP サーバで構成されます。
VoIP の概要
このセクションでは、 VoIP について概説します。 ここでは、 次のセクションに分かれています。
• 「VoIP とは」 ページ 151
• 「VoIP のセキュリティ」 ページ 152
• 「VoIP プロトコル」 ページ 153
• 「VoIP 設定の構成」 ページ 158
• 「SonicWALL VoIP ベンダー間の相互運用性」 ページ 155
• 「CODECs」 ページ 155
• 「SonicOS での VoIP 通話処理方法」 ページ 155
VoIP とは
Voice over IP (VoIP) は、 ボイス トラフィックをインターネット プロトコル (IP) ネットワーク経由で搬送でき
るようにする一連の技術を意味する、 包括的な用語です。 VoIP は、 パケット交換電話網 (PSTN) で使用
151
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 21 章 : VoIP の設定
された従来のアナログ回線交換式のボイス通信とは対照的に、 音声通話のボイス ストリームをデータ パ
ケットに転送します。
ボイス テレフォニーおよびデータを 1 つの統合 IP ネットワーク システムに一体化した VoIP は、 ネット
ワークおよび電気通信の収束を背景に主要原動力となりました。 VoIP は、 インフラストラクチャ/電気通
信に絡んだ高コストの余計な利用料金を切り詰めるとともに、 拡張管理機能および通話サービス機能を提
供することによって、 企業コストの節減に万全を期します。
VoIP のセキュリティ
通信コストを削減しつつ法人ボイス サービスをあちこちに散在する要員にも供与することを目指して VoIP
技術を実装している企業は、 ボイス/データ ネットワークの収束に関連したセキュリティ リスクに直面して
います。 VoIP セキュリティおよびネットワークの保全は、 あらゆる VoIP 配備に欠くことのできない部分で
す。
今日のデータ ネットワークを蝕んでいる脅威と同じセキュリティ脅威が VoIP にも引き継がれましたが、
VoIP をネットワーク上のアプリケーションとして追加した場合は、 そうした脅威がさらに危険性を増します。
ネットワークに VoIP コンポーネントを追加すると、 新たなセキュリティ要件が加わってしまうことになりま
す。
VoIP に包含されている複雑な規格のなかには、 ソフトウェア実装のバグおよび脆弱性に対する扉を開け
放ったままにしてしまうものもあります。 今日利用可能なあらゆるオペレーティング システムおよびアプリ
ケーションに障害を及ぼしているのと同じ種類のバグおよび脆弱性は、 VoIP 装置にも障害を及ぼします。
今日の VoIP 通話サーバおよびゲートウェイ機器は、 脆弱なウィンドウズ/ Linux オペレーティング シス
テム上に構築されるのがごく一般的です。
VoIP のファイアウォール要件
VoIP は、 標準の TCP / UDP ベースのアプリケーションよりも複雑です。 VoIP シグナルおよびプロトコ
ルが複雑であることや、 送信元アドレスおよび送信元ポート情報をファイアウォールがネットワーク アドレス
変換 (NAT) によって修正した場合に不整合を来たすことなどから、 標準ファイアウォールを VoIP が効
率的に通過するのは困難になっています。 そうした理由のいくつかを次に挙げます。
• VoIP の動作には、 2 つの別個のプロトコルが使用される - クライアントと VoIP サーバ間にはシグナ
ル プロトコルが使用され、 クライアント間にはメディア プロトコルが使用されます。 各セッションのメディ
ア プロトコル (RTP / RTCP) で使用されるポート/ IP アドレスのペアは、 シグナル プロトコルに
よって動的にネゴシエートされます。 ファイアウォールは、 この情報を動的に追跡し保守し、 セッション
に対して選択されたポートを確実に開放して、 適時に閉じる必要があります。
• マルチ メディア ポートは、 シグナル セッションを介して動的にネゴシエートされる - メディア ポートのネ
ゴシエーションは、 シグナル プロトコル (IP アドレスおよびポート情報) のペイロードに含まれていま
す。 ファイアウォールは、 各パケットに対して精密パケット検査を実行し、 情報を取得してセッションを
動的に維持する必要があるため、 別途ファイアウォール処理を要求します。
• 送信元/送信先 IP アドレスは、 VoIP のシグナル パケット内に埋め込まれている - NAT をサポート
しているファイアウォールでは、 パケットの IP アドレスおよびポートが IP ヘッダー レベルで変換されま
す。 完全対称型 NAT ファイアウォールでは、 NAT のバインドを頻繁に調整し、 各ファイアウォールで
防御されているネットワークに着信パケットが入り込む可能性のあるピンホールを任意に閉じて、 サー
ビス プロバイダから顧客に送出される着信通話を遮断します。 VoIP を効果的にサポートするには、
ファイアウォールをパケットが通過するたびに、 NAT ファイアウォールで精密パケット検査を実行して埋
め込み IP アドレスおよびポート情報を変換する必要があります。
• さまざまな VoIP システムで使用される各種メッセージ フォーマットから成るシグナル プロトコル スイート
を、 ファイアウォールで処理する必要がある - ベンダー 2 社が同じプロトコル スイートを使用している
からといって、 それらのプロトコル スイートに相互運用性があるとは限りません。
VoIP および NAT の複雑さに起因する多くの障害を克服するためにベンダー各社が提供しているのが、
セッション ボーダ コントローラ (SBC) です。 SBC はファイアウォールのインターネット側に配置され、
VoIP メディア トラフィックおよびシグナル トラフィックをすべて終了してから再開することによって、 VoIP
ネットワーク境界を制御します。 SBC は本質的に、 VoIP 非対応のファイアウォールに対する VoIP トラ
152
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > VoIP
フィック用プロキシとして機能します。 それに対して、 SonicWALL セキュリティ装置は VoIP 対応のファイ
アウォールであり、 ネットワーク上に SBC を配置する必要性をなくします。
VoIP プロトコル
VoIP テクノロジは、 2 つの主格プロトコル (H.323 および SIP) 上に構築されます。
H.323
H.323 は、 国際通信連合 (ITU) が策定した規格であり、 コンピュータ、 ターミナル、 ネットワーク機器
およびネットワーク サービス間のボイス/映像/データ通信用のプロトコルの包括的スイートです。
H.323 は、 コネクションレス パケット交換ネットワーク (プライベート IP ネットワークやインターネットなど)
経由でユーザがポイント ツー ポイント型マルチメディア電話を架電できるように設計されています。 H.323
は、 ビデオ カンファレンス機器、 VoIP 機器、 およびインターネット テレフォニー ソフトウェア/機器のメー
カー各社によって広範にサポートされています。
H.323 はシグナル送信の際は TCP と UDP を組み合わせて使用し、 メッセージ エンコードの際は
ASN.1 を使用します。 1996 年に H.323v1 がリリースされ、 2003 年に H.323v5 がリリースされまし
た。 古い規格である H.323 は、 多数の初期 VoIP 事業者によって採用されました。
H.323 ネットワークを構成するエンティティには、 次の 4 種類があります。
• ターミナル - マルチメディア通信に対応したクライアント エンド ポイントです。 たとえば、 H.323 対応
のインターネット テレフォニーや PC はターミナルの例です。
• ゲートキーパー - 通信用 H.323 ターミナルを登録し、 通話セットアップ/切断用のサービスを実行し
ます。 典型的なサービスとしては、 次のものがあります。
ƒ アドレス変換
ƒ 登録、 受付制御、 およびステータス (RAS)
ƒ インターネット ロケータ サービス (ILS) も、 このカテゴリに分類されます (ただし、 H.323 の一
部ではありません)。 ILS で使用されるのは、 H.323 メッセージではなく、 ライトウェイト ディレクト
リ アクセス プロトコル (LDAP) です。
• 多地点制御装置 (MCU) - 各ターミナル間の多地点通信向けのカンファレンス制御およびデータ配
信を行う装置です。
• ゲートウェイ - H.323 ネットワークと、 回線交換式のパケット交換電話網 (PSTN) をはじめとする情
報提供サービスとの間の相互運用
H.323 に関しては、 次のサポートが SonicOS により提供されます。
• H.323 のすべてのバージョン (現行では 1 ~ 5) を実行する VoIP 機器のサポート
• マイクロソフトの LDAP ベースのインターネット ロケータ サービス (ILS)
• LAN H.323 ターミナルでマルチキャストを使用してゲートキーパーを検出できる
• ゲートキーパーの登録、 受付制御、 およびステータス (RAS) メッセージのステートフル モニタリング
/処理
• メディア ストリームに暗号化を使用する H.323 ターミナルに対するサポート
• 動的ホスト設定プロトコル (DHCP) のオプション 150 : SonicWALL DHCP サーバは、 VoIP 固有
の TFTP サーバのアドレスを DHCP クライアントに返すように設定できます。
• SonicOS がサポートしている VoIP 機器のなかには、 H.323 サポート以外に、 次に挙げる追加の高
度道路交通システム (ITS) 規格を採用しているものもあります。
ƒ T.120 : アプリケーション共有、 電子ホワイトボード、 ファイル交換、 およびチャットに関する規格
ƒ H.239 : 音声、 映像、 およびデータ配信用に複数チャンネルの使用を許可する規格
ƒ H.281 : 遠端カメラ制御 (FECC) に関する規格
SonicWALL SonicOS Standard 3 . 8管理者ガイド
153
第 21 章 : VoIP の設定
SIP
セッション開始プロトコル (SIP) 規格は、 インターネット エンジニアリング タスク フォース (IETF) によっ
て策定されました。 1999 年 3 月に RFC2543 がリリースされ、 2002 年 6 月に RFC3261 がリリー
スされました。 SIP は、 セッション開始、 管理および停止のためのシグナル プロトコルです。 SIP は “プ
レゼンス” とモビリティをサポートしているため、 ユーザ データグラム プロトコル (UDP) と転送制御プロト
コル (TCP) を介して実行することができます。
VoIP クライアントは SIP を使用することによって、 通話セッションを開始/停止し、 カンファレンス セッショ
ンにメンバーを招待するなどの、 テレフォニー タスクを実行することができます。 また、 SIP を導入する
と、 構内交換機 (PBX)、 VoIP ゲートウェイなどの通信機器が連携して通信できるようにもなります。 ま
た、 SIP は H.323 の重いオーバヘッドを回避する設計にもなっています。
SIP ネットワークを構成する論理エンティティには、 次のものがあります。
• ユーザ エージェント (UA) - 通話を開始し、 受け付け、 停止します。
• プロキシ サーバ - UA に代わって要求の転送、 または要求への応答を行います。 プロキシ サーバ
は、 複数のサーバに要求を割り振ることができます。 Back-to-Back ユーザ エージェント
(B2BUA) は一種のプロキシ サーバであり、 その B2BUA を通行する通話の各行程を、 2 つの別個
の SIP 通話セッションとして扱います。 1 つはその B2BUA と発呼側電話間のセッション、 もう 1 つは
その B2BUA と着呼側電話との間のセッションです。 他のプロキシ サーバは、 同じ通話の全行程を 1
つの SIP 通話セッションとして扱います。
• リダイレクト サーバ - 要求に応答します。 ただし、 要求の転送は行いません。
• 登録サーバ - UA の認証および登録を扱います。
SIP に関しては、 次のサポートが SonicOS により提供されます。
• ベース SIP 規格 (RFC 2543 および RFC 3261 の両方)
• SIP INFO メソッド (RFC 2976)
• SIP の暫定応答の信頼性 (RFC 3262)
• SIP 固有のイベント通知 (RFC 3265)
• SIP UPDATE メソッド (RFC 3311)
• SIP サーバ用の DHCP オプション (RFC 3361)
• インスタント メッセージングの DHCP 拡張 (RFC 3428)
• SIP REFER メソッド (RFC 3515)
• 対称応答ルーティングのための SIP 拡張 (RFC 3581)
サポートされているインターフェース
VoIP 機器は、 次の SonicOS インターフェースでサポートされます。
• WAN
• LAN
• WLAN
• OPT
• サイト間 VPN
• クライアントとゲートウェイ間 VPN
154
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > VoIP
SonicWALL VoIP ベンダー間の相互運用性
SonicWALL VoIP との相互運用性のある主要メーカー製機器リストの一部を、 次に示します。
H.323
SIP
ソフトフォン :
Avaya
マイクロソフト ネットミーティング
OpenPhone
PolyCom
SJLabs SJ フォン
ソフトフォン :
Apple iChat
Avaya
マイクロソフト MSN メッセンジャー
Nortel マルチメディア PC クライアント
PingTel Instant Xpressa
PolyCom
Siemens SCS Client SJLabs
SJPhone
XTen X-Lite
Ubiquity SIP ユーザ エージェント
電話/ビデオ電話 :
Avaya
Cisco
D-Link
PolyCom
ソニー
ゲートキーパー :
Cisco
OpenH323 ゲートキーパー
ゲートウェイ :
Cisco
電話/アナログ電話アダプタ (ATA) :
Avaya
Cisco
Grandstream BudgetOne
Mitel
Packet8 ATA
PingTel Xpressa PolyCom
PolyCom
Pulver Innovations WiSIP
SoundPoint
SIP プロキシ/サービス :
Cisco SIP プロキシ サーバ
Brekeke Software OnDo SIP プロキシ
Packet8
Siemens SCS SIP プロキシ
Vonage
CODECs
SonicOS は、 どのような種類の CODEC からのメディア ストリームもサポートしている - VoIP 機器内
のハードウェア/ソフトウェア CODEC (コーダ/デコーダ) で処理された音声信号および映像信号は、 メ
ディア ストリームによって搬送されます。 CODEC は、 コーディング技術および圧縮技術を使用して、 音
声/映像信号の表現に必要なデータの量を低減します。 CODEC の例のいくつかを次に挙げます。
• H.264、 H.263 および H.261 : 映像用
• MPEG4、 G.711、 G.722、 G.723、 G.728、 G.729 : 音声用
SonicOS での VoIP 通話処理方法
SonicOS は、 あらゆる VoIP 通話シナリオに対応した、 効率的かつセキュアなソリューションを提供して
います。 SonicOS における VoIP 通話フロー処理の仕組みを、 次の例に示します。
着信通話
着信通話中に発生するイベントのシーケンスを、 次の図に示します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
155
第 21 章 : VoIP の設定
図 1 着信 VoIP 通話フロー
以下は、 図 35.1 に示したイベントのシーケンスについての説明です。
1. 電話 B を VoIP サーバに登録する - SonicWALL セキュリティ装置は、送信 VoIP 登録要求をモニタし
て、 その背後のアクセス可能 IP 電話のデータベースを構築します。 SonicOS は、 電話 B のプライ
ベート IP アドレスと、 ファイアウォールのパブリック IP アドレス間の変換を実行します。 この IP アドレ
スは、 登録メッセージの中に使用される IP アドレスです。 VoIP サーバは、 電話 B がファイアウォー
ルの背後にあることも、 電話 B にプライベート IP アドレスが割り当てられていることも認識しないため、
電話 B をファイアウォールのパブリック IP アドレスに関連付けます。
2. 電話 A が電話 B への通話を開始する - 電話 A は電話番号または別名を使用して、電話 B への通話を
開始します。 電話 A はこの情報を VoIP サーバに送信するときに、 サポート可能なメディア タイプと
フォーマット、 および対応する IP アドレスとポートに関する詳細も提供します。
3. VoIP サーバが通話要求を検証して、 その要求を電話 B に送信する - VoIP サーバは、 ファイア
ウォールのパブリック IP アドレス宛てに通話要求を送信します。 その通話要求がファイアウォールに到
着すると、 SonicOS は要求の送信元およびコンテンツを検証します。 その後、 ファイアウォールは電
話 B のプライベート IP アドレスを判別します。
4. 電話 B が鳴るとその接続が応答する - 電話 B はその接続が応答した後で、サポート可能なメディア タ
イプとフォーマット、 および対応する IP アドレスとポートに関する情報を VoIP サーバに返します。
SonicOS は、 このプライベート IP 情報を変換して、 ファイアウォールのパブリック IP アドレスを VoIP
サーバ宛てメッセージに使用します。
5. VoIP サーバが、電話 B のメディア IP 情報を電話 A に返す - この時点で、電話 A は電話 B とメディア交
換を開始するための十分な情報を確保しました。 VoIP によってファイアウォールのパブリック アドレス
が電話 B に割り当てられましたが、 電話 B がファイアウォールの背後にあることは電話 A に認識され
ません。
6. 電話 A と電話 B が VoIP サーバ経由で音声/映像/データを交換する - SonicOS は内部データベー
スを使用して、 メディアの発信元を電話 A だけに限定し、 電話 B が許可した特定のメディア ストリー
ムだけが使われるようにします。
156
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > VoIP
ローカル通話
ローカル VoIP 通話中に発生するイベントのシーケンスを、 次の図に示します。
図 2 ローカル VoIP 通話フロー
以下は、 図 35.2 に示したイベントのシーケンスについての説明です。
1. 電話 Aと電話 Aを VoIP サーバに登録 - SonicWALLセキュリティ装置は、その背後の送信 VoIP 登録
要求をモニタして、 アクセス可能な IP 電話に関するデータベースを構築します。 SonicOS は、 各電
話のプライベート IP アドレスと、 ファイアウォールのパブリック IP アドレスとの変換を実行します。 各
電話がファイアウォールの背後にあることは、 VoIP サーバに認識されません。 VoIP サーバは、 両
方の電話に同じ IP アドレスを関連付ける一方、 別のポート番号を関連付けます。
2. 電話 A は要求を VoIP サーバに送信して、 電話 B への通話を開始する - 両方の電話は同じファイア
ウォールの背後にありますが、 電話 B の IP アドレスは電話 A に認識されません。 電話 A は、 電話
番号または別名を使用して、 電話 B への通話を開始します。
3. VoIP サーバが通話要求を検証して、その要求を電話 B に送信する - VoIP サーバがファイアウォール
のパブリック IP アドレス宛てに通話要求を送信した後、 ファイアウォールによって電話 B のプライベー
ト IP アドレスが判別されます。
4. 電話 B が鳴るとその接続が応答する - 電話 B の接続が応答すると、ファイアウォールはプライベート IP
情報を変換して、 ファイアウォールのパブリック IP アドレスを VoIP サーバ宛てメッセージに使用しま
す。
5. VoIP サーバが電話 B のメディア IP 情報を電話 A に返す - SonicOS は、メッセージの中の発呼側/着
呼側の両方の情報を、 電話 A および電話 B 用の元のプライベート IP アドレスとポートに変換し直しま
す。
6. 電話 A と電話 B が音声/映像/データを直接に交換する - SonicWALL セキュリティ装置は、2つの
電話間のトラフィックを LAN 経由で直接に転送します。 2 つの電話を直接つなげることによって、
VoIP サーバへのデータ転送に必要とされる帯域幅要件を減らし、 SonicWALL セキュリティ装置でア
ドレス変換を実行する必要性をなくします。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
157
第 21 章 : VoIP の設定
VoIP 設定の構成
SonicOS は VoIP 構成設定値を 「ファイアウォール > VoIP」 ページから取り込みます。 このページは、
一般設定、 SIP の設定、 および H.323 設定の 3 つの構成設定セクションに分かれています。
継続性ネットワーク アドレス変換 (NAT) の設定
継続性 NAT は標準 NAT ポリシーを拡張し、 一貫した接続先 IP アドレス (たとえば、 VoIP) を必要とす
るピアツーピア アプリケーションとの互換性を高めます。 継続性 NAT は、 MD5 ハッシュ メソッドを使用し
て、 各内部プライベート IP アドレス/ポートのペアに、 マップ済みの同じパブリック IP アドレス/ UDP
ポートのペアを一貫した方法で割り当てます。
NAT がプライベート (LAN) IP アドレス/ポートのペア (192.116.168.10 / 50650 および
192.116.168.20 / 50655) をパブリック (WAN) の IP /ポートのペアに変換する例を次に示しま
す。
プライベート IP アドレス/
ポート
変換後のパブリック IP アドレス
/ポート
192.116.168.10/50650
64.41.140.167/40004
192.116.168.20/50655
64.41.140.167/40745
継続性 NAT が有効化されている場合、 192.116.168.10 または 192.116.168.20 のホストからの後
続の要求はすべて、 上記の結果に図示されたのと同じポートを使用するため、 同じ変換済みアドレス/
ポートのペアが使用される結果になります。 継続性 NAT を使用しない場合、 ポートが (場合によっては
IP アドレスも) 各要求のたびに変更されます。
継続性 NAT を有効にするには、 「継続性 NAT を有効にする」 設定を選択し、 「適用」 を選択します。 こ
のチェックボックスは、 既定では無効になります。
補足 「継続性 NAT を有効にする」 チェックボックスがオンの場合、 アドレス/ポートのペアを予測し易
くなるため、 全般的なセキュリティがやや低下する原因になります。 UDP ベースのアプリケーションのほと
んどは従来の NAT と互換性があるので、 継続性 NAT を必要とするアプリケーションをネットワークで使用
しない限りは、 継続性 NAT を有効にしないでください。
SIP の設定
既定では、 SIP クライアントは自身のプライベート IP アドレスを、 SIP プロキシ宛てに送信される SIP
セッション定義プロトコル (SDP) メッセージ内に使用します。 SIP プロキシが SonicWALL セキュリティ
装置のパブリック (WAN) 側に配置されていて、 SIP クライアントがファイアウォール背後のプライベート
(LAN) 側に配置されている場合、 SDP メッセージは変換されないため、 SIP プロキシは SIP クライアン
トに到着できません。
「SIP を有効にする」 を選択すると、 LAN (信頼済み) と WAN / DMZ (信頼されていない) 間の SIP
メッセージが変換されます。 SonicWALL セキュリティ装置で SIP 変換を実行したい場合、 「SIP を有効
にする」 設定のチェックボックスをオンにする必要があります。 SIP プロキシが SonicWALL セキュリティ
装置のパブリック (WAN) 側にあって SIP クライアントが LAN 側にある場合、 既定では SIP クライアン
トは自身のプライベート IP アドレスを、 SIP プロキシ宛てに送信される SIP /セッション定義プロトコル
158
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > VoIP
(SDP) メッセージの中に埋め込み/使用します。 つまり、 これらの SIP メッセージおよび SDP メッセージ
は未変更のままになるため、 SonicWALL 背後のクライアントにメッセージを返信する方法を SIP プロキ
シは認識できません。 選択
SonicWALL が各 SIP メッセージを検査してプライベート IP アドレスおよび割り当て済みポートを変更でき
るようになります。 また、 「SIP を有効にする」 が選択されていると、 SIP セッション コールを起動するた
めに開いている必要のある RTP (リアルタイム転送プロトコル) ポートや RTCP (RTP 制御プロトコル)
ポートを制御して開いたままにすることもできます。 NAT で第 3 層のアドレスは変換されますが、 第 7 層
の SIP / SDP アドレスは変換されません。 このため、 SIP メッセージを変換するには 「SIP を有効にす
る」 を選択する必要があります。
9
ヒント 一般的には 「SIP を有効にする」 チェックボックスをオンにする必要があります (ただし、 NAT
トラバーサル ソリューションがほかに存在していて、 そのソリューションを使うためにはこの機能を無効にす
る必要のある場合を除きます)。 SIP 変換は双方向モードで機能します。 つまり、 LAN から WAN に送出
されたメッセージに対しても、 その逆に WAN から LAN に送出されたメッセージに対しても変換が実行さ
れます。
「SIP シグナル送信ポート上で SIP 以外のパケットを許可する」 を選択すると、 追加のプロプラエタリ メッ
セージに SIP シグナル送信ポートを用いるアプリケーション (たとえば、 Apple iChat や MSN
Messenger など) を使用できるようになります。 このチェックボックスがオンの場合、 不適切または無効
な SIP トラフィックを濫用した悪意のある攻撃に対してネットワークが開放されてしまうおそれがあります。
このチェックボックスは、 既定では無効になります。
「SIP シグナルのタイムアウト時間 (秒)」 および 「SIP メディアのタイムアウト時間 (秒)」 で、 通話の
アイドル状態 (トラフィック交換のない状態) の許容時間数を定義します。 この時間数の経過後は、 以降
のトラフィックが SonicWALL セキュリティ装置に禁止されます。 通話は保留にされた場合、 アイドル状態
になります。 「SIP シグナルのタイムアウト時間 (秒)」 の既定の時間値は 1,800 秒 (30 分) です。
「SIP メディアのタイムアウト時間 (秒)」 の既定の時間値は 120 秒 (2 分) です。
「追加で変換対象とする SIP シグナル UDP ポート (オプション)」 設定が有効の場合、 SIP シグナル ト
ラフィックの搬送に使用される UDP ポートを標準以外のポートに指定変更することができます。 SIP シグ
ナル トラフィックは UDP ポート 5060 で搬送されるのが一般的ですが、 市販 VOIP サービスによっては
別のポート (たとえば 1560) を使用するものもあります。 「追加で変換対象とする SIP シグナル UDP
ポート」 設定を使用すると、 こうした標準以外のポート上でセキュリティ装置が SIP 変換を実行するように
なります。
9
ヒント Vonage の VoIP サービスには、 UDP ポート 5061 が使用されます。
H.323 の設定
「H.323 の設定」 セクションで 「H.323 を有効にする」 を選択し、 「適用」 を選択すると、 ステートフル
H.323 プロトコルに対応したパケットのコンテンツを、 SonicWALL セキュリティ装置で検査/修正できる
ようになります。 H.323 パケット内の動的 IP アドレスとトランスポート ポートとのマッピング (信頼済み
ネットワーク/ゾーンおよび信頼されていないネットワーク/ゾーン内での H.323 通話相手どうしの通信に
必要) も、 SonicWALL セキュリティ装置によって実行されます。 SonicWALL セキュリティ装置で
H.323 固有処理の実行を省略する場合は、 「H.323 を有効にする」 を無効にしてください。
「H.323 シグナル/メディアのタイムアウト時間 (秒)」 フィールドに、 通話アイドル状態を許可する時間
数を指定します。 この時間数の経過後は、 以降のトラフィックが SonicWALL セキュリティ装置に禁止さ
れます。 通話は保留にされた場合、 アイドル状態になります。 「H.323 シグナル/メディアのタイムアウ
ト時間 (秒)」 の既定の時間値は 300 秒 (5 分) です。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
159
第 21 章 : VoIP の設定
VoIP アクセス ルールの設定
既定では、 SonicWALL セキュリティ装置のステートフル パケット検査によって、 LAN からインターネット
への通信をすべて許可し、 インターネットから LAN に送出されるトラフィックをすべて遮断できます。 既定
のアクセス ルールを拡張または指定変更する、 追加のネットワーク アクセス ルールを定義することもでき
ます。
WAN から VoIP サービス プロバイダを利用できるようにクライアントの VoIP アクセス許可を定義する場合
は、 送信元インターフェース/ゾーンと送信先インターフェース/ゾーンとの間のネットワーク アクセス ルー
ルを、 ファイアウォール背後のクライアントによる VoIP 通話の送受信が許可されるように設定してくださ
い。
SIP プロキシまたは H.323 ゲートウェイがファイアウォールの背後に配置されている場合は、
SonicWALL の 「公開サーバ ウィザード」 を使ってアクセス ルールを自動設定することができます。
9
ヒント 着信 IP トラフィックを許可する個別ルールは作成可能ですが、 SonicWALL セキュリティ装置
は、 SYN 洪水や Ping of Death 攻撃などのサービス妨害 (DoS) 攻撃に対する保護は無効にしませ
ん。
SonicWALL セキュリティ装置で VoIP トラフィックに対するアクセス ルールを追加するには :
1. 「ファイアウォール > アクセス ルール」 ページに移動し、 「表示形式」 で、 「すべてのルールを表示」
を選択します。
2. 「アクセス ルール」 テーブルの下部にある 「追加」 を選択します。
示されます。
「ルールの追加」 ウィンドウが表
3. 「全般」 タブで、 「動作」 リストから 「許可」 を選択して、 トラフィックを許可します。
4. 「サービス」 メニューで、 「H.323 コール シグナル」 または 「SIP」 を選択します。
5. 「送信元」 メニューと 「送信先」 のメニューで、 送信元と送信先のインターフェースを選択します。 必
要に応じて、 「アドレス範囲の開始」 と 「アドレス範囲の終了」 フィールドで、 各インターフェースの IP
アドレスの範囲を指定することができます。
6. 「コメント」 フィールドに、 アクセス ルールの識別に有効な任意のコメントを入力します。
7. 「帯域幅」 タブを選択します。
8. 「帯域幅管理」 を選択し、 「保証された帯域幅」 を Kbps 単位で入力します。
9. 「最大帯域幅」 フィールドに、 そのルールでいつでも利用できる最大帯域幅量を入力します。
10. 「帯域幅優先順位」 リストで、 0 (最大) から 7 (最低) までの優先順位を割り当てます。 VoIP の通
話品質を高めるためには、 VoIP トラフィックに高い優先順位を割り当てるようにします。
11. 「OK」 を選択します。
VoIP 配備のシナリオ
SonicWALL セキュリティ装置は、 さまざまなネットワーク構成で配備できます。 ここでは、 次の配備シナ
リオについて説明します。
• 「一般的な配備シナリオ」 ページ 160
• 「配備シナリオ 1 : ポイント ツー ポイント型 VoIP サービス」 ページ 161
• 「配備シナリオ 2 : パブリック VoIP サービス」 ページ 161
• 「配備シナリオ 3 : 信頼された VoIP サービス」 ページ 163
一般的な配備シナリオ
後述する 3 つの配備シナリオはすべて、 基本的な設定手順で開始されます。 その手順を次に示します。
1. 「ネットワーク > インターフェース」 で、 WAN インターフェースの 「帯域幅管理」 を有効にします。
2. 「VoIP > 設定」 で、 SIP / H.323 変換および無動作に関する設定値を設定します。
160
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > VoIP
3. 「ネットワーク > DHCP サーバ」 ページで、 静的プライベート IP を VoIP クライアントに割り当て、
「DHCP サーバ」 を設定します。
4. 「セキュリティ サービス > 侵入防御」 ページで、 SonicWALL 「侵入防御」 を有効にします。 すると、
アプリケーション層で VoIP 通信を保護できるようになります。
5. VoIP クライアントをネットワークに接続します。
配備シナリオ 1 : ポイント ツー ポイント型 VoIP サービス
ポイント ツー ポイント型 VoIP サービスの配備は、 遠隔の場所や小規模オフィス環境では一般的です。 こ
れらの環境では、 ファイアウォールの背後にあるネットワークに接続された VoIP 終端機器を使用して、
WAN から通話を直接に受け付けます。 インターネット上の VoIP 終端機器は、 SonicWALL セキュリ
ティ装置のパブリック IP アドレスを使用して、 ファイアウォールの背後にある LAN 上の VoIP クライアント
機器に接続します。 次の図に、 ポイント ツー ポイント型 VoIP サービスのトポロジを示します。
図 3 ポイント ツー ポイント型 VoIP サービスのトポロジ
この配備には、 VoIP サーバは必要ありません。 SonicWALL セキュリティ装置のパブリック IP アドレス
は、 ネットワーク上のホストの主要 VoIP 番号として使用されます。 このためには静的パブリック IP アドレ
スが必要です。 または動的 DNS サービスを使用してパブリック アドレスを WAN からの通話者に利用可
能にする必要があります。 着信通話要求は、 NAT、 DHCP サーバ、 およびネットワーク アクセス ルー
ルを使用して、 SonicWALL セキュリティ装置を通して転送されます。
SonicWALL セキュリティ装置の背後にある複数の機器をパブリック側からアクセス可能にするには、 1
対 1 の NAT を設定します。
配備シナリオ 2 : パブリック VoIP サービス
パブリック VoIP サービスの配備には、 VoIP サーバ (SIP プロキシ サーバまたは H.323 ゲートキー
パーのどちらか) をメンテナンスする、 VoIP サービス プロバイダが使用されます。 VoIP サービス プロバ
イダが運用している SIP プロキシ サーバまたは H.323 ゲートキーパーからの接続は、 SonicWALL セ
SonicWALL SonicOS Standard 3 . 8管理者ガイド
161
第 21 章 : VoIP の設定
キュリティ装置のパブリック IP アドレスによって提供されます。 次の図に、 パブリック VoIP サービスのト
ポロジを示します。
図 4 パブリック VoIP サービスのトポロジ
WAN からサーバに登録する VoIP クライアント用の NAT ポリシーおよびアクセス ルールは、 自動的に
SonicWALL セキュリティ装置で管理されます。 SonicWALL セキュリティ装置は、 登録のステートフル
モニタリングを実行し、 クライアントに着信通話を許可します。 この操作は、 クライアントを登録したままの
状態で行われます。 クライアントの設定は一切必要ありません。
162
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ファイアウォール > VoIP
配備シナリオ 3 : 信頼された VoIP サービス
組織は自社 VoIP サーバを DMZ または LAN 上に配備することによって、 インターネット上の VoIP クラ
イアントや、 セキュリティ ゲートウェイ背後のローカル ネットワーク ユーザからのアクセスが可能な社内
VoIP サービスを提供できます。 次の図に、 信頼された VoIP サービスのトポロジを示します。
図 5 信頼された VoIP サービスのトポロジ
DMZ または LAN 上のサーバに登録する VoIP クライアント用の NAT ポリシーおよびアクセス ルール
は、 自動的に SonicWALL セキュリティ装置で管理されます。 SonicWALL セキュリティ装置は、 登録
のステートフル モニタリングを実行し、 クライアントに着信通話を許可します。 この操作は、 クライアントを
登録したままの状態で行われます。 VoIP クライアントの設定は一切必要ありません。
サーバを LAN 経由で WAN 上のクライアントにアクセスできるようにするには :
1. ホスト アドレス オブジェクトを、 サーバのインターフェースおよび IP アドレスを使用して定義します。
2. SonicWALL セキュリティ装置のパブリック (WAN) IP アドレスに到着するトラフィック、 および VoIP
サービス (SIP または H.323 ゲートキーパー) をサーバにマップする、 NAT ポリシーを定義します。
3. VoIP サービスにファイアウォールの通過を許可する、 アクセス ルールを定義します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
163
第 21 章 : VoIP の設定
164
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 22 èÕ
第 22 章
アクティブ ファイアウォール接続の監視
ファイアウォール > 接続監視
「ファイアウォール > 接続監視」 ページには、 設定したフィルタ ロジックに基づいてログ イベント メッセージを
問い合わせるためのフィルタ コントロールが用意されています。
アクティブ接続監視の設定
既定では、 SonicOS フィルタ ロジックは 「優先順位&&種別&&送信元&&送信先」 に設定されていま
す。 2 つのアンパサンド記号 (&&) は、 ブール式の “and” を示します。 SonicOS の既定のフィルタ ロ
ジックでは、 すべてのログ イベントが表示されます。
1. 「送信元 IP」 フィールドに送信元 IP アドレスを入力します。
2. 「送信先 IP」 フィールドに送信先 IP アドレスを入力します。
3. 「送信先ポート」 フィールドに送信先ポート番号を入力します。
4. 「プロトコル」 メニューからプロトコルを選択します。
5. 「送信元インターフェース」 から送信元インターフェースを選択します。
6. 「送信先インターフェース」 から送信先インターフェースを選択します。
7. 「絞り込み」 を選択します。
グループの使用
既定の SonicOS フィルタ ロジック 「優先順位&&種別&&送信元&&送信先」 の 2 つのアンパサンド記
号 (&&) を 2 つのパイプ記号 (||) に変更し、 ブール式 “or” を表すには、 「グループ」 を使用します。
グループを使用するときは、 2 つ以上の 「グループ」 チェック ボックスを選択します。
165
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 22 章 : アクティブ ファイアウォール接続の監視
「グループ」 チェック ボックスを 1 つのみ選択しても、 フィルタ ロジックは同じ状態のままです。
位 - グループ」 チェック ボックスのみを選択すると、 以下のフィルタ ロジックが提供されます。
「優先順
送信元 IP : (優先順位) &&カテゴリ&&送信元&&送信先
166
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第5部
ëÊ 5 ïî
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN
167
:
168
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 23 章
VPN 設定の構成
ëÊ 23 èÕ
SonicWALL VPN オプションの概要
SonicWALL セキュリティ装置は VPN リモート クライアントおよび/またはオフィス間のサイト間 VPN 接続を
サポートするように設定できます。 SonicWALL VPN は業界標準の IPSec VPN 実装に基づいています。
モバイル ユーザ、 在宅勤務者、 およびブロードバンド (DSL またはケーブル) またはダイアルアップ イン
ターネット アクセスを使用する他のリモート ユーザは、 お使いの SonicWALL セキュリティ装置の
SonicWALL GVC または Global Security Client および SonicWALL GroupVPN により、 ネットワーク
リソースに安全かつ簡単にアクセスできます。
SonicWALL GVC の詳細については、 『SonicWALL グローバル VPN クライアント管理者ガイド』
を参照してください。
SonicWALL グローバル セキュリティ クライアントの詳細については、 『SonicWALL グ
補足 ローバル セキュリティ クライアント管理者ガイド』 を参照してください。 両ガイドは、 SonicWALL セキュリティ
装置の CD および SonicWALL の 「ドキュメント」 ウェブ サイト 〈http://www.sonicwall.com/us/
Support.html〉 から入手できます。
リモート オフィス ネットワークは、 ネットワーク間 VPN 接続を有効にするサイト間 VPN 接続を使用して、 お
使いのネットワークに安全に接続することができます。 SonicWALL セキュリティ装置の管理インターフェース
を使用すると、 リモート サイトに対する VPN ポリシーを迅速に作成できます。 データがリモート サイト用であ
る場合には必ず SonicWALL は自動的にデータを暗号化して、 インターネットを介し、 データを復号化して
対象となるネットワークに転送するリモート サイトに送信します。
VPN > 設定
サイト間 VPN 接続およびクライアント VPN 接続の設定のための SonicWALL 機能は、 「VPN > 設定」
ページで提供されています。
「GropVPN」 ポリシーは自動的に有効になり、 リモート SonicWALL グローバル VPN クライアントのサ
ポートに使用する準備ができます。
VPN グローバル設定
「グローバル VPN 設定」 セクションには、 次の情報が表示されます。
• SonicWALL を経由して VPN ポリシーを許可するには、 「VPN を有効にする」 を選択する必要がありま
す。
• 「ファイアウォール識別子」 - 既定値は SonicWALL のシリアル番号です。 識別子を変更して、 VPN ト
ンネルの設定に使用できます。
VPN ポリシー
すべての既存の VPN ポリシーは、 「VPN ポリシー」 テーブルに表示されます。 各エントリに表示される情報
は以下のとおりです。
169
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 23 章 : VPN 設定の構成
• 「名前」 - SA を定義するユーザ定義名。
• 「ゲートウェイ」 - リモート SonicWALL の IP アドレス。 0.0.0.0 を使用する場合、 ゲートウェイは表示
されません。
• 「対象先ネットワーク」 - 対象となるネットワークの IP アドレス。
• 「暗号化手順の組成」 - 使用する暗号化のタイプ。
• 「有効」 - チェック ボックスをオンにすると、 VPN ポリシーが有効になります。 チェック ボックスのオフ
無効になります。
• 「設定」 -
を編集するか、
VPN ポリシー情報を削除します。 GroupVPN には 「ディスク アイ
コン」 があり、 SonicWALL グローバル VPN クライアントの設定をエクスポートします。
定義された VPN ポリシーの数、 有効なポリシー、 および許可されるポリシーの最大数がテーブルの下に
表示されます。
VPN ポリシーのエントリのナビゲートと並べ替え
「VPN ポリシー」 テーブルでは、 多数の VPN ポリシーを簡単に閲覧できるようにページ付けがされてい
ます。 「VPN ポリシー」 テーブルの右上にあるナビゲーション コントロール バーを使用して、 「VPN ポリ
シー」 テーブルにリストされた多数の VPN エントリを参照できます。 ナビゲーション コントロール バーには
4 つのボタンがあります。 左端のボタンは、 テーブルの最初のページを表示します。 右端のボタンは、 最
後のページを表示します。 内側の左矢印ボタンと右矢印で、 それぞれ前または次のページに移動します。
「表示範囲」 フィールドにポリシー番号 (#名前列においてポリシー名の前に記載されている番号) を入力
することにより、 特定の VPN ポリシーに移動できます。 既定のテーブル設定では、 ページあたり 50 個
のエントリが表示されます。 この既定のテーブル エントリ数は、 「システム > 管理」 ページで変更できま
す。
テーブルのエントリを並べ替えるには、 列見出しを選択します。 エントリは昇順または降順で並べ替えられ
ます。 列見出しの右側にある矢印が、 並べ替え状況を示します。 下向きの矢印は昇順を意味します。 上
向きの矢印は降順を示します。
現在アクティブな VPN トンネル
現在アクティブな VPN トンネルのリストがこのセクションに表示されます。 テーブルには、 VPN ポリシーの
名前、 ローカル LAN の IP アドレス、 リモート対象先ネットワークの IP アドレス、 およびピア ゲートウェイ
の IP アドレスがリストされています。
SonicWALL の GroupVPN ポリシーの設定
SonicWALL の 「GroupVPN」 は、 SonicWALL セキュリティ装置の管理者による複数の VPN クライ
アントの設定および配備に役立ちます。 「GroupVPN」 を使用すると、 複数の SonicWALL グローバル
VPN クライアントまたはグローバル セキュリティ クライアントを簡単に配備することが可能になります。
補足 SonicWALL グローバル セキュリティ クライアントの詳細については、 リソース CD の
『SonicWALL グローバル セキュリティ クライアント管理者ガイド』 を参照してください。 このガイドは、
SonicWALL の 「ドキュメント」 ウェブ サイト
〈http://www.sonicwall.com/us/Support.html〉 からも入手できます。
既定の GroupVPN 設定では、 「IKE (事前共有鍵)」 を使用し、 VPN ポリシーをさらに編集することな
く、 SonicWALL グローバル VPN クライアントをサポートできます。 GroupVPN を設定して、 「IKE (事
前共有鍵)」 ではなく、 「IKE (サードパーティ証明書)」 を IPSec 鍵モードとして使用できます。
既定の 「IKE (事前共有鍵)」 設定を使用して GroupVPN を有効にするには、 「VPN ポリシー」 テーブ
ルの 「Enable チェックボックスを選択するだけです。
170
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL の GroupVPN ポリシーの設定
IKE の事前共有鍵の設定
GroupVPN の既定の設定を編集するには、 次の手順に従います。
1. 「GroupVPN」 エントリの編集アイコン
す。
を選択します。 「VPN ポリシー」 ウィンドウが表示されま
2. 「全般」 タブの 「IKE (事前共有鍵)」 は 「IPSec 鍵モード」 の既定の設定です。 共有鍵は 「共有
鍵」 フィールドで自動的に作成されます。 あるいは独自の共有鍵を生成することもできます。 4 文字以
上のパスワードを指定してください。
3. 「プロポーザル」 タブを選択して設定手順を進めます。
「IKE (フェーズ 1) プロポーザル」 セクションで、 次の設定を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
171
第 23 章 : VPN 設定の構成
「DH グループ」 メニューの 「グループ 2」
「暗号化」 メニューの 「3DES」
「認証」 メニューの 「SHA1」
「ライフ タイム (秒)」 フィールドでは既定の設定、 28800 をそのまま使用します。 この設定により、
トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
「IPSec (フェーズ 2) プロポーザル」 セクションで、 次の設定を選択します。
「プロトコル」 メニューの 「ESP」
「暗号化」 メニューの 「3DES」
「認証」 メニューの 「MD5」
追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、 「Perfect Forward Secrecy
を有効にする」 を選択します。 「DH グループ」 メニューの 「グループ 2」 を選択します。
「ライフ タイム (秒)」 フィールドでは既定の設定、 28800 をそのまま使用します。 この設定により、
トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
4. 「詳細設定」 タブを選択します。 GroupVPN ポリシーに適用する次の設定をすべて選択します。
ƒ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - 近くのウィンドウズ ネット
ワークを参照してリモート ネットワーク リソースにアクセスできます。
ƒ 「NAT とファイアウォール ルールを適用する」 - この機能を使用すると、リモート サイトの LAN サブ
ネットを企業サイトから隠蔽することができるので、 企業オフィスに対してリモート オフィスのネット
ワーク トラフィックが開始される場合に最も有用です。 IPSEC トンネルは SonicWALL WAN イン
ターフェースと企業の LAN セグメントの間にあります。 トラフィックを保護するため、 NAT (ネット
ワーク アドレス変換) はトンネルを通って送信される前に送信パケットで実行され、 さらにまた NAT
は受信時に受信パケットで実行されます。 VPN 接続に NAT を使用することにより、 リモート LAN
上のコンピュータは企業 LAN からはひとつのアドレス (SonicWALL パブリック アドレス) として表
示されます。
S
警告 「NAT とファイアウォール ルールを適用する」 機能が選択されている場合、 オフィスに重複する
LAN IP 範囲がある可能性があります。
ƒ 「パケットをリモートVPNに転送する」 - リモートVPNトンネルはSonicWALLルーティング テーブル
に加えることができます。 受信トラフィックは暗号化されるので、 別の VPN トンネルを介してリモート
サイトに転送することができます。 通常、 受信トラフィックは暗号化され、 「ネットワーク」 セクション
にある 「ルーティング」 ページで設定された LAN の特定のルートまたは SonicWALL LAN のみ
に転送されます。 この機能を有効にすると、 ネットワーク管理者は受信トラフィックをリモート サイト
へ送信することにより、 VPN の SA を介して” ハブとスポーク” のネットワーク設定を作成できま
す。 ” ハブとスポーク” のネットワークを作成するには、 「パケットをリモート VPN に転送する」
チェック ボックスを選択します。 トラフィックは企業オフィスを介して支社間を転送できます。
ƒ 「デフォルト LAN ゲートウェイ」 - 「この VPN トンネルをすべてのインターネット トラフィックのデフォ
ルト ルートとして使用する」 を使用してリモート サイトとともにセントラル サイトで使用します。 「デ
フォルト LAN ゲートウェイ」 を使用すると、 ネットワーク管理者はこの SA の着信 IPSec パケット
に関して既定 LAN ルートの IP アドレスを指定できます。 着信パケットは SonicWALL によってデ
コードされ、 SonicWALL で設定された静的ルートと比較されます。 パケットには IP の送信先アド
レスが含まれている可能性があるので、 トラフィックを処理する十分な静的ルートを設定することは
できません。 IPSec トンネルを介して受信されるパケットでは、 SonicWALL によって LAN のルー
トが検出されます。 ルートが検出されない場合、 SonicWALL によってデフォルト LAN ゲートウェ
イがチェックされます。 デフォルト LAN ゲートウェイが検出されると、 パケットはゲートウェイを介し
てルーティングされます。 そうでない場合、 パケットは破棄されます。
ƒ 「VPNがLAN、OPT/DMZ/WLAN、または LAN/OPT/DMZ/WLANで終了する」 - この
オプションを選択すると、 SonicWALL ネットワーク全体で VPN トンネルを終了させるのではなく、
特定の送信先 VPN トンネルを終了させることができます。 特定の送信先の VPN トンネルを終了す
ることにより、 VPN トンネルは対象先 LAN または OPT / DMZ / WLAN ネットワークの特定の
部分にアクセスできます。
172
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL の GroupVPN ポリシーの設定
ƒ 「XAUTH を利用した VPN クライアントの認証を要求する」 - この SA の受信トラフィックがすべて認
証済みのユーザからのものであることが要求されます。 認証されていないトラフィックは VPN トンネ
ルでは許可されません。
5. 「クライアント」 タブを選択します。 GroupVPN ポリシーに適用する次の設定をすべて選択します。
「XAUTH ユーザ名とパスワードのクライアント キャッシュ」 - グローバル VPN クライアント (GVC)
が XAUTH ユーザ認証に必要なユーザ名とパスワードをキャッシュします。 ドロップダウン リストには次
のオプションがあります。
ƒ 「無効」 - GVC がユーザ名とパスワードをキャッシュできません。 接続が有効である場合、 IKE
フェーズ 1 の再入力があるたびに、 ユーザはユーザ名とパスワードを要求されます。
ƒ 「セッション単位」 - 接続が無効になるまで、 接続が有効化されて有効になるたびに、 ユーザは
ユーザ名とパスワードを要求されます。 このユーザ名とパスワードは IKE フェーズ 1 の再入力で使
用されます。
ƒ 「常に」 - 接続が有効化されると 1 回だけユーザはユーザ名とパスワードを要求されます。 画面の
指示に従うと、 ユーザにはユーザ名とパスワードをキャッシュしたオプションが提供されます。
「仮想アダプタの設定」 - GVC による仮想アダプタの使用は、 仮想アダプタにアドレスを割り当てるた
め、 DHCP サーバ、 内部 SonicOS または指定された外部 DHCP サーバによって常に左右されて
いました。 予測可能なアドレッシングが要件であったインスタンスでは、 仮想アダプタの MAC アドレス
を取得し、 DHCP リース予約を作成する必要がありました。 仮想アダプタのアドレッシングを提供する
管理費用を削減するため、 GroupVPN を設定して仮想アダプタの IP 設定の静的アドレッシングを許
可できます。 この機能では、 GVC のバージョン 3.0 以降を使用する必要があります。
ƒ 「なし」 - この GroupVPN 接続では仮想アダプタを使用しません。
ƒ 「DHCP リース」 - 「VPN > VPN を越えた DHCP」 ページで設定されているように、 仮想アダプ
タは DHCP サーバからのみ IP 設定を取得します。
ƒ 「DHCP リースまたは手動設定」 - GVC を SonicWALL に接続すると、SonicWALL のポリシーは
GVC が仮想アダプタを使用するよう指示しますが、 仮想アダプタが手動で設定されている場合、
DHCP メッセージは抑止されます。 設定値は SonicWALL によって記録されるので、 手動で割り
当てられた IP アドレスのプロキシ ARP を取得できます。
補足 設計により、 現在は仮想アダプタの IP アドレスの割り当てには制限がありません。 重複した静的
アドレスのみが許可されていません。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
173
第 23 章 : VPN 設定の構成
「コネクションの制御」 - 単一または複数の VPN 接続を指定します。 ドロップダウン リストには次のオ
プションがあります。
ƒ 「このゲートウェイのみ」 - 一度に 1 つの接続を有効にできます。 このゲートウェイのポリシーで指
定されているように対象先ネットワークに一致するトラフィックは VPN トンネルを介して送信されま
す。 他のトラフィックはすべて遮断されます。 このオプションを 「このゲートウェイをデフォルト ルート
に設定する」 とともに選択する場合、 インターネット トラフィックも VPN トンネルを介して送信されま
す。 このオプションは選択するが、 「このゲートウェイをデフォルト ルートに設定する」 は選択しない
場合、 インターネット トラフィックは遮断されます。
ƒ 「すべてのゲートウェイ」 - 同時に 1 つ以上の接続を有効にできます。 各ゲートウェイの対象先ネッ
トワークに一致しているトラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。 こ
のオプションを 「このゲートウェイをデフォルト ルートに設定する」 とともに選択する場合、 インター
ネット トラフィックも VPN トンネルを介して送信されます。 このオプションは選択するが、 「このゲート
ウェイをデフォルト ルートに設定する」 は選択しない場合、 インターネット トラフィックは遮断されま
す。 複数のゲートウェイのうちいずれか 1 つのみ、 「このゲートウェイをデフォルト ルートに設定す
る」 を有効化できます。
ƒ 「トンネルを分割する」 - VPN ユーザはローカル インターネット アクセスと VPN 接続の両方が可能
です。
「このゲートウェイをデフォルト ルートに設定する」 - チェックする場合、 ゲートウェイの保護されたサブ
ネットのセレクタに一致しない GVC トラフィックもトンネリングする必要があります。 実際、 これにより
GVC のデフォルト ゲートウェイはゲートウェイ トンネルのエンドポイントに変更されます。 チェックしない
場合に、 「このゲートウェイのみトラフィックを許可する」 または 「すべてのゲートウェイ」 を選択する
と、 GVC では一致しないトラフィックはすべて破棄する必要があります。
「このコネクションのために、 グローバル セキュリティ クライアントが稼動していることを要求する」 - リ
モート コンピュータがファイアウォール保護を実行するポリシーを提供する SonicWALL 分散セキュリ
ティ クライアントで動作している場合のみ、 グローバル セキュリティ クライアントからの VPN 接続を許
可します。
「シンプル クライアント プロビジョニングに既定の鍵を使用する」 - 設定する場合、 最初のアグレッシブ
モードの交換の認証で、 ゲートウェイおよびすべての GVC によって既定の事前共有鍵が使用されま
す。 これにより、 既定の登録キーの使用をコントロールすることができます。 設定しない場合、 事前共
有鍵をバンド外に分散する必要があります。
6. 「OK」 を選択します。
IKE (サードパーティ証明書) での GroupVPN の設定
IKE (サードパーティ証明書) で GroupVPN を設定するには、 次の手順を実行します。
S
警告 サードパーティ証明書を使用して IKE で GroupVPN を設定する前に、 証明書を SonicWALL に
インストールする必要があります。
1. 「VPN > 設定」 ページで、
編集アイコンを選択します。
このアイコンは、 「GroupVPN」 エントリの 「設定」 の下にあります。 「VPN ポリシー」 ウィンドウが
表示されます。
174
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL の GroupVPN ポリシーの設定
2. 「セキュリティポリシー」 セクションの 「IPSec 鍵モード」 メニューの 「IKE (事前共有鍵)」 を選択しま
す。 SA の名前は既定の 「Group VPN」 で、 変更できません。
3. 「ゲートウェイ証明書」 メニューから SonicWALL の証明書を選択します。
4. 「Peer ID タイプ」 メニューから次の Peer ID タイプのうちのいずれかを選択し、 「Peer ID フィルタ」
フィールドに Peer ID フィルタ情報を入力します。
ƒ 「電子メールとドメイン名」 - 「電子メール」 と 「ドメイン名」 のタイプは、 既定ではすべての証明
書に含まれていない証明書の 「サブジェクト代替名」 フィールドに基づいています。 証明書が 「サ
ブジェクト代替名」 フィールドに含まれていない場合、 このフィルタは機能しません。 使用するため
に選択された証明書が 「サブジェクト代替名」 フィールドに含まれるエントリと一致する場合を除き、
証明書の検証プロセスでは電子メールのアドレスまたはドメイン名は確認されません。 「電子メー
ル」 と 「ドメイン名」 フィルタには、 要求される許容範囲を識別する文字列または部分文字列が含
まれている可能性があります。 入力した文字列には大文字と小文字の区別がなく、 ワイルド カード
文字* (1 文字以上の場合) および? (1 文字の場合) を含めることができます。 たとえば、 「電
子メール」 が選択されているときに文字列 「*@sonicwall.com」 である場合、 「sonicwall.com」 で終
わる電子メール アドレスを持つユーザがアクセスでき、 「ドメイン名」 が選択されているときに文字
列 「*sv.us.sonicwall.com」 である場合、 「sv.us.sonicwall.com」 で終わるドメイン名を持つユーザが
アクセスできます。
ƒ 「識別名」 - 既定ですべての証明書に含まれている、 証明書の 「サブジェクト識別名」 フィールド
に基づいています。 このフィールドの有効なエントリは、 国 (c=)、 組織 (o=)、 組織の単位
(ou=)、 および/または一般名 (cn=) に基づいています。 最大で 3 つの組織の単位を追加できま
す。 使用方法は、 c=*;o=*;ou=*;ou=*;ou=*;cn=* です。 最後のエントリにはセミコロンは不要です。
c=us のように少なくとも 1 つのエントリを入力する必要があります。
5. 「ゲートウェイ発行者によって署名された Peer 証明書のみ有効にする」 をチェックして、 ゲートウェイで
指定された発行者が Peer 証明書に署名するように指定します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
175
第 23 章 : VPN 設定の構成
6. 「プロポーザル」 タブを選択します。
7. 「IKE (フェーズ 1) プロポーザル」 セクションで、 次の設定を選択します。
「DH グループ」 メニューの 「グループ 2」
「暗号化」 メニューの 「3DES」
「認証」 メニューの 「SHA1」
「ライフ タイム (秒)」 フィールドでは既定の設定、 28800 をそのまま使用します。 この設定により、
トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
8. 「IPSec (フェーズ 2) プロポーザル」 セクションで、 次の設定を選択します。
「プロトコル」 メニューの 「ESP」
「暗号化」 メニューの 「3DES」
「認証」 メニューの 「MD5」
追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、 「Perfect Forward Secrecy
を有効にする」 を選択します。 「DH グループ」 メニューの 「グループ 2」
「ライフ タイム (秒)」 フィールドでは既定の設定、 28800 をそのまま使用します。 この設定により、
トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
9. 「詳細設定」 タブを選択して、 GroupVPN ポリシーに適用する次のオプション設定をすべて選択しま
す。
ƒ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - 近くのウィンドウズ ネット
ワークを参照してリモート ネットワーク リソースにアクセスできます。
ƒ 「NAT とファイアウォール ルールを適用する」 - この機能を使用すると、リモート サイトの LAN サブ
ネットを企業サイトから隠蔽することができるので、 企業オフィスに対してリモート オフィスのネット
ワーク トラフィックが開始される場合に最も有用です。 IPSEC トンネルは SonicWALL WAN イン
ターフェースと企業の LAN セグメントの間にあります。 トラフィックを保護するため、 NAT (ネット
ワーク アドレス変換) はトンネルを通って送信される前に送信パケットで実行され、 さらにまた NAT
は受信時に受信パケットで実行されます。 VPN 接続に NAT を使用することにより、 リモート LAN
上のコンピュータは企業 LAN からはひとつのアドレス (SonicWALL パブリック アドレス) として表
示されます。 SonicWALL でトランスペアレント モードのネットワーク設定を使用する場合、 この
チェック ボックスをオンにすると、 ファイアウォール アクセス ルールが適用され、 攻撃がチェックさ
れますが、 NAT は適用されません。
176
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL の GroupVPN ポリシーの設定
ƒ 「パケットをリモートVPNに転送する」 - リモートVPNトンネルはSonicWALLルーティング テーブル
に加えることができます。 受信トラフィックは暗号化されるので、 別の VPN トンネルを介してリモー
ト サイトに転送することができます。 通常、 受信トラフィックは暗号化され、 「ネットワーク」 セクショ
ンにある 「ルーティング」 ページで設定された LAN の特定のルートまたは SonicWALL LAN の
みに転送されます。 この機能を有効にすると、 ネットワーク管理者は受信トラフィックをリモート サイ
トへ送信することにより、 VPN の SA を介して” ハブとスポーク” のネットワーク設定を作成できま
す。 ” ハブとスポーク” のネットワークを作成するには、 「パケットをリモート VPN に転送する」
チェック ボックスを選択します。 トラフィックは企業オフィスを介して支社間を転送できます。
ƒ 「デフォルト LAN ゲートウェイ」 - 「この SA 経由ですべてのインターネット トラフィックが送られます」
チェック ボックスを使用してリモート サイトとともにセントラル サイトで使用します。 「デフォルト LAN
ゲートウェイ」 を使用すると、 ネットワーク管理者はこの SA の着信 IPSec パケットに関して既定
LAN ルートの IP アドレスを指定できます。 着信パケットは SonicWALL によってデコードされ、
SonicWALL で設定された静的ルートと比較されます。 パケットには IP の送信先アドレスが含まれ
ている可能性があるので、 トラフィックを処理する十分な静的ルートを設定することはできません。
IPSec トンネルを介して受信されるパケットでは、 SonicWALL によって LAN のルートが検出され
ます。 ルートが検出されない場合、 SonicWALL によってデフォルト LAN ゲートウェイがチェックさ
れます。 デフォルト LAN ゲートウェイが検出されると、 パケットはゲートウェイを介してルーティング
されます。 そうでない場合、 パケットは破棄されます。
ƒ 「VPNがLAN、OPT/DMZ/WLAN、またはLAN/OPT/DMZ/WLANで終了する」 - この
オプションを選択すると、 SonicWALL ネットワーク全体で VPN トンネルを終了させるのではなく、
特定の送信先 VPN トンネルを終了させることができます。 特定の送信先の VPN トンネルを終了す
ることにより、 VPN トンネルは対象先 LAN または OPT / DMZ / WLAN ネットワークの特定の
部分にアクセスできます。
ƒ 「XAUTH を利用した VPN クライアントの認証を要求する」 - この SA の受信トラフィックがすべて認
証済みのユーザからのものであることが要求されます。 認証されていないトラフィックは VPN トンネ
ルでは許可されません。
10. 「クライアント」 タブを選択して、 GVC プロビジョニングに適用する次のボックスをすべて選択します。
「XAUTH ユーザ名とパスワードのクライアント キャッシュ」 - GVC が XAUTH ユーザ認証に必要な
ユーザ名とパスワードをキャッシュします。 ドロップダウン リストには次のオプションがあります。
ƒ 「無効」 - GVC がユーザ名とパスワードをキャッシュできません。 接続が有効である場合、 IKE
フェーズ 1 の再入力があるたびに、 ユーザはユーザ名とパスワードを要求されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
177
第 23 章 : VPN 設定の構成
ƒ 「セッション単位」 - 接続が無効になるまで、 接続が有効化されて有効になるたびに、 ユーザは
ユーザ名とパスワードを要求されます。 このユーザ名とパスワードは IKE フェーズ 1 の再入力で使
用されます。
ƒ 「常に」 - 接続が有効化されると 1 回だけユーザはユーザ名とパスワードを要求されます。 画面の
指示に従うと、 ユーザにはユーザ名とパスワードをキャッシュしたオプションが提供されます。
「仮想アダプタの設定」 - GVC による仮想アダプタの使用は、 仮想アダプタにアドレスを割り当てるた
め、 DHCP サーバ、 内部 SonicOS または指定された外部 DHCP サーバによって常に左右されて
いました。 予測可能なアドレッシングが要件であったインスタンスでは、 仮想アダプタの MAC アドレス
を取得し、 DHCP リース予約を作成する必要がありました。
仮想アダプタのアドレッシングを提供する管理費用を削減するため、 GroupVPN を設定して仮想アダ
プタの IP 設定の静的アドレッシングを許可できます。 この機能では、 GVC のバージョン 3.0 以降を使
用する必要があります。
ƒ 「なし」 - この GroupVPN 接続では仮想アダプタを使用しません。
ƒ 「DHCP リース」 - 「VPN > VPN を越えた DHCP」 ページで設定されているように、 仮想アダプ
タは DHCP サーバからのみ IP 設定を取得します。
ƒ 「DHCP リースまたは手動設定」 - GVC を SonicWALL に接続すると、SonicWALL のポリシーは
GVC が仮想アダプタを使用するよう指示しますが、 仮想アダプタが手動で設定されている場合、
DHCP メッセージは抑止されます。 設定値は SonicWALL によって記録されるので、 手動で割り
当てられた IP アドレスのプロキシ ARP を取得できます。
補足 設計により、 現在は仮想アダプタの IP アドレスの割り当てには制限がありません。 重複した静的ア
ドレスのみが許可されていません。
「コネクションの制御」 - 単一または複数の VPN 接続を指定します。 ドロップダウン リストには次のオ
プションがあります。
ƒ 「このゲートウェイのみ」 - 一度に 1 つの接続を有効にできます。 このゲートウェイのポリシーで指
定されているように対象先ネットワークに一致するトラフィックは VPN トンネルを介して送信されま
す。 他のトラフィックはすべて遮断されます。 このオプションを 「このゲートウェイをデフォルト ルート
に設定する」 とともに選択する場合、 インターネット トラフィックも VPN トンネルを介して送信されま
す。 このオプションは選択するが、 「このゲートウェイをデフォルト ルートに設定する」 は選択しない
場合、 インターネット トラフィックは遮断されます。
ƒ 「すべてのゲートウェイ」 - 同時に 1 つ以上の接続を有効にできます。 各ゲートウェイの対象先ネッ
トワークに一致しているトラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。 こ
のオプションを 「このゲートウェイをデフォルト ルートに設定する」 とともに選択する場合、 インター
ネット トラフィックも VPN トンネルを介して送信されます。 このオプションは選択するが、 「このゲート
ウェイをデフォルト ルートに設定する」 は選択しない場合、 インターネット トラフィックは遮断されま
す。 複数のゲートウェイのうちいずれか 1 つのみ、 「このゲートウェイをデフォルト ルートに設定す
る」 を有効化できます。
ƒ 「トンネルを分割する」 - VPN ユーザはローカル インターネット アクセスと VPN 接続の両方が可能
です。
「このゲートウェイをデフォルト ルートに設定する」 - チェックする場合、 ゲートウェイの保護されたサブ
ネットのセレクタに一致しない GVC トラフィックもトンネリングする必要があります。 実際、 これにより
GVC のデフォルト ゲートウェイはゲートウェイ トンネルのエンドポイントに変更されます。 チェックしない
場合に、 「このゲートウェイのみトラフィックを許可する」 または 「すべてのゲートウェイ」 を選択する
と、 GVC では一致しないトラフィックはすべて破棄する必要があります。
「このコネクションのために、 グローバル セキュリティ クライアントが稼動していることを要求する」 - リ
モート コンピュータがファイアウォール保護を実行するポリシーを提供する SonicWALL 分散セキュリ
ティ クライアントで動作している場合のみ、 グローバル セキュリティ クライアントからの VPN 接続を許
可します。
「シンプル クライアント プロビジョニングに既定の鍵を使用する」 - 設定する場合、 最初のアグレッシブ
モードの交換の認証で、 ゲートウェイおよびすべての GVC によって既定の事前共有鍵が使用されま
す。 これにより、 既定の登録キーの使用をコントロールすることができます。 設定しない場合、 事前共
有鍵をバンド外に分散する必要があります。
178
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
13. 「OK」 を選択して、 「適用」 を選択し、 変更を有効にします。
GroupVPN クライアント ポリシーのエクスポート
ユーザが GVC にインポートできるように GVC 構成の設定をファイルにエクスポートする場合、 以下の手
順に従います。
S
警告 設定ファイルをエクスポートするには、 GroupVPN SA を SonicWALL で有効にする必要があり
ます。
1. 「GroupVPN」 ポリシーの 「設定」 の下にある 「ディスク」 アイコンを選択します。
イアント ポリシーのエクスポート」 ウィンドウが表示されます。
「GroupVPN クラ
2. 既定では 「SonicWALL グローバル クライアントに対しては、 rcf 形式が必要です。」 が選択されてい
ます。 rcf 形式で保存されているファイルはパスワードを暗号化できます。
3. 「はい」 を選択します。 「VPN ポリシーのエクスポート」 ウィンドウが表示されます。
4. エクスポート ファイルを暗号化する場合には、 「パスワード」 フィールドにパスワードを入力し、 「パス
ワードの確認」 フィールドにパスワードを再入力して、 「送信」 を選択します。
5. エクスポート ファイルを暗号化しない場合は、 「送信」 を選択します。 ユーザの選択を確認するメッ
セージが表示されます。 「OK」 を選択します。
6. ファイルを保存する場所を選択し、 「保存」 を選択します。
7. 「閉じる」 を選択します。 ファイルはフロッピー ディスクに保存するか、 電気的にリモート ユーザに送信
して GVC を設定することができます。
サイト間 VPN の設定
「VPN ウィザード」 または 「VPN ポリシー」 ウィンドウを使用して、 サイト間 VPN 接続について
SonicWALL セキュリティ装置を構成できます。
サイト間 VPN の配備
VPN 接続の設計中に、 確実にすべての適切な IP アドレッシング情報の文書を作成してネットワーク ダイ
アグラムを作成し、 参照用に使用します。 「サイト間 VPN ポリシーの VPN プランニング シート」 ペー
ジ 180 については、 以下を参照してください。 動的であっても、 静的であっても SonicWALL にはルー
ティングが可能な WAN IP アドレスが必要です。 SonicWALL の背後にあるネットワークが一意であること
を確認してください。 2 つの異なる VPN ゲートウェイの背後には同じサブネットは存在できません。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
179
第 23 章 : VPN 設定の構成
動的および静的な IP アドレスを持つ VPN ネットワークでは、 動的なアドレスを持つ VPN ゲートウェイで
VPN 接続を開始する必要があります。
サイト間 VPN の設定には、 次のオプションがあります。
• 「支社 (ゲートウェイ間)」 - SonicWALL は VPN トンネルを介して別の SonicWALL に接続するよ
うに設定されます。 あるいは SonicWALL は IPSec を介して別のメーカーのファイアウォールに接続
するように設定されます。
• 「ハブとスポークの設計」 - すべての VPN ゲートウェイが、 企業の SonicWALL など、 中央の
SonicWALL (ハブ) に接続されるように設計されます。 ハブには静的な IP アドレスが必要ですが、
スポークには動的な IP アドレスでもかまいません。 スポークが動的である場合、 ハブは SonicWALL
でなければなりません。
• 「メッシュ設計」 - すべてのサイトがすべての他のサイトに接続されます。 すべてのサイトに静的な IP
アドレスが必要です。
サイト間 VPN ポリシーの VPN プランニング シート
サイト間 VPN ポリシーを設定する前に、 以下の情報が必要です。
サイト A
ワークステーション
LAN IP アドレス : ___.___.___.___
サブネット マスク : ___.___.___.___
デフォルト ゲートウェイ : ___.___.___.___
SonicWALL
LAN IP アドレス : ___.___.___.___
WAN IP アドレス : ___.___.___.___
サブネット マスク : ___.___.___.___
デフォルト ゲートウェイ : ___.___.___.___
ルータ
インターネット ゲートウェイ :
WAN IP アドレス : ___.___.___.___
サブネット マスク : ___.___.___.___
DNS サーバ# 1 : ___.___.___.___
DNS サーバ# 2 : ___.___.___.___
その他の情報
SA 名 : ____________________
手動鍵、 SPI 入力 _____SPI 出力 _____
180
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
暗号化鍵 : ____________________
認証鍵 : ___________________
事前共有鍵の場合、
共有鍵 : ___________________
フェーズ 1 DH - 1 2 5
SA ライフタイム 28800 または ____________
フェーズ 1 暗号化/認証 DES AES 128 AES - 256 (円)
フェーズ 2 暗号化/認証 DES AES 128 AES - 256 (円)
ARC NULL
VPN ウィザードを使用したサイト間 VPN ポリシーの設定
「VPN ウィザード」 は、 2 つの SonicWALL 装置間の VPN セキュリティ ポリシーの設定手順を迅速か
つ簡単に案内します。
「VPN ウィザード」 では、 一般的な VPN 接続を作成できます。 このオプションを使用すると、 ウィザード
では 「IKE (事前共有鍵)」 に基づく VPN ポリシーが作成されます。
「VPN ウィザード」 の 「個別」 オプションを使用して、 次の IPSec 鍵モードのいずれかに基づく独自の設
定オプションを持つ VPN ポリシーを作成することができます。
• IKE (事前共有鍵)
• 手動鍵
• IKE (サードパーティ証明書)
補足 リモート ネットワークと同様に、 ローカル ネットワークには IP アドレッシング情報が必要です。 VPN
プランニング シートを使用して、 ユーザの情報を記録します。
一般的な IKE 事前共有鍵の VPN ポリシーの作成
「VPN ウィザード」 を使用して一般的な VPN ポリシーを作成して、 2 つの SonicWALL セキュリティ装
置間の IPsec VPN の SA を構成できます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
181
第 23 章 : VPN 設定の構成
1. 「VPN > 設定」 ページの 「VPN ウィザード」 を選択し、 ウィザードを起動します。 「次へ」 を選択し
ます。
2. 「一般的」 を選択し、 「次へ」 を選択します。
3. 「ポリシー名」 フィールドにポリシーの名前を入力します。 容易に識別できるように、 リモート オフィスの
名前または他の識別機能を使用することができます。 「IPSec ゲートウェイ名またはアドレス」 フィー
182
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
ルドにリモート対象先の IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 「次へ」 を選
択します。
4. 「リモート ネットワーク」フィールドにリモート SonicWALL によって保護されているネットワークの IP アド
レスを入力します。 これはリモート ネットワークのプライベート IP アドレスです。 「リモート ネットマスク」
フィールドにサブネット マスクを入力します。 「次へ」 を選択します。
5. 「事前共有鍵」 フィールドに事前共有鍵を入力します。 文字と数字の組み合わせを使用して、 一意の
鍵を作成します。 「次へ」 を選択します。
6. 迅速に VPN ポリシーを有効にするには、 「適用」 を選択します。 最初にポリシーを無効にする場合、
「この無効なポリシーを作成」 を選択して、 「適用」 を選択します。
事前共有鍵を使用した IKE でのカスタム VPN ポリシーの作成
IKE および事前共有鍵を使用してカスタム VPN ポリシーを作成するには、 次の手順に従います。
1. 「VPN ウィザード」 を選択してウィザードを起動します。 「次へ」 を選択して進みます。
2. 「個別」 を選択して、 「次へ」 を選択します。
3. 「ポリシー名」 フィールドにポリシーの名前を入力します。 容易に識別できるように、 リモート オフィスの
名前または他の識別機能を使用することができます。 「IPSec ゲートウェイ名またはアドレス」 フィー
ルドにリモート対象先の IP アドレスまたは FQDN を入力します。 「次へ」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
183
第 23 章 : VPN 設定の構成
4. 「リモート ネットワーク」フィールドにリモート SonicWALL によって保護されているネットワークの IP アド
レスを入力します。 これはリモート ネットワークのプライベート IP アドレスです。 「リモート ネットマスク」
フィールドにサブネット マスクを入力します。 「次へ」 を選択します。
補足 VPN ウィザードで作成された後、 VPN ポリシーを編集してネットワークを追加することができます。
5. IPSec 鍵モードで 「IKE (事前共有鍵)」 を選択します。 「次へ」 を選択します。
6. 「事前共有鍵」 フィールドに事前共有鍵を入力します。 文字と数字の組み合わせを使用して、 一意の
鍵を作成します。 「次へ」 を選択します。
7. 「DH グループ」 メニューから選択します。 Diffie-Helman (DH) 鍵交換 (鍵規約プロトコル) は事前
共有鍵を確立するため、 認証プロセスのフェーズ 1 の間に使用されます。 ネットワークの速度とネット
ワーク セキュリティの間で折り合いを付けるには、 「グループ 2」 を選択します。
VPN トンネルの 「暗号化」 リストから暗号化方式を選択します。 ネットワークの速度を優先する場合、
「DES」 を選択します。 ネットワーク セキュリティを優先する場合、 「3DES」 を選択します。 ネットワー
クの速度とネットワーク セキュリティの間で折り合いを付けるには、 「DES」 を選択します。
「認証」 リストから認証方式を選択します。 ネットワーク セキュリティの場合は SHA1 をお勧めします。
VPN ポリシーの 「ライフ タイム (秒)」 では既定の値、 28800 (8 時間) をそのまま使用します。
「次へ」 を選択します。
8. 「プロトコル」 メニューの 「ESP」 を選択します。 ESP は AH よりも安全ですが、 AH では処理オーバー
ヘッドを軽減する必要があります。
「暗号化」 メニューの 「3DES」 を選択します。 「3DES」 は極めて安全なので、 使用をお勧めしま
す。
「認証」 メニューの 「SHA1」 を選択します。
「Perfect Forward Secrecy を有効にする」 を選択します。 「Perfect Forward Secrecy を有効にす
る」 チェック ボックスを使用すると、 VPN トンネルの再ネゴシエート時間が増えます。 Perfect
Forward Secrecy を有効にすることにより、 ハッカーが暗号キーを破るため強引な方法を用いても、
その他または今後の IPSec キーは取得できません。 SonicWALL 装置または Grop VPN SA 間の
フェーズ 2 の再ネゴシエート中に、 追加の Diffie-Helman キー交換が実行されます。 「Perfect
Forward Secrecy を有効にする」 により、 ゲートウェイ間の安全性は増分的に増加します。
「Perfect Forward Secrecy を有効にする」 が有効である場合、 事前共有鍵を確立するため、 認証
プロセスのフェーズ 2 の間に使用する Diffie-Helman (DH) 鍵交換 (鍵規約プロトコル) のタイプを
選択します。
「ライフ タイム (秒)」 フィールドでは既定の値、 28800 をそのまま使用します。 キーは 8 時間ごとに
再ネゴシエートされます。
「次へ」 を選択します。
9. 迅速に VPN ポリシーを有効にするには、 「適用」 を選択します。 最初にポリシーを無効にする場合、
「この無効なポリシーを作成」 を選択して、 「適用」 を選択します。
VPN ウィザードを使用して手動鍵 VPN ポリシーを作成する
VPN ウィザードを使用してカスタム VPN ポリシーを作成し、 異なる IPSec 方式を設定するか、 VPN ポ
リシーのより高度な機能を設定できます。
1. 「VPN ウィザード」 を選択してウィザードを起動します。 「次へ」 を選択して進みます。
2. 「個別」 を選択して、 「次へ」 を選択します。
3. 「ポリシー名」 フィールドにポリシーの名前を入力します。 容易に識別できるように、 リモート オフィスの
名前または他の識別機能を使用することができます。 「IPSec ゲートウェイ名またはアドレス」 フィー
ルドにリモート対象先の IP アドレスまたは完全修飾ドメイン名を入力します。 「次へ」 を選択します。
4. 「リモート ネットワーク」フィールドにリモート SonicWALL によって保護されているネットワークの IP アド
レスを入力します。 これはリモート ネットワークのプライベート IP アドレスです。 「リモート ネットマスク」
フィールドにサブネット マスクを入力します。 「次へ」 を選択します。
184
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
補足 VPN ウィザードで作成された後、 VPN ポリシーを編集してネットワークを追加することができます。
5. 「IPSec 鍵モード」 リストで 「手動鍵」 を選択します。 「次へ」 を選択します。
6. 「着信 SPI」 および 「送信 SPI」 を定義します。 SPI は 16 進数 (0123456789abcdef) なので、
長さは 3 ~ 8 文字の範囲です。 あるいは既定の値を使用します。
S
警告 各 SA には一意の SPI が必要で、 2 つの SA が同じ SPI を共有することはできません。 ただし、
各 SA の受信 SPI は送信 SPI と同一である可能性があります。
既定では 「ESP」 が 「プロトコル」 メニューから選択されます。 ESP は AH よりも安全ですが、 AH
では処理オーバーヘッドを軽減する必要があります。
既定では 「3ESP」 が 「暗号化」 メニューから選択されます。 3ESP を使用している場合、 48 文字
の 16 進数キーを入力します。 DES または ARCFour 暗号化を使用している場合、 「暗号化鍵」
フィールドに 16 文字の 16 進数キーを入力します。 この暗号化鍵はリモート SonicWALL 暗号キーと
一致します。
既定の 48 文字の鍵は VPN ポリシーが作成されるたびに生成される一意の鍵です。
既定では 「AH」 が 「認証鍵」 フィールドで選択されます。 新しい SA が作成されると、 32 文字の
キーは 「認証」 フィールドで自動的に生成されます。 このキーは有効な鍵として使用できます。 この
キーを使用する場合、 リモート SonicWALL の 「認証鍵」 フィールドにも入力する必要があります。
認証が使用されない場合、 このフィールドは無視されます。
「次へ」 を選択します。
7. 迅速に VPN ポリシーを有効にするには、 「適用」 を選択します。 最初にポリシーを無効にする場合、
「この無効なポリシーを作成」 を選択して、 「適用」 を選択します。
VPN ウィザードを使用した IKE サードパーティ証明書の設定
S
警告 サードパーティ証明書を使用した IKE で VPN ポリシーを設定する前に、 SonicWALL にインス
トールされているサードパーティ証明書の認定局からの有効な証明書が必要です。 詳細については、 第
27 章 「証明書の管理」 を参照してください。
1. 「VPN ウィザード」 を選択してウィザードを起動します。 「次へ」 を選択して進みます。
2. 「個別」 を選択して、 「次へ」 を選択します。
3. 「ポリシー名」 フィールドにポリシーの名前を入力します。 容易に識別できるように、 リモート オフィスの
名前または他の識別機能を使用することができます。 「IPSec ゲートウェイ名またはアドレス」 フィー
ルドにリモート対象先の IP アドレスまたは完全修飾ドメイン名を入力します。 「次へ」 を選択します。
4. 「リモート ネットワーク」フィールドにリモート SonicWALL によって保護されているネットワークの IP アド
レスを入力します。 これはリモート ネットワークのプライベート IP アドレスです。 「リモート ネットマスク」
フィールドにサブネット マスクを入力します。 「次へ」 を選択します。
5. 「IPSec 鍵モード」 リストで 「IKE (事前共有鍵)」 を選択します。 「次へ」 を選択します。
6. 「サードパーティ証明書」 メニューから自分のサードパーティ証明書を選択します。 「Peer 証明書の ID
タイプ」 から ID タイプを選択し、 「一致する ID 文字列」 フィールドに ID 文字列を入力します。 「次
へ」 を選択します。
7. 「DH グループ」 メニューから選択します。 Diffie-Helman (DH) 鍵交換 (鍵規約プロトコル) は事前
共有鍵を確立するため、 認証プロセスのフェーズ 1 の間に使用されます。 ネットワークの速度とネット
ワーク セキュリティの間で折り合いを付けるには、 「グループ 2」 を選択します。
暗号化方式を 「暗号化」 リストから選択します。 ネットワークの速度を優先する場合、 「DES」 を選択
します。 ネットワーク セキュリティを優先する場合、 「3DES」 を選択します。 ネットワークの速度とネッ
トワーク セキュリティの間で折り合いを付けるには、 「DES」 を選択します。
「認証」 リストから認証方式を選択します。 ネットワーク セキュリティの場合は SHA1 をお勧めします。
VPN ポリシーの 「ライフ タイム (秒)」 では既定の値、 28800 (8 時間) をそのまま使用します。
「次へ」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
185
第 23 章 : VPN 設定の構成
8. 既定では 「ESP」 が 「プロトコル」 メニューから選択されます。 ESP は AH よりも安全ですが、 AH で
は処理オーバーヘッドを軽減する必要があります。
既定では 「3ESP」 が 「暗号化」 メニューから選択されます。 3ESP を使用している場合、 48 文字
の 16 進数キーを入力します。 DES または ARCFour 暗号化を使用している場合、 「暗号化鍵」
フィールドに 16 文字の 16 進数キーを入力します。 この暗号化鍵はリモート SonicWALL 暗号キーと
一致します。
既定の 48 文字の鍵は VPN ポリシーが作成されるたびに生成される一意の鍵です。
既定では 「AH」 が 「認証鍵」 フィールドで選択されます。 新しい SA が作成されると、 32 文字の
キーは 「認証」 フィールドで自動的に生成されます。 このキーは有効な鍵として使用できます。 この
キーを使用する場合、 リモート SonicWALL の 「認証鍵」 フィールドにも入力する必要があります。
認証が使用されない場合、 このフィールドは無視されます。
「次へ」 を選択します。
9. 迅速に VPN ポリシーを有効にするには、 「適用」 を選択します。 最初にポリシーを無効にする場合、
「この無効なポリシーを作成」 を選択して、 「適用」 を選択します。
VPN ポリシー ウィンドウを使用したサイト間 VPN ポリシーの作
成
VPN ポリシー ウィンドウを使用して既存の VPN ポリシーを作成するか、 変更することができます。
「VPN ポリシー」 テーブルの下にある 「追加」 ボタンを選択すると、 次の IPSec 鍵モードの VPN ポリ
シーを設定するための 「VPN ポリシー」 ウィンドウが表示されます。
• IKE (事前共有鍵)
• 手動鍵
• IKE (サードパーティ証明書)
9
ヒント VPN ウィザードを使用して既存のこれらのポリシーを作成できます。
事前共有鍵を使用した IKE での VPN ポリシーの設定
事前共有鍵とともに IKE を使用して VPN ポリシーを手動で作成するには、 次の手順に従います。
186
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
1. 「VPN > 設定」 ページで、 「追加」 を選択します。 「VPN ポリシー」 ウィンドウが表示されます。
2. 「全般」 タブの 「IKE (事前共有鍵)」 は 「IPSec 鍵モード」 の既定によって選択されます。
9
ヒント 「サイト間 VPN ポリシーの VPN プランニング シート」 ページ 180 を使用して、 設定を記録しま
す。 これらの設定は、 リモート SonicWALL を設定し、 成功する VPN 接続を作成するために必要です。
3. 「名前」 フィールドに VPN ポリシーの名前を入力します。
4. 「主格 IPSec ゲートウェイ名またはアドレス」フィールドにリモート対象先の IP アドレスまたはゲートウェイ
名を入力します。
5. 副格の IP アドレスまたはゲートウェイ名がある場合、 「副格 IPSec ゲートウェイ名またはアドレス」
フィールドにを入力します。 主格ゲートウェイが使用できない場合、 SonicWALL では副格のゲート
ウェイが使用され、 VPN トンネルが作成されます。
6. 「共有鍵」 フィールドに、 共有鍵として文字、 記号、 および数字の組み合わせを入力します。
9
ヒント 共有鍵は 4 文字以上でなければなりません。
7. 「対象先ネットワーク」 セクションにある次のオプションの中から選択します。
ƒ 「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」 - すべ
てのローカル ユーザがこのトンネルを介してインターネットにアクセスする場合、 このオプションを選
択します。 このオプションを使用するには、 トンネルを 1 つだけ設定できます。
ƒ 「対象先ネットワークは、 この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する」 -
ネットワークの IP アドレスの割り当てを中央から管理している場合はこのオプションを選択します。
ƒ 「下記に対象先ネットワークを指定する」 - ユーザの SA のリモート対象ネットワークを設定します。
「追加」 を選択して、 IP アドレスとサブネット マスクを追加します。 「編集」 を選択すると、 既存の
対象先ネットワークを変更できます。 また、 ネットワークを選択して 「削除」 を選択すると、 ネット
ワークを削除できます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
187
第 23 章 : VPN 設定の構成
8. 「プロポーザル」 タブを選択します。
9. 「IKE (フェーズ 1) プロポーザル」 セクションの既定の設定により安全な接続設定が提供されますが、
この設定はユーザの好みに応じて変更できます。 3DES だけでなく、 AES - 128、 AES - 192、
および AES - 256 は暗号化方式として選択されます。
10. 「IPSec (フェーズ 2) プロポーザル」 セクションの既定の設定により安全な接続設定が提供されます
が、 この設定はユーザの好みに応じて変更できます。 3DES だけでなく、 AES - 128、 AES -
192、 および AES - 256 は暗号化方式として選択されます。 「Perfect Forward Secrecy を有効
にする」 を選択すると、 ハッカーが暗号キーを破るため強引な方法を用いても、 その他または今後の
IPSec キーは取得できません。 フェーズ 2 のネゴシエーション中に、 追加の Diffie-Helman (DH)
鍵交換が行われます。 このオプションを使用すると、 VPN トンネルに対するセキュリティ層が追加され
ます。
11. 「詳細設定」 タブを選択します。 「詳細設定」 セクションで VPN ポリシーに適用する設定オプションを選
択します。
ƒ 「キープ アライブを有効にする」 - 2つの接続間のネットワーク セグメントのトラフィックを待機して現
在の接続を維持する場合、 この設定を選択します。 複数の VPN トンネルが SonicWALL で設定
されているときに、 「利用可能なすべてのトンネルを試す」 を選択して、 以下との通信が失われる
場合に SonicWALL でトンネルが再ネゴシエートされるようにします。 SonicWALL
ƒ 「ローカル ユーザの認証を要求する」 - このSAの受信VPNトラフィックはすべて認証済みのユーザ
からのものでなければなりません。
ƒ 「リモート ユーザの認証を要求する」 - この SA に対する送信 VPN トラフィックはすべて認証済みの
ユーザからのものでなければなりません。 リモート ユーザが VPN ゲートウェイで終わる VPN トンネ
ルを持っている場合、 「VPN ゲートウェイ背後のリモート ユーザ」 を選択します。 リモート ユーザが
XAUTH を使用した認証を要求しており、 VPN クライアントを使用して SonicWALL にアクセスす
る場合、 「XAUTH でのリモート VPN クライアント」 を選択します。
ƒ 「保護されたワイヤレス ブリッジを有効にする」 - SonicWALL ワイヤレス ゲートウェイ間で
WiFiSec VAN ポリシーを有効にします。
ƒ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 -
近くのウィンドウズ ネットワークを参照して、 リモート ネットワーク リソースへのアクセスが許可され
ます。
ƒ 「NAT とファイアウォール ルールを適用する」 - この機能を使用すると、リモート サイトの LAN サブ
ネットを企業サイトから隠蔽することができるので、 企業オフィスに対してリモート オフィスのネット
ワーク トラフィックが開始される場合に最も有用です。 IPSEC トンネルは SonicWALL WAN イン
188
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
ターフェースと企業の LAN セグメントの間にあります。 トラフィックを保護するには、 NAT (ネット
ワーク アドレス変換) はトンネルを通って送信される前に送信パケットで実行され、 さらにまた NAT
は受信時に受信パケットで実行されます。 VPN 接続に NAT を使用することにより、 リモート LAN
上のコンピュータは企業 LAN からはひとつのアドレス (SonicWALL パブリック アドレス) として表
示されます。
ƒ 「パケットをリモートVPNに転送する」 - リモートVPNトンネルはSonicWALLルーティング テーブル
に加えることができます。 受信トラフィックは暗号化されるので、 別の VPN トンネルを介してリモー
ト サイトに転送することができます。 通常、 受信トラフィックは暗号化され、 「ネットワーク」 セクショ
ンにある 「ルーティング」 ページで設定された LAN の特定のルートまたは SonicWALL LAN の
みに転送されます。 この機能を有効にすると、 ネットワーク管理者は受信トラフィックをリモート サイ
トへ送信することにより、 VPN の SA を介して” ハブとスポーク” のネットワーク設定を作成できま
す。 ” ハブとスポーク” のネットワークを作成するには、 「パケットをリモート VPN に転送する」
チェック ボックスを選択します。 トラフィックは企業オフィスを介して支社間を転送できます。
ƒ 「デフォルト LAN ゲートウェイ」 - 「この SA 経由ですべてのインターネット トラフィックが送られます」
チェック ボックスを使用してリモート サイトとともにセントラル サイトで使用します。 「デフォルト LAN
ゲートウェイ」 を使用すると、 ネットワーク管理者はこの SA の着信 IPSec パケットに関して既定
LAN ルートの IP アドレスを指定できます。 着信パケットは SonicWALL によってデコードされ、
SonicWALL で設定された静的ルートと比較されます。 パケットには IP の送信先アドレスが含まれ
ている可能性があるので、 トラフィックを処理する十分な静的ルートを設定することはできません。
IPSec トンネルを介して受信されるパケットでは、 SonicWALL によって LAN のルートが検出され
ます。 ルートが検出されない場合、 SonicWALL によってデフォルト LAN ゲートウェイがチェックさ
れます。 デフォルト LAN ゲートウェイが検出されると、 パケットはゲートウェイを介してルーティング
されます。 そうでない場合、 パケットは破棄されます。
ƒ 「VPNがLAN、OPT/DMZ/WLAN、またはLAN/OPT/DMZ/WLANで終了する」 - この
オプションを選択すると、 SonicWALL ネットワーク全体で VPN トンネルを終了させるのではなく、
特定の送信先 VPN トンネルを終了させることができます。 特定の送信先の VPN トンネルを終了す
ることにより、 VPN トンネルは対象先 LAN または OPT / DMZ / WLAN ネットワークの特定の
部分にアクセスできます。
12. 「OK」 を選択します。 新しい VPN ポリシーは、 「VPN ポリシー」 テーブルに表示されます。
手動鍵を使用した VPN ポリシーの設定
手動鍵を使用して 「VPN ポリシー」 ウィンドウで VPN ポリシーを手動で作成するには、 次の手順に従い
ます。
1. 「VPN > 設定」 ページで、 「追加」 を選択します。 「VPN ポリシー」 ウィンドウが表示されます。
2. 「IPSec 鍵モード」 メニューで 「手動鍵」 を選択します。
9
ヒント 「サイト間 VPN ポリシーの VPN プランニング シート」 ページ 180 を使用して、 設定を記録しま
す。 これらの設定は、 リモート SonicWALL を設定し、 成功する VPN 接続を作成するために必要です。
3. 「セキュリティ ポリシー」 セクションの 「名前」 フィールドに VPN ポリシーの名前を入力します。
4. 「IPSec ゲートウェイ名またはアドレス」フィールドにリモート対象先の IP アドレスまたはゲートウェイ名を
入力します。
5. 「対象先ネットワーク」 セクションで次のオプションのいずれかを選択します。
ƒ 「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」 - すべ
てのローカル ユーザがこのトンネルを介してインターネットにアクセスする場合、 このオプションを選
択します。 このオプションを使用するには、 SA を 1 つだけ設定できます。
ƒ 「下記に対象先ネットワークを指定する」 - ユーザの SA のリモート対象ネットワークを設定します。
「追加」 を選択して、 IP アドレスとサブネット マスクを追加します。 「編集」 を選択すると、 既存の
対象先ネットワークを変更できます。 また、 ネットワークを選択して 「削除」 を選択すると、 ネット
ワークを削除できます。
6. 「プロポーザル」 タブを選択します。
7. 「IPSec SA」 セクションで、 「着信 SPI」 および 「送信 SPI」 を定義します。 SPI は 16 進数
(0123456789abcdef) なので、 長さは 3 ~ 8 文字の範囲です。 あるいは既定の値を使用します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
189
第 23 章 : VPN 設定の構成
S
警告 各 SA には一意の SPI が必要で、 2 つの SA が同じ SPI を共有することはできません。 ただし、
各 SA の受信 SPI は送信 SPI と同一である可能性があります。
8. 既定では 「ESP」 が 「プロトコル」 メニューから選択されます。 ESP は AH よりも安全ですが、 AH で
は処理オーバーヘッドを軽減する必要があります。
9. 既定では 「3ESP」 が 「フェーズ 2 暗号化」 メニューから選択されます。 3ESP を使用している場合、
48 文字の 16 進数キーを入力します。 DES または ARCFour 暗号化を使用している場合、 「暗号化
鍵」 フィールドに 16 文字の 16 進数キーを入力します。 この暗号化鍵はリモート SonicWALL 暗号
キーと一致します。
既定の 48 文字の鍵は VPN ポリシーが作成されるたびに生成される一意の鍵です。
10. 既定では 「SHA1」 が 「フェーズ 2 認証」 メニューから選択されます。 新しいポリシーが作成される
と、 32 文字のキーは 「認証鍵」 フィールドで自動的に生成されます。 このキーは有効な鍵として使用
できます。 このキーを使用する場合、 リモート SonicWALL の 「認証鍵」 フィールドにも入力する必要
があります。 認証が使用されない場合、 このフィールドは無視されます。
11. 「詳細設定」 タブを選択します。 「詳細設定」 セクションで VPN ポリシーに適用する設定を選択します。
ƒ 「ローカル ユーザの認証を要求する」 - このSAの受信VPNトラフィックはすべて認証済みのユーザ
からのものでなければなりません。
ƒ 「リモート ユーザの認証を要求する」 - この SA に対する送信 VPN トラフィックはすべて認証済みの
ユーザからのものでなければなりません。 リモート ユーザが VPN ゲートウェイで終わる VPN トンネ
ルを持っている場合、 「VPN ゲートウェイ背後のリモート ユーザ」 を選択します。 リモート ユーザが
XAUTH を使用した認証を要求しており、 VPN クライアントを使用して SonicWALL にアクセスす
る場合、 「XAUTH でのリモート VPN クライアント」 を選択します。
ƒ 「保護されたワイヤレス ブリッジを有効にする」 - SonicWALL ワイヤレス ゲートウェイ間で
WiFiSec VAN ポリシーを有効にします。
ƒ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - 近くのウィンドウズ ネット
ワークを参照して、 リモート ネットワーク リソースへのアクセスが許可されます。
ƒ 「NAT とファイアウォール ルールを適用する」 - この機能を使用すると、リモート サイトの LAN サブ
ネットを企業サイトから隠蔽することができるので、 企業オフィスに対してリモート オフィスのネット
ワーク トラフィックが開始される場合に最も有用です。 IPSEC トンネルは SonicWALL WAN イン
ターフェースと企業の LAN セグメントの間にあります。 トラフィックを保護するには、 NAT (ネット
ワーク アドレス変換) はトンネルを通って送信される前に送信パケットで実行され、 さらにまた NAT
は受信時に受信パケットで実行されます。 VPN 接続に NAT を使用することにより、 リモート LAN
上のコンピュータは企業 LAN からはひとつのアドレス (SonicWALL パブリック アドレス) として表
示されます。
ƒ 「パケットをリモートVPNに転送する」 - リモートVPNトンネルはSonicWALLルーティング テーブル
に加えることができます。 受信トラフィックは暗号化されるので、 別の VPN トンネルを介してリモート
サイトに転送することができます。 通常、 受信トラフィックは暗号化され、 「ネットワーク」 セクション
にある 「ルーティング」 ページで設定された LAN の特定のルートまたは SonicWALL LAN のみ
に転送されます。 この機能を有効にすると、 ネットワーク管理者は受信トラフィックをリモート サイト
へ送信することにより、 VPN の SA を介して” ハブとスポーク” のネットワーク設定を作成できま
す。 ” ハブとスポーク” のネットワークを作成するには、 「パケットをリモート VPN に転送する」
チェック ボックスを選択します。 トラフィックは企業オフィスを介して支社間を転送できます。
ƒ 「デフォルト LAN ゲートウェイ」 - 「この SA 経由ですべてのインターネット トラフィックが送られます」
チェック ボックスを使用してリモート サイトとともにセントラル サイトで使用します。 「デフォルト LAN
ゲートウェイ」 を使用すると、 ネットワーク管理者はこの SA の着信 IPSec パケットに関して既定
LAN ルートの IP アドレスを指定できます。 着信パケットは SonicWALL によってデコードされ、
SonicWALL で設定された静的ルートと比較されます。 パケットには IP の送信先アドレスが含まれ
ている可能性があるので、 トラフィックを処理する十分な静的ルートを設定することはできません。
IPSec トンネルを介して受信されるパケットでは、 SonicWALL によって LAN のルートが検出され
ます。 ルートが検出されない場合、 SonicWALL によってデフォルト LAN ゲートウェイがチェックさ
れます。 デフォルト LAN ゲートウェイが検出されると、 パケットはゲートウェイを介してルーティング
されます。 そうでない場合、 パケットは破棄されます。
190
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
ƒ 「VPNがLAN、OPT/DMZ/WLAN、またはLAN/OPT/DMZ/WLANで終了する」 - この
オプションを選択すると、 SonicWALL ネットワーク全体で VPN トンネルを終了させるのではなく、
特定の送信先 VPN トンネルを終了させることができます。 特定の送信先の VPN トンネルを終了す
ることにより、 VPN トンネルは対象先 LAN または OPT / DMZ / WLAN ネットワークの特定の
部分にアクセスできます。
12. 「OK」 を選択して手動鍵の VPN ポリシーを SonicWALL に追加します。
IKE (サードパーティ証明書) での VPN ポリシーの設定
S
警告 サードパーティ証明書を使用した IKE で VPN ポリシーを設定する前に、 SonicWALL にインス
トールされているサードパーティ証明書の認定局からの有効な証明書が必要です。 詳細については、 第
27 章 「証明書の管理」 を参照してください。
IKE およびサードパーティの証明書を使用して VPN SA を作成するには、 次の手順に従います。
1. 「VPN > 設定」 ページで、 「追加」 を選択します。 「VPN ポリシー」 ウィンドウが表示されます。
2. 「一般」 タブの 「IKE (サードパーティ証明書)」 を選択します。
3. 「名前」 フィールドに SA 名を入力します。
4. 「主格 IPSec ゲートウェイ名またはアドレス」フィールドに主格のリモート SonicWALL の IP アドレスまた
は完全修飾ドメイン名 (FQDN) を入力します。 副格のリモート SonicWALL がある場合、 「副格
IPSec ゲートウェイ名またはアドレス」 フィールドにリモート対象先の IP アドレスまたは完全修飾ドメイ
ン名を入力します。
5. 「サードパーティ証明書」 メニューから証明書を選択します。
6. 「Peer ID タイプ」 メニューから次の Peer ID タイプのうちのいずれかを選択し、 「一致する ID 文字列」
フィールドに ID 文字列情報を入力します。
• 「電子メールとドメイン名」 - 「電子メール」 と 「ドメイン名」 のタイプは、 既定ではすべての証明書に
含まれていない証明書の 「サブジェクト代替名」 フィールドに基づいています。 証明書に 「サブジェクト
代替名」 フィールドが含まれていない場合、 このフィルタは機能しません。 使用するために選択された
証明書が 「サブジェクト代替名」 フィールドに含まれるエントリと一致する場合を除き、 証明書の検証
プロセスでは電子メールのアドレスまたはドメイン名は確認されません。 「電子メール」 と 「ドメイン名」
フィルタには、 要求される許容範囲を識別する文字列または部分文字列が含まれている可能性があり
ます。 入力した文字列には大文字と小文字の区別がなく、 ワイルド カード文字* (1 文字以上の場
合) および ? (1 文字の場合) を含めることができます。 たとえば、 「電子メール」 が選択されている
ときに文字列 「*@sonicwall.com」 である場合、 「sonicwall.com」 で終わる電子メール アドレスを持つ
ユーザがアクセスでき、 「ドメイン名」 が選択されているときに文字列 「*sv.us.sonicwall.com」 である場
合、 「sv.us.sonicwall.com」 で終わるドメイン名を持つユーザがアクセスできます。
ƒ 「識別名」 - 既定ですべての証明書に含まれている、 証明書の 「サブジェクト識別名」 フィールド
に基づいています。 このフィールドの有効なエントリは、 国 (c=)、 組織 (o=)、 組織の単位
(ou=)、 および/または一般名 (cn=) に基づいています。 最大で 3 つの組織の単位を追加できま
す。 使用方法は、 c=*;o=*;ou=*;ou=*;ou=*;cn=* です。 最後のエントリにはセミコロンは不要です。
c=us のように少なくとも 1 つのエントリを入力する必要があります。
7. 「対象先ネットワーク」 セクションで次のオプションのいずれかを選択します。
「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」 - トラ
フィックが VPN トンネルを介して移動しない限り、 SonicWALL セキュリティ装置から出るローカル
ユーザが 1 人もいない場合、 このオプションを選択します。
「対象先ネットワークは、 この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する」 - リ
モート ネットワークが DHCP サーバから IP アドレスを取得する場合、 この設定を選択します。
「下記に対象先ネットワークを指定する」 - 対象ネットワークまたはネットワークを追加します。 対象ネッ
トワークを追加するには、 「追加」 を選択します。 「VPN 対象先ネットワーク」 ウィンドウが表示され
ます。 「ネットワーク」 フィールドに IP アドレス、 「サブネット マスク」 フィールドにサブネットを入力し、
「OK」 を選択します。
8. 「プロポーザル」 タブを選択します。
9. 「IKE (フェーズ 1) プロポーザル」 セクションで、 次の設定を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
191
第 23 章 : VPN 設定の構成
「交換」 メニューから 「アグレッシブ モード」 を選択します。
「DH グループ」 メニューの 「グループ 2」 を選択します。
「暗号化」 メニューの 「3DES」 を選択します。
許可される最長時間を秒単位で入力してから、 ポリシーが再ネゴシエートして 「ライフ タイム」 フィール
ドでキーを交換します。 既定の設定は “28800” 秒 (8 時間) です。
10. 「IPSec (フェーズ 2) プロポーザル」 セクションで、 次の設定を選択します。
「プロトコル」 メニューの 「ESP」 を選択します。
「暗号化」 メニューの 「3DES」 を選択します。
「認証」 メニューの 「SHA1」 を選択します。
追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、 「Perfect Forward Secrecy
を有効にする」 を選択し、 「DH」 メニューから 「グループ 2」 を選択します。
許可される最長時間を秒単位で入力してから、 ポリシーが再ネゴシエートして 「ライフ タイム」 フィール
ドでキーを交換します。 既定の設定は “28800” 秒 (8 時間) です。
11. 「詳細設定」 タブを選択します。 「詳細設定」 セクションで VPN ポリシーに適用する設定オプションを選
択します。
ƒ 「キープ アライブを有効にする」 - 2つの接続間のネットワーク セグメントのトラフィックを待機して現
在の接続を維持する場合、 この設定を選択します。 複数の VPN トンネルが SonicWALL で設定
されているときに、 「利用可能なすべてのトンネルを試す」 を選択して、 以下との通信が失われる
場合に SonicWALL でトンネルが再ネゴシエートされるようにします。
ƒ 「ローカル ユーザの認証を要求する」 - このSAの受信VPNトラフィックはすべて認証済みのユーザ
からのものでなければなりません。
ƒ 「リモート ユーザの認証を要求する」 - この SA に対する送信 VPN トラフィックはすべて認証済みの
ユーザからのものでなければなりません。 リモート ユーザが VPN ゲートウェイで終わる VPN トンネ
ルを持っている場合、 「VPN ゲートウェイ背後のリモート ユーザ」 を選択します。 リモート ユーザが
XAUTH を使用した認証を要求しており、 VPN クライアントを使用して SonicWALL にアクセスす
る場合、 「XAUTH でのリモート VPN クライアント」 を選択します。
ƒ 「保護されたワイヤレス ブリッジを有効にする」 - SonicWALL ワイヤレス ゲートウェイ間で
WiFiSec VAN ポリシーを有効にします。
ƒ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - 近くのウィンドウズ ネット
ワークを参照して、 リモート ネットワーク リソースへのアクセスが許可されます。
ƒ 「NAT とファイアウォール ルールを適用する」 - この機能を使用すると、リモート サイトの LAN サブ
ネットを企業サイトから隠蔽することができるので、 企業オフィスに対してリモート オフィスのネット
ワーク トラフィックが開始される場合に最も有用です。 IPSEC トンネルは SonicWALL WAN イン
ターフェースと企業の LAN セグメントの間にあります。 トラフィックを保護するには、 NAT (ネット
ワーク アドレス変換) はトンネルを通って送信される前に送信パケットで実行され、 さらにまた NAT
は受信時に受信パケットで実行されます。 VPN 接続に NAT を使用することにより、 リモート LAN
上のコンピュータは企業 LAN からはひとつのアドレス (SonicWALL パブリック アドレス) として表
示されます。
ƒ 「パケットをリモートVPNに転送する」 - リモートVPNトンネルはSonicWALLルーティング テーブル
に加えることができます。 受信トラフィックは暗号化されるので、 別の VPN トンネルを介してリモート
サイトに転送することができます。 通常、 受信トラフィックは暗号化され、 「ネットワーク」 セクション
にある 「ルーティング」 ページで設定された LAN の特定のルートまたは SonicWALL LAN のみ
に転送されます。 この機能を有効にすると、 ネットワーク管理者は受信トラフィックをリモート サイト
へ送信することにより、 VPN の SA を介して” ハブとスポーク” のネットワーク設定を作成できま
す。 ” ハブとスポーク” のネットワークを作成するには、 「パケットをリモート VPN に転送する」
チェック ボックスを選択します。 トラフィックは企業オフィスを介して支社間を転送できます。
ƒ 「デフォルト LAN ゲートウェイ」 - 「この SA 経由ですべてのインターネット トラフィックが送られます」
チェック ボックスを使用してリモート サイトとともにセントラル サイトで使用します。 「デフォルト LAN
ゲートウェイ」 を使用すると、 ネットワーク管理者はこの SA の着信 IPSec パケットに関して既定
LAN ルートの IP アドレスを指定できます。 着信パケットは SonicWALL によってデコードされ、
SonicWALL で設定された静的ルートと比較されます。 パケットには IP の送信先アドレスが含まれ
192
SonicWALL SonicOS Standard 3 . 8管理者ガイド
サイト間 VPN の設定
ている可能性があるので、 トラフィックを処理する十分な静的ルートを設定することはできません。
IPSec トンネルを介して受信されるパケットでは、 SonicWALL によって LAN のルートが検出され
ます。 ルートが検出されない場合、 SonicWALL によってデフォルト LAN ゲートウェイがチェックさ
れます。 デフォルト LAN ゲートウェイが検出されると、 パケットはゲートウェイを介してルーティング
されます。 そうでない場合、 パケットは破棄されます。
ƒ 「VPNがLAN、OPT/DMZ/WLAN、またはLAN/OPT/DMZ/WLANで終了する」 - この
オプションを選択すると、 SonicWALL ネットワーク全体で VPN トンネルを終了させるのではなく、
特定の送信先 VPN トンネルを終了させることができます。 特定の送信先の VPN トンネルを終了す
ることにより、 VPN トンネルは対象先 LAN または OPT / DMZ / WLAN ネットワークの特定の
部分にアクセスできます。
12. 「OK」 を選択します。 新しい VPN ポリシーは、 「VPN ポリシー」 テーブルに表示されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
193
第 23 章 : VPN 設定の構成
194
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 24 章
VPN の詳細設定
ëÊ 24 èÕ
VPN > 詳細設定
vpnadvancedview
「VPN > 詳細設定」 ページには、 すべての VPN ポリシーに影響を与えるオプション設定があります。
VPN の詳細設定
• 「VPN を介するすべてウィンドウズ ネットワーク (NetBIOS) ブロードキャストを無効にする」 - マイクロソ
フト ウィンドウズを実行するコンピュータは、 NetBIOS ブロードキャスト パケットを通して相互に通信しま
す。 ウィンドウズのネットワーク コンピュータを参照してリモート ネットワーク リソースにアクセスするには、
この設定を無効にします。
• 「断片化パケットの処理を有効にする」 - " 断片化された IPSec パケットが破棄された " という内容の
VPN ログ レポートが示される場合は、 この機能を有効にします。 VPN トンネルが確立されて動作状態に
なるまでは、 選択しないでください。 この設定を選択すると 「DF ビット (断片化を行わない) を無視する」
設定がアクティブになります。
• 「NAT トラバーサルを有効にする」 - VPN エンドポイントの間に NAT 機器がある場合は、 この設定を選
択します。 IPSec VPN は認証されたエンドポイントの間で交換されるトラフィックを保護しますが、 NAT ト
ラバーサルが動作するためには、 認証されたエンドポイントをセッションの途中で動的に再割り当てするこ
とはできません。 したがって、 IPSec セッションの有効期間中に動的な NAT バインドを維持するには、
NAT 機器または NAPT 機器の背後にある VPN 機器によって送信される " ハートビート " として機能する
キープ アライブとして、 1 バイトの UDP を指定します。 " キープ アライブ " は、 IPSec ピアによって黙っ
て破棄されます。
「NAT トラバーサルを有効にする」 を選択すると、 VPN トンネルはこのプロトコルをサポートできるように
なり、 NAT / NAPT 機器の背後で IPSec セキュリティ ゲートウェイが検出されると、 SonicWALL はロ
グ メッセージを生成します。 次のログ メッセージが、 「表示 > ログ」 ページに表示されます。
NAT / NAPT 機器の背後にあるピア IPSec ゲートウェイ
NAT / NAPT 機器の背後にあるローカル IPSec セキュリティ ゲートウェイ
IPSec セキュリティの間に NAT / NAPT 機器が検出されません
ピア IPSec セキュリティ ゲートウェイは VPN NAT トラバーサルをサポートしません
• 「キープ アライブ間隔 (秒)」 - 既定値は 240 秒 (4 分) です。 VPN の 「詳細設定」 ページで 「キー
プ アライブを有効にする」 を選択した場合は、 Dead Peer 検出 (DPD) によってそれまでの VPN ポリ
シーが削除されると、 新しいネゴシエーションが開始します。
• 「IKE Dead Peer 検出を有効にする」 - アクティブではない VPN トンネルを SonicWALL で破棄する場
合に選択します。 「ハートビートの間隔 (秒)」 フィールドに、 ハートビートの間の秒数を入力します。 既
定値は 60 秒です。 「Dead Peer 検出とする未到達ハートビートの回数」 フィールドに、 未到達のハート
ビートの数を入力します。 既定値は 3 です。 トリガー レベルに達すると、 SonicWALL セキュリティ装置
は VPN 接続を破棄します。 SonicWALL は、 フェーズ 1 暗号化によって保護された UDP パケットを
ハートビートとして使用します。
• 「VPN シングル アーム モード (独立 VPN ゲートウェイ)」 - VPN トンネルの終了点として利用される単
一のポート (WAN) を備えた SonicWALL を配備する場合に選択します。 クリア テキスト トラフィックは
単一のインターフェースにルーティングされ、 データは適切な IPSec ゲートウェイにカプセル化されます。
SonicWALL を NAT 用に設定するときはシングル アーム モードを有効にできないことに注意してくださ
い。
195
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 24 章 : VPN の詳細設定
S
警告 シングル アーム モードを有効にすると、 LAN ポートが自動的に無効になり、 WAN からの
HTTPS 管理用のルールが VPN SonicWALL に自動的に追加されます。
• 「対岸のゲートウェイの DNS 名が異なった IP アドレスとして解決された場合に、 アクティブ トンネルを
再構築する」 - 古い IP アドレスと関連付けられた SA を切断し、 ピア ゲートウェイに再接続します。
• 「パススルー接続のための IKE ポートを保存する」 - パススルー VPN 接続のために、 UDP 500 /
4500 ソース ポートと IP アドレス情報を保存します。
• 「トンネルの状況が変更した場合のみ、 VPN トンネル トラップを送信する」 - VPN トラフィックによって
生成されるログ メッセージ (トラップ) の数を減らします。
VPN ユーザ認証設定
• 「SA におけるユーザ認証を免除するサービス」 - 指定したサービスへのアクセスを、 認証されていな
い VPN ユーザに許可します。 サービスを追加するには、 メニューからサービスを選択して、 「追加」
を選択します。 選択したサービスがリストに追加されます。 サービスを削除するには、 リストでサービス
を選択し、 「削除」 を選択します。
• 「SA におけるユーザ認証を免除するアドレス範囲」 - 指定した IP アドレスまたは IP アドレス範囲に、
VPN 接続でのユーザ認証の免除を許可します。 IP アドレスを追加するには、 テキスト ボックスに IP
アドレスを 1 つ入力して、 「追加」 を選択します。 IP アドレス範囲を追加するには、 範囲の開始 IP ア
ドレスを最初のフィールドに入力し、 長さをテキスト フィールドに入力します (IP アドレスの最後の 3 つ
の値まで)。
VPN 帯域幅管理
帯域幅管理は、 ネットワークで重要なアプリケーションに帯域幅リソースを割り当てる手段です。 「VPN 帯
域幅管理」 セクションでは、 SonicWALL から許可する送信 VPN トラフィックの量を定義できます。 その
後、 トラフィックは、 「保証された帯域幅」 (最低) および 「最大帯域幅」 の設定に従って、 Kbps 単位で
スケジュールされます。
VPN 帯域幅管理を有効にするには、 次の手順を実行します。
1. 「VPN 帯域幅管理を有効にする」 を選択します。
2. 許可される最低の帯域幅の大きさを、 「保証された帯域幅 (Kbps)」 フィールドに入力します。
3. 許可される最大の帯域幅の大きさを、 「最大帯域幅 (Kbps)」 フィールドに入力します。
4. 「帯域幅優先順位」 メニューで、 「0 最も高い」 から 「7 最も低い」 までの間で、 VPN 帯域幅の優先
順位を選択します。
5. 「適用」 を選択します。
196
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN > 詳細設定
9
ヒント 帯域幅管理は、 送信 VPN トラフィックでのみ使用できます。 帯域幅管理を使用するように個々
の Security Associations を設定することはできません。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
197
第 24 章 : VPN の詳細設定
198
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 25 章
VPN を越えた DHCP の設定
ëÊ 25 èÕ
VPN > VPN を越えた DHCP
dhcprelayview
「VPN > VPN を越えた DHCP」 ページでは、 SonicWALL の背後のホスト (DHCP クライアント) が、
VPN トンネルの反対側にある DHCP サーバーから IP アドレス リースを取得できます。 ネットワークの配備に
よっては、 1 つの論理 IP アドレス上にすべての VPN ネットワークを配置し、 1 つの IP サブネット アドレス
スペースに存在するすべての VPN ネットワークの外観を作成するのが望ましい場合があります。 これにより、
VPN トンネルを使用するネットワークの IP アドレス管理が容易になります。
DHCP リレー モード
リモート サイトおよび中央サイトの SonicWALL 装置は、 サイト間の最初の DHCP トラフィックおよびそれ以
降の IP トラフィックに対して、 VPN トンネル用に設定されます。 リモート サイトの SonicWALL (リモート
ゲートウェイ) は、 VPN トンネルを通して DHCP ブロードキャスト パケットを渡します。 中央サイトの
SonicWALL (セントラル ゲートウェイ) は、 リモート ネットワーク上のクライアントからの DHCP パケットを、
中央サイトの DHCP サーバーにリレーします。
dhcprpropscen
199
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 25 章 : VPN を越えた DHCP の設定
VPN を越えた DHCP 用のセントラル ゲートウェイの設定
セントラル ゲートウェイに VPN を越えた DHCP を設定するには、 以下の手順を使用します。
1. 「VPN を越えた DHCP」 ページで、 「DHCP リレー モード」 メニューから 「セントラル ゲートウェイ」 を
選択します。
2. 「設定」 を選択します。 「VPN を越えた DHCP /セントラル ゲートウェイ」 ウィンドウが表示されます。
3. グローバル VPN クライアントとリモート ファイアウォールの一方または両方を有効にし、 内部 DHCP
サーバを使用して IP アドレス情報を取得する場合は、 「内部 DHCP サーバを使用する」 を選択しま
す。
4. 特定のサーバに DHCP リクエストを送信する場合は、「下記にリストされたサーバ IP アドレスに DHCP リ
クエストを送信する」 を選択します。
5. 「追加」 を選択します。 IP アドレス ウィンドウが表示されます。
6. 「IP アドレス」 フィールドに DHCP サーバの IP アドレスを入力し、 「OK」 を選択します。 指定したサーバ
に SonicWALL が DHCP リクエストを送信するようになります。
7. 「リレー IP アドレス (オプション)」 フィールドに、 リレー サーバの IP アドレスを入力します。
「サーバ IP アドレス」 テーブルのエントリを編集するには、 「編集」 を選択します。 DHCP サーバを削除
するには、 「サーバ IP アドレス」 テーブルでエントリを選択し、 「削除」 を選択します。 「すべて削除」 を
選択すると、 すべてのエントリが削除されます。
dhcprprops
VPN を越えた DHCP のリモート ゲートウェイの設定
1. 「DHCP リレー モード」 メニューから 「リモート ゲートウェイ」 を選択します。
200
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN > VPN を越えた DHCP
2. 「設定」 を選択します。 「VPN を越えた DHCP /リモート ゲートウェイ」 ウィンドウが表示されます。
3. 「この VPN トンネルを通じた DHCP リレー」 メニューから、 VPN トンネルに使用する VPN Security
Association を選択します。
S
警告 IKE を使用し、 LAN で終了する VPN Security Association だけが、 「この VPN トンネルを通
じた DHCP を使用して取得する」 に表示されます。
4. 「リレー IP アドレス」 は、 セントラル ゲートウェイ アドレスの代わりに使用し、 DHCP サーバ上の
DHCP スコープ内で予約されている必要があります。 リレー IP アドレスを使用すると、 セントラル ゲー
トウェイの背後にある VPN トンネルを通して、 SonicWALL をリモートで管理することもできます。
5. 「リモート管理 IP アドレス」 を入力すると、 この IP アドレスを使用して、 セントラル ゲートウェイの背後に
ある VPN トンネルを通して、 SonicWALL をリモートで管理することもできます。
6. 「IP Spoof を検出した場合、 トンネル経由のトラフィックを遮断する」 を有効にすると、 SonicWALL
は、 認証されたユーザの IP アドレスになりすます、 VPN トンネル経由のトラフィックを遮断します。 た
だし、 固定の機器がある場合は、 機器に対して正しいイーサネット アドレスが入力されていることを確
認する必要があります。 イーサネット アドレスは識別プロセスの一部として使用され、 イーサネット アド
レスが正しくないと、 SonicWALL が IP Spoof として応答する可能性があります。
7. VPN トンネルが中断された場合は、 一時的な DHCP リースをローカル DHCP サーバから取得できま
す。 トンネルが再びアクティブになると、 ローカル DHCP サーバはリースの発行を停止します。 「トン
ネルがダウンした場合、 IP リースをローカル DHCP サーバから取得する」 チェック ボックスをオンにし
ます。 このチェック ボックスをオンにすることで、 トンネルが機能を停止するときのフェイルオーバー オ
プションになります。 一定の時間だけ一時的なリースを許可する場合は、 「代替のための IP リース期
間 (分)」 ボックスに一時リースの分数を入力します。 既定値は 2 分です。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
201
第 25 章 : VPN を越えた DHCP の設定
機器の設定
1. LAN の機器を設定するには、 「デバイス」 タブを選択します。
2. 静的な LAN 機器を設定するには、 「追加」 を選択して 「静的な LAN デバイスの追加」 ウィンドウを表
示し、 「IP アドレス」 フィールドには機器の IP アドレスを入力し、 「イーサネット アドレス」 フィールドに
は機器のイーサネット アドレスを入力します。 静的な機器の例としては、 IP リースを動的に取得できな
いプリンタなどがあります。 「IP Spoof を検出した場合、 トンネル経由のトラフィックを遮断する」 を有
効にしてない場合は、 機器のイーサネット アドレスを入力する必要はありません。 DHCP サーバで利
用可能な IP アドレスのプールから静的 IP アドレスを除外して、 DHCP サーバがこれらのアドレスを
DHCP クライアントに割り当てないようにする必要があります。 また、 リレー IP アドレスとして使用され
る IP アドレスも除外する必要があります。 リレー IP アドレスとして使用する IP アドレスのブロックを確
保しておくことをお勧めします。 「OK」 を選択します。
3. LAN 上の機器を除外するには、 「追加」 を選択して 「除外する LAN デバイスの追加」 ウィンドウを表
示します。 「イーサネット アドレス」 フィールドに、 機器の MAC アドレスを入力します。 「OK」 を選
択します。
4. 「OK」 を選択して、 「VPN を越えた DHCP /リモート ゲートウェイ」 ウィンドウを閉じます。
S
警告 コンピュータに IP リースを割り当てるには、 リモート SonicWALL 上にローカル DHCP サーバを
設定する必要があります。
S
警告 リモート サイトでセントラル ゲートウェイへの接続およびリースの取得に関する問題がある場合は、
リモート コンピュータで Deterministic Neteork Enhancer (DNE) が有効になっていないことを確認しま
す。
9
ヒント たとえば 2 つの LAN のように、 静的 LAN IP アドレスが DHCP スコープの外部にある場合は、
この IP へのルーティングが可能です。
現在の VPN を越えた DHCP リース
スクロール ウィンドウに、 バインドの IP アドレスとイーサネット アドレスおよびリース時間やトンネル名な
ど、 現在のバインドに関する詳細が表示されます。 エントリを編集するには、 そのエントリに対する 「設
定」 の下の編集
アイコンを選択します。
バインドを削除するには、 リストからバインドを選択し、 ごみ箱アイコンを選択します。 バインドを削除する
と、 DHCP サーバで IP アドレスが解放されます。 操作が完了するまで数秒かかります。 完了すると、
ウェブ ブラウザ ウィンドウの一番下に更新を確認するメッセージが表示されます。
202
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN > VPN を越えた DHCP
「すべて削除」 を選択すると、 すべての VPN リースが削除されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
203
第 25 章 : VPN を越えた DHCP の設定
204
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 26 章
L2TP サーバの設定
ëÊ 26 èÕ
VPN > L2TP サーバ
l2tpsconfigdlg
レイヤ 2 トンネリング プロトコル (L2TP) を使用すると、 インターネットなどのパブリック ネットワークに VPN
を作成できます。 L2TP は、 PPTP や L2F などの相互運用性のないプロトコルを使用する異なる VPN の間
の相互運用性を提供します。 L2TP は、 両方のプロトコルの最善の部分を組み合わせたものであり、 これら
を拡張します。 L2TP は、 マイクロソフト ウィンドウズ 2000 オペレーティング システムでサポートされます。
L2TP は、 パスワード認証プロトコル (PAP)、 チャレンジ ハンドシェーク認証プロトコル (CHAP)、 マイク
ロソフト チャレンジ ハンドシェーク認証プロトコル (MS-CHAP) など、 PPP がサポートする複数の認証オプ
ションをサポートします。 L2TP を使用すると、 VPN トンネルのエンドポイントを認証してセキュリティを強化
し、 IPSec と共に実装して安全で暗号化された VPN ソリューションを提供できます。
SonicWALL L2TP 機能を設定する前に、 Group VPN を有効にする必要があります。 また、 暗号
化方式と共有鍵が、
L2TP クライアントの設定と一致している必要があります。
補足 205
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 26 章 : L 2 TP サーバの設定
SonicWALL で L2TP サーバ機能を有効にするには、 「L2TP サーバを有効にする」 を選択します。 次
に、 「設定」 を選択して、 「L2TP サーバの設定」 ウィンドウを表示します。
l2tpserversetup
L2TP サーバの設定
以下の設定を行います。
1. 接続を開いておくための特殊なパケットを送信する秒数を、 「キープ アライブ時間 (秒)」 に入力しま
す。
2. 第 1 の DNS サーバの IP アドレスを、 「DNS サーバ 1」 フィールドに入力します。
3. 第 2 の DNS サーバがある場合は、 その IP アドレスを 「DNS サーバ 2」 フィールドに入力します。
4. 第 1 の WINS サーバの IP アドレスを、 「WINS サーバ 1」 フィールドに入力します。
5. 第 2 の WINS サーバがある場合は、 その IP アドレスを 「WINS サーバ 2」 フィールドに入力します。
IP アドレスの設定
6. RADIUS サーバが IP アドレス情報を L2TP クライアントに提供する場合は、「RADIUS サーバで準備さ
れた IP アドレスを使用する」 を選択します。
7. L2TP サーバが IP アドレスを提供する場合は、 「ローカルの L2TP IP プールを使用する」 を選択しま
す。 プライベート IP アドレスの範囲を、 「開始 IP アドレス」 フィールドと 「終了 IP アドレス」 フィールド
に入力します。
補足 ローカル L2TP プールの IP アドレスは、 固有の IP サブネットでなければなりません。 LAN サブ
ネットまたは SonicWALL セキュリティ装置上の他のインターフェースの IP アドレスは使用できません。
8. 「OK」 を選択します。
SonicWALL への L2TP クライアントの追加
ローカル ユーザ データベースまたは RADIUS データベースに L2TP クライアントを追加するには、 「ユー
ザ」 を選択し、 「追加」 を選択します。 ユーザに権限を追加するときは、 権限の 1 つとして L2TP クライ
アントを選択します。 これにより、 ユーザは L2TP クライアントとして SonicWALL にアクセスできます。
現在動作中の L2TP セッション
• 「ユーザ名」 - ローカル ユーザ データベースまたは RADIUS ユーザ データベースで割り当てられてい
るユーザ名。
206
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN > L 2 TP サーバ
• 「PPP IP」 - 接続のソース IP アドレス。
• 「インターフェース」 - L2TP サーバへのアクセスに使用されるインターフェースの入力。 VPN クライアン
トまたは別の SonicWALL 装置です。
• 「認証」 - L2TP クライアントが使用する認証の入力。
• 「ホスト名」 - L2TP サーバに接続しているネットワークの名前。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
207
第 26 章 : L 2 TP サーバの設定
208
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 27 èÕ
第 27 章
証明書の管理
デジタル証明書の概要
デジタル証明書は、 認証局 (CA) として知られる信頼されるサードパーティによって身元を確認するための
電子的な手段です。 X.509 v3 証明書規格は暗号化証明書で使用される仕様で、 証明書に含める拡張領域
を定義できます。 SonicWALL では、 サードパーティ証明書のサポートの一環としてこの規格を実装していま
す。
サードパーティの CA によって署名され確認された証明書は、 インターネット鍵交換 (IKE) VPN ポリシーで
使用できます
IKE は IPSec VPN ソリューションの重要な部分であり、 SA (セキュリティ アソシエーション) を設定する前
にデジタル証明書を使用して相手の機器を認証できます。 デジタル証明書を使用しない場合、 VPN ユーザ
は共有鍵または対称鍵を手動で交換して認証する必要があります。 デジタル署名を使用する機器またはクラ
イアントは、 新しい機器またはクライアントがネットワークに追加されるたびに設定を変更する必要はありませ
ん。
一般的な証明書は、 データ セクションと署名セクションの 2 つのセクションで構成されます。 データ セクション
には通常、 証明書がサポートする X.509 のバージョン、 証明書のシリアル番号、 ユーザの公開鍵に関する
情報、 識別名 (DN)、 証明書の有効期間、 証明書の利用目的のようなオプション情報などの情報が含ま
れます。 署名セクションには、 発行元 CA が使用した暗号化アルゴリズムおよび CA のデジタル署名が含ま
れます。
SonicWALL のサードパーティ デジタル証明書のサポート
SonicWALL は、 X.509 v3 証明書を発行する認証局からのサードパーティ証明書をサポートします。 これ
には、 市販またはパブリック ドメインで利用可能なほとんどすべての CA が含まれます。 VPN SA での証明
書の使用を実装するには、 有効な CA 証明書をサードパーティの CA サービスから取得する必要がありま
す。 有効な CA 証明書を取得したら、 それを SonicWALL にインポートすることで、 ローカル証明書および
IKE ネゴシエーションの間に提示される IKE ピア証明書を有効にできます。 有効な CA 証明書を
SonicWALL にインポートするには、 「VPN > CA 証明書」 ページを使用します。 有効な CA 証明書をイン
ポートしたら、 それを使用して、 「VPN > ローカル証明書」 ページで追加するローカル証明書を有効にでき
ます。
vpncacert
209
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 27 章 : 証明書の管理
VPN > ローカル証明書
CA によって署名された署名書が戻されたなら、 その証明書を SonicWALL にインポートして、 VPN
Security Association 用のローカル証明書として使用できます。
9
ヒント ローカル証明書を SonicWALL にインポートした後で、 予備としてローカル ディスクに証明書を
エクスポートすることをお勧めします。 ローカル証明書をエクスポートするときは、 パスワードが必要です。
秘密鍵を含む証明書のインポート
証明書を SonicWALL にインポートするには、 以下の手順を使用します。
1. 「ローカル証明書」 の 「秘密鍵を含んだ証明書のインポート」 セクションで、 「証明署名」 を入力しま
す。
2. 「証明書管理パスワード」 を入力します。 このパスワードは、 署名された証明書をエクスポートするとき
に作成されたものです。
3. 「参照」 を使用して、 証明書ファイルを探します。
4. 「インポート」 を選択すると、 「現在の証明書」 のリストに証明書が表示されます。
5. 証明書の詳細を表示するには、 「現在の証明書」 のリストで証明書を選択します。
証明書の詳細情報
証明書の詳細を表示するには、 「現在の証明書」 セクションの 「証明書」 メニューから証明書を選択しま
す。 「証明書の詳細情報」 セクションに、 証明書に関する以下の情報がリストされます。
• 証明書発行者
• サブジェクト識別名
• 証明書シリアル番号
• 失効期日
• 代替サブジェクト名
• 代替サブジェクト名タイプ
• 状況
210
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN > ローカル証明書
この証明書の削除
証明書を削除するには、 「この証明書の削除」 を選択します。 証明書の期限が切れた場合、 または
VPN 認証にサードパーティの証明書を使用しない場合は、 証明書を削除できます。
証明書署名リクエストの生成
VPN で使用するためのローカル証明書を生成するには、 以下の手順に従います。
9
ヒント ローカル証明書とともに使用する証明書ポリシーを作成する必要があります。 証明書ポリシー
は、 証明書を検証するために必要な認証要件および認証制限を定めます。
1. 「証明書」 メニューから 「新規ローカル証明書の追加」 を選択します。
2. 「証明書署名リクエストの生成」 セクションで、 「証明書名」 フィールドに証明書の名前を入力します。
3. リクエストのフィールドに証明書の情報を入力します。 リクエストのフィールドに情報を入力すると、 「サ
ブジェクト識別名」 フィールドに識別名 (DN) が生成されます。
また、 証明書に 「ドメイン名」 または 「電子メール アドレス」 などのオプションのサブジェクト代替名を
付けることもできます。 対応するフィールドに、 ドメイン名 (yourcompanyname.com) または電子
メール アドレス (abc @ yourcompanyname.com) を正しく入力する必要があります。
4. 「サブジェクト鍵タイプ」 は RSA アルゴリズムに事前設定されています。 RSA は、 データを暗号化する
ために使用される公開鍵暗号化アルゴリズムです。
5. 「サブジェクト鍵サイズ」 メニューからサブジェクト鍵のサイズを選択します。
補足 認証局はすべての鍵サイズをサポートするわけではないので、 認証局がサポートする鍵サイズを
確認する必要があります。
6. 「生成」 を選択して証明書署名リクエスト ファイルを生成します。 証明書署名リクエストが生成されると、
結果を示すメッセージが表示されます。
7. 「エクスポート」 を選択して証明書署名リクエスト ファイルをコンピュータにダウンロードし、 「保存」 を選
択してコンピュータのディレクトリに保存します。
8. 証明書署名リクエスト ファイルを検証のために認証局に送信します。 CA サービスは、 CA 証明書を検
証した後、 X.509 v3 証明書を発行します。 通常、 証明書ファイルは次のいずれかの形式です。
ƒ Raw 形式 (通常は、 .der というファイル拡張子)
ƒ Base64 エンコード形式 (通常は、 .der または .b64 というファイル拡張子)、 普通は次のような
ヘッダーとフッターを含みます。
-----BEGIN CERTIFICATE----MIICmTCCAkOgAwIBAgIQFqMhNXFex7NObU4dKUNNvDANBgkqhkiG9w0BAQUFADBY
...
SonicWALL SonicOS Standard 3 . 8管理者ガイド
211
第 27 章 : 証明書の管理
-----END CERTIFICATE-----
ƒ PKC # 7 形式 (通常は、 .p7b というファイル拡張子)
補足 ファイル拡張子は、 証明書の発行者によって異なり、 証明書の形式を判別するための信頼できる
方法ではありません。 SonicWALL セキュリティ装置は、 ファイル拡張子に関係なく、 3 種類の形式すべ
てをサポートします。
9. 証明書を受け取ったら、 SonicWALL にインポートして、 VPN Security Association に対するローカ
ル証明書として使用できます。 「VPN > ローカル証明書」 ページで、 「証明書」 プルダウン メニュー
から 「証明署名」 に入力した名前を選択します。
「証明書の詳細情報」 セクションには、 生成した 「サブジェクト識別名」、 そのリクエストに固有の 「サ
ブジェクト鍵識別子」、 および 「状況」 に 「リクエスト生成済み」 と表示されます。
10. 「署名された証明書のインポート」 テキスト ボックスの隣の 「参照」 ボタンを選択し、 CA によって発行
された証明書を探して、 「開く」 を選択します。
11. 「証明書のインポート」 ボタンを選択して、 この証明書をインポートします。 インポートが成功すると、
「証明書の詳細情報」 には、 インポートされた証明書のフィールドが表示されます。
212
SonicWALL SonicOS Standard 3 . 8管理者ガイド
VPN > CA 証明書
VPN > CA 証明書
SonicWALL への CA 証明書のインポート
CA サービスによる CA 証明書の検証が済んだなら、 SonicWALL にインポートし、 それを使用して
VPN Security Association に対するローカル証明書を検証できます。 CA 証明書を SonicWALL にイ
ンポートするには、 以下の手順に従います。
1. 「VPN > CA 証明書」 ページで、 「新規 CA 証明書の追加」 を選択します。
2. 「参照」 を選択して、 CA サービスから送信されたエンコード済みの証明書ファイルを探します。 通常
は、 * .p7b、 * .der、 または* .cer というファイル拡張子が付いています。
3. 「開く」 を選択して、 証明書に対するディレクトリ パスを設定します。
4. 「インポート」 を選択して、 SonicWALL に証明書をインポートします。 証明書がインポートされると、
「証明書の詳細情報」 が表示されます。
証明書の詳細情報
「証明書の詳細情報」 セクションには、 以下の情報がリストされます。
• 証明書発行者
• サブジェクト識別名
• 証明書シリアル番号
• 有効期間の終了
• CRL の状況
証明書発行者、 証明書シリアル番号、 および有効期限は、 CA サービスによって生成されます。 この情
報は、 証明書署名リクエストを作成して検証用に CA サービスに送信するときに使用します。
この証明書の削除
証明書を削除するには、 「この証明書の削除」 を選択します。 証明書の期限が切れた場合、 または
VPN 認証にサードパーティの証明書を使用しない場合は、 証明書を削除できます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
213
第 27 章 : 証明書の管理
証明書失効リスト (CRL)
証明書失効リスト (CRL) は、 既存の証明書の有効性をチェックする方法の 1 つです。 次のような理由
で、 証明書が無効になっている場合があります。
• 必要なくなった。
• 証明書が盗まれた、 または損なわれた。
• 古い証明書より優先される新しい証明書が発行された。
CA は、 無効になった証明書を証明書失効リストで定期的に公開するか、 OSCP (Online Certificate
Status Protocol) を使用して X.509 v3データベースのオンライン サーバで公開します。 CRL ファイルの
入手方法または URL については、 CA プロバイダにお問い合わせください。
CRL を手動でダウンロードして SonicWALL にインポートできます。 また、 「自動インポート用に CRL の
場所 (URL) を入力」 フィールドにアドレスを入力して、 CRL の URL の場所を入力することもできます。
CA サービスが定めた間隔で、 CRL が自動的にダウンロードされます。 SonicWALL は、 証明書を使用
する際に CRL で証明書の有効性をチェックします。
CRL リストのインポート
CRL リストをインポートするには、 以下の手順を実行します。
1. 「インポートするファイルを選択」 の 「参照」 を選択します。
2. PKCS # 12 (* .P12) またはマイクロソフト (* .PFX) のエンコード ファイルを探します。
3. 「開く」 を選択して、 証明書に対するディレクトリ パスを設定します。
4. 「インポート」 を選択して、 SonicWALL に証明書をインポートします。
自動 CRL 更新
SonicWALL に対する自動 CRL 更新を有効にするには、 「自動インポート用に CRL の場所 (URL) を
入力」 に CA サービスに対する CRL サーバーの URL を入力し、 「適用」 を選択します。
214
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第6部
ëÊ 6 ïî
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ユーザ
215
:
216
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 28 èÕ
第 28 章
ユーザ状況の表示とユーザ認証の設定
ユーザ レベル認証の概要
SonicWALL セキュリティ装置は、 インターネット上の遠隔の場所からの LAN へのユーザ アクセスを可能に
するユーザ レベル認証のメカニズムと、 コンテンツ フィルタをバイパスするための手段を提供します。 また、
認証されたユーザだけに、 VPN トンネルにアクセスし、 暗号化された接続を通してデータを送信することを許
可することもできます。
ユーザ レベル認証は、 ローカル ユーザ データベースのみ、 RADIUS のみ、 または 2 つのアプリケーション
の組み合わせを使用して実行できます。 SonicWALL セキュリティ装置上のローカル データベースは、 最大
で 1,000 ユーザをサポートできます。 1,000 ユーザを超えている場合、 または SonicWALL セキュリティ装
置のユーザ認証のためのセキュリティ層を追加する場合は、 認証に RADIUS を使用してください。
usersstatusview
ユーザ > 状況
現在のユーザ
「現在のユーザ」 テーブルには、 「ユーザ名」、 ユーザの 「IP アドレス」、 「セッション時間」、 セッションの
「残り時間」、 および 「残り無動作時間」 がリストされます。 「ログアウト」 列にある 「ごみ箱」 アイコンを選
択して、 ユーザを SonicWALL セキュリティ装置からログアウトすることもできます。
userssettingsview
217
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 28 章 : ユーザ状況の表示とユーザ認証の設定
ユーザ > 設定
「ユーザ > 設定」 ページでは、 必要な認証方式、 グローバル ユーザ設定、 およびユーザがネットワーク
にログオンしたときに表示される許容ユーザ ポリシーを設定することができます。 SonicWALL セキュリ
ティ装置は、 ローカルな SonicWALL セキュリティ装置データベース、 RADIUS サーバ、 またはこれら
2 つの認証方式を組み合わせたユーザ レベルの認証をサポートします。
認証方法
• 「ユーザ認証に RADIUS を使用する」 - 100 ユーザを超えている場合、 または SonicWALL セキュ
リティ装置のユーザ認証のためのセキュリティ層を追加する場合。 RADIUS を使用するを選択した場
合、 SonicWALL セキュリティ装置に送られるパスワードを暗号化するために、 ユーザは HTTPS を
使用して SonicWALL セキュリティ装置にログインする必要があります。 ユーザが HTTP を使用して
SonicWALL セキュリティ装置へのログインを試みた場合、 ブラウザは HTTPS に自動的にリダイレク
トされます。 「RADIUS を使用する」 を選択した場合は、 「設定」 ボタンが使用可能になります。
• 「ローカルに登録されたユーザのみ許可する」 - SonicWALL セキュリティ装置にアクセスする
RADIUS ユーザのサブセットがいる場合は、 この設定を有効にします。 RADIUS を使用してユーザを
認証できるようにするには、 先に、 「ユーザ > ローカル ユーザ」 ページで内部 SonicWALL セキュリ
ティ装置ユーザ データベースにユーザ名を追加する必要があります。
• 「ローカルに登録されたユーザの権限を含む」 - 「ユーザ > ローカル ユーザ」 ページでユーザに割り
当てられた権限を含めます。
• 「ローカルに登録されたユーザ情報を使用する」 - この設定を選択すると、 「ユーザ > ローカル ユー
ザ」 ページを使用して、 ローカル SonicWALL セキュリティ装置データベースにユーザを設定できま
す。
グローバル ユーザ設定
218
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ユーザ > 設定
以下にリストされている設定は、 SonicWALL セキュリティ装置を使用して認証されるときにすべてのユー
ザに適用されます。
• 「無動作時タイムアウト (分)」 - 事前設定された無動作時間の後に、 ユーザを SonicWALL セキュ
リティ装置からログアウトすることができます。 このフィールドに時間を分単位で入力します。
• 「ログイン セッション時間の制限 (分)」 - チェック ボックスを選択し、 「ログイン セッション時間の制限
(分)」 フィールドに時間を分単位で入力することにより、 ユーザが SonicWALL セキュリティ装置にロ
グインできる時間の長さを制限できます。 既定値は 30 分です。
• 「ユーザ ログイン状況ウィンドウを表示する」 - ユーザ ログイン状況ウィンドウにログアウト ボタンを表
示します。
• 「ログイン状況ウィンドウの更新間隔 (分)」 - 指定された分間隔でユーザ ログイン状況ウィンドウを更
新します。
• 「認証されたユーザのみにインターネットへのアクセスを許可する」 - SonicWALL セキュリティ装置で
設定されているユーザのみに、 インターネットへのアクセスを許可します。 この設定にチェックを付ける
と、 「除外リスト」 ボタンが使用可能になります。 「除外リスト」 ボタンを選択すると、 「除外リスト」
ウィンドウが表示されます。
除外リスト
「認証されたユーザのみにインターネットへのアクセスを許可する」 を選択して、 「除外リスト」 ボタンを選
択すると、 インターネット ユーザ認証からの除外を設定するための 「除外リスト」 ウィンドウが表示されま
す。
• 「常にこれらのサービスを許可する」 - 既定値は 「なし」 です。 ユーザが使用できるサービスを追加ま
たは削除できます。 サービスを追加するには、 メニューからサービスを選択して、 「追加」 を選択しま
す。 サービスを削除するには、 サービスのリストからサービスを選択して、 「削除」 を選択します。
• 「常にこれらの IP アドレス範囲を許可する」 - 指定した IP アドレスまたは IP アドレス範囲がユーザ認
証を回避できるようにします。 IP アドレスを追加するには、 最初のフィールドに IP アドレスを 1 つ入力
して、 「追加」 を選択します。 IP アドレス範囲を追加するには、 範囲の開始 IP アドレスを最初のフィー
ルドに入力し、 範囲の長さを次のフィールドに入力します (IP アドレスの最後の 3 つの値まで)。
• 「常にこれらの HTTP URL を許可する」 - ユーザ認証を回避する HTTP URL を指定できます。 URL
を追加するには、 「追加」 ボタンを選択します。 URL を入力し、 「OK」 を選択します。 URL を削除す
るには、 URL エントリを選択し、 「削除」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
219
第 28 章 : ユーザ状況の表示とユーザ認証の設定
規約の承諾
規約の承諾 (AUP) は、 ユーザがネットワークやインターネットにアクセスするために従う必要のあるポリ
シーです。 多くの企業や教育施設では、 社員や学生が SonicWALL セキュリティ装置を使用してネット
ワークやインターネットにアクセスする前に、 規約の承諾に同意するよう求めるのが一般的です。
「規約の承諾を要求する」 セクションでインターフェース 「LAN」、 「WAN」、 「DMZ」、 「OPT」、
「WLAN」、 または 「VPN」 を選択することで、 ユーザのログイン時に規約承諾メッセージを表示できま
す。 「LAN」 オプションは既定でオンになっています。 これらの設定をオフにすると、 AUP は表示されま
せん。
「規約承諾画面の内容」 フィールドの 「-- ここにテキストメッセージを入力してください。 --」 プレースホル
ダ テキストが表示されている場所にポリシーのテキストを入力します。 ページをフォーマットするために
HTML タグを追加できます。
「画面の確認」 を選択してユーザに表示される AUP ウィンドウを表示します。
「適用」 を選択して AUP メッセージを保存します。
9
ヒント 規約の承諾では、 メッセージの本文に HTML フォーマットを使用できます。
RADIUS 認証の設定
SonicWALL セキュリティ装置が RADIUS サーバからの認証を使用できるようにするには、 以下の手順
に従います。
1. 「ユーザ認証に RADIUS を使用する」 を選択します。
2. SonicWALL セキュリティ装置データベースに登録されているユーザのみを RADIUS を使用して認証す
る場合は、 「ローカルに登録されたユーザのみ許可する」 を選択します。
220
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ユーザ > 設定
3. 「設定」 を選択して、 SonicWALL セキュリティ装置での RADIUS サーバの設定を行います。
「RADIUS の設定」 ウィンドウが表示されます。
4. 「グローバル RADIUS 設定」 セクションで、 「RADIUS サーバ タイムアウト (秒)」 を定義します。 許
容範囲は 1 ~ 60 秒で、 既定値は 5 です。
5. 「再試行」 フィールドに、 SonicWALL セキュリティ装置が RADIUS サーバへの接続を試みる回数を定
義します。 RADIUS サーバが指定された試行回数内に応答しない場合、 接続が破棄されます。 この
フィールドの範囲は 0 ~ 10 ですが、 3 回の RADIUS サーバ試行をお勧めします。
6. 「RADIUS サーバ」セクションで、主格 RADIUS サーバの設定を指定します。 予備 RADIUS サーバが
ネットワーク上に存在する場合は、 オプションの副格 RADIUS サーバを定義できます。
7. 「IP アドレス」 フィールドに、 RADIUS サーバの IP アドレスを入力します。
8. RADIUS サーバの 「ポート番号」 を入力します。
9. 「共有鍵」 フィールドに、 RADIUS サーバの管理パスワードまたは " 共有鍵 " を入力します。 英数字の
共有鍵の長さは、 1 ~ 31 文字の範囲です。 共有鍵では大文字と小文字が区別されます。
10. 副格 RADIUS サーバが存在する場合は、 「副格サーバ」 セクションに適切な情報を入力します。
11. 「RADIUS ユーザ」 タブを選択します。
12. このセクションのすべての RADIUS ユーザについての既定権限を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
221
第 28 章 : ユーザ状況の表示とユーザ認証の設定
「インターネット アクセスを許可する (アクセス制限時)」 - 「認証されたユーザのみにインターネットへ
のアクセスを許可する」 を選択した場合は、 個々のユーザにインターネットへのアクセスを許可できま
す。
「フィルタのバイパスを許可する」 - ユーザに LAN からインターネットへの無制限のアクセスを許可し、
SonicWALL セキュリティ装置のウェブ、 ニュース、 Java、 および ActiveX の遮断をバイパスできる
ようにする場合は、 この機能を有効にします。
「VPN へのアクセスを許可する」 - 認証を執行して VPN 接続経由でユーザが情報を送信できるように
する機能を有効にします。
「XAUTH による VPN クライアントからのアクセスを許可する」 - ユーザが認証に XAUTH を要求し、
VPN クライアント経由で SonicWALL セキュリティ装置にアクセスする場合は、 この機能を有効にしま
す。
「L2TP による VPN クライアントからのアクセスを許可する」 - 認証を執行し L2TP VPN を使用して
ユーザが情報を送信できるようにするには、 この機能を有効にします。
「制限された管理機能へのアクセスを許可する」 - SonicWALL セキュリティ装置管理インターフェース
にユーザが制限付きでローカル管理アクセスできるようにするには、 この機能を有効にします。 このア
クセスは以下のページに限定されます。 「全般」 (状況、 ネットワーク、 時間)、 「ログ」 (ログ表示、
ログ設定、 ログ レポート)、 「診断」 (テクニカル サポート レポートを除くすべてのツール)。
13. 「適用」 を選択し、 「テスト」 タブを選択します。
14. 「ユーザ」 フィールドに有効なユーザ名を入力し、 「パスワード」 フィールドにパスワードを入力します。
15. 「テスト」 を選択します。 検証に成功した場合は、 「状況」 メッセージが 「成功」 に変わります。 検証に
失敗した場合は、 「状況」 メッセージが 「失敗」 に変わります。
16. 「OK」 を選択します。
SonicWALL セキュリティ装置を設定すると、 RADIUS 認証を必要とする VPN Security Association
は、 着信する VPN クライアントに対し、 ダイアログ ボックスにユーザ名とパスワードを入力するよう要求し
ます。
222
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 29 èÕ
第 29 章
ローカル ユーザの設定
ユーザ > ローカル ユーザ
ローカル ユーザの追加
SonicWALL セキュリティ装置の内部データベースにローカル ユーザを追加するには、 次の手順を実行しま
す。
1. 「ユーザの追加」 を選択して、 「ユーザの追加」 設定ウィンドウを表示します。
2. ユーザ名を作成し、 「ユーザ名」 フィールドに入力します。
3. ユーザのパスワードを作成し、 「パスワード」 フィールドに入力します。 パスワードでは大文字と小文字が
区別されます。 また、 家族、 友人、 ペットなどの名前ではなく、 文字と数字の組み合わせにする必要が
あります。
223
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 29 章 : ローカル ユーザの設定
4. 確認のため、 「パスワードの確認」 フィールドにパスワードを再入力します。
5. 以下の権限のリストから選択して、 ユーザに割り当てます。
「インターネット アクセスを許可する (アクセス制限時)」 - 「認証されたユーザのみにインターネットへ
のアクセスを許可する」 を選択した場合は、 個々のユーザにインターネットへのアクセスを許可できま
す。
「フィルタのバイパスを許可する」 - ユーザに LAN からインターネットへの無制限のアクセスを許可し、
SonicWALL セキュリティ装置のウェブ、 ニュース、 Java、 および ActiveX の遮断をバイパスできる
ようにする場合は、 この機能を有効にします。
「VPN へのアクセスを許可する」 - 認証を執行して VPN 接続経由でユーザが情報を送信できるように
する機能を有効にします。
「XAUTH による VPN クライアントからのアクセスを許可する」 - ユーザが認証に XAUTH を要求し、
VPN クライアント経由で SonicWALL セキュリティ装置にアクセスする場合は、 この機能を有効にしま
す。
「L2TP による VPN クライアントからのアクセスを許可する」 - 認証を執行し L2TP VPN を使用して
ユーザが情報を送信できるようにするには、 この機能を有効にします。
「制限された管理機能へのアクセスを許可する」 - SonicWALL 管理インターフェースにユーザが制限
付きでローカル管理アクセスできるようにするには、 この機能を有効にします。 このアクセスは以下の
ページに限定されます。 「全般」 (状況、 ネットワーク、 時間)、 「ログ」 (ログ表示、 ログ設定、 ロ
グ レポート)、 「モデム」 (状況、 設定、 フェイルオーバー、 ダイアルアップ プロファイル)、 「診断」
(テクニカル サポート レポートを除くすべてのツール)。
6. 「OK」 を選択します。
追加したユーザは、 その権限のリストとともに 「ローカル ユーザ」 テーブルに表示されます。 ユーザ情報
を編集するには、 「設定」 列にある編集
アイコンを選択します。 ユーザを削除するには、 削除
アイコンを選択します。
224
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第7部
ëÊ 7 ïî
セキュリティ サービス
SonicWALL SonicOS Standard 3 . 8管理者ガイド
225
:
226
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 30 章
SonicWALL セキュリティ サービスの管理
ëÊ 30 èÕ
SonicWALL セキュリティ サービス
SonicWALL, Inc. では、 ネットワークに階層化されたセキュリティを提供するさまざまな購読ベースのセキュ
リティ サービスを用意しています。 SonicWALL セキュリティ サービスは、 ネットワークとシームレスに統合し
て完全な保護を提供するように設計されています。
以下のセキュリティ サービスは、 SonicWALL セキュリティ装置の管理インターフェースの 「セキュリティ
サービス」 に一覧表示されています。
• SonicWALL コンテンツ フィルタ サービス
• SonicWALL ネットワーク アンチウィルス/電子メール フィルタ
• SonicWALL ゲートウェイ アンチウィルス
• SonicWALL 侵入防御サービス
• SonicWALL グローバル セキュリティ クライアント
9
ヒント SonicWALL セキュリティ装置を登録すると、 これらのサービスの無料トライアルを試行できます。
SonicWALL セキュリティ サービスは、 SonicWALL 管理インターフェースから直接、 または 〈https://
www.mysonicwall.com〉 から有効化および管理できます。
い。
補足 SonicWALL セキュリティ サービスの詳細については、 〈http://www.sonicwall.com〉 を参照してくださ
SonicWALL セキュリティ サービスの製品ドキュメントの詳細は、 SonicWALL セキュリティ 装置リ
ソース CD、
または 〈http://www.sonicwall.com/us/Support.html〉 の SonicWALL ドキュメント サイトを参照
補足 してください。
227
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 30 章 : SonicWALL セキュリティ サービスの管理
mysonicwall.com
mysonicwall.com には、 SonicWALL 製品およびサービスの登録、 有効化、 管理用の便利なワンス
トップ リソースが用意されています。 mysonicwall.com アカウントには、 以下を実行するためのプロファ
イルが 1 つあります。
• SonicWALL セキュリティ装置の登録
• SonicWALL セキュリティ サービスの無料トライアルの試行
• SonicWALL セキュリティ サービス ライセンスの購入/有効化
• SonicWALL ファームウェアおよびセキュリティ サービスのアップデートと警告の受け取り
• SonicWALL セキュリティ サービスの管理
• SonicWALL テクニカル サポートへのアクセス
mysonicwall.com アカウントの作成は簡単で無料です。 オンライン登録フォームに入力するだけです。 ア
カウントを作成すると、 SonicWALL セキュリティ装置に登録でき、 SonicWALL セキュリティ装置に関連
付けられた SonicWALL セキュリティ サービスを有効化できます。
mysonicwall.com アカウントへは、 ウェブ ブラウザによるインターネット接続で、 機密情報保護に
HTTPS (Hypertext Transfer Protocol Secure) を使用してアクセスできます。 mysonicwall.com ラ
イセンス サービスおよび登録サービスにはサービスの SonicWALL 管理インターフェースから直接アクセ
スでき、 使いやすくなりサービスの有効化が簡素化されます。
無料トライアルの有効化
mysonicwall.com で SonicWALL セキュリティ装置を登録すると、 以下の SonicWALL セキュリティ
サービスの 30 日間の無料トライアルを有効化できます。
• SonicWALL コンテンツ フィルタ サービス
• SonicWALL ネットワーク アンチウィルス/電子メール フィルタ
• SonicWALL ゲートウェイ アンチウィルス
• SonicWALL 侵入防御サービス
228
補足 SonicWALL セキュリティ装置の登録手順については、 第 2 章 「SonicWALL セキュリティ装置
の基本セットアップ」 を参照してください。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
セキュリティ サービス > 概要
セキュリティ サービス > 概要
「セキュリティ サービス > 概要」 ページには、 SonicWALL セキュリティ装置に使用できる SonicWALL
セキュリティ サービスとアップグレードが一覧表示され、 サービスを有効化する mysonicwall.com へのア
クセスが用意されています。
セキュリティ サービス > 概要
mysonicwall.com から現在使用できるサービスの一覧が、 「セキュリティ サービスの概要」 テーブルに
表示されます。 購読しているサービスは、 「状況」 カラムに 「購読済」 で表示されます。 ユーザ数にサー
ビスが限定されている場合は、 「ノード」 カラムに数が表示されます。 サービスの失効日は 「失効期日」
カラムに表示されます。
ライセンスの管理
「ライセンス管理」 ボタンを選択すると、 mysonicwall.com アカウント ライセンス情報にアクセスするため
の 「mySonicWALL ログイン」 ページが表示されます。 「ユーザ名」 フィールドと 「パスワード」 フィー
ルドに、 mysonicwall.com アカウントのユーザ名とパスワードをそれぞれ入力し、 「この内容を送付す
る」 を選択します。 「システム > ライセンス」 ページが 「サービスのオンライン管理」 テーブルに表示さ
れます。 「サービスのオンライン管理」 テーブルの情報は、 mysonicwall.com アカウントから更新され
ます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
229
第 30 章 : SonicWALL セキュリティ サービスの管理
管理インターフェースから mysonicwall.com アカウントに接続済みの場合は、 「サービスのオンライン管
理」 テーブルが表示されます。
SonicWALL セキュリティ装置が登録されていない場合
SonicWALL セキュリティ装置が登録されていない場合は、 「セキュリティ サービス > 概要」 ページに
「サービスの概要」 テーブルは含まれません。 SonicWALL セキュリティ装置を登録して、 「サービスの概
要」 テーブルに表示する必要があります。
Â
参照 SonicWALL セキュリティ装置の登録手順については、 第 2 章 「SonicWALL セキュリティ装置
の基本セットアップ」 を参照してください。
セキュリティ サービスの設定
• 同期 - 「同期」 を選択し、 mysonicwall.com アカウントからの SonicWALL セキュリティ装置のラ
イセンスおよび購読情報を更新します。
• ISDN 接続のためにアンチウィルスと電子メール トラフィックを抑える - この機能を選択すると、
SonicWALL アンチウィルスでアップデートを一日ごと (24 時間ごと) にのみチェックし、 " 常時 " イ
ンターネット接続していないユーザの送信トラフィックの頻度を減らすことができます。
• IPS、 ゲートウェイ アンチウィルスとアンチスパイウェアのデータベースを再ロード中、 全てのパケット
を破棄する - この機能を選択すると、 データベースがセキュリティ サービスのアップデートをロード中
にその他のトラフィックがすべて削除され、 更新を迅速に行うことができます。
• ゲートウェイ アンチウィルスおよびアンチスパイウェアの HTTP クライアント不要通知タイムアウト (秒)
- 同期イベント中に、 接続タイムアウトの通知までの最大時間 (秒) を設定します。
230
SonicWALL SonicOS Standard 3 . 8管理者ガイド
セキュリティ サービス > 概要
セキュリティ サービス情報
ここには、 SonicWALL セキュリティ装置に使用できるサービスの簡単な概要を説明します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
231
第 30 章 : SonicWALL セキュリティ サービスの管理
232
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 31 章
SonicWALL コンテンツ フィルタ サービスの
設定
ëÊ31 èÕ
SonicWALL コンテンツ フィルタ サービス
SonicWALL コンテンツ フィルタ サービス (CFS) は、 企業、 学校、 図書館の保護と生産性ポリシーを執
行するばかりでなく、 管理オーバーヘッド最小限度に抑えるとともに法的リスクおよびプライバシー リスクを減
らします。 SonicWALL CFS は、 数百万の URL、 IP アドレス、 ドメインの動的データベースを活用して、
好ましくない、 不適切な、 または非生産的ウェブ コンテンツを遮断します。 SonicWALL CFS の中心にある
のは、 すべてのウェブ コンテンツを世界中にある SonicWALL のコロケーション施設のデータベースと相互
参照する革新的な評価手法です。 評価は SonicWALL セキュリティ装置に返され、 管理者が策定したコンテ
ンツ フィルタ ポリシーと比較されます。 ウェブ サイトの要求は、 ほとんど瞬時に許可されるか、 ポリシーに
従ってサイトが遮断されたことをユーザに通知するウェブ ページが SonicWALL セキュリティ装置で生成され
ます。
SonicWALL CFS では、 ネットワーク管理者はプライバシーに関するキーワード、 時間、 信頼されたドメイ
ンおよび禁止するドメインの指定、 Cookie、 Java、 ActiveX などのファイル タイプに基づいて包括的なフィ
ルタを提供するフレキシブルなツールを持つことができます。 SonicWALL CFS は自動的にフィルタを更新す
るため、 メンテナンスが簡素化されています。
また、 SonicWALL CFS をカスタマイズして、 遮断リストに URL を追加または削除したり、 特定のキー
ワードを遮断したりすることもできます。 SonicWALL セキュリティ装置で遮断されるサイトにユーザがアクセ
スしようとすると、 ユーザの画面にカスタマイズされたメッセージが表示されます。 また、 SonicWALL セ
キュリティ装置を設定して、 SonicWALL コンテンツ フィルタ サービス データベース、 カスタム URL リスト、
およびキーワード リストにあるサイトへのアクセスの試行をログに記録して、 新しい使用制限を適用する前に
インターネットの使用を監視することもできます。
詳細については、 リソース CD または SonicWALL ドキュメンテーション ウェブ サイト 〈http://
www.sonicwall.com/us/Support.html〉
の 『SonicWALL コンテンツ フィルタ サービス管理者ガイド』 を参照し
補足 てください。
セキュリティ サービス > コンテンツ フィルタ
「セキュリティ サービス > コンテンツ フィルタ」 ページでは、 SonicWALL セキュリティ装置の 「ウェブの機能
性を制限する」 および 「信頼されたドメイン」 の設定値を設定できます。 これらは、 SonicOS に含まれてい
233
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 31 章 : SonicWALL コンテンツ フィルタ サービスの設定
ます。 「セキュリティ サービス > コンテンツ フィルタ」 ページでは、 SonicWALL コンテンツ フィルタ サー
ビスばかりでなくサードパーティのコンテンツ フィルタ製品も有効化して設定できます。
コンテンツ フィルタの状況
SonicWALL CFS を有効化している場合は、 「コンテンツ フィルタの状況」 セクションに、 コンテンツ フィ
ルタ サーバの状況および購読が失効する日時が表示されます。 失効の日時は、 協定世界時 (UTC)
フォーマットで表示されます。
また、 「ウェブサイトの検閲種別に関する質問、 及び検閲種別への新しい URL 登録に関しては、 ここを
選択してください」 のここの部分を選択して、 SonicWALL CFS 検閲種別の URL 登録要望書フォームに
アクセスすることもできます。
SonicWALL CFS が有効化されていない場合は、 有効化する必要があります。 有効化鍵を持っていな
い場合は、 SonicWALL の再販業者からまたは mysonicwall.com アカウントを通じて (米国およびカ
ナダのお客様に限定) SonicWALL CFS を購入する必要があります。
SonicWALL コンテンツ フィルタ サービスの有効化
SonicWALL CFS 購読の有効化鍵を持っている場合は、 次の手順に従って SonicWALL CFS を有効
にします。
S
234
警告 SonicWALL アンチウィルスを有効にするには、 mysonicwall.com アカウントを持っている必要
があり、 SonicWALL を登録する必要があります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
セキュリティ サービス > コンテンツ フィルタ
1. 「セキュリティ サービス > コンテンツ フィルタ」 ページの 「SonicWALL コンテンツ フィルタを購読しま
す」 リンクを選択します。 「mySonicWALL のログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 「システム > ライセンス」 ページが
表示されます。 SonicWALL セキュリティ装置が mysonicwall.com アカウントに既に接続されている
場合は、 「コンテンツ フィルタを購読します」 リンクを選択した後、 「システム > ライセンス」 ページが
表示されます。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで、 「購読」 または 「更新」 を選
択します。 「新しいライセンス キー」 フィールドに有効化鍵を入力し、 「この内容を送付する」 を選択
します。 SonicWALL CFS の購読が SonicWALL セキュリティ装置上で有効になります。
mysonicwall.com で SonicWALL CFS の購読を有効化すると、 その有効化は SonicWALL セキュリ
ティ装置上で 24 時間以内に自動的に反映されます。 また、 「セキュリティ サービス > 概要」 ページの
「同期」 ボタンを選択して SonicWALL セキュリティ装置を更新することもできます
SonicWALL コンテンツ フィルタ サービスの無料トライアルの有
効化
SonicWALL CFS の無料トライアルを有効化するには、 以下の手順に従います。
1. 「無料トライアル」 リンクを選択します。
「mySonicWALL ログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 「システム > ライセンス」 ページが
表示されます。 mySonicWALL セキュリティ装置が既に mysonicwall.com アカウントに接続されて
いる場合は、 「無料トライアル」 リンクを選択した後、 「システム > ライセンス」 ページが表示されま
す。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで 「無料トライアル」 を選択しま
コンテンツ フィルタの種類
SonicWALL SonicOS Standard 3 . 8管理者ガイド
235
第 31 章 : SonicWALL コンテンツ フィルタ サービスの設定
SonicWALL セキュリティ装置には 3 種類のコンテンツ フィルタがあります。
• SonicWALL CFS - 「コンテンツ フィルタの種類」 として 「SonicWALL CFS」 を選択すると、 アッ
プグレードとして入手できる SonicWALL コンテンツ フィルタ サービスを使用できます。 SonicWALL
コンテンツ フィルタ サービスに関する詳細は、 〈http://www.sonicwall.com/products/cfs.html〉 で確認
できます。
• N2H2 - N2H2は、 SonicWALL セキュリティ装置がサポートするサードパーティ コンテンツ フィルタ
ソフトウェア パッケージです。
• Websense Enterprise - Websense Enterprise も SonicWALL セキュリティ装置がサポートする
サードパーティ コンテンツ フィルタ ソフトウェア パッケージです。
フィルタを適用し、 ウェブの機能性を制限する - コンテンツ フィルタまたはウェブ機能の制限保護を適用す
る LAN または WLAN インターフェースを指定できます。
ウェブの機能性を制限する
「ウェブの機能性を制限する」 では、 有害なアプリケーションがネットワークに入り込むのを遮断することに
より、 ネットワーク セキュリティを強化できます。
「ウェブの機能性を制限する」 は SonicOS に含まれています。 次のいずれかのアプリケーションを選択し
て遮断します。
• ActiveX - ActiveX は、 ウェブ ページにスクリプトを埋め込むプログラミング言語です。 悪意のあるプ
ログラマが、 ActiveX を使用してファイルを削除したり、 セキュリティを低下させたりする可能性があり
ます。 「ActiveX」 チェック ボックスをオンにして、 ActiveX コントロールを遮断します。
• Java - Java は、 アプレットと呼ばれる小さなプログラムをウェブ サイト上でダウンロードおよび実行す
るために使用されます。 セキュリティ メカニズムが組み込まれているため、 ActiveX よりも安全です。
「Java」 チェック ボックスをオンにして、 Java アプレットをネットワークから遮断します。
• Cookie - ウェブ サーバは Cookie を使用してウェブの使用状況を追跡し、ユーザ ID を保存します。
Cookie は、 ウェブ アクティビティを追跡することによってユーザのプライバシーを漏えいする可能性が
あります。 「Cookie」 チェック ボックスをオンにして、 Cookie を無効にします。
• HTTP プロキシ サーバへのアクセス - WAN 上にプロキシ サーバが置かれているとき、 LAN ユーザ
は自分のコンピュータをプロキシ サーバに接続することによってコンテンツ フィルタを回避できます。 こ
のボックスをオンにして、 LAN ユーザが WAN 上のプロキシ サーバにアクセスできないようにします。
「コンテンツ フィルタの種類」 の 「フィルタを適用し、 ウェブの機能性を制限する」 設定から 「ウェブの機
能性を制限する」 保護を適用する 「LAN」 を選択できます。
信頼されたドメイン
信頼されたドメインを追加して、 「ウェブの機能性を制限する」 から特定のドメインのコンテンツを除外する
ことができます。 特定のドメインのコンテンツを信頼し、 「ウェブの機能性を制限する」 から除外するには、
以下の手順に従って追加します。
236
SonicWALL SonicOS Standard 3 . 8管理者ガイド
セキュリティ サービス > コンテンツ フィルタ
1. 「信頼されたドメインへの Java / ActiveX / Cookie を遮断しない」 を選択します。
2. 「追加」 を選択します。
「信頼されたドメインの追加」 ウィンドウが表示されます。
3. 「ドメイン名」 フィールドに、 信頼されたドメインの名前を入力します。
4. 「OK」 を選択します。 信頼されたドメインのエントリが 「信頼されたドメイン」 テーブルに追加されます。
信頼されたドメインのエントリを維持し、 「ウェブの機能性を制限する」 を有効にするには、 「信頼されたド
メインへの Java / ActiveX / Cookie を遮断しない」 をオフにします。
信頼されたドメインを個別に削除するには、 エントリの削除
アイコンを選択します。
信頼されたドメインをすべて削除するには、 「すべて削除」 ボタンを選択します。
信頼されたドメインを編集するには、 編集
アイコンを選択します。
CFS 除外リスト
IP アドレスの範囲を CFS 除外リストに追加することができます。
IP アドレスの範囲を CFS 除外リストに手動で追加するには、 以下の手順に従います。
1. 「CFS 除外リストを有効にする」 チェックボックスをオンにします。
2. 「追加」 を選択します。
「CFS 登録の追加」 ウィンドウが表示されます。
3. 開始 IP アドレス フィールドに開始 IP アドレスを入力し、終了 IP アドレス フィールドに終了 IP アドレスを入
力します。
4. 「OK」 を選択します。 IP アドレス範囲が CFS 除外リストに追加されます。
CFS 除外リストのエントリをそのままにしてこれらのサイトへのアクセスを一時的に許可するには、 「CFS
除外リストを有効にする」 チェック ボックスをオフにします。 信頼されたドメインを個別に削除するには、 エ
ントリの 「ごみ箱」 アイコンを選択します。 信頼されたドメインをすべて削除するには、 「すべて削除」 ボ
タンを選択します。 信頼されたドメインを編集するには、 「メモ帳」 アイコンを選択します。
遮断の発生を知らせるメッセージ
遮断されたサイトへのアクセスが試行されたときに表示する、 個別のテキストを入力します。 既定のメッ
セージは、 「このサイトは、 ネットワーク管理者により遮断されています」 です。 このフィールドには、 埋
め込みの HTML を含む最大 255 文字のメッセージを入力できます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
237
第 31 章 : SonicWALL コンテンツ フィルタ サービスの設定
SonicWALL フィルタ プロパティの設定
「CFS のプロパティ」 ウィンドウから、 SonicOS Standard に付属の SonicWALL セキュリティ装置の
フィルタ機能をカスタマイズすることができます。 「CFS のプロパティ」 ウィンドウを表示するには、 「セ
キュリティ サービス > コンテンツ フィルタ」 ページの 「コンテンツ フィルタの種類」 メニューから
「SonicWALL CFS」 を選択し、 「設定」 を選択します。 「CFS のプロパティ」 ウィンドウが表示されま
す。
補足 SonicWALL プレミアム コンテンツ フィルタ サービスを有効化している場合は、 「CFS のプロパ
ティ」 ウィンドウに、 追加の設定ページ、 「CFS」 および 「URL リスト」 ページが表示されます。 詳細に
ついては、 リソース CD または SonicWALL ドキュメンテーション ウェブ サイト 〈http://www.sonicwall.com/support/documentation.html 〉 の 『SonicWALL プレミアム コンテンツ フィルタ サービス管理者
ガイド』 を参照してください。
URL リスト
「URL リスト」 ページでは、 好ましくないカテゴリを指定することができます。 一般的に選択されるカテゴリ
には、 「暴力/憎悪/人種差別」、 「ヌード」、 「ポルノ」、 「武器」、 「アダルト/成人向けコンテンツ」、
「薬物/違法薬物」、 「酒類/タバコ」 などがあります。
これらのカテゴリを基に URL を遮断するには、 遮断するカテゴリを選択して 「OK」 ボタンを選択し、 変
更を適用します。
238
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL フィルタ プロパティの設定
CFS
「CFS」 ページでは、 グローバル CFS 設定値に対して一般的な変更を加えることができます。
CFS サーバが使用できなくなった場合、 「CFS 設定」 セクションで、 「すべてのウェブ サイトへのトラ
フィックを許可する」 を 「すべてのウェブ サイトへのトラフィックを遮断する」 に変更することができます。 ト
ラフィックが遮断されるまでの時間の長さを 「秒以上サーバが利用できない場合に、」 フィールドで設定で
きます。
CFS で制御されている URL への接続が試行された場合にアクセスを遮断するには、 「遮断する」 オプ
ションをオンにします。 また、 「ログする」 チェック ボックスをオンにして、 CFS で制御されている URL へ
の接続の試行をすべてログに記録して保存することもできます。
「URL キャッシュ」 セクションでは、 CFS キャッシュの 「キャッシュ サイズ (KB)」 をキロバイト単位で調
整することができます。
「コンテンツ フィルタの検閲種別について」 セクションでは、 ウェブ サイトが不適切に評価されていると考え
られる場合や新しい URL を CFS データベースに送信したい場合に、 SonicWALL サポートに問い合わ
せることができます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
239
第 31 章 : SonicWALL コンテンツ フィルタ サービスの設定
個別検閲指定
「個別検閲指定」 ページでは、 許可または禁止されるドメインや遮断するキーワードを指定することができ
ます。
閲覧を許可/禁止するドメイン
URL リストをカスタマイズして、 「閲覧を許可するドメイン」 や 「閲覧を禁止するドメイン」 を含めることが
できます。 URL リストをカスタマイズして、 アクセス、 遮断する特定のドメインを含めたり、 サイトをブロッ
クする特定のキーワードを含めることができます。 「ドメイン閲覧の許可/禁止を有効にする」 チェック
ボックスをオンにして、 この機能を有効にします。
コンテンツ フィルタ リストで遮断されているウェブ サイトへのアクセスを許可するには、 「追加」 を選択し
て、 "www.ok-site.com" など、 ホスト名を 「閲覧を許可するドメイン」 フィールドに入力します。 「閲覧
を許可するドメイン」 リストには、 256 のエントリを追加できます。
コンテンツ フィルタ サービスで遮断されないウェブ サイトを遮断するには、 「追加」 を選択し、
"www.bad-site.com" など、 ホスト名を 「閲覧を禁止するドメイン」 フィールドに入力します。
禁止するドメイン」 リストには、 256 のエントリを追加できます。
S
「閲覧を
警告 「閲覧を許可するドメイン」 または 「閲覧を禁止するドメイン」 フィールドでは、 開始文字列
“http://” を使用しないでください。 すべてのサブドメインが影響を受けます。 たとえば、 “yahoo.com”
と入力すると、 “maill.yahoo.com” や “my.yahoo.com” などに適用されます。
信頼されたドメインまたは閲覧を禁止するドメインを削除するには、 該当するリストから選択し、 削除を選
択します。 ドメインが削除されると、 「状況」 バーに 「レディ」 が表示されます。
キーワード検閲による遮断
「キーワード」 の使用による遮断を有効にするには、 「キーワード検閲による遮断を有効にする」 を選択し
ます。 「追加」 を選択し、 遮断するキーワードを 「キーワードの追加」 フィールドに入力して 「OK」 を選
択します。
キーワードを削除するには、 リストから選択し、 「削除」 を選択します。 キーワードが削除されると、 「状
況」 バーに 「レディ」 が表示されます。
240
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL フィルタ プロパティの設定
閲覧を許可するドメイン以外のすべてのウェブ トラフィックを無効にする
「閲覧を許可するドメイン以外のすべてのウェブ トラフィックを無効にする」 チェック ボックスをオンにする
と、 SonicWALL セキュリティ装置では 「閲覧を許可するドメイン」 リストのサイトへのウェブ アクセスの
みが許可されます。 綿密なスクリーニングを実行した場合、 これはポルノや他の好ましくない題材の遮断
に 100%近い効果があります。
設定
「設定」 ページでは、 「個別検閲指定」 ページで指定された好ましくない URL の検閲が有効になる時間
帯を指定できます。 例えば、 通常の営業時間中に従業員のインターネット アクセスを検閲し、 夜間や週
末にアクセスの制限を解除するように SonicWALL セキュリティ装置を設定することができます。
• 検閲を常時有効にする - 検閲が常時適用されます。
• 次の時間帯に検閲を有効にする - 検閲は指定した日時の間に適用されます。 24 時間形式で時間帯
を時フィールドと分フィールドに入力し、 メニューから週の開始日と終了日を選択します。
時限閲覧規約
SonicWALL SonicOS Standard 3 . 8管理者ガイド
241
第 31 章 : SonicWALL コンテンツ フィルタ サービスの設定
「時限閲覧規約」 タブでは、 指定されたコンピュータにコンテンツ フィルタを適用し、 他のコンピュータにオ
プションの検閲を適用することができます。 時限閲覧規約を設定して、 ウェブ閲覧を許可する前に 「規約
の承諾」 ウィンドウに示されている条件に同意することをユーザに求めることができます。
「時限閲覧規約」 プロパティを有効にするには、 「規約の承諾を要求する」 を選択します。
• 閲覧許可時間 (分) - 教室や図書館など、 コンピュータの台数以上にユーザが存在する環境では、
多くの場合時間制限が適用されます。 SonicWALL セキュリティ装置を使用して、 閲覧時間の期限が
切れたときに 「時限閲覧規約」 ページの URL フィールドで定義されたページを表示してユーザに通知
することができます。 「閲覧許可時間」 フィールドに分単位で時間制限を入力します。 既定値のゼロ
(0) を入力すると、 この機能は無効になります。
• 無動作時タイムアウト (分) - ウェブ ブラウザで一定時間の間操作が行われなかった場合、
SonicWALL セキュリティ装置は、 インターネットにもう一度アクセスする前に 「時限閲覧規約」 ペー
ジで示されている条件に同意するようにユーザに求めます。 値を設定するには、 「ユーザ」 ウィンドウ
へのリンクに従って、 「ユーザ アイドル タイムアウト」 セクションに必要な値を入力します。
• 規約選択画面 (検閲の選択) - ユーザが同意を必要とするコンピュータ上でウェブ ブラウザを開くと、
規約承諾画面が表示され、 コンテンツ フィルタありまたはなしでインターネットにアクセスするオプション
が示されます。 このページは、 ウェブ サーバ上に存在し、 ネットワーク上でユーザが URL としてアク
セス可能である必要があります。 これには、 「規約の承諾 (AUP)」 のテキストまたはリンクを含める
ことができます。 このページは、 SonicWALL セキュリティ装置に含まれる 2 つのページへのリンクを
含む必要があります。 これらのページを選択した場合、 ユーザが検閲されたアクセスを求めるか検閲さ
れないアクセスを求めるかどうかを SonicWALL セキュリティ装置に通知します。 検閲されないアクセ
スのリンクは <192.168.168.168 / iAccept.html> である必要があります。 また、 検閲されたアク
セスのリンクは <192.168.168.168 / iAcceptFilter.html> である必要があります。 ここで、
“192.168.168.168” の代わりに SonicWALL セキュリティ装置の LAN IP アドレスを使用します。
• 規約承諾画面 (検閲を無効にする) - 「時限閲覧規約」 ページで示されている条件をユーザが受け
入れて、 「コンテンツ フィルタ」 の保護なしのインターネット アクセスを選択すると、 選択を確認する
ウェブ ページがユーザに表示されます。 このページの URL を 「規約承諾画面 (検閲を無効にする)」
フィールドに入力します。 このページは、 ウェブ サーバ上に存在し、 ネットワーク上でユーザが URL
としてアクセス可能である必要があります。
• 規約承諾画面 (検閲を有効にする) - 「時限閲覧規約」 ページで示されている条件をユーザが受け
入れて、 「コンテンツ フィルタ」 の保護ありのインターネット アクセスを選択すると、 ユーザは選択を確
認するウェブ ページに表示されます。 このページの URL を 「規約承諾画面 (検閲を有効にする)」
フィールドに入力します。 このページは、 ウェブ サーバ上に存在し、 ネットワーク上でユーザが URL
としてアクセス可能である必要があります。
検閲を強制にする IP アドレス
規約承諾画面 (検閲を強制にする)
強制のコンテンツ フィルタを使用するコンピュータ上でウェブ ブラウザを開くと、 規約承諾画面が表示され
ます。 ウェブ ブラウザを開いたときに表示されるウェブ ページを作成する必要があります。 これには、 「規
約の承諾」 のテキストおよび違反はログに記録され、 遮断されることを伝える通知を含めることができま
す。
このウェブ ページは、 ウェブ サーバ上に存在し、 LAN 上でユーザが URL としてアクセス可能である必要
があります。 このページは、 ユーザが検閲を有効にすることに同意していることを SonicWALL セキュリ
ティ装置に通知する、 SonicWALL セキュリティ装置内のページへのリンクを含んでいる必要もあります。
このリンクは、 <192.168.168.168 / iAcceptFilter.html> である必要があります。 ここで、
“192.168.168.168” の代わりに SonicWALL セキュリティ装置の LAN IP アドレスを使用します。
このページの URL を 「規約承諾画面 (検閲を強制にする)」 フィールドに入力し、 「OK」 を選択します。
SonicWALL セキュリティ装置が更新された後、 ウェブ ブラウザ ウィンドウの一番下に更新を確認するメッ
セージが表示されます。
242
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL フィルタ プロパティの設定
新しいアドレスの追加
SonicWALL セキュリティ装置を設定して、 LAN 上の特定のコンピュータにコンテンツ フィルタを適用でき
ます。 「追加」 を選択して、 「強制検閲を執行する IP アドレスの追加」 ウィンドウを表示します。
これらのコンピュータの IP アドレスを 「新規アドレスの追加」 フィールドに入力し、 「この内容を送付する」
を選択します。 最大 128 の IP アドレスを入力できます。
検閲するコンピュータのリストからコンピュータを削除するには、 「検閲を強制にする IP アドレス」 リストの
IP アドレスを強調表示し、 「削除」 を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
243
第 31 章 : SonicWALL コンテンツ フィルタ サービスの設定
244
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 32 章
SonicWALL アンチ ウィルス サービスおよ
び電子メール フィルタ サービスの管理
ëÊ 32 èÕ
SonicWALL クライアント/サーバ アンチ ウィルス
ウィルスの広範囲感染は、 小規模のオフィスのウィルス対策に対する問題の本質を示しています。 最新の
ウィルス定義ファイルのないユーザは、 ウィルスを増殖させ他の多くのユーザおよびネットワークに悪影響を
及ぼすことになります。 ウィルスの性質により、 通常、 アンチウィルス製品ではすべての PC に定期的で積極
的なメンテナンスが必要になります。 新しいウィルスが検出された場合は、 組織内に配備されているすべての
アンチウィルス ソフトウェアを最新のウィルス定義ファイルで更新する必要があります。 その更新を行わない
と、 アンチウィルス ソフトウェアの有効性が大幅に制限され、 生産的な作業時間が遮断されます。
SonicWALL クライアント/サーバ アンチウィルスは、 このような事態の発生を防ぎ、 ウィルス対策に対する
新しい対応を提供する SonicWALL 購読サービスです。 SonicWALL セキュリティ装置は定期的にウィルス
定義ファイルのバージョンを監視し、 各ユーザのコンピュータに新しいウィルス定義を自動的にダウンロードし
てインストールします。 さらに、 SonicWALL セキュリティ装置は、 ネットワーク ユーザが保護されるまでイン
ターネットへのアクセスを制限するため、 会社のウィルス対策ポリシーの適用機能を果たします。 この新しい
アプローチにより、 ウィルス定義ファイルの最新バージョンがインストールされ、 ネットワーク上の各 PC で有
効となり、 不正アクセスしたユーザによってウィルス対策が無効になり、 組織全体が感染することがないよう
にできます。
設定手順の詳細については、 SonicWALL のドキュメント ウェブ サイト
〈http://www.sonicwall.com/us/Support.html〉
の 『SonicWALL クライアント アンチウィルス管理者ガイド』 を
補足 参照してください。
245
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 32 章 : SonicWALL アンチ ウィルス サービスおよび電子メール フィルタ サービスの管理
セキュリティ サービス > クライアント AV 執行
SonicWALL クライアント/サーバ アンチウィルスが無効な場合は、 「セキュリティ サービス > クライアン
ト AV 執行」 ページにアップグレードの必要性を示すメッセージが表示され、 SonicWALL CFS ライセン
スまたは無料トライアル バージョンを有効化するためのリンクが表示されます。
有効化鍵を取得していない場合は、 SonicWALL の再販業者から、 または mysonicwall.com アカウン
ト (アメリカ合衆国およびカナダのお客様に限定) を通して SonicWALL クライアント/サーバ アンチウィ
ルスを購入する必要があります。 有効化鍵を取得済みの場合は、 このページで SonicWALL クライアント
/サーバ アンチウィルスを有効にできます。
SonicWALL セキュリティ装置で SonicWALL クライアント/サーバ アンチウィルスが有効の場合は、
「セキュリティ サービス > クライアント AV 執行」 ページにステータス情報と構成設定へのアクセスが含ま
れます。
補足 SonicWALL セキュリティ装置へのクライアント/サーバ アンチウィルスの設定手順の詳細につい
ては、 SonicWALL ドキュメント ウェブ サイト 〈http://www.sonicwall.com/us/Support.html〉 の
『SonicWALL クライアント/サーバ アンチウィルス管理者ガイド』 を参照してください。
SonicWALL クライアント/サーバ アンチ ウィルスの有効化
SonicWALL クライアント/サーバ アンチウィルスの購読の有効化鍵を取得済みの場合は、 以下の手順
に従って SonicWALL クライアント/サーバ アンチウィルスを有効化します。
S
246
警告 mysonicwall.com アカウントが必要で、 SonicWALL に登録して SonicWALL クライアント/
サーバ アンチウィルスを有効化する必要があります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
セキュリティ サービス > 電子メール フィルタ
1. 「セキュリティ サービス > クライアント AV 執行」 ページの 「SonicWALL クライアント アンチウィルスの
購読」 リンクを選択します。 「mySonicWALL ログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 「システム > ライセンス」 ページが
表示されます。 SonicWALL セキュリティ装置が既に mysonicwall.com アカウントに接続されている
場合は、 「SonicWALL クライアント アンチウィルスの購読」 リンクを選択すると、 「システム > ライセ
ンス」 ページが表示されます。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで、 「購読」 または 「更新」 を選
択します。 「新しいライセンス キー」 フィールドに有効化鍵を入力し、 「この内容を送付する」 を選択し
ます。 SonicWALL クライアント/サーバ アンチウィルスの購読が、 SonicWALL セキュリティ装置で
有効化されます。
〈www.mysonicwall.com〉 で SonicWALL クライアント/サーバ アンチウィルスを有効化すると、 その有効
化は SonicWALL セキュリティ装置上で 24 時間以内に自動的に反映されます。 また、 「セキュリティ
サービス > 概要」 ページの 「同期」 ボタンを選択して SonicWALL セキュリティ装置を更新することもで
きます。
SonicWALL クライアント/サーバ アンチ ウィルスの有効化無料
トライアル
以下の手順を実行すると、 SonicWALL クライアント/サーバ アンチウィルスの無料トライアルを試用でき
ます。
S
警告 mysonicwall.com アカウントが必要で、 SonicWALL に登録して SonicWALL クライアント/
サーバ アンチウィルスを有効化する必要があります。
1. 「無料トライアル」 リンクを選択します。 「mySonicWALL ログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 「システム > ライセンス」 ページが
表示されます。 mySonicWALL セキュリティ装置が既に mysonicwall.com アカウントに接続されて
いる場合は、 「無料トライアル」 リンクを選択した後、 「システム > ライセンス」 ページが表示されま
す。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで 「無料トライアル」 を選択しま
す。 SonicWALL クライアント/サーバ アンチウィルスの購読が、 SonicWALL で有効化されます。
efupgradeneeded
セキュリティ サービス > 電子メール フィルタ
「セキュリティ サービス > 電子メール フィルタ」 ページを使用すると、 管理者は受信電子メールがセキュリ
ティ装置を通過するときに電子メール添付ファイルを削除または無効にするように選択できます。 この機能
により、 電子メール添付ファイルとして送信される実行可能ファイルとスクリプト、 およびアプリケーション
が制御されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
247
第 32 章 : SonicWALL アンチ ウィルス サービスおよび電子メール フィルタ サービスの管理
電子メール フィルタは SonicWALL クライアント/サーバ アンチウィルスに含まれています。 クライアント
/サーバ アンチウィルスを有効化すると、 「セキュリティ サービス > 電子メール フィルタ」 ページの設定
が表示されます。
SonicWALL ネットワークの設定アンチウィルス
SonicWALL クライアント/サーバ アンチウィルス ライセンスまたは無料トライアル バージョンを有効化し
た場合は、 設定手順の詳細については、 SonicWALL ドキュメント ウェブ サイト 〈http://www.sonicwall.com/us/support/〉 の 『SonicWALL クライアント アンチウィルス管理者ガイド』 を参照してください。
248
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 33 章
SonicWALL ゲートウェイ アンチウィルス
サービスの管理
ëÊ 33 èÕ
SonicWALL ゲートウェイ アンチウィルスの概要
SonicWALL ゲートウェイ アンチウィルスは、 精密パケット検査走査エンジンを使用してウィルス、 ワーム、
トロイの木馬、 およびソフトウェア脆弱性に対する総合的なリアルタイム防御を提供するソリューションであり、
SonicWALL ゲートウェイ アンチウィルス/進入防御サービス ソリューションの一部を成しています。
SonicWALL の独特なソリューションは、 パケットをファイル内にコピーしてそのファイルを走査するのではなく
パケット単位を基準にウィルスを走査する高性能精密パケット検査手法を特長としています。 SonicWALL
ゲートウェイ アンチウィルスは、 任意のサイズのファイルおよびユーザあたり無制限のファイル数を解析できる
容量を備えており、 究極のスケーラビリティを実現します。
SonicWALL ゲートウェイ アンチウィルスを有効にすると、 SonicWALL 侵入防御サービスも有効になり、
総合的なリアルタイム ゲートウェイ アンチウィルスおよび侵入防御が実現します。 SonicWALL ゲートウェイ
アンチウィルス/ SonicWALL 侵入防御サービスは多種多様な動的脅威に対してゲートウェイからネットワー
クをセキュリティで保護します。 クライアント ソフトウェアは不要です。
SonicWALL セキュリティ装置上で SonicWALL 侵入防御サービス 2.0 を有効にし、 設定および管
理する手順の詳細については、
『SonicWALL 侵入防御サービス 2.0 管理者ガイド』 を参照してください。
補足 SonicWALL ゲートウェイ アンチウィルスは、 ダウンロードされたファイルや電子メール ファイルを動的に更
新された、 脅威度の高いウィルス手口の広範なデータベースと一致するかを確認することで、 SonicWALL
セキュリティ装置上で脅威に対する保護を直接実現します。 ウィルス攻撃は、 従業員のデスクトップに到達す
る前に捕捉され、 抑止されます。 新しい手口は、 SonicWALL の SonicAlert Team、 サードパーティ ウィ
ルス解析者、 オープンソース開発者、 および他のソースの組み合わせにより作成され、 データベースに追加
されます。
SonicWALL ゲートウェイ アンチウィルスを設定して、 内部の脅威ばかりでなくネットワーク外部で発生する
脅威からも保護することができます。 SonicWALL ゲートウェイ アンチウィルスは、 SMTP、 POP3、
IMAP、 HTTP、 FTP、 NetBIOS、 インスタント メッセージングおよびピアツーピア アプリケーション、 他の
多数のストリームベース プロトコルなど、 多様なプロトコル上で動作し、 総合的なネットワーク脅威の防御お
よび制御機能を管理者に提供します。 悪意のあるコード、 ウイルス、 およびワームを含んだファイルは、 圧
縮によって従来のアンチウィルス ソリューションではアクセスできない可能性があるため、 SonicWALL ゲー
トウェイ アンチウィルスには、 パケット単位でファイルを自動的に解凍し走査する高度な解凍技術が統合され
ています。
SonicWALL ゲートウェイ アンチウィルス/侵入防御の機能
• リアルタイム アンチウィルス ゲートウェイ走査 - SonicWALL ゲートウェイ アンチウィルス/侵入防御
サービスは、 ウィルス、 ワーム、 その他のインターネット関連の脅威を走査する、 特許申請中の精密パ
ケット検査ウィルス走査エンジンを介してインテリジェントなファイルベースのウィルスおよび悪意のあるコー
ドに対する防御機能を企業ネットワーク上でリアルタイムに提供します。
• 強力な侵入防御 - SonicWALL ゲートウェイ/侵入防御サービスは、 パケット ペイロードを走査し、
ワーム、 トロイの木馬、 ソフトウェアの脆弱性 (たとえばバッファ オーバーフロー)、 ピアツーピア アプリ
249
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 33 章 : SonicWALL ゲートウェイ アンチウィルス サービスの管理
•
•
•
•
ケーション、 インスタント メッセンジャー アプリケーション、 裏口侵入企図、 およびその他の悪意のあ
るコードを検索することによって、 ネットワークベースのアプリケーション層をさまざまな脅威から完全に
保護します。
精密パケット検査技術の統合 - SonicWALL ゲートウェイ アンチウィルス/侵入防御サービスは特許
申請中の高性能精密パケット検査エンジンを特長としています。 このエンジンは、 アプリケーション層を
通じて並列探索アルゴリズムを使用し、 従来のステートフルパケット検査ファイアウォールで提供される
ものよりも強化されたアプリケーション層、 ウェブおよび電子メール、 攻撃防御機能を提供します。 並
列処理はプロセッサのパフォーマンスに対する影響を軽減し、 SonicWALL セキュリティ装置で最大限
にメモリを使えるようにして、 卓越したスループットを実現します。
広範なウィルス手口リスト - SonicWALL ゲートウェイ アンチウィルス/侵入防御サービスは、 数千
もの攻撃および脆弱性手口の記述を含んだ広範なデータベースを利用して、 侵入、 ウイルス、 ワー
ム、 アプリケーション悪用、 ピアツーピアおよびインスタント メッセージング アプリケーションの使用を検
出し阻止します。
アプリケーション制御 - SonicWALL ゲートウェイ アンチウィルス/侵入防御サービスを使用すること
により、 ネットワーク管理者はインスタント メッセージングの使用および ピアツーピア ファイル共有プロ
グラムがファイアウォールをすり抜けて稼動するのを監視および管理し、 ネットワークの脅かしに用いら
れる可能性のある裏口を閉鎖できる一方、 従業員の生産性向上およびインターネット帯域幅の確保も
可能になります。
配備および管理の簡略化 - SonicWALL ゲートウェイ アンチウィルス/侵入防御サービスでは、 ネッ
トワーク管理者がセキュリティ ゾーン間のグローバル ポリシーを作成し、 攻撃を優先度別に分類するこ
とによって、 分散型ネットワーク全体の配備および管理を簡略化できます。
gavenforcement
SonicWALL ゲートウェイ アンチウィルスの有効化
SonicWALL セキュリティ装置上に SonicWALL ゲートウェイ アンチウィルスがインストールされていない
場合、 「セキュリティ サービス > ゲートウェイ アンチウィルス」 ページにアップグレードの必要性を示すメッ
セージが表示され、 そのサービスを SonicWALL セキュリティ装置の管理インターフェースから有効化す
るためのリンクが組み込まれます。
SonicWALL セキュリティ装置がインターネットに接続され、 mysonicwall.com で登録されている場合
は、 SonicWALL ゲートウェイ アンチウィルスの 30 日無料トライアルを有効化するか、 SonicWALL 管
理インターフェース . から SonicWALL ゲートウェイ アンチウィルス ライセンスを直接有効化することができ
ます。 SonicWALL セキュリティ装置を登録するために mysonicwall.com アカウントを作成する必要が
ある場合は、 SonicWALL 管理インターフェースから直接作成することができます。
SonicWALL ゲートウェイ アンチウィルスは、 ウィルス、 ワーム、 トロイの木馬、 その他の脆弱性に対す
る総合的な防御を提供する統合された SonicWALL ゲートウェイ アンチウィルス/侵入防御サービスの一
部です。 SonicWALL ゲートウェイ アンチウィルスを有効化すると、 SonicWALL 侵入防御サービスも有
効化されます。
250
補足 SonicWALL セキュリティ装置上で SonicWALL 侵入防御サービス 2.0 を有効にし、 設定および
管理する手順の詳細については、 『SonicWALL 侵入防御サービス 2.0 管理者ガイド』 を参照してくださ
い。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL ゲートウェイ アンチウィルスの概要
mysonicwall.com アカウントには、 ウェブ ブラウザを使用して 〈https://www.mysonicwall.com〉 にイン
ターネットで接続してアクセスすることもできます。 mysonicwall.com は HTTPS (Hypertext Transfer
Protocol Secure) プロトコルを使って機密情報を保護しています。
SonicWALL セキュリティ装置上で SonicWALL ゲートウェイ アンチウィルスのライセンスが有効化されて
いない場合は、 そのライセンスを SonicWALL の再販業者から、 または mysonicwall.com アカウント
(アメリカ合衆国およびカナダのお客様に限定) を通して購入する必要があります。
〈https://www.mysonicwall.com〉 で SonicWALL ゲートウェイ アンチウィルスの購読を有効化すると、 そ
の有効化は SonicWALL セキュリティ装置上で 24 時間以内に自動的に反映されます。 また、 「セキュリ
ティ サービス > 概要」 ページの 「同期」 ボタンを選択して SonicWALL セキュリティ装置を更新することも
できます。
mysonicwall.com の登録情報は、 販売されたり、 他の企業と共有されたりすることはありません。
SonicWALL ゲートウェイ アンチウィルスの有効化
SonicWALL ゲートウェイ アンチウィルスの有効化鍵を持っている場合は、 次の手順に従ってサービスを
有効にします。
1. 「セキュリティ サービス > ゲートウェイ アンチウィルス」 ページで、 「SonicWALL ゲートウェイ アンチ
ウィルスを購読するには、 ここを選択してください」 リンクを選択します。 「mySonicWALL ログイン」
ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 SonicWALL セキュリティ装置が既
に mysonicwall.com アカウントに登録されている場合は、 「システム > ライセンス」 ページが表示さ
れます。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで、 「購読」 または 「更新」 を選
択します。
4. 「新しいライセンス キー」 フィールドに有効化鍵を入力し、 「この内容を送付する」 を選択します。
SonicWALL ゲートウェイ アンチウィルスの購読が SonicWALL セキュリティ装置上で有効になりま
す。
mysonicwall.com で SonicWALL ゲートウェイ アンチウィルスの購読を有効化すると、 その有効化は
SonicWALL セキュリティ装置上で 24 時間以内に自動的に反映されます。 また、 「セキュリティ サービス
> 概要」 ページの 「同期」 ボタンを選択して SonicWALL セキュリティ装置を更新することもできます。
SonicWALL ゲートウェイ アンチウィルスの有効化無料トライア
ル
SonicWALL ゲートウェイ アンチウィルスの無料トライアルを有効化するには、 以下の手順に従います。
1. 「無料トライアル」 リンクを選択します。
「mySonicWALL ログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 mySonicWALL セキュリティ装置
が既に mysonicwall.com アカウントに接続されている場合は、 「無料トライアル」 リンクを選択した
後、 「システム > ライセンス」 ページが表示されます。
3. 「サービスのオンライン管理」 テーブルの 「無料トライアル」 カラムで 「試用する」 を選択します。
SonicWALL ゲートウェイ アンチウィルスのトライアル購読が SonicWALL セキュリティ装置上で有効
になります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
251
第 33 章 : SonicWALL ゲートウェイ アンチウィルス サービスの管理
SonicWALL ゲートウェイ アンチウィルスの設定
SonicWALL ゲートウェイ アンチウィルスが有効化された後は、 「セキュリティ サービス > アンチウィルス」
ページに、 SonicWALL セキュリティ装置上でのサービス管理のための構成設定値が表示されます。
SonicWALL コンテンツ フィルタ サービスのライセンスまたは無料トライアル バージョンを既に有効化して
いる場合は、 設定指示の詳細について、 SonicWALL の 「ドキュメント」 ウェブ サイト 〈http://
www.sonicwall.com/us/Support.html〉 で、 『SonicWALL ゲートウェイ アンチウィルス管理者ガイド』 を参
照してください。
インターフェース上での SonicWALL GAV 保護の適用
SonicWALL GAV を有効にするには、 「インターフェース上でゲートウェイ アンチウィルスを有効にする」
ボックスをオンにして、 SonicWALL GAV による保護を有効にしたいインターフェースのボックスをオンに
します。 ご使用の SonicWALL セキュリティ装置のモデルに応じて、 WAN ポート、 LAN ポート、 DMZ
ポート、 OPT ポートまたは WLAN ポートを選択できます。 インターフェースを選択したら、 「適用」 を選
択します。 WAN および LAN インターフェースを選択することをお勧めします。
SonicWALL GAV のステータス情報の表示
「ゲートウェイ アンチウィルス状況」 セクションには、 アンチウイルス手口データベースの状態 (たとえば、
データベースのタイムスタンプ、 SonicWALL 手口サーバに最新版データベースがあるかどうかがチェック
された最終日時など) が表示されます。 SonicWALL セキュリティ装置は、 起動時および 1 時間ごとに自
動的にデータベースの同期化を試みます。
「ゲートウェイ アンチウィルス状況」 セクションには、 次の情報が表示されます。
252
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL ゲートウェイ アンチウィルスの設定
• 「手口データベース」 には、 手口データベースをダウンロードする必要があるかどうか、 あるいはダウ
ンロードが完了したかどうかが示されます。
• 「手口データベースのタイムスタンプ」 に表示される日時は、 SonicWALL セキュリティ装置ではなく
SonicWALL GAV 手口データベースが最後に更新された日時です。
• 「最終確認」 には、 SonicWALL セキュリティ装置が手口データベースの更新の有無をチェックした最
終日時が示されます。 SonicWALL セキュリティ装置は、 起動時および 1 時間ごとに自動的にデータ
ベースの同期化を試みます。
• 「ゲートウェイ アンチウィルスの失効期日」 には、 SonicWALL GAV サービスの有効期限が切れる日
付が示されます。 SonicWALL GAV の購読期限が切れると、 SonicWALL IPS 検査が停止し、
SonicWALL GAV の構成設定値が SonicWALL セキュリティ装置から削除されます。 これらの設定
は、 SonicWALL GAV ライセンスを以前に設定された状態に更新し終えると、 自動的に復旧されま
す。
SonicWALL セキュリティ装置で SonicOS Standard 3.8 が動作している場合、 「ゲートウェイ アンチ
ウィルス グローバル設定」 セクションでインターフェースを指定しないと、 「ゲートウェイ アンチウィルス状
況」 セクションに 「警告 : ゲートウェイ アンチウィルスが有効になっているインターフェースがありません。」
というメッセージが表示されます。 「インターフェース上でゲートウェイ アンチウィルスを有効にする」 チェッ
クボックスを選択し、 アンチウィルス走査を適用するインターフェース (複数可) を指定する必要がありま
す。
SonicWALL GAV 手口の更新
SonicWALL GAV が動作している SonicWALL セキュリティ装置は、 既定では 1 時間ごとに自動的に
SonicWALL 手口サーバをチェックします。 新しい手口の更新の有無を管理者が継続的にチェックする必
要はまったくありません。 また、 「ゲートウェイ アンチウィルス状況」 セクションにある 「更新」 ボタンを選
択して、 SonicWALL GAV データベースを随時に手動で更新することもできます。
SonicWALL GAV 手口の更新内容は、 セキュリティで保護されています。 SonicWALL セキュリティ装
置は最初に、 SonicWALL 分散執行型手法のライセンス登録時に作成された事前共有鍵を使用して、
自己認証する必要があります。 手口の要求は HTTPS 経由で転送され、 その際にサーバ証明書が完全
検証されます。
gavprotocolsettings
プロトコル フィルタの指定
SonicWALL GAV は、 違反があるペイロードを転送するプロトコルの種別をアプリケーション レベルで感
知することによって、 アプリケーションのコンテキストにおいて特定のアクションを実行し、 違反があるペイ
ロードを円滑に拒絶できます。
既定では、 着信の HTTP、 FTP、 IMAP、 SMTP および POP3 トラフィックがすべて、 SonicWALL
GAV で検査されます。 「TCP ストリーム」 は汎用であるため、 他の TCP ベースのトラフィック (たとえ
ば、 標準ポートを使用していない SMTP や POP3、 IM プロトコル、 P2P プロトコルなど) をすべて検査
する場合に、 必要に応じて有効にすることができます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
253
第 33 章 : SonicWALL ゲートウェイ アンチウィルス サービスの管理
受信検査の有効化
SonicWALL GAV のコンテキストにおいて 「受信検査を有効にする」 プロトコル トラフィック処理とは、 次
のトラフィックを対象とした処理を指します。
• 保護ゾーン、 ワイヤレス ゾーン、 または暗号化ゾーンから開始され、 任意のゾーン宛てに送出される
非 SMTP トラフィック
• パブリック ゾーンから非保護ゾーン宛てに送出される非 SMTP トラフィック
• 非保護インターフェースから開始され、 保護インターフェース、 ワイヤレス インターフェース、 暗号化イ
ンターフェース、 またはパブリック インターフェース宛てに送出される SMTP トラフィック
• 保護インターフェース、 ワイヤレス インターフェース、 または暗号化インターフェースから開始され、 保
護インターフェース、 ワイヤレス インターフェース、 または暗号化インターフェース宛てに送出される
SMTP トラフィック
SMTP 発信検査の有効化
「発信検査を有効にする」 機能は、 SMTP トラフィックに対して (たとえば、 非武装ゾーン (DMZ) 上に
設置可能なメール サーバで) 利用できます。 SMTP の発信検査を有効にすることにより、 内部に設置さ
れた SMTP サーバに配信されたメールを走査してウィルスの有無を検査することができます。
ファイル転送の制限
また、 「ゲートウェイ アンチウィルス グローバル設定」 セクションの下部にある 「設定」 ボタンを選択し、
プロトコルごとに特定の属性を指定して、 ファイルの転送を制限することができます。
これらの転送制限の設定としては、 具体的には次のものがあります。
• パスワードで保護された ZIP ファイルの転送を制限する - パスワード保護された ZIP ファイルに対し
て、 有効化されたプロトコル経由での転送を無効にします。 このオプションは、 検査を有効化したプロ
トコル (たとえば、 HTTP、 FTP、 SMTP) に対してのみ機能します。
• マクロ (VBA5 以降) を含む MS-Office タイプのファイルの転送を制限する - マイクロソフト オフィス
97 以降の VBA マクロが収録されたファイルの転送を無効にします。
• パックされた実行可能ファイルの転送を制限する (UPX、 FSG、 その他) - パックされた実行可能
ファイルの転送を無効にします。 パッカーは、 実行可能ファイルを圧縮するユーティリティです (パッ
カーのなかには実行可能ファイルを暗号化するものもあります)。 パッカーが適切な用途に用いられるこ
ともありますが、 アンチウィルス アプリケーションでの実行可能ファイルの検出を困難にしてしまおうとい
う意図からパッカーが用いられることもなくはありません。 パッカーはメモリ内でファイルを展開するヘッ
ダーを追加し、 次にそのファイルを実行します。 SonicWALL ゲートウェイ アンチウィルスが認識する
パック形式のうち最も一般的なものは、 UPX、 FSG、 PKLite32、 Petite、 および ASPack です。
その他の形式は、 SonicWALL GAV 手口更新と一緒に動的に追加されます。
254
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ゲートウェイ AV 設定値の設定
ゲートウェイ AV 設定値の設定
「ゲートウェイ アンチウィルス グローバル設定」 セクションの下部にある 「ゲートウェイ アンチウィルスの設
定」 を選択すると、 「ゲートウェイ アンチウィルス設定」 ウィンドウが表示されます。 このウィンドウでは、
クライアントへの警告通知を設定することも、 SonicWALL GAV の除外リストを作成することも可能です。
クライアントへの警告の設定
HTTP ファイルのダウンロードが GAV に遮断されたときに、 ネットワーク上のクライアント宛の通知をそれ
ぞれのクライアントのデスクトップ上に発信したい場合は、 「ゲートウェイ AV のクライアント警告通知を有
効にする (デスクトップ クライアントのインストールが必要です)」 チェックボックスを選択してください。
SonicWALL GAV からのこうした通知をクライアントが受信できるようにするには、 SonicWALL セキュリ
ティ装置のリソース CD に収録されたクライアント ソフトウェアをインストールしておく必要があります。
電子メールまたは添付ファイルの中のウイルスが検出されたときに、 SonicWALL GAV からクライアント
に宛てた電子メール メッセージ (SMTP) の送信を抑止するには、 「SMTP 応答を無効にする」 チェック
ボックスを選択します。
HTTP クライアント不要の通知の設定
「HTTP クライアント不要の通知」 は、 HTTP サーバから入り込んだ脅威が GAV に検出されたときに、
ユーザに通知する機能です。 この機能を設定するには、 「HTTP クライアント不要の警告通知を有効にす
る」 チェックボックスを選択し、 「遮断の発生を知らせるメッセージ」 フィールドに、 次に示すようなメッセー
ジを入力します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
255
第 33 章 : SonicWALL ゲートウェイ アンチウィルス サービスの管理
このオプションが無効化されている場合、 HTTP サーバから入り込んだ脅威が GAV に検出されたときに、
その脅威が GAV によって遮断され、 ユーザに空白の HTTP ページが表示されます。 たいていの場合、
ユーザはページの再ロードを試みます。 脅威はユーザには意識されないためです。 「HTTP クライアント
不要の通知」 機能によって、 HTTP サーバからの脅威が GAV に検出されたことが、 ユーザに通知され
ます。
9
ヒント 「HTTP クライアント不要の通知」 機能は、 SonicWALL アンチスパイウェアでも利用できま
す。
必要に応じて 「HTTP クライアント不要の通知」 のタイムアウトを設定することもできます。 このタイムアウ
トは、 「セキュリティ サービス > 概要」 ページの 「セキュリティ サービスの概要」 ヘッダーの下部で設定し
ます。
SonicWALL GAV 除外リストの設定
除外リストにリストされた IP アドレスに関しては、 トラフィックに対するウイルス走査が回避されます。
「ゲートウェイ アンチウィルス除外リスト」 セクションでは、 SonicWALL GAV 走査の対象から除外する
IP アドレスの範囲を定義できます。
S
警告 SonicWALL GAV 保護の対象から除外する項目を指定する際は、 慎重を期してください。
IP アドレスを除外範囲に追加するには、 次の手順を実行してください。
1. 「ゲートウェイ アンチウィルス除外リストを有効にする」 チェックボックスを選択します。 除外リストが有効
になります。
2. 「追加」 ボタンを選択します。
「ゲートウェイ アンチウィルス範囲の追加」 ウィンドウが表示されます。
3. 「開始 IP アドレス」 フィールドおよび 「終了 IP アドレス」 フィールドに IP アドレスの範囲を入力し、 「OK」
を選択します。 ここで入力した IP アドレスの範囲は、 「ゲートウェイ アンチウィルス除外リスト」 テーブ
ルに表示されます。 「設定」 カラムで編集アイコンを選択するとエントリの変更が可能になります。 ま
た、 ごみ箱アイコンを選択するとエントリの削除が可能になります。
4. 「OK」 を選択すると、 「ゲートウェイ アンチウィルス設定」 ウィンドウが閉じます。
256
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL GAV 手口の表示
SonicWALL GAV 手口の表示
「ゲートウェイ アンチウィルス手口」 セクションでは、 SonicWALL GAV 手口データベースの内容を表示
できます。 「ゲートウェイ アンチウィルス手口」 テーブルに表示されるエントリはいずれも、 SonicWALL
セキュリティ装置にダウンロードされた SonicWALL GAV 手口データベースから取得されたものです。
補足 時間の経過につれてデータベース内の手口エントリも変わり、 新たな脅威に対する対処が可能とな
ります。
手口の表示
さまざまなビューで 「表示形式」 メニューを使用して、 手口を表示することができます。
• 文字列検索を使用 - 「次の文字列を含む手口を検索する」 フィールドに入力された特定の文字列を
含んだ手口を表示できます。
• すべての手口 - テーブル内のすべてのすべての手口を表示します。 1 ページあたりの表示個数は、
最高 50 個です。
• 0 - 9 - メニューから選択した番号で始まる手口名を表示します。
• A-Z - メニューから選択した英字で始まる手口名を表示します。
ゲートウェイ アンチウィルス手口テーブルでのナビゲート
「ゲートウェイ アンチウィルス手口」 テーブルには、 SonicWALL GAV 手口が 1 ページあたり 50 個まで
表示されます。 「表示範囲」 フィールドには、 最初の手口のテーブル数が表示されます。 手口テーブル
の 1 ページ目には、 「表示範囲 1 ~ 50 (58 個中)」 のような形式でエントリが表示されます。 テーブ
ルをナビゲートするには、 ナビゲーション ボタンを使用します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
257
第 33 章 : SonicWALL ゲートウェイ アンチウィルス サービスの管理
ゲートウェイ アンチウィルス手口データベースでの検索
手口データベースの検索を実行するには、 「次の文字列を含む手口を検索する」 フィールドに検索文字列
を入力し、 編集 (メモ帳) アイコンを選択します。
指定された文字列に一致する手口は、 「ゲートウェイ アンチウィルス手口」 テーブルに表示されます。
258
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 34 章
SonicWALL 侵入 防御 サービスの管理
ëÊ 34 èÕ
SonicWALL 侵入防御サービス
SonicWALL 侵入防御サービス (SonicWALL IPS) は、 ウェブ、 電子メール、 ファイル転送、 ウィンドウ
ズ サービス、 DNS などの主要ネットワーク サービスに対する拡張保護を実現する構成可能な高性能精密パ
ケット検査エンジンを備えています。 SonicWALL IPS は、 アプリケーションの脆弱性ばかりでなくトロイの木
馬、 ピアツーピア、 スパイウェア、 裏口侵入企図から保護することを目的に設計されています。 また、
SonicWALL の精密パケット検査エンジンで使用されている広範な手口言語は、 アプリケーションおよびプロ
トコルに関して新たに露見された脆弱性に対して事前対処的な防御を提供します。 SonicWALL IPS は、
SonicWALL の業界で有力な分散執行型手法 (DEA) を介して新しいハッカー攻撃の手口の管理および更
新に伴う高価で時間のかかる負担を軽減します。 SonicWALL IPS では手口の粒度によってグローバル、
攻撃グループ、 または手口ごとを基準に攻撃を検出し防止し、 最大限の柔軟性を提供するとともに、 偽陽性
による誤検出を制御できます。
詳細については、 リソース CD または SonicWALL ドキュメンテーション ウェブ サイト 〈http://
www.sonicwall.com/us/Support.html〉
の 『SonicWALL 侵入防御サービス管理者ガイド』 を参照してくださ
補足 い。
SonicWALL IPS の機能
• 高性能精密パケット検査技術 - SonicWALL の侵入防御サービスは、 構成可能な高性能精密パケット
検査エンジンを特長としています。 このエンジンは、 アプリケーション層を経由する着信パケット上で並列
探索アルゴリズムを使用し、 従来のステートフル パケット検査ファイアウォールで提供されるものよりも強
化された攻撃阻止機能を提供します。 一致するすべてのパケットの検索を実行することで、 SonicWALL
IPS はデータ ストリームの再アセンブリに必要なオーバーヘッドを解消します。 並列処理はプロセッサに対
する影響を軽減し、 SonicWALL セキュリティ装置で最大限にメモリを使えるようにして、 卓越したパ
フォーマンスを実現します。
• ゾーン間侵入防御 - SonicWALL IPS は、 管理者が各ネットワーク ゾーンとインターネットとの間ばかり
でなく内部ネットワーク ゾーン間でも侵入防御を執行できるようにすることで、 悪意のある脅威に対する追
加の保護層を提供します。 これは、 保護ゾーン間の発信および着信トラフィック上での侵入防御を有効に
することで実行されます (SonicOS Enhanced)。
• 広範な手口リスト - SonicWALL IPS は、 1,700 を超える攻撃および脆弱性手口が記述された広範な
データベースを利用して、 侵入、 ワーム、 アプリケーション悪用ばかりでなく、 ピアツーピアおよびインス
タント メッセージング トラフィックも検出し阻止します。 SonicWALL 精密パケット検査エンジンは、 一般的
なスノート形式で記述された手口も読み取ることが可能で、 サード パーティが新しい手口を発行するにした
がってこれらの手口を容易に組み込むことができます。 SonicWALL は、 数千のオープン ソース開発者
から入手可能な最新の手口を組み込んだり、 オープン ソースから直ちに入手できないまたは提供されてい
ないアプリケーション脆弱性の新しい手口を継続的に開発することで、 最新の堅牢な手口データベースを
維持しています。
• 動的更新型の手口データベース - SonicWALL IPS は、 SonicWALL の分散執行型手法 (DEA) を
通じて配布される手口の自動アップデート機能を備えているため、 新たに出現する脅威から保護するとと
もに、 総保有コストを節減できます。 手口データベースへのアップデートは、 アクティブな購読の条件下に
ある SonicWALL セキュリティ装置に対して動的に行われます。
259
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 34 章 : SonicWALL 侵入 防御 サービスの管理
• スケーラブル - SonicWALL IPS は、 SonicWALL TZ および PRO シリーズ装置向けのスケーラブ
ルなソリューションで、 小、 中、 および大規模なネットワークをアプリケーション悪用、 ワーム、 悪意
のあるトラフィックからセキュリティ保護します。
• アプリケーション制御 - SonicWALL IPS を導入すると、 インスタント メッセージング/ピアツーピア
ファイル共有プログラムがファイアウォールをすり抜けて稼動するのを防止し、 ネットワークを脅かす目
的に用いられる可能性のある裏口を閉鎖できる一方、 従業員の生産性向上およびインターネット帯域
幅の確保も可能になります。
• 配備および管理の簡略化 - SonicWALL IPS を使用すると、 管理者は数分以内にサービスをすばや
く簡単に管理できます。 ネットワーク管理者は、 セキュリティ ゾーン間のグローバル ポリシーおよびイン
ターフェースを作成するとともに攻撃を優先度別に分類することによって、 分散型ネットワーク全体の配
備および管理を簡略化できます。
• グラニュラーなポリシーの管理 - SonicWALL IPS は、 グローバル、 グループ、 または個々の手口
レベルで IPS を執行するための多様でグラニュラーなポリシー ツールを管理者に提供することで、 不
適正なポリシーの数の管理および低減を可能にしています。 また、 SonicWALL IPS を使用すると、
管理者は検出、 防御または両方の間を選択して特定のネットワーク環境に合わせてポリシーを作成す
ることもできます。
• ログとレポート - SonicWALL IPS は、 侵入の企てをすべてログに記録し、 ログを優先順位に基づ
いて検閲できます。 これにより、 管理者は高危険度の手口に照準を合わせることができます。 攻撃元、
攻撃先および侵入タイプに基づくグラニュラーなレポートは、 SonicWALL ViewPoint および GMS
(Global Management System) で出力できます。 侵入のハイパーリンクにより手口ウィンドウが表示
され、 SonicWALL セキュリティ装置ログの情報の詳細を確認できます。
• リスク種別別の管理 - SonicWALL IPS では、 あらかじめ定義された高、 中、 低の優先順位グ
ループを通じた攻撃の優先順位レベルを基に検出または保護を有効/無効にできます。
• 検出の正確性 - SonicWALL IPS の検出と防御の正確性は正常なものが誤って悪意のあるものとし
て検出される偽陽性および悪意のあるものが検出されない偽陰性の両方を最小限度に抑えることで実
現されます。 手口は、 ポートやプロトコルではなく、 インターネット エクスプローラや SQL サーバなど、
アプリケーションについて記述され、 アプリケーションを対象とする悪意のあるコードが正しく識別され阻
止されます。
SonicWALL 精密パケット検査
精密パケット検査では、 パケットのデータ部分を確認します。 精密パケット検査技術には、 侵入検出と侵
入防御があります。 侵入検出は、 トラフィック内の異常を検出して管理者に警告します。 侵入防御は、 トラ
フィック内の異常を検出してそれに対応し、 トラフィックの通過を阻止します。
精密パケット検査は、 通過するトラフィックをルールに基づいて SonicWALL セキュリティ装置で分類でき
るようにする技術です。 これらのルールには、 パケットの第 3 層および第 4 層の内容に関する情報ばかり
でなく、 アプリケーション データ (例、 FTP セッション、 HTTP ウェブ ブラウザ セッション、 またはミドル
ウェア データベース接続) など、 パケットのペイロードの内容を記述している情報も含まれています。 この
技術を使用すると、 管理者は SonicWALL セキュリティ装置を通過する侵入を検出してログに記録できる
ばかりでなく、 これらの侵入を防ぐことができます (例、 パケットの削除や TCP 接続のリセット)。
SonicWALL の精密パケット検査技術は、 TCP 断片化が発生していない場合と同様に TCP 断片化バイ
ト ストリーム検査を適切に処理します。
SonicWALL の精密パケット検査手法の概要
精密パケット検査技術を使用すると、 ファイアウォールでプロトコル内を精査し、 アプリケーション層で情報
を検証して、 アプリケーションの脆弱性を対象とした攻撃を阻止できます。 これは、 SonicWALL 侵入防
260
SonicWALL SonicOS Standard 3 . 8管理者ガイド
セキュリティ サービス > 侵入防御
御サービスの背後にある技術です。 SonicWALL の精密パケット検査技術は、 SonicWALL 分散執行
型手法から配布される動的手口更新を可能にします。
次の手順では、 SonicWALL 精密パケット検査手法の概要を説明します。
1. パターン定義言語インタープリタは、 既知および不明なプロトコル、 アプリケーション、 企図の検出と
防止のために記述できる手口を使用します。
2. 順不同で到着する TCP パケットは、 精密パケット検査フレームワークにより再アセンブリされます。
3. 精密パケット検査エンジンの前処理には、 パケットのペイロードの正規化を伴います。 例えば、 HTTP
要求は URL エンコードされる場合があり、 このため、 要求はペイロードで適切なパターン一致を実行
するために URL デコードされます。
4. 精密パケット検査エンジンのポストプロセッサは、 変更なしにパケットを渡すか、 パケットを削除する
か、 TCP 接続をリセットするアクションを実行します。
5. SonicWALL の精密パケット検査フレームワークは、 パケットが順不同でない限り、 再アセンブリを実
行することなく TCP の断片全体で完全な手口一致をサポートします。 これにより、 プロセッサとメモリ
の効率的な使用が可能になり、 パフォーマンスが向上します。
セキュリティ サービス > 侵入防御
「セキュリティ サービス > 侵入防御」 ぺージでは、 SonicWALL 侵入防御サービスの設定を行います。
SonicWALL セキュリティ装置上で SonicWALL IPS を有効にしていない場合は、 SonicWALL の再販
業者からまたは mysonicwall.com アカウントを通じて (米国およびカナダのお客様に限定)
SonicWALL IPS を購入する必要があります。
SonicWALL セキュリティ装置上に SonicWALL IPS をインストールしていない場合、 「セキュリティ サー
ビス > 侵入防御」 ページにアップグレードの必要性を示すメッセージが表示され、 IPS を SonicWALL
SonicWALL SonicOS Standard 3 . 8管理者ガイド
261
第 34 章 : SonicWALL 侵入 防御 サービスの管理
管理インターフェースから有効化する、 または SonicWALL IPS の無料トライアルを有効化するためのリ
ンクが組み込まれます。
SonicWALL IPS の有効化
SonicWALL IPS の有効化鍵を持っている場合は、 次の手順に従ってサービスを有効にします。
1. 「セキュリティ サービス > 侵入防御」 ページの 「SonicWALL IPS の購読」 リンクを選択します。
「mySonicWALL のログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 「システム > ライセンス」 ページが
表示されます。 SonicWALL セキュリティ装置が mysonicwall.com アカウントに既に登録されている
場合は、 「SonicWALL IPS の購読」 リンクを選択した後、 「システム > ライセンス」 ページが表示さ
れます。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで、 「購読」 または 「更新」 を選
択します。 「新しいライセンス キー」 フィールドに有効化鍵を入力し、 「この内容を送付する」 を選択し
ます。 SonicWALL IPS の購読が SonicWALL セキュリティ装置上で有効になります。
mysonicwall.com で SonicWALL IPS の購読を有効化すると、 その有効化は SonicWALL セキュリ
ティ装置上で 24 時間以内に自動的に反映されます。 また、 「セキュリティ サービス > 概要」 ページの
「同期」 ボタンを選択して SonicWALL セキュリティ装置を更新することもできます
SonicWALL IPS 無料トライアルの有効化
SonicWALL IPS の無料トライアルを有効化するには、 以下の手順に従います。
1. 「無料トライアル」 リンクを選択します。 「mySonicWALL のログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 「システム > ライセンス」 ページが
表示されます。 SonicWALL セキュリティ装置が既に mysonicwall.com アカウントに接続されている
場合は、 「無料トライアル」 リンクを選択した後、 「システム > ライセンス」 ページが表示されます。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで 「無料トライアル」 を選択しま
す。 SonicWALL IPS のトライアル購読が SonicWALL セキュリティ装置上で有効になります。
262
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 35 章
SonicWALL の有効化
アンチスパイウェア
ëÊ 35 èÕ
SonicWALL アンチスパイウェアの概要
SonicWALL アンチスパイウェアは、 SonicWALL ゲートウェイ アンチウィルス (GAV)、 アンチスパイウェ
ア、 および侵入防御サービス (IPS) 統合脅威管理ソリューションに含まれています。 SonicWALL GAV、
アンチスパイウェア、 および IPS は、 リアルタイム ゲートウェイによってネットワーク全体を保護する総合的な
セキュリティ ソリューションです。
SonicWALL アンチスパイウェア サービスのセットアップ方法の詳細については、 以下の
SonicWALL
ウェブ サイトから入手可能な 『SonicWALL アンチスパイウェア サービス管理者ガイド』 を参
補足 照してください。
〈http://www.sonicwall.com/us/Support.html〉
スパイウェアの脅威
スパイウェアは、 コンピュータのインターネット アクセスを、 ホストに知られずにホストの許可なく利用するソフ
トウェアです。 スパイウェアは、 ブラウジング習慣、 オンライン フォームに入力されたデータ、 およびキー操
作についての情報を収集できます。
コンピュータは、 さまざまなソースからスパイウェア アプリケーションに感染します。
• P2P アプリケーション、 フリーウェア、 スクリーンセーバー、 ユーティリティ、 ダウンロード マネージャ、
デモ ソフトウェア、 ビデオ ゲームなどのダウンロード プログラム
• 電子メールを介して配信されるか、 FTP サイトからダウンロードされるか、 またはフリーウェアによってイ
ンストールされるトロイの木馬
• バナー広告
スパイウェアがユーザに及ぼす影響には、 以下の脅威があります。
• なりすまし
• 機密データの盗難
• プライバシーの侵害
• コンピュータのパフォーマンス低下
• 帯域幅の過剰使用によるネットワークの低速化
SonicWALL アンチスパイウェア サービス
SonicWALL アンチスパイウェア サービスは、 スパイウェアのインストールおよび配信をゲートウェイで遮断
するとともに、 以前にインストールされていたスパイウェアが収集した情報を外部に伝達してしまうのを拒絶す
ることによって、 侵害的なスパイウェアからネットワークを防御します。 SonicWALL アンチスパイウェアは、
他のアンチスパイウェア プログラム (たとえば、 既存のスパイウェア アプリケーションをホストから除去するプ
263
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 35 章 : SonicWALL の有効化 アンチスパイウェア
ログラムなど) と連携動作します。 スパイウェアに対する防御手段を補足するために、 ホストベースのアン
チスパイウェア ソフトウェアの使用あるいはインストールを推奨します。
SonicWALL アンチスパイウェアは、 ActiveX ベースのコンポーネントのインストール場所 (すなわち、
スパイウェア配信先として最も一般的な場所) での着信接続を分析します。 また、 ゲートウェイをまたいで
着信したセットアップ実行ファイルおよびキャビネット ファイルを検査して、 スパイウェア セットアップ ファイ
ルを LAN に流出させている接続をリセットします。 スパイウェア (アドウェアやキーロガーなど) にバンド
ルされたフリーウェアなども、 検査対象となるファイル パッケージです。 SonicWALL アンチスパイウェア
ソリューションのインストールよりも先に、 LAN ワークステーションにスパイウェアがインストールされていた
場合は、 アンチスパイウェア サービスは発信トラフィックを調べて、 スパイウェアに感染しているクライアン
トで発生したストリームがないかどうか確認して、 該当する接続があればリセットします。 たとえば、 スパ
イウェアがユーザのブラウジング習慣をプロファイリングして、 そのプロファイル情報をホームに送信しよう
とすると、 SonicWALL セキュリティ装置はトラフィックをつきとめて接続をリセットします。
SonicWALL アンチスパイウェア サービスでは、 次のような防御が提供されます。
• 自動インストールされた ActiveX コンポーネントを介して配信されたスパイウェアを阻止する (ActiveX
コンポーネント経由での配信は、 悪意のあるスパイウェア プログラムを配布する手段のなかでも最も一
般的です)。
• ネットワーク経由で転送されるスパイウェアの脅威を走査してログに記録し、 新しいスパイウェアが検出
または阻止された場合、 管理者に警告を通知する。
• 既存のスパイウェア プログラムとインターネット上のハッカーやサーバとのバックグラウンド通信を阻止し
て、 機密情報の転送を防ぐ。
• スパイウェア プログラムのインストールを管理者が選択的に許可または拒否できるようにして、 ネット
ワーク アプリケーションをグラニュラーに制御できるようにする。
• SMTP、 IMAP またはウェブベースの電子メールを介して転送されてきた電子メールを走査して感染
メールを阻止することによって、 電子メールで送信されたスパイウェアの脅威を防ぐ。
SonicWALL 統合脅威管理ソリューション
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスは、
SonicWALL の構成可能で高性能な精密パケット検査手法を利用することによって、 ネットワークの中核
から周辺までをウィルス、 スパイウェア、 ワーム、 トロイの木馬、 ソフトウェア脆弱性 (たとえばバッファ
オーバーフロー) のリモートからの悪用などの多種多様な動的脅威から防御するとともに、 ピアツーピア ア
プリケーション、 インスタント メッセンジャー アプリケーション、 裏口侵入企図、 およびその他の悪意のあ
るコードからも保護します。 新たな脅威は日々出現していて、 多くの場合は予測不能であるため、 精密パ
ケット検査手法を継続的にアップデートして、 絶えず変化する脅威のランドスケープに対する防御を最大限
に強化する必要があります。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスでは、 電子
メール、 ウェブ トラフィック、 ファイル転送、 種々のストリームベース プロトコルのほか、 インスタント メッ
センジャー アプリケーションやピアツーピア アプリケーションも検査されます。 悪意のあるコード、 ウィル
ス、 およびワームを含んだファイルは、 圧縮によって従来のソリューションではアクセスできないおそれが
あるため、 SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスに
は、 パケット単位でファイルを自動的に解凍し走査する高度な解凍技術が統合されました。 サポートされ
ている圧縮形式には、 ZIP、 Deflate、 GZIP、 パックされた実行可能ファイルなどがあります。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスは、 アプリ
ケーション層に対する攻撃を阻止し、 外部の脅威だけではなくネットワークの内部から発生した脅威からも
防御するという点で、 セキュリティが一層強化されています。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスは、 他の脅威
管理ソリューションとは異なり、 高価なハードウェア ドライブや余計なメモリを増設する必要なしに、 どのよ
うなサイズのファイルもリアルタイムで分析できます。 SonicWALL ゲートウェイ アンチウィルス、 アンチス
パイウェア、 および侵入防御サービスには、 新たな脅威が発見されたときにネットワーク管理者に通知す
る事前対処的な警告メカニズムが組み込まれています。 管理者はグラニュラーなポリシー ツールおよび直
観的なユーザ インターフェースを使用して、 特定のネットワーク環境向けにカスタマイズされた検出/防御
264
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL アンチスパイウェアの概要
ポリシーの個別セットを設定できます。 ネットワーク管理者は、 インターフェース間のグローバル ポリシー
を作成し、 攻撃を優先度別に分類することによって、 分散型ネットワーク全体の配備および管理を簡略化
できます。
SonicWALL グローバル管理システム (SonicWALL GMS) では、 複数の SonicWALL セキュリティ
装置で動作している SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御
サービスを集中管理できます。 管理者は SonicWALL ViewPoint ソリューションを使用して、 ネットワー
ク活動に関する詳細レポートを作成できます。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、
および侵入防御サービス
• 統合された精密パケット検査技術 - 構成可能で高性能な精密パケット検査手法により、 アプリケー
ション層経由で並列探索アルゴリズムを使用して、 アプリケーション層、 ウェブ、 および電子メールに
対する攻撃を完全に阻止します。 並列処理はプロセッサへの影響を軽減し、 SonicWALL 装置で最
大限にメモリを使えるようにして、 卓越したパフォーマンスを実現します。
• スパイウェアに対する防御 - スパイウェアのインストールをゲートウェイで阻止することによって悪意の
あるスパイウェアのネットワークへの感染を防ぎ、 機密データを転送する既存のスパイウェア プログラ
ムからのバックグラウンド通信を遮断します。
• リアルタイム AV ゲートウェイ走査 - 企業ネットワーク全体をリアルタイムに走査して、 ウィルス、 トロ
イの木馬、 ワームをはじめとするインターネット脅威を含んだ非圧縮ファイルおよび圧縮ファイルを検索
することによって、 ウィルスおよび悪意のあるコードをファイルベースでインテリジェントに防御します。
• 強力な侵入防御 - パケット ペイロードを走査して、 ワーム、 トロイの木馬、 ソフトウェアの脆弱性
(たとえばバッファ オーバーフロー)、 ピアツーピア アプリケーション、 インスタント メッセンジャー アプリ
ケーション、 裏口侵入企図、 およびその他の悪意のあるコードを検索することによって、 ネットワーク
ベースのアプリケーション層をさまざまな脅威から完全に保護します。
• スケーラビリティとパフォーマンス - パケット単位の走査エンジンを利用することによって、 無制限な
ファイル サイズや、 ほぼ無制限な同時ダウンロードを SonicWALL 統合脅威管理ソリューションで扱
えるようにしています。
• Day Zero に対する防御 - SonicWALL の SonicAlert Team とサードパーティ ソースとを併用して
作成された動的更新型の手口データベースを使用して、 防御までの時間を確実に速めます。
• 広範な手口リスト - 数千もの攻撃および脆弱性手口の記述を含んだ広範なデータベースを利用して、
侵入、 ウィルス、 スパイウェア、 ワーム、 トロイの木馬、 アプリケーション悪用、 および悪意のある
アプリケーションを検出し阻止します。
• 分散執行型手法 - 分散執行型手法を利用して手口を自動的にアップデートすることにより、 新たに出
現する脅威からリアルタイムで防御するとともに、 総保有コストを節減できます。
• ゾーン間の防御 - アプリケーション層に対する攻撃を阻止して、 インターネットや内部ソースから発生
した脅威 (悪意のあるコードなど) から防御します。 管理者は、 各ネットワーク ゾーンとインターネット
の間だけでなく内部ネットワーク ゾーン間においても侵入防止およびアンチウィルス走査を執行して、
セキュリティを強化できます (ただし、 SonicOS Enhanced は必須)。
• 高度なファイル解凍技術 - パケット単位でファイルを自動的に圧縮し走査してウィルス、 トロイの木
馬、 ワーム、 および破壊工作ソフトウェアを検索できる、 高度な解凍技術が組み込まれています。 サ
ポートされている圧縮形式としては、 ZIP、 Deflate、 GZIP などがあります。
• ファイルベースの走査プロトコルに対するサポート - 今日のネットワーク環境で使用されている最も一
般的なプロトコル (たとえば、 SMTP、 POP3、 IMAP、 HTTP、 FTP、 NETBIOS、 インスタント
メッセンジャー アプリケーション、 ピアツーピア アプリケーション、 およびその他の各種ストリームベー
ス プロトコル) を検査して、 脅威度の高いウィルスおよび破壊工作ソフトウェアを阻止できます。 これに
より、 ネットワークを脅かす目的に用いられる可能性のある裏口を閉鎖できると同時に、 従業員の生
産性向上およびインターネット帯域幅の確保も可能になります。
• アプリケーション制御 - インスタント メッセージング/ピアツーピア ファイル共有プログラムがファイア
ウォールをすり抜けて稼動するのを防止し、 ネットワークの脅かしに用いられる可能性のある裏口を閉
鎖できる一方、 従業員の生産性向上およびインターネット帯域幅の確保も可能になります。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
265
第 35 章 : SonicWALL の有効化 アンチスパイウェア
• 配備および管理の簡略化 - ネットワーク管理者がネットワーク インターフェース間のグローバル ポリ
シーを作成し、 攻撃を優先度別に分類することによって、 分散型ネットワーク全体の配備および管理を
簡略化できます。
• グラニュラーな管理 - 直観的なユーザ インターフェース ツールおよびグラニュラーなポリシー ツールが
提供されているため、 ネットワーク管理者は特定のネットワーク環境に対応する検出/防御ポリシーの
個別セットを設定して、 直接的な脅威をつきとめるとともに不適正なポリシーの数を低減することができ
ます。
• ログとレポート - 侵入の企てをすべてログに記録し、 ログを優先順位に基づいて検閲できます。 これ
により、 管理者は高危険度の手口に照準を合わせることができます。 攻撃元、 攻撃先および侵入タイ
プに基づくグラニュラーなレポートは、 SonicWALL ViewPoint および GMS (Global
Management System) で出力できます。
SonicWALL 精密パケット検査の概要
精密パケット検査技術により、 ファイアウォールでプロトコルをさらに詳しく調査し、 情報をアプリケーション
層で検証して、 アプリケーションの脆弱性を標的にした攻撃を防御することができます。 これは、
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスの背後にある
技術です。 SonicWALL の精密パケット検査技術は、 SonicWALL 分散執行型手法によってプッシュさ
れる動的な手口更新を可能にします。
SonicWALL 精密パケット検査手法は、 次の手順に従って動作します。
4. パターン定義言語インタープリタは、 記述可能な手口を使用して、 既知および未知のプロトコル、 アプ
リケーション、 および悪用を検出し阻止します。
5. 到着順序が誤っている TCP パケットは、 精密パケット検査フレームワークによって再構成されます。
6. 精密パケット検査エンジンの前処理には、 パケット ペイロードの正規化が伴います。 たとえば、 HTTP
リクエストが URL エンコードされている場合、 ペイロードに対して正しいパターン照合を実行するには、
リクエストを URL デコードする必要があります。
7. 精密パケット検査エンジンの後処理で実行される操作によっては、 パケットが修正なしにそのまま渡さ
れる場合や、 パケットが破棄されたり、 TCP 接続がリセットされたりする場合があります。
266
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL アンチスパイウェアの概要
8. SonicWALL の精密パケット検査フレームワークは、断片化された TCP パケットに対して再構成を実行
せずに完全な手口照合をサポートします (ただし、 パケットの到着順序が誤っている場合を除く)。 こ
れにより、 プロセッサとメモリの使用が効率化され、 パフォーマンスが向上します。
精密パケット検査では、 パケットのデータ部を調査します。 精密パケット検査技術には、 侵入検知と侵入
防御が含まれています。 侵入検知では、 トラフィック内の異常を発見し、 管理者に警告します。 侵入防
御では、 トラフィック内の異常を発見し、 それに対処することにより、 トラフィックの通過を阻止します。
精密パケット検査は、 通過するトラフィックを SonicWALL セキュリティ装置がルールに基づいて分類する
ための技術です。 このルールには、 パケットの第 3 層と第 4 層の内容に関する情報のほか、 アプリケー
ション データ (たとえば、 FTP セッション、 HTTP ウェブ ブラウザ セッション、 ミドルウェア データベース
接続) などのパケット ペイロードの内容を説明する情報も含まれています。 管理者はこの技術により、
SonicWALL セキュリティ装置を通過する侵入を、 検出してログに記録するだけでなく、 阻止することがで
きます (たとえば、 パケットの破棄、 TCP 接続のリセットなど)。 また、 SonicWALL の精密パケット検
査技術は、 断片化された TCP バイト ストリームの検査を、 TCP の断片化が発生していないかのように
適切に処理します。
送信と受信の保護
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスは、 受信トラ
フィックと送信トラフィックの両方に適用されます。 これは、 方向性を持って手口が記述されるためです。
つまり、 SonicWALL セキュリティ装置に保護を適用するときに、 攻撃の方向が考慮されます。
Sasser ワームを例にとって説明します。 SonicWALL 手口は、 この複雑な攻撃のさまざまなフェーズと
方向を検査するように記述されています。 ある手口では、 一般的な NetBIOS ポートを悪用する
NetBIOS バッファ オーバーフロー攻撃を探します。 この SonicWALL 手口はゾーン間 (SonicOS
Enhanced) およびインターフェース間 (SonicOS Standard) にインターネットから内向きに適用され、
外部ネットワークからの悪用の拡大を効果的に阻止します。 初回の悪用の後、 Sasser ワームは FTP
セッションを通じてプログラムの主要部をインターネットにダウンロードしようとします。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
267
第 35 章 : SonicWALL の有効化 アンチスパイウェア
また別の SonicWALL 手口では、 Sasser がインターネットへの発信 FTP セッションを確立することを自
動的に阻止します。 この手口は各ゾーンまたはインターフェースに適用される場合があります。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスを使用するた
めに、 どの手口がどの方向に適用されるのかを知っている必要はありません。
攻撃の重大度またはスパイウェアの危険度に基づいて、 事前に定義されているグループを選択するだけで
済みます。
SonicWALL アンチスパイウェア ライセンスの有効化
SonicWALL セキュリティ装置上に SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 およ
び侵入防御サービスがインストールされていない場合、 「セキュリティ サービス > アンチスパイウェア」
ページにアップグレードの必要性を示すメッセージが表示され、 そのサービスを SonicWALL セキュリティ
装置の管理インターフェースから有効化するためのリンクが組み込まれます。
SonicWALL アンチスパイウェアは、 統合型の SonicWALL ゲートウェイ アンチウィルス、 アンチスパイ
ウェア、 および侵入防御サービスの一部なので、 1 つの親ライセンス キーを使用して SonicWALL セ
キュリティ装置上で 3 つのサービスをすべて有効化することができます。 最初に、 「セキュリティ サービス
> 侵入防御」 ページで、 SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防
御サービスの親ライセンスを、 SonicWALL 侵入防御サービスに対して有効化します。 侵入防御サービ
スが有効化された後は、 SonicWALL ゲートウェイ アンチウィルスおよび SonicWALL アンチスパイウェ
アを有効化することができます。
SonicWALL セキュリティ装置上で、 SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、
および侵入防御サービスを有効化するには、 前提条件として次のものが必要です。
• SonicOS Standard 3.1 以降。 SonicWALL セキュリティ装置で、 SonicWALL ゲートウェイ アンチ
ウィルス、 アンチスパイウェア、 および侵入防御サービス用の SonicOS Standard 3.1 以降が稼動
している必要があります。 SonicWALL セキュリティ装置に SonicOS 3.1 以降がインストールされて
いない場合は、 以下の SonicWALL ウェブ サイトから入手可能な 『SonicOS Standard または
SonicOS Enhanced 管理者ガイド』 で SonicOS のアップグレード手順を参照してください。 〈http:/
/www.sonicwall.com/us/Support.html〉
• mysonicwall.com アカウント : mysonicwall.com アカウントを使用して、 SonicWALL 製品を管理
することができます。 SonicWALL セキュリティ サービスを有効化するには、 SonicWALL セキュリ
ティ装置を登録する必要があります。 mysonicwall.com はすぐに無料で簡単に作成できます。
SonicWALL セキュリティ装置の管理インターフェースから、 オンライン登録フォームを直接記入するだ
けで済みます。 mysonicwall.com アカウントには、 任意のインターネット接続でウェブ ブラウザを使
用して、 以下のウェブ サイトからアクセスすることもできます。
〈https://www.mysonicwall.com〉
• インターネット接続が有効な登録済みの SonicWALL セキュリティ装置 : SonicWALL セキュリティ装
置の登録手続きは簡単です。 管理インターフェースから直接行うことができます。 SonicWALL セキュ
リティ装置が登録された後で、 有効化鍵を使用して SonicWALL セキュリティ サービスを有効化できま
す。
• SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスのライセン
ス : SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスのライ
センスは、 SonicWALL の再販業者から、 または mysonicwall.com アカウント (アメリカ合衆国お
よびカナダのお客様に限定) を通して購入する必要があります。 ライセンスを購入した後で、 有効化鍵
が提供されます。 この有効化鍵を使用して、 SonicWALL セキュリティ装置上でサービスを有効化し
ます。
9
268
ヒント SonicWALL セキュリティ装置がインターネットに接続されていて、 mysonicwall.com での登録
が完了している場合、 SonicWALL ゲートウェイ アンチウィルス、 SonicWALL アンチスパイウェア、 お
よび SonicWALL 侵入防御サービスの 30 日間の無料トライアルを有効化することができます。 この無料
トライアルは管理インターフェースの 「セキュリティ サービス > ゲートウェイ アンチウィルス」 ページ、 「セ
キュリティ サービス > アンチスパイウェア」 ページ、 および 「セキュリティ サービス > 侵入防御」 ページ
から個別に有効化してください。 管理インターフェースの 「セキュリティ サービス > ゲートウェイ アンチウィ
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL アンチスパイウェアの概要
ルス」 ページ、 「セキュリティ サービス > アンチスパイウェア」 ページ、 および 「セキュリティ サービス >
侵入防御」 ページ。
mysonicwall.com アカウントの作成
mysonicwall.com アカウントを作成するには、 以下の手順に従います。
補足 mysonicwall.com アカウントが取得済みの場合は、 「SonicWALL セキュリティ装置の登録」
ページ 269 を参照してください。
1. SonicWALL セキュリティ装置の管理インターフェースにログインします。
2. 管理インターフェースに 「システム > 状況」 ページが表示されない場合は、 左ナビゲーション メ
ニューで、 「システム」 を選択し、 「状況」 を選択します。
3. 「システム > 状況」 ページの 「セキュリティ サービス」 セクションで、 「SonicWALL が登録されてい
ません。 ここを選択して SonicWALL を登録してください。」 の 「登録」 リンクを選択します。 ここを選
択して SonicWALL を登録してください。
1. 「mysonicwall.com のログイン」 ページで、 「mysonicwall.com アカウントをお持ちでない場合は、
ここを選択してアカウントを作成してください。」 の 「ここを選択」 リンクを選択します。
1. 「mysonicwall.com アカウント」 ページで、 「アカウント情報」 フィールド、 「個人情報」 フィールド、
および 「地域設定とアンケート」 フィールドに情報を入力します。 アスタリスク (*) マークの付いた
フィールドはすべて必須フィールドです。
補足 mysonicwall.com アカウントにアクセスするためのユーザ名およびパスワードを覚えておいてくだ
さい。
1. 「mySonicWALL アカウント」 フォームを記入した後、 「この内容を送付する」 を選択します。
2. mysonicwall.com サーバでのアカウント処理が完了すると、 アカウントの作成完了を通知するページ
が表示されます。 「次へ」 を選択します。
これで完了です。 mysonicwall.com アカウントが有効化されました。
今度は mysonicwall.com にログインして、 SonicWALL セキュリティ装置を登録する必要があります。
SonicWALL セキュリティ装置の登録
SonicWALL セキュリティ サービスを有効化するには、 SonicWALL セキュリティ装置を登録する必要が
あります。 SonicWALL セキュリティ装置が登録されていない場合は、 「システム > 状況」 ページの 「セ
SonicWALL SonicOS Standard 3 . 8管理者ガイド
269
第 35 章 : SonicWALL の有効化 アンチスパイウェア
キュリティ サービス」 セクションに、 「SonicWALL が登録されていません。 ここを選択して SonicWALL
を登録してください。」 というメッセージが表示されます。
1. SonicWALL セキュリティ装置の管理インターフェースにログインします。
2. 管理インターフェースに 「システム > 状況」 ページが表示されない場合は、 左ナビゲーション メニュー
で、 「システム」 を選択し、 「状況」 を選択します。
3. 「システム > 状況」 ページの 「セキュリティ サービス」 セクションで、 「登録」 リンクを選択します。
「mySonicWALL ログイン」 ページが表示されます。
4. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。
5. 以降の数ページに、 SonicWALL セキュリティ サービスのユーザ向け無料トライアルに関する情報が
表示されます。
ƒ ゲートウェイ アンチウィルス - ネットワーク全体をリアルタイムでウィルスから保護します。
ƒ ネットワーク アンチウィルス - 各コンピュータ上でソフトウェアを稼動してデスクトップおよびサーバに
対するアンチウィルス保護を提供します。
ƒ プレミアム コンテンツのフィルタ サービス - 好ましくないウェブ コンテンツへのアクセスを制限するこ
とによって、 生産性を高めます。
ƒ 侵入防御サービス - ワーム、 トロイの木馬、 およびアプリケーション層攻撃からネットワークを保
護します。
ƒ アンチスパイウェア - スパイウェアのインストールをゲートウェイで阻止することにより、 悪意のある
スパイウェアからネットワークを保護します。
各ページで、 「次へ」 を選択します。
補足 「次へ」 ボタンを選択しても、 SonicWALL セキュリティ サービスの無料トライアル バージョンは
有効化されません。 無料トライアルは 「システム > ライセンス」 ページから有効化する必要があります。
1. 「製品アンケート」 ページの上部にある 「ニックネーム」 フィールドに、 SonicWALL コンテンツ セキュ
リティ装置の “ニックネーム” を入力します。 ニックネームを入力しておくと、 mysonicwall.com アカ
ウントの SonicWALL コンテンツ セキュリティ装置の識別が容易になります。
2. 製品アンケートを記入してください。 SonicWALL では、 お客様のご要望に応じたよりよいサービスの
ためにこの情報を活用いたします。
3. 「この内容を送付する」 を選択します。
4. mysonicwall.com サーバでの登録処理が完了すると、 SonicWALL セキュリティ装置の登録完了を
通知するページが表示されます。 「次へ」 を選択すると、 「システム > ライセンス」 ページが表示さ
れ、 利用可能なサービスが表示されます。 このページから、 または管理インターフェースの左ナビ
ゲーション メニュー 「セキュリティ サービス」 の下の特定のセキュリティ ページから、 サービスを有効
化することができます。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、
および侵入防御サービスのライセンスの有効化
SonicWALL アンチスパイウェアは、 SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、
および侵入防御サービスの一部です。 受け取った有効化鍵は SonicWALL セキュリティ装置上で 3 つの
サービスのいずれにも使用できます。
270
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL アンチスパイウェアの概要
S
警告 SonicWALL アンチスパイウェアのライセンスを有効化したら、 アンチスパイウェア ポリシーがネッ
トワーク トラフィックに適用される前に、 SonicWALL 管理インターフェース上で SonicWALL アンチスパ
イウェアを有効にし、 構成する必要があります。
SonicWALL セキュリティ装置上で SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 お
よび侵入防御サービスのライセンスが有効化されていない場合は、 そのライセンスを SonicWALL の再
販業者から、 または mysonicwall.com アカウント (アメリカ合衆国およびカナダのお客様に限定) を通
して購入する必要があります。
SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サービスの有効化鍵が
取得済みの場合は、 次の手順を実行します。
1. 「セキュリティ サービス > 侵入防御」 ぺージで、 「SonicWALL IPS を購読するには、 ここを選択して
ください。」 リンクを選択します。 「mySonicWALL ログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 SonicWALL セキュリティ装置が既
に mysonicwall.com アカウントに登録されている場合は、 「システム > ライセンス」 ページが表示さ
れます。
3. 「サービスのオンライン管理」 テーブルの 「サービスの管理」 カラムで、 「購読」 または 「更新」 を選
択します。
4. 「新しいライセンス キー」 フィールドに有効化鍵を入力し、 「この内容を送付する」 を選択します。
SonicWALL 侵入防御サービスが有効化されました。 「システム > ライセンス」 ページが表示されま
SonicWALL SonicOS Standard 3 . 8管理者ガイド
271
第 35 章 : SonicWALL の有効化 アンチスパイウェア
す。 このページの 「サービスのオンライン管理」 テーブルの下部に、 ゲートウェイ アンチウィルスのリ
ンクおよびアンチスパイウェアのリンクが子有効化鍵と一緒に表示されます。
5. ゲートウェイ アンチウィルスのリンクを選択します。 「新しいライセンス キー」 フィールドに、 自動的に
子有効化鍵が入力されます。 子有効化鍵は、 SonicWALL ゲートウェイ アンチウィルス、 アンチスパ
イウェア、 および侵入防御サービスの親キーとは別のキーです。
6. 「この内容を送付する」 を選択します。 無料トライアル バージョンを有効化した場合、 またはライセンス
を更新する際には、 現行ライセンスおよび更新済みライセンスの各失効期日を示した更新画面が表示
されます。 「更新」 を選択します。
7. SonicWALL ゲートウェイ アンチウィルスのリンクを選択します。 「新しいライセンス キー」 フィールド
に、 自動的に子有効化鍵が入力されます。 子有効化鍵は、 SonicWALL ゲートウェイ アンチウィル
ス、 アンチスパイウェア、 および侵入防御サービスの親キーとは別のキーです。
8. 「この内容を送付する」 を選択します。 無料トライアル バージョンを有効化した場合、 またはライセンス
を更新する際には、 現行ライセンスおよび更新済みライセンスの各失効期日を示した更新画面が表示
されます。 「更新」 を選択します。
これで完了です。 SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御サー
ビスが有効化されました。
mysonicwall.com で SonicWALL ゲートウェイ アンチウィルス、 アンチスパイウェア、 および侵入防御
サービスの購読を有効化すると、 その有効化は SonicWALL セキュリティ装置上で 24 時間以内に自動
的に反映されます。 また、 「セキュリティ サービス > 概要」 ページの 「同期」 ボタンを選択して
SonicWALL セキュリティ装置を即時更新することもできます。
272
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL アンチスパイウェアの保護のセットアップ
無料トライアルの有効化
SonicWALL ゲートウェイ アンチウィルス、 SonicWALL アンチスパイウェア、 および SonicWALL 侵
入防御サービスには、 ユーザが試用できる無料トライアル バージョンが用意されています。 「システム >
ライセンス」 ページの 「サービスのオンライン管理」 テーブルで各サービスを個別に有効化するか、 各セ
キュリティ サービスのページ (たとえば、 「セキュリティ サービス > ゲートウェイ アンチウィルス」) で 「無
料トライアル」 リンクを選択する必要があります。
SonicWALL ゲートウェイ アンチウィルス、 SonicWALL アンチスパイウェア、 および SonicWALL 侵
入防御サービスの無料トライアルを試用するには、 次の手順を実行します。
1. 「セキュリティ サービス > ゲートウェイ アンチウィルス」 ページ、 「セキュリティ サービス > アンチスパ
イウェア」 ページ、 または 「セキュリティ サービス > 侵入防御」 ページの 「無料トライアル」 リンクを
選択します。 「mySonicWALL ログイン」 ページが表示されます。
2. 「ユーザ名」 フィールドと 「パスワード」 フィールドに、 mysonicwall.com アカウントのユーザ名とパス
ワードをそれぞれ入力し、 「この内容を送付する」 を選択します。 mySonicWALL セキュリティ装置
が既に mysonicwall.com アカウントに接続されている場合は、 「無料トライアル」 リンクを選択した
後、 「システム > ライセンス」 ページが表示されます。
3. 「サービスのオンライン管理」 テーブルの 「無料トライアル」 カラムで 「試用する」 を選択します。 セ
キュリティ装置上でサービスが有効化されます。
SonicWALL アンチスパイウェアの保護のセットアップ
SonicWALL セキュリティ装置上で SonicWALL アンチスパイウェアのライセンスを有効化しても、 保護
は自動的には有効になりません。 SonicWALL アンチスパイウェアを構成してネットワークの保護を開始
するには、 次の手順を実行する必要があります。
1. SonicWALL アンチスパイウェアを有効にする
2. スパイウェアの危険度別の保護を指定する
補足 SonicWALL アンチスパイウェア サービスのセットアップ方法の詳細については、 以下の
SonicWALL ウェブ サイトから入手可能な 『SonicWALL アンチスパイウェア サービス管理者ガイド』 を
参照してください。
〈http://www.sonicwall.com/us/Support.html〉
アンチスパイウェアの保護に関するこれらの基本設定を構成した後で、 その他の設定オプションを実行して
SonicWALL アンチスパイウェアの保護をネットワーク環境に合わせて調整することができます。
「セキュリティ サービス > アンチスパイウェア」 を選択すると、 SonicWALL セキュリティ装置上の
SonicWALL アンチスパイウェアの構成設定値が表示されます。 「アンチスパイウェア」 ページは 3 つの
セクションに分かれています。
• アンチスパイウェア状況 - 手口データベースの状態に関するステータス情報、 SonicWALL アンチス
パイウェアのライセンス、 およびその他の情報が表示されます。
• アンチスパイウェア グローバル設定 - SonicWALL セキュリティ装置上で SonicWALL アンチスパイ
ウェアを有効にするための鍵設定が表示され、 スパイウェアの 3 つのクラスに応じた SonicWALL ア
ンチスパイウェアの全体的な保護、 およびその他の設定オプションを指定します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
273
第 35 章 : SonicWALL の有効化 アンチスパイウェア
• アンチスパイウェア ポリシー - SonicWALL アンチスパイウェアの手口を表示し、 手口の処理を手口
の種別または手口ごとに構成することができます。 種別とは攻撃の種類に基づいて手口をグループ分
けしたものです。
S
警告 SonicWALL アンチスパイウェアのライセンスを有効化したら、 アンチスパイウェア ポリシーがネッ
トワーク トラフィックに適用される前に、 SonicWALL 管理インターフェース上で SonicWALL アンチスパ
イウェアを有効にし、 構成する必要があります。
SonicWALL アンチスパイウェアの有効化
SonicWALL アンチスパイウェアは、 SonicWALL セキュリティ装置上でグローバルに有効にする必要が
あります。 「アンチスパイウェアを有効にする」 チェック ボックスを選択し (チェック マークが表示されま
す)、 「適用」 を選択します。
「アンチスパイウェアを有効にする」 チェック ボックスを選択しても、 SonicWALL アンチスパイウェアの保
護は自動的には開始しません。 「手口グループ」 テーブルで 「すべて防御」 アクションを指定して
SonicWALL セキュリティ装置上でアンチスパイウェアを有効化してから、 「WAN」、 「LAN」、 「OPT」、
「モデム」、 または 「WLAN」 ボックスを選択して保護するインターフェースを指定する必要があります。 ま
た、 「すべて検知」 を選択すると、 スパイウェア イベントをログに記録し、 警告することができます。
スパイウェアの危険度別の保護の指定
SonicWALL アンチスパイウェアでは、 攻撃のクラスを選択するだけで攻撃からのネットワークの防御をグ
ローバルに管理できます。 攻撃のクラスには、 「高危険度のスパイウェア」、 「中危険度のスパイウェア」、
および 「低危険度のスパイウェア」 の 3 つがあります。
「手口グループ」 テーブルの 「高危険度のスパイウェア」 と 「中危険度のスパイウェア」 の 「すべて防
御」 チェック ボックスと 「すべて検知」 チェック ボックスを選択し、 「適用」 を選択すると、 ネットワークが
最も危険なスパイウェアから保護されます。
S
警告 SonicWALL では、 手口グループ 「高危険度のスパイウェア」 および 「中危険度のスパイウェ
ア」 の 「すべて防御」 を有効にして、 最も有害で破壊的なスパイウェア アプリケーションから保護すること
をお勧めしています。 また、 「すべて検知」 を有効にすると、 スパイウェアをログに記録し、 警告すること
ができます。
SonicWALL アンチスパイウェアでは、 種別および手口レベルでアンチスパイウェア ポリシーを設定する
ことにより、 SonicWALL アンチスパイウェアの保護をネットワーク環境の要件に応じて柔軟にきめ細かく
調整できます。 SonicOS Enhanced を使用している場合は、 SonicWALL アンチスパイウェアのこれら
274
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL アンチスパイウェアの保護のセットアップ
の個別ポリシーをアドレス オブジェクト、 アドレス グループ、 およびユーザ グループに適用することや、
執行スケジュールを作成することができます。
詳細については、 SonicWALL のウェブ サイト 〈http://www.sonicwall.com/support/documentation〉 で
提供されている 『SonicWALL アンチスパイウェア管理者ガイド』 を参照してください。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
275
第 35 章 : SonicWALL の有効化 アンチスパイウェア
276
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第8部
ëÊ 8 ïî
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ログ
277
:
278
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 36 èÕ
第 36 章
ログ イベントの表示
SonicOS ログ イベント メッセージ概要
SonicWALL セキュリティ装置の稼動中は、 SonicOS ソフトウェアにより、 ログ イベント メッセージがコン
ソールに送信されます。 SonicWALL セキュリティ装置の電源がオンになり設定が完了すると、 イベント ログ
が自動的に開始されます。 SonicOS は、 複数のフィールドのエントリを含むトラフィック ログをサポートして
います。
ログ イベント メッセージには、 動作情報およびデバッグ情報が記載されるため、 通信回線や内部ハードウェ
ア、 またはファームウェア設定に関する問題を診断するのに役立ちます。
すべてのログ イベント メッセージに、 ご使用の SonicWALL セキュリティ装置の動作上の問題が示さ
れるわけではありません。
補足 「ログ > 表示」 コンソールには、 警告通知について以下のフィールドを含むログ イベント メッセージが表示さ
れます。
• 「時間」 - イベントが発生した時間/分が表示されます。
• 「優先順位」 - イベントの緊急度が表示されます。
• 「種別」 - イベントの種類が表示されます。
• 「メッセージ」 - イベントの詳細が表示されます。
• 「送信元」 - 着信 IP パケットの送信元の IP アドレスが表示されます。
• 「送信先」 - 着信 IP パケットの送信先の IP アドレスが表示されます。
• 「備考」 - 発生した特定のイベントの追加情報が表示されます。
• 「ルール」 - アクセス ルールに対する送信元および送信先のインターフェースが表示されます。 このフィー
ルドは、 「ファイアウォール > アクセス ルール」 ページで定義されているアクセス ルールにリンクされてい
ます。
ログ イベント メッセージの表示フィールドには、 設定の確認を行うためのデータ、 セキュリティ装置のトラブル
シューティング、 および IP トラフィックの追跡が記載されています。
279
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 36 章 : ログ イベントの表示
ログ > 表示
SonicWALL セキュリティ装置には、 潜在的なセキュリティ脅威を表示するイベント ログが保存されます。
このログは、 ブラウザから SonicWALL ウェブ管理インターフェースを使用して表示させるか、 利便性お
よびアーカイブとして保管するために電子メール アドレスに自動的に送信することができます。 ログはテー
ブルに表示され、 列を基準にして並べ替えることができます。
SonicWALL セキュリティ装置では、 このセキュリティ装置が攻撃されるなどの重要なイベントを通知する
ことができます。 警告は、 電子メール アドレスまたは電子メール ページャのいずれかに即時に送信されま
す。 ログ エントリには、 イベントの日時、 およびイベントを説明する簡単なメッセージが含まれます。
ブラウザ ウィンドウの左側にある 「ログ」 を選択します。 既定表示は 「ログ > 表示」 です。
SonicWALL セキュリティ装置には、 ログ、 警告、 レポート機能が備わり、 SonicWALL ウェブ管理イ
ンターフェースの 「ログ」 セクションに表示させることができます。
補足 完全なログ メッセージは、 SonicWALL のドキュメント ウェブ サイト 〈http://www.sonicwall.com/
japan/Support.html〉 の 『SonicWALL ログ イベント リファレンス ガイド』 を参照してください。
ログ テーブルのエントリのナビゲートおよび並べ替え
「ログ」 テーブルでは、 多数のログ イベントを簡単に閲覧できるようにページ付けがされています。 「ロ
グ」 テーブルの右上にあるナビゲーション コントロール バーを使用して、 これらのログ イベントをナビゲー
トできます。 ナビゲーション コントロール バーには 4 つのボタンがあります。 左端のボタンは、 テーブル
の最初のページを表示します。 右端のボタンは、 最後のページを表示します。 内側の左矢印ボタンと右
矢印ボタンで、 それぞれ前または次のページに移動します。
「表示範囲」 フィールドにポリシー番号 (「#名前」 列においてポリシー名の前に記載されている番号) を
入力することにより、 特定の VPN ポリシーに移動できます。 既定のテーブル設定では、 ページあたり
50 個のエントリが表示されます。 この既定のテーブル エントリ数は、 「システム > 管理」 ページで変更
できます。
テーブルのエントリを並べ替えるには、 列見出しを選択します。 エントリは昇順または降順で並べ替えられ
ます。 列エントリの右側にある矢印が、 並べ替え状況を示します。 下向きの矢印は昇順を意味します。
上向きの矢印は降順を示します。
280
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ログ > 表示
SonicOS ログ エントリ
ログ エントリには、 イベントの日時、 およびイベントを説明する簡単なメッセージが含まれます。 管理イン
ターフェースでログ エントリをコピーしてレポートに貼り付けることもできます。 SonicWALL セキュリティ装
置は、 以下の方法でログ イベントを管理します。
• 破棄された TCP、 UDP、 ICMP パケット
IP パケットが SonicWALL セキュリティ装置によって遮断されると、 破棄された TCP、 UDP、 ICMP
メッセージが表示されます。 メッセージには、 パケットの送信元および送信先 IP アドレスが含まれま
す。 TCP または UDP のポート番号、 もしくは ICMP コードは、 IP アドレスの後に続いて表示されま
す。 通常、 ログ メッセージには引用符で囲まれたサービス名が含まれます。
• 遮断したウェブ サイト
コンピュータが遮断したウェブ サイトやニュースグループに接続を試みると、 ログ イベントが表示されま
す。 ログ イベントには、 コンピュータの IP アドレス、 イーサネット アドレス、 遮断したウェブ サイト名、
およびコンテンツ フィルタ リスト コードが示されます。 12 種類のコンテンツ フィルタ リストのコード定義
を以下の表に示します。
1. 暴力/憎悪/人種差別
5. 武器
9. 違法な技能/いかがわしい技能
2. 挑発的な衣服/水着
6. アダルト/成人向けコン
テンツ
10. 性教育
3. ヌード
7. カルト/オカルト
11. ギャンブル
4. ポルノ
8. 薬物/違法薬物
12. 酒類/タバコ
• 遮断した Java 等
ActiveX、 Java、 もしくはウェブの Cookie が遮断されると、 接続を試行した送信元および送信先の
IP アドレスと共にメッセージが表示されます。
• Ping of Death、 IP Spoof、 SYN 洪水の攻撃
攻撃されているコンピュータの IP アドレスおよび攻撃元が表示されます。 ほとんどの場合、 攻撃元ア
ドレスは偽造であり、 本当の発信元が示されません。
9
ヒント ネットワークには、 LAN が意図的な攻撃を受けていなくても、 攻撃されているようなネットワーク
トラフィックを生成するものがあります。 ISP にお問い合わせになる前に、 SonicWALL のテクニカル サ
ポートでログ メッセージを確認し、 攻撃元を特定してください。
更新
ログ メッセージを更新するには、 「リフレッシュ」 ボタンを選択します。
ログの消去
「ログの消去」 を選択すると、 ログの内容が削除されます。
電子メール ログ
ログ ファイルを電子メールで送信するように SonicWALL セキュリティ装置を設定した場合は、 「電子メー
ル ログ」 を選択すると、 現在のログ ファイルが 「ログ > 自動化 > 電子メール」 セクションに指定された
電子メール アドレスに送信されます。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
281
第 36 章 : ログ イベントの表示
282
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 37 èÕ
第 37 章
ログの種別の指定
ログ > 種別
SonicWALL セキュリティ装置の 「イベント ログ」 に表示されるログ メッセージを定義することができます。
ログの種別
「ネットワーク デバッグ」 を除くすべての 「ログの種別」 は、 既定では有効になっています。
• 「すべての種別をログ」 - これを選択すると、 すべてのイベント種別のログを記録します。
• 「システム メンテナンス」 - システム起動などの全般的なシステム アクティビティを記録します。
• 「システム エラー」 - DNS または電子メールの問題を記録します。
• 「遮断したウェブ サイト」 - コンテンツ フィルタ リストや個別フィルタによって遮断されたウェブ サイトや
ニュースグループを記録します。
• 「遮断した Java 等」 - SonicWall セキュリティ装置によって遮断された Java、 ActiveX、 Cookie を記
録します。
• 「ユーザ動作」 - 成功および失敗したログイン試行を記録します。
• 「VPN TCP 統計」 - VPN トンネルへの TCP の接続を記録します。
• 「攻撃」 - サービス拒否攻撃 (SYN 洪水、 Ping of Death、 IP スプーフィングなど) を示すメッセージを
記録します。
• 「破棄した TCP パケット」 - 遮断された着信 TCP 接続を記録します。
• 「破棄した UDP パケット」 - 遮断された着信 UDP パケットを記録します。
• 「破棄した ICMP パケット」 - 遮断された着信 ICMP パケットを記録します。
283
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 37 章 : ログの種別の指定
• 「ネットワーク デバッグ」 - NetBIOS ブロードキャスト、 ARP 解決の問題、 および NAT 解決の問題
を記録します。 ネットワーク管理者がアクティブな VPN トンネルの問題をトラブルシューティングするの
を支援するために、 VPN 接続に関する詳細メッセージも表示されます。 「ネットワーク デバッグ」 情
報は、 経験豊富なネットワーク管理者向けです。
• 「拒否した LAN IP へのアクセス」 - SonicWALL セキュリティ装置によって拒否されたすべての LAN
IP アドレスを記録します。
警告および SNMP トラップ
警告は、 即座な対応を必要とする攻撃などのイベントの通知です。 イベントにより警告が生成されると、
「警告の送信先」 フィールドで定義した電子メールアドレスに、 直ちにメッセージが送信されます。 「攻撃」
および 「システム エラー」 は既定で有効であり、 「遮断したウェブ サイト」 および 「VPN トンネル状況」
は既定で無効になっています。
• 「すべての種別をログ」 - これを選択すると、 すべてのイベント種別のログを記録します。
• 「攻撃」 - これに分類されたログ エントリは警告メッセージを生成します。
• 「システム エラー」 - これに分類されたログ エントリは警告メッセージを生成します。
• 「遮断したウェブ サイト」 - これに分類されたログ エントリは警告メッセージを生成します。
• 「VPN トンネル状況」 - これに分類されたログ エントリは警告メッセージを生成します。
「ログの種別」 ウィンドウを設定した後、 「適用」 を選択します。 SonicWALL セキュリティ装置が更新さ
れると、 ブラウザ ウィンドウの一番下に更新を確認するメッセージが表示されます。
284
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 38 èÕ
第 38 章
ログ自動化の設定
ログ > 自動化
「ログ」、 「自動化」 の順に選択すると、 電子メールを使用してログ ファイルを送信するように SonicWALL
セキュリティ装置を構成、 およびネットワーク上の syslog サーバを構成することができます。
電子メール
• 「メール サーバ」 - ログまたは警告メッセージを電子メールで送信するには、 「メール サーバ」 フィールド
にメール サーバの名前または IP アドレスを入力します。 このフィールドを空白のままにした場合、 ログお
よび電子メール警告メッセージは送信されません。
• 「ログの送信先」 - このフィールドに自分の電子メールアドレスを入力すると、 イベント ログが電子メール
で届きます。 送信されたログは、 SonicWALL セキュリティ装置のメモリから消去されます。 このフィール
ドを空白のままにした場合、 ログは電子メールで送信されません。
• 「警告の送信先」 - このフィールドに自分の電子メール アドレス ([email protected]) を入力する
と、 攻撃やシステム エラーが発生したときにただちに電子メールが届きます。 標準の電子メール アドレス
または電子メール ページング サービスを入力します。 このフィールドを空白のままにした場合、 電子メー
ル警告メッセージは送信されません。
• 「ログの送信」 / 「毎」 / 「時刻」 - 「ログの送信」 メニューで、 「1 日ごと」、 「1 週間ごと」、 「一杯
のとき」 から、 ログの送信頻度を指定します。
• . 「1 週間ごと」 または 「1 日ごと」 を選択した場合は、 「毎」 メニューから電子メールで送信する曜日を
指定し、 「時刻」 フィールドから電子メールで送信する時刻を指定します。
285
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 38 章 : ログ自動化の設定
Syslog サーバ
標準のイベント ログに加え、 SonicWALL キュリティ装置は、 詳細なログを外部の Syslog サーバに送
信することができます。 SonicWALL セキュリティ装置の Syslog は、 すべてのログ アクティビティをキャ
プチャし、 すべての接続ソースと宛先 IP アドレス、 IP サービス、 および転送バイト数を記録します。
SonicWALL セキュリティ装置の Syslog サポートでは、 UDP ポート 514 上で Syslog デーモンを実行
する外部サーバが必要になります。
SonicWALL ViewPoint などの Syslog アナライザまたは WebTrends Firewall Suite を使用して、
Syslog データの並べ替え、 分析、 およびグラフ化ができます。
syslog サーバを SonicWALL セキュリティ装置に追加するには、 「追加」 を選択します。
サーバの追加」 ウィンドウが表示されます。
「Syslog
1. 「名前または IP アドレス」 フィールドに、 Syslog サーバの名前または IP アドレスを入力します。
SonicWALL セキュリティ装置からのメッセージがサーバに送信されます。 最大で 3 つの Syslog
サーバ IP アドレスを追加できます。
2. syslog が既定 ポート 514 を使用していない場合は、 「ポート番号」 フィールドにポート番号を入力しま
す。
3. 「OK」 を選択します。
SonicWALL セキュリティ装置が SGMS によって管理されている場合、 SonicWall セキュリティ装置の
管理者は 「Syslog サーバ」 フィールドを設定することはできません。
「イベント冗長フィルタ (秒)」 - この設定は、 Syslog に反復メッセージが書き込まれるのを防ぎます。
「イベント冗長フィルタ」 フィールドに指定された期間に重複イベントが発生した場合、 それらのイベントは
一意のイベントとしては Syslog に書き込まれません。 代わりに、 追加のイベントが数えられ、 期間の終
了時にイベントの発生回数を記したメッセージが Syslog に書き込まれます。
「イベント冗長フィルタ」 の既定値は 60 秒、 最大値は 86,400 秒 (24 時間) です。 この値を 0 秒に設
定すると、 すべての Syslog メッセージが検閲なしで送信されます。
「Syslog 形式」 - Syslog のフォーマットとして、 「既定」 または 「WebTrends」 を選択できます。 ただ
し、 「WebTrends」 を選択した場合は、 WebTrends ソフトウェアがシステムにインストールされている必
要があります。
「ViewPoint の設定を有効にする」 - レポーティング ソリューションとして SonicWALL ViewPoint を使
用している場合、 このボックスにチェック マークを付けると Syslog 設定が変更されます。
286
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 39 èÕ
第 39 章
名前解決の設定
ログ > 名前解決の設定
「ログ > 名前解決」 ページで、 ログ レポートの IP アドレスおよびサーバ名の解決に使用されるネーム サー
バの設定ができます。
SonicWALL セキュリティ装置で、 DNS サーバまたは NetBIOS を使用してログ レポートのすべての IP ア
ドレスをサーバ名に解決します。 名前/アドレスは、 後で参照できるように、 ペアでキャッシュに保存されま
す。 「ログ > 名前解決」 ページの上部にある 「キャッシュの消去」 を選択すると、 キャッシュを消去できま
す。
名前解決の設定の選択
セキュリティ装置で、 DNS、 NetBios のどちらか、 または両方を使用して、 IP アドレスとサーバ名を解決で
きます。
「名前解決方法」 リストで、 以下を選択します。
• 「なし」 : セキュリティ装置は、 ログ レポートの IP アドレスおよび名前の解決を試行しません。
287
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 39 章 : 名前解決の設定
• 「DNS」 : セキュリティ装置は、 指定された DNS サーバを使用してアドレスおよび名前を解決します。
• 「NetBios」 : セキュリティ装置は、 NetBios を使用してアドレスおよび名前を解決します。 NetBios
を選択した場合、 これ以外の設定を行う必要はありません。
• 「DNS の後に NetBios」 : セキュリティ装置は、 最初に指定された DNS サーバを使用してアドレスお
よび名前を解決します。 これで名前が解決されない場合は、 NetBios でもう一度試行されます。
DNS サーバの指定
DNS サーバを指定するか、 または WAN と同じサーバを使用することができます。
1. 「マニュアルで DNS サーバを指定する」または「WAN と同じ DNS サーバに設定する」を選択します。
2 番目の選択肢が既定で選択されています。
2. DNS サーバの指定を選択する場合、 ネットワーク上の最低 1 つの DNS サーバに対する IP アドレスを
入力します。 サーバは 3 つまで入力できます。
3. 「ログ > 名前解決」 ページの右上角にある 「適用」 を選択して、 変更を適用させます。
288
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ëÊ 40 èÕ
第 40 章
ログ レポートの生成および表示
ログ > レポート
SonicWALL セキュリティ装置は、 イベント ログを周期的に分析して、 頻繁にアクセスされる上位 25 のウェ
ブ サイト、 IP アドレス別の上位 25 の帯域ユーザ、 および帯域を消費する上位 25 のサービスを示すことが
できます。 ブラウザ ウィンドウの左側にある 「ログ」、 「レポート」 の順に選択します。
データ収集
「レポート」 ページには、 以下の機能とコマンドがあります。
• 「データ収集の開始」 - これを選択するとログ分析が開始されます。 ログ分析が有効になると、 ボタンの
ラベルが 「データ収集の停止」 に変わります。
• 「データのリセット」 - これを選択すると、 レポート統計が消去され、 新しいサンプリング期間が始まりま
す。 サンプリング期間は、 データ収集を停止または開始したとき、 または SonicWALL セキュリティ装置
を再起動したときにもリセットされます。
データ表示
「レポート表示」 メニューから希望のレポートを選択します。 オプションで、 「ウェブ サイト ヒット」、 「IP アドレ
スごとの帯域使用」 および 「サービスごとの帯域使用」 があります。 これらのレポートについては、 以下で
説明します。 「データのリフレッシュ」 を選択すると、 レポートが更新されます。 レポートによって分析される
期間は、 「現在のサンプリング時間」 に表示されます。
289
SonicWALL SonicOS Standard 3 . 8管理者ガイド
第 40 章 : ログ レポートの生成および表示
ウェブ サイト ヒット
「レポート表示」 メニューから 「ウェブ サイト ヒット」 を選択すると、 頻繁にアクセスされる上位 25 のウェ
ブ サイトの URL と、 現在のサンプリング期間におけるサイトへのヒット数を示すテーブルが表示されます。
「ウェブ サイト ヒット」 レポートにより、 大半のウェブ アクセスが適切なウェブ サイトへされていることを確認
できます。 ウェブ サイト ヒットレポートに娯楽やスポーツなどの不適切なサイトが表示された場合は、 それ
らのサイトを遮断することができます。
IP アドレスごとの帯域使用
「レポート表示」 メニューから 「IP アドレスごとの帯域使用」 を選択すると、 上位 25 のインターネット帯域
ユーザの IP アドレスと、 現在のサンプリング期間において送信されたメガバイト数を示したテーブルが表
示されます。
サービスごとの帯域使用
「レポート表示」 メニューから 「サービスごとの帯域使用」 を選択すると、 上位 25 のインターネット サー
ビスの名前 (HTTP、 FTP、 RealAudio など) と、 現在のサンプリング期間においてサービスから受信
したメガバイト数を示したテーブルが表示されます。
「サービスごとの帯域使用」 レポートには、 使用されているサービスが自分の組織に適切かどうかが示さ
れます。 ビデオやプッシュ ブロードキャストなどのサービスが利用可能な帯域の大部分を消費している場
合は、 これらのサービスを遮断することができます。
ログ > ViewPoint
SonicWALL ViewPoint
SonicWALL ViewPoint は、 ネットワーク アクティビティに関する動的なウェブ ベースのレポートを作成す
るソフトウェア ソリューションです。 ViewPoint はリアルタイム レポートおよび履歴レポートの両方を生成し
て、 SonicWALL セキュリティ装置のすべてのアクティビティを表示します。 SonicWALL ViewPoint を
使用すると、 ネットワーク アクセスの監視、 ネットワーク セキュリティの向上、 および将来の帯域ニーズの
予測ができます。
• IP アドレスごとおよびサービスごとの帯域使用を表示します。
290
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ログ > ViewPoint
• 不適切なウェブ使用を識別します。
• 攻撃に関する詳細レポートを提示します。
• システム エラーやネットワーク エラーを収集および集計します。
補足 SonicWALL ViewPoint の設定および管理方法の詳細については、 SonicWALL セキュリティ
装置のリソース CD または 〈http://www.sonicwall.com/services/ViewPoint_documentation.html〉 にある
『SonicWALL ViewPoint ユーザーズ ガイド』 を参照してください。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
291
第 40 章 : ログ レポートの生成および表示
292
SonicWALL SonicOS Standard 3 . 8管理者ガイド
ïtò^A
付録 A
セーフモードを使用した SonicWall セキュリティ
装置のリセット
SonicWALL セーフモード
SonicWALL セキュリティ装置の管理インターフェースに接続できない場合は、 セーフモードで SonicWALL
セキュリティ装置を再起動できます。 SonicWALL セキュリティ装置のセーフモードは、 以下の操作を行うた
めの簡易な管理インターフェースです。
• 現在の設定のバックアップ コピーを作成する
• 現在の設定でセキュリティ装置を再起動する
• 工場出荷時の設定でセキュリティ装置を再起動する
• バックアップにある設定でセキュリティ装置を再起動する
• SonicOS ファームウェアをアップグレードする
SonicWALL セキュリティ装置をリセットするには、 以下の手順を実行します。
1. 管理ステーションを SonicWALL セキュリティ装置の LAN ポートに接続し、管理ステーションの IP アドレス
を 192.168.168.20 に設定します。
2. 伸ばしたクリップや楊枝のような細くてまっすぐなものを使用して、 セキュリティ装置の背面にあるリセット
ボタンを 5 ~ 10 秒押したままにします。 リセット ボタンは、 コンソール ポートまたは電源の横にある小さ
な穴にあります。
リセット ボタン Secure Anti-Virus Router 80
および80 Wireless
3. セキュリティ装置がセーフモードで再起動すると、 テスト ランプが点滅を開始します。
293
SonicWALL SonicOS Standard 3 . 8管理者ガイド
: セーフモードを使用した SonicWall セキュリティ装置のリセット
4. 管理インターフェースに接続します。 管理ステーション上のウェブ ブラウザから 192.168.168.168 に
接続します。 セーフモードの管理インターフェースが表示されます。
5. セキュリティ装置の構成を変更した場合は、 現在の設定のバックアップ コピーを作成する必要がありま
す。 「設定のバックアップの作成」 を選択します。
6. まず、 現在の設定でセキュリティ装置を再起動してみます。
起動アイコン
を選択します。
「現在のファームウェア」 と同じ行にある
7. SonicWALL セキュリティ装置が再起動した後、 管理インターフェースをもう一度開いてみます。
8. それでも管理インターフェースを開けない場合は、 リセット ボタンを使用し、 セーフモードでもう一度再
起動します。
9. セーフモードで、 工場出荷時の設定を使用してファームウェアを再起動します。
ア (工場出荷時の設定) 」 と同じ行にある起動アイコン
を選択します。
「現在のファームウェ
10. SonicWALL セキュリティ装置が再起動した後、 管理インターフェースをもう一度開いてみます。
11. 接続できた場合は、 構成を再作成したり、 バックアップ設定で再起動を試みたりしてください。 セキュリ
ティ装置をセーフモードでもう一度再起動し、 「現在のファームウェア (バックアップされた設定) 」 と同
じ行にある起動アイコン
を選択します。
SonicOS ファームウェアのアップグレード
セーフモードで、 SonicOS ファームウェアの新バージョンを SonicWALL セキュリティ装置にアップロード
することができます。
1. 〈http://www.mysonicwall.com〉 に接続します。 セキュリティ装置をすでに登録している場合は、 ご使用
のモデルに対応するアップグレードが自動的に通知されます。
2. 新しいファームウェアを管理ステーション上のディレクトリにコピーします。
3. SonicWALL セキュリティ装置がセーフモードでない場合は、 リセット ボタンを押したままにして、 セー
フモードで再起動します。
294
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicOS ファームウェアのアップグレード
4. ページの一番下にある 「ファームウェアのアップロード」 を選択します。
5. 「ファームウェアのアップロード」 ページで 「参照」 を選択して、 新しいファームウェア ファイルを選択し
ます。
6. 「アップロード」 を選択します。
7. 現在のファームウェアと新しくアップロードしたファームウェアが、 現在の設定、 工場出荷時の設定、
およびバックアップ設定とともに、 「ファームウェアの管理」 の下のリストに表示されます。
どちらのファームウェアからセキュリティ装置を起動してもかまいません。 セキュリティ装置に適用する
ファームウェアと設定を選択し、 その同じ行にある起動アイコン
を選択します。
SonicWALL SonicOS Standard 3 . 8管理者ガイド
295
: セーフモードを使用した SonicWall セキュリティ装置のリセット
296
SonicWALL SonicOS Standard 3 . 8管理者ガイド
Chapter B:
249
数字
1対1 NAT
例 106
SonicWALL ゲートウェイ アンチウィル
ス、アンチスパイウェア、および侵入防御サービス
105
A
ARP 119
ARP キャッシュ テーブル 123
ARP キャッシュのフラッシュ 123
C
CFS 除外リスト 237
CMS コンテンツ セキュリティ マネージャのリ
セット 293
D
DHCP サーバ 125
現在の DHCP リース
静的登録 127
設定 125
動的範囲の設定 126
リース範囲 125
128
GAV 保護の設定
インターフェースへの適用
252
H
H. 323 153
H. 323メッセージの変換
159
L
LAN インターフェース
イーサネット設定 95
設定 94
複数のサブネット 95
M
153
N
NAT
継続性
S
SDP 159
SIP 154
SIP メッセージの変換 158
UDP ポート 159
シグナル送信 159
メディア 159
SMTP メッセージ、抑止 255
SonicWALL アンチスパイウェア
スパイウェアの脅威 263
他のアンチスパイウェア プログラムとの併用
263
防御対象 264
SonicWALL ゲートウェイ アンチウィルス
297
264
V
VoIP
CODEC 155
H. 323 153
NAT
SIP 154
概要 151–157
サード パーティ製の相互運用性 155
着信通話 155
通話フロー 155
配備シナリオ 160–163
ローカル通話 157
VPN
GroupVPN ポリシーのエクスポート
179
G
MCU
索引
L 2 TP サーバ 205
SonicWALL グローバル VPN クライ
アント 169
SonicWALL グローバル セキュリティ
クライアント 169
SonicWALL の GroupVPN の設
定 170
VPN ウィザード 181
VPN ポリシー ウィンドウを使用したサイト
間ポリシーの作成 VPN 186
VPN を越えた DHCP
リモート ゲートウェイ 200
X. 509 v 3証明書のサポート 209
アクティブな VPN トンネル 170
サードパーティ証明書 209
サードパーティ証明書を使用した IKE の作
成 185
サイト間 VPN 接続の設定 179
サイト間 VPN プランニング シート 180
手動鍵のサイト間ポリシーの作成 184
詳細設定 195
IKE Dead Peer 検出 195
NAT トラバーサル 195
NetBIOS ブロードキャスト 195
キープ アライブ 195
断片化パケットの処理 195
事前 共有 鍵のサ イト 間ポ リシー を使 用した
IKE の作成 181
帯域幅管理の設定 196
認証局証明書 213
SonicWALL SonicOS Standard 3 . 8管理者ガイド
索引
ユーザ認証設定
ローカル証明書
196
210
W
WAN インターフェース 89
DHCP クライアントでの NAT 89
L 2 TP クライアントでの NAT 89
NAT 有効 89, 97, 99
PPPoE クライアントでの NAT 89
PPTP クライアントでの NAT 90
イーサネット設定 93
トランスペアレント モード 89, 97, 99
Z
SonicWALLセキュリティ装置の再起動 84
あ
アクセス ルール
一般的なルール ウィザード 140
概要 137
既定に復元 139
公開サーバ ルール ウィザード 139
設定例 144
帯域幅管理 137
ルール ウィザード 139
アンチスパイウェアの保護のセットアップ
有効化 274
こ
構成ウィザード
54
さ
サポート
xvii
う
し
ウィザード
登録およびライセンス 46
ウェブ プロキシ 109
サーバ障害時のバイパス 110
設定 109
システム ライセンス 57
診断 77
Ping 83
TraceRoute 84
CPU 監視 80
DNS 名前ルックアップ 80
アクティブ接続監視 79
テクニカル サポート レポート
名前の逆引き 83
ネットワーク パスの検索 81
パケット トレース 81
プロセス監視 83
侵入防御サービス
精密パケット検査 266
時刻と日付の設定 69
状況 53
最近の警告 55
システム情報 54
システム メッセージ 54
セキュリティ サービス 55
除外リスト
設定 256
か
管理 63
SNMP 65
SonicWALL グローバル管理システム
66
ウェブ管理設定 64
テーブルの既定サイズの変更
名前とパスワード 64
ファイアウォール名 63
ログイン セキュリティ 64
管理インターフェース 23
アクセス 28
共通アイコン 25
サブメニュー 24
状況バー 24
テーブルのナビゲート 25
ナビゲート 23
ヘルプの表示 26
変更の適用 24
ログアウト 26
く
クライアントへの警告、設定
255
け
継続性 NAT (NAT を参照)
298
検査
受信、有効化 254
発信 SMTP 254
ゲートウェイ アンチウィルス 249
SMTP の発信検査 254
SMTP メッセージ、抑止 255
アプリケーション制御 250
機能 249
クライアントへの警告 255
侵入防御 250
受信検査 254
除外リスト 256
精密パケット検査 250
設定ウィンドウ 255
手口 250
手口テーブル 257
ファイル転送、制限 254
プロトコル フィルタ 253
無料トライアル バージョン 251
有効化 250
65
77
す
ステータス情報
概要 252
最終確認 253
失効期日 253
手口データベース 253
手口データベースのタイムスタンプ
253
SonicWALL SonicOS Standard 3 . 8管理者ガイド
索引
せ
セーフモード 293
セキュリティ サービス
mySonicWALL.com 228
SonicWALL コンテンツ フィルタ サー
ビス 233
SonicWALL 侵入防御サービス 259
SonicWALL 電子メール フィルタ 247
SonicWALL ネットワーク アンチウィ
ルス 245
ウェブの機能性を制限する 236
検閲を強制にする IP アドレス 242
コンテンツ フィルタ サービスの有効化 234
サービスのオンライン管理 60
遮断メッセージ 237
手動でアップグレード 60
侵入防御サービスの無料トライアルの有効化
262
侵入防御サービスの有効化 261
信頼されたドメイン 236
閉じた環境での手動アップグレード 60
ネットワーク アンチウィルスの有効化 246
無料トライアル 60
要約テーブル 59
セットアップ ウィザード 29
DHCP 設定 31
PPPoE の設定 32
PPTP の設定 33
静的 IP の設定 30
セットアップ用の ISP 情報 27
そ
送信トラフィックと受信トラフィックの保護
て
テクニカル サポート
手口テーブル 257
手口の更新 253
xvii
の
ノードのライセンス
現在ライセンス済み
状況 57
除外リスト 58
58
ふ
ファームウェアのアップグレード 294
ファームウェアの管理 72
セーフモード 73
通知 72
ファームウェアの起動 74
ファームウェアの更新 72
ファイアウォール
FTP データ コネクションで20番ポートを
使用する 148
IP ID の乱数化を有効にする 148
NetBIOS の通過 147
TCP チェックサム 148
TCP 無動作タイムアウト 148
VoIP 151
サービス 149
詳細設定 147
ステルス モード 147
ソース ルーティング パケット 148
動的ポート機能への対応 148
ユーザ定義サービス 149
ファイル転送
制限 254
プロトコル フィルタ 253
ゆ
と
統合脅威管理 264
登録およびライセンス ウィザード
動的 DNS 129
設定 130
プロバイダ 129
267
PPTP クライアントでの NAT 92
WLAN プロパティ 103
インターフェース 87
インターフェース テーブル 88
トランスペアレント モード 90, 97, 99
46
ね
ネットワーク
DHCP サーバ 125
イントラネット 111
静的ルート 114
ルーティング 113
ネットワーク設定
DHCP クライアントでの NAT 91
DNS 88
L 2 TP クライアントでの NAT 92
LAN プロパティ 94
PPPoE クライアントでの NAT 91
ユーザ
RADIUS 認証 220
SonicWALL データベースへのユーザ
の追加 223
規約の承諾 220
グローバル ユーザ設定 218
現在のユーザ 217
認証 217
認証の除外 219
認証方式 218
ら
ライセンスの有効化
SonicOS の要件 268
SonicWALL セキュリティ装置の登録
269
268
手順の概要
る
ルーティング
LAN ルート通知の設定
SonicWALL SonicOS Standard 3 . 8管理者ガイド
115, 116
299
索引
syslog サーバ 286
警告 284
種別 283
電子メール警告 285
名前解決 287
メッセージ 281
レポート 289
ログ イベントの表示 280
ログ ファイルの電子メールでの送信
静的ルートの設定 114
静的ルートの例 114
テーブル 116, 118
ルート通知 115, 116
ルートの通知 96
ルートの通知設定 96
ろ
ログ
SNMP トラップ 284
SonicWALL ViewPoint
300
281
290
SonicWALL SonicOS Standard 3 . 8管理者ガイド
SonicWALL SonicOS Standard 3 . 8管理者ガイド
301
:
302
SonicWALL SonicOS Standard 3 . 8管理者ガイド
㪪㫆㫅㫀㪺㪮㪘㪣㪣㪃㩷㪠㫅㪺㪅
䇾㪈㪇㪎㪄㪇㪇㪌㪉㩷᧲੩ㇺ᷼඙⿒ဈ㩷㪈㩷ৼ⋡㩷㪏㩷⇟࿾㩷㪍㩷ภ㩷⿒ဈ㪟㪢㪥㩷䊎䊦㩷㪎㪝
㪫㪑㩷㪇㪊㪄㪌㪌㪎㪊㪄㪋㪎㪇㪈䇭㪝㪑㩷㪇㪊㪄㪌㪌㪎㪊㪄㪋㪎㪇㪏䇭㫎㫎㫎㪅㫊㫆㫅㫀㪺㫎㪸㫃㫃㪅㪺㫆㪅㫁㫇䇭㫁㪸㫇㪸㫅㪗㫊㫆㫅㫀㪺㫎㪸㫃㫃㪅㪺㫆㫄
㪧㪆㪥㩷㪉㪊㪉㪄㪇㪇㪈㪈㪍㪌㪄㪇㪇
㪩㪼㫍㩷㪙㩷㩷㪍㪆㪇㪎
㫟㪉㪇㪇㪎㩷㪪㫆㫅㫀㪺㪮㪘㪣㪣㪃㩷㪠㫅㪺㪅㩷䈲䇮㪪㫆㫅㫀㪺㪮㪘㪣㪣㪃㩷㪠㫅㪺㪅䈱⊓㍳໡ᮡ䈪䈜䇯䈖䈖䈮⸥タ䈘䉏䈩䈇䉎ઁ䈱⵾ຠฬ䇮ડᬺฬ䈲䇮ฦડᬺ䈱໡ᮡ䉁䈢䈲⊓㍳໡ᮡ䈪䈜䇯
⵾ຠ䈱઀᭽䇮⺑᣿䈲੍๔䈭䈒ᄌᦝ䈘䉏䉎䈖䈫䈏䈅䉍䉁䈜䇯
Fly UP