...

SonicWALL SSL-VPN 管理者ガイド

by user

on
Category: Documents
256

views

Report

Comments

Transcript

SonicWALL SSL-VPN 管理者ガイド
COMPREHENSIVE INTERNET SECURITY™
SonicWALLセキュリティ装置
SonicWALL SSL-VPN
管理者ガイド
目次
本書の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
本書について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
本書の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
本書の表記について . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SonicWALL テクニカル サポート . . . . . . . . . . . . . . . . . .
製品とサービスに関するお問い合わせ . . . . . . . . . . . . . . . .
SonicWALL 管理インターフェース . . . . . . . . . . . . . . . . .
管理インターフェースのナビゲート . . . . . . . . . . . . . . . . . . .
状況バー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テーブルのナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理インターフェースの共通アイコン. . . . . . . . . . . . . . . . . .
ヘルプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
......................
.......................
.......................
......................
......................
......................
......................
.......................
.......................
.......................
.......................
.......................
.......................
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . .v
....v
. . . vii
. . . vii
. . .viii
. . . ix
. . . .x
....x
....x
. . . . xi
. . . xii
. . . xii
. . . xii
第 1 章 SSL-VPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
SSL-VPN の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
暗号化の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSL ハンドシェーク プロシージャ . . . . . . . . . . . . . . . . . . .
仮想プライベート ネットワーク (VPN) 用の SSL. . . . . . .
SonicWALL SSL-VPN の主要な概念 . . . . . . . . . . . . . .
ポータルの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レイアウトの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
典型的な配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NetExtender の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク ルートの概要 . . . . . . . . . . . . . . . . . . . . . . . . . .
配備のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サポートするユーザ接続数. . . . . . . . . . . . . . . . . . . . . . . . .
リソース タイプのサポート . . . . . . . . . . . . . . . . . . . . . . . . . .
SonicWALL 製品との統合. . . . . . . . . . . . . . . . . . . . . . . .
SSL-VPN のコンポーネント . . . . . . . . . . . . . . . . . . . . . . .
NetExtender の概念. . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイル共有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リモート デスクトップ プロトコル . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション プロトコル. . . . . . . . . . . . . . . . . . . . . . . . . .
.....................
.....................
.....................
.....................
.....................
......................
......................
......................
......................
......................
......................
......................
.....................
......................
......................
......................
.....................
......................
......................
......................
......................
......................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . .2
. . . . .2
. . . . .2
. . . . .3
. . . . .4
. . . . .4
. . . . .4
. . . . .4
. . . . .5
. . . . .5
. . . . .6
. . . . .6
. . . . .7
. . . . .7
. . . . .7
. . . . .7
. . . . .8
. . . . .8
. . . . .8
. . . . .9
. . . . 10
. . . . 10
第 2 章 基本システム エンティティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
ブラウザ要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ウェブ管理インターフェースの概要 . . . . . . . . . . . . . . . . . .
ウェブ インターフェースのレイアウト . . . . . . . . . . . . . . . . . .
状況環境の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
システム情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
最近の警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SonicWALL SSL-VPN 装置の登録 . . . . . . . . . . . . . .
S o n i c W A L L S S L - V P N 管理者ガ イ ド
.
.
.
.
.
.
.
.....................
.....................
......................
.....................
......................
......................
......................
.
.
.
.
.
.
.
. . . . 12
. . . . 13
. . . . 15
. . . . 16
. . . . 18
. . . . 18
. . . . 19
i
イベント ログの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ設定の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
使用中のユーザ数の概要 . . . . . . . . . . . . . . . . . . . . . . . . . .
時刻と日付の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ソフトウェアとシステムの使用の設定. . . . . . . . . . . . . . . . . . .
設定ファイルのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . .
バックアップ設定ファイルのエクスポート . . . . . . . . . . . . . . . .
設定の保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変更後の設定の自動保存. . . . . . . . . . . . . . . . . . . . . . . . . .
設定ファイルの暗号化. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書署名リクエストの生成 . . . . . . . . . . . . . . . . . . . . . . . .
証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
監視の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
個別ロゴの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
診断の実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NetExtender の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NetExtender のクライアント ルートの追加 . . . . . . . . . . . . .
NetExtender のアドレス範囲の設定 . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
......................
.......................
......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
......................
.......................
.......................
......................
......................
......................
......................
.......................
.......................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 20
. 22
. 24
. 25
. 26
. 26
. 27
. 28
. 28
. 28
. 29
. 29
. 31
. 32
. 34
. 34
. 36
. 36
. 37
第 3 章 ネットワーク設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
ウェブ管理ポートの設定 . . . . . . . . .
ネットワーク インターフェースの設定
DNS 設定の構成 . . . . . . . . . . . . . .
装置のデフォルト ルートの設定 . . . .
装置の静的ルートの設定. . . . . . . . .
ホスト解決の設定 . . . . . . . . . . . . . .
ネットワーク オブジェクトの設定. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
40
40
42
43
44
45
47
第 4 章 ユーザ アクセス ポリシーとグループ アクセス ポリシーの設定. . . . . . .51
アクセス ポリシーの概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
新規グループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループ ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループ ブックマークの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP 認証ドメインのグループ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP 属性の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP 属性情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP ユーザおよび属性の例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP サーバの問い合わせ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ ディレクトリ、 NT、 および RADIUS ドメインのグループ設定 . . . . . . . . . . . . . . . .
ユーザの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
新規ユーザの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザ ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザ ブックマークの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログイン ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル ブックマークの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクセス ポリシー階層 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 52
. 52
. 52
. 53
. 53
. 54
. 55
. 57
. 60
. 60
. 60
. 61
. 61
. 62
. 62
. 64
. 64
. 65
. 69
. 70
. 74
. 74
. 74
. 75
. 77
S o n i c WA L L S S L - V P N 管理者ガ イ ド
-
第 5 章 ポータル、 ドメインとレイアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 79
ポータル レイアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ポータル レイアウト環境の表示 . . . . . . . . . . . . . . . . . . . . . .
ポータル レイアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
認証ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ローカル ユーザ データベース認証の設定 . . . . . . . . . . . . .
RADIUS 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NT ドメイン認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ ディレクトリ認証の設定 . . . . . . . . . . . . . . . . . . .
アクティブ ディレクトリのトラブル シューティング . . . . . . . . .
ドメイン設定テーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ドメインの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.....................
......................
......................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
......................
......................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . 80
. . . 81
. . . 82
. . . 86
. . . 87
. . . 88
. . . 89
. . . 90
. . . 91
. . . 92
. . . 92
. . . 92
付録 A SonicWALL SSL-VPN 装置のサードパーティ ファイアウォール用設定93
Cisco PIX を SonicWALL SSL-VPN 装置と共に配備するための設定 . . . . . . . . . . . . . . . 93
準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
方法 1 LAN インターフェース上に SonicWALL SSL-VPN 装置を配備する. . . . . . . . . . . . 94
方法 2 DMZ インターフェース上に SonicWALL SSL-VPN 装置を配備する . . . . . . . . . . . 96
Linksys WRT54GS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Watchguard Firebox X Edge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Netgear FVS318 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Netgear Wireless Router MR814 SSL の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Checkpoint AIR 55 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
SonicWALL SSL-VPN と Check Point AIR 55 を連携させる . . . . . . . . . . . . . . . . . . . . 104
静的ルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
付録 B NetExtender の トラブル シューティング . . . . . . . . . . . . . . . . . . . . . 107
Trademarks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Limited Warranty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
S o n i c W A L L S S L - V P N 管理者ガ イ ド
iii
iv
S o n i c WA L L S S L - V P N 管理者ガ イ ド
本書の使い方
本書について
SonicWALL SSL-VPN 管理者ガイドをご利用いただき、 ありがとうございます。 本書では、 SonicWALL
SSL-VPN 装置に合わせて SonicWALL SSL-VPN を正常に起動、 設定、 管理するために必要な情報
について説明します。
補足 本書の最新バージョンと、 その他の SonicWALL 製品、 およびサービスのマニュアルについては、
〈http://www.sonicwall.com/japan/support_document.html〉 を参照してください。
本書の構成
SonicWALL SSL-VPN 管理者ガイドは、 SonicWALL SSL-VPN ウェブ管理インターフェースの構造に
従って以下の章から構成されています。
第 1 章、 SSL-VPN の概要
この章では、 SonicWALL SSL-VPN 装置の機能と、 SSL-VPN 技術の概要について説明します。
第 2 章、 基本システム エンティティの設定
この章では、 以下の SonicWALL SSL-VPN 装置の操作について説明します。
• システム状況情報の管理
• SonicWALL 装置の登録
• SonicWALL セキュリティ サービス ライセンスのアクティブ化と管理
• SonicWALL 装置のローカル管理オプションとリモート管理オプションの設定
• ファームウェア バージョンとプリファレンスの管理
• 個別ロゴの設定
• 証明書のインポート
• NetExterder 使用のためのクライアント アドレス範囲の設定
第 3 章、 SSL-VPN ネットワークの設定
この章では、 ネットワーク環境に合わせた SonicWALL 装置の設定について説明します。 SonicWALL
SSL-VPN 装置インターフェース に含まれている機能は、 以下のとおりです。
• ネットワーク オブジェクト - HTTP サービス、 FTP サービス、 RDP サービス、 SSH サービス、 ファイ
ル共有などのネットワーク リソースを表す再利用可能なネットワーク オブジェクトを作成する
• ルート - 機器のデフォルト ゲートウェイや、 その他の静的ルートを設定する
• ホスト解決 - 内部の名前解決のためのホスト名と IP アドレス情報を設定する
• DNS 設定 - IP アドレスによるドメイン名解決のための DNS 設定をする
第 4 章、 ユーザ アクセス ポリシーとグループ アクセス ポリシーの設定
この章では、 SonicWALL SSL-VPN 装置のアクセス ポリシーの設定について説明します。 また、
SSL-VPN 装置での、 ユーザ/グループ/グローバル レベルのブックマークの作成について説明します。
S o n i c W A L L S S L - V P N 管理者 ガ イ ド
v
第 5 章、 ポータル レイアウトとドメインの設定
この章では、 ポータル レイアウトとドメインの設定について説明します。
vi
S o n i c W A L L S S L - V P N 管理者ガ イ ド
本書の表記について
本書の表記規則は以下のとおりです。
表記規則
使い方
太字
ダイアログ ボックス、 ウィンドウ、 画面名を強調表示する。 また、 ボ
タンも強調表示する。 インターフェースで入力できるファイル名と、
テキストや値にも使用されている。
斜体
テクニカル マニュアル名を表す。 また、 文中の特定の単語の強調
を示す。 重要な用語や概念の最初の事例を示すこともある。
メニュー項目 > メニュー項目
複数のステップからなる管理インターフェースのメニュー選択項目を
示す。 例えば、 システム > ステータスは、 システム メニューの、
ステータス ページを選択することを意味する。
本書で使用されているアイコン
これらの専用メッセージは、 注目すべき情報があることを示すものです。 すぐに見分けられるように記号が付
いています。
S
9
Â
警告 装置のパフォーマンスに影響する機能、 セキュリティ機能、 または発生する可能性のある Sonic
WALL の問題について警告する重要な情報
ヒ ン ト SonicWALL のセキュリティ機能と設定についての役立つ情報
補足 特に注意を必要とする機能についての重要な情報
参照 付属ガイドやその他の資料に記載されている関連情報の参照アドバイス
SonicWALL テクニカル サポート
テクニカル サポートへのご質問については、 まず SonicWALL のウェブ サイト
〈http://www.sonicwall.com/support/support.html〉 を参照してください。 ウェブベースのリソースで、 ほとん
どの技術問題は解決することができます。 解決できない場合は、 SonicWALL テクニカル サポートにお問い
合わせください。
お電話でのお問い合わせ先は、 以下のとおりです。
北米電話サポート
米国 / カナダ - 888.777.1476 または+ 1 408.752.7819
国際電話サポート
オーストラリア - + 1800.35.1642
オーストリア - + 43 (0) 820.400.105
EMEA - + 31 (0) 411.617.810
S o n i c W A L L S S L - V P N 管理者 ガ イ ド
vii
フランス - + 33 (0) 1.4933.7414
ドイツ - + 49 (0) 1805.0800.22
香港 - + 1.800.93.0997
インド - + 8026556828
イタリア - + 39.02.7541.9803
日本 - 0120.569122
ニュージーランド - + 0800.446489
シンガポール - + 800.110.1441
スペイン - + 34 (0) 9137.53035
スイス - + 41.1.308.3.977
英国 - + 44 (0) 1344.668.484
補足 テクニカル サポートの最新の電話番号については、 〈http://www.sonic
wall.com/japan/support/
support_customer.html)を参照して下さい。
製品とサービスに関するお問い合わせ
SonicWALL 製品とサービスの詳細については、 SonicWALL 販売代理店またはゴールドパートナー 〈http://
www.sonicwall.com/japan/corporate_info/distributors.html〉 までお問い合わせください。
viii
S o n i c W A L L S S L - V P N 管理者ガ イ ド
SonicWALL 管理インターフェース
SonicWALL SSL-VPN 装置のウェブベース管理インターフェースは、 SonicWALL SSL-VPN 装置を設
定するための使いやすいグラフィック インターフェースです。 インターフェースには、 2 種類のウィンドウ オブ
ジェクトがあります。
• ウィンドウ 基本的に読み取り専用で、 主に情報を得るために使われる。
• ダイアログボックス ユーザとやり取りするために使われる。 主に、 オブジェクトを特色づける値、 例えば、
IP アドレス、 名称、 認証種別などを追加したり、 変更したりする。
以下に、 主要な管理インターフェース オブジェクトの概要を示します。 下の例は、 ウェブベース管理インター
フェース ウィンドウです。 標準的な SonicWALL インターフェース ウィンドウの様々な項目に注目してください。
ロケーション インジケータ
サブ ウィンドウ
ボタン
メイン ウィンドウ エリア
状況バー
ナビゲーション バー
下の例は、 ダイアログ ボックスです。
タイトル バー
領域名
リスト ボックス
入力 フィールド
チェック ボックス
ボタン
ステータス バー
S o n i c W A L L S S L - V P N 管理者 ガ イ ド
ix
管理インターフェースのナビゲート
SonicWALL 管理インターフェースのナビゲートには、 ナビゲーション バー (ブラウザ ウィンドウの左側) のメ
ニュー ボタンの階層が含まれます。 メニュー ボタンを選択すると、 関連する管理機能がナビゲーション バーに
サブメニュー項目として表示されます。
ナビゲーション バーの、 開いているフォルダ アイコンが、 現在のウィンドウです。 サブメニュー ページにナビ
ゲートするには、 リンクを選択します。 メニュー ボタンを選択すると、 最初のサブメニュー項目ページが表示さ
れます。 最初のサブメニュー ページは、 メニュー ボタンを選択すると自動的に表示されます。 例えば、 ネッ
トワーク ボタンを選択すると、 ネットワーク > 設定ページが表示されます。
状況バー
管理インターフェース ウィンドウの一番下の状況バーには、 SonicWALL 管理インターフェースで実行された
アクションの状況が表示されます。
変更の適用
SonicWALL 管理インターフェースの右上角の適用ボタンを選択すると、 そのページで行なった設定変更が
保存されます。
x
S o n i c W A L L S S L - V P N 管理者ガ イ ド
設定が管理インターフェースの中の 2 次ウィンドウにある場合は、 OK ボタンを選択します。 これで、 その設
定は SonicWALL 装置に自動的に適用されます。
テーブルのナビゲート
エントリの数が多い管理インターフェースのテーブルをナビゲートするには、 テーブル右上部の様々な種類のナ
ビゲーション ボタンを使います。 ログ > 表示 ページには、 あらゆる詳細なナビゲーション ボタンが用意されて
います。
検索フィールド
検索ボタン
範囲リスト
リセット ボタン
除外ボタン
表示するページ リスト
ログ ページのナビゲーション ボタンには以下のものがあります。
ナビゲーション ボタン
説明
検索
範囲リストで選択した範囲に基づき、 指定した設定を含むログ エントリを
検索できる。 範囲には、 時間、 優先順位、 送信元、 送信先、 およ
びユーザがある。 検索結果にリストされる結果の順序は、 選択した範
囲によって異なる
除外
検索条件に一致するログ以外のログ エントリを表示できる
表示するページ
エントリの数が多いために複数のページが表示される場合に、 ページを
指定してそのページのログ エントリを表示することができる。 ログ エントリ
のページが 1 ページだけの場合、 このオプションは表示されない
リセット
検索ボタンを使ってログ エントリの表示順序を変更した後、 ログ エントリ
のリストを既定の順序にリセットする
S o n i c W A L L S S L - V P N 管理者 ガ イ ド
xi
基準リスト ドロップダウン リスト ボックスで選択する範囲に基づいてテーブル ページも検索できます。
管理インターフェースの共通アイコン
以下に、 SonicWALL 管理インターフェースで使用される共通アイコンの機能について説明します。
編集
削除
コメント
アイコンを選択すると、 設定を編集するためのウィンドウが表示されます。
アイコンを選択すると、 テーブル エントリが削除されます。
アイコンの上にポインタを移動すると、 コメント フィールド エントリのテキストが表示されます。
ヘルプ
各 SonicWALL 装置では、 管理インターフェースからウェブベースのオンライン ヘルプを利用することができ
ます。
各ページの右上角の疑問符?ボタンを選択すると、 そのページに対応する状況に応じたヘルプが表示されま
す。
補足 SonicWALL SSL-VPN 装置のオンライン ヘルプにアクセスするには、 インターネットとの接続が確立
されている必要があります。
ログアウト
メニュー バーの一番下のログアウト ボタンを選択すると、 管理インターフェース セッションが終了し、 ブラウザ
セッションが縮小されます。
xii
S o n i c W A L L S S L - V P N 管理者ガ イ ド
ëÊ 1 èÕ
第1章
SSL-VPN の概要
SonicWALL SSL-VPN 装置は、 リモート社員やモバイル社員のための単純、 安全かつクライアント不要
のリモート ネットワーク アクセス ソリューションおよびリモート アプリケーション アクセス ソリューションを実現し
ます。 クライアント不要のため、 事前に設定され、 インストールされたホストなしで接続を使用できます。
ユーザはどこにいても、 標準のウェブ ブラウザにアクセスするだけで、 会社のローカル エリア ネットワーク
(LAN) 上にある電子メール ファイル、 イントラネット サイト、 アプリケーション、 その他のリソースに簡単か
つ安全にアクセスできます。
この章には以下のセクションが含まれています。
• 2 ページ 「SSL-VPN の概要」
• 2 ページ 「暗号化の概要」
• 2 ページ 「SSL ハンドシェーク プロシージャ」
• 3 ページ 「仮想プライベート ネットワーク (VPN) 用の SSL」
• 4 ページ 「SonicWALL SSL-VPN の主要な概念」
• 7 ページ 「配備のガイドライン」
• 8 ページ 「SSL-VPN のコンポーネント」
S o n i c W A L L S S L - V P N 管理者ガ イ ド
1
SSL-VPN の概要
仮想プライベート ネットワーク (VPN) を使用すると、 公共のネットワーク インフラストラクチャ上で安全な
エンド ツー エンドのプライベート ネットワーク接続を確立することができ、 通信費用を節減したり、 組織内の
ユーザとサイトの間にプライベートで安全な接続を実現したりできます。 SonicWALL SSL-VPN 装置はセ
キュア ソケット レイヤ (SSL) VPN の機能を備えており、 それを使用するための特別機能ライセンス費用
も必要ないため、 並列的なリモート アクセス インフラストラクチャを配備するための費用効果の高い代替法
となります。
暗号化の概要
暗号化とは、 データに符号化またはスクランブル処理を施して、 不正なユーザがデータを読み取れない
ようにする機能です。 暗号化は、 インターネット経由でプライベートな通信を行うための保護された手段で
す。
公開鍵暗号化 (PKE) と呼ばれる特殊な暗号化では、 公開鍵と私有鍵を使用してデータを暗号化およ
び復号化します。 公開鍵暗号化では、 ウェブ サイトなどの当事者が公開鍵と私有鍵を生成します。 保護
されているウェブ サーバは、 ウェブ サイトにアクセスするユーザに公開鍵を送信します。 ユーザのウェブ ブ
ラウザはこの公開鍵を使用して、 対応する私有鍵によって暗号化されたデータを復号化します。 さらに、
ユーザのウェブ ブラウザはこの公開鍵を使用してデータを透過的に暗号化することができ、 このデータは保
護されたウェブ サーバの私有鍵でのみ復号化できます。 公開鍵暗号化により、 ユーザはウェブ サイトの身
元を SSL 証明書を通じて確認できます。
SSL ハンドシェーク プロシージャ
以下の例は、 ユーザと SonicWALL SSL-VPN ソフトウェアを使用する SSL-VPN ゲートウェイとの間に
SSL セッションを確立するために必要な標準的手順を示しています。
1. ユーザが SonicWALL SSL-VPN 装置に接続しようとするときには、 ユーザのウェブ ブラウザが装置
に対して暗号化情報 (ブラウザがサポートしている暗号化の種類など) を送信します。
2. 装置はユーザに対して、 自身の暗号化情報 (公開暗号鍵を含んでいる SSL 証明書など) を送信し
ます。
3. ウェブ ブラウザはその SSL 証明書が示す認証局に基づいて、 SSL 証明書の正当性を確認します。
4. その後、 ウェブ ブラウザはプリマスタ暗号化鍵を生成し、 そのプリマスタ鍵を SSL 証明書内の公開鍵
で暗号化し、 暗号化済みのプリマスタ鍵を SSL-VPN ゲートウェイに送信します。
5. SSL-VPN ゲートウェイはこのプリマスタ鍵を使用してマスタ鍵を作成し、 新しいマスタ鍵をユーザの
ウェブ ブラウザに送信します。
6. ウェブ ブラウザと SSL-VPN ゲートウェイは、 このマスタ鍵と互いに同意した暗号化アルゴリズムを使用
して、 SSL 接続を確立します。 この時点で、 ユーザと SSL-VPN ゲートウェイは同じ暗号化鍵を使用
してデータの暗号化と復号化を行うようになります。 これは対称暗号化と呼ばれます。
7. SSL 接続が確立されると、SSL-VPN ゲートウェイはウェブブラウザに SSL-VPN ゲートウェイ ログイン
ページを暗号化して送信します。
8. ユーザは自分のユーザ名、 パスワード、 ドメイン名を送信します。
9. ユーザのドメイン名を RADIUS サーバ、 LDAP サーバ、 NT ドメイン サーバ、 またはアクティブ ディレ
クトリ サーバを通じて認証しなければならない場合は、 SSL-VPN ゲートウェイはユーザの情報を適切
な認証サーバに転送します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
2
10. 認証された場合、 ユーザは SSL-VPN ポータルにアクセスできるようになります。
仮想プライベート ネットワーク (VPN) 用の SSL
セキュア ソケット レイヤ ベースの仮想プライベート ネットワーク (SSL-VPN) では、 安全な SSL 接続を
通じて、 アプリケーションやプライベートなネットワーク リソースにリモートからアクセスすることができます。
SSL-VPN を使用すると、 モバイル社員やビジネス パートナーや顧客を会社のエクストラネットあるいはプ
ライベート LAN 上にあるファイルやアプリケーションにアクセスさせることができます。
SSL-VPN プロトコルはクライアント不要とされていますが、 一般的な SSL-VPN ポータルは SSL-VPN
ポータルから透過的にダウンロードされるウェブ コンポーネント、 Java コンポーネント、 ActiveX コンポー
ネントを組み合わせたものなので、 ユーザは VPN クライアント アプリケーションを手動でインストールして設
定しなくてもリモート ネットワークに接続できます。 さらに SSL-VPN では、 ユーザがウィンドウズ、 マッキン
トッシュ、 Linux など多様な PC から接続できます。 ただし、 ActiveX コンポーネントがサポートされてい
るのはウィンドウズ プラットフォームのみです。
SonicWALL SSL-VPN 装置ソフトウェアは、 エンド ツー エンドの SSL-VPN ソリューションを実現しま
す。 このソフトウェアには、 SSL-VPN ユーザー、 アクセス ポリシー、 認証方式、 ネットワーク リソースに
関するユーザ ブックマーク、 システム設定などを設定するためのウェブベースの管理インターフェースが含
まれています。
SonicWALL SSL-VPN ソフトウェアにより、 ユーザはファイルのアクセス、 更新、 アップロード、 ダウン
ロードができるほか、 デスクトップ マシンにインストールされている (またはアプリケーション サーバ上でホス
トされている) リモート アプリケーションを使用できるようになります。 さらにこのプラットフォームは、 安全な
ウェブベースの FTP アクセスや、 ネットワーク コンピュータに似たファイル共有インターフェース、 SSH お
よび Telnet のエミュレーション、 VNC および RDP のサポート、 Web および HTTPS のプロキシ転送を
サポートしています。
SonicWALL SSL-VPN の NetExtender 機能は、 社内リソースへの完全なネットワーク アクセスを実
現します。 この ActiveX コントロールを使用すると、 エンド ユーザは複雑なソフトウェアのインストールや設
定をせずにリモート ネットワークに接続できます。 このクライアントは、 リモート ネットワークのあらゆる種類の
データにアクセスするための保護された手段です。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
3
SonicWALL SSL-VPN の主要な概念
SonicWALL SSL-VPN 装置を使用する際に関係してくる主要な概念を次に示します。
• 4 ページ 「ポータルの概要」
• 4 ページ 「レイアウトの概要」
• 4 ページ 「ドメインの概要」
• 5 ページ 「典型的な配備」
• 5 ページ 「NetExtender の概要」
• 6 ページ 「DNS の概要」
• 6 ページ 「ネットワーク ルートの概要」
ポータルの概要
SonicWALL SSL-VPN 装置には仮想オフィスというメカニズムがあります。 これはシステム ソフトウェア
内のポータルであり、 ここで組織の内部リソースへの一連のリンクを設定することができます (これにより、
別の環境にアクセスしやすくなります)。 ポータルとは、 SSL-VPN ユーザが対話的に使用するインタ
フェースです。 SSL-VPN を通じてリモート アクセスを実現しようとするネットワーク コンポーネント (たとえ
ば NetExtender、 ファイル共有、 ネットワーク リソースなど) は、 ポータルを介して提供することになりま
す。 ポータルを介してユーザに提供されるコンポーネントは、 ポータルのレイアウトを定義することでカスタマ
イズできます。 ポータルをカスタマイズするには、 レイアウトと呼ばれる特殊なテンプレートを使用します。
ポータルの設定情報については、 82 ページ 「ポータル レイアウトの設定」 を参照してください。
レイアウトの概要
レイアウトとは、 SonicWALL SSL-VPN セッション サイト内での環境の表示方法を設定するためのテンプ
レートです。 レイアウトでは、 サイト タイトル、 ポータル タイトル、 バナー タイトル、 バナー メッセージを設定
できます。 また、 仮想ホスト/ドメイン名を設定したり、 既定ポータルの URL を作成したりすることもできま
す。 レイアウトの設定情報については、 82 ページ 「ポータル レイアウトの設定」 を参照してください。
さらに、 レイアウトでは以下のことを設定できます。
• カスタマイズされたログイン ページを表示する
• ログイン ページにバナー メッセージを表示する
• キャッシュ制御のための HTTP メタ タグを有効にする
• ActiveX キャッシュ クリーナを有効にする
• 自己署名証明書インポートのリンクを表示する
ドメインの概要
SonicWALL SSL-VPN 環境のドメインとは、 SSL-VPN 装置のサービス下のネットワークにアクセスしよ
うとするユーザを認証するためのメカニズムです。 ドメインの種類としては、 SSL-VPN の内部にある
LocalDomain と、 外部プラットフォームの NT 認証、 LDAP、 RADIUS があります。 多くの組織では、
1 つのドメインを使用するだけで認証機能を十分に実現できますが、 大きな組織の場合は、 ポータルを通
じてアプリケーションにアクセスしようとするユーザの複数のノードやコレクションを扱うために、 複数の分散ド
メインが必要になることがあります。 ドメインの設定情報については、 86 ページ 「認証ドメインの概要」 セ
クションを参照してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
4
典型的な配備
SonicWALL SSL-VPN は、 一般的な配備方法では、 付随するゲートウェイ機器 (たとえば
SonicWALL PRO 2040) の DMZ または Opt インターフェイス上で "one - arm" モードで連携してい
ます。 SSL-VPN 上のプライマリ インタフェース (X0) は、 ゲートウェイ デバイス上の使用可能なセグメ
ントに接続されます。 暗号化されたユーザ セッションが、 ゲートウェイを通じて SSL-VPN 装置に渡されま
す (ステップ 1)。 SSL-VPN がセッションを復号化し、 要求されたリソースを判別します。 その後、 この
SSL-VPN セッション トラフィックがゲートウェイ装置を通過して (ステップ 2)、 内部ネットワーク リソース
に到達します。 ゲートウェイを通過する際に、 侵入防御、 ゲートウェイ アンチウィルス、 アンチスパイウェア
調査などのセキュリティ サービスを適切に設定されたゲートウェイ装置によって適用することができます。 そ
の後、 内部ネットワーク リソースは要求されたコンテンツをゲートウェイ経由で SSL-VPN 装置に返します
(ステップ 3)。 そこでコンテンツが復号化され、 クライアントに返されます。
図 1 初期接続のイベントの流れ
1. X0 インターフェースが
ゲートウェイ上の使用可能な
セグメントに接続する。 暗号
化されたセッションが
SSL-VPN 装置に進む。
3. 内部ネ ッ ト ワ ー ク リ ソ ー
スがゲー ト ウ ェ イ を通 じ て
S S L - V P N 装置に コ ン
テ ン ツ を返す。
2. S S L - V P N ト ラ フ ィ ッ
ク がゲー ト ウ ェ イ を通 じ て
内部ネ ッ ト ワ ー ク リ ソ ー ス
NetExtender の概要
NetExtender は、 ウィンドウズ ユーザのための SSL-VPN クライアントであり、 透過的にダウンロードさ
れ、 会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。 このクライアントは、
ActiveX とネゴシエートするのにポイント ツー ポイント プロトコル (PPP) アダプタ インスタンスを使用しま
す。
NetExtender は、 この ActiveX コンポーネントがインストールされているかどうかを調べます。 ActiveX
のダウンロードが完了すると、 NetExtender はインストールを許可します。 最初にするのは、 リモート ネッ
トワークへの NetExtender トンネルを作成し、 そのリモート ネットワークを仮想的に結合することです。 こ
れにより、 ユーザがドライブのマウント、 ファイルのアップロードおよびダウンロード、 リソースへのアクセスと
いった処理をローカル ネットワークと同様の感覚で行えるようになります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
5
NetExtender は、 この ActiveX コンポーネントがインストールされているかどうかを調べます。 ActiveX
のダウンロードが完了すると、 NetExtender はインストールを許可します。 最初にするのは、 リモート ネッ
トワークへの NetExtender トンネルを作成し、 そのリモート ネットワークを仮想的に結合することです。 こ
れにより、 ユーザがドライブのマウント、 ファイルのアップロードおよびダウンロード、 リソースへのアクセスと
いった処理をローカル ネットワークと同様の感覚で行えるようになります。
NetExtender のウィンドウズ クライアントに関する要件は次のとおりです。
• ウィンドウズ 2000 プロフェッショナル、 ウィンドウズ XP ホーム/プロフェッショナル、 ウィンドウズ
2000 サーバ、 またはウィンドウズ 2003 サーバ。
• インターネット エクスプローラ 5.0.1 以上。 スクリプトを含む ActiveX ファイルをダウンロードして実行す
るにはインターネット エクスプローラが必要です。
• NetExtender をインストールするには管理権限が必要です。
NetExtender への接続の詳細については、 『SonicWALL SSL-VPN ユーザ ガイド』 を参照してくださ
い。
DNS の概要
SonicWALL SSL-VPN ソフトウェアの DNS 設定部分を使用して、 ホスト名、 DNS サーバ アドレス、
WINS サーバ アドレスを設定することができます。 これにより、 デバイスがホスト名を IP アドレスへと解決で
きるようになります。
ネットワーク ルートの概要
SonicWALL SSL-VPN 装置は、 明示的なデフォルト ゲートウェイを通してリモート IP ネットワークに到達
するよう設定できます。 このゲートウェイは、 通常は SSL-VPN 装置に接続しているアップストリーム ファイ
アウォールとなります。 更にデフォルト ルートには、 特定のホストやネットワークに対する静的ルートを優先パ
スとして、 デフォルト ゲートウェイ以外に個別に設定することも可能です。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
6
配備のガイドライン
以下のセクションでは、 配備のガイドラインについて詳しく説明します。
サポートするユーザ接続数
一般的な使用シナリオ (たとえば大きなファイルを連続的にダウンロードする場合など) では、 パフォーマ
ンスを最適化するために、 同時ユーザ接続の数を 100 程度に制限することをお勧めします。 これは社員
数 1,000 人までの組織に適した設定ですが、 もっと多くの同時接続を扱うこともできます。 その他に、 使
用するアプリケーションの複雑さや大きなファイルの共有なども、 パフォーマンスに影響を与える要因になり
ます。
リソース タイプのサポート
以下の表は、 SonicWALL SSL-VPN 装置にアクセスするさまざまな方法を詳しく示しています。
アクセス メカニズム
標準のウェブ ブラウザ
アクセス タイプ
• FTP およびウィンドウズ ネットワーク ファイル共有のサポートを備えたファイ
ルおよびファイル システム
• ウェブベースのアプリケーション
• マイクロソフト アウトルック ウェブ アクセスおよびその他のウェブ対応アプリ
ケーション
• HTTP および HTTPS のイントラネット
SonicWALL NetExtender
(ActiveX クライアント)
• 以下のようなあらゆる TCP / IP ベースのアプリケーション
• ユーザのラップトップ上のネイティブ クライアントを通じた電子メール ア
クセス (マイクロソフト アウトルック、 ロータス ノーツなど)
• 商用アプリケーションおよび自作アプリケーション
• ネットワーク管理者によって許可された柔軟なネットワーク アクセス
ダウンロード可能な ActiveX クラ
イアントまたは Java クライアント
• リモート デスクトップまたはリモート サーバ プラットフォームのリモート制御下
にある、 デスクトップ マシン上にインストールされたアプリケーション (また
はアプリケーション サーバ上でホストされているアプリケーション)
• ターミナル サービス、 VNC、 Telnet、 SSH
SonicWALL 製品との統合
SonicWALL SSL-VPN 装置をその他の SonicWALL 製品と統合すると、 SonicWALL PRO / TZ
シリーズ製品ラインを補完できます。 着信 HTTPS トラフィックは、 SonicWALL ファイアウォール装置に
よって SonicWALL SSL-VPN 装置へとリダイレクトされます。 このトラフィックは SSL-VPN 装置で復号
化されてファイアウォールに返され、 そこで内部ネットワーク リソースに到達するための道筋が検討されま
す。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
7
SSL-VPN のコンポーネント
SonicWALL SSL-VPN は、 保護された内部ネットワークに対するクライアント不要の ID ベースの安全な
リモート アクセスを実現します。 SonicWALL SSL-VPN では、 仮想オフィス環境を使用することで、
ユーザがプライベート ネットワーク全体または個々のコンポーネント (ファイル共有、 ウェブ サーバ、 FTP
サーバ、 リモート デスクトップなどに加え、 マイクロソフト ターミナル サーバ上でホストされている個々のアプ
リケーションまで対応可能) に対して安全なリモート アクセスを行うことができます。 これらの安全なリモート
アクセスは、 次のコンポーネントによって実現されています。
• NetExtender
• ファイル共有
• ネットワーク リソース
NetExtender の概念
NetExtender により、 リモート ユーザは保護された内部ネットワークに完全にアクセスできるようになりま
す。 これは、 従来の IPSec VPN クライアントで実現されていた機能と実質的に同じものですが、
NetExtender の場合はクライアントを手動でインストールする必要がありません。 その代わりに、
NetExtender クライアントが ActiveX コンポーネントとしてリモート ユーザの PC に自動的にインストール
され、 この ActiveX コンポーネントが、 内部ネットワーク上の許可されたホストおよびサブネットに対する
SSLベースの安全なポイント ツー ポイント アクセスを実現するための仮想アダプタをインスタンス化します。
ファイル共有
ファイル共有は、 CIFS (Common Internet File System) プロトコルまたは SMB (Server
Message Block) プロトコルを使用するマイクロソフト ファイル共有への安全なウェブ インターフェースをリ
モート ユーザに提供します。 ファイル共有では、 マイクロソフトのネットワーク コンピュータやマイ ネットワーク
によく似たスタイルのウェブ インターフェースが採用されており、 適切な権限を持つユーザがネットワーク共
有を参照して、 ファイルの名前変更、 削除、 取得、 アップロードを行い、 後で参照するためにブックマー
クを作成することができます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
8
ネットワーク リソース
ネットワーク リソースとは、 SSL-VPN を通じてアクセスできる信頼済みネットワークの、 より細かいレベル
のコンポーネントです。 管理者がネットワーク リソースを事前定義してユーザまたはグループにブックマークと
して割り当てることもできますし、 ユーザが自分用のネットワーク リソースを定義してブックマークを作成する
こともできます。 ネットワーク リソースには以下のリモート アクセス機能が含まれています。
属性
設定
HTTP (ウェブ)
内部ネットワーク、 または SSL-VPN 装置が到達できるその他のネットワーク
セグメント (インターネットを含む) 上の HTTP サーバに対するプロキシ アク
セス。 リモート ユーザが HTTPS を使用して SSL-VPN 装置と通信し、
URL を要求すると、 SSL-VPN がその URL を HTTP 経由で取得します。
その後、 URL が必要に応じて変換され、 復号化されてリモート ユーザに返
されます。
HTTPS (セキュア ウェブ)
内部ネットワーク、 または SSL-VPN 装置が到達できるその他のネットワーク
セグメント (インターネットを含む) 上の HTTPS サーバに対するプロキシ アク
セス。
Telnet (Java)
リモート ユーザのウェブ ブラウザを通じて配信される Java ベースの Telnet
クライアント。 リモート ユーザがアクセス可能な Telnet サーバの IP アドレスを
指定すると、 SSL-VPN が目的のサーバへの接続を確立し、 ネイティブな
Telnet を使用して、 SSL 上のユーザとサーバとの通信を代行します。
SSH (Java)
リモート ユーザのウェブ ブラウザを通じて配信される Java ベースの SSH ク
ライアント。 リモート ユーザがアクセス可能な SSH サーバの IP アドレスを指定
すると、 SSL-VPN が目的のサーバへの接続を確立し、 ネイティブに暗号
化された SSH を使用して、 SSL 上のユーザとサーバとの通信を代行しま
す。
FTP (Web)
内部ネットワーク、 または SSL-VPN 装置が到達できるその他のネットワーク
セグメント (インターネットを含む) 上の FTP サーバに対するプロキシ アクセ
ス。 リモート ユーザが HTTPS を使用して SSL-VPN 装置と通信し、 URL
を要求すると、 SSL-VPN がその URL を HTTP 経由で取得し、 必要に応
じて変換し、 復号化してリモート ユーザに返します。
リモート デスクトップ
リモート デスクトップは、 内部ネットワーク上のリモート デスクトップ プロトコル
(RDP) および、 仮想ネットワーク コンピューティング (VNC) 対応のワーク
ステーションとサーバに対するアクセスをリモート ユーザに提供し、 そのコン
ピュータを実際に操作しているに近い環境を実現します。 各種のリモート デス
クトップ プロトコルの詳細については、 以下のセクションを参照してください。
アプリケーション
アプリケーションとは、 デスクトップ全体ではなく特定のアプリケーションに対す
る RDP セッションのことを指します。 これにより、 管理者およびユーザが
CRM ソフトウェアや財務会計ソフトウェアといった個別のアプリケーションへの
アクセスを定義することができ、 リモート ユーザにデスクトップ全体のアクセス
権を与えずに済みます。 アプリケーションを閉じると、 そのセッションも終了し
ます。 各種のアプリケーション プロトコルの詳細については、 以下のセクション
を参照してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
9
リモート デスクトップ プロトコル
最近のマイクロソフトのワークステーションやサーバにはリモート アクセスを簡単に実現できる RDP サーバの
機能が用意されていますし、 簡単に入手してインストールできる無償の VNC サーバ オプションもほとんど
のオペレーティング システム用に数多く公開されています。 RDP クライアントや VNC クライアントは、 許可
されたリモート ユーザのウェブ ブラウザを通じて次のような形式で自動的に配信されます。
• RDP4 (Java) - RDP4 はマイクロソフトのリモート デスクトップ プロトコルの初期バージョンであり、
Java クライアントとして提供できるのでプラットフォーム互換性が広いという長所があります。 RDP4 は、
RDP5 とは異なり、 全画面モードや RDP セッション内の音声に対応していません。
• RDP5 (ActiveX) - RDP5 はマイクロソフトが現在使用しているバージョンのリモート デスクトップ プ
ロトコルであり、 セッション音声や全画面モードなど豊富な機能を備えているため、 ActiveX クライアン
トの形式でしか使用できません。
• VNC (Java) - VNC はもともと AT & T によって開発されたものですが、 今日ではオープン ソース
ソフトウェアとして広く使われています。 さまざまな VNC サーバがありますが、 どの VNC サーバもほと
んどのワークステーションやサーバにインストールしてリモート アクセスを実現することができます。 これら
のサーバに接続するための VNC クライアントは、 リモート ユーザのウェブ ブラウザを通じて Java クラ
イアントとして配信されます。
アプリケーション プロトコル
使用できるアプリケーション プロトコルを以下に示します。
RDP (Java) - Java ベースの RDP4 クライアントを使用してターミナル サーバに接続し、 指定のパス
(たとえば C:\programfiles\microsoft office\office11\winword.exe) にあるアプリケーションを自動的に呼
び出します。
RDP5 (ActiveX) - ActiveX ベースの RDP5 クライアントを使用してターミナル サーバに接続し、 指
定のパス (たとえば C:\programfiles\ethereal\ethereal.exe) にあるアプリケーションを自動的に呼び出し
ます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
10
ëÊ 2 èÕ
第2章
基本システム エンティティの設定
SonicWALL SSL-VPN 装置の設定を始める前に、 SonicWALL SSL-VPN 管理インターフェース環
境の一部であるツールを確認することをお勧めします。
この章の構成は以下のとおりです。
• 12 ページ 「ブラウザ要件」
• 13 ページ 「ウェブ管理インターフェースの概要」
• 16 ページ 「状況環境の概要」
• 20 ページ 「イベント ログの概要」
• 24 ページ 「使用中のユーザ数の概要」
• 26 ページ 「ソフトウェアとシステムの使用の設定」
• 29 ページ 「証明書の管理」
• 32 ページ 「監視の概要」
• 34 ページ 「個別ロゴの設定」
• 34 ページ 「診断の実行」
• 36 ページ 「NetExtender の設定」
S o n i c W A L L S S L - V P N 管理者ガ イ ド
11
ブラウザ要件
ウェブ管理インターフェースと SSL-VPN ポータルでは、 以下のウェブ ブラウザがサポートされています。
Java は、 SSL-VPN ポータルの各種機能にのみ必要であり、 ウェブ管理インターフェースには必要あり
ません。
表 1 ブラウザ要件
項目
要件
• インターネット エクスプローラ 5.0.1 以上、 Mozilla 1.x、 またはネットス
ブラウザ
ケープ 7.0 以上
• オペラ 7.0 以上
• FireFox 1.0 以上
Java
• Sun JRE 1.3.1 以上
• マイクロソフト JVM 5 以上
アップル マック OS X
• ブラウザ : サファリ 1.2 以上
• Java : Sun JRE 1.1 以上
Unix、 Linux、 または BSD
ブラウザ : Mozilla 1.x またはネットスケープ 7.0 以上
サファリ 1.2 以上
• Java : Sun JRE 1.1 以上
SonicWALL SSL-VPN ソフトウェアを設定する場合、 管理者は、 JavaScript、 Cookie、 および
SSL 対応のウェブ ブラウザを使う必要があります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
12
ウェブ管理インターフェースの概要
以下は、 SonicWALL SSL-VPN 装置のウェブベース管理インターフェースに接続する場合の基本セッ
ションの概要です。 管理セッションと基本セットアップ タスクの詳細については、 SonicWALL SSL-VPN
2000 導入ガイドを参照してください。 SSL-VPN のウェブベース管理インターフェースにアクセスするに
は、 以下の手順に従います。
1. SonicWALL SSL-VPN 装置の X0 ポートにクロス ケーブルの片端を接続します。 SonicWALL
SSL-VPN 装置の管理に使っているコンピュータにケーブルのもう一方の端を接続します。
図 1 クロス ケーブルによる X0 ポートと管理ステーションの接続
3ONIC7!,,33,60.
8
▤ℂࠬ࠹࡯࡚ࠪࡦ
2. SonicWALL SSL-VPN 装置の管理に使うコンピュータの静的 IP アドレスが、 192.168.200.20 な
ど、 192.168.200.x / 24 サブネットに入るように設定します。 コンピュータの静的 IP アドレスのセット
アップについては、 SonicWALL SSL-VPN 2000 導入ガイドを参照してください。
補足 インターネット エクスプローラ 5.0.1 以上、 ネットスケープ ナビゲータ 4.7 以上、 Mozilla 1.7 以
上、 Firefox など、 Java と HTTP のアップロードをサポートしているウェブ ブラウザの使用を
お勧めします。
3. ウェブ ブラウザを開き、 場所またはアドレスフィールドに 〈https://192.168.200.1〉 (既定の LAN 管
理 IP アドレス) を入力します。
4. セキュリティ警告が表示されます。 はいボタンを選択して次に進みます。
図 2 IP アドレスのアクセス時に表示されるセキュリティ警告
補足 SonicWALL SSL-VPN 装置の設定では上記のブラウザの使用が認められていますが、 アプリ
ケーションの全スイートを利用するためには、 JavaScript、 Java、 Cookie、 SSL、 および ActiveX
をサポートしている IE 5.0.1 以上を使う必要があります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
13
5. SonicWALL SSL-VPN 管理インターフェースが表示されるので、 指示に従ってユーザ名とパス
ワードを入力します。 ユーザ名フィールドに admin を入力し、 パスワード フィールドに password を
入力し、 ドメインドロップダウン リストから LocalDomain を選び、 ログイン ボタンを選択します。
図 3 ログイン画面
表示される既定のページは、 システム > 状況ページです。 このページの詳細については、 16 ページ
「状況環境の概要」 を参照してください。
補足 環境に最初に表示される既定のページとして仮想オフィスポータルのホームページを入力した場合
は、 ユーザ権限しかないドメインを選択したことになります。 管理者権限は、 LocalDomain 認証ドメイン
からのみ実行できます。 管理者としてログインしたい場合は、 ログイン画面のドメイン リスト ボックスで、
LocalDomain を選択してください。
ブラウザ ウィンドウの左側にある システム、 ネットワーク、 ポータル、 NetExtender、 ユーザ、 ログ、
および仮想オフィスの各メニューで、 管理設定を構成します。 ナビゲーション オプションのいずれかを選択
すると、 新しいナビゲーション リンクが表示されます。 ナビゲーション リンクを選択すると、 対応する管理
ウィンドウが表示されます。
ナビゲーション メニューのオンライン ヘルプ オプションには、 状況に応じたオンライン ヘルプが表示されま
す。 管理情報と手順については、 オンライン ヘルプを参照してください。
ナビゲーション メニューの一番下にあるログアウト オプションを選択すると、 管理セッションが終了し、 認
証ウィンドウが再表示されます。 ログアウトを選択した場合は、 再認証しなければシステムを管理すること
はできません。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
14
ウェブ インターフェースのレイアウト
以下の表に、 SonicWALL SSL-VPN のウェブ インターフェースのレイアウトを詳しく説明します。
表 2 SSL-VPN 装置のウェブ インターフェースのレイアウト
トップ メニュー
メニュー
オプション
システム
状況
装置の状況を表示する
時間
時間パラメータを設定する
設定
設定のインポート、 エクスポート、 および保管を行う
証明書
証明書のインポートまたは生成を行う
監視
帯域使用、 使用中のユーザ数、 CPU 使用率 (%)、 およびメモリ使用
率 (%) のグラフを表示する
診断
診断セッションを実行する
再起動
システムを再起動する
インターフェース
装置のインターフェースを設定する
DNS
ドメイン名を解決するように装置を設定する
ルート
デフォルト ルートと静的ルートを設定する
ホスト解決
ホスト名を解決する
ネットワーク オブ
ジェクト
IP アドレスをサービスにバインドする再利用可能なエンティティを作成する
ネットワーク
ポータル
NetExtender
ユーザ
ログ
ポータル レイアウト 認証のためにユーザが SonicWALL SSL-VPN にリダイレクトされたとき
に表示する個別の待ち受けページを作成する
ドメイン
アクセス ポリシーを作成できる認証ドメインを作成する
個別ロゴ
ポータル ページに組織のロゴを作成する
クライアント ルート
NetExtender アプリケーションで使うクライアント ルートを作成する
クライアント アドレ
ス
NetExtender アプリケーションで使うクライアント アドレスを作成する
状況
ユーザとグループの状況を表示する
ローカル ユーザ
ローカル ユーザを設定する
ローカル グループ
ローカル グループを設定する
表示
機器で生成済みの Syslog エントリを表示する
設定
ログ環境の設定を構成する
仮想オフィス
仮想オフィスポータルのホームページにアクセスする
オンライン ヘル
プ
オンライン ヘルプにアクセスする
ログアウト
装置からログアウトする
S o n i c W A L L S S L - V P N 管理者ガ イ ド
15
状況環境の概要
システム > 状況ページ環境は、 SonicWALL SSL-VPN 環境での作業の開始ポイントです。 ここに表
示される詳細情報から、 ご使用の SonicWALL SSL-VPN 装置で何が発生しているかを把握することが
できます。
システム > 状況ページには、 SonicWALL SSL-VPN 装置のライセンスと SonicWALL セキュリティ
サービスのライセンスの管理に役立つ幅広いさまざまな情報とリンクが提供されます。 SonicWALL 装置
に関する状況情報が、 システム メッセージ、 最近の警告、 システム情報、 ライセンスと登録、 およ
び ネットワーク インターフェースの 6 つのセクションに分けて表示されます。
図 4 システム > 状況ページ
システム情報
最近の警告
システム
メッセージ
ライセンス
と登録
ネットワーク イン
ターフェース
以下の表は システム > 状況ページの領域の詳細です。 .
表 3 システム > 状況ページの領域
領域
説明
システム情報
その SSL-VPN 装置の、 基本的で標準的な詳細情報を表示します。 これら
の詳細情報は、 モデル番号、 シリアル番号、 認証コード、 現在の装置の
ファームウェア バージョン、 ROM バージョン、 装置の CPU 使用率とメモリ
使用率 ( システム > 監視ページより )、 システム日付とシステム時刻、 シ
ステムを最初に起動してからの経過時間 ( アップタイム )、 そして使用中の
ユーザ数を含みます。
最近の警告
最近の侵入イベント、 特に、 変則的なシステムの動作やエラーに関してのテ
キストを表示します。 これらの情報は、 そのイベントの日付と時刻、 イベントが
発生したユーザのホスト、 イベントを特徴付ける簡単なテキスト メッセージを
含みます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
16
領域
説明
システム メッセージ
SSL-VPN 装置上の最近のイベント、 特にシステム設定の変更に関してのテ
キストを表示します。
ライセンスと登録
装置のシリアル番号と認証コード、 登録状況そしてユーザ ライセンスを表示し
ます。 また、 装置を手動で登録するための、 登録コードの入力フィールドを
表示します。
ネットワーク インターフェース
装置上のインターフェースのリストを、 設定された IP アドレスとリンク ステータ
スとともに表示します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
17
システム情報
このセクションには、 以下の情報が表示されます。
表 4 システム情報
フィールド
説明
モデル
SonicWALL SSL-VPN 装置のタイプ
シリアル番号
SonicWALL 装置のシリアル番号または MAC アドレス
認証コード
〈https://www.mysonicwall.com〉 の登録データベースで SonicWALL 装置
を認証する場合に使う英数字コード
ファームウェア バージョン
SonicWALL 装置にロードされているファームウェア バージョン
ROM バージョン
ROM バージョン
CPU (使用率)
直前の 5 分間の CPU 平均使用率と SonicWALL 装置プロセッサのタイプ
システム時間
現在の実際の時間
アップタイム
最初に起動したときから現時点までの SonicWALL SSL-VPN 装置がアク
ティブであった日数、 時間数、 分数、 および秒数
使用中のユーザ数
SonicWALL SSL-VPN 装置に現在ログインしているユーザの数
最近の警告
このセクションには、 システム イベントやシステム エラーに関連するメッセージが表示されます。 攻撃メッ
セージには、 AV 警告、 禁止する電子メール添付ファイル、 不正な証明書などが含まれます。 青色の
矢印を選択すると、 ログ > 表示 ページが表示されます。 最近の警告セクションのフィールドは、 以下のと
おりです。
• 日付/時間 - メッセージが生成された日時
• ユーザ - メッセージを生成したタスクを実行しようとしたユーザの名前
• メッセージ - エラーを表す実際のメッセージ
S o n i c W A L L S S L - V P N 管理者ガ イ ド
18
SonicWALL SSL-VPN 装置の登録
インターネット接続を確立したら、 SonicWALL SSL-VPN 装置を登録することをお勧めします。
SonicWALL 装置の登録には、 以下のようなメリットがあります。
• SonicOS ファームウェア更新にアクセスできる
• SonicWALL テクニカルサポートが得られる
• (SonicWALL SSL-VPN 装置と併用する目的で購入した SonicWALL ファイアウォールがある場
合) SonicWALL 侵入防御サービス、 SonicWALL ゲートウェイ アンチウィルス、 コンテンツ フィルタ
サービス、 およびネットワーク アンチウィルスの 30 日間無料トライアルを試用できる
登録する前に
SSL-VPN を登録する際、 DNS と時間が正しく設定されていることを確認します。 時間の設定は、 システ
ム > 時間ページで行いす。 DNS の設定は、 ネットワーク > DNS ページで行います。
SSL-VPN を登録するには、 mySonicWALL アカウントが必要です。 新しい mySonicWALL アカウント
は、 SonicWALL 管理インターフェースから直接作成できます。
補足 mySonicWALL 登録情報は、 売却したり、 他の会社と共有したりされません。
mySonicWALL での登録
1. SSL-VPN 管理インターフェースにログインしていない場合は、 ユーザ名 admin と、 セットアップ ウィ
ザードで設定した管理者パスワードを使用してログインします。
2. 管理インターフェースにシステム > 状況ページが表示されない場合は、 左側にあるナビゲーション メ
ニューでシステムを選択し、 次に状況を選択します。
3. 装置は、 ライセンスと登録セクションに表示されるシリアル番号と認証コードを使うことによって
〈https://www.mysonicwall.com〉 サイトで登録できます。 SonicWALL ウェブサイト リンクを選択する
と、 mySonicWALL アカウントにアクセスします。 装置の登録完了後に認証コードが提供されます。
取得した登録コードを下記に入力してください。 という見出しの下のフィールドに登録コードを入力し、
更新を選択します。
図 5 ライセンスと登録
補足 mySonicWALL アカウントをお持ちでない場合は、 〈https://www.mysonicwall.com〉 サイトで、
アカウントを新規に作成する必要があります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
19
イベント ログの概要
SonicWALL SSL-VPN 装置は、 失敗したログイン試行、 NetExtender セッション、 ログアウト イベント
などのシステム イベントを追跡するためのイベント ログを保持します。 このログは、 ログ > 表示ページに表
示したり、 利便性やアーカイブのために電子メール アドレスに自動的に送信したりできます。
図 6 ログ > 表示ページ
ログはテーブル形式で表示され、 列を基準に並べ替えることができます。 SonicWALL 装置は、 成功し
たログインやエクスポートされた設定などのイベントを通知することができます。 警告は、 電子メール アドレ
スまたは電子メール ページャのいずれかに即時に送信できます。
ログ エントリには、 イベントの日時、 およびイベントを説明する簡単なメッセージが含まれます。 ログ ページ
には、 ログ メッセージが、 並べ替え可能で検索可能なテーブルに表示されます。 SonicWALL
SSL-VPN 装置には、 250KB のログデータまたは約 1,000 個のログ メッセージが保管できます。 ログ
ファイルがログ サイズ制限に達すると、 ログ エントリは消去され、 必要に応じて SonicWALL SSL-VPN
管理者の電子メール アドレスに送信されます。
ログ エントリに表示される情報は以下のとおりです。
表 5 ログ ページの列
列
説明
時間
タイムスタンプには、 ログ イベントの日時が YY / MM / DD / HH /
MM / SS (年/月/日/時間/分/秒) の形式で表示される。 時間は
24 時間形式で表示される。 日時は、 システム > 時間ページで設定された
SSL-VPN ゲートウェイのローカル時間に基づく
優先順位
イベントに関連付けられた重大度。 重大度の有効な値は、 緊急、 警告、
重大、 エラー、 警告、 通告、 情報、 およびデバッグ
送信元
送信元の IP アドレスは、 そのログ イベントを生成したユーザまたは管理者の
機器の IP アドレスを示す。 システム エラーなど、 送信元の IP アドレスが表
示されないイベントもある
S o n i c W A L L S S L - V P N 管理者ガ イ ド
20
列
説明
送信先
送信先の IP アドレスは、 そのイベントに関連付けられたサーバまたはサービ
スの名前または IP アドレスを示す。 例えば、 ユーザが SSL-VPN ポータル
を介してイントラネットのウェブ サイトにアクセスした場合、 対応するログ エント
リには、 アクセスしたウェブ サイトの IP アドレスまたは完全修飾ドメイン名
(FQDN) が表示される
ユーザ
メッセージが生成されたときに装置にログインしていたユーザの名前
メッセージ
ログ メッセージのテキスト
S o n i c W A L L S S L - V P N 管理者ガ イ ド
21
ログ設定の概要
SonicWALL SSL-VPN は、 ウェブベースのログ、 Syslog、 および電子メール警告メッセージをサポー
トしています。 また、 SonicWALL SSL-VPN は、 イベント ログ ファイルを消去する前に SSL-VPN 管
理者の電子メール アドレスに送信するように設定することもできます。
Syslog は、 システム アクティビティとネットワーク アクティビティを記録する業界標準のログ プロトコルで
す。 Syslog メッセージは、 WELF (WebTrends Enhanced Log Format) で送信されるので、 通
常の標準的なファイアウォールやネットワーク レポート製品はログ ファイルを受け取って解釈することができ
ます。 Syslog サービスは、 UDP ポート 514 で待機している外部の Syslog サーバに Syslog メッセー
ジを転送します。
図 7 ログ > 設定ページ
ログと警告の設定を構成するには、 以下の手順に従います。
1. イベント ログの設定を始めるには、 左側のナビゲーション メニューのログ > 設定 ページにナビゲートし
ます。
2. 主格 Syslog サーバ フィールドに、 Syslog サーバの IP アドレスまたは完全修飾ドメイン名 (FQDN)
を入力します。 Syslog ログが必要ない場合は、 このフィールドを空白のままにしておきます。
3. 予備用または 2 つ目の Syslog サーバがある場合は、 そのサーバの IP アドレスまたはドメイン名を副
格 Syslog サーバ フィールドに入力します。
4. 電子メールでイベント ログ ファイルを受け取るには、 イベントログと警告領域のイベントログの電子メール
送信先フィールドに完全な電子メール アドレス (username@domain.com) を入力します。 イベント
ログ ファイルは、 イベント ログが消去される前に、 指定された電子メール アドレスに送信されます。 こ
のフィールドを空白のままにした場合、 ログ ファイルは電子メールで送信されません。
5. 電子メールで警告メッセージを受け取るには、 警告の電子メール送信先フィールドに完全な電子メー
ル アドレス (username@domain.com) または電子メール ページャ アドレスを入力します。 警告イ
ベントが発生すると、 指定された電子メール アドレスに電子メールが送信されます。 警告メッセージを
生成するイベントのタイプを、 ログ > 設定ページのログと警告の種別領域で定義します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
22
このフィールドを空白のままにした場合、 警告メッセージは電子メールで送信されません。
6. ログ ファイルまたは警告メッセージを電子メール アドレスに送信するには、 メール サーバ フィールドに
メール サーバの DNS 名または IP アドレスを入力します。
このフィールドを空白のままにした場合、 ログ ファイルと警告メッセージは電子メールで送信されませ
ん。
7. ログ ファイルを消去して管理者の電子メール アドレスに送信する時期をイベント ログの送信フィールドで
指定します。 オプション " 一杯のとき " を選択した場合、 イベント ログは、 ログ ファイルが一杯になっ
たときに電子メール アドレスに送信され、 送信後に消去されます。 "1 日ごと " または "1 週間ごと "
オプションを選択した場合、 ログ ファイルは 1 日に 1 回または 1 週間に 1 回電子メール アドレスに送
信されて削除されます。 "1 日ごと " または "1 週間ごと " を選択した場合は、 時間前にログ ファイル
が一杯になった場合もログ ファイルは消去されます。
8. ログ > 表示ページで、 ログの消去ボタンを選択して、 現在のイベント ログを削除することができます。
イベント ログは電子メールで送信されません。
9. ログ > 設定ページのログと警告の種別領域で Syslog、 イベント ログ、 または警告メッセージとして識
別されるログ メッセージの重大度を定義します。 ログのカテゴリは、 重大度の高いものから低いものまで
設定されています。 特定のログ サービスに対してカテゴリを選択すると、 そのログ カテゴリとそれより重
大度の高いイベントがログに記録されます。
例えば、 イベント ログ サービスに対してエラー ラジオ ボタンを選択すると、 緊急、 警告、 重大、 お
よびエラーのすべてのイベントが内部のログ ファイルに記録されます。
10. 適用を選択して構成の設定を更新します。
ログ テーブルのエントリのナビゲートと並べ替え
ログ表示 ドロップダウン リストでは、 多数のログ イベントを簡単に閲覧できるようにページ付けがされていま
す。 これらのログ イベントにナビゲートするには、 以下の表で説明するファシリティを使用します。
表 6 ログ テーブルのナビゲーション ファシリティ
ナビゲーション ボタン
説明
検索
範囲リストで選択した範囲に基づき、 指定した設定を含むログを検索で
きます。 範囲には、 時間、 優先順位、 送信元、 送信先、 および
ユーザがあります。 検索結果にリストされる結果の順序は、 選択した範
囲のタイプによって異なります。
除外
検索条件に一致したログ以外のすべてのログ エントリを表示します。
表示するページ
エントリの数が多いために複数のページが表示される場合に、 ページを
指定してそのページのログ エントリを表示できます。 ログ エントリのページ
が 1 ページだけの場合、 このファシリティは表示されません。
リセット
検索結果をリセットして、 すべてのログを表示します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
23
使用中のユーザ数の概要
ユーザ > 状況ページには、 SonicWALL SSL-VPN 装置にログインしているアクティブなユーザ数と管
理者数が表示されます。
図 8 ユーザ > 状況ページ
使用中のユーザ セッション ウィンドウには、 SonicWALL SSL-VPN 装置ポータルまたは管理インター
フェースにログインしている現在のユーザまたは管理者が表示されます。 このウィンドウの列は以下のとおり
です。
表 7 アクティブなユーザの情報
列
説明
名前
ユーザの ID を示す文字列
グループ
ユーザが属するグループ
IP アドレス
ユーザがログインしているワークステーションの IP アドレス
ログイン時間
ユーザが SonicWALL SSL-VPN 装置との接続を最初に確立した時間が、
曜日、 日付、 および時刻 (HH : MM : SS) で表される
ログイン経過時間
ユーザが SonicWALL SSL-VPN 装置との接続を最初に確立してからの経
過時間が、 日数と時間数 (HH : MM : SS) で表される
無動作時間
ユーザが SonicWALL SSL-VPN 装置に対してアクティブではない状態ま
たは無動作の状態だった時間
ログアウト
ユーザを装置からログアウトさせることができるアイコン
エントリには、 ユーザの名前、 ユーザが属するグループ、 ユーザの IP アドレス、 およびユーザがログイン
した時間を示すタイムスタンプが表示されます。 管理者は、 ユーザの右側に表示されているごみ箱アイコ
ンを選択することで、 直ちにユーザ セッションを終了してユーザをログアウトさせることができます。
SSL-VPN 装置上の現在のユーザについての詳細は、 第 4 章 「ユーザの設定」 を参照してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
24
時刻と日付の設定
時刻と日付を設定するには、 システム > 設定ページにナビゲートします。 時刻と日付の設定は、 ログ イ
ベントのタイムスタンプやその他の内部の目的に使用されます。
時刻と日付を設定するには、 以下の手順に従います。
1. タイムゾーン ドロップダウン メニューで、 タイムゾーンを選択します。
2. 時刻と日付の設定を手動で定義するには、 希望する時刻 (24 時間形式) と日付を入力します。
3. 適用を選択して設定を更新します。
図 9 システム > 時刻ページ
NTP の設定
Network Time Protocol ( NTP ) を有効にすると、 NTP の時刻設定が手動の時刻設定に優先しま
す。 NTP の時刻設定は、 NTP サーバと、 タイムゾーン メニューで選択したタイムゾーンによって決まりま
す。
NTP を使って装置の時刻を設定するには、 以下の手順に従います。
1. NTP を使用して自動的に時刻を調整するチェックボックスを選択します。
2. 更新間隔フィールドに、 時刻設定を NTP サーバと同期する間隔を秒単位で入力します。 間隔を定義
しないと、 既定の更新間隔である 64 秒が自動的に選択されます。
3. NTP サーバ 1 フィールドに、 NTP サーバの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し
ます。
4. 冗長性がある場合は、 NTP サーバ 2 と NTP サーバ 3 の (オプション) フィールドに、 予備の NTP
サーバ アドレスを入力します。
5. 適用を選択して設定を更新します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
25
ソフトウェアとシステムの使用の設定
システム > 設定ページから、 SonicWALL SSL-VPN 装置の現在のシステム設定による以下のタスク
を実行することができます。
• バックアップ設定ファイルのエクスポート
• 設定ファイルのインポート
• 設定の保管
• ファイル設定の暗号化
• 変更後の設定の自動保管
図 10 システム > 設定ページ
設定ファイルのインポート
構成の設定をバックアップ ファイルに保存し、 この保存した設定ファイルから後で設定をインポートすること
ができます。 バックアップ ファイル名は、 既定では sslvpnSettings.zip です。 設定ファイルをインポート
するには、 以下の手順に従います。
1. システム > 設定ページに移動します。
2. 設定ファイルをインポートするには、 設定のインポートを選択します。 SonicWALL SSL-VPN は設
定のインポート ダイアログ ボックスを表示します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
26
図 11 設定のインポート フォーム
3. 参照を選択して、 インポートしたい (設定が含まれている) ファイルが置かれている場所にナビゲートし
ます。 ファイルはどのような名前でも構いません。
4. アップロードを選択します。
SonicWALL SSL-VPN SonicOS によって、 ファイルから設定がインポートされ、 装置がその設定
で再構成されます。
補足 システムを再設定する準備が整っていることを確認します。 ファイルをインポートすると、 直ちに既
存の設定が上書きされます。
5. ファイルのインポートが終了したら、 装置を再起動して変更を適用します。
バックアップ設定ファイルのエクスポート
構成の設定をバックアップ ファイルに保存またはエクスポートして、 この保存した設定ファイルを後でイン
ポートすることができます。 バックアップ ファイル名は、 既定では sslvpnSettings.zip です。 バックアッ
プ設定ファイルをエクスポートするには、 以下の手順に従います。
1. システム > 設定ページに移動します。
2. 設定のバックアップ ファイルを保存するには、 設定のエクスポートを選択します。
使っているブラウザが、 設定ファイルを開くかどうかを尋ねます。
図 12 ファイルのダウンロード ダイアログ ボックス
3. 保存を選択し、 OK を選択します。
4. 設定ファイルを保存する場所を選択します。 ファイル名は、 既定では sslvpnSettings.zip ですが、
変更できます。
5. 保存を選択して設定ファイルを保存します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
27
設定の保存
最新の設定セッションで作成した設定を保存するには、 設定の保存を選択します。
変更後の設定の自動保存
システム > 設定ページから、 現在の設定をフラッシュ メモリに保存することができます。 変更後に自動的
に設定を保存するチェックボックスを選択していると、 設定は自動的にフラッシュ メモリのファイルに保存さ
れます。 システムを再起動したとき、 この最新の設定が再ロードされます。 このチェックボックスを選択し
ない場合は、 SonicWALL SSL-VPN 装置は、 再起動される度に設定を保存するよう促します。
設定ファイルの暗号化
セキュリティのために、 システム > 設定ページで設定ファイルを暗号化することができます。 ただし、 設
定ファイルを暗号化すると、 トラブルシューティングの目的で編集したり確認したりできなくなります。
設定ファイルを暗号化するには、 設定ファイルを暗号化するチェックボックスを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
28
証明書の管理
SonicWALL SSL-VPN には、 事前インストール済みの SSL 機能対応自己署名 X509 証明書が添付
されています。 自己署名証明書の機能はすべて、 有名な認証局 (CA) から発行される証明書と同じで
すが、 信頼できるルート ストアにインポートするまでセキュリティ警告 「信頼できないルート CA 証明書で
す」 が発行されます。 このインポート手順を実行するには、 認証後にポータルで証明書のインポート ボタ
ンを選択します。
自己署名証明書の使用に代わるもう 1 つの方法は、 証明書署名リクエスト (CSR) を生成し、 有名な
CA に提出して有効な証明書を発行してもらうことです。 有名な CA には、 Verisign
〈www.verisign.com〉 や RegisterFly 〈www.registerfly.com〉 などがあります。
補足 この装置には、 事前ロード済みの証明書が添付されています。
証明書署名リクエストの生成
Verisign や Thawte などの幅広く認められている認証局から有効な証明書を入手するには、
SonicWALL SSL-VPN 装置の証明書署名リクエストを生成しなければなりません。 証明書署名リクエス
トを生成するには、 以下の手順に従います。
1. システム > 証明書ページにナビゲートします。
2. CSR の生成を選択して CSR と証明書鍵を生成します。
SonicWALL SSL-VPN が、 証明書署名リクエストの生成ダイアログ ボックスを表示します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
29
図 13 証明書署名リクエストの生成ダイアログ ボックス
3. ダイアログ ボックスのフィールドに入力し、 適用を選択します。
4. すべての情報が正しく入力されると、 csr.zip ファイルが作成されます。 この zip ファイルをディスクに
保存します。 このファイルを認証局に提出する必要があります。
証明書と発行者情報の表示
現在ロードされている SSL 証明書は、 証明書テーブルにリストされます。 証明書と発行者情報を表示す
るには、 以下の手順に従います。
1. 証明書に対応する設定アイコンを選択します。
SonicWALL SSL-VPN が、 発行者情報や証明書のサブジェクト情報を確認できる証明書の編集ダ
イアログ ボックスを表示します。
図 14 証明書の編集ダイアログ ボックス
2. 証明書の編集ダイアログ ボックスから、 発行者情報や証明書のサブジェクト情報を確認することができ
ます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
30
3. 証明書の共通名を更新するには、 共通名フィールドに正しい IP アドレスまたは文字列を入力します。
4. 適用を選択して変更を適用します。
また、 期限切れの証明書や不正な証明書を削除することもできます。 証明書を削除するには、 ごみ
箱アイコンを選択します。
補足 SSL 証明書がアクティブな場合は ごみ箱アイコンは利用できません。 証明書を削除するには、 別
の SSL 証明書をアップロードしてアクティブにします。 これで、 証明書の表示ウィンドウから、 アクティブで
はない証明書を削除することができます。
証明書のインポート
証明書をインポートするには、 以下の手順に従います。
1. システム > 証明書ページにナビゲートします。
システム > 証明書ページから、 現在ロードされている証明書を確認したり、 デジタル証明書をアップ
ロードしたり、 新しい CSR を生成したりできます。
図 15 システム > 証明書ページ
2. 証明書のインポートを選択します。
SonicWALL SSL-VPN が、 証明書のインポート ダイアログ ボックスを表示します。
図 16 証明書のインポート ダイアログ ボックス
3. 参照を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
31
4. ディスクまたはネットワーク ドライブ上でデジタル証明書の zip ファイルを探して選択します。 どのような
ファイル名でも受け入れられますが、 拡張子は ".zip" でなければなりません。 zip ファイルには、 証
明書ファイル server.crt と証明書鍵ファイル server.key が入っています。 zip ファイルにこれらの
2 つのファイルが入っていないと、 その zip ファイルはアップロードされません。
5. アップロードを選択します。
証明書のアップロードが終了すると、 その証明書はシステム > 証明書ページの証明書リストに表示さ
れます。
補足 公認の認証局 (CA) で生成された有効な証明書にはパスワードが必要です。
PEM 証明書の追加
認証局が利用する署名された中間 (連鎖された) 証明書のような証明書チェーンと共に利用するため
の、 PEM エンコード形式の追加の CA 証明書をインポートできます。
PEM 証明書を追加するには、 以下の手順に従います。
1. システム > 証明書にナビゲートします。
2. 追加の CA 証明書領域の、 証明書のインポートを選択します。
SonicWALL SSL-VPN は証明書のインポート ダイアログ ボックスを表示します。
3. 参照を選択します。
4. PEM エンコードされたデジタル証明書の zip ファイルをディスク上かネットワークドライブにおき、 それを
選択します。 どのようなファイル名でもかまいませんが、 .zip の拡張子である必要があります。 zip ファ
イルは、 server.crt という名の証明書ファイルと、 server.key という名の証明書鍵を含んでいま
す。 もし、 これらの 2 ファイルがはいっていなければ、 その zip ファイルはアップロードされません。
5. アップロードを選択します。
6. 証明書のアップロードが終わると、 システム > 証明書ページの証明書リストに、 その証明書が表示さ
れます。
監視の概要
SonicWALL SSL-VPN 装置には、 装置の使用と処理能力を把握するためにユーザが設定して確認で
きる監視ツールが用意されています。 装置の監視機能を設定および確認するには、 以下の手順に従いま
す。
1. システム > 監視ページにナビゲートします。
システム > 監視ページが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
32
図 17 システム > 監視ページ
2. 以下の表に、 4 つの異なる監視グラフについて説明します。
表 8 監視グラフのタイプ
グラフ
説明
使用帯域幅 (Kbps)
毎時間、 毎日、 毎週、 または毎月測定した、 機器が送受信する 1 秒あ
たりのデータ容量を Kbps 単位で示す
使用中のユーザ数
毎時間、 毎日、 毎週、 または毎月測定した、 装置にログインしているユー
ザの数。 この数値は、 2、 3、 5 などの整数で表される
CPU 使用率 (%)
毎時間、 毎日、 毎週、 または毎月測定した、 使用中の装置プロセッサに
おける処理能力使用量。 この数値は、 CPU の全処理能力に対するパーセ
ントで表される
メモリ使用率 (%)
毎時間、 毎日、 毎週、 または毎月測定した、 装置で使用された利用可能
メモリの容量。 この数値は、 利用可能メモリの全容量に対するパーセントで表
される
3. これらのグラフに表示される監視結果の期間を変更するには、 監視期間リストから、 毎時間、 毎日、
毎週、 または毎月のいづれかの期間オプションを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
33
個別ロゴの設定
SonicWALL SSL-VPN 装置ユーザ向けの組織ホームページの個別ロゴを設定することができます。 組
織の個別ロゴを作成するには、 以下の手順を実行します。
1. ポータル > 個別ロゴ ページにナビゲートします。
図 18 ポータル > 個別ロゴ ページ
2. アップロードするロゴ フィールドで、 参照 ... を選択し、 フォルダを参照してアップロードするログ ファイル
を入手します。
3. アップロードを選択します。 これで、 新しいロゴがユーザ向けホームページに表示されます。 仮想オ
フィスを選択してそのロゴを確認します。
補足 ロゴ ファイルは、 GIF 形式でなければ、 ホームページにアップロードして表示できません。
診断の実行
SonicWALL SSL-VPN 装置からの Ping 診断を実行することができます。 実行するには、 以下の手順
に従います。
1. システム > 診断ページにナビゲートします。
システム > 診断ページが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
34
図 19 システム > 診断ページ
2. 診断ツール リストボックスで、 Ping オプションを選択します。
3. 対象先 IP アドレス/名前フィールドに、 Ping セッションの宛先の IP アドレスまたはドメイン名を入力しま
す。
4. 実行を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
35
NetExtender の設定
NetExtender は、 ウィンドウズ ユーザのための SSL-VPN クライアントであり、 透過的にダウンロードさ
れ、 会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。 このクライアントは、
ActiveX とネゴシエートするのにポイント ツー ポイント プロトコル (PPP) アダプタ インスタンスを使用しま
す。 NetExtender は、 リモート クライアントを継ぎ目なくローカル ネットワークの資源にアクセスさせま
す。
NetExtender > 状況ウィンドウは、 NetExtender のアクティブなセッションを表示します。 また、 アク
ティブな NetExtender セッションをログ アウトさせることもできます。
NetExtender のクライアント ルートの追加
NetExtender クライアント ルートは、 すべての NetExtender クライアントが通過し、 リモート ユーザが、
SSL-VPN 接続を通してアクセスできるプライーベート ネットワークを決定します。
1. NetExtender > クライアント ルート ページにナビゲートします。
2. クライアント ルートの追加ボタンを選択します。
クライアント ルートの追加ダイアログ ボックスが表示されます。
図 20 クライアント ルートの追加ダイアログ ボックス
3. 送信先ネットワーク フィールドに、 NetExtender によるアクセスを与える、 信頼できるネットワークの
IP アドレスを入力します。 例えば、 ネットワーク 192.168.50.0 / 24 の DMZ に接続しようとしてい
S o n i c W A L L S S L - V P N 管理者ガ イ ド
36
て、 自分の LAN ネットワーク 192.168.168.0 / 24 へのアクセスを与えるならば、
192.168.168.0 と入力します。
補足 オプションとして、 送信先ネットワークとサブネット マスクに 0.0.0.0 を入力すると、 NetExtender
を通したすべての SSL-VPN クライアント トラフィックを通します。
4. サブネット マスク フィールドに適切なサブネット マスクを入力します。
5. 追加を選択します。
NetExtender のアドレス範囲の設定
NetExtender の IP 範囲は、 NetExtender のセッションの間リモート ユーザに割り当てられる IP アドレス
の領域を定義します。 この範囲は、 サポート対象の、 同時に存在する NetExtender の最大ユーザ数に
1 を足したものを満たす必要があります。 ( 例えば、 15 ユーザは、 192.168.200.100 から
192.168.200.125 のように 16 のアドレスが必要です。 )
この範囲は、 SSL-VPN 装置が接続しているインターフェースと同じサブネットの中にあるべきです。
SSL-VPN 装置と同じセグメントに他のホストがある場合、 他に割り当てられたアドレスと重なったり衝突した
りしてはいけません。 以下のような方法で、 正しいサブネットを決定できます。
• NetExtender の範囲を既定のままにしておく。 ( 192.168.200.100 から 192.168.200.200 )
• 存在する DMZ のサブ ネットの中で、 範囲を選択する。 例えば、 DMZ が 192.168.50.0 / 24 の
サブ ネットを使っていて、 30 の同時に存在する NetExtender セッションをサポートしたいならば、 ま
だ使用されていない 192.168.50.220 から 192.168.50.250 を使える。
• 存在する LAN のサブ ネットの中で、 範囲を選択する。 例えば、 LAN が 192.168.168.0 / 24 の
サブ ネットを使っていて、 10 の同時に存在する NetExtender セッションをサポートしたいならば、 ま
だ使用されていない 192.168.168.240 から 192.168.168.250 を使える。
NetExtender のアドレス範囲を指定するには、 以下の手順を実行します。
1. NetExtender > クライアント アドレス ページにナビゲートします。
NetExtender > クライアント アドレス ページが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
37
図 21 NetExtender > クライアント アドレス ページ
2. クライアント アドレス範囲の開始フィールドに、 クライアント アドレス範囲の開始クライアント アドレスを
指定します。
3. クライアント アドレス範囲の終了フィールドに、 クライアント アドレス範囲の終了クライアント アドレスを
指定します。
補足 DMZ サブネット内で範囲を設定する場合は、 その値が使われていないことを確認してください。
LAN サブネット内で範囲を設定する場合も、 その値が使われていないことを確認してください。
4. 適用を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
38
ëÊ 3 èÕ
第3章
ネットワーク設定の構成
SonicWALL SSL-VPN 装置の設定を始めるには、 ネットワーク インターフェース、 DNS 設定、 ルー
ト、 ホスト解決を含む、 ネットワーク設定を構成する必要があります。 SonicWALL SSL-VPN 装置の IP
設定とインターフェース設定は、 ネットワーク > インターフェース ページから構成できます。
SonicWALL SSL-VPN 装置の管理者は、 インターフェース ウィンドウから、 主格 (X0) インター
フェースの IP アドレスを設定できます。 また、 必要に応じて、 追加インターフェースを設定することもでき
ます。
補足 外から内への SSL-VPN インターフェースとして設定できるのは、 ネットワーク インターフェース X0
のみです。 インターフェース X0 のみが SSL-VPN セッションを許可します。 ウェブ サーバはインター
フェース X0 でのみ SSL-VPN セッションを待機するので、 管理はインターフェース X0 からしか行えませ
ん。 ただし、 配備シナリオによっては、 インターフェース X1、 X2、 および X3 の使用が必要になることも
あります。 ターミナル サービス機器はインターフェース X1 に接続できます。
この章の構成は以下のとおりです。
• 40 ページ 「ウェブ管理ポートの設定」
• 40 ページ 「ネットワーク インターフェースの設定」
• 42 ページ 「DNS 設定の構成」
• 43 ページ 「装置のデフォルト ルートの設定」
• 44 ページ 「装置の静的ルートの設定」
• 45 ページ 「ホスト解決の設定」
• 47 ページ 「ネットワーク オブジェクトの設定」
S o n i c W A L L S S L - V P N 管理者ガ イ ド
39
ウェブ管理ポートの設定
一つの公開 IP アドレスによる配備では、 HTTP および HTTPS トラフィックが外部から SonicWALL
SSL-VPN 装置へ到達するように、 ゲートウェイ装置の既定の管理ポートを設定してください。
補足 HTTPS は SSL-VPN の操作に必須ですが、 HTTP トラフィックの通過はオプションです。 HTTP
の通過を許可することによって、 ログイン画面へのユーザのアクセスには HTTP プロトコルを使えるものと
し、 その後のセッションは HTTPS に移行させる、 といった使い方ができます。
ゲートウェイ装置の管理ポートを変更した後は、 どのインターフェースにおいても以降のゲートウェイ装置へ
のアクセスには新しいポートを使用しなければなりません。 例えば、 http://192.168.168.168:8080、 あ
るいは https://67.115.118.146:444 となります。
1. ゲートウェイ装置の HTTP 管理ポートを 8080 に設定します。 (あるいは、 ゲートウェイ装置の既定
ポート以外の未使用のポート)
2. ゲートウェイ装置の HTTPS 管理ポートを 444 に設定します。 (あるいは、 ゲートウェイ装置の既定
ポート以外の未使用のポート)
SonicOS で既定の管理ポートを変更するには、 以下の手順を実行します。
1. システム>管理を選択します。
2. ウェブ管理設定のセクションまでスクロールします。
3. HTTP のポートを、 80 から別の未使用のポート、 例えば 8080 へ変更します。
4. HTTPS のポートを、 443 から別の未使用のポート、 例えば 444 へ変更します。
5. ページ上部にある適用ボタンを選択します。
補足 あるいは、 管理の要件によっては、 ウェブ インターフェースでの HTTP および HTTPS 管理を無
効にすることもできます。 この場合、 ネットワーク管理タスクの実行を始める前に、 管理ポート番号を変更
して、 SonicWALL GMS ネットワーク管理環境と互換性があるように SonicWALL SSL-VPN 装置を
設定する必要があります。 これらのタスクを実行するには、 SonicWALL SSL-VPN2000 導入ガイドを
参照してください。
ネットワーク インターフェースの設定
SonicWALL SSL-VPN 装置のポートが同じネットワーク上のファイアウォールまたはターゲット機器と通信
する場合は、 インターフェースに IP アドレスとサブネット マスクを割り当てる必要があります。
補足 X0 インターフェースが、 SSL-VPN のセッションと管理にアクティブな唯一のインターフェースで
す。
SSL-VPN 装置でインターフェースのこれらの設定を構成するには、 次の手順に従います。
補足 X0 インターフェースの IP アドレスが変更されると、 SSL-VPN サービスは自動的に再起動されま
す。 これによって既存のユーザ セッションはすべて切断されるので、 再接続する必要があります。
1. ネットワーク > インターフェース ページにナビゲートします。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
40
図 1 ネットワーク > インターフェース ページ
2. 希望のインターフェースに対応する設定アイコンを選択します。
SonicWALL SSL-VPN が、 インターフェースの編集ダイアログ ボックスを表示します。
図 2 インターフェースの編集ダイアログ ボックス
3. IP アドレス フィールドに IP アドレスを入力します。
4. サブネット マスク フィールドにサブネット マスクを入力します。
5. OK を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
41
DNS 設定の構成
ホスト名および URL 名を対応する IP アドレスへ解決できるようにするため、 SonicWALL SSL-VPN 装
置のためのドメイン ネーム サービス (DNS) サーバを設定することができます。 これにより、
SonicWALL SSL-VPN 装置は、 その DNS へ接続し、 完全修飾ドメイン名 (FQDN) を使ってサイト
の解決を行うことができます。
ネットワーク > DNS ページで、 SSL-VPN 管理者は、 ホスト名、 DNS サーバ アドレス、 および WINS
サーバ アドレスを設定できます。 WINS サーバの設定はオプションですが、 DNS サーバの設定は必須で
す。
1. ネットワーク > DNS ページにナビゲートします。
DNS サーバを設定するには、 以下の手順に従います。
図 3 ネットワーク > DNS ページ
2. ホスト名領域の SSL-VPN ゲートウェイ ホスト名フィールドに、 SSL-VPN 装置のホスト名を入力し
ます。
3. DNS 設定領域の主格 DNS サーバ フィールドに、 主格 DNS サーバのアドレスを入力します。
4. DNS 設定領域の副格 DNS サーバ フィールドには、 オプションで副格 DNS サーバのアドレスを入力し
ます。
5. DNS 設定領域の DNS ドメイン フィールドには、 オプションで DNS ドメインのアドレスを入力します。
6. WINS 設定領域の主格 WINS サーバ フィールドには、 オプションで主格 WINS サーバのアドレスを入
力します。
7. WINS 設定領域の副格 WINS サーバ フィールドには、 オプションで副格 WINS サーバのアドレスを入
力します。
8. 適用を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
42
装置のデフォルト ルートの設定
リモート ネットワークと通信できるように SSL-VPN 装置の既定ゲートウェイを設定する必要があります。 リ
モート ネットワークとは、 装置独自のネットワークとは異なる任意の IP サブネットです。 一般に、 既定ゲート
ウェイは、 SSL-VPN の接続先の SonicWALL ファイアウォール インターフェースの IP アドレスになりま
す。 これがこの装置のデフォルト ルートです。
管理者は、 ネットワーク > ルート ページから、 既定のネットワーク ルートを定義したり、 別の静的ルート
を追加したりできます。 静的ルートはオプションですが、 既定のネットワーク ルートはインターネット アクセス
に必須です。 デフォルト ルートや静的ルートの詳細については、 SonicWALL SSL-VPN2000 導入ガイ
ドを参照してください。
デフォルト ルートを設定するには、 以下の手順に従います。
1. ネットワーク > ルート ページにナビゲートします。
図 4 ネットワーク > ルート ページ
2. デフォルト ゲートウェイ フィールドに、 SSL-VPN がネットワークに接続する場合に通るファイアウォー
ルの IP アドレスまたはその他のゲートウェイ機器の IP アドレスを入力します。 このアドレスが装置のデ
フォルト ルートとして機能します。
3. インターフェース リストボックスで、 ネットワークへの接続インターフェースの役割を果たすインター
フェースを選択します。 一般に、 このインターフェースは X0 になります。
4. 適用を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
43
装置の静的ルートの設定
ネットワークのトポロジーに基づき、 既定のゲートウェイを通って特定のサブネットにアクセスするよりも、 特
定のサブネットへの静的ルートを設定することが必要になる、 またはそのほうが好ましい場合があります。 デ
フォルト ルートは機器の既定ゲートウェイですが、 SSL-VPN 装置が他のネットワークにもアクセスできるよ
うにする必要がある場合は静的ルートを追加することができます。 ルーティングや静的ルートの詳細につい
ては、 標準的な Linux の参考書を参照してください。
装置の明示的な宛先への静的ルートを設定するには、 以下の手順に従います。
1. ネットワーク > ルート ページにナビゲートします。
2. 静的ルートの追加ボタンを選択します。
静的ルートの追加ダイアログ ボックスが表示されます。
図 5 静的ルートの追加ダイアログ ボックス
3. 送信先ネットワーク フィールドに、 静的ルートを定義したいサブネットまたはホストを指定します。
(例、 192.168.220.0)
4. サブネット マスク フィールドに、 前項で指定したネットワークまたはホストに対応するサブネット マスクの
値を入力します。 (例、 255.255.255.0 またはホストに対し 255.255.255.255)
5. デフォルト ゲートウェイ フィールドに、装置をネットワークに接続するルータの IP アドレスを入力します。
6. インターフェース リストボックスで、 装置をネットワークに接続するインターフェースを選択します。
7. 追加を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
44
ホスト解決の設定
ホスト解決ページで、 ネットワーク管理者は、 ホスト名または完全修飾ドメイン名 (FQDN) を IP アドレス
に設定つまりマップすることができます。
補足 ホスト解決エントリは、 SSL-VPN 装置自体で自動的に作成されます。 削除しないでください。
SonicWALL SSL-VPN 装置は、 NetBIOS クライアントと WINS (Windows Internet Naming
Service) クライアントの両方として機能し、 ローカル ネットワークのホスト名と、 対応する IP アドレスを認
識することができます。
ホスト名を IP アドレスに解決するには、 以下の手順に従います。
1. ネットワーク > ホスト解決ページにナビゲートします。
ネットワーク > ホスト解決ページが表示されます。
図 6 ネットワーク > ホスト解決ページ
2. ホスト名の追加を選択します。 ホスト名の追加ダイアログ ボックスが表示されます。
図 7 ホスト名の追加 ダイアログ ボックス
3. IP アドレス フィールドに、 ホスト名にマップする IP アドレスを入力します。
4. ホスト名フィールドに、 指定した IP アドレスにマップするホスト名を入力します。
5. エイリアス フィールドに、 ホスト名のエイリアスである文字列を入力します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
45
6. 追加を選択します。 これで、
ホスト解決ページに、 下図のように新しいホスト名が表示されます。
図 8 ホスト解決ページ
S o n i c W A L L S S L - V P N 管理者ガ イ ド
46
ネットワーク オブジェクトの設定
便宜上、 サービスとそのサービスにマップされている IP アドレスの両方を含むエンティティを作成することが
できます。 このエンティティをネットワーク オブジェクトといいます。 これを使えば、 ポリシーを適用するときに
サービスを明示的な宛先に指定することが簡単になります。 サービスと IP アドレスの両方を指定しなくても、
ネットワーク オブジェクトを参照するだけで済みます。
ネットワーク オブジェクトを作成するには、 以下の手順に従います。
1. ネットワーク > ネットワーク オブジェクト ページにナビゲートします。
ネットワーク > ネットワーク オブジェクト ページが表示されます。
図 9 ネットワーク > ネットワーク オブジェクト ページ
2. ネットワーク オブジェクトの追加ボタンを選択します。
ネットワーク オブジェクトの追加ダイアログ ボックスが表示されます。
図 10 ネットワーク オブジェクトの追加ダイアログ ボックス
3. 名前フィールドに、 作成するネットワーク オブジェクトの名前にする文字列を入力します。
4. サービス リストを選択し、 サービスのタイプを選択します。
5. 追加を選択します。
ネットワーク > ネットワーク オブジェクト ページのネットワーク オブジェクト リストに、新しいネットワーク
オブジェクトが表示されます。
6. 作成したネットワーク オブジェクトにアドレスを割り当てるには、 設定アイコンを選択します。
ネットワーク オブジェクトの編集ダイアログ ボックスが表示されます。 ここでは、 ネットワーク オブジェク
S o n i c W A L L S S L - V P N 管理者ガ イ ド
47
ト名とそれに関連付けられているサービスが表示されることに注意してください。 また、 ネットワーク オブ
ジェクトにマップされた既存のアドレスを含むアドレス リストも表示されます。 ネットワーク オブジェクトに対
して作成する新しいアドレスは、 このリストに表示されます。
図 11 ネットワーク オブジェクトの編集ダイアログ ボックス
7. 追加を選択します。
オブジェクト アドレスの定義ダイアログ ボックスが表示されます。
図 12 オブジェクト アドレスの定義ダイアログ ボックス
8. オブジェクト種別リストを選択し、 オブジェクトのタイプを選択します。
オブジェクトには次の 2 つのタイプがあります。
• IP アドレス - 明示的な IP アドレス .
• IP ネットワーク - 開始アドレスとサブネット マスクの両方で定義される IP アドレスの範囲
9. 選択したオブジェクトのタイプに関する適切な情報を入力します。
• オブジェクトのタイプが IP アドレスの場合は、 IP アドレス フィールドに IP アドレスを入力します。
• オブジェクトのタイプがネットワーク アドレスの場合は、 ネットワーク アドレス フィールドに開始 IP アド
レスを入力し、 サブネット マスク フィールドにサブネット マスクを入力します。
10. 追加を選択します。
ネットワーク オブジェクトの編集ダイアログ ボックスのアドレス リストに、 IP アドレスが表示されます。 以
下の図に例を示します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
48
図 13 新しいネットワーク範囲が表示されたネットワーク オブジェクトの編集
11. 閉じるを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
49
S o n i c W A L L S S L - V P N 管理者ガ イ ド
50
ëÊ 4 èÕ
第4章
ユーザ アクセス ポリシーとグループ アク
セス ポリシーの設定
この章では、 ユーザとグループを定義し、 そのユーザとグループのために SSL-VPN アクセス ポリシーと
ブックマークを設定する方法を説明します。 ポリシーは、 SSL-VPN 装置で定義されているオブジェクトに
さまざまなレベルでアクセスできるようにします。
この章は以下のセクションで構成されます。
• 52 ページ 「アクセス ポリシーの概念」
• 52 ページ 「グループの設定」
• 54 ページ 「グループ ポリシーの編集」
• 55 ページ 「グループ ブックマークの設定」
• 57 ページ 「LDAP 認証ドメインのグループ設定」
• 61 ページ 「アクティブ ディレクトリ、 NT、 および RADIUS ドメインのグループ設定」
• 62 ページ 「ユーザの設定」
• 62 ページ 「新規ユーザの追加」
• 64 ページ 「ユーザの編集」
• 65 ページ 「ユーザ ポリシーの編集」
• 69 ページ 「ユーザ ブックマークの編集」
• 70 ページ 「ログイン ポリシーの設定」
• 74 ページ 「グローバル設定の編集」
• 74 ページ 「グローバル設定」
• 77 ページ 「アクセス ポリシー階層」
S o n i c W A L L S S L - V P N 管理者ガ イ ド
51
アクセス ポリシーの概念
アクセス ポリシーは、 SonicWALL SSL-VPN 装置の各種オブジェクトにさまざまなレベルでアクセスでき
るようにするものです。 SSL-VPN は、 特定の装置に対するアクセス レベルを制御します。 設定可能なア
クセス レベルは、 グローバル、 グループ、 ユーザの 3 レベルです。 特定の IP アドレス、 IP アドレス範
囲、 全アドレス、 またはネットワーク オブジェクトに対してアクセス ポリシーを作成することによって、 アクセ
スを遮断または許可することができます。
グループの設定
SonicWALL SSL-VPN 装置のローカル ユーザまたはローカル グループ ウィンドウを表示するには、 ウェ
ブ ブラウザから SonicWALL SSL-VPN 装置にログインします。
• ユーザを表示するには、 ユーザ > ローカル ユーザ ページにナビゲートする
• グループを表示するには、 ユーザ > ローカル グループ ページにナビゲートする
ドメインを作成するとグループが自動的に作成されることに注意してください。 ドメインは、 ポータル > ドメ
イン ページで作成することができます。 ユーザ > ローカル グループ ウィンドウからグループを直接作成す
ることもできます。
次は、 ユーザ > ローカル グループ ページの例です。
図 1 ユーザ > ローカル グループ ページ
新規グループの追加
ユーザ > ローカル グループ ウィンドウに次の 2 つの既定のオブジェクトがあります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
52
• グローバル ポリシー - 組織内のすべてのノードのアクセス ポリシーです。
• LocalDomain - LocalDomain グループは、 既定の LocalDomain 認証ドメインに対応して自動
的に作成されます。 これは、 特に指定がなかったときローカル ユーザが追加される既定のグループで
す。
新規のグループを作成するには、 以下の手順を実行します。
1. グループの追加を選択します。 ローカル グループの追加ウィンドウが表示されます。
図 2 ローカル グループの追加ダイアログ ボックス
2. グループの記述名をグループ名フィールドに入力します。
3. 適切なドメインをドメイン メニューで選択します。 ドメインがグループにマッピングされます。
4. 追加を選択して設定を更新します。 グループを追加すると、 新規のグループはローカル ユーザまたは
ローカル グループ ウィンドウに追加されます。
設定したすべてのグループがローカル グループ ウィンドウに表示されます。 グループはアルファベット順で
表示されます。
グループの削除
グループを削除するには、 ローカル グループ テーブル内の削除したいグループのごみ箱アイコンを選択し
ます。 ローカル グループ ウィンドウが表示され、 削除されたグループが定義済みグループのリストから消え
ます。
補足 ユーザの追加されたグループ、 および認証ドメインに対して作成された既定のグループを削除する
ことはできません。 認証ドメインの既定のグループを削除するには、 対応するドメインを削除します (ローカ
ル グループ テーブルでグループを削除することはできません)。 認証ドメインの既定のグループ以外につい
ては、 最初にグループ内のすべてのユーザを削除します。 その後、 ローカル グループ テーブル上でグ
ループを削除することができます。
グループの編集
グループを編集するには、 ローカル グループ テーブル内の編集したいグループの設定アイコンを選択しま
す。 グループ設定の編集ダイアログ ボックスが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
53
図 3 グループ設定の編集ダイアログ ボックス
グループ名、 ドメイン名、 無動作タイムアウトなどの、 全般的なグループ情報が表示されます。 グルー
プ名とドメイン名フィールドは設定できません。
このグループ内のユーザの無動作タイムアウトを設定するには、 次の手順を実行します。
1. 許容する無動作時間 (分) を無動作タイムアウト フィールドに入力します。
2. 適用を選択して設定の変更を保存します。
無動作タイムアウトは、 ユーザ、 グループ、 グローバルの各レベルで設定できます。 タイムアウトをユーザ
とグループのレベルで 0 に設定すると、 グローバル タイムアウトの設定が使われます。 複数のレベルでタイ
ムアウトを設定した場合、 ユーザ タイムアウトの設定がグループ タイムアウトより優先され、 グループ タイム
アウトがグローバル タイムアウトより優先されます。
最大タイムアウト時間は 100, 000 分を超えます。 しかし、 グローバル設定の編集ページでタイムアウト
を 0 に設定すると、 無動作タイムアウトは無効になります (ユーザとグループの無動作タイムアウトも 0 に
設定した場合)。
グループ ポリシーの編集
グループ アクセス ポリシーでは、 すべてのトラフィックが既定で許可されます。 追加の許可および拒否ポリ
シーを、 送信先アドレスまたはアドレス範囲か、 サービス種別ごとに作成することができます。
ポリシーは限定的な方が優先されます。 例えば、 特定の IP アドレスに適用されるポリシーは IP アドレス範
囲に適用されるポリシーよりも優先されます。 特定の IP アドレスに適用されるポリシーが 2 つあるときは、
特定のサービス (RDP など) に関するポリシーがすべてのサービスに関するポリシーよりも優先されます。
補足 ユーザ ポリシーはすべてのグループ ポリシーよりも優先され、 グループ ポリシーはすべてのグロー
バル ポリシーよりも優先されます。 これはポリシーの定義と関係ありません (すべての IP アドレスへのアク
セスを許可するユーザ ポリシーは、 特定の IP アドレスへのアクセスを拒否するグループ ポリシーよりも優
先されます)。 詳細については、 この章の最後のセクション 「アクセス ポリシー階層」 を参照してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
54
グループ アクセス ポリシーを定義するには、 ポリシーの追加を選択します。 ポリシーの追加ダイアログ
ボックスが表示されます。
図 4 ポリシーの追加ダイアログ ボックス
1. ポリシーの適用先メニューで、 定義済みネットワーク オブジェクト、 個別ホスト、 アドレス範囲、 全アド
レスのどれを適用先とするかを選択します。
2. ポリシーの名前をポリシー名フィールドに指定します。
補足 SonicWALL SSL-VPN 装置のポリシーは、 SSL-VPN 接続の送信元アドレスではなく、 送信先
アドレスに適用されます。 インターネット上の特定の IP アドレスがポリシー エンジンを通じて SSL-VPN
ゲートウェイの認証を受けることを許可または阻止することはできません。 この種のポリシーは、 ファイア
ウォール ルールで定義する必要があります。 ユーザのログイン ポリシー ページから IP アドレスで送信元の
ログインを制御することは可能です。
3. ポリシーを定義済みネットワーク オブジェクトに適用する場合は、 ネットワーク オブジェクトを選択して、
適用するオブジェクトを選択します。
• ポリシーを特定のホストに適用する場合は、 IP アドレス を選択して、 ローカル ホスト コンピュータ
の IP アドレスを入力します。
• ポリシーをアドレス範囲に適用する場合は、 IP アドレス範囲を選択して、 IP ネットワーク アドレスと
サブネット マスクを入力します。
4. サービスの種類をサービス メニューから選択します。 ポリシーの適用先がネットワーク オブジェクトの場
合は、 そのネットワーク オブジェクト定義されたサービスが使用されます。
5. 状況メニューから許可または拒否を選択して特定のサービスまたはホスト コンピュータの SSL-VPN 接
続を許可または拒否します。
6. 追加を選択して設定を更新します。 設定の更新後、 新しいグループ ポリシーがグループ設定の編集
ウィンドウに表示されます。
グループ ポリシーは、 グループ ポリシー リストに優先度の高いものから順番に表示されます。
グループ ブックマークの設定
SonicWALL SSL-VPN 装置のブックマークは、 頻繁に接続するローカル エリア ネットワーク上のコン
ピュータに SSL-VPN ユーザが簡単にアクセスできるようにする仕組みです。 グループ ブックマークは、
特定のグループのすべてのメンバーに適用されます。 グループ ブックマークを定義するには、 以下の手順
を実行します。
1. ユーザ > ローカル グループ ウィンドウにナビゲートします。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
55
2. ブックマークを作成したいグループの設定アイコンを選択します。
グループ設定の編集ダイアログ ボックスが表示されます。
図 5 グループ設定の編集ダイアログ ボックス
3. ブックマークの追加を選択します。
ブックマークの追加ウィンドウが表示されます。
図 6 ブックマークの追加ダイアログ ボックス
グループ ブックマークを定義すると、 グループのメンバー全員が SonicWALL SSL-VPN 装置ポータル
で定義済みのブックマークを見ることができます。 グループの個々のメンバーがグループ ブックマークを削
除または変更することはできません。 グループ ブックマークを編集または追加するには、 以下の手順を実
行します。
1. ブックマークの名前となる文字列をブックマーク名フィールドに入力します。
2. 完全修飾ドメイン名 (FQDN)、 またはブックマープをマッピングするコンピュータの IP アドレスを名前また
は IP アドレス フィールドに入力します。
3. サービスの種類をサービス メニューで選択します。 次のいずれかのサービスをブックマークにマッピング
する場合は、 ここで手順 5 に進みます。
• 仮想ネットワーク コンピューティング (VNC)
S o n i c W A L L S S L - V P N 管理者ガ イ ド
56
• ファイル転送プロトコル (FTP)
• Telnet
• セキュア シェル (SSH)
• ウェブ (HTTP)
• セキュア ウェブ (HTTPS)
• ファイル共有 (CIFS / SMB)
4. RDP5 または RDP4 を選択すると、 SSL-VPN 装置のブックマークの追加ダイアログ ボックスに画面
サイズ フィールドが表示されます。
図 7 ブックマークの追加ダイアログ ボックス
補足 画面サイズはコンピュータによって異なるので、 リモート デスクトップ アプリケーションを使用するとき
は、 リモート デスクトップ セッションの実行元のコンピュータのサイズを選択する必要があります。 また、 場
合によってはリモート コンピュータ上のアプリケーションのパスをアプリケーション パス フィールドで指定する必
要があります。
5. 追加を選択して設定を更新します。 設定の更新後、 新しいグループ ブックマークがグループ設定の
編集ウィンドウに表示されます。
LDAP 認証ドメインのグループ設定
補足 マイクロソフトのアクティブ ディレクトリ データベースでは、 LDAP 組織スキーマが使われます。 アク
ティブ ディレクトリ データベースの問い合わせには Kerberos 認証 (標準の認証 - SonicWALL
SSL-VPN 装置では " アクティブ ディレクトリ " ドメイン認証と呼ぶ)、 NTLM 認証 (SonicWALL
SSL-VPN 装置では NT ドメイン認証と呼ぶ)、 または LDAP データベース問い合わせを使用します。
SonicWALL SSL-VPN 装置で設定された LDAP ドメインがアクティブ ディレクトリ サーバの認証を受け
ることができます。
LDAP (Lightweight Directory Access Protocol) は、 ディレクトリの問い合わせと更新のための標
準です。 LDAP は多層的な階層 (例えば、 グループや組織単位) をサポートしているので、
SonicWALL SSL-VPN 装置は、 この情報を問い合わせ、 LDAP 属性に基づいて特定のポリシーまた
はブックマークを提供することができます。 LDAP 属性を設定することで、 SonicWALL SSL-VPN 装置
管理者は、 LDAP またはアクティブ ディレクトリ データベースに既に設定されているグループを利用できる
ので、 SonicWALL SSL-VPN 装置で同じグループを手動で作り直さなくて済みます。
LDAP 認証ドメインを作成すると、 既定の LDAP グループが LDAP ドメインと同じ名前で作成されます。
このドメインでグループを追加または削除することもできますが、 既定の LDAP グループは削除できませ
S o n i c W A L L S S L - V P N 管理者ガ イ ド
57
ん。 LDAP 属性を作成されたユーザが仮想オフィス ホーム ページに入ると、 当該ユーザのグループに対
して作成したブックマークがブックマーク テーブルに表示されます。
LDAP グループについては LDAP 属性を定義できます。 例えば、 LDAP グループのユーザは LDAP
サーバで定義されている特定のグループまたは組織単位のメンバーでなければならないというような指定が
できます。 あるいは特定の LDAP 識別名を指定することもできます。
グループの LDAP 属性を追加して、 ユーザが仮想オフィス環境に入ったとき、 設定されているブックマー
クが表示されるようにするには、 以下の手順を実行します。
1. ポータル > ドメイン ページにナビゲートします。
ポータル > ドメイン ページが表示されます。
図 8 ポータル > ドメイン ページ
2. ドメインの追加を選択します。
ドメインの追加ダイアログ ボックスが表示されます。
図 9 ドメインの追加ダイアログ ボックス
S o n i c W A L L S S L - V P N 管理者ガ イ ド
58
3. 認証種別 リスト ボックスで、 LDAP 認証オプションを選択します。
4. ドメイン名フィールドに、 作成する新しいドメインの名前となる文字列を入力します。 これはユーザのロ
グイン ページのドメイン リスト ボックスに表示されるドメイン名です。 この名前を LDAP /アクティブ ディ
レクトリ ドメイン名と一致させる必要はありませんが、 ユーザにとってわかりやすい名前を使用してくださ
い。 実際の LDAP /アクティブ ディレクトリ ドメイン名など、 ユーザに馴染みの名前を使うことをお勧め
します。
5. サーバ アドレス フィールドに、 認証 LDAP サーバの IP アドレスを入力します。
6. LDAP BaseDN フィールドに、 LDAP ツリーの基本識別名となる変数文字列を入力します。 例え
ば、 cn = users, dc = moosifer, dc = com。 この文字列は、 引用符なしで入力しなければ
なりません。
7. ポータル レイアウト名リスト ボックスで、 希望のレイアウトを選択します。
8. ログイン時にクライアント証明書の提示を要求する場合は、 クライアント デジタル証明書を要求する
チェック ボックスをオンにします。 このチェック ボックスをオンにすると、 クライアントはクライアント証明
書の提示が必要になるので、 強固な相互認証が実現されます。
9. ユーザ > ローカル グループ ページで、 設定オプションを選択します。
グループ設定の編集ページに、 LDAP 属性のフィールドが表示されます。
図 10 グループ設定の編集ダイアログ ボックスの LDAP 属性フィールド
10. オプションとして、 一つまたは複数の LDAP 属性フィールドに適切な名前を入力することができます。
ここでは、 名前=値という形式で一連の LDAP 属性を追加します。 LDAP 属性の完全なリストについ
ては、 SonicWALL LDAP 属性マニュアルを参照してください。
一般的な例としては、 属性フィールドに memberOf =属性を入力します。 これには次の一般変数
種別をまとめて指定できます。
CN = - 一般名。 DN = - 識別名。 DC = - ドメイン コンポーネント
memberOf 行に変数をまとめて指定するときは、 全体を引用符で囲む必要があります。 変数と変数
の間はカンマで区切ります。 CN および DC 変数を使用する場合の構文は次のようになります。
memberOf = "CN = <string>,DC = <string>
次は、 CN および DC 変数を使用した場合の LDAP 属性フィールドの入力例です。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
59
memberOf =” CN = Terminal Server Computers, CN = Users, DC = sonicwall, DC
= net”
11. 無動作タイムアウト値を無動作タイムアウト フィールドに入力します。
12. 適用を選択します。
LDAP 属性の例
グループごとに最高 4 つの LDAP 属性を入力できます。 次は、 アクティブ ディレクトリの LDAP ユーザの
LDAP 属性の例です。
name =”Administrator”
memberOf =”CN = Terminal Server Computers,CN = Users,DC =
sonicwall,DC = net”
objectClass =”user”
msNPAllowDialin =”FALSE”
LDAP 属性情報
LDAP 属性に関して次のことに注意してください。
• グループに複数の属性が定義されている場合、 LDAP ユーザはすべての属性を満たさなければなりま
せん。
• LDAP 認証は、 認証時に与えられたのと同じ資格情報を使用して LDAP ツリーにバインドされます。
アクティブ ディレクトリに対して使用する場合、 これは与えられたログイン資格情報が、
samAccountName (ログイン名) ではなく CN (一般名) 属性と一致しなければならないことを意味
します。 例えば、 NT /アクティブ ディレクトリ ログイン名が lmoose で、 フルネームが larry moose
の場合、 SSL-VPN に LDAP 認証を使用してログインするとき、 ユーザ名として larry moose を指
定します。 この動作は、 SSL-VPN ファームウェアの以降のリリースで変更される可能性があります。
• 属性が定義されていない場合は、 LDAP サーバによって承認されたすべてのユーザがグループのメン
バーになることができます。
• 複数のグループが定義されていて、 ユーザが 2 つのグループのすべての LDAP 属性を満たしている
場合、 そのユーザは一番多くの LDAP 属性が定義されているグループに所属するものと見なされま
す。 対応する LDAP グループの属性の数が等しいときは、 グループのアルファベット順に所属グルー
プが決められます。
• LDAP ユーザが、 SonicWALL SSL-VPN 装置に設定されたどの LDAP グループの LDAP 属性も
満たしていない場合、 そのユーザはポータルにログインできません。 つまり、 LDAP 属性機能を使用
することで、 管理者は LDAP グループまたは組織ごとに個別のルールを作成するだけでなく、 特定の
LDAP ユーザだけをポータルにログインさせることもできるわけです。
LDAP ユーザおよび属性の例
LDAP グループに手動で追加したユーザの設定は LDAP 属性よりも優先されます。
例えば、 LDAP 属性 objectClass = "Person" がグループ Group1 に対して定義され、 LDAP 属
性 memberOf = "CN = WINS Users, DC = sonicwall, DC = net が Group2 に対して定義
されているものとします。
ユーザ Jane が LDAP サーバで Person オブジェクト クラスのメンバーとして定義されていて、 しかし
WINS ユーザ グループのメンバーではない場合、 Jane は SonicWALL SSL-VPN 装置の Group1 の
メンバーになります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
60
しかし、 管理者が手動でユーザ Jane を SonicWALL SSL-VPN 装置の Group2 に追加すると、 その
LDAP 属性は無視され、 Jane は Group2 のメンバーになります。
LDAP サーバの問い合わせ
LDAP またはアクティブ ディレクトリ サーバに問い合わせてユーザの LDAP 属性を調べるには、 いくつか
方法があります。 コンピュータに ldapsearch ツールがある場合 (例えば、 OpenLDAP がインストールさ
れた Linux コンピュータでは) 次のコマンドを実行します。
ldapsearch -h 10 . 0 . 0 . 5 -x -D
”cn = demo,cn = users,dc = sonicwall,dc = net”-w demo 123 -b
”dc = sonicwall,dc = net”> / tmp / file
ここで、
• 10.0.0.5 は、 LDAP またはアクティブ ディレクトリ サーバの IP アドレス
• cn = demo, cn = users, dc = sonicwall, dc = net は、 LDAP ユーザの識別名
• demo123 は、 ユーザ demo のパスワード
• dc = sonicwall, dc = net は、 問い合わせ先の基本ドメイン
• >/ tmp / file は、 オプションで、 LDAP の問い合わせの結果を保存するファイル
ウィンドウズ サーバから LDAP サーバに問い合わせを行う方法については、 以下を参照してください。
www.microsoft.com/Resources/Documentation/ windowsserv/2003/all/techref/en-us/
w2k3tr_adsrh_what.asp
http://www.microsoft.com/Resources/Documentation/windowsserv/2003/all/techref/enus/w2k3tr_adsrh_how.asp?frame=true
アクティブ ディレクトリ、 NT、 および RADIUS ドメインのグループ
設定
RADIUS、 マイクロソフト NT ドメイン、 またはアクティブ ディレクトリ サーバに対して (Kerberos を使用し
て) 認証を行う場合、 AAA ユーザおよびグループを個別に定義できます。 これは必須でありませんが、
個別の AAA ユーザに対してポリシーやブックマークを別々に作成できます。
ユーザのログイン時、 SonicWALL SSL-VPN 装置はアクティブ ディレクトリ、 RADIUS、 または NT
サーバを調べて、 ユーザのログインが承認されているか確認します。 ユーザが承認されている場合、
SonicWALL SSL-VPN 装置は、 ユーザがユーザおよびグループに関する SonicWALL SSL-VPN
装置データベースに定義されているか確認します。 ユーザが定義されていれば、 ユーザのために定義さ
れているポリシーとブックマークが適用されます。
例えば、 RADIUS ドメインが SonicWALL SSL-VPN 装置に "Miami RADIUS サーバ " という名前で
作成してある場合、 "Miami RADIUS サーバ " ドメインのメンバーであるユーザをグループに追加すること
ができます。 これらのユーザ名は RADIUS サーバで設定した名前と一致しなければなりません。 その後、
ユーザがポータルにログインすると、 ポリシー、 ブックマーク、 その他の設定がユーザに適用されます。
AAA ユーザが SonicWALL SSL-VPN 装置に存在しなければ、 グローバルな設定、 ポリシー、 ブック
マークだけがユーザに適用されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
61
外部 (非ローカル) ユーザに対するブックマークのサポート
仮想オフィスのブックマーク システムでは、 グループとユーザの両方のレベルでブックマークを作成するこ
とができます。 管理者が作成したグループとユーザの両方のブックマークは該当ユーザに伝播しますが、
各ユーザは個人の専用ブックマークを作成することができます。
ブックマークは SSL-VPN のローカル設定ファイルに保存されるので、 グループおよびユーザのブックマー
クを定義済みのグループおよびユーザ エンティティと対応づける必要があります。 ローカル
(LocalDomain) のグループおよびユーザを操作するときは、 管理者が装置上のグループおよびユーザ
を手動で定義しなければならないので、 これが自動化されます。 同様に、 外部 (非 LocalDomain、
例えば、 RADIUS、 NT、 LDAP) グループを操作するときは、 外部ドメインの作成によって対応する
ローカル グループが作成されるので、 この対応づけが自動化されます。
しかし、 外部 (非 LocalDomain) のユーザを操作するときは、 ユーザ作成 (個人) ブックマークを
SSL-VPN の設定ファイル内に保存できるように、 ローカル ユーザ エンティティが存在していなければなり
ません。 ブックマークを SSL-VPN 自体に保存する必要があるのは、 LDAP、 RADIUS、 および NT 認
証の外部ドメインが、 この情報をブックマークとして保存する仕組みを提供していないからです。
個人のブックマークを使いたい外部ドメイン ユーザのために管理者がローカル ユーザを手動で作成しなくて
済むように、 SonicOS SSL-VPN は外部ドメイン ユーザが個人のブックマークを作成したとき対応する
ローカル ユーザ エンティティを自動的に作成してブックマーク情報を保存できるようにします。
補足 ローカル ユーザ エンティティが作成されるのはユーザがブックマークを追加したときだけです。 ユー
ザがブックマークを追加しなければ、 ローカル ユーザの自動作成は行われません。
例えば、 RADIUS ドメイン myRADIUS が作成されていて、 RADIUS ユーザ jdoe が SSL-VPN にロ
グオンした場合、 その時点で jdoe が個人のブックマークを追加すると、 jdoe というローカル ユーザが
SSL-VPN 装置に External 種別で作成され、 それを管理者は他のローカル ユーザと同じように扱うこ
とができるようになります。 外部ローカル ユーザは、 管理者が削除するまで存続します。
ユーザの設定
SonicWALL SSL-VPN 装置のユーザをローカル ユーザ ウィンドウから定義することもできます。
SonicWALL SSL-VPN 装置のローカル ユーザ ウィンドウを表示するには、 左側のナビゲーション メ
ニューのユーザ オプションを選択し、 ローカル ユーザ オプションを選択します。
補足 Radius、 LDAP、 NT ドメイン、 またはアクティブ ディレクトリ認証を使うように設定されたユーザ
は、 外部認証サーバがユーザ名とパスワードを検証するので、 パスワードを必要としません。
新規ユーザの追加
新規のユーザを作成するには、 以下の手順を実行します。
1. ユーザ > ローカル ユーザ ページにナビゲートします。
ユーザ > ローカル ユーザ ページが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
62
図 11 ユーザ > ローカル ユーザ ページ
2. ユーザ > ローカル ユーザ ウィンドウでユーザの追加を選択します。
ローカル ユーザの追加ダイアログ ボックスが表示されます。
図 12 ローカル ユーザの追加ダイアログ ボックス
3. ユーザのユーザ名をユーザ名フィールドに入力します。 これは、 ユーザが SonicWALL SSL-VPN
装置ポータルにログインするとき入力する名前です。
4. ユーザの所属するグループの名前をグループ/ドメイン メニューで選択します。
5. ユーザのパスワードとなる文字列をパスワード フィールドに入力します。
6. パスワードの文字列をパスワードの確認フィールドにもう一度入力してパスワードを確認します。
補足 ユーザ名とパスワードは、 どちらも大文字と小文字が区別されます。
7. ユーザ種別リスト ボックスで、 ユーザ種別オプションとしてユーザまたは管理者のどちらかを選択しま
す。
選択したグループのドメインでアクティブ ディレクトリ、 RADIUS、 NT ドメイン、 LDAP などの外部認証
が使われている場合は、 ユーザの追加ウィンドウが閉じ、 新しいユーザがローカル ユーザ リストに追加
されます。
8. 追加を選択して設定を更新します。 ユーザを追加すると、 新しいユーザがローカル ユーザ ウィンドウ
に追加されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
63
補足 RADIUS、 LDAP、 NT およびアクティブ ディレクトリのユーザ名の入力が必要になるのは、 ユー
ザごとに個別にポリシーやブックマークを定義する場合だけです。 ユーザが SonicWALL SSL-VPN 装置
で定義されていなければ、 グローバルなポリシーとブックマークが、 外部認証サーバに対するユーザ認証
に適用されます。 外部 (非 LocalDomain) のユーザを操作するときは、 ユーザ作成 (個人) ブック
マークを SSL-VPN の設定ファイルに保存できるように、 ローカル ユーザ エンティティが存在していなけ
ればなりません。 ブックマークを SSL-VPN 自体に保存する必要があるのは、 LDAP、 RADIUS、 およ
び NT 認証の外部ドメインが、 この情報をブックマークとして保存する仕組みを提供していないからです。
個人のブックマークを使いたい外部ドメイン ユーザのために管理者がローカル ユーザを手動で作成しなくて
済むように、 SonicOS SSL-VPN は外部ドメイン ユーザが個人のブックマークを作成したとき対応する
ローカル ユーザ エンティティを自動的に作成してブックマーク情報を保存できるようにします。
ユーザの削除
ユーザを削除するには、 削除したいユーザのごみ箱アイコンを選択します。 削除されたユーザはローカル
ユーザ ウィンドウから消えます。
ユーザの編集
ユーザの属性を編集できる場所にナビゲートするには、 以下の手順を実行します。
1. ユーザ > ローカル ユーザ ウィンドウにナビゲートします。
2. ローカル ユーザ リスト内のユーザ エントリの設定アイコンを選択します。
ユーザ設定の編集ウィンドウが表示されます。 ユーザ設定の編集リストにユーザ名、 グループ名、 ド
メイン名が表示されます。 これらのフィールドは設定できません。 これらのフィールドの情報を変更する
必要がある場合は、 ユーザの削除を選択してユーザを削除してから正しい情報でユーザを作り直しま
す。
図 13 ユーザ設定の編集ウィンドウ
S o n i c W A L L S S L - V P N 管理者ガ イ ド
64
ユーザ設定の編集ウィンドウには、 次の表に示すとおり、 4 つのタブがあります。
タブ
説明
一般
パスワードと、 装置の無動作タイムアウトを設定する。 既定のタブ
ポリシー
装置のセッションからリソースにアクセスするときのアクセス ポリシーを作成す
る
ブックマーク
サービスに簡単にアクセスするためのブックマークをユーザ レベルで作成する
ログイン ポリシー
ログイン用のアクセス ポリシーを作成する
ユーザが外部認証サーバの認証を受ける場合、 ユーザ種別とパスワード フィールドは表示されません。
パスワード フィールドを設定できないのは、 認証サーバがパスワードを検証するからです。 ユーザ種別を設
定できないのは、 SonicWALL SSL-VPN 装置以外では、 ユーザが内部ユーザ データベースの認証を
受けて管理者権限を持つことはできないからです。 また、 ユーザ種別 External は、 外部認証ユーザに
対応して自動的に作成されるローカル ユーザ インスタンスを識別するために使用されます。
ユーザのパスワードと無動作タイムアウトの変更
ローカル ドメインのユーザの場合はユーザのパスワードと無動作タイムアウト値を変更できます。 パスワードを
変更するには次のようにします。
1. 新しいユーザ パスワードをパスワード フィールドに入力します。
2. OK を選択して設定を更新します。
無動作タイムアウトを変更するには次のようにします。
1. 許容する無動作時間 (分) を無動作タイムアウト フィールドに入力します。
2. OK を選択して設定の変更を保存します。
ユーザ ポリシーの編集
ユーザのアクセス ポリシーを編集するには、 以下の手順を実行します。
1. ポリシー タブを選択します。
ユーザ設定の編集 - ポリシー タブが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
65
図 14 ユーザ設定の編集 - ポリシー タブ
2. ポリシーの追加アイコンを選択します。
ポリシーの追加ダイアログ ボックスが表示されます。
3. ポリシーの適用先メニューで、 ポリシーの適用先として、 ネットワーク オブジェクト、 IP アドレス、 IP ア
ドレス範囲、 あるいはすべてのアドレスのいずれかを選択します。
補足 SonicWALL SSL-VPN 装置のポリシーは SSL-VPN 接続の送信元アドレスではなく送信先アド
レスに適用されます。 インターネット上の特定の IP アドレスがポリシー エンジンを通じて SSL-VPN ゲート
ウェイの認証を受けることを許可または阻止することはできません。 ユーザのログイン ポリシー ページから IP
アドレスで送信元のログインを制御することも可能です。
• ポリシーを定義済みネットワーク オブジェクトに適用する場合は、 ネットワーク オブジェクトを選択し
て、 適用するオブジェクトを選択します。
• ポリシーを特定のホストに適用する場合は、 そのローカル ホストの IP アドレスを IP アドレスのフィー
ルドに入力します。
• ポリシーをアドレス範囲に適用する場合は、 IP アドレス範囲を選択して、 IP ネットワーク アドレスと
サブネット マスクを入力します。
4. サービスの種類をサービス メニューから選択します。 ポリシーの適用先がネットワーク オブジェクトの場
合は、 そのネットワーク オブジェクト定義されたサービスが使用されます。
5. 状況メニューから許可または拒否を選択して特定のサービスまたはホスト コンピュータの SSL-VPN 接
続を許可または拒否します。
6. 追加を選択して設定を更新します。 設定を更新すると、 新しいポリシーがユーザ設定の編集ウィンドウ
に表示されます。
ユーザのポリシーは、 現在のユーザ ポリシー テーブルに、 優先度の高いものから順番に表示されま
す。 ポリシーの追加ダイアログ ボックスの内容はポリシーの適用先 リスト ボックスで選択したオブジェク
トの種別に応じて変化します。 オブジェクトは次のとおりです。
• ネットワーク オブジェクト
S o n i c W A L L S S L - V P N 管理者ガ イ ド
66
• IP アドレス
• IP アドレス範囲
• すべての IP アドレス
選択したオブジェクトに応じて、 以下のいずれかの手順でポリシーを追加します。
ネットワーク オブジェクトのポリシーを編集する
1. ポリシーの適用先フィールドで、 ネットワーク オブジェクト オプションを選択します。
図 15 ネットワーク オブジェクトを使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. ネットワーク オブジェクト リスト ボックスから、 適用するネットワーク オブジェクトを選択します。
4. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します
5. 追加を選択します。
IP アドレスのポリシーを編集する
1. ポリシーの適用先フィールドで、 IP アドレス オプションを選択します。
図 16 IP アドレスを使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. ネットワーク アドレスを IP アドレス フィールドに入力します。
4. サービス リスト ボックスで、 サービス オプションを選択します。
5. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
67
6. 追加を選択します。
IP アドレス範囲のポリシーを編集する
1. ポリシーの適用先フィールドで、 IP アドレス範囲オプションを選択します。
図 17 IP アドレス範囲を使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. ネットワーク アドレスを IP ネットワーク アドレス フィールドに入力します。
4. サブネット マスクをサブネット マスクフィールドに入力します。
5. サービス リスト ボックスで、 サービス オプションを選択します。
6. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します。
7. 追加を選択します。
すべてのアドレス ポリシーの編集
1. ポリシーの適用先フィールドで、 すべてのアドレス オプションを選択します。
図 18 すべてのアドレスを使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. すべての IP アドレスを指定するとき、 IP アドレス範囲フィールドは読み取り専用になります。
4. サービス リスト ボックスで、 サービス オプションを選択します。
5. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します。
6. 追加を選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
68
ユーザ ブックマークの編集
ユーザ ブックマークを定義するには、 以下の手順を実行します。
1. ブックマーク タブを選択します。
SonicWALL SSL-VPN のユーザ設定の編集 - ブックマーク タブが表示されます。
図 19 ユーザ設定の編集 - ブックマーク タブ
2. ブックマークの追加を選択します。
ブックマークの追加ダイアログ ボックスが表示されます。
図 20 ブックマークの追加ダイアログ ボックス
ユーザ ブックマークが定義されると、 ユーザは SonicWALL SSL-VPN 装置の仮想オフィス ホーム
ページで定義済みのブックマークを見ることができます。 管理者の作成したブックマークを個々のユーザが
削除または変更することはできません。
3. ブックマークの名前となる文字列をブックマーク名フィールドに入力します。
4. コンピュータのドメイン名または IP アドレスを名前または IP アドレス フィールドに入力します。
5. サービス種別をサービス リスト ボックスで選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
69
6. RDP5 または RDP4 を選択した場合、 SSLー VPN 装置のブックマークの追加ダイアログ ボックスに
画面サイズ フィールドが表示されます。
図 21 RDP5 サービスを使用するブックマークの追加ダイアログ ボックス
画面サイズはコンピュータによって異なるので、 リモート デスクトップ アプリケーションを使用するときは、
リモート デスクトップ セッションの実行元のコンピュータのサイズを選択する必要があります。 また、 場合
によってはアプリケーション パス フィールドでリモート コンピュータ上のアプリケーションのパスを指定す
る必要があります。
7. 追加を選択して設定を更新します。 設定を更新すると、 新しいユーザ ブックマークがユーザ設定の編
集ウィンドウに表示されます。
ログイン ポリシーの設定
SSL-VPN 装置に対するログインを、 ユーザの IP アドレスによって許可または拒否するポリシーを設定す
ることができます。 装置へのログインを許可または拒否するには、 以下の手順を実行します。
1. ユーザ > ローカル ユーザ ページにナビゲートします。
2. 特定のユーザの設定アイコンを選択します。
ユーザ設定の編集ダイアログ ボックスが表示されます。
3. ログイン ポリシー タブを選択します。
ユーザ設定の編集 - ログイン ポリシー タブが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
70
図 22 ユーザ設定の編集 - ログイン ポリシー タブ
4. ログイン ポリシー領域で、 ユーザに適用したいログイン ポリシーを選択します。 ログイン ポリシーにつ
いては次の表を参照してください。
ポリシー
説明
ログインを無効にする
特定のユーザが装置にログインするのを阻止する
ユーザは、 ログインするためにクラ 特定のユーザがクライアントの認める証明書を提示したかどうかで装置へのロ
イアント証明書が必要
グインを条件付きで許可する
5. 選択したポリシーを送信元 IP アドレスに適用するには、 アクセス ポリシー (許可または拒否) を、 送
信元 IP アドレスに対するログイン ポリシー領域の定義済みアドレスからのログイン リスト ボックスで
選択し、 リスト上の追加を選択します。
アドレスの定義ダイアログ ボックスが下図のように表示されます。
図 23 アドレスの定義ダイアログ ボックス
6. 送信元アドレス種別のいずれかのオプションを送信元アドレス種別リスト ボックスから選択します。
• IP アドレス - 特定の IP アドレスを選択します。
• IP ネットワーク - IP アドレス範囲を選択します。 このアドレスを選択すると、 次の図のアドレスの
定義ダイアログ ボックスが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
71
図 24 アドレスの定義ダイアログ ボックス
7. 選択したアドレス種別の詳細を指定します。
• 特定の IP アドレスの場合は、 その IP アドレスを IP アドレス フィールドに入力します。
• IP ネットワークの場合は、 IP アドレスをネットワーク アドレス フィールドに入力し、 さらにアドレス範
囲を指定するサブネット マスク値をマスク フィールドに入力します。
8. 追加を選択します。
アドレスまたはアドレス範囲がユーザ設定の編集ダイアログ ボックスの定義済みアドレス リストに表示さ
れます。 例えば、 ネットワーク アドレス 10.0.61.215、 サブネット マスク 255.255.255.240 のアドレ
ス範囲を選択すると、 定義済みアドレス リストに 10.0.61.208 - 10.0.61.223 と表示されます。 選
択したログイン ポリシーが、 この範囲のアドレスに適用されます。
図 25 ユーザ設定の編集 - ログイン ポリシー タブ
9. 選択したポリシーをクライアント ブラウザに適用するには、 クライアント ブラウザに対するログイン ポリ
シー領域の定義済みブラウザからのログイン リスト ボックスでアクセス ポリシー (許可または拒否) を
選択し、 リスト上の追加を選択します。
ブラウザの定義ダイアログ ボックスが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
72
図 26 ブラウザの定義ダイアログ ボックス
10. ブラウザの名前をクライアント ブラウザ フィールドに入力し、 追加を選択します。
ブラウザの名前が定義済みブラウザ リストに表示されます。
11. OK を選択します。
ユーザの新しいログイン ポリシーが保存されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
73
グローバル設定
SonicWALL SSL-VPN 装置のグローバル設定はローカル ユーザまたはローカル グループ環境から設
定されます。 これを表示するには、 左側のナビゲーション メニューのユーザ オプションを選択し、 ローカ
ル ユーザまたはローカル グループオプションを選択します。
グローバル設定の編集
グローバル設定を編集するには、 以下の手順を実行します。
1. ユーザ > ローカル ユーザまたはユーザ > ローカル グループ ウィンドウにナビゲートします。
2. ユーザまたはグループ リスト上部のグローバル ポリシー グループまたはユーザの右側の設定アイコンを
選択します。 グローバル設定の編集ウィンドウが表示されます。
図 27 グローバル設定の編集ウィンドウ
3. すべてのユーザまたはグループの無動作タイムアウトを設定するには、 許可する無動作タイムアウト時
間 (分) を無動作タイムアウト フィールドに入力します。
4. 適用を選択して設定の変更を保存します。
無動作タイムアウトは、 ユーザ、 グループ、 グローバルの各レベルで設定できます。 特定のユーザに複
数のタイムアウトが設定されている場合は、 ユーザ タイムアウトの設定がグループ タイムアウトよりも優先さ
れ、 グループ タイムアウトがグローバル タイムアウトよりも優先されます。
グローバル タイムアウトを 0 に設定すると、 グループまたはユーザのタイムアウトを設定していないユーザの
無動作タイムアウト無動作タイムアウトが無効になります。
グローバル ポリシーの編集
グローバル アクセス ポリシーを定義するには、 以下の手順を実行します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
74
1. ポリシーの追加を選択します。
ポリシーの追加ウィンドウが表示されます。
補足 ユーザとグループのアクセス ポリシーはグローバル ポリシーよりも優先されます。
図 28 ポリシーの追加ダイアログ ボックス
2. ポリシーの適用先メニューで、 定義済みネットワーク オブジェクト、 個別ホスト、 アドレス範囲、 全アド
レスのどれを適用先とするかを選択します。
3. ポリシーの名前をポリシー名フィールドに指定します。
補足 SonicWALL SSL-VPN 装置のポリシーは、 SSL-VPN 接続の送信元アドレスではなく、 送信先
アドレスに適用されます。 インターネット上の特定の IP アドレスがポリシー エンジンを通じて SSL-VPN 装
置の認証を受けることを許可または阻止することはできません。
• ポリシーを特定のホストに適用する場合は、 ポリシーの適用先 リストボックスから IP アドレス を選
択して、 ローカル ホスト コンピュータの IP アドレスを入力します。
• ポリシーをアドレス範囲に適用する場合は、 IP アドレス範囲を選択して、 IP ネットワーク アドレスと
サブネット マスクを入力します。
4. サービスの種類をサービス メニューで選択します。 ポリシーの適用先がネットワーク オブジェクトの場合
は、 そのネットワーク オブジェクトにサービスの種類が定義されます。
5. 許可または拒否を状況メニューから選択して特定のサービスまたはホスト コンピュータの SSL-VPN 接
続を許可または拒否します。
6. 追加を選択して設定を更新します。 設定を更新すると、 新しいポリシーがグローバル設定の編集ウィ
ンドウに表示されます。
グローバル ポリシーは、 グローバル設定の編集ダイアログ ボックスのポリシー リストに優先度の高いも
のから順番に表示されます。
適用先リスト ボックスで選択したオブジェクト種別ごとのポリシーの設定方法については、 「ユーザ ポリ
シーの編集」 セクションを参照してください。
グローバル ブックマークの編集
グローバル ブックマークを編集するには、 以下の手順を実行します。
1. ユーザ > ローカル ユーザまたはユーザ > ローカル グループ ページにナビゲートします。
2. グローバル ポリシー エントリの設定アイコンを選択します。
グローバル ポリシーの編集ウィンドウが表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
75
3. ブックマークの追加を選択します。
ブックマークの追加ウィンドウが表示されます。
図 29 ブックマークの追加ダイアログ ボックス
グローバル ブックマークが定義されると、 メンバー全員が SonicWALL SSL-VPN 装置ポータルで定
義済みのブックマークを見ることができます。 個々のユーザがグローバル ブックマークを削除または変
更することはできません。
RDP ブックマークの場合は、 次のブックマークの追加ダイアログ ボックスが表示されます。
図 30 RDP の場合のブックマークの追加ダイアログ ボックス
4. ブックマークを追加するには、 ブックマークの名前ををブックマーク名フィールドに入力します。
5. コンピュータのドメイン名または IP アドレスを名前または IP アドレス フィールドに入力します。
6. サービス種別をサービス リスト ボックスで選択します。
7. RDP サービスを選択した場合は、 画面サイズを画面サイズ リスト ボックスで選択し、 アプリケーション
のパスをアプリケーションおよびパス フィールドで指定します。
8. 追加を選択して設定を更新します。 設定を更新すると、 新しいグローバル ブックマークがグローバル
設定の編集 ウィンドウのブックマーク リストに表示されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
76
アクセス ポリシー階層
管理者は、 ユーザ、 グループ、 グローバル ポリシーを、 定義済みネットワーク オブジェクト、 IP アドレ
ス、 アドレス範囲、 全 IP アドレス、 および各種の SSL-VPN サービスに対して定義することができます。
では、 どのポリシーの優先度が高いのでしょう?特定の種類のトラフィックに複数のポリシーが適用される場
合、 そのトラフィックは許可されるのか、 それとも阻止されるのでしょうか?
SonicWALL SSL-VPN 装置のポリシー階層は次のように定義されています。
• ユーザ ポリシーはどのグループ ポリシーよりも優先される
• グループ ポリシーはどのグローバル ポリシーよりも優先される
• 複数のユーザ、 グループ、 またはグローバル ポリシーが設定されている場合は、 最も限定的なポリ
シーが優先される
例えば、 特定の IP アドレスに設定されたポリシーはアドレス範囲に設定されたポリシーよりも優先されます。
また、 IP アドレス範囲に適用されるポリシーは全 IP アドレスに適用されるポリシーよりも優先されます。 複
数の IP アドレス範囲が設定されている場合、 最も小さいアドレス範囲が優先されます。 ホスト名は個別の
IP アドレスと同等に扱われます。 では、 IP アドレス、 ホスト名、 およびアドレス範囲を含む定義済みネット
ワーク オブジェクトはどうなるでしょう?
ネットワーク オブジェクトの優先度はアドレス範囲と似ています。 ただし、 ネットワーク オブジェクト全体では
なく、 個別のアドレスまたはアドレス範囲で優先度が決まります。
例えば、 次のグローバル ポリシーの設定を考えます。
• ポリシー 1 : IP アドレス範囲 10.0.0.0 - 10.0.0.255 のすべてのサービスを阻止する拒否ルール
• ポリシー 2 : 10.0.1.2 - 10.0.1.10 への FTP アクセスを阻止する拒否ルール
• ポリシー 3 : 定義済みネットワーク オブジェクト (FTP Servers) に対する FTP アクセスを許可する
許可ルール。 FTP Servers ネットワーク オブジェクトは次のアドレスを含む。 10.0.0.5 -
10.0.0.20。 10.0.0.5 - 10.0.0.20. さらに ftp.company.com を含み、 これは 10.0.1.3 に解決され
る
ユーザまたはグループ ポリシーが衝突していないと仮定します。 このときユーザが次へのアクセスを試みま
す。
• FTP サーバ (10.0.0.1)。 ユーザはポリシー 1 で阻止される
• FTP サーバ (10.0.1.5)。 ユーザはポリシー 2 で阻止される
• FTP サーバ (10.0.0.10)。 ユーザはポリシー 3 でアクセスを許可される。 IP アドレス範囲 10.0.0.5
- 10.0.0.20 は、 ポリシー 1 の IP アドレス範囲よりも限定的
• ftp.company.com の FTP サーバ。 ユーザはポリシー 3 でアクセスを許可される。 特定のホスト名は
ポリシー 2 の IP アドレス範囲よりも限定的
補足 ftp.company.com に IP アドレス 10.0.1.3 ではアクセスできないことに注意してください。
SonicWALL SSL-VPN 装置のポリシー エンジンは、 DNS の逆引きを実行しません。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
77
S o n i c W A L L S S L - V P N 管理者ガ イ ド
78
ëÊ 5 èÕ
第5章
ポータル、 ドメインとレイアウトの設定
この章では、 ポータルの設定方法、 ポータルへのレイアウトの割当方法、 RADIUS、 NT ドメイン、
LDAP などの認証ドメインの定義方法と、 アクティブ ディレクトリの設定について説明します。 また、 ポータ
ルとポータル レイアウトのパラメータの設定方法についても詳しく説明します。
この章の構成は以下のとおりです。
• 80 ページ 「ポータル レイアウト」
• 86 ページ 「認証ドメインの概要」
• 87 ページ 「ローカル ユーザ データベース認証の設定」
• 88 ページ 「RADIUS 認証の設定」
• 89 ページ 「NT ドメイン認証の設定」
• 90 ページ 「LDAP 認証の設定」
• 91 ページ 「アクティブ ディレクトリ認証の設定」
• 92 ページ 「アクティブ ディレクトリのトラブル シューティング」
S o n i c W A L L S S L - V P N 管理者ガ イ ド
79
ポータル レイアウト
個別ポータル レイアウトを設定することで、 ユーザが認証のために SonicWALL SSL-VPN にリダイレクト
されたときにユーザごとに個別の待ち受けページを表示できます。
図 1 ポータル > ポータル レイアウト ページ
ネットワーク管理者は、 ポータルに個々のレイアウトを定義することができます。 レイアウトの設定には、
テーマ、 メニュー レイアウト、 表示するポータル ページ、 表示するポータル アプリケーションのアイコン、
およびウェブ キャッシュ制御オプションが含まれます。
既定ポータル レイアウトは LocalDomain ポータルです。 別のポータル レイアウトを追加したり、 修正した
りすることもできます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
80
ポータル レイアウト環境の表示
新しいポータル レイアウトを追加するには、 以下の手順に従います。
1. ポータル > ポータル レイアウト ウィンドウで、 ポータル レイアウトの追加ボタンを選択します。
ポータル レイアウト ウィンドウが表示されます。 このウィンドウには、 レイアウトとホーム ページの 2 つ
のタブがあります。 レイアウトが既定のタブです。
図 2 ポータル レイアウト - レイアウト タブ
2. 以下の表に、 ポータル レイアウト - レイアウト タブのフィールドを示します。
表 1 ポータル レイアウト - レイアウト フィールド
フィールド
説明
ポータル レイアウト名
このポータルを参照する場合に使うタイトル。 内部参照専用で、 ユーザには
表示されない
ポータル サイト タイトル
ユーザがこのポータルにアクセスしたときにウェブ ブラウザのタイトル バーに表
示されるタイトル
ポータル バナー タイトル
ポータル自体の一番上に表示されるウェルカム テキスト
ログイン メッセージ
ポータル ログイン ページで認証エリアの上に表示されるオプション テキスト
仮想ホスト/ドメイン名
複数のポータルが提供される環境では、 仮想ホストを使うことでポータル
URL に簡単にリダイレクトできる
ポータル URL
この特定のポータルにアクセスする場合に使う URL
個別ログイン ページを表示する
このポータルの既定 (SonicWALL) ログイン ページではなく個別のログイン
ページを表示する
個別ログイン ページにログイン メッ ログイン メッセージ テキスト ボックスに指定されたメッセージを表示する
セージを表示する
キャッシュ制御のための HTTP メ
タ タグを有効にする
すべての HTTP / HTTPS ページに HTTP メタ タグを埋め込み、 リモート
ユーザのブラウザのキャッシュにコンテンツが保管されないようにする
S o n i c W A L L S S L - V P N 管理者ガ イ ド
81
フィールド
説明
ActiveX ウェブ キャッシュ クリー
ナを有効にする
SSL-VPN セッションの終了後にすべてのセッションのコンテンツを消去する
ActiveX コントロール (ブラウザのサポートが必要) をロードする
自己署名証明書のインポートリンク
を表示する
信頼できるルート ストアに自己署名証明書をインポートするためのリンクをリ
モート ユーザに提供する。 自己署名証明書を使っている場合は、 ユーザが
このリンクを選択して証明書をインポートできるようにこの機能を有効にすること
を勧める
ポータル レイアウトの設定
ポータル レイアウトを設定する方法は 2 つあります。
• 既存のレイアウトを修正する (ポータル > ポータル レイアウト ウィンドウでレイアウトの名前を選択す
る)
• 新しいポータル レイアウトを設定する
新しいポータル レイアウトを設定するには、 以下の手順に従います。
1. ポータル レイアウト名フィールドにポータル レイアウトの説明的な名前を入力します。 この名前は、
SonicWALL SSL-VPN 装置ポータル URL のパスの一部になります。
例えば、 SSL-VPN ポータルが 〈https://vpn.company.com〉 でホストされているときにポータル レイ
アウト sales を作成した場合、 ユーザは、 サブサイト 〈https://vpn.company.com/portal/sales〉 に
アクセスできます。
補足 ポータル レイアウト名には、 英数字、 ハイフン (-)、 および下線 (_) しか使用できません。 これ
以外の文字やスペースを入力すると、 レイアウト名は最初の英数字以外の文字の前で切り捨てられます。
2. ポータル サイト タイトル フィールドに、 ウェブ ブラウザ ウィンドウのタイトルを入力します。
3. 専用のログイン ページを表示するには、 個別ログイン ページを表示するチェックボックスを選択しま
す。
4. ユーザがポータルにログインする前にバナー メッセージを表示したい場合は、 ポータル バナー タイト
ル フィールドにバナー タイトルのテキストを入力します。
ホスト名が異なる別個のポータルを作成したい場合は、 仮想ホスト/ドメイン名フィールドにホスト名を
入力します。 このフィールドはオプションです。
仮想ホスト名を作成すると、 ユーザは既定 URL とは異なる別のホスト名を使ってログインできるように
なります。 例えば、 販売担当者は、 管理用の既定ドメイン 〈https://vpn.company.com〉 ではなく、
〈https://sales.company.com〉 にアクセスできます。 仮想ホスト名を定義しても、 ポータル URL (例
えば、 〈https://vpn.company.com/portal/sales〉) は存在します。 仮想ホスト名を作成することで、
管理者はユーザ グループごとに別個のログイン URL を提供できます。
補足 仮想ホスト名とドメイン名を SonicWALL SSL-VPN 装置の外部 IP アドレスに解決できるように外
部 DNS サーバにエントリを追加してください。
仮想ホスト名を使う場合は、 * .domain SSL 証明書を購入する必要があります。 そうしないと、 ユーザ
が SonicWALL SSL-VPN 装置ポータルにログインしたときに 証明書ホスト名の不一致警告が表示され
ます。 証明書ホスト名の不一致の影響を受けるのはログイン ページのみです。 SSL-VPN クライアント アプ
リケーションはホスト名不一致の影響を受けません。
仮想ホスト名には、 英数字、 ハイフン (-)、 および下線 (_) しか使用できません。
5. キャッシュ制御のための HTTP メタ タグを有効にするチェックボックスを選択して、 このポータル レイ
アウトに HTTP メタ タグ キャッシュ制御ディレクティブを適用します。 キャッシュ制御ディレクティブに
は、 次のものが含まれます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
82
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="cache-control" content="must-revalidate">
これらのディレクティブを適用することで、 SSL-VPN ポータルページとその他のウェブ コンテンツの
キャッシングを防ぐことができます。
補足 セキュリティ上、 および古いウェブ ページ、 テーマ、 およびデータがユーザのウェブ ブラウザの
キャッシュに保管されることを防ぐために、 HTTP メタ タグを有効にすることを強くお勧めします。
6. ActiveX ウェブ キャッシュ クリーナを有効にするチェックボックスを選択して、 ユーザが
SonicWALL SSL-VPN 装置にログインしたときに ActiveX キャッシュ コントロールをロードします。
ウェブ キャッシュ クリーナにより、 ユーザがログアウトしたとき、 またはウェブ ブラウザ ウィンドウを閉じた
ときに、 すべてのセッションの一時インターネット ファイル、 Cookie、 およびブラウザ履歴を削除する
ことを求めるプロンプトが表示されます。 ActiveX をサポートしていないウェブ ブラウザでは、 ActiveX
ウェブ キャッシュ コントロールは無視されます。
ホームページの設定
ホームページは、 SonicWALL SSL-VPN 装置ポータルのオプションの開始ページです。 ホームページ
を設定することで、 モバイル ユーザがポータルにログインしたときに表示する個別ページを作成できます。
ホームページは完全に個別化できるので、 リモート アクセス手順、 サポート情報、 技術に関する問い合
わせ先情報、 VPN 関連ニュースの更新などをリモート ユーザに伝える理想的な方法となります。
また、 ホームページは、 制限ユーザの開始ページとしても適しています。 例えば、 モバイル ユーザやビ
ジネス パートナがアクセスを許可されているファイルやウェブ URL が限られている場合、 ホームページを
設定すれば、 対象ユーザにはそれらの関連リンクしか表示されません。
ページのタイトルを編集したり、 ページの一番上に表示するホーム ページ メッセージを作成したり、 ユーザ
ごとに該当するすべてのブックマーク (ユーザ、 グループ、 およびグローバル) を表示したり、 必要に応
じて HTML ファイルをアップロードしたりできます。
ホームページを設定するには、 以下の手順に従います。
1. ポータル > ポータル レイアウト ページにナビゲートします。
2. レイアウトに対応する設定ボタンを選択します。
SonicWALL SSL-VPN はポータル レイアウト設定ページを表示します。
3. ホームページ タブを選択します。
SonicWALL SSL-VPN はホームページ タブを表示します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
83
図 3 ポータル レイアウト - ホームページ タブ
4. 以下の表に、 ポータル レイアウト - ホームページ タブのフィールドを示します。
表 2 ポータル レイアウト - ホームページ のフィールド
フィールド
説明
ホームページ メッセージを表示す
る
ユーザが SSL-VPN 装置に対する認証に成功した後で個別のホームページ
メッセージを表示する
NetExtender を表示する
NetExtender のリンクを表示し、 ユーザがクライアントレスの NetExtender
仮想アダプタをインストールして起動できるようにする。
ファイル共有を表示する
ファイル共有を表示する
ブックマーク テーブルを表示する
管理者提供のブックマークが含まれるブックマーク テーブルを表示する。 ま
た、 ユーザはネットワーク リソースへの独自のブックマークを定義することもで
きる
ホームページ メッセージ
ユーザ認証の成功後にホームページ上に表示できるオプション テキスト
ブックマーク テーブル タイトル
ポータルのホーム ページ上のブックマーク セクションを表すオプション テキス
ト
5. ActiveX アプリケーションの中には、 ActiveX ターミナル サービス クライアントなど、 信頼できるルー
ト CA からの証明書でサーバに接続しなければ機能しないものもあります。 SonicWALL SSL-VPN
装置に付属のテスト用 SSL 証明書を使っている場合、 自己署名証明書インポートのリンクを表示す
るチェックボックスを選択すると、 ウィンドウズ ユーザが自己署名証明書を簡単にインポートできるように
なります。
ただし、 Verisign、 Thawte などの信頼できるルート CA からの有効な SSL 証明書をアップロードす
ることを強くお勧めします。 アップロードした場合は、 自己署名証明書インポートのリンクを表示する
チェックボックスを選択しないでください。 OK を選択してホームページのコンテンツを更新します。
ポータルのホームページに関する重要な情報
通常の SSL-VPN 管理者の場合は、 プレーン テキストのホームページ メッセージとネットワーク リソース
へのリンクのリストがあれば、 ポータルのホーム ページとして不足はありません。 しかし、 表示したいコンテ
ンツがほかにある上級管理者の場合は、 以下の情報を検討してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
84
• ホームページは IFRAME (内部 HTML フレーム) で表示される
• iframe の幅は 542 ピクセルだが、 ナビゲーション メニューとコンテンツ間のバッファは 29 ピクセルな
ので、 利用可能なワークスペースは 513 ピクセルである
• ホームページの一番下に表示する個別 HTML ファイルをアップロードできる。 ホームページ メッセージ
に HTML タグと JavaScript を追加することもできる
• アップロードした HTML ファイルは他のコンテンツの後ろに表示されるので、 このファイルに <head> タ
グや <body> タグを入れてはならない
S o n i c W A L L S S L - V P N 管理者ガ イ ド
85
認証ドメインの概要
SonicWALL SSL-VPN 装置のドメイン設定ウィンドウを表示するには、 ポータル > ドメイン ページに
ナビゲートし、 ポータル > ドメイン ウィンドウを表示します。
図 4 ポータル > ドメイン ページ
アクセス ポリシーを作成するには、 まず認証ドメインを作成しなければなりません。 既定で、
LocalDomain 認証ドメインがすでに定義されています。 LocalDomain ドメインは内部ユーザ データ
ベースです。
リモート認証サーバに対する認証を要求する追加ドメインを作成することもできます。 SonicWALL
SSL-VPN は、 内部ユーザ データベース認証のほかに、 Radius、 LDAP、 NT ドメイン、 およびアク
ティブ ディレクトリの認証をサポートしています。
補足 ドメインにポータル レイアウトを適用するには、 ドメインを作成する際、 ドメインの追加 ダイアログ
ボックス上のポータル レイアウト名のリスト ボックスから、 適用したいポータル レイアウトを選択します。 選
択されたポータル レイアウトは、 新しいドメインのすべてのユーザに適用されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
86
ローカル ユーザ データベース認証の設定
SonicWALL SSL-VPN 装置に保管されているユーザ名とパスワードを使ってユーザを認証する複数のド
メインを作成することができます。 これは、 ユーザごとに異なるポータル レイアウト ( SSL-VPN ポータル
ページ、 テーマなど) を表示したい場合に必要です。
新しい認証ドメインを作成するには , 以下の手順を実行します。
1. ドメインの追加を選択します。 以下のような
ドメインの追加ダイアログ ボックスが表示されます。
図 5 認証種別としてローカル ユーザ データベースが選択されているドメインの追加ダイアログ ボックス
2. 認証種別リスト ボックスからローカル ユーザ データベースを選択します。
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 SonicWALL SSL-VPN
ポータルにログインするためにユーザが選択するドメイン名です。
4. ポータル レイアウト名フィールドにレイアウトの名前を入力します。 他のレイアウトをポータル > ポータ
ル レイアウト ページで追加定義することもできます。
5. ログインでクライアント証明書の使用を要求したい場合には、 必要に応じて、 クライアント デジタル証
明書を要求するチェックボックスを選択します。 このチェックボックスを選択することによって、 強力な
相互認証のためにクライアント証明書を提示することをクライアントに要求します。
6. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
87
RADIUS 認証の設定
RADIUS 認証のドメインを作成するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示します。
2. 認証種別メニューから RADIUS を選択します。 RADIUS 設定フィールドが表示されます。
図 6 認証種別として RADIUS が選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 SonicWALL SSL-VPN
装置ポータルにログインするためにユーザが選択するドメイン名です。
4. RADIUS サーバ アドレスフィールドに RADIUS サーバの IP アドレスまたはドメイン名を入力します。
5. RADIUS サーバで要求される場合は、 秘密パスワード フィールドに認証の秘密パスワードを入力しま
す。
6. ポータル レイアウト名リスト ボックスでレイアウトの名前を選択します。
7. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
補足 SonicWALL SSL-VPN 装置は、 PAP 認証を使って、 指定された RADIUS サーバに対する認
証を試みます。 通常、 RADISU サーバは、 SSL-VPN 装置からの RADIUS クライアント接続を受け入
れるように設定する必要があります。 一般に、 この接続の発信元は SSL-VPN の X0 インターフェースの
IP アドレスのようです。 この設定方法については、 RADIUS サーバのマニュアルを参照してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
88
NT ドメイン認証の設定
NT ドメイン認証を設定するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示します。
2. 認証種別メニューから NT ドメインを選択します。 NT ドメイン設定フィールドが表示されます。
図 7 認証種別として NT ドメインが選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 SonicWALL SSL-VPN
装置ポータルに対して認証するときにユーザが選択するドメイン名です。 NT ドメイン名と同じ値でも構
いません。
4. NT ドメイン名フィールドに NT 認証ドメインを入力します。 これは、 ネットワーク認証のためにウィンドウ
ズ認証サーバで設定されるドメイン名です。
5. NT サーバ アドレス フィールドにサーバの IP アドレスまたはホストとドメイン名を入力します。
6. ポータル レイアウト名フィールドにレイアウトの名前を入力します。 他のレイアウトをポータル > ポータ
ル レイアウト ページで追加定義することもできます。
7. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
89
LDAP 認証の設定
LDAP 認証を設定するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示します。
2. 認証種別メニューから LDAP を選択します。 LDAP ドメイン設定フィールドが表示されます。
図 8 認証種別として LDAP が選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 SonicWALL SSL-VPN
装置ポータルにログインするためにユーザが選択するドメイン名です。 サーバ アドレス フィールドと同じ値
でも構いません。
4. サーバ アドレス フィールドにサーバの IP アドレスまたはドメイン名を入力します。
5. LDAP BaseDN フィールドに LDAP 問い合わせの検索ベースを入力します。 検索ベースの文字列と
しては、 例えば CN = Users, DC = yourdomain, DC = com などがあります。
補足 ユーザが LDAP を使って認証を試みると、 SonicWALL SSL-VPN 装置は、 ユーザから提供さ
れた認証情報を使って LDAP ツリーにバインドすることを試みます。 マイクロソフトのアクティブ ディレクトリに
対して LDAP 認証を使う場合は、 ユーザはアカウント名ではなくフルネームを指定しなければなりません。
例えば、 アカウント名が "jdoe" のユーザ "John Doe" は、 "John Doe" を使ってログインしなければな
りません。 そうしないと、 LDAP バインドの試みは失敗し、 認証は中止されます。 認証でユーザにフル
ネームではなくアカウント名 (’ jdoe’ などの samAccountName) を使わせたい場合は、 アクティブ
ディレクトリ (Kerberos) ドメイン認証の使用を検討してください。
補足 LDAP BaseDN フィールドに入力する場合は、 引用符 ("") を省いてください。
6. ポータル レイアウト名のフィールドで、 レイアウトの名前を選択します。 新規のレイアウトを追加するには、
ポータル>ポータル レイアウト のページで定義します。
7. ログインでクライアント証明書の使用を要求したい場合は、 必要に応じて、 クライアント デジタル証明
書を要求するチェックボックスを選択します。 このチェックボックスを選択することによって、 強力な相
互認証のためにクライアント証明書を提示することをクライアントに要求します。
8. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追
加されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
90
アクティブ ディレクトリ認証の設定
ウィンドウズ アクティブ ディレクトリ認証を設定するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示し、 以下の手順に従います。
補足 すべての認証タイプの中で、 アクティブ ディレクトリ認証が、 クロック スキュー、 つまり
SonicWALL SSL-VPN 装置とアクティブ ディレクトリ サーバとの時間のずれに最も敏感です。 アクティブ
ディレクトリを使って認証することができない場合は、 この章の最後のトラブルシューティング手順を参照して
ください。
2. 認証種別メニューからアクティブ ディレクトリを選択します。 アクティブ ディレクトリ設定フィールドが表示
されます。
図 9 認証種別としてアクティブ ディレクトリが選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 SonicWALL SSL-VPN
装置ポータルにログインするためにユーザが選択するドメイン名です。 これは、 ネットワーク設定に応じ
て、 サーバ アドレス フィールドまたはアクティブ ディレクトリ ドメイン フィールドと同じ値でも構いませ
ん。
4. サーバ アドレス フィールドにアクティブ ディレクトリ サーバの IP アドレスまたはホストとドメイン名を入力し
ます。
5. アクティブ ディレクトリ ドメイン フィールドにアクティブ ディレクトリ ドメイン名を入力します。
6. ポータル レイアウト名フィールドにレイアウトの名前を入力します。 他のレイアウトをポータル > ポータル
レイアウト ページで追加定義することもできます。
7. ログインでクライアント証明書の使用を要求したい場合は、 必要に応じて、 クライアント デジタル証明
書を要求するチェックボックスを選択します。 このチェックボックスを選択することによって、 強力な相
互認証のためにクライアント証明書を提示することをクライアントに要求します。 クライアント証明書の
CNAME は、 ユーザがログインする場合に指定するユーザ名と一致しなければなりません。 また、 こ
のクライアント証明書は、 SonicWALL SSL-VPN 装置で信頼済みの認証局 (CA) で生成されたも
のでなければなりません。
8. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
91
アクティブ ディレクトリのトラブル シューティング
ユーザがアクティブ ディレクトリを介して接続することができない場合は、 以下の点を確認してください。
1. アクティブ ディレクトリ サーバの時間設定と SonicWALL SSL-VPN 装置の時間設定は同期していな
ければなりません。 アクティブ ディレクトリがクライアントを認証する場合に使う Kerberos 認証では、
ウィンドウズ サーバとクライアント (SonicWALL SSL-VPN 装置) との時間のずれが最大 15 分まで
認められています。 この問題を解決する一番簡単な方法は、 システム > 時間ページでネットワーク タ
イム プロトコルを設定し、 またサーバの時間設定が正しいことを確認することです。
2. ウィンドウズ サーバがアクティブ ディレクトリ認証に対応していることを確認します。 ウィンドウズ NT4.0
サーバを使っている場合は、 NT ドメイン認証しかサポートされていません。 一般に、 ウィンドウズ
2000 サーバとウィンドウズ 2003 サーバは、 従来のウィンドウズ クライアントをサポートするために NT
ドメイン認証にも対応しています。
ドメイン設定テーブル
設定されたドメインはすべて、 ポータル > ドメイン ウィンドウのドメイン設定テーブルにリストされます。 ドメ
インは、 作成された順にリストされます。
ドメインの削除
ドメインを削除するには、 ドメイン設定テーブルで、 削除したいドメインに対応するごみ箱アイコンを選択し
ます。 SonicWALL SSL-VPN 装置が更新されると、 削除したドメインはドメイン設定テーブルに表示さ
れなくなります。
補足 LocalDomain ドメインを削除することはできません。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
92
ïtò^ A
付録 A
SonicWALL SSL-VPN 装置のサードパーティ
ファイアウォール用設定
この付録では、 さまざまなサードパーティ ファイアウォールを SonicWALL SSL-VPN 装置と共に配備す
るための設定方法について説明します。
この付録は次のセクションから構成されています。
• 93 ページ 「Cisco PIX を SonicWALL SSL-VPN 装置と共に配備するための設定」
• 99 ページ 「Linksys WRT54GS」
• 100 ページ 「Watchguard Firebox X Edge」
• 101 ページ 「Netgear FVS318」
• 103 ページ 「Netgear Wireless Router MR814 SSL の設定」
• 104 ページ 「Checkpoint AIR 55」
Cisco PIX を SonicWALL SSL-VPN 装置と共に配備
するための設定
準備
PIX のコンソール ポートへの管理接続、 または PIX のいずれかのインターフェースに対する Telnet /
SSH 接続が必要です。 PIX にアクセスして設定の変更を発行するためには、 PIX のグローバル パスワード
と有効レベル パスワードを知っている必要があります。 これらのパスワードを知らない場合は、 ネットワーク
管理者に確認してから次の作業に進んでください。
SonicWALL では、 PIX の OS を、 使用する PIX がサポートしている最新バージョンへと更新することを
お勧めしています。 このマニュアルは PIX OS 6.3.5 を実行している Cisco PIX 515e を対象にしており、
これが SonicWALL SSL-VPN 装置と相互運用するための推奨バージョンです。 新しいバージョンの PIX
OS を入手するためには、 お使いの Cisco PIX についての Cisco SmartNET サポート契約と CCO ログ
インが必要です。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
93
以降の配置例で使用する WAN / DMZ / LAN の IP アドレスは、 実際に有効なものではなく、 お使い
のネットワーク環境に合わせて変更する必要があるという点に注意してください。
補足 推奨バージョン : PIX OS 6.3.5 以上
Cisco PIX に関する管理上の考慮事項
以降で説明する 2 つの配置方法では、 PIX の WAN インターフェース IP アドレスを、 内部の
SonicWALL SSL-VPN 装置に対する外部接続の手段として使用しています。 PIX は HTTP / S 経由
での管理が可能ですが、 推奨バージョンの PIX OS では、 既定の管理ポート (80,443) の再割り当て
ができません。 そのため、 HTTP / S 管理 GUI を無効にする必要があります。 HTTP / S 管理 GUI を
無効にするには、’ clear http’ コマンドを発行します。
補足 SonicWALL SSL-VPN 装置に独立した静的な WAN IP アドレスを割り当てている場合は、 PIX
上の HTTP / S 管理 GUI を無効にする必要はありません。
方法 1 LAN インターフェース上に SonicWALL SSL-VPN 装置
を配備する
1. 管理システムから SSL-VPN 装置の管理 GUI にログインします。 既定の管理インターフェースは X0
で、 既定の IP アドレスは 192.168.200.1 です。
2. ’ ネットワーク > インターフェース’ ページに進み、 X0 インターフェースの’ 設定’ アイコンを選択
します。 表示されたポップアップで、 XO のアドレスを’ 192.168.100.2’ に変更し、 マスクを’
255.255.255.0’ にします。 その後、’ OK’ ボタンを選択して変更を保存、 適用します。
3. ’ ネットワーク > ルート’ ページに進み、 デフォルト ゲートウェイを’ 192.168.100.1’ に変更しま
す。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
4. ’ NetExtender > クライアント アドレス’ ページに進みます。 内部 LAN ネットワーク上で使用され
ていない 192.168.100.0 / 24 ネットワークの IP アドレスの範囲を入力する必要があります。 既存の
DHCP サーバがある場合、 または PIX が内部インターフェース上で DHCP サーバを実行している場
合は、 これらのアドレスと競合しないように注意してください。 たとえば、’ クライアント アドレス範囲の
開始’ の隣にあるフィールドに’ 192.168.100.201’ と入力し、’ クライアント アドレス範囲の終了’
の隣にあるフィールドに’ 192.168.100.249’ と入力します。 その後、 右上隅の’ 適用’ ボタンを
選択して変更を保存、 適用します。
5. ’ NetExtender > クライアント ルート’ ページに進みます。 ’ 192.168.100.0’ に関するクライ
アント ルートを追加します。 ’ 192.168.200.0’ に関するエントリが既にある場合は、 既存のものを削
除します。
6. ’ ネットワーク > DNS’ ページに進み、 内部ネットワークの DNS アドレス、 内部ドメイン名、 WINS
サーバ アドレスを入力します。 これらは NetExtender を正しく機能させるために重要な情報なので注
意して入力してください。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
7. ’ システム > 再起動’ ページに進み、’ 再起動’ ボタンを選択します。
8. SonicWALL SSL-VPN 装置の X0 インターフェースを PIX の LAN ネットワークにインストールしま
す。 装置のその他のインターフェースにフックしないよう注意してください。
9. コンソール ポート、 telnet、 または SSH を通じて PIX の管理 CLI に接続し、 設定モードに入ります。
10. ’ clear http’ コマンドを発行して、 PIX の HTTP / S 管理 GUI を無効にします。
11. ’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します (x.x.x.x の部分は
お使いの PIX の WAN IP アドレスで置き換えます)。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
94
12. ’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します (x.x.x.x の部分は
お使いの PIX の WAN IP アドレスで置き換えます)。
13. ’ static (inside,outside) tcp x.x.x.x www 192.168.100.2 www netmask 255.255.255.255 0 0’ コマ
ンドを発行します (x.x.x.x の部分はお使いの PIX の WAN IP アドレスで置き換えます)。
14. ’ static (inside,outside) tcp x.x.x.x https 192.168.100.2 https netmask 255.255.255.255 0 0’ コ
マンドを発行します (x.x.x.x の部分はお使いの PIX の WAN IP アドレスで置き換えます)。
15. ’ access-group sslvpn in interface outside’ コマンドを発行します。
16. 設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、 適用します。
17. 外部システムから、 HTTP と HTTPS の両方を使用して SSL-VPN 装置に接続してみます。
SSL-VPN 装置にアクセスできない場合は、 上記すべてのステップを確認して、 もう一度テストしてく
ださい。
最終的な設定例 (関連部分を太字で記載)
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted
passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com
clock timezone PDT -8
clock summer-time PDT recurring
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list sslvpn permit tcp any host 64.41.140.167 eq www
access-list sslvpn permit tcp any host 64.41.140.167 eq https
pager lines 24
logging on
logging timestamp
logging buffered warnings
logging history warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224
ip address inside 192.168.100.1 255.255.255.0
no ip address dmz
S o n i c W A L L S S L - V P N 管理者ガ イ ド
95
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0
static (inside,outside) tcp 64.41.140.167 www 192.168.100.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 64.41.140.167 https 192.168.100.2 https netmask 255.255.255.255 0 0
access-group sslvpn in interface outside
route outside 0.0.0.0 0.0.0.0 64.41.140.166 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp server 192.43.244.18 source outside prefer
no snmp-server location
no snmp-server contact
snmp-server community SF*&^SDG
no snmp-server enable traps
floodguard enable
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside
dhcpd dns 192.168.100.10
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain vpntestlab.com
dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:422aa5f321418858125b4896d1e51b89
: end
tenaya#
方法 2 DMZ インターフェース上に SonicWALL SSL-VPN 装置
を配備する
この方法はオプションであり、 使用されていない第三のインターフェースを備えた PIX (PIX 515、 PIX
525、 PIX 535 など) が必要です。 ここでは SonicWALL SSL-VPN 装置の既定のナンバリング ス
キーマを使用します。
1. 管理システムから SSL-VPN 装置の管理 GUI にログインします。 既定の管理インターフェースは X0
で、 既定の IP アドレスは 192.168.200.1 です。
2. ’ ネットワーク > ルート’ ページに進み、 デフォルト ゲートウェイが’ 192.168.200.2’ に設定され
ていることを確認します。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
96
3. ’ NetExtender > クライアント アドレス’ ページに進みます。 ’ クライアント アドレス範囲の開
始’ の隣にあるフィールドに’ 192.168.200.201’ と入力し、’ クライアント アドレス範囲の終了’
の隣にあるフィールドに’ 192.168.200.249’ と入力します。 その後、 右上隅の’ 適用’ ボタンを
選択して変更を保存、 適用します。
4. ’ NetExtender > クライアント ルート’ ページに進みます。 ’ 192.168.100.0’ と’
192.168.200.0’ に関するクライアント ルートを追加します。
5. ’ ネットワーク > DNS’ ページに進み、 内部ネットワークの DNS アドレス、 内部ドメイン名、 WINS
サーバ アドレスを入力します。 これらは NetExtender を正しく機能させるために重要な情報なので注
意して入力してください。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
6. ’ システム > 再起動’ ページに進み、’ 再起動’ ボタンを選択します。
7. SonicWALL SSL-VPN 装置の X0 インターフェースを PIX の使用されていない DMZ ネットワークに
インストールします。 装置のその他のインターフェースにフックしないよう注意してください。
8. コンソール ポート、 telnet、 または SSH を通じて PIX の管理 CLI に接続し、 設定モードに入ります。
9. ’ clear http’ コマンドを発行して、 PIX の HTTP / S 管理 GUI を無効にします。
10. ’ interface ethernet2 auto’ コマンドを発行します (インターフェース名は、 実際に使用するインター
フェースに置き換えます)。
11. ’ nameif ethernet2 dmz security4’ コマンドを発行します (インターフェース名は、 実際に使用する
インターフェースに置き換えます)。
12. ’ ip address dmz 192.168.200.2 255.255.255.0’ コマンドを発行します。
13. ’ nat (dmz) 1 192.168.200.0 255.255.255.0 0 0’ コマンドを発行します。
14. ’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します (x.x.x.x の部分は
お使いの PIX の WAN IP アドレスで置き換えます)。
15. ’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します (x.x.x.x の部分は
お使いの PIX の WAN IP アドレスで置き換えます)。
16. ’ access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0
255.255.255.0’ コマンドを発行します。
17. ’ access-list dmz-to-inside permit ip host 192.168.200.1 any’ コマンドを発行します。
18. ’ static (dmz,outside) tcp x.x.x.x www 192.168.200.1 www netmask 255.255.255.255 0 0’ コマ
ンドを発行します (x.x.x.x の部分はお使いの PIX の WAN IP アドレスで置き換えます)。
19. ’ static (dmz,outside) tcp x.x.x.x https 192.168.200.1 https netmask 255.255.255.255 0 0’ コマ
ンドを発行します (x.x.x.x の部分はお使いの PIX の WAN IP アドレスで置き換えます)。
20. ’ static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0’ コマンドを発行し
ます。
21. ’ access-group sslvpn in interface outside’ コマンドを発行します。
22. ’ access-group dmz-to-inside in interface dmz’ コマンドを発行します。
23. 設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、 適用します。
24. 外部システムから、 HTTP と HTTPS の両方を使用して SSL-VPN 装置に接続してみます。
SSL-VPN 装置にアクセスできない場合は、 上記すべてのステップを確認して、 もう一度テストしてく
ださい。
最終的な設定例 (関連部分を太字で記載)
PIX Version 6.3(5)
interface ethernet0 auto
S o n i c W A L L S S L - V P N 管理者ガ イ ド
97
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted
passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com
clock timezone PDT -8
clock summer-time PDT recurring
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list sslvpn permit tcp any host 64.41.140.167 eq www
access-list sslvpn permit tcp any host 64.41.140.167 eq https
access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list dmz-to-inside permit ip host 192.168.200.1 any
pager lines 24
logging on
logging timestamp
logging buffered warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0
nat (dmz) 1 192.168.200.0 255.255.255.0 0 0
static (dmz,outside) tcp 64.41.140.167 www 192.168.200.1 www netmask 255.255.255.255 0 0
static (dmz,outside) tcp 64.41.140.167 https 192.168.200.1 https netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0
access-group sslvpn in interface outside
access-group dmz-to-inside in interface dmz
route outside 0.0.0.0 0.0.0.0 64.41.140.166 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
S o n i c W A L L S S L - V P N 管理者ガ イ ド
98
ntp server 192.43.244.18 source outside prefer
floodguard enable
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside
dhcpd dns 192.168.100.10
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain vpntestlab.com
dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:81330e717bdbfdc16a140402cb503a77
: end
Linksys WRT54GS
SSL-VPN は Linksys ワイヤレス ルータの LAN スイッチ上で設定する必要があります。
ここでは、 お使いの Linksys にケーブル ISP が DHCP 経由で単一の WAN IP を割り当てており、 この
Linksys が 192.168.1.0 / 24 という既定の LAN IP アドレス スキーマを使用していることを前提にして
います。
補足 推奨ファームウェア : このセットアップでは、 バージョン 2.07.1 以上のファームウェアを推奨しま
す。
Linksys を SSL-VPN 装置と相互運用できるように設定するには、 SSL (443) ポートを SSL-VPN
装置の IP アドレスに転送する必要があります。
1. Linksys デバイスにログインします。
2. Applications & Gaming タブを選択します。
図 1 Applications & Gaming タブ
3. 次の情報を入力します。
Application
SSL-VPN
ポート転送先アプリケーションの名前
Port Range Start
443
アプリケーションで使用される開始ポート番号
Port Range End
443
アプリケーションで使用される終了ポート番号
Protocol
TCP
SSL-VPN 装置は TCP を使用
IP Address
192.168.1.10
SSL-VPN 装置に割り当てられる IP アドレス
Enable
オン
SSL ポート転送を有効にするにはチェックボックスをオン
S o n i c W A L L S S L - V P N 管理者ガ イ ド
99
4. 設定が完了したら、 ページの下部にある Save Settings ボタンを選択します。
これで、 Linksys が SSL-VPN 装置と相互運用するようになります。
Watchguard Firebox X Edge
ここでは、 WatchGuard Firebox X Gateway の IP アドレスが 192.168.100.1 に設定され、
SonicWALL SSL-VPN の IP アドレスが 192.168.100.2 に設定されているものと想定します。
補足 以降のステップは、 WatchGuard SOHO6 シリーズのファイアウォールでも同様です。
作業を始める前に、 WatchGuard のどのポートを管理に使用しているかを確認します。 WatchGuard を
HTTPS (443) ポートで管理していない場合は、 次のステップに従ってください。 WatchGuard を
HTTPS (443) ポートで管理している場合は、 最初にこの設定方法の注意事項を参照してください。
1. ブラウザを開き、 WatchGuard Firebox X Edge 装置の IP アドレスを入力します (例 :
192.168.100.1)。 アクセスに成功すると、 次のような "System Status" ページが表示されます。
図 2 WatchGuard System Status ウィンドウ
2. WatchGuard の管理インターフェースが既に HTTPS をポート 443 で受け付けるように設定されてい
る場合は、 SonicWALL SSL-VPN 装置と WatchGuard 装置の両方を管理できるようにポートを変
更する必要があります。
3. Administration > System Security を選択します。
図 3 WatchGuard Administration > System Security ダイアログ ボックス
4. Use non-secure HTTP instead of secure HTTPS for administrative Web site をオフに
します。
5. HTTP Server Port を 444 に変更し、 Submit ボタンを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
100
これで、 WatchGuard を WAN からポート 444 で管理できるようになります。 WatchGuard にアクセス
するには次のようにします。 〈https://<watchguard wan ip>:444〉
6. 左側のナビゲーション メニューで Firewall > Incoming を選択します。
7. HTTPS サービスの Filter を Allow に設定し、 Service Host フィールドに SonicWALL
SSL-VPN 装置の WAN IP アドレス (192.168.100.2) を入力します。
8. ページの下部にある Submit ボタンを選択します。
これで、 Watchguard Firebox X Edge が SonicWALL SSL-VPN 装置と相互運用できるようになり
ます。
Netgear FVS318
ここでは、 NetGear FVS318 Gateway の IP アドレスが 192.168.100.1 に設定され、 SonicWALL
SSL-VPN の IP アドレスが 192.168.100.2 に設定されているものと想定します。
1. Netgear 管理インターフェースの左側のインデックスから Remote Management を選択します。
SonicWALL SSL-VPN を Netgear ゲートウェイ デバイスと連携させるためには、 NetGear の管理
ポートが SonicWALL SSL-VPN 装置の管理ポートと競合しないようにする必要があります。
2. Allow Remote Management チェックボックスをオフにします。
3. Apply ボタンを選択して変更を保存します。
補足 NetGear の Remote Management が必要な場合は、 このチェックボックスをオンのままにして、
既定のポートを変更します (8080 を推奨します)。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
101
図 4 NetGear Remote Management ウィンドウ
4. 左側のナビゲーションで Add Service を選択します。
5. Add Custom Service ボタンを選択します。
6. サービス定義を作成するために、 次の情報を入力します。
Name
HTTPS
Type
TCP / UDP
Start Port
443
Finish Port
443
図 5 NetGear Add Custom Service ダイアログ ボックス
7. 左側のナビゲーションで Ports を選択します。
8. Add ボタンを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
102
図 6 NetGear Add Server ダイアログ ボックス
9. Service Name ドロップダウン メニューから HTTPS を選択します。
10. Action ドロップダウン メニューでは ALLOW always を選択します。
11. Local Server Address フィールドに SonicWALL SSL-VPN 装置の WAN IP アドレスを入力しま
す。
12. Apply ボタンを選択して変更を保存します。
これで、 Netgear ゲートウェイ デバイスが SonicWALL SSL-VPN 装置と相互運用できるようになりま
す。
Netgear Wireless Router MR814 SSL の設定
ここでは、 NetGear Wireless Router の IP アドレスが 192.168.100.1 に設定され、 SonicWALL
SSL-VPN の IP アドレスが 192.168.100.2 に設定されているものと想定します。
1. Netgear の管理インターフェースの左側のインデックスから Advanced > Port Management を
選択します。
2. ページ中央の Add Custom Service ボタンを選択します。
3. Service Name フィールドにサービス名を入力します (例 : SSL-VPN)。
図 7 NetGear Ports - Custom Service ダイアログボックス
4. Starting Port フィールドに 443 と入力します。
5. Ending Port フィールドに 443 と入力します。
6. Server IP Address フィールドに SonicWALL SSL-VPN 装置の WAN IP アドレスを入力します。
7. Apply ボタンを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
103
これで、 Netgear ワイヤレス ルータが SonicWALL SSL-VPN 装置と相互運用できるようになります。
Checkpoint AIR 55
SonicWALL SSL-VPN と Check Point AIR 55 を連携させる
まず必要なのは、 ホストベースのネットワーク オブジェクトを定義することです。 そのためには、 File メ
ニューの "Manage" と "Network Objects" を使用します。
図 8 Check Point ホスト ノード オブジェクト ダイアログ ボックス
補足 このオブジェクトは、 内部ネットワークに存在するものとして定義されます。 SonicWALL
SSL-VPN をセキュア セグメント (非武装地帯とも呼ばれます) に配置する場合は、 後述のファイア
ウォール規則でセキュア セグメントから内部ネットワークへの必要なトラフィックを通過させる必要がありま
す。
図 9 次に、 作成したオブジェクトの NAT タブを選択します。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
104
図 10 Check Point NAT のプロパティ ダイアログ ボックス
ここで外部 IP アドレスを入力します (それがファイアウォールの既存の外部 IP アドレスでない場合)。 変換
方法として’ static’ を選択します。 "OK" を選択すると、 次のような必須の NAT 規則が自動的に作成
されます。
図 11 Check Point NAT 規則 ウィンドウ
静的ルート
Check Point AIR55 の大部分のインストール環境では、 静的ルートが必要です。 このルートは、
SSL-VPN のパブリック IP アドレスからの全トラフィックを内部 IP アドレスに送信します。
#route add 64.41.140.167 netmask 255.255.255.255 192.168.100.2
ARP
Check Point AIR55 には、 自動 ARP 作成と呼ばれる機能があります。 この機能により、 副格外部 IP
アドレス (SonicWALL SSL-VPN のパブリック IP アドレス) に関する ARP エントリが自動的に追加され
ます。 Nokia のセキュリティ プラットフォーム上で Check Point を実行する場合は、 この機能を無効にす
るよう推奨されています。 そのため、 外部 IP アドレスに関する ARP エントリを Nokia Voyager GUI の中
で手動で追加する必要があります。
さらに、 すべてのトラフィックをインターネットから SonicWALL SSL-VPN に流すためのトラフィック規則ま
たはポリシー規則が必要になります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
105
図 12 Check Point ポリシー規則 ウィンドウ
ここでも、 SonicWALL SSL-VPN を Check Point ファイアウォールのセキュア セグメントに配置する場
合は、 関連トラフィックを SonicWALL SSL-VPN から内部ネットワークに流すための第二の規則が必要
になります。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
106
ïtò^ B
付録 B
NetExtender の トラブル シューティング
この付録では、 NetExtender ユーティリティのトラブル シューティングのための対応表を示します。
表 1 NetExtender がインストールできない
問題
解決法
NetExtender がインストールできな
い
1. ウィンドウズのバージョンを確認してください。 NetExtender は、
ウィンドウズ 2000 またはそれ以降のバージョンのみに対応してい
ます。
2. ユーザが管理者権限を持っていることを確認してください。 管理者
権限を持ったユーザだけが、 NetExtender のインストールや設
定作業を行うことができます。
3. ActiveX が、 インターネット エクスプローラまたはサード パーティ
のソフトによってブロックされていないか確認してください。
4. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した SSL-VPN NetExtender アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• ウィンドウズのコントロール パネルの管理ツール フォルダ内にあるイベ
ント ビューアから取得したイベント情報。 アプリケーションおよびシステ
ム イベントを選択し、 操作 / ログ ファイルの名前をつけて保存 メ
ニューを使って、 各イベントをログ ファイルに保存してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
107
表 2 NetExtender の接続エントリを作成できない
問題
解決法
NetExtender の接続エントリを作成
できない
1. デバイス マネージャを開いて、 SSL-VPN NetExtender アダプ
タが正しくインストールされていることを確認してください。 もし正しく
インストールされていない場合は、 デバイス リストからアダプタを削
除し、 機器を再起動して NetExtender を再インストールしてくだ
さい。
2. コントロールパネルの管理ツールフォルダ内にあるサービスを開い
て、 サービスマネージャーを起動します。 Remote Access
Auto Connection Manager および Remote Access
Connection Manager を探して、 その 2 つのサービスの状態が
開始 になっていることを確認します。 もし 開始 になっていない場
合は、 それらを自動スタートアップするように設定し、 機器を再
起動して、 NetExtender を再起動してください。
3. 別のダイヤルアップ接続が使用中でないことを確認してください。
もし使用中の場合は、 その接続を切断し、 機器を再起動して、
NetExtender を再起動してください。
4. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した SSL-VPN NetExtender アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• ウィンドウズ のコントロール パネルの管理ツール フォルダ内にあるイベ
ント ビューアから取得したイベント情報。 アプリケーションおよびシステ
ムイベントを選択し、 操作 / ログ ファイルの名前をつけて保存 メ
ニューを使って、 各イベントをログ ファイルに保存してください
S o n i c W A L L S S L - V P N 管理者ガ イ ド
108
表 3 NetExtender が接続できない
問題
解決法
NetExtender が接続できない
1. デバイス マネージャを開いて、 SSL-VPN NetExtender アダプ
タが正しくインストールされていることを確認してください。 もし正しく
インストールされていない場合は、 デバイス リストからアダプタを削
除し、 機器を再起動して NetExtender を再インストールしてくだ
さい。
2. ネットワーク接続を開いて、 SonicWALL SSL-VPN
NetExtender のダイヤルアップ接続エントリが作成されていること
を確認してください。 もし作成されていない場合は、 機器を再起
動して NetExtender を再インストールしてください。
3. 別のダイヤルアップ接続が使用中でないことを確認してください。
もし使用中の場合は、 その接続を切断し、 機器を再起動して、
NetExtender を再起動してください。
4. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した SSL-VPN NetExtender アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• ウィンドウズの コントロール パネルの管理ツール フォルダ内にあるイベ
ント ビューアから取得したイベント情報。 アプリケーションおよびシステ
ム イベントを選択し、 操作 / ログ ファイルの名前をつけて保存 メ
ニューを使って、 各イベントをログ ファイルに保存してください
表 4 NetExtender 接続後のブルースクリーン表示エラー
問題
解決法
NetExtender 接続後のブルースク
リーン表示エラー
1. NetExtender をアンインストールし、 機器を再起動して、 最新
バージョンの NetExtender を再インストールします。
2. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した SSL-VPN NetExtender アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• 以下のパスに存在する WIndows メモリ ダンプ ファイル
C:\Windows\MEMORY.DMP
このファイルが見つからない場合は、 システム プロパティを開いて、
詳細設定タブにある 起動と回復 の設定ボタンを選択します。 デバッ
グ情報の書き込みフィールドにあるリスト ボックスで、 完全メモリ ダン
プ、 カーネル メモリ ダンプ、 あるいは最小メモリ ダンプのいずれかを
選択します。 もちろん、 そのダンプ ファイルを取得するためには、 ブ
ルースクリーンを再度表示させる必要があります。
• ウィンドウズのコントロール パネルの管理ツール フォルダ内にあ
るイベント ビューアから取得したイベント情報。 アプリケーション
およびシステム イベントを選択し、 操作 / ログ ファイルの名前
をつけて保存 メニューを使って、 各イベントをログ ファイルに
保存してください。
S o n i c W A L L S S L - V P N 管理者ガ イ ド
109
Trademarks
SonicWALL is a registered trademark of SonicWALL, Inc.
Microsoft Windows 98, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Internet
Explorer, and Active Directory are trademarks or registered trademarks of Microsoft Corporation.
Netscape is a registered trademark of Netscape Communications Corporation in the U.S. and other
countries. Netscape Navigator and Netscape Communicator are also trademarks of Netscape
Communications Corporation and may be registered outside the U.S.
Adobe, Acrobat, and Acrobat Reader are either registered trademarks or trademarks of Adobe
Systems Incorporated in the U.S. and/or other countries.
Cisco Systems and Cisco PIX 515e and Linksys and Linksys Playtoy23 are either registered trademarks
or trademarks of Cisco Systems in the U.S. and /or other countries.
Watchguard and Watchguard Firebox X Edge are either registered trademarks or trademarks of
Watchguard Technologies Corporation in the U.S. and/or other countries.
NetGear, NetGear FVS318, and NetGear Wireless Router MR814 SSL are either registered trademarks
or trademarks of NetGear, Inc., in the U.S. and/or other countries.
Check Point and Check Point AIR 55 are either registered trademarks or trademarks of Check Point
Software Technologies, Ltd., in the U.S. and/or other countries.
Other product and company names mentioned herein may be trademarks and/or registered trademarks
of their respective companies and are the sole property of their respective manufacturers.
S o n i c W A L L S S L - V P N 管理者ガ イ ド
110
Limited Warranty
SonicWALL, Inc. warrants that commencing from the delivery date to Customer (but in any case
commencing not more than ninety (90) days after the original shipment by SonicWALL), and continuing
for a period of twelve (12) months, that the product will be free from defects in materials and
workmanship under normal use. This Limited Warranty is not transferable and applies only to the original
end user of the product. SonicWALL and its suppliers' entire liability and Customer's sole and exclusive
remedy under this limited warranty will be shipment of a replacement product. At SonicWALL's discretion
the replacement product may be of equal or greater functionality and may be of either new or like-new
quality. SonicWALL's obligations under this warranty are contingent upon the return of the defective
product according to the terms of SonicWALL's then-current Support Services policies.
This warranty does not apply if the product has been subjected to abnormal electrical stress, damaged
by accident, abuse, misuse or misapplication, or has been modified without the written permission of
SonicWALL.
DISCLAIMER OF WARRANTY. EXCEPT AS SPECIFIED IN THIS WARRANTY, ALL EXPRESS OR IMPLIED
CONDITIONS, REPRESENTATIONS, AND WARRANTIES INCLUDING, WITHOUT LIMITATION, ANY IMPLIED
WARRANTY OR CONDITION OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE,
NONINFRINGEMENT, SATISFACTORY QUALITY OR ARISING FROM A COURSE OF DEALING, LAW,
USAGE, OR TRADE PRACTICE, ARE HEREBY EXCLUDED TO THE MAXIMUM EXTENT ALLOWED BY
APPLICABLE LAW. TO THE EXTENT AN IMPLIED WARRANTY CANNOT BE EXCLUDED, SUCH
WARRANTY IS LIMITED IN DURATION TO THE WARRANTY PERIOD. BECAUSE SOME STATES OR
JURISDICTIONS DO NOT ALLOW LIMITATIONS ON HOW LONG AN IMPLIED WARRANTY LASTS, THE
ABOVE LIMITATION MAY NOT APPLY TO YOU. THIS WARRANTY GIVES YOU SPECIFIC LEGAL RIGHTS,
AND YOU MAY ALSO HAVE OTHER RIGHTS WHICH VARY FROM JURISDICTION TO JURISDICTION. This
disclaimer and exclusion shall apply even if the express warranty set forth above fails of its essential
purpose.
DISCLAIMER OF LIABILITY. SONICWALL'S SOLE LIABILITY IS THE SHIPMENT OF A REPLACEMENT
PRODUCT AS DESCRIBED IN THE ABOVE LIMITED WARRANTY. IN NO EVENT SHALL SONICWALL OR
ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER, INCLUDING, WITHOUT LIMITATION,
DAMAGES FOR LOSS OF PROFITS, BUSINESS INTERRUPTION, LOSS OF INFORMATION, OR OTHER
PECUNIARY LOSS ARISING OUT OF THE USE OR INABILITY TO USE THE PRODUCT, OR FOR SPECIAL,
INDIRECT, CONSEQUENTIAL, INCIDENTAL, OR PUNITIVE DAMAGES HOWEVER CAUSED AND
REGARDLESS OF THE THEORY OF LIABILITY ARISING OUT OF THE USE OF OR INABILITY TO USE
HARDWARE OR SOFTWARE EVEN IF SONICWALL OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
POSSIBILITY OF SUCH DAMAGES. In no event shall SonicWALL or its suppliers' liability to Customer,
whether in contract, tort (including negligence), or otherwise, exceed the price paid by Customer. The
foregoing limitations shall apply even if the above-stated warranty fails of its essential purpose.
BECAUSE SOME STATES OR JURISDICTIONS DO NOT ALLOW LIMITATION OR EXCLUSION OF
CONSEQUENTIAL OR INCIDENTAL DAMAGES, THE ABOVE LIMITATION MAY NOT APPLY TO YOU.
S o n i c W A L L S S L - V P N 管理者ガ イ ド
111
S o n i c W A L L S S L - V P N 管理者ガ イ ド
112
索引
C
CSR
CSRリクエストの作成 29
L
LDAP認証 90
N
NetExtender
概念 8
NTドメイン認証 89
S
SonicWALLテクニカル サポート vii
SSL 2, 3, 8
証明書のインポート 29
ハンドシェーク 2
SSL- VPN 12, 29, 51, 55, 56, 66, 69, 75, 76, 77,
82, 84, 87
SSL-VPN 2
概念 4
長所 1
Syslogの設定 22
あ
アクティブ ディレクトリ認証 91
暗号化 2
か
概念
NetExtender 8
SonicWALL SSL-VPN 4
ドメイン vi
ポータル vi
レイアウト vi
管理インターフェース ix
共通アイコン xii
サブメニュー x
状況バー x
テーブルのナビゲート xi
ナビゲート x
ヘルプ xii
変更の適用 x
ログアウト xii
き
既定の設定の復元 28
く
グループの設定 52
グループ ブックマーク 56
グループ ポリシー 55
グローバル設定 74
グローバル ブックマーク 76
グローバル ポリシー 75
し
時刻と日付の設定 25
システム
警告 18
状況 16
情報 18
証明書
アクティブ化 32
削除 31
証明書署名リクエスト (CSR)、 CSRを参照 29
せ
静的ルート 43
設定ファイルのエクスポート 27
て
電子メール警告 22
と
ドメイン 4, 15, 86, 87, 90, 92
概要 4
設定 79
に
認証ドメイン 79
概要 86
ふ
ブラウザ要件 12
ゆ
ユーザの削除 64
ユーザの設定 62
ユーザ ブックマーク 69
ユーザポリシー 65
れ
レイアウト vi
ろ
ログ
イベントの表示 20
ログ設定の構成 22
グループの削除 53
S o n i c W A L L S S L - V P N 管理者 ガ イ ド
113
114
S o n i c W A L L S S L - V P N 管理者ガ イ ド
SonicWALL, Inc.
〒107-0052 東京都港区赤坂 1 丁目 8 番地 6 号 赤坂 HKN ビル 7F
T: 03-5573-4701 F: 03-5573-4708 www.sonicwall.co.jp
[email protected]
© 2006 SonicWALL, Inc. SonicWALLは、SonicWALL, Inc.の登録商標です。
ここに記載されている他の製品名、企業名は、各企業の商標または登録商標です。
製品の仕様、説明は予告なく変更されることがあります。
P/ N 232-000949-01
Rev A 9/08
Fly UP