Comments
Description
Transcript
SonicOS 5.8.1.5-46o+ Release Notes
SonicOS SonicOS 5.8.1.5-46o+ リリースノート 目次 プラットフォームの互換性................................................................................................................................................. 1 ご使用の前に.................................................................................................................................................................. 1 ブラウザ サポート............................................................................................................................................................. 2 装置モデルによりサポートされる機能 ............................................................................................................................... 3 SonicOS 5.8 注目の機能 ............................................................................................................................................... 5 確認されている問題点................................................................................................................................................... 19 修正された問題点 ......................................................................................................................................................... 23 SonicOS イメージのアップグレード手順......................................................................................................................... 28 関連技術文書 ............................................................................................................................................................... 33 プラットフォームの互換性 SonicOS 5.8.1.5-46o+ リリースは、下記の SonicWALL 精密パケット検査 (DPI) セキュリティ装置をサポートします。 • SonicWALL NSA E8500 • SonicWALL NSA E7500 • SonicWALL NSA E6500 • SonicWALL NSA E5500 • SonicWALL NSA 4500 • SonicWALL NSA 3500 • SonicWALL NSA 2400 • SonicWALL NSA 240 • SonicWALL TZ 210 • SonicWALL TZ 200 • SonicWALL TZ 100 / 100 Wireless SonicWALL WAN 高速化装置シリーズ (WXA 500 Live CD、WXA 2000/4000 Appliances) は、5.8.1.5-46o+ で動作して いる NSA E-Class、NSA、および TZ 装置と共に使うことがサポートされています。 WXA シリーズの推奨される最低限のファ ームウェア バージョンは 1.0.18 です。 ご使用の前に 最新版をご利用ください SonicWALLセキュリティ装置を実運用環境に配備する前に、常に最新のファームウェアにアップグレードすることを推奨し ます。 最新のファームウェアとリリースノートは、 https://www.mysonicwall.com から入手できます。 (https://www.mysonicwall.com の利用には、ユーザ登録が必要です。) ファームウェアのアップロード手順については、本リリースノート後半の、「SonicOSイメージのアップグレード手順」 セクション を参照してください。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 1 ブラウザ サポート 可視化機能を持つ SonicOS は、最新のブラウザでサポートされる HTML 5 といった先進のブラウザ技術を使います。 SonicWALL は SonicOS の管理に最新の Chrome、Firefox、Internet Explorer、または Safari ブラウザの使用を推奨しま す。 本リリースでは、下記のウェブ ブラウザをサポートしています。 • Chrome 11.0 以降 (ダッシュボードのリアルタイム グラフィック表示に対する推奨ブラウザ) • Firefox 4.0 以降 • Internet Explorer 8.0 以降 (互換モードは使わないでください) • Safari 5.0 以降 SonicWALL 装置のシステム管理には、モバイル機器のブラウザは推奨されません。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 2 装置モデルによりサポートされる機能 以下の表は、SonicOS 5.8 の主な新機能の一覧で、どの装置モデルがそれらをサポートしているかを示します。 機能 / 拡張 NSA E-Class シリーズ NSA シリーズ 無線クライアント ブリッジ サポート TZ 210 シリーズ TZ 200 シリーズ TZ 100 シリーズ サポート サポート サポート サポート サポート サポート サポート アプリケーション フロー監視 サポート サポート サポート リアルタイム監視 サポート サポート サポート パケット監視の拡張 サポート サポート サポート ログ > フロー報告の拡張 サポート サポート サポート アプリケーション制御詳細 サポート サポート サポート アプリケーション ルール サポート サポート サポート DPI-SSL サポート サポート クラウド GAV サポート サポート サポート サポート サポート NTP 認証種別 サポート サポート サポート サポート サポート リンク統合 サポート ポート冗長 サポート CFS 拡張 サポート サポート サポート サポート サポート IPFIX と NetFlow レポート サポート サポート サポート VLAN サブ インターフェース サポート サポート サポート サポート サポート SonicPoint VAP サポート サポート サポート サポート サポート CASS 2.0 サポート サポート サポート サポート サポート 接続制限の拡張 サポート サポート サポート サポート サポート 動的 WAN スケジュール サポート サポート サポート サポート サポート ブラウザ NTLM 認証 サポート サポート サポート サポート サポート LDAP からのユーザ インポート サポート サポート サポート サポート サポート SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 3 SSL VPN NetExtender クライア ント更新 サポート サポート サポート サポート サポート DHCP スケーラビリティの拡張 サポート サポート サポート サポート サポート SIP アプリケーション層の拡張 サポート サポート サポート サポート サポート 複数 VPN クライアント プロポーザ サポート ルの受諾 サポート サポート サポート サポート WAN 高速化サポート サポート サポート サポート サポート サポート アプリケーション フロー監視から のアプリケーション制御ポリシー設 サポート 定 サポート サポート サポート サポート グローバル帯域幅管理による使 用感の拡張 サポート サポート サポート サポート サポート アプリケーション使用および危険 性報告 サポート サポート サポート 地域 IP フィルタと Botnet コマン ドおよびコントロール フィルタ サポート サポート サポート ワイヤとタップ モード サポート NSA 3500 以 上 ユーザ定義可能なログイン ペー ジ サポート サポート サポート サポート サポート アップグレード後のアンチウィルス サポート 除外の維持 サポート サポート サポート サポート ネットワーク インターフェースに対 する管理トラフィックのみのオプシ サポート ョン サポート サポート サポート サポート TSR に対する現在のユーザおよ びユーザ詳細のオプション サポート サポート サポート サポート サポート ユーザ監視ツール サポート サポート サポート ユーザ認証をバイパスさせる URL サポート の自動設定 サポート サポート サポート サポート SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 4 SonicOS 5.8 注目の機能 以下は、SonicOS 5.8 で提供された注目の機能です。 • リアルタイム監視 - リアルタイム可視化ダッシュボード監視機能により、管理者はネットワーク セキュリティの弱点とネ ットワーク帯域幅の問題により早く応答できます。 管理者は、組織内外へ送信される内容を管理するために、ユーザ がどのウェブサイトにアクセスしているか、ネットワーク内でどのアプリケーションとサービスが、どのような範囲で使用 されているかを見ることができます。 SonicOS 5.8 で動作する新しい装置は、登録時に自動的にアプリケーション可視化の 30 日間の無料トライアルを受け 取ります。 SonicOS 5.8 にアップグレードする、かつ、すでに GAV/IPS/AS、トータル セキュア、または、包括的ゲートウェイ セキュ リティ スイート (CGSS) がライセンスされている SonicWALL 装置は、自動的にリアルタイム可視化ダッシュボードのため のアプリケーション可視化の無料ライセンスを受け取ります。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 5 リアルタイム監視にデータを送信するには、「ログ > フロー報告」 ページに移動して、「ローカル コレクターにアプリケー ション フローを送信することを有効にする」と「リアルタイム データ収集を有効にする」 チェックボックスを選択します。 そ して 「以下のためにリアルタイム データを収集する」 ドロップダウン リストで、収集したいデータ種別に対するチェックボッ クスを選択します。 そうすると、「ダッシュボード > リアルタイム監視」 ページでリアルタイム アプリケーション トラフィックを 見ることができます。 備考: 「ローカル コレクターにアプリケーション フローを送信することを有効にする」 チェックボックスを選択すると、機器 を再起動する必要があります。 すべてのリアルタイム監視アプリケーションの凡例は、既定でアプリケーションおよび帯域幅グラフから隠されています。 この凡例を表示するには、 アイコンを選択します。 この凡例をアプリケーションまたは帯域幅グラフ内で再配置するには、 ックスを選択します。 アイコンを選択してから、希望するチェックボ 個別のアプリケーション情報を見るには、リアルタイム表示上にマウス ポインタを移動してツールチップを表示します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 6 既定では、マルチ コア監視はこの画面上の他のグラフとの関係を見やすくするために、棒グラフではなく、スタック チャ ートとして表示されます。 • アプリケーション フロー監視 - ツールバーの種別には、パケット合計、バイト合計、および平均速度が表示され、ユ ーザに対して転送中データの特定の視野を提供します。 フロー テーブル内で、アプリケーションのセッション種別下に表示された番号を選択することで、フロー テーブルが KBps 表示の速度を含むアプリケーション特定のデータと共に表示されます。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 7 • ログ > フロー報告ページ - 「ログ > フロー報告」 ページには、詳細な外部および内部フロー報告統計が表示されま す。 「設定」 セクションは、「ローカル コレクターにアプリケーション フローを送信することを有効にする」と「リアルタイム データ 収集を有効にする」 オプションが提供され、また、リアルタイム収集に対するデータ種別の選択が可能です。 報告設定は 2 つのセクションに分割され、1 つは接続についての報告に対するオプションがある 「接続報告の設定」 で、 もう 1 つは含まれる URL 種別を指定する方法を含むオプションと、ドメインまたは国によってフローのグルーピングを制 御するオプションがある 「その他の報告設定」です。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 8 • ポップアップ可視化ダッシュボード表示 - SonicWALL 可視化ダッシュボード ページのいくつかには、個別のブラウ ザ ウィンドウ内にダッシュボードを表示してより広い表示を可能にする青色のポップアップ ボタンがあります。左側の ナビゲーション バー内のページ名の右側にある青色のポップアップ アイコンを選択すると、ダッシュボード ページを 個別ページとして表示します。 このポップアップ ボタンは、下図のように各ダッシュボード ページの右上からも利用可能です。 • • • ワイヤ モード / 検査モード - 「ワイヤ モード設定」 として 「検査モード (パッシブ DPI)」 が選択された場合、「リソース 制限での分析を制限する」 チェックボックスが表示されます。このチェックボックスは既定で選択されます。このオプ ションの動作は以下のとおりです。 有効 - 装置が処理可能なパケット量のみ走査します。 無効 - すべてのパケットを走査できるように、トラフィックを減速します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 9 • アプリケーション インテリジェンス + 制御 - この機能は、更なるネットワーク セキュリティのための 2 つの要素を持ち ます。 (a) 識別: リアルタイムでアプリケーションを識別して、ユーザのネットワーク動作を追跡します。 (b) 制御: 帯域幅制限ポリシーに基づいて、アプリケーションとユーザのトラフィックを、許可/拒否します。 管理者は以下に基づいて、ネットワーク トラフィック フローをフィルタするネットワーク ポリシー オブジェクト ベースの制御 ルールを容易に作成できます。 o 危険であることが知られていて執行が難しい、アプリケーション のシグネチャ一致による遮断 o 信頼された ユーザとユーザ グループ および、ゲスト サービスのリアルタイム ネットワーク アクティビティ参照 o 内容評価済み種別 との一致 ネットワーク セキュリティ管理者は、これで、ネットワークを通るトラフィック フロー内で、アプリケーション レベル、ユーザ レベル、そして内容レベルのリアルタイム視野を手に入れました。 管理者は、即時にネットワークのトラフィック再現手配 の措置を講じて、素早くウェブ使用の悪用を識別して、組織をマルウェアの侵入から保護できます。 管理者は帯域幅を 多く取るウェブサイトとアプリケーションへのアクセスを制限して、重要なアプリケーションとサービスに高い優先度を確保 して、取り扱いに慎重を要するデータが SonicWALL で保護されたネットワークから逃れることを防ぎます。 SonicOS 5.8 で動作する新しい装置は、登録時に自動的にアプリケーション制御の 30 日間の無料トライアルを受け取 ります。 SonicOS 5.8 にアップグレードする、かつ、すでに GAV/IPS/AS、トータル セキュア、または、包括的ゲートウェイ セキュ リティ スイート (CGSS) がライセンスされている SonicWALL 装置は、自動的にアプリケーション制御ポリシー作成のため に必要なアプリケーション制御の無料ライセンスを受け取ります。 アプリケーション制御機能の利用を開始するには、「ファイアウォール > アプリケーション制御詳細」 ページで、 「アプリケ ーション制御を有効にする」 オプションを選択します。 アプリケーション ルール (アプリケーション制御ライセンスに含まれる) を使ったポリシーを作成するには、「ファイアウォ ール > アプリケーション ルール」 ページの 「アプリケーション ルールを有効にする」 を選択します。 • • • • • • グローバル帯域幅管理 - グローバル帯域幅管理は、帯域幅管理 (BWM) 設定の使い勝手を改良して、WAN だけ ではなく、すべてのインターフェース上の受信および送信トラフィックに対して管理されたパケットのスループット能力 を向上させます。 新設の 「ファイアウォール設定 > 帯域幅管理」 ページにより、ネットワーク管理者は最小保証帯 域と最大帯域の指定、およびトラフィックに対する異なる優先レベル順の制御が可能です。 これらのグローバル設定 は、ファイアウォール アクセス ルールおよびアプリケーション制御ポリシーで使用されます。 グローバル帯域幅管理 は、以下を提供します。 すべてのインターフェース上での容易な帯域幅管理 受信および送信トラフィック両方の帯域幅管理 ファイアウォール ルールおよびアプリケーション制御ルール毎の帯域幅管理の優先順位指定サポート すべてのトラフィックに対する既定の帯域幅管理キュー 「ダッシュボード > アプリケーション フロー監視」 ページからの帯域幅管理の直接適用サポート SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 10 グローバル帯域幅管理は、各物理インターフェースに適用可能な 8 つの優先順位キューを提供します。 以下は、新設された 「ファイアウォール設定 > 帯域幅管理」 ページです。 「帯域幅管理種別」 として、「WAN」 または 「グローバル」 のどちらかを選択できます。 備考: 帯域幅管理のモードを切り替えると、ファイアウォール アクセス ルール内の帯域幅管理設定は既定に戻り、すべ ての個別設定の再構成が必要になります。 アプリケーション制御ポリシー内の既定の BWM 動作は、既定の優先レベル を用いて自動的に WAN BWM または、グローバル BWM に変換されます。 グローバル優先順位キュー テーブル内で、各 「優先順位」 キューに対して 「保証」 および 「最大/バースト」 速度を設定 できます。 この速度は、パーセンテージで指定します。 実際の速度は、BWM がインターフェースに適用される際に動的 に決定されます。 インターフェースに設定された帯域幅は、最終的な値の計算に使われます。 すべての保証帯域の合 計は、100% を超えられず、保証帯域は、キュー毎の最大帯域幅より大きくできません。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 11 • 帯域幅管理監視ページ - 新しい帯域幅管理監視ページには、送信および受信ネットワーク トラフィックに対するイン ターフェース毎の帯域幅管理が表示されます。帯域幅管理監視グラフはリアルタイム、最高、高、中高、中、中低、 低、最低のポリシー設定に対して利用可能です。表示範囲は 60 秒、2 分、5 分、10 分 (既定) に設定可能です。 更新間隔は 3 から 30 秒の間で設定可能です。帯域幅管理の優先度は保証、最大、破棄で表示されます。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 12 • 地域 IP フィルタ - 地域 IP フィルタには、「次の国に対する双方向の接続を遮断する」 チェックボックスおよび、「ロ グを有効にする」 に対するチェックボックスを含むいくつかのオプションがあります。 「次の国に対する双方向の接続を遮断する」 チェックボックスは、「すべて」 または 「ファイアウォール ルール基準」 で遮 断するオプションを提供します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 13 • WAN 高速化 - SonicOS 5.8.1.5-46o+ は、SonicWALL ファイアウォールを使ってワンアーム モードで配備される、 SonicWALL WXA シリーズ装置のサポートを提供します。 WAN 高速化装置は、TCP 高速化とウィンドウズ ファイ ル共有 (WFS) 高速化といった技術を使用して、VPN または 専用リンクで接続された複数箇所間の WAN トラフィッ クを最適化します。 この配備では、SonicWALL 装置は、WAN 高速化装置が余分なトラフィックを排除してプロトコ ル待ち時間を排除する一方、アプリケーション制御、侵入防御、アンチマルウェア防御、VPN、ルーティング、アンチ スパム、およびコンテンツフィルタといった、ネットワーキングおよびセキュリティ サービスを提供します。 次の図は、 SonicWALL WXA シリーズ装置と SonicWALL ネットワーク セキュリティ装置に対する基本的なネットワーク トポロ ジを示します。 SonicWALL WXA シリーズ装置を使った WAN 高速化は、高品質のサービスや大きな帯域幅供給を購入することなく、 アプリケーション実行応答時間の改善を提供できます。 これは、長い待ち時間のためにアプリケーションの不調を引き起 こしている WAN 接続で特に注目すべきです。 • クライアントに複数のプロポーザルを許可するオプション - 「クライアントに複数のプロポーザルを許可する」 チェック ボックスにより、異なるセキュリティ ポリシーを使う複数の VPN または L2TP クライアントが、SonicOS 5.8.0.3 以上 で動作中のファイアウォールに接続することが可能になります。 このオプションは、SonicOS の 「VPN > 設定」 ページから GroupVPN を設定する際の 「詳細」 タブにあります。 クライアント ポリシーは、プロポーザル タブで設定されたプロポーザルに対して、SonicWALL GVC で接続するクライア ントと同様に、厳密に確認されることは変わりません。 このオプションは GVC には効果がありません。 この 「クライアントに複数のプロポーザルを許可する」 オプションを選択した場合は、SonicOS は、アップル OS、ウィンド ウズ、または Android クライアントといった、提示するプロポーザルがプロポーザル タブ上で設定されたものとは異なる他 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 14 の L2TP クライアントからの接続を許可するようになります。 プロポーザルは、以下の条件に一致する場合に受諾されま す。 • 提示されたアルゴリズムが、SonicOS で利用可能なアルゴリズムの 1 つと一致する場合 • 提示されたアルゴリズムが、SonicOS プロポーザルで設定されたアルゴリズムよりも強力で安全な場合 このオプションが選択されない場合は、SonicOS はクライアントが設定されたポリシーと厳密に一致することを要求します。 このオプションにより、SonicWALL は、アップル、ウィンドウズ、および Android クライアントのための混成環境をサポート できるようになります。 このオプションを使って、SonicOS はこれらのクライアントが持つプロポーザルが SonicOS でサ ポートされるアルゴリズムの組み合わせを含み、ポリシー内で GVC といった他のクライアントの失敗を防ぐように設定され ていない場合に、これらのクライアントと動作できます。 • SSL 暗号化データの精密パケット検査 (DPI-SSL) - HTTPS およびその他 SSL ベースのトラフィックを透過的に復 号化する機能を提供します。 SonicWALL の精密パケット検査技術を使ってそのトラフィックに対する脅威を走査し、 再暗号化 (または、選択によっては SSL オフロード) して、脅威や弱点が見つからなかった場合に宛先に送信しま す。 この機能はクライアントとサーバ両方の配備に対して動作します。 これにより、アプリケーション制御と暗号化さ れた HTTPS およびその他 SSL ベースのトラフィックの分析によるデータ漏洩防止機能の、追加のセキュリティを提 供します。 次のセキュリティ サービスと機能は、DPI-SSL の利用が可能です - ゲートウェイ アンチウィルス、ゲートウ ェイ アンチスパイウェア、侵入防御、コンテンツ フィルタ、アプリケーション ファイアウォール、パケット モニタとパケッ ト ミラー。 DPI-SSL は、SonicWALL NSA モデル 240 以上でサポートされます。 • ゲートウェイ アンチウィルスの強化 (クラウド GAV) - クラウド ゲートウェイ アンチウィルス機能は、危険なマルウェア 実例数の継続成長に対抗するために、SonicWALL ファイアウォール上で提供されている既存のゲートウェイ AV 走 査メカニズムを引継いで拡張する、高度なマルウェア スキャン対策を導入します。 クラウド ゲートウェイ アンチウィル スは、データセンター ベースのマルウェア分析サーバに問い合わせることによって、再組み立て自由な精密パケット 検査能力を拡張します。 このアプローチは、現在どんな大きな処理オーバヘッドの増加も装置自身に加えずにサポ ートされるすべてのプロトコルで、無制限なサイズの無制限な数のファイルをスキャン可能な、遅延の少ないのリアル タイム ソリューションを提供することによって、RFDPI ベースのマルウェア検出の基礎を保ちます。 この追加レイヤの セキュリティにより、SonicWALL の 次世代ファイアウォールは現在の保護を拡張して数百万ものマルウェア要素を カバーすることができます。 • NTP 認証種別 - ネットワーク タイム プロトコル サーバの追加時に、NTP サーバの追加ダイアログボックスで、MD5 などの NTP 認証種別を指定するフィールドが提供されます。 また、信頼鍵番号、鍵番号、そしてパスワードを指定 するためのフィールドも利用可能です。 • リンク統合 ‐ リンク統合は、複数のイーサネット インターフェースをグループ化して、単一の物理インターフェースの ように見えて動作するトランクを形成する機能を提供します。 この機能は、2 つのインターフェース間に流れるトラフィ ックに対して 1 Gbps 超のスループットが要求されるハイエンドの配備のために役立ちます。 この機能は、すべての NSA E-Class プラットフォームで利用可能です。 SonicOS 5.8 では、単一リンク内に最大 4 ポートを統合する機能を持つ、静的リンク統合がサポートされます。 統合され たリンク内のインターフェースを横断するトラフィックの負荷分散のために、ラウンドロビン アルゴリズムが使われます。 • ポート冗長化 - ポート冗長化は、リンクが落ちた場合にフェイルオーバー パスを提供するために、どのイーサネット インターフェースに対しても冗長物理インターフェースを設定する機能を提供します。 ポート冗長化は、すべての NSA E-Class プラットフォームで利用可能です。 プライマリ インターフェースが動作中は、インターフェースから入出力されるすべてのトラフィックを処理します。 プライマ リ インターフェースが停止した場合は、バックアップ インターフェースが引継いで、すべての入出力トラフィックを処理しま す。 プライマリ インターフェースが回復した場合は、バックアップ インターフェースからすべてのトラフィック処理の役割を 引継ぎます。 ポート冗長化、高可用性、および WAN 負荷分散を同時に使用する場合は、ポート冗長化が優先して、次に高可用性、 そして WAN 負荷分散と続きます。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 15 • • • • • • コンテンツ フィルタの拡張 - CFS の拡張により、アプリケーション使用、ユーザ アクティビティ、そしてコンテンツ種別 に基づいたネットワーク トラフィックのポリシー管理が提供されます。 管理者は、ユーザ グループ毎に、複数の CFS ポリシーを作成して、CFS 種別に基づいた制限の '帯域幅管理ポリシー' を設定できます。 IPFIX と NetFlow レポート - この機能は、管理者がネットワークを通してトラフィックの流れと量に対する視界を得る ことを可能にして、追跡、監査、および課金作業を支援します。 この機能は、NetFlow レポート、IPFIX、および IPFIX の拡張を含む規格ベースのサポートを提供します。 拡張を含む IPFIX を通してエクスポートされたデータは、 送信元/送信先 IP アドレスなどの標準の属性 (IPv6 ネットワークのサポート含む)、送信元/送信先ポート、IP プロトコ ル、受信/送信インターフェース、連番、タイムスタンプ、バイト数/パケット数、およびその他と共に、アプリケーション インテリジェンスを通して抽出されたアプリケーション、ユーザ、および URL などのネットワーク フローの情報を含み ます。 TZ シリーズの VLAN サポート - SonicOS 5.8 は、SonicWALL TZ 210/200/100 シリーズ装置に対する VLAN サ ポートを提供します。 TZ 210 と 200 シリーズは最大で 10 個の VLAN を、TZ 100 シリーズは最大で 5 個の VLAN をサポートします。 TZ シリーズの SonicPoint 仮想アクセス ポイント サポート - SonicWALL TZ 210/200/100 シリーズ装置に 1 台以 上の SonicPoint が接続されている場合に、仮想アクセス ポイント (VAP) がサポートされます。 TZ 210 と 200 シリ ーズは最大で 8 個の VAP を、TZ 100 シリーズは最大で 5 個の VAP をサポートします。 LDAP プライマリ グループ属性 - ポリシー設定時にドメイン ユーザを使うことを許可するために、"プライマリ グルー プ" 属性を通してドメイン ユーザ グループのメンバーシップが検索可能です。 この機能を使うために SonicOS 5.8.1.5-46o+ は LDAP スキーマ設定内の属性設定を提供します。 アップグレード後のアンチウィルス除外の維持 - SonicOS 5.8.1.5-46o+ は、開始 IP アドレスが、LAN、WAN、 DMZ、または WLAN ゾーンのどれかに属するアンチウィルス執行から除外するために設定された既存の範囲内か どうかを検知する機能を提供します。 新しいファームウェア バージョンにアップグレードした後で、SonicWALL はこ の IP 範囲を新しく作成されたアドレス オブジェクトに適用します。 個別ゾーンを含む、上記にリストされていない他 のゾーンのアドレスの検知はサポートされません。 アップグレードの前に存在していて個別ゾーン内にあるホストに適用されていたアンチウィルス除外は、検知されません。 サポートされているゾーン内に無い IP アドレス範囲は、LAN ゾーンに戻ります。 LAN ゾーンへの変換は、再起動処理 中に実行されます。 SonicWALL 管理インターフェースへのログイン時に、この変換に関するメッセージは表示されませ ん。 • 統合アンチスパム サービス (CASS) 2.0 - 統合アンチスパム サービス (CASS) 機能は、SonicWALL セキュリティ 装置にアンチスパム、アンチフィッシング、そしてアンチウィルス能力を追加するための、素早く能率的で、効果的な 手法を提供します。 この機能はユーザ表示設定を構成してジャンク メッセージをユーザがインボックス内で見る前に フィルタする機能を提供することで、SonicWALL セキュリティ装置の能力を増大します。 CASS 2.0 では、以下の拡 張が利用可能になりました。 o Email Security ジャンク ストア アプリケーションを、Exchange サーバ システムの外部 (例えばリモート サーバ 上) に配備可能です。 o ジャンク ストア ユーザ インターフェース ページの機能により、ジャンク ストアが SonicOS の左側ナビゲーション ペインのアンチスパム下に表示するページ一覧を SonicOS に通知できます。 たとえば、ペインはジャンク ボック スの表示、ジャンク ボックスの設定、ユーザ表示設定、かつ/またはアドレス ブックを表示することができます。 o ホスト オブジェクトに加えて、FQDN と範囲オブジェクトと共にユーザ定義の許可および拒否リストが設定できま す。 o 「アンチスパム > 状況」 ページで、GRID IP の確認ツールが利用可能です。 SonicWALL 管理者は IP アドレス を指定 (必要時に) して、SonicWALL GRID IP サーバで調べ合わせることができます。 この結果は、リストされ ている、いないで返されます。 リストされているホストからの接続は、CASS が動作している SonicWALL セキュリ ティ装置によって (許可リストで優先されない限り) 遮断されます。 o 「アンチスパム > 設定」 ページの詳細オプション セクションで、プローブ応答のタイムアウトを指定するパラメータ が利用可能です。 このオプションは、ターゲットが頻繁に利用不可とマークされることを防ぐために、より長いタイ ムアウトが必要な配備シナリオをサポートします。 既定値は 30 秒です。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 16 • • • • • • • 接続制限の拡張 - 接続制限の拡張は、それぞれの IP アドレスに対する接続数の包括的制御を提供していた最初 の接続制限機能を広げます。 この拡張は、SonicWALL 管理者がより柔軟に接続制限を設定できるように、この種 の制御の細やかさを増強するように設計されています。 接続制限は、接続制限を設定する際に、管理者が IP アド レス、サービス、およびトラフィック方向を選ぶことを許可するために、ファイアウォール アクセス ルールとポリシーを 使用します。 動的 WAN スケジュール - SonicOS 5.8 は、動的 WAN クライアントがいつ接続できるかを制御するためのスケジュ ーリングをサポートします。 動的 WAN クライアントは、PPPoE、L2TP、または PPTP を使って WAN インターフェ ースに接続し、IP アドレスを取得します。 この拡張で管理者は、動的 WAN クライアントにスケジュールオブジェクト を紐付けて、スケジュールが許可する時間に接続を許可して、設定されたスケジュールの終わりで切断することがで きます。 SonicOS 管理インターフェースでは、IP 割り当てに対して前述のプロトコルの 1 つが選択されている場合 に、WAN インターフェースの設定画面でスケジュール オプションが利用可能です。 一旦スケジュールが適用される と、スケジュールの開始と停止時にログ イベントが記録されます。 Mozilla ブラウザでの NTLM 認証 - シングル サインオン拡張の 1 つとして、SonicOS は Mozilla ベースのブラウ ザを使ってブラウズするユーザを識別するために NTLM 認証を使えるようになりました (インターネット エクスプロー ラ、Firefox、Chrome、Safari を含む)。 NTLM は、“統合ウィンドウズ セキュリティ” として知られるブラウザ認証スイ ートで、すべての Mozilla ベースのブラウザでサポートされるべきです。 これにより、SonicWALL 装置からブラウザ に対して SSO エージェントの関与無しで直接認証要求ができます。 NTLM 認証はウィンドウズ、Linux、および Mac PC 上のブラウザで動作して、SSO エージェントと協調動作することのできない Linux と Mac PC のシングル サインオンを実行するメカニズムを提供します。 シングル サインオンのユーザを LDAP からインポートするオプション - 「ユーザ > ローカル ユーザ」 ページの 「LDAP からインポート」 ボタンにより、LDAP サーバからユーザ名を取得することで SonicWALL 上のローカル ユ ーザを設定できます。 これにより、成功した LDAP 認証を経て SonicWALL のユーザ権限を容認することができま す。 容易に使えるように、リストを管理可能なサイズに縮小してからインポートするユーザを選択するオプションが提 供されます。 SSL VPN NetExtender 更新 - この拡張は、様々な修正と共に、SSL VPN ユーザによるパスワードを変更機能を サポートします。 パスワードの期限が切れる場合、NetExtender クライアントか SSL VPN ポータルを介してログイン するときに、ユーザにパスワード変更が要求されます。 これはローカル ユーザとリモート ユーザーの両方 (RADIUS と LDAP) をサポートします。 DHCP スケーラビリティの拡張 - SonicWALL 装置の DHCP サーバは、以前サポートしていたリース数の 2 倍から 4 倍を提供するように拡張されました。 DHCP インフラのセキュリティを強化するために、SonicOS DHCP サーバは、 ネットワーク上に割り当てられた IP アドレスを使っている別の機器が無いことを確認するために、サーバ サイドの競 合検出を提供するようになりました。 競合検出は、アドレスを取得時の遅延を避けるために非同期に実行されます。 SIP アプリケーション レイヤ ゲートウェイの拡張 - SonicOS 5.8 で、SIP 動作と能力の拡張が提供されます。 この SIP 機能セットは、以前の SonicOS リリースと同等のままですが、大幅に強化された信頼性とパフォーマンスを提供 します。「VoIP > 設定」 ページの 「SIP の設定」 セクションは変更されていません。 SonicOS ファームウェアには、古いプラットフォーム上の非常に古いバージョンから、SIP ALG サポートが存在していま す。 SIP ALG の変更は、電話機の間で最適化された中間物、SIP Back-to-Back User Agent (B2BUA)、追加の機器 ベンダ、そしてマルチコア システム上での動作をサポートするために、時間の経過とともに追加されています。 VoIP を含む音声インフラを保護する SIP プロトコルは、現在商業上非常に重要な位置付けになりました。 この現代の音 声インフラの要求に順応するために、SIP ALG 拡張は以下を含みます。 o SIP エンドポイント情報データベース - 既知のエンドポイントの状況情報を維持するこのアルゴリズムは、強化さ れたパフォーマンスと拡張性のためにデータベースを使うように再設計されました。 エンドポイント情報はユーザ ID に紐付けられなくなり、単一のエンドポイントに複数のユーザ ID を関連付けることが可能になりました。 NAT ポリシー、またエンドポイント IP アドレスとポートによる索引付けを使うエンドポイント データベース アクセスは、 柔軟で効率的です。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 17 自動追加される SIP エンドポイント - ユーザにより設定されたエンドポイントは、ユーザにより設定された NAT ポ リシーに基づいて、これらのエンドポイントが "学習済み" ではなく事前設定済みとして自動的にデータベースに 追加され、強化されたパフォーマンスを提供し、正しいマッピングを確かにします。 o SIP 通話データベース - 進行中の通話についての情報を維持するための通話データベースが実装され、強化 されたパフォーマンスと拡張性を提供し、SonicOS がより多くの同時通話を処理することを可能にします。 通話 データベース エントリは、複数通話と関連付けることが可能です。 o B2BUA サポートの拡張 - SIP Back-to-Back User Agent サポートは、様々なアルゴリズムの強化があり、より効 率的です。 o 接続キャッシュの強化 - 以前に接続キャッシュで保持されたデータの多くが、エンドポイント データベースか通話 データベースのどちらかにオフロードされ、より効率的なデータ アクセスとそれに伴う性能の強化につながります。 o 正規シャットダウン - ファイアウォールの再起動の要求や既存の SIP エンドポイントと通話状態情報のタイムアウ トを待つことなく、SIP 変換を無効にすることを可能にします。 ネットワーク インターフェースに対する管理トラフィックのみのオプション - SonicOS 5.8.1.5-46o+ は、「ネットワーク > インターフェース」 ページからインターフェースを設定する際に、インターフェースの設定ウィンドウの 「詳細」 タブ に、「管理トラフィックのみ」 オプションを提供します。 選択すると、このオプションはインターフェースに到着するすべ てのトラフィックに優先順位をつけます。 管理者は、完全に管理目的で使うように計画されたインターフェースに対し てのみ、このオプションを有効にするべきです。 通常のインターフェースでこのオプションが有効な場合でも、トラフィ ックに優先順位付けされますが、期待した結果になりません。 トラフィックを管理のためだけに制限するのは、管理者 次第であり、ファームウェアには通過するトラフィックを防ぐ能力はありません。 o • このオプションの目的は、装置が 100% の使用率で動作している場合でも SonicOS 管理インターフェースにアクセスす る手段を提供するためです。 • ユーザ認証をバイパスさせる URL の自動設定 - SonicOS 5.8.1.5-46o+ には、単一の特定の IP アドレスからのト ラフィックを認証をバイパスして一時的に許可するための自動設定ユーティリティがあります。 トラフィックがアクセス する宛先は記録され、トラフィックがユーザ認証をバイパスすることを許可するために使われます。 通常これはアンチ ウィルスの更新やウィンドウズ アップデートのようなトラフィックを許可するために使われます。 この機能を使うには、 「ユーザ > 設定」 ページに移動して 「その他のグローバル ユーザ設定」 セクションの、「自動設定」 ボタンを選択し ます。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 18 確認されている問題点 以下は、SonicOS 5.8.1.5-46o+ で確認されている問題点です。 アプリケーション制御 概要 背景 / 応急 問題 アプリケーション ルール ポリシーが .exe の添付ファイ アプリケーション ルール ポリシーが添付ファイルを ルを持つ POP3 着信電子メールを遮断するように作成 遮断するように作成されていても、添付ファイル付き されていて、PC から ファイアウォールの LAN インター の電子メールを受信します。 フェースに接続して .exe の添付ファイルを持つ電子メ ールを送信した場合に発生します。 111851 アプリケーション制御詳細ポリシーが WAN ゾーン ではなく、VPN ゾーンとのトラフィックに適用されま す。 WAN ゾーン上でアプリケーション制御サービスが有効 になっていて、すべてのシグネチャに対してログまたは 遮断動作が有効になっている場合に発生します。LAN から VPN へのトラフィックが生成されると、アプリケーシ ョン制御詳細ポリシーが VPN トラフィックに適用されま す。 107296 グローバルに無効にしても、アプリケーション ルー ル ポリシーの効果が継続します。 ポリシーをグローバルに無効にするために 「アプリケー ション ルールを有効にする」 チェックボックスを非選択 にしてからアプリケーション ルールポリシーを作成した場 合に発生します。 WAN インターフェース上のトラフィッ 101194 クがこのルールに一致すると、設定されたポリシー動作 が適用されます。 応急: 「アプリケーション ルールを有 効にする」 チェックボックスを非選択にしてから装置を再 起動します。 アプリケーション ルール ポリシーが、「アプリケーション フロー監視」 ページの 「ルールの作成」 ボタンを使って 作成され、かつ「アプリケーション ルールを有効にする」 「アプリケーション ルールを有効にする」 チェックボ チェックボックスが無効 (工場出荷時の設定) の場合に ックスが非選択でも、アプリケーション ルール ポリシ 発生します。「アプリケーション ルールを有効にする」 チ 100120 ー内で設定された関連するトラフィックが遮断されま ェックボックスが無効でも、アプリケーション ルール ポリ す。 シーは作成されて機能してしまいます。 応急: 「アプリケ ーション ルールを有効にする」 チェックボックスを非選 択にしてから装置を再起動します。 帯域幅管理 概要 背景 / 応急 問題 インターフェースがトラフィックを通過させている間に、受 信または送信インターフェース値を編集した場合に発生 インターフェースに対する受信または送信値が編集 します。 101286 されて、トラフィックがそのインターフェースを通過す る際にトラフィックが落とされます。 応急: インターフェース上のトラフィックを停止してから、 値を編集します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 19 「アプリケーション フロー監視」 ページで帯域幅管理ル 帯域幅管理のアプリケーション ルールが、誤ったグ ールを作成して、優先順位を「高」 に設定した場合に発 ローバル BWM 優先順位キューにマップされること 生します。「アプリケーション フロー監視」 ページには、 100116 「高」 優先順位を選択して作成されたルールにも関わら があります。 ず、「中」 の優先度設定で表示されます。 DPI SSL 概要 背景 / 応急 問題 DPI-SSL によって、リモート デスクトップ プロトコル (RDP) トラフィックの WLAN から LAN への通過が 中断されます。 ウィンドウズ 7 が稼動していて WLAN から LAN へトラフ ィックを通過させる場合に発生します。LAN 側は開始者 102701 として WLAN 側と RDP セッションを確立できません。 高可用性 概要 背景 / 応急 問題 プローブありで高可用性が有効で、プライマリ WAN イ ンターフェースが冗長ポートありで設定されている場合 に発生します。 アクティブ ポートのリンクがダウンする と、負荷分散 (既定で有効) はプライマリ WAN インター フェースの状況を “フェイルオーバー” に変更します。 プライマリ WAN ポートが動作を停止した際に、冗 長化 WAN ポートはトラフィックの通過を許可します プライマリ WAN サブネットへのすべてのルートはダウン が、プライマリ WAN インターフェースと、このサブネ としてマークされ、そのサブネットへのトラフィックは失敗 97883 ットへのすべてのルートが停止中としてマークされま します。 しかしながら、プライマリ WAN インターフェース のデフォルト ゲートウェイの遠方上にあるすべての宛先 す。 へのトラフィックは、冗長ポートを使うことで成功し続けま す。 応急: 負荷分散または HA プローブを無効にします。 ネットワーク 概要 背景 / 応急 問題 ルート ベースの VPN または トンネル インターフェ ースに対して断続的にルートが落ちます。 OSPF が有効なリモート機器に向けて 2 つ以上のルー ト ベースの VPN (またはトンネル インターフェース) が 構成されている場合に発生します。 102961 ワイヤモード インターフェースが保護かつアクティブ (ア ワイヤモードでペアになっているインターフェースを クティブ精密パケット検査 (DPI) が有効) として設定され 101359 通過するトラフィックが失敗します。 ている場合に発生します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 20 ユーザ 概要 背景 / 応急 問題 「ユーザ > 設定」 ページに移動して、「シングル サイン ホストへの Ping やドメイン名を使ったウェブサイトへ オン方法」 ドロップダウン リストで 「SSO エージェント」 を選択してから、TSA エージェントを設定して、既定の 111879 のアクセス後に、ログ ページがメッセージ “UDP LAN から WAN へのアクセス ルールのユーザを Packet Dropped” を表示します。 「Trusted Users」 に設定した場合に発生します。 「ポリシー アクセス ブロック」、「ポリシー アクセス ダ ウン」、および 「ポリシー アクセス利用不可」 ログイ ン ページ種別が保存できずにエラー メッセージを 受け取ることがあります。 「ユーザ > 設定」 ページの 「ログイン ページのユーザ 定義」 セクション内の 「ログイン ページの選択」 ドロップ 111814 ダウン リストで、これらのログイン ページ種別が選択され ているときに変更を保存しようとした場合に発生します。 可視化 概要 背景 / 応急 問題 NetFlow EndTime タイムスタンプが妥当で許可さ れた TCP パケットに対して 0.00000 になります。 NetFlow コレクタのログが適用可能なインターフェースと ルール上で有効で、TCP トラフィックが許可された宛先 に送信された場合に発生します。パケット キャプチャの 107239 詳細を確認すると、EndTime タイムスタンプに 0.00000 と表示されています。 VPN 概要 背景 / 応急 問題 複数の VPN ポリシーが設定されている状況で、 VPN トンネルが 1 つだけしかアクティブにできませ ん。 複数のポリシーに対してネゴシエーションは行 われますが、1 番目のポリシーだけがアクティブ トン ネルになります。 2 台のファイアウォール間で 2 つ以上の VPN ポリシー が設定されていて、そのうち 1 台のファイアウォールで それぞれのポリシーが異なる WAN インターフェースに 紐付けられている場合に発生します。 110476 103398 2 台の SonicWALL 装置間で 1 つ IPSec VPN トンネ ルが設定されていて、そのうち 1 台が二重 WAN インタ ときどき、セカンダリ IPSec ゲートウェイが、プライマ ーフェース (X1 と X4) を持っている場合に発生します。 103935 リ ゲートウェイが到達不能の場合にピアとのトンネル プライマリ WAN インターフェースが切断されると、セカ 確立ができなくなります。 ンダリ インターフェースを使ってトンネルを確立できませ ん。 日本語版特有の問題点 概要 背景 / 応急 問題 エクセルが UTF-8 エンコードの CSV ファイルを異なるエン 「ダッシュボード > 接続監視」 ページでエクスポ コードで開くために発生し、ヘッダ行 (1 行目) が文字化け ートした CSV 形式の接続監視結果ファイルをエ します。 応急: 最初にテキスト エディタ等で CSV ファイル のエンコードを Shift-JIS または BOM 付きの UTF-8 に変 クセルで開くと、文字化けすることがあります。 更してから、エクセルで開きます。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 21 「システム > 管理」 ページから言語を切替える と、設定情報が破損することがあります。 本リリースのファームウェアは、設定を引き継いだ言語の切 替をサポートしていません。 日本語から英語に切替えて、 その後日本語に戻しても設定情報は破損した状態になるの で、言語を切替えないでご利用ください。 応急: 言語を切 替えてしまった場合は、工場出荷時の設定で起動してか ら、必要な設定を行ってください。 「システム > 設定」 ページからファームウェアを アップロードし、“アップロードされたファームウェ ア"で起動すると、通常表示されるはずの再起動 中の画面が正しく表示されないことがあります。 インターネット エクスプローラを使用して“アップロードされた ファームウェア”で起動した場合に発生します。 この問題が 発生しても、機器は正しく再起動されます。 応急: インター ネット エクスプローラの代わりにFireFoxを使用します。 「セキュリティ サービス > 概要」ページが正しく 表示されないことがあります。 「プロキシを経由しての手口ダウンロード」機能を有効にした 場合に発生します。 この問題が発生しても、手口のダウンロ 83453 ード機能は正しく動作します。 SSL VPN ポータルにログイン後、NetExtender ボタンを選択しても SSL VPN 接続に失敗する ことがあります。 日本語版ウィンドウズ XP を使用した場合に発生し、 NetExtender のインストールは完了していますが接続に失 敗することがあります。 応急: 接続の失敗後に、PC を再起 動してから再度 SSL VPN ポータルで NetExtender ボタン を選択します。 本リリースのファームウェアは、工場出荷時の設 定で起動してから一度も英語表示の管理画面に 切替えていない 5.x ファームウェアからのみ、設 定を引き継いだアップグレード、およびエクスポ 今後のパッチ リリースで対応する予定です。 ートした設定ファイルのインポートに対応してい ます。 それ以外の状況での設定の引き継ぎとイ ンポートにはまだ対応していません。 - 管理画面やメッセージに、英語で表示される箇 所があります。 - SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B - 22 修正された問題点 以下は、SonicOS 5.8.1.5-46o+ で修正された問題点です。 帯域幅管理 概要 背景 / 応急 問題 グローバル帯域幅管理が有効で、400 Mbps の UDP ト ラフィック (1518 bytes) が X5 (DMZ) インターフェース から X0 (LAN) に通過した場合に発生します。X5 上で インターフェース毎の受信/送信速度が帯域幅管理 帯域幅管理速度が設定されていない場合は X0 上で受 108199 信される速度は完全な 400 Mbps です。X5 上で 200、 設定によって正確に制御されません。 300、または 400 Mbps の受信速度が設定されている 場合は、X0 上で受信される速度は 135、140、または 146 Mbps です。 コンテンツ フィルタ システム 概要 背景 / 応急 問題 コンテンツ フィルタ システム (CFS) によって、許可 リストに 100 より多いドメインが設定されていても、 最初の 100 ドメインだけに適用されます。 許可するドメインを“ポリシー毎” に設定した個別 CFS ポ リシーを作成して、100 より多いドメインを許可リストに追 加した場合に発生します。 解決: 100 ドメインを超えた 107969 場合にユーザに警告が表示されるようになり、ユーザに ドメインの制限が 100 であることを知らせる注意書きが 管理インターフェースに追加されました。 SonicWALL CFS 遮断ページが、遮断対象のペー ジにアクセスされたときに表示されず、その代わりに ユーザには“ページが表示できません”メッセージが 表示されます。 ユーザがレイヤ 2 トンネリング プロトコルを介して接続し ていて、L2TP サーバがルートオール モードで設定され 92539 ている状況で、ユーザが CFS ポリシーによって遮断さ れているウェブサイトをブラウズした場合に発生します。 ダッシュボード 概要 背景 / 応急 問題 「ファイアウォール設定 > 帯域幅管理」 ページに移動し 帯域幅管理アイコンが選択された後に何も表示しま てから、帯域幅管理アイコンを選択した場合に発生しま 109663 せん。 す。 「ダッシュボード > ユーザ監視」 ページに移動してから 「ユーザ監視」 の隣にあるアイコンを選択した場合に発 「ダッシュボード > ユーザ監視」 ページ上の表示形 生します。ブラウザに個別の「ダッシュボード > ユーザ監 109634 視」 ページが表示されますが、表示形式、縦軸、そして 式、縦軸、そして表示オプションが動作しません。 表示オプションが動作せず、ブラウザ ページを更新して もこれらのオプションは動作しないままです。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 23 ファームウェア 概要 背景 / 応急 問題 SonicWALL TZ 200 Wireless 装置で、「セキュリテ ィ サービス > 概要」ページと「システム > 状況」ペ ージに Botnet サービスがこのプラットフォームでサ ポートされていないにも関わらず、誤ってリストされま す。 Botnet コマンドとコントロール フィルタは SonicWALL TZ 100 および TZ 200 シリーズ装置ではサポートされ ません (このリリースノート内の「装置モデルによりサポー 108038 トされる機能」の表にも記されています)。「システム > 状 況」 ページ上の Botnet サービスの '未購読' 表示は無 視してください。 MSCHAPv2 認証が 1 番目の認証方式として設定 されている場合に、iPad クライアントが L2TP サー バへの接続に失敗します。 GroupVPN が有効で、L2TP に対して設定されている 場合に発生します。PAP 認証が 1 番目の認証方式とし て設定されている場合は iPad は接続に成功しますが、 106801 MSCHAPv2 が選択されている場合は失敗します。 応 急: 下矢印ボタンを使って MSCHAPv2 を認証プロトコ ル リストの一番下に移動します。 DPI-SSL 概要 背景 / 応急 新しく追加された 「コモンネーム除外」 が DPI-SSL DPI-SSL のコモンネーム除外リストで URL を追加また コモンネーム除外リストに反映されない、または既存 は編集した場合に発生します。 の除外が失われます。 問題 98536 ログ 概要 背景 / 応急 内部 Viewpoint サーバに Syslog メッセージの送信を Syslog メッセージが送信元 IP アドレス 0.0.0.0 で、 試みた場合に発生し、WAN インターフェースから送信 誤ったインターフェースから送信されます。 元 IP アドレス 0.0.0.0 で送信されます。 問題 106271 ネットワーク 概要 背景 / 応急 管理インターフェースの「ネットワーク > NAT ポリ シー」 ページが、いくつかのポリシー名に対して重 WAN 上の IP を使ってウェブ プロキシ機能を有効にし 複したポリシーと余計な文字を表示することがありま てから装置を再起動した場合に発生します。 す。 問題 110091 ファイアウォールが Cisco MPLS ルータとリモートの場 所の LAN の間でルート モードで設定されている状況 Kerberos 認証が UDP ベースの場合に、SonicOS で、LAN ユーザが MPLS リンク上で Kerberos 認証を 108049 が断片化パケットを破棄します。 用いてリモート コンピュータへのアクセスを試みた場合 に発生します。SonicWALL は Cisco MPLS ルータから の断片化された戻りトラフィックを破棄します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 24 DynDNS.com のフリー アカウントを TTL を 60 秒に設 定して使用していて、動的 DNS プロファイルがファイア 動的 DNS エージェントが、新しい IP アドレスがオ ウォールに追加され、DSL/PPPoE を使っていてサービ ス種別が動的の WAN インターフェースに紐付けられて ンライン状況と WAN インターフェース IP アドレス 104539 に反映されても動的 DNS レコードを自動的に更新 いて、それから動的 WAN IP アドレスの更新が WAN しません。 PPPoE インターフェースの切断と再接続によって、再起 動によって、またはファイアウォールのアップグレードに よって引き起こされた場合に発生します。 SNMPc サーバ上の MIB ブラウザが、接続された SonicWALL 装置のインターフェースに対して正確 ではありません。 SNMPc サーバが SonicWALL NSA 装置のセカンダリ WAN インターフェースに接続され、SNMPv2 を用いた 読み取り/書き込み アクセスが設定されている場合に発 生します。SNMP 管理はこの接続されたインターフェー ス上で有効です。 89533 背景 / 応急 問題 SonicPoint 概要 108913 管理装置のユーザ インターフェースに、SonicPoint 108564 Ne/Ni に状況が “応答なし” と表示されることがあり ます。 別のケースでは、ユーザ インターフェースが 1 台以上の SonicPoint が一時的に管理ファイアウォー 107448 SonicPoint Ne/Ni を “利用可能” と表示しているに ルと通信できない場合に発生します。 も関わらず、再起動中のこと、または、SSID が一時 107441 的にブロードキャストを停止していることがあります。 105665 システム 概要 背景 / 応急 問題 オーストラリアのタイム ゾーンに対して夏時間の自 動調整が実行されません。 SonicWALL 装置が シドニー/メルボルン (GMT +10:00) タイム ゾーンを使うように設定されていて、「自 動的にサマー タイムを調整する」 チェックボックスが選 択されている状況で、時間変更の日時になった場合に 発生します。 95748 背景 / 応急 問題 ユーザ 概要 SonicWALL によるレイヤ 2 ブリッジ モード内のインター Internet Explorer 8 または 9 で、SonicWALL によ フェース上での強制認証のために、ユーザ レベル認証 109762 る強制認証用のリダイレクトが動作しません。 (ULA) ルールを使っている場合に発生します。 RADIUS が有効にされるまで NT LAN Manager 認証方式を LDAP に、シングル サインオン方式を SSO (NTLM) を有効にできませんが、NTLM が有効にさ エージェントに設定している状況で、NTLM と RADUIS 109247 れるまで RADIUS を有効にできません。 を有効にした場合に発生します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 25 ユーザ インターフェース 概要 背景 / 応急 LAN 上の HTTP(S) 管理またはユーザ ログインが できず、エラー メッセージ “ご不便をおかけします が、ユーザのログインが最大数に達しているか、 同 210 以上の HTTP(S) 接続が装置に対してオープンし 時に多くのユーザがログインを試みています。 再度 ているが、接続処理の途中 (ブラウザからの何かを待つ 実行するか、ファイアウォールの管理者に連絡して など) で停止した場合に発生します。 ください。” が表示されます。SSH を介したログイン は可能なままです。 問題 100106 可視化 概要 背景 / 応急 問題 NetFlow EndTime タイムスタンプが妥当で許可さ れた TCP パケットに対して 0.00000 になります。 NetFlow コレクタのログが適用可能なインターフェースと ルール上で有効で、TCP トラフィックが許可された宛先 に送信された場合に発生します。パケット キャプチャの 107239 詳細を確認すると、EndTime タイムスタンプに 0.00000 と表示されています。 VoIP 概要 背景 / 応急 問題 保留中の呼び出しに答えた後に、着信 SIP 音声が 保留を解除した後で、既存の SIP メディア接続を再ネゴ 108339 聞こえません。 シエートせずに再利用している場合に発生します。 VPN 概要 背景 / 応急 問題 ローカル ファイアウォール上で 2 つの VPN ポリシーが 設定されていて、リモート ファイアウォール上で 1 つの VPN ポリシーがローカル ポリシーの 1 つと対応するよう 誤設定された VPN ポリシーが、不一致プロポーザ に設定されている場合に発生します。リモート ファイアウ ルに対するエラーをログする代わりに、フェーズ 2 ト ォールがトンネル ネゴシエーションを開始すると、対応 107806 ンネルの確立を許可します。 するポリシーとフェーズ 1 を確立しますが、もしフェーズ 2 プロポーザルがもう 1 つのポリシーと対応すると、不一 致プロポーザルに対するエラーをログする代わりにその ポリシーを使ってトンネルを確立します。 レイヤ 2 トンネリング プロトコル (L2TP) が、iOS / MAC ユーザが認証なしで (事前共有鍵のみ使っ て)接続することを許可します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B RSA SecureID オプションを有効にしていて、間違った ユーザ名と事前共有鍵を用いて認証した場合に発生し ます。ファイアウォールは正しい認証を要求し、RSA 107803 SecureID が有効なリモート クライアントが事前共有鍵の みを使って L2TP に接続することを許可しないべきで す。 26 リモート DHCP クライアント マシン上のユーザが HTTP を使ってセントラル ファイアウォールに接続 できません。 リモートおよびセントラル ゲートウェイが、リモート ネット ワークが VPN トンネルを通して DHCP で IP アドレスを 取得することを許可するように設定され、これによりセント ラル ゲートウェイ上にアクセス ルールが自動的に追加さ れている場合に発生します。「ファイアウォール > アクセ ス ルール」 ページで、これらのアクセス ルールを 「許可 107637 するユーザ」 フィールドが 「すべて」 になるように設定す る編集をしてから、リモート ネットワーク上の DHCP クラ イアントに対する IP アドレスが更新された後で、それら のクライアント マシンからユーザが接続できなくなりま す。 リモート サイトの DHCP ポリシーとして IP ヘルパーが DHCP (ユニキャスト) パケットがセントラル ゲートウ 有効で、セントラル サイトで DHCP サーバが有効になっ ェイ上で IP スプーフされたパケットとして破棄されま ている状況で、IP ヘルパーが DHCP リレー パケットを 105924 す。 VPN トンネル インターフェース上に送信した場合に発 生します。 WAN 高速化 概要 背景 / 応急 問題 WFS 高速化が有効にできず、エラー メッセージ “ホスト名の保存中にエラーが発生しました。” が表 示されます。 WFS 高速化を無効にして、WXA ファームウェア バー ジョンをアップグレードまたはダウングレードしてから、 WFS 高速化を再度有効にした場合に発生します。 110377 WFS 高速化が無効にされた後で WXA ホスト名は編集 が許可され、それにより WFS 高速化を再度有効にしよ うとした際にエラー メッセージが発生します。 TCP 高速化サービス オブジェクトの設定が、 SonicWALL WXA の再起動後に消失します。再起 動後にフィールドは、既定値の “HTTP” に戻りま す。 SonicOS の 「WAN 高速化 > TCP 高速化」 設定ペー ジ上の 「TCP 高速化サービス オブジェクト」 フィールド に既定値以外の値を設定して、設定を保存してから、 WXA 装置を再起動した場合に発生します。 108197 SonicWALL WXA が SonicWALL ファイアウォールに SonicOS が SonicWALL WXA に対する以前の IP 接続され、IP アドレスに静的 DHCP リースを使うように アドレスを、WXA 装置が別のものに置き換えられた 設定されている状況で、WXA 装置を別の WXA と置き 後でも保持します。 換えた場合に発生します。 107384 ワイヤレス 概要 背景 / 応急 SonicPoint Ne を WLAN ゾーン上のインターフェース 侵入検知サービス (IDS) 走査の間 SonicPoint Ne に設定してから、手動 IDS 走査を実行した場合に発生 します。 これは起動時に装置が初期走査を実行する際 が応答しなくなります。 にも発生します。 ポリシー ページにリダイレクトされて 「受諾する」 を 選択した後で、Android 機器の標準ブラウザがブラ ウザ エラー メッセージを表示しますが、ユーザはイ ンターネットにアクセス可能なままです。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 問題 111914 ゲスト サービスの 「認証なしにポリシー ページを有効に する」 機能が有効になっている状況で、Android 標準ブ 108398 ラウザを使ってポリシー ページ上の 「受諾する」 を選択 してウェブに接続した場合に発生します。 27 SonicOS イメージのアップグレード手順 以下の手順は、既存の SonicOS イメージを新しいバージョンへアップグレードする方法について説明しています。 最新版 SonicOS イメージの取得 ............................................................................................................................... 28 設定情報のバックアップ コピーの保存........................................................................................................................ 28 現在の設定を使用した SonicOS イメージのアップグレード ......................................................................................... 29 SonicOS 5.8 への設定ファイルのインポート............................................................................................................... 29 SonicOS Standard から SonicOS 5.8 Enhanced への設定ファイルのインポート ....................................................... 30 設定のインポートに関するサポート表.......................................................................................................................... 31 工場出荷時の設定を使用した SonicOS イメージのアップグレード .............................................................................. 31 セーフモードを使用したファームウェアのアップグレード .............................................................................................. 32 最新版 SonicOS イメージの取得 SonicWALL セキュリティ装置の新しい SonicOS ファームウェア イメージを入手するには、以下の手順に従います。 1. mySonicWALL アカウントを用いて http://www.mysonicwall.com に接続します。 2. 新しい SonicOS イメージ ファイルを管理ステーションへコピーします。 LAN インターフェースまたは WAN インターフェースへの管理アクセスを設定している場合、SonicWALL セキュリティ装置上 の SonicOS イメージをリモートで更新することができます。 設定情報のバックアップ コピーの保存 アップグレード処理を開始する前に、SonicWALL セキュリティ装置の設定情報のシステム バックアップを作成します。 バック アップ機能は、SonicWALL セキュリティ装置上の現在の設定情報のコピーを保存し、以前の設定状態へ戻るために必要と なるすべての既存の設定情報を保護します。 SonicWALL セキュリティ装置の現在の設定状態を保存するためにバックアップ機能を使用することに加えて、設定情報ファ イルを管理ステーションのローカル ハードディスクへエクスポートすることができます。 このファイルは、設定情報の外部バッ クアップとして利用でき、SonicWALL セキュリティ装置へインポートすることができます。 設定情報のバックアップの保存、および、ファイルを管理ステーションへエクスポートするには、以下の手順に従います。 1. 「システム > 設定」 ページの 「バックアップの作成」 ボタンを選択します。 システム バックアップ エントリが 「ファーム ウェアの管理」 テーブルに表示されます。 2. 設定情報ファイルをローカル マシンに保存するには、「設定のエクスポート」 ボタンを選択します。 ポップアップ ウィ ンドウに、セーブされたファイル名が表示されます。 3. 「システム > 診断」 ページの 「テクニカル サポート レポート」 セクションで、以下のチェックボックスを選択してから 「レポートのダウンロード」 ボタンを選択します。 • • • • • VPN 鍵 ARP キャッシュ DHCP バインディング IKE 情報 SonicPointN 診断 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 28 • • 現在のユーザ ユーザ詳細 これらの情報が、あなたの管理コンピュータ上の “techSupport_” ファイルに保存されます。 現在の設定を使用した SonicOS イメージのアップグレード SonicWALL 装置に新しいファームウェアをアップロードして、現在の設定を使用して起動するには、以下の手順に従います。 1. mySonicWALL より SonicOS イメージ ファイルをダウンロードし、ローカル コンピュータ上に保存します。 「システム > 設定」 ページより、「ファームウェアのアップロード」 を選択します。 ローカルに保存しておいた SonicOS ファームウェア イメージ ファイルを選択し、「アップロード」 を選択します。 「システム > 設定」 ページから、「アップロード されたファームウェア」 エントリの起動アイコンを選択します。 確認のダイアログ ボックスが表示されます。 「OK」 を選択して継続します。 SonicWALL は再起動してログイン画面 が表示されます。 6. ユーザ名とパスワードを入力します。 新しい SonicOS イメージのバージョン情報は、「システム > 設定」 ページで確 認できます。 2. 3. 4. 5. SonicOS 5.8 への設定ファイルのインポート SonicWALL ネットワーク セキュリティ装置へインポートできる設定ファイルは、SonicOS が動作している以下の SonicWALL 装置からのものをサポートします • NSA シリーズ • NSA E-Class シリーズ • TZ 210/200/100/190/180/170 シリーズ • PRO シリーズ SonicOS Enhanced 5.8 が動作しているこれらの装置へインポートできる設定ファイルで一部例外があります。以下の場合、 設定ファイルをインポートできません • 設定ファイルに SonicOS 5.x 以前に作成された Portshield インターフェースが含まれる場合。 • 設定ファイルに TZ 100/200 シリーズが受け付けない VLAN インターフェースが含まれる場合。 • VLAN インターフェースが作成された光ファイバー インターフェースを持つ PRO 5060 からの設定ファイルの場合。 これらの装置からの設定のインポートの完全なサポートは、今後のリリースで予定されています。 その際は、MySonicWALL 上で利用可能になった SonicOS の最新のメンテナンス リリースにファームウェアをアップグレードする必要があります。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 29 SonicOS Standard から SonicOS 5.8 Enhanced への設定ファイルのインポート SonicOS Standard から Enhanced への設定コンバータは、元の Standard ネットワーク設定ファイルを、対象の SonicOS Enhanced 装置と互換性があるように置換するために設計されています。 より高度な SonicOS Enhanced の機能のために、 そのネットワーク設定ファイルは SonicOS Standard で使われるものよりも複雑です。 それらは非互換です。 この設定コンバ ータは、元の Standard の設定ファイルをベースにして、Enhanced を対象として完全に新しいネットワーク設定ファイルを作 成します。 これにより、ネットワーク ポリシーの再作成により時間を消費せずに Standard から Enhanced への素早いアップ グレードが可能です。 補足 SonicWALL は、まず試験環境で対象の変換されたネットワーク設定ファイルを配備することと、 常に元の変換前のネットワーク設定ファイルのバックアップ コピーを保管することを推奨します。 SonicOS Standard から Enhanced への設定コンバータは、https://convert.global.sonicwall.com/ で利用できます。 設定の変換に失敗した場合は、SonicOS Standard 設定ファイルに問題の簡単な説明を添えて、 [email protected] に送信してください。 この場合、SonicWALL 装置を手作業で設定することも考慮して ください。 Standard ネットワーク設定ファイルを Enhanced 用に変換するには、 1. SonicOS Standard 装置の管理インターフェースにログインし、システム > 設定 に移動します。 そしてネットワーク 設定を管理コンピュータ上のファイルに保存します。 2. 管理コンピュータ上で、ブラウザで https://convert.global.sonicwall.com/ に移動します。 3. Settings Converter ボタンを選択します。 4. あなたの MySonicWALL 資格情報を用いてログインし、セキュリティ声明に同意します。 変換プロセスの中で、Standard ネットワーク設定ファイルを MySonicWALL にアップロードする必要があります。 設 定変換ツールは MySonicWALL の認証を使い、ユーザのネットワーク設定を保護します。 ユーザは、変換プロセス の完了後も SonicWALL がユーザのネットワーク設定のコピーを保持するということを理解する必要があります。 5. Standard ネットワーク設定ファイルをアップロードします。 o o o o Browse を選択します。 変換元の SonicOS Standard 設定ファイルを探して選択します。 Upload を選択します。 右矢印を選択して継続します。 6. 変換元の SonicOS Standard 設定概要ページを確認します。 このページは、アップロードした変換前のネットワーク設定ファイルに含まれる有用なネットワーク設定情報を表示し ます。 試験目的で、試験環境に配備するためにこのページ上で装置の LAN IP とサブネット マスクを変更できます。 o (オプション) 変換元の装置の IP アドレスとサブネット マスクを変換先の試験用装置に合わせて変更します。 o 右矢印を選択して継続します。 7. 利用可能なリストから、Enhanced を配備する変換先の SonicWALL 装置を選択します。 様々な SonicWALL 装置で、主にサポートするインターフェースの数が異なることから、SonicOS Enhanced は異な る設定がなされます。 そのように、配備する対象装置のために、変換された Enhanced ネットワーク設定ファイルは カスタマイズされる必要があります。 8. 右矢印を選択して継続し変換を完了します。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 30 9. オプションで、Warnings リンクを選択することで変換先の装置に対して生成された設定の相違点を参照できます。 10. Download ボタンを選択して、保存を選択することで、管理コンピュータ上に新しい変換先の SonicOS Enhanced ネットワーク設定ファイルを保存します。 11. SonicWALL 装置の管理インターフェースにログインします。 12. システム > 設定 ページに移動し、設定のインポート ボタンを選択して、変換された設定を装置にインポートします。 設定のインポートに関するサポート表 工場出荷時の設定を使用した SonicOS イメージのアップグレード 以下の手順を実行して、SonicWALL 装置に新しいファームウェアをアップロードして、既定の設定で起動します。 1. mySonicWALL より SonicOS イメージ ファイルをダウンロードし、ローカル コンピュータ上に保存します。 「システム > 設定」 ページより 「バックアップの作成」 を選択します。 「ファームウェアのアップロード」 を選択します。 ローカルに保存しておいた SonicOS ファームウェア イメージ ファイルを選択し、「アップロード」 を選択します。 「システム > 設定」 ページから、「アップロード されたファームウェア (工場出荷時の設定) 」 エントリの起動アイコン を選択します。 6. 確認のダイアログ ボックスが表示されます。 「OK」 を選択して継続します。 SonicWALL は再起動して、ログイン画 面へのリンクがあるセットアップ ウィザードが表示されます。 7. 既定のユーザ名とパスワード (admin/password) を入力して、SonicWALL 管理インターフェースにアクセスします。 2. 3. 4. 5. SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 31 セーフモードを使用したファームウェアのアップグレード セーフモードの手順は、小さい穴の中のリセット ボタンを使います。この場所は様々で、NSA モデルでは、ボタンは前面の USB ポートの近くにあり、TZ モデルでは、ボタンは背面の電源コードの隣にあります。 SonicWALL セキュリティ装置の管理 インターフェースへ接続できない場合、セーフモードで SonicWALL セキュリティ装置を再起動することができます。 セーフ モード機能は、「システム > 設定」 ページと同じ設定が利用可能な簡素化された管理インターフェースを使用して、不確かな 設定状態から素早く復旧することを可能にします。 セーフモードを用いて SonicWALL セキュリティ装置のファームウェアをアップグレードするには、以下の手順に従います。 1. SonicWALL 装置の X0 ポートへ管理ステーションを接続し、管理ステーションの IP アドレスを 192.168.168.0/24 のサブネット上のアドレス、例えば 「192.168.168.20」 に設定します。 2. 装置をセーフモードで再起動するには、次のどちらかを行います。 • • 先の尖った細い (まっすぐにしたクリップや爪楊枝のような) 物を使用して、セキュリティ装置前面のリセット ボタンを 20 秒以上押し続けます。 フロントベゼルの LCD 制御を用いて装置をセーフモードに設定します。 選択すると、LCD は確認表示になるので、 Y を選択してから Right ボタンを押します。 SonicWALL セキュリティ装置はセーフモードに変更されます。 SonicWALL セキュリティ装置がセーフモードで再起動されると、「Test」 ライトが点滅します。 備考リセット ボタンを 2 秒間押し続けると診断スナップショットをコンソールに送ります。 リセット ボタンを 6 から 8 秒 間押し続けると装置を通常モードで再起動します。 3. ウェブ ブラウザで 192.168.168.168 にアクセスします。 セーフモード管理インターフェースが表示されます。 4. セキュリティ装置の設定に変更を加えた場合は、「次回起動時にバックアップを作成する」 を選択し、現在の設定の バックアップ コピーを作成します。 設定は、装置の再起動時に保存されます。 5. 「ファームウェアのアップロード」 を選択し、ローカルに保存しておいた SonicOS ファームウェア イメージ ファイルを 選択し、「アップロード」 ボタンを選択します。 6. 次の起動アイコンのうちのどちらかを選択します。 • アップロード されたファームウェア – 更新! • このオプションを選択すると、装置は現在の設定で再起動します。 アップロード されたファームウェア (工場出荷時の設定) – 更新! このオプションを選択すると、装置は工場出荷時の設定で再起動します。 7. 確認のダイアログ ボックスが表示されます。 「OK」 を選択して継続します。 8. ファームウェアが正しく起動した後に、ログイン画面が表示されます。 工場出荷時の設定で起動した場合には、既定 のユーザ名とパスワード (admin/password) を入力して、SonicWALL 管理インターフェースにアクセスします。 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 32 関連技術文書 SonicWALL ユーザ ガイド、参照ドキュメントは、SonicWALL 技術文書 オンライン ライブラリ http://www.sonicwall.com/us/Support.html で公開しています。 基本的及び応用的な配置例は、このウェブサイトで公開されている、SonicOS ガイドまたは SonicOS テックノートを参照して ください。 ______________________ ドキュメント バージョン 2012 年 3 月 2 日 SonicOS 5.8.1.5-46o+ リリースノート P/N 232-000663-00 Rev B 33