sonicwall® sonicos 6.5.1software.sonicwall.com/firmware/documentation/232-004300...sonicwall...

SonicWall® SonicOS 6.5.1.1

リリースノート

2018 年 5 月

このリリースノートでは、 SonicWall® SonicOS 6.5.1.1 リリースについて説明します。

トピック :

• SonicOS 6.5.1.1 について

• サポート対象プラットフォーム

• 新機能

• 修正された問題点

• 確認されている問題点

• システムの互換性

• 製品ライセンス

• アップグレード情報

• SonicWall のサポート

SonicOS 6.5.1.1 についてSonicOS 6.5.1.1 では、多くの新機能を採用し、以前のリリースで発見されたさまざまな既知の問題を

修正しています。また、 3 つの新しい SonicWall ネットワークセキュリティプラットフォームがサ

ポートされています。詳細については、新機能およびサポート対象プラットフォームのセクションを参照してください。

このリリースには、これまでにリリースされた SonicOS 6.5 のすべての機能と、修正されたすべての問題

点が含まれています。詳細については、 MySonicWall で以前のリリースノートを参照してください。

サポート対象プラットフォームSonicOS 6.5.1.1 は、次の SonicWall 装置でサポートされます。

• SuperMassive 9600 • NSA 6600 • NSA 5650 • TZ600

• SuperMassive 9400 • NSA 5600 • NSA 4650 • TZ500 / TZ500 Wireless

• SuperMassive 9200 • NSA 4600 • NSA 3650 • TZ400 / TZ400 Wireless

• NSA 3600 • NSA 2650 • TZ300 / TZ300 Wireless

• NSA 2600 • SOHO Wireless

SonicWall SonicOS 6.5.1.1


1

次の新しいプラットフォームの情報の表で、 3 つの新しい SonicWall NSA 装置についての情報を示し

ます。

新機能このセクションでは、 SonicOS 6.5.1.1 で導入された新機能について説明します。

トピック :

• SonicOS API

• AWS と SonicOS の統合

• 次世代アンチウイルスおよび DPI‐SSL 強制

• CFS により個別のビデオを遮断する

• キャプチャ ATP による分かりやすいファイル名表示

• DHCPv6 リレー

• SSH ポート転送の DPI‐SSH 遮断

• NAT の FQDN アドレスオブジェクト

• FQDN のクエリを TCP で DNS に送信する

• アクセスルールの強化

• HTTP リクエストへの CFS ユーザ定義ヘッダー挿入

• DP のオフロードによる HTTP/HTTPS リダイレクトの強化

• LLDP のサポート

• ユーザクライアント側で UI 設定情報を個別に保存する

メモ: 本書には、一部の国や地域ではリリースされていないプラットフォーム/バージョンに関

する記述が含まれている場合があります。

新しいプラットフォームの情報

ハードウェアコンポーネント NSA 3650 NSA 4650 NSA 5650

10 / 5 / 2.5 / 1 G (SFP+) ポート 2 2 2

10 / 5 / 2.5 / 1 G (銅線) ポート該当なし該当なし 2

2.5 / 1 G (SFP) ポート 8 4 4

2.5 / 1GbE (銅線) ポート 4 4 4

1GbE (銅線) ポート 12 16 16

1GbE MGMT ポート 1 1 1

コンソール RJ45 ポート 1 1 1

USB 3.0 ポート 2 2 2

ファン 2 2 取り外し可能 2 取り外し可能

電源取り外し可能 120

W アダプター

( 大数 2)

冗長化可能 350 W

アダプター

( 大数 2)

冗長化可能 350 W

アダプター

( 大数 2)

ビルトインストレージ (M0) 32 GB 32 GB 64 GB



2

• SonicOS ウェブインターフェースレイアウトのリファクタリング

• キャプチャ脅威評価クライアントの強化

• SPI/DPI の接続可能数の増加

• DPI と DPI‐SSL の動的な接続数調整

• 拡張メモリによる DPI‐SSL 接続数の増加

• NSA プラットフォームでのアクティブ/アクティブクラスタリング

• SonicOSグローバル検索

• NAT における送信元 MAC の置き換え

• ルールおよびオブジェクトの UUID

• コンテンツページのユーザエクスペリエンスと UI の向上

• WAN DDOS 防御のパフォーマンスの改良点

SonicOS APISonicOS コマンドラインインターフェース (CLI) に代わる手段として SonicOS API を使用し、優れた機

能を設定することができます。詳細については、 https://www.sonicwall.com/ja‐jp/support/technical‐

documentation のサポートポータルで『SonicOS API リファレンス』を参照してください。

トピック :

• サポートされるメソッドと MIME タイプ

• HTTP ステータスコード

• ステータスおよびエラー表示

• SonicOS API の有効化

• クライアント認証

• 例 ‐ 未確定の設定を確定する

• 例 ‐ アドレスオブジェクト API コール

サポートされるメソッドと MIME タイプSonicOS API では、 HTTP プロトコル (RFC 7231 および 5789) で定義されている 4 つのメソッドを利用し

て、リソースの作成、読み取り、更新、削除を行います。次の表で、 SonicOS API で現在サポートされ

る HTTP メソッドを説明します。

サポートされる HTTP リクエストメソッド

HTTP メソッド説明

GET 指定したリソースまたはリソースの集合を取得します。 GET は、装置の状

態または設定を変更できない読み取り専用のオペレーションです。 GET オ

ペレーションではリクエストボディを含めないようにします。

POST 指定したリソースまたはリソースの集合により処理されるデータを送信します。多くの場合、 SonicOS API では POST 動詞を使用して、リソースの集合

に対しリソースの作成と追加を行います (たとえば、新規の MAC アドレス

オブジェクトをオブジェクトの集合に追加する)。



3

https://www.sonicwall.com/ja-jp/support/technical-documentation


SonicOS API は、標準の HTTP ステータスコードを使用して、リクエストに対する処理の成功または失

敗を報告します。

SonicOS API では現在次の MIME タイプがサポートされています。

• Text/plain

例:

GET /api/sonicos/address-objects/macAccept: text/plain

• Application/JSON

例:

POST /api/sonicos/address-objects/macContent‐type: application/jsonAccept: application/json{

"address_object": {"mac": {

"name":"001122334455" ,"address":"001122334455" ,"multi_homed": true ,"zone":"LAN"

}}

}

Content‐type HTTP ヘッダーを使用して、リクエストボディ (入力) の形式 (MIME タイプ) を指定します。

Accept HTTP ヘッダーでは、レスポンスボディ (出力) の形式を指定します。

HTTP ステータスコードSonicOS API は、標準の HTTP ステータスコードを使用して、リクエストに対する処理の成功または失

敗を報告します。

PUT 指定したリソースを更新します。以前の設定が、 PUT のリクエストボディ

に含まれるデータに置き換わります。

削除指定したリソースまたはリソースの集合を削除します。

HTTP ステータスコード

コードステータスのテキスト

説明

200 OK リクエストが正常に処理されました。

400 Bad Request

(不正なリクエ

スト )

無効なリクエストが送信されました。リクエストの URI が正しく、リクエ

ストボディが予期したとおりであるかどうかを確認します。

401 不許可ユーザが認証されていない、またはリクエストしたオペレーションに必要な権限が不足しています。

403 Forbidden (禁

止されている)

サーバは、リクエストの内容を解釈できましたが、処理を拒否しました。リクエストを拒否した理由が、レスポンスボディに出力されています。

404 Not Found (見

つからない)

指定したリソースが見つかりませんでした。

サポートされる HTTP リクエストメソッド

HTTP メソッド説明



4

ステータスおよびエラー表示後に実行した CLI コマンドが出力したすべてのプレーンテキストは、キャプチャされ、クライアン

トに返ります。コマンドが、 show コマンドではなく、かつリクエストされたオペレーションの操作

が正常終了した場合、レスポンスボディは空になります。こうした動作は、エラーの際にステータ

スがコンソールのみに表示される SSH またはシリアルコンソールで、コマンドを実行するときの CLI

でも同様です。

JSON のステータスオブジェクトは、 POST、 PUT、 DELETE オペレーションの実行時、またはリクエス

トの処理中にエラーが発生した際に、レスポンスボディ内に返るようになっています。

スキーマ構造{

"status": {"success": {boolean},"cli": {

"depth": {number},"mode": "{string}","command": "{string}","configuring": {boolean},"pending_config": {boolean},"restart_required": "{string}"

},"info": [

{ "level": "{string}", "code": "{string}", "message": "{string}" }...

]}

}

405 Method Not

Allowed (許可

されていないメソッド )

指定した HTTP 動詞は、指定したリソースによって許可、またはサポートさ

れていません。

406 Not Acceptable

(受け入れ不可)「Content‐type」または「Accept」 HTTP ヘッダーで指定した MIME タイプは

サポートされていません。

413 Request body

too large (リク

エストボディ

が大き過ぎる)

リクエストボディの大サイズを超過しました。

414 Request URL

too long (リク

エスト URL が

長過ぎる)

リクエスト URL が、許可された大サイズを超過している、もしくは、余

分なまたは不明なパラメータ (ディレクトリ ) を含んでいます。

500 内部サーバエ

ラー

内部サーバエラーが原因で、リクエストの処理に失敗しました。リクエス

トの処理を失敗した理由が、レスポンスボディに出力されています。

HTTP ステータスコード

コードステータスのテキスト

説明



5

スキーマの属性

SonicOS API の有効化SonicOS では、 SonicOS API は既定で無効になっています。無効の間に SonicOS API へのアクセスを試み

ると、 HTTP 403 Forbidden のエラーが返ります。

SonicOS API を有効にするには、次の手順の 1 つを実行します。

• SonicOS ウェブ管理インターフェースで「管理 | システムセットアップ | 装置 > 基本設定」に移

動し、「SonicOS API の有効化」チェックボックスをオンにします。

• CLI の「config# 」プロンプトで、次のコマンドを実行します。

config(<serial number>)# administration(config‐administration)# sonicos‐api(config‐administration)# commit


項目種別説明

状況オブジェクトステータスオブジェクトです。

status.success 論理型 (true ま

たは false)

論理型の成功フラグです。成功フラグが false の場合、エ

ラーの原因の詳細について status.info 配列が参照されます。

status.cli オブジェクト CLI のステータスです。 API が、 1 つ以上のコマンドを CLI の

バックエンドに送信するときのみ、この属性が含まれることに注意してください。

status.cli.depth 整数型 (8 ビッ

ト符号なし )

CLI における現在のモードの深さを示します。トップレベル

モードを 0 とし、設定モードは 1 以上になります。

status.cli.mode 文字列現在のモード名です。

status.cli.command 文字列後に実行したコマンドです。この属性は、コマンドエ

ラーの発生時にのみ含まれることに注意してください。

status.cli.configuring 論理型 (true ま

たは false)

論理型の設定フラグです。設定を変更する、 1 つ以上の連続

した POST、 PUT または DELETE API コールが発生する場合、

常に true になります。

status.cli.pending_

設定論理型 (true ま

たは false)

未決定の設定を示す論理型のフラグです。設定を変更する、1 つ以上の連続した POST、 PUT または DELETE API コールが発

生する場合、常に true になります。未決定の変更がすべて

コミット (保存) されると、このフラグはクリアされます。

status.cli.restart_

必須文字列装置の再起動ステータスです。設定変更を有効にするため

に、装置の再起動が必要になる場合があります。次の値により、必要な再起動の種別を示します。

• なし• 装置• シャーシ• CHASSIS_SHUTDOWN

• ALL_BLADES

status.info 配列型情報提供のためのメッセージです。

status.info.level 文字列ステータスレベルです。情報、警告、エラーのいずれかの

種別を示します。

status.info.code 文字列ステータスコードです。成功の場合、 E_OK が返り、それ以

外は、 E_{XXX} が返ります。 XXX はエラーコードを示します。

status.info.message 文字列ステータスメッセージです。



6

クライアント認証SonicOS API では現在、クライアント認証に次の 2 つの方法を提供しています。

• HTTP 基本認証 (RFC 2617)

• チャレンジハンドシェイク認証 (CHAP)

使用する認証方法に関わらず次の制約があります。

• 管理 (設定変更) をいつでも行うことができるのは 1 人の管理者のみです。管理者のログイン先

(ウェブ管理 UI、 CLI、 GMS または SonicOS API) に関わらず、これが当てはまります。

• 完全な管理者特権を持つユーザのみ、 SonicOS API へのアクセスを許可されます。

• 現在、 1 つの SonicOS API セッションのみ許可されます。

HTTP 基本認証は、クッキー、セッション ID などを必要としないため、も簡単なクライアント認証方

法です。この認証方法では、標準の認証 HTTP ヘッダーを使用して、クライアントとサーバ間でユー

ザの資格情報をやり取りします。 HTTP 基本認証にはユーザの資格情報の機密性を保護する手段がな

いため、 SonicOS API では、 HTTPS によりユーザの資格情報を送信する必要があります。

SonicOS API の HTTP 基本認証の場合、次のように、 Linux のコマンドライン curl コマンドを ‐u オプショ

ンとともに実行します。

• ログイン:

curl -k -i -u admin:password -X POST https://a.b.c.d/api/sonicos/auth

• ログアウト :

curl -k -i -X DELETE https://a.b.c.d/api/sonicos/auth

例 ‐ 未確定の設定を確定する設定を変更 (POST、 PUT、 DELETE) するすべての SonicOS API で、変更が直ちに有効になることはありま

せん。準備された設定はランタイム設定にプッシュされず、 /api/sonicos/config/pending に対する POST リクエストが API クライアントで明示的に実行されるまで、フラッシュまたは永久保存

可能なストレージに格納されます。この動作は、 SonicOS CLI、およびトップレベルの設定モードで

commit コマンドを呼び出すのに等しい状況でも同様です。

未確定の設定は /api/sonicos/config/pending に対して DELETE リクエストを実行することで、

いつでもキャンセル (削除) することができます。クライアントセッションが終了すると、アイドル

タイムアウト、または明示的なログアウトに関係なく、未確定の設定はすべてキャンセルされます。この場合、保存していないすべての変更が失われます。未確定の設定を各 POST/PUT/DELETE API コー

ルの後に確定するか、未確定の変更をクライアント側で保持して今後のセッションで復元するかは、クライアントの責任で決定します。

スキーマ構造

POST、 PUT、 DELETE の HTTP ボディが空になると予測されるため、ここではスキーマの適用はありま

せんが、 GET では、すべての未確定 (保存していない) 設定が返ります。


使用可能ではありません。

エンドポイント

エンドポイント HTTP メソッドおよびボディ

URI: /api/sonicos/config/pending

スキーマ:該当なし

GET POST PUT 削除

空空 ‐ 空



7

例:

# 未確定の変更に対する GET (変更なし )

要求:

GET /api/sonicos/config/pendingAccept: application/json

応答:

HTTP/1.0 200 OKサーバ:SonicWALLContent‐type: application/json; charset=UTF‐8{}

# 未確定の変更に対する GET

要求:

GET /api/sonicos/config/pendingAccept: application/json

応答:

HTTP/1.0 200 OKサーバ:SonicWALLContent‐type: application/json; charset=UTF‐8{

"address_objects": [{

"pending":"ADD","ipv4": {

"name":"B","host": {

"ip":"2.2.2.2"},"zone":"WAN"

}}

]}

# 未確定の変更に対する POST

要求:

POST /api/sonicos/config/pendingAccept: application/json

応答:

HTTP/1.0 200 OKサーバ:SonicWALLContent‐type: application/json; charset=UTF‐8{

"status": {"success": true,"cli": {

"depth":1,"mode": "config_mode","configuring": true,"pending_config": false,"restart_required":"NONE"

}



8

,"info": [{ "level": "info", "code":"E_OK", "message":"Success." }

]}

}

例 ‐ アドレスオブジェクト API コール# Web Server という名前で IPv4 アドレスオブジェクトを新規作成する

POST /api/sonicos/address-objects/ipv4Content‐type: application/json

{"address_object": {

"ipv4": {"name":"Web Server","zone":"DMZ","host": {

"ip":"192.168.168.168"}

}}

}

# Web Server アドレスオブジェクトのホスト IP を変更する

PUT /api/sonicos/address-objects/ipv4/name/Web%20ServerContent‐type: application/json

{"address_object": {

"ipv4": {"host": {

"ip":"192.168.168.1"}

}}

}

# Web Server アドレスオブジェクトを削除する

DELETE /api/sonicos/address-objects/ipv4/name/Web%20Server

AWS と SonicOS の統合SonicOS とアマゾンウェブサービス (AWS) の統合により、 AWS CloudWatch ログへのログの送信、 EC2

インスタンスへのアドレスオブジェクトとグループの割り当て、仮想プライベートクラウド (VPC) に

接続可能な VPN の作成が可能になります。 SonicOS はさまざまな AWS のアプリケーションプログラミ

ングインターフェース (API) と通信します。

トピック :

• AWS Identity の作成

• SonicOS での AWS アクセスの設定

• AWS ログの設定



9

• AWS オブジェクトの設定

• AWS VPN の設定

AWS Identity の作成AWS マネジメントコンソールの IAM ページで、ユーザおよびグループを含む IAM Identity の作成と管

理を行うことができます。

IAM ユーザが存在しない場合、それを作成する必要があります。ファイアウォールは、そのユーザを

使用して、自身がサポートするサービスのためにさまざまな AWS の API に接続します (ここでは、

AWS アカウントを作成済みであり、ルートアクセス権限または広範な管理者権限を持つ管理者がそ

のアカウントでログインしていると仮定しています)。

ユーザが異なるサービスにアクセスするには、特定の権限が必要になります。こうした権限をユーザに直接付与します。または、 IAM グループに割り当てたセキュリティアクセスポリシーにその権限

を適用し、そのグループにユーザを追加します。

使用するセキュリティポリシーでは、ユーザが属するグループに適用する、またはユーザに直接適

用する場合でも、次の権限を含める必要があります。

• AmazonEC2FullAccess ‐ AWS オブジェクトと AWS VPN に必要です。

• CloudWatchLogsFullAccess ‐ AWS ログに必要です。

ファイアウォールのみで特に使用するために IAM ユーザを作成できますが、同ユーザが AWS マネジ

メントコンソールにアクセスする場合、「プログラムアクセス」のチェックボックスをオンにする

必要があります。

「ユーザの追加」ウィザードの 2 番目のステップでは、ユーザをグループに追加する、または権限を

直接付与することによってユーザに割り当てる権限を決定します。

作成するユーザの詳細を確認した後、「ユーザの作成」ボタンを押下します。ここで後に実行する重要な手順があります。

「ユーザの追加」ウィザードを終了せず、次の手順を実行してください。

そのユーザ用に作成された「シークレットアクセスキー」を取得する必要があります。シークレッ

トアクセスキーは、アクセスキーとともに、ファイアウォールの設定に使用します。また、 API に

よる AWS へのアクセス時にも常に必要です。シークレットアクセスキーのコピー、またはダウン

ロードした CSV ファイルを安全な場所に保存してください。

SonicOS での AWS アクセスの設定「管理 | システムセットアップ | ネットワーク > AWS 設定」ページで、 AWS セキュリティ資格情報を

使用して SonicOS を設定することができます。



10

この設定には、 AWS Identity and Access Management (IAM) ユーザのアクセスキー ( 「アクセスキー ID」 )、

対応する「シークレットアクセスキー」、既定の地域が含まれます。既定の地域は、「AWS ログ」

のページ、さらに「AWS オブジェクト」ページと「AWS VPN」ページの初期化に使用します (ただ

し、この 2 つのページでは異なる地域を選択できます)。

AWS ログの設定ファイアウォールで生成されたイベントのログを AWS CloudWatch ログサービスに送信できます。

ElasticSearch と Kibana など、 AWS がホストする分析ツールでそのデータを使用することもできます。

SonicOS の「AWS ログ」ページでは、ログの送信先である AWS エンドポイントの設定に加え、データ

の送信頻度に影響する設定を行うことができます。

SonicOS から Amazon CloudWatch ログにログを送信するには、初に AWS で、ロググループとログス

トリームを作成する必要があります。 CloudWatch セクションに移動し、左側のナビゲーションメ

ニューにあるログの項目を選択します (ここでは、 AWS コンソールから CloudWatch ログにアクセスで

きる適切な権限を持つ Identity Access Management (IAM) ユーザアカウントがあることが前提です)。

CloudWatch ログは、多くの AWS サービスで地域固有であるため、格納するログに適した AWS リー

ジョンを選択していることを確認します。初にロググループを作成し、次にログストリームを作

成します。

SonicOS で AWS ログを有効にするには:

1 「管理 | ログと報告 | ログ設定 > AWS ログ」ページに移動します。

2 「ログを有効にする」を選択します。

3 選択した AWS の「地域」が、ロググループとログストリームを作成した地域であることを確

認します。地域は、ファイアウォールを使用して、このページまたは「AWS 設定」ページでも

変更することができます。

4 作成済みの「ロググループ」と「ログストリーム」を入力します。これらに、 AWS CloudWatch

ログに送信するログが格納されます。

5 ログは「同期間隔」で指定した間隔で送信されます。必要に応じて間隔を変更してください。

6 「適用」を選択します。

AWS オブジェクトの設定「AWS オブジェクト」ページでは、 AWS クラウドで実行中の EC2 インスタンスの IP アドレスをファイ

アウォールで設定したアドレスオブジェクト (AO) とアドレスグループ (AG) に割り当てることができ

ます。

インスタンス IP アドレスに新規の AO が、また、インスタンスのすべてのアドレスに AG が作成されま

す。これらのインスタンス AG を既存のアドレスグループに追加できます。その後、その他の AO およ

び AG と同様に、これらのオブジェクトをネットワーキングとアクセスコントロールのファイアウォー

ルポリシーに使用して、 AWS で実行中の EC2 インスタンスとの通信を構成することができます。

AWS で、 EC2 インスタンスにタグ付けし、 SonicOS で、そのタグを「アドレスオブジェクト割り当

て」の定義に使用できるようにします。選択したインスタンスで、「動作」ボタンをクリックしてポップアップメニューを開き、「インスタンス設定 > タグの追加/編集」を選択します。

新しいアドレスオブジェクト割り当てを作成するには:

1 SonicOS の「管理 | ポリシー | オブジェクト > AWS オブジェクト」ページに移動します。

2 「新しい割り当て」を選択します。

3 「新しい条件」ボタンをクリックし、利用可能なプロパティ全体から条件を選択できるようにします。



11

4 たとえば、「プロパティ」の「ユーザ定義タグ」を選択し、 EC2 インスタンスタグで使用してい

るキーと値を入力します。その後、「OK」をクリックします。

5 2 番目の割り当てを任意で追加する場合は、「新しい条件」を再度選択します。

6 準備ができたら、「OK」をクリックします。

7 「適用」を選択して割り当てを保存します。

その後、割り当てと一致する各 EC2 インスタンスの IP アドレスに対して、アドレスオブジェ

クトが作成されます。

8 「割り当てを有効にする」を選択します。

9 「適用」をクリックし、アドレスオブジェクト割り当てを有効にします。

割り当ての有効化、「同期間隔」の設定、「監視するリージョン」の指定、「割り当てを有効にする」の選択が完了すると、一致する EC2 インスタンスとその IP アドレスを示すアドレスオブジェク

トとアドレスグループを表示できるようになります。

「AWS オブジェクト」ページの AWS EC2 インスタンステーブルに、アドレスグループ、および割り

当てられたアドレスグループが表示されます。関連する行を展開すると、インスタンスのパブリッ

クおよびプライベート IP アドレスに対応するアドレスオブジェクトを表示できます。 SonicOS の「オ

ブジェクト > アドレスオブジェクト」ページで、これらと同じホストアドレスオブジェクトを確認

できます。

AWS VPN の設定ローカルエリアネットワーク (LAN) のコンピュータ、および AWS の仮想プライベートクラウド (VPC)

における LAN との間で接続を確立し、管理するには、 SonicOS の「管理 | 接続性 | VPN > AWS VPN」

ページで設定を行います。

SonicOS の「AWS VPN」ページにある VPC テーブルは、 VPC ダッシュボードの AWS コンソールで利用

可能な VPC 情報を示しています。

管理者は、 1 つ以上の AWS リージョンで VPC を参照し、ファイアウォールと各 VPC のサブネットとの

間に VPN を作成できます。管理者が、接続を確立するボタンをクリックすると、ファイアウォール

の VPN およびルートポリシー、 VPN トンネル、関連するアドレスオブジェクトの作成が、必要な

ゲートウェイ、および AWS での接続の伝搬とともに、すべて自動で完了します。



12

新しい VPN 接続を作成するには:

1 SonicOS の「管理 | 接続性 | VPN > AWS VPN」ページに移動します。

2 ファイアウォールを接続する VPC の行にある「VPN 接続の作成」ボタンをクリックします。

3 「新しい VPN 接続」ダイアログで、「IP アドレス」にファイアウォールのパブリック IP アドレ

スが含まれていることを確認し、必要に応じて変更します。

ルータまたはその他のプロキシの背後にファイアウォールがある場合、 NAT ルールを適切に設

定し、 AWS 側で開始される VPN トラフィックがファイアウォールにルーティングされるように

します。

4 ファイアウォールが、 VPC 内の 1 つ以上のルートテーブルでルート伝搬が無効になっているこ

とを検知すると、ダイアログに「VPC 内に存在するすべてのサブネットに接続を伝搬する」オ

プションが表示されます。特定のサブネットのみに伝搬しない場合に、このオプションを選択してください (ステップ 6 を参照してください)。

5 「OK」をクリックします。

ファイアウォールと AWS の両方が持つ一連のプロセスによって、それらの間の VPN 接続が構

成されます。テーブルの行にある、「情報」の「i」ボタンをクリックすると、 VPN 接続の詳細

を表示できます。「AWS VPN」ページの「再表示」ボタンを使用して、テーブル、および関連

するダイアログのデータを再ロードできます。

6 VPN 接続が確立したら、「AWS VPN」ページでその行を展開し、ルートテーブル別に整理され

た、 VPC 内のすべてのサブネットを表示します。各ルートテーブル (ステップ 4 ですべてのルー

トテーブルに対する伝搬を有効にしていない場合)、および関連するサブネットの「接続の伝

搬」を選択します。

VPN 接続を削除するには:

1 「管理 | 接続性 | VPN > AWS VPN」ページに移動し、関連するテーブルの行で「VPN 接続の削除」

をクリックします。

2 確認のダイアログで、「はい」を選択します。

削除により、ファイアウォールに設定された、関連する VPN とルートポリシー、トンネルイ

ンターフェースが消去されます。 AWS では、他で使用されていない場合にのみカスタマー

ゲートウェイが削除されます (別の VPN 接続で同じファイアウォールが使用されていることも

あります)。 VPN ゲートウェイの削除、またはルート伝搬設定の変更は行われません。

次世代アンチウイルスおよび DPI‐SSL 強制バージョン 6.5.1.1 以降の SonicOS ファイアウォールでは、次世代アンチウイルス (NGAV) を目的とし

た強制サービスをサポートするよう設計されています。

NGAV は、従来のアンチウイルスが自然に進化したもので、小の動作で適なエンドポイント保護

を提供し、現代のあらゆるサイバー攻撃からコンピュータを保護します。 NGAV では、悪意のある活

動の検知と遮断にさまざまな技術的アプローチを取ります。つまり、エンドポイントセキュリティ

をシステム中心型のビューで捉え、各エンドポイントのプロセスをすべて検査して、攻撃者が頼る悪意のあるツール、戦術、技術、手順 (TTP) をアルゴリズムにより検知し遮断します。

NGAV は、企業を保護するために、次の 4 つの重要な役割を担います。

• コモディティマルウェアを従来のアンチウイルスよりも効果的に防ぐ。

• 攻撃全体のコンテキストを評価することで、未知のマルウェアと高度な攻撃を防ぎ、強固な防御をもたらす (従来のアンチウイルスでは不可能)。

• 可視性とコンテキスト情報を提供して、サイバー攻撃の根本原因を特定し、攻撃のコンテキストと知見を詳細に得られるようにする (従来のアンチウイルスでは不可能)。



13

• 攻撃を修正する (従来のアンチウイルスでは大量のマルウェアを防御するのみ)。

さらに、 NGAV は、展開が容易で、クラウドから簡単に管理できます。現在、 SonicWall ファイアウォー

ルは、 DPI‐SSL 強制と SentinelOne アンチウイルス強制などの NGAV 強制をサポートするよう設計され

ています。

この新しい機能は、「管理 | セキュリティ設定 | セキュリティサービス > クライアント AV 強制」にあ

る以下の「クライアントアンチウイルスの強制」セクションで設定することができます。

CFS により個別のビデオを遮断するSonicOS 6.5.1.1 より、 SonicWall コンテンツフィルタサービス (CFS) で個別の YouTube ビデオをフィルタ

し、遮断できるようになりました。以前の CFS では、すべての YouTube ビデオの許可または遮断のみ

可能でした。

CFS では、 HTTP 接続ごとにサイトドメインを検査し、ドメインが youtube.com に一致すると、クエ

リストリングからビデオ情報を取得します。その後 URI を新たに再構成し、 CFS サーバにそのビデオ

の評価を要求します。再構成した URI は www.youtube.com/watch/v=-uWymC73jOY のような文

字列になっています。

この機能は、 SonicWall パブリック CFS サーバを使用しているときにサポートされますが、ローカル CFS

サーバの使用時にはサポートされません。ローカル CFS サーバが持つブラックリスト /ホワイトリス

ト機能との競合を避けるためです。

SonicWall CFS サーバに、 URI の「v=」パラメータで識別される特定のビデオの評価がある場合にの

み、この機能が有効になります。

SonicOS の設定は不要です。

キャプチャ ATP による分かりやすいファイル名表示SonicOS 6.5.1.1 では、次の非 HTTP プロトコルに対し、 SonicWall Capture Advanced Threat Protection が、

スキャン済みファイルを分かりやすいファイル名でログに記録します。

• SMTP

• IMAP

• POP3

• NetBIOS:

• FTP

この機能により、システム管理者は、キャプチャ ATP がスキャンしたファイルとそのステータスを簡

単に識別できます。以前、これらのプロトコル種別のファイル名は、「キャプチャ > 状況」テーブル

で「(不明)」と表示され、ログメッセージは、あるファイルを参照していました。



14

制約:

• 分かりやすいファイル名では、大 256 文字がサポートされます。

• この機能は、 TCP プロトコルストリームのファイル名情報を解析できません。

• ファイル名が 1 つのネットワークパケットの一部ではない場合、この機能はそれを解析できま

せん。

SonicOS の設定は不要です。

DHCPv6 リレーSonicOS 6.5.1.1 では、 DHCPv6 リレーがサポートされます。 DHCP リレーエージェントは、クライアン

トとサーバ間で DHCP メッセージをやり取りするための仲介ノードとして機能し、クライアントと同

じリンク上に存在します。クライアントとサーバが同じ IPv6 リンク上にない場合に、 DHCPv6 リレー

エージェントを使用して、クライアントとサーバ間でメッセージをリレーします。

SonicOS 6.5.1.1 では、サポートされる送信先アドレスに、グローバルアドレスまたはリンクローカル

アドレスを指定できますが、マルチキャストアドレスは使用できません。 DHCPv6 リレーは、物理と

仮想の両方のインターフェースで有効にすることができます。その設定は、「管理 | システムセット

アップ | ネットワーク > IP ヘルパー」ページで行います。

DHCPv6 リレーを設定するには:

1 「管理 | システムセットアップ | ネットワーク > IP ヘルパー」ページに移動します。

2 「リレープロトコル」セクションの「追加」を選択します。

3 「IP ヘルパーアプリケーションの追加」ダイアログで、プロトコルの「名前」、「ポート 1」、

「ポート 2」、「タイムアウト」フィールドを設定します。

4 「モード」では、「ブロードキャスト」を選択します。

5 「アプリケーションを有効にする」と「送信元 IP の変換を許可する」のチェックボックスをそ

れぞれオンにします。




15

7 「ポリシー」セクションで、「追加」を選択します。

8 「IP ヘルパーポリシーの追加」ダイアログで、「プロトコル」ドロップダウンリストから

「DHCPv6」を選択します。

9 「送信元」ドロップダウンリストで、目的のインターフェースを選択します。

10 「送信先」フィールドに、送信先の IPv6 アドレスを入力します。

11 「送信インターフェース」ドロップダウンで、以下のいずれかを実行します。

• 「送信先」フィールドの送信先がグローバルアドレスの場合、送信インターフェースを

選択する必要はありません。

• 「送信先」フィールドの送信先がリンクローカルアドレスの場合、送信インターフェー

スを選択してください。


クライアントがサーバから新しい IP アドレスを取得すると、このページの「DHCPv6 リレー

リース」セクションに新規の DHCP リースが表示されます。

SSH ポート転送の DPI‐SSH 遮断 SSH ではポート転送を使用して、 SSH 経由で他のアプリケーションに接続するトンネルを作成するこ

とができます。ポート転送では、ローカルまたはリモートコンピュータ (インターネット上のコン

ピュータなど) が、プライベートローカルエリアネットワーク (LAN) 内の特定のコンピュータまたは

サービスに接続できます。ポート転送により、パケットは、そのアドレスまたはポート番号が新しい送信先アドレスに変換され、ルーティングルールに従ってその送信先に転送されます。これらのパ

ケットは新しい送信先とポート番号を持つため、ファイアウォールのセキュリティポリシーを回避

する可能性があります。

SonicWall ファイアウォールのアプリケーションベースのセキュリティポリシーが回避されるのを防

ぐために、 SonicOS 6.5.1.1 では、ローカルとリモートのポート転送に対し、ポート転送機能の遮断が

サポートされています。

• ローカルのポート転送によって、ローカルネットワークのコンピュータは別のサーバに接続で

きます。それは外部サーバである場合もあります。

動的ポート転送では、 1 つのローカルポートを、リモートのすべての宛先にデータをトンネル

で送信するよう設定できますが、これは、ローカルポート転送の特殊なケースと見なされるで

しょう。

• リモートポート転送では、リモートホストを内部サーバに接続できます。



16

この機能を有効にするには、 SonicOS の「管理 | セキュリティ設定 | 復号化サービス > DPI‐SSH」ペー

ジで、「ポート転送を遮断する」チェックボックスをオンにし、ローカルポート転送またはリモー

トポート転送を有効にします。

SSH ポート転送の機能を遮断するには、 DPI‐SSH を有効にする必要があります。 DPI‐SSH では、着信

SSH パケットの複合化とコマンドの検査が実行されます。遮断機能が有効になっている場合にローカ

ルまたはリモートポート転送が実行されると、 SonicOS が、これらの要求を遮断し、接続をリセット

します。

SSH は、シェル、ファイル転送、ポート転送、その他のサービスをサポートするセキュアチャンネル

です。特定のクライアントとサーバがサポートされています。

DPI‐SSH ポート転送は、次のクライアントをサポートしています。

• Cygwin 用の SSH クライアント

• Putty

• SecureCRT

• Ubuntu の SSH

• CentOS の SSH

DPI‐SSH ポート転送は、次のサーバをサポートしています。

• Fedora の SSH サーバ

• Ubuntu の SSH サーバ

SSH ポート転送は以下の両方をサポートしています。

• ルートモード

• ワイヤモード ‐ 保護モードのみでサポートされます

SSH ポート転送と DPI‐SSH ポート転送はともに、大 1000 接続をサポートします。

NAT の FQDN アドレスオブジェクトSonicOS 6.5.1.1 では、元の送信元/送信先に FQDN アドレスオブジェクトを使用する NAT ポリシーがサ

ポートされています。

次のような使用事例があります。

• FQDN を使用して、ローカルサーバにパブリック IP アドレスを指定します。

• パブリックサーバを FQDN で指定することで、既知の IP アドレスを持つサーバに置き換わって

も同じ送信先を使用できます。



17

• クライアントと FQDN 間のトラフィックに、送信インターフェースの IP とは異なる送信元 IP ア

ドレスを付与してルーティングします。

次の機能がサポートされています。

• NAT ポリシーの IP バージョンに応じて、元の送信元/送信先に、純粋な FQDN、もしくは FQDN

とその他の IPv4 または IPv6 を使用するアドレスグループを指定できます。新しい FQDN アド

レスオブジェクトは、「管理 | ポリシー | ルール > NAT ポリシー」ページから直接作成するこ

とができます。

FQDN は、変換後の送信元/送信先ではサポートされません。

• 変換前/変換後、送信元/送信先フィールドの設定を基にしてもバージョンが曖昧な場合にのみ、

NAT ポリシーに IP バージョンオプションを利用できます。 IPv4 または IPv6 のいずれかを選択

する必要があります。

• NAT ポリシーの FQDN オブジェクトにカーソルを移動すると、 NAT ポリシーと同じ IP バージョ

ンの IP アドレスが表示されます。

• NAT 変換の実行時には、 NAT における IP バージョンの IP アドレスのみ考慮されます。

• 元の送信元または送信先フィールドで FQDN を使用している場合「詳細」ページは無効になり

ます。

プローブが有効になっている、またはスティッキー IP など既定ではない値に NAT を設定してい

る場合、元の送信元/送信先アドレスオブジェクトのどちらに対しても、 FQDN を含める変更を

行えません。

• FQDN ベースの NAT ポリシーは高可用性の設定でサポートされています。



18

FQDN のクエリを TCP で DNS に送信するSonicOS 6.5.1.1 では、「管理 | システムセットアップ | ネットワーク > DNS」ページで、新しい「TCP

を介した FQDN 用 DNS ホスト名検索を有効にする」オプションを利用できます。

既定では、 DNS クエリは UDP で送信されます。応答の長さが UDP で許可される大値を超える場合、

DNS の応答に Truncated (切り捨て) フラグが含まれる場合があります。

「TCP を介した FQDN 用 DNS ホスト名検索を有効にする」オプションが有効で、 DNS の応答に Truncated

フラグが設定されている場合、 SonicOS は、追加の DNS クエリを TCP で送信し、複数の IP アドレスに対

して完全な DNS 応答を決定します。オプションが無効の場合、 DNS クエリは UDP で送信され、 SonicOS

は、応答に Truncated フラグの設定があっても DNS 応答のパケットに含まれる IP アドレスの処理のみ

行います。

TCP による DNS 応答を DNS サーバから受信できない場合、 DNS クエリは 1 秒後にタイムアウトします。

アクセスルールの強化SonicOS 6.5.1.1 には次の機能があり、アクセスルールが強化されています。

• Any ゾーンによるルール

• 優先順位オプション

• ルールヒットカウンタ

• タイムスタンプ

Any ゾーンによるルール• アクセスルールの送信元と送信先のゾーンに Any (すべて) を設定することができます。

• 簡素化された単一の設定テーブルを維持できます。

• 検索テーブルで検索するための主要な範囲として送信元と送信先ゾーンを追加できます。

• 自動優先付け機能のゾーンに基づいてルールを優先付けすることができます。

• 手動による優先付けの動作に変更はありません。

• 保存数、接続数など、装置ごとに単一のカウンタセットを使用できます。

優先順位オプション• 新規ルールには、テーブル内のルールに優先順位を設定する次の 3 つのオプションがあります。

• 自動優先順位 ‐ SonicOS が、も明確なルールを優先するアルゴリズムに従ってインデッ

クスを選択します。

• 末尾に挿入 ‐ 新規のポリシーはルールテーブルの末尾に挿入されます。

• 手動によるプライオリティ ‐ 新規のポリシーは管理者が作成したインデックスに挿入され

ます。

• SonicOS ウェブ管理インターフェースと CLI には、新規ルールの優先順位を選択するオプション

があります。

ルールヒットカウンタ• ルールのヒットを記録する、ルールごとのカウンタをサポートしています。



19

• カウンタはエクスポートした設定内に保存されるため、永続的に保持できます。

• カウンタは、 SonicOS ウェブ管理インターフェースと TSR に表示されます。

• SonicOS ウェブ管理インターフェースと CLI には、カウンタを消去するオプションがあります。

タイムスタンプ• ルールごとに次のタイムスタンプをサポートしています。

• 作成時刻 ‐ ルールを作成した時刻です。

• 終更新日時 ‐ 編集を後に完了した日時です。

• 終ヒット ‐ 接続が、このルールにより後に分類された時刻です。

• タイムスタンプはエクスポートした設定内に保存されるため、永続的に保持できます。

• タイムスタンプは、 SonicOS ウェブ管理インターフェースと TSR に表示されます。

HTTP リクエストへの CFS ユーザ定義ヘッダー挿入SonicOS 6.5.1.1 では、管理者がファイアウォールをウェブプロキシサーバとして構成できます。これ

により、提供したアカウントとは異なるアカウントでユーザがウェブサービスにサインインできな

いようにする、またはユーザが閲覧できるコンテンツを制限するなど、ウェブサービスの制御を行

えます。ウェブプロキシサーバは、コンテンツフィルタポリシーに一致するすべてのトラフィック

にユーザ定義ヘッダーを追加します。このヘッダーによって、ウェブサービスにアクセスできる

ユーザのドメイン、またはユーザがアクセス可能なコンテンツが識別されます。 DPI‐SSL が有効の場

合、暗号化された HTTPS トラフィックがサポートされます。

この機能には次の設定が必要です。

• コンテンツフィルタサービスが有効になっている。

• 一致する CFS プロファイルオブジェクトで、ユーザ定義ヘッダーの挿入が有効になっている。

• ユーザ定義ヘッダーを挿入する暗号化された HTTPS リクエストに対して、 DPI‐SSL が有効になっ

ている。

CFS ユーザ定義ヘッダーを設定し、ユーザ定義ヘッダー挿入を有効にするには:

1 SonicOS ウェブ管理インターフェースで、「管理 | ポリシー | オブジェクト > コンテンツフィル

タオブジェクト」ページに移動します。

2 「CFS プロファイルオブジェクト」をクリックします。

3 追加アイコンを選択します。

4 「CFS プロファイルオブジェクトの追加と編集」ダイアログで、「ユーザ定義ヘッダー」を選択

し、「ユーザ定義ヘッダー挿入」オプションを表示します。

5 「ユーザ定義ヘッダー挿入を有効にする」を選択します。

6 「追加」をクリックし、ユーザ定義ヘッダーエントリの「ドメイン」、「キー」、「値」を設

定します。

「ドメイン」は、 HTTP リクエスト内のホストがエントリに一致するかどうかをパケットの処

理中に確認するために使用されます。「キー」と「値」は、ユーザ定義ヘッダー挿入の実行時データが作成される際に、エントリに対する適切なヘッダーを生成するために必要です。

「ドメイン」の命名規則は次のとおりです。

• ドメイン名は、大 16 のトークンを含むことができます。トークンは、ピリオド (.) で

区切ります。



20

• ドメイン名の先頭と末尾には、区切り文字を使用できません。

• 各トークンは、大で 128 文字の印刷可能な ASCII 文字を含むことができます。

• ドメイン名のトークンには次の文字のみ使用できます。 0‐9a‐zA‐z$‐_+!’(),.

• IPv4/IPv6 のアドレスを、 [2001:2002:2003::2005:2006] のように、ドメイン名とし

て定義できます。


DP のオフロードによる HTTP/HTTPS リダイレクトの強化この機能により、 SonicOS 6.5.1.1 では、ファイアウォールを通過してアクセスするユーザにユーザ認

証が必要な際に発生する HTTP/HTTPS リダイレクト要求を効果的に処理できます。認証されていない

ユーザの HTTP/HTTPS リクエストはファイアウォールのログインページにリダイレクトされます。こ

のページはファイアウォール自身のビルトインウェブサーバによって起動します。こうしたリダイ

レクトは、シングルサインオン (SSO) によってユーザを識別できない、または SSO が使用されていな

い場合に発生します。

ログインしていないユーザからの HTTP/HTTPS リクエストの受信に加え、 1 つ以上のそのようなソー

スによる新規接続が繰り返し発生すると、リダイレクトが必要なすべての接続によってファイアウォールの機能が限界に達する可能性があります。こうしたソースは、正当にアクセスを試みる非ユーザデバイスの場合もあれば、 (DOS) 攻撃を試行する悪意のあるコードの場合もあります。これら

がファイアウォールに影響を与え、制御プレーン (CP) の CPU が高負荷となります。負荷がきわめて

高くなるとウェブ管理のアクセスに影響が及ぶこともあります。

この機能は、ウェブサーバと HTTP/HTTPS リダイレクトプロセスの両方の効率を高めます。また、複

数のコア全体に処理が分散するデータプレーン (DP) に対する多くのリダイレクトプロセスの負荷を

軽減します。

HTTP/HTTPS リダイレクト機能を有効にするには:

1 SonicOS ウェブ管理インターフェースで、「HTTP から HTTPS へのリダイレクトを有効にするた

めのルールを追加する」オプションを選択します。



21

このオプションは、「インターフェースの編集」ダイアログにあり、「ネットワーク > イン

ターフェース」ページで実際のインターフェースを編集するときに、「モード /IP 割り当て」

の設定に応じて表示されます。このオプションは、仮想インターフェースまたは WLAN トンネ

ルインターフェースの追加時に「インターフェースの追加」ダイアログでも設定できます。

HTTP から HTTPS へのリダイレクトを有効にすると、終ページが HTTPS 経由で提供される場

合にも特定の中間的なリダイレクトページを HTTP 経由で取得できるアクセスルールも作成さ

れます。これにより、 HTTPS から HTTP に効果的にリダイレクトして中間的なタスクを実行す

る一方で、セキュリティに関する問題を回避できます。


この機能の構成要素は、内部の「ユーザ認証の設定」オプションで制御することができます。これには、 DP でのリダイレクト処理をグローバルに有効化/無効化するオプション、リダイレクトファイル

キャッシュを消去するオプション、ウェブサーバ用の NAT の内部ポート番号を指定するオプションなど

が含まれます。内部設定の詳細については、 SonicWall テクニカルサポートにお問い合わせください。

LLDP のサポートSonicOS 6.5.1.1 では、次のプラットフォームで、 Link Layer Discovery Protocol (LLDP) がサポートされて

います。

• NSA 3600、 4600、 5600、 6600

• SuperMassive 9200、 9400、 9600

LLDP は、高可用性が有効な場合もサポートされます。

LLDP は、近隣のデバイスとその機能を検出するために使用します。レイヤ 2 で動作し、タイプ、長

さ、値 (TLV) を含む一連の可変長情報の要素を含んだ LLDP プロトコルデータユニット (LLDPDU) を近

隣のデバイスとの間で交換します。情報は SNMP MIB に格納されます。 LLDP は、トラブルシューティ

ングに役立ちます。特に、 ping または traceroute コマンドでピアを検出できない場合に便利です。

SonicOS 6.5.1.1 では次の 3 つの LLDP モードがサポートされています。

• LLDP‐receive (SonicOS 6.5 の以前のバージョンですでにサポートされています)

• LLDP‐transmit

• LLDP‐transmit‐receive

LLDP プロファイルを個別のインターフェースに作成してモードを選択することができます。

次のインターフェース種別とモードで LLDP がサポートされています。

• L2 インターフェース ‐ 物理ポートを L2 モードに設定している場合

• L3 インターフェース ‐ 物理ポートを L3 モードに設定している場合

• ワイヤモードインターフェース ‐ 物理ポートのみでサポートされ、 VLAN インターフェースでは

サポートされません

• L2 ブリッジインターフェース ‐ 物理ポートでサポートされ、 VLAN インターフェースではサポー

トされません

• VLAN 副インターフェース ‐ サポートされません

• LAG/LACP ‐ LAG のプライマリポートでサポートされています

各 LLDP は、 Chassis ID (シャーシ ID)、 Port ID (ポート ID)、 TTL の 3 つの必須 TLV で開始し、その後に多く

のオプション TLV が続きます。 LLDP フレームは、必須の End‐of‐frame (フレーム終了) TLV で終了します。

必須 TLVの表で、送信と受信の両方でサポートされる必須 LLDP TLV を説明します。



22

オプション TLVの表で、送信と受信の両方でサポートされる、オプションの LLDP TLV を説明します。

必須 TLV

TLV の名前 TLV の種別説明 SonicOS 使用法

Chassis ID (シャーシ ID) TLV

1 ファイアウォールのシャーシを識別します。各ファイアウォールは一意の Chassis ID を持つ必

要があります。

SonicOS は、 Chassis ID フィール

ドにファイアウォールの MAC

アドレスを設定して送信します。 MAC アドレスは、ファイ

アウォールのシリアル番号と同じです。

Port ID (ポート ID) TLV 2 LLDPDU がどのポートから送信

されるかを識別します。ファイアウォールは、インターフェースの ifname を Port ID として使用

します。たとえば、 X1、 X2、 X3

といった Port ID になります。

Port ID サブタイプ 5 (インター

フェースの名前) が、送信ポー

トを識別するために使用されます。

Time‐to‐live (生存時間) (TTL) TLV

3 ピアからの LLDPDU 情報をどれ

くらい長く (秒単位) 受信し、有

効と見なしてローカルファイアウォールで保持するかを指定します (範囲は 0 ～ 65535)。値

は、 LLDP の Hold Time Multiplier

(ホールド時間の乗数) の倍数に

なります。 TTL 値が 0 になると、

そのデバイスに関する情報は有効ではなくなり、 SonicOS が、

そのエントリをデータベースから削除します。

内部的に計算されます。

End of LLDPDU (LLDPDU

の終了) フレームの TLV

0 LLDP イーサネットフレームにお

ける TLV の終了を示します。

オプション TLV


ポートの説明 4 英数字形式のポートの説明。ネットワークインター

フェースフィールドのコ

メントセクションに追加

された値/文字列を通知し

ます。

システム名 5 英数字形式のファイアウォールの名前。

「システム管理」ページで設定されたファイアウォール名を通知します。

システムの説明 6 システムのハードウェア種別、ソフトウェアオペレーティングシス

テム、ネットワーキングソフト

ウェアの完全な名前とバージョン識別子を英数字形式で示します。

このフィールドで「ファイアウォール」として通知されます。



23

システムの機能 7 このフィールドには、システムの主な機能を定義するビット割り当てが含まれます。次のようなインターフェースの利用モードを示します。

• L3 インターフェースは、ルータ (ビット 6) 機能と「other (その他)」ビット (ビット 1) を使用して通知されます。

• L2 インターフェースは、 MAC ブリッジ (ビット 3) 機能と「other (その他)」ビット (ビット 1) を使用して通知されます。

• Virtual wire (仮想ワイヤ) インターフェースは、リピータ (ビット 2) 機能と「other (その他)」ビット (ビット 1) を使用して通知されます。

ファイアウォールでサポートされている機能、および有効になっている機能を通知します。

管理アドレス 8 1 つ以上の IP アドレスが、次のよう

にデバイス管理に使用されます。

• 管理 (MGT) インターフェースのIP アドレス

• インターフェースのループバックアドレスを示す IPv4 またはIPv6 アドレス

• 管理アドレスフィールドには、ユーザ定義のアドレスを指定します。管理 IP アドレスを指定しない場合、既定では、送信インターフェースの MAC アドレスが指定されます。また、指定した管理アドレスのインターフェース番号が含まれます。該当する場合、指定した管理アドレスとともにハードウェアインターフェースの OID も含まれます。 1 つ以上の管理アドレスを指定すると、リストの先頭から指定した順に送信されます。大 4つの管理アドレスがサポートされています。

これはオプションパラメータの

ため、無効にしておくこともできます。

設定がある場合、インターフェースの管理 IP アドレ

スを通知します。

オプション TLV




24

LLDP オプションは、「管理 | システムセットアップ | スイッチング > L2 発見」ページで設定します。

既定では、 LLDP はグローバルで有効になっています。「LLDP」スイッチを切り替えることで、 LLDP

の送受信をグローバルで有効化または無効化できます。

LLDP プロファイルは、このページの「LLDP プロファイル」画面で作成します。 SonicOS 6.5.1.1 では、

大 20 の LLDP プロファイルをサポートしています。

「追加」をクリックすることで、 LLDP プロファイルを追加できます。また、編集するには、その

LLDP プロファイルの行で「設定」ボタンをクリックします。



25

LLDP プロファイルのフィールドの詳細を以下に示します。

• 「名前」 ‐ LLDP プロファイルに付与する任意の文字列

• 「モード」 ‐ 無効、受信のみ、送信のみ、送信と受信

• 「LLDP プロトコルパラメータ」 ‐ LLDP を送信する機器では、次のパラメータを使用します。値を

変更すると、経過時間、および各サイクルの間に送信されるフレームの数が影響を受けます。

• 「msgFastTx」 ‐ この変数は、高速送信時の送信間隔をタイマーの時間で定義します (つまり

txFast は 0 以外です)。 msgFastTx の既定値は 1 です。この値は、 1 ～ 3600 の範囲の値に変

更できます。

• 「msgTxHold」 ‐ この変数を msgTxInterval の乗数として使用し、 LLDP エージェントが送信す

る LLDP フレームに設定される txTTL 値を決定します。 msgTxHold の既定値は 4 です。こ

の値は、 1 ～ 100 の範囲の値に変更できます。

• 「msgTxInterval」 ‐ この変数は、通常の送信時の送信間隔をタイマーの時間で定義します (つ

まり txFast は 0 です)。 msgTxInterval の既定値は 30 秒です。この値は、 1 ～ 3600 の範囲

の値に変更できます。

• 「txFastInit」 ‐ この変数は、 txFast 変数の初期値として使用します。この値により、高速送

信の間に送信する LLDPDU の数を決定します。 txFastInit の既定値は 4 です。この値は、 1

～ 8 の範囲の値に変更できます。

SonicOS では 4 つの既定 LLDP プロファイルを使用できます。

• LLDP プロトコルパラメータのすべての既定値を使用する「無効のモード」

• LLDP プロトコルパラメータのすべての既定値を使用する「受信のみのモード」

• LLDP プロトコルパラメータのすべての既定値を使用する「送信のみのモード」

• LLDP プロトコルパラメータのすべての既定値を使用する「送信と受信のモード」

LLDP プロファイルを L2 発見インターフェースに関連付けるには:

1 「管理 | システムセットアップ | スイッチング > L2 発見」ページに移動します。

2 目的のインターフェースの行で「設定」ボタンをクリックします。

3 ポップアップダイアログで「LLDP プロファイル」を選択します。

4 「保存」を選択します。

次の近隣情報がインターフェースごとに表示されます。

• 「インターフェース」 ‐ 既存のインターフェース名

パラメータ小値大値既定値

msgFastTx 1 3600 1

msgTxHold 1 100 4

msgTxInterval 1 3600 30

txFastInit 1 8 4



26

• 「Chassis ID (シャーシ ID)」 ‐ ピアの MAC アドレスで表されることの多い文字列

• 「ポート ID (ポート ID)」 ‐ ポート名またはポート番号で表されることの多い文字列

• 「管理アドレス」 ‐ IP アドレスまたは MAC アドレス

• 「システム名」 ‐ ピアのデバイス名を表す文字列

• 「システムの説明」 ‐ ピアのデバイスを説明する文字列

インターフェースの「詳細」アイコンにマウスポインタを重ねると、ピアに関する次の追加情報

が、ポップアップで表示されます。

• 「MAC アドレス」 ‐ 文字列

• 「ベンダー」 ‐ メインメニューのベンダー名

• 「ポートの説明」 ‐ SonicWall ファイアウォールのインターフェース用のコメントフィールドにあ

る文字列

• 「システムの機能」 ‐ ピアデバイスでサポートされる機能のリストを表す文字列

• 「有効な機能」 ‐ ピアデバイスによって有効になっている機能のリストを表す文字列

「設定」の下にある、インターフェースの「統計」アイコンにマウスポインタを重ねると、次の

LLDP インターフェースの統計がポップアップで表示されます。

• 送信 (TX) フレーム

• 受信 (RX) フレーム

• エラー (RX) フレーム

• エラー (TX) フレーム

• 破棄 (RX) フレーム

• 識別不能 (RX) フレーム

• 近隣者の寿命超過/削除回数



27

LLDP はリンクが確立しているときにのみ機能します。リンクがダウンしている、もしくはモードが

「受信のみ」または「無効」に変更されると、 LLDP を停止する終的な LLDPDU が次の TLV とともに

送信されます。

• Chassis ID (シャーシ ID) TLV

• Port ID (ポート ID) TLV

• TTL TLV

• End of LLDPDU (LLDPDU の終了) TLV

リンクがダウンすると統計カウンタはリセットされます。

ユーザクライアント側で UI 設定情報を個別に保存するSonicOS 6.5.1.1 では、クライアント側の UI を管理者ごとに設定することで、各管理者は、自身の UI 設

定をすべてのログインで常に使用できます。これにより、他の管理者ユーザが同じブラウザを使用してログインしても、各管理者の設定が維持されます。この機能では、ユーザまたはページ全体で共有できるクライアント側データの保存または取得も可能です。

特に一般的な使用例は、後にアクセスしたページをログインした異なる管理者ごとに保存することです。

また、特定のテーブルページの表示オプションを保存することもよくある使用例です。たとえば、

「アクセスルール」ページの IP バージョン、表示種別、送信元/送信先ゾーンなどの表示オプション

を、異なる管理者ユーザごとにそれぞれ保存可能です。すべての「オブジェクト」一覧ページ、「アクセスルール」ページ、「接続ログ」ページなど、特定のテーブルページのみでこの機能が役立ち

ます。

この機能には設定は不要です。

SonicOS ウェブインターフェースレイアウトのリファクタリングSonicOS ウェブ管理インターフェースのメインページは、組み込まれた iframe を使用する flexbox、お

よび新しいブラウザのその他の機能を利用できるように更新されました。これが、 UI で実行する「グ

ローバル検索」といった新しい機能の基礎となります。 window.frames を利用する API は影響を受け

ず、以前のリリースと同様に動作します。

この機能は、次の新しいブラウザでサポートされています。

• Chrome:バージョン 45 以上

• Firefox:バージョン 38 以上

• IE:バージョン 10 以上

• Edge:すべて

• Safari:バージョン 9 以上

• Opera:バージョン 32 以上



28

キャプチャ脅威評価クライアントの強化SonicOS 6.5.1.1 では、既存のキャプチャ脅威評価に次の新しい機能が追加されています。

• SFR ファイルを電子メールで自動送信する

• キャプチャ脅威評価サーバへのオンデマンド SFR ファイルのプッシュ

• SFR ファイルのデータ内容への追加項目

• 新しい「キャプチャ脅威評価」ページの場所

この機能は、デバイスが登録され、アプリ仮想ライセンスを取得している場合にのみ利用可能です。

SFR ファイルを電子メールで自動送信するこれにより、 SonicFlow レポートファイル (SFR ファイル) を電子メールユーザアカウントに定期的に

送信することができます。 SFR ファイルは電子メールに添付されます。このファイルを MySonicWall

にアップロードし、オフラインの「キャプチャ脅威評価」ツールを使用してレポートを生成できます。このオプションは、「管理 | ログと報告 > AppFlow 設定」ページの「SFR メール設定」画面で設

定します。

この画面で、次の電子メールサーバ設定を構成します。

• 電子メールでレポートを送信する ‐ SFR の電子メール送信を有効化または無効化

• SMTP サーバのホスト名 ‐ 使用する SMTP サーバのホスト名または IP アドレス

• 電子メール送信先 ‐ SFR ファイルを受信する電子メールアカウント

• 送信元電子メール ‐ 送信者を示す電子メール名

• SMTP ポート ‐ SMTP サーバが使用する TCP ポート

• 接続セキュリティ方式 ‐ 保護された (プロトコルを選択) 電子メールを使用するかどうかを指定

• SMTP 認証を有効にする ‐ SMTP サーバが認証を要求するかどうかを指定

• SMTP ユーザ名 ‐ SMTP 認証に使用するユーザ名

• SMTP ユーザパスワード ‐ SMTP 認証に使用するパスワード

• メール送信前の POP 認証を有効にする ‐ 電子メールの送信に POP 認証が必要かどうかを指定

• POP サーバアドレス ‐ POP サーバの IP アドレス

• POP ユーザ名 ‐ POP 認証に使用するユーザ名

• POP ユーザパスワード ‐ POP 認証に使用するパスワード

上記のパラメータがまだ保存されていない状態でも、「電子メールのテスト」を選択して電子メール送信をいつでもテストすることができます。電子メール処理が成功しても失敗しても警告メッセージがポップアップ表示されます。

電子メール送信のスケジュールを設定するには、「スケジュールの編集」を選択します。「アプリケーション可視化レポート時間」スケジュールオブジェクトを編集するダイアログが表示されま

す。他のスケジュールオブジェクトと同様に、このオブジェクトも 1 回のみ、繰り返し、または混在

のスケジュール設定になるように編集できます。ただし、これはシステムが作成するオブジェクトなので削除はできません。

メモ: SOHO‐W では、そのプラットフォームの「フロー報告」における特定の制限により、帯域

幅データ情報が SFR ファイルで利用できないことがあります。



29

キャプチャ脅威評価サーバへのオンデマンド SFR ファイルのプッシュワンクリックの操作で SFR ファイルをキャプチャ脅威評価のバックエンドサイトに送信し、レポート

を生成できます。バックエンドで保存されている生成したすべてのレポートを一覧表示できるレポートテーブルがあり、レポートファイルをクリックしてダウンロードまたは削除を行えます。

SFR ファイルのデータ内容への追加項目SFR ファイルのレポート形式に次の 2 つのセクションが追加されています。

• 「キャプチャ脅威評価レポート」のグラフと図表の生成に役立つアプリケーション、帯域幅、パケット、接続、コア使用率の「リアルタイム監視履歴データ」

• 「DPI‐SSL 可視性監視統計」によるモードの統計の監視

この機能には設定オプションはありません。

新しい「キャプチャ脅威評価」ページの場所「キャプチャ脅威評価」ページは、「AppFlow 設定 > フロー報告」から、「調査 | レポート | キャプ

チャ脅威評価」の下に移動し、新しくなっています。

SPI/DPI の接続可能数の増加SonicOS 6.5.1.1 では、 NSA 2600～6600 および SuperMassive 9200～9600 プラットフォームでサポートさ

れるステートフルパケット検査 (SPI) と精密パケット検査 (DPI) の大接続数が増やされています。 SPI

または DPI の接続は、 SonicOS の「管理 | セキュリティ設定 | ファイアウォール設定 > 詳細」ページで

有効にできます。

SPI の以前の大接続数と新しい大接続数の表には、各プラットフォームで SPI を有効にしたときに

サポートされる接続数の以前の大数と新しい大数が示されています。

DPI を有効にした装置については、 DPI の以前の大接続数と新しい大接続数の表に、各プラット

フォームでサポートされる接続数の以前の大数と新しい大数が示されています。

SPI の以前の大接続数と新しい大接続数

プラットフォーム以前の大接続数新しい大接続数

NSA 2600 225,000 500,000

NSA 3600 325,000 750,000

NSA 4600 400,000 1,000,000

NSA 5600 750,000 1,500,000

NSA 6600 750,000 1,500,000

SM 9200 1,250,000 5,000,000

SM 9400 1,250,000 7,500,000

SM 9600 1,500,000 10,000,000

DPI の以前の大接続数と新しい大接続数


NSA 2600 125,000 250,000

NSA 3600 175,000 375,000



30

SonicOS 6.5.1.1 リリースの新しいハードウェアプラットフォーム (NSA 2650 を含む) における大接続

数を新しいハードウェアでの接続数に示します。

ファイアウォールの接続モード (SPI または DPI) を選択するには、以下の手順を実行します。

1 「管理 | セキュリティ設定 | ファイアウォール設定 > 詳細設定」ページに移動します。

2 「接続数」セクションで、次のいずれかのラジオボタンを選択します。

• 大 SPI 接続数 (DPI サービスの無効化) ‐ ステートフルパケット検査を有効にします。この

オプションでは、同時接続数がも多くなりますが、精密パケット検査と同等のセキュリティレベルを得ることはできません。

• 大 DPI 接続数 (DPI サービスの有効化) ‐ 精密パケット検査を有効にします。これは既定の

設定で、ほとんどの SonicWall ネットワークセキュリティ装置の配備に推奨される設定

です。

• DPI 接続 (DPI サービスの有効化と追加パフォーマンス適化) ‐ 精密パケット検査を有効に

し、ファイアウォール DPI 検査のスループットを増加させ、 DPI の総接続数を減少させ

ます。このオプションは、パフォーマンスがクリティカルな配備を意図しています。


4 ファイアウォールを再起動します。「接続数」設定を変更した場合は、変更を有効にするために再起動する必要があります。

DPI と DPI‐SSL の動的な接続数調整250,000 を超える DPI 接続をサポートする製品 (NSA 2650 以上) には、 DPI と DPI‐SSL の接続数を目的の

数に調整するオプションがあります。 DPI の接続数を 125,000 減らすごとに、使用可能な DPI‐SSL の接

続数が 750 増えます。以下に例を示します。

• DPI の接続数を 250,000 減らすと、 DPI‐SSL の接続数が 1,500 増えます。

• DPI の接続数を 500,000 減らすと、 DPI‐SSL の接続数が 3,000 増えます。

DPI の接続数を削減するように設定するには、次の手順を実行します。

1 「管理 | セキュリティ設定 | ファイアウォール設定 > 詳細」ページに移動します。

NSA 4600 200,000 500,000

NSA 5600 500,000 1,000,000

NSA 6600 500,000 1,000,000

SM 9200 1,000,000 1,500,000

SM 9400 1,000,000 1,500,000

SM 9600 1,250,000 2,000,000

新しいハードウェアでの接続数

プラットフォーム大 SPI 接続数大 DPI 接続数

NSA 2650 1,000,000 500,000

NSA 3650 2,000,000 750,000

NSA 4650 3,000,000 1,000,000

NSA 5650 4,000,000 1,500,000

DPI の以前の大接続数と新しい大接続数




31

2 NSA および SuperMassive プラットフォームでは、「接続数」の下に「動的接続サイジング」セク

ションが表示されます。

3 「DPI 接続」ドロップダウンリストを使用して、 DPI 接続数を目的の値に調整します。

DPI の接続数を 125,000 減らすごとに、 DPI‐SSL の大接続数が 750 増えます。

4 または、「DPI‐SSL 接続」ドロップダウンリストを使用して、 DPI‐SSL 接続を目的の値に調整し

ます。


拡張メモリによる DPI‐SSL 接続数の増加近の SonicOS リリースにおける拡張メモリのアーキテクチャにより、 SonicOS で 4 GB を超えるメモリ

を使用できるようになりました。 SonicOS 6.5.1.1 で、 OpenSSL データを含む DPI‐SSL データを拡張メモ

リに常駐させ、 DPI‐SSL の接続数を大幅に増加させることができます。

この機能には設定は不要です。

NSA プラットフォームでのアクティブ/アクティブクラスタリングSonicOS 6.5.1.1 では、アクティブ/アクティブクラスタリングが次のプラットフォームでサポートされ

るようになりました。

• NSA 3600

• NSA 3650

• NSA 4600

• NSA 4650

• NSA 5650

このモードでは、複数のファイアウォールがクラスタノードとしてグループを形成し、複数のアク

ティブ装置が DPI の処理やネットワーク負荷の分散を行いながらトラフィックを処理します (複数の

ゲートウェイとして動作)。

各クラスタノードは、ステートフル高可用性ペアとして動作する 2 つの装置から構成されます。アク

ティブ/アクティブクラスタリングでは、負荷分散に加えてステートフルフェイルオーバーがサポー

トされます。各クラスタノードを 1 つの装置で構成することもできます。その場合は、ステートフル

フェイルオーバーとアクティブ/アクティブ DPI は利用できません。

メモ: この設定は、「接続数」で次のいずれかのオプションを選択したときにのみ、利用可能になります。

• 大 DPI 接続数 (DPI サービスの有効化)

• DPI 接続 (DPI サービスの有効化と追加パフォーマンス適化)

メモ: 新しく追加されたプラットフォームでアクティブ/アクティブクラスタリングをサポート

されるようにするには、 NSA 5600 と NSA 6600 と同じく、 SonicOS の拡張ライセンスを購入する

必要があります。



32

SonicOSグローバル検索SonicOS 6.5.1.1 では、新しい「グローバル検索」ボタンを使用できます。グローバル検索により、管

理者は目的の機能に簡単に移動できます。検索結果には、左のナビゲーションペインでメニュー項

目となっている主なページへのリンクが含まれています。

統計データのみ検索可能です。動的データ (オブジェクト名およびポリシー詳細など) は、このリビ

ジョンでは対象外です。

SonicOS 管理インターフェースでは、ページ右上の隅に検索アイコンが表示されています。検索アイ

コンをクリックすると、スライダーテキストボックスが開きます。検索クエリをそのフィールドに

入力できます。スライダーは、 ESC キーを押下、または「>」ボタンをクリック、またはスライダー

の外部をクリックすると閉じます。

検索結果を表示するには、上矢印キーを押下、または検索フィールドの下部をクリックします。結果は、関連性によってソートされます。既定では、上位 10 件の結果のみ表示されます。それ以上の数

の結果がある場合は、「結果をさらに表示」をクリックして表示できます。

次の種別のクエリがサポートされています。

• ARP など 1 つの単語のクエリ

• Network Interface など、複数の単語のクエリ

• Network Inter* など、ワイルドカードを含むクエリ

検索クエリの文字列には大 50 文字を使用できます。英数字 (A‐Z a‐z 0‐9) および特殊文字 (. ‐_ / *) が

使用可能です。

この検索機能は、従来のまたはレガシー管理インターフェースでは利用できません。

NAT における送信元 MAC の置き換え送信パケットまたはポート転送パケットの送信元 MAC アドレスを、 NAT ポリシーで指定した MAC ア

ドレスで置き換える内部オプションが、 SonicOS 6.5.1 から追加されています。既定ではこのオプショ

ンはなく、送信インターフェースの MAC アドレスが、パケットの送信元 MAC アドレスとして使用さ

れます。

この機能は既定で無効になっており、内部設定により有効にできます。内部設定の詳細については、SonicWall テクニカルサポートにお問い合わせください。

ルールおよびオブジェクトの UUIDUUID (汎用一意識別子) は、多くのネットワークデバイスプロバイダーがさまざまな目的で使用して

いる 36 文字の文字列 (32 の英数字と 4 つのハイフン) です。

SonicOS 6.5.1.1 では、 UUID は、 SonicWall ネットワークセキュリティ装置上の一部のエンティティを

一意に識別するために実装されています。このリリースでは、 SonicOS UUID は自動的に生成され、次

の SonicOS エンティティに結び付きます。

• アドレスオブジェクト

• サービスオブジェクト

• ユーザオブジェクト

• ゾーンオブジェクト

• スケジュールオブジェクト

• アクセスルール



33

• NAT ポリシー

• ルーティングポリシー

SonicOS UUID は、システムで生成される読み取り専用の内部値で、管理者が変更することはできませ

ん。エンティティが作成されると自動的に生成されます。 UUID は、 ID よりも多くのメモリを消費す

るため、 UUID を利用できない SonicWall ファイアウォール製品もあります。 SonicOS UUID 機能が利用

可能かどうかは、製品マトリクスによって異なります。

UUID の一意性の確保はコンポーネントの組み合わせに依存します。 SonicOS の UUID には次の項目が

含まれます。

• オブジェクト種別ごとのグローバル ID (GID とも呼ばれます)

• ネットワークセキュリティ装置のネットワーク MAC アドレス

• オブジェクト種別

• バージョン

UUID がエンティティと結び付くことにより、エンティティの履歴の特定や追跡を行えます。たとえ

ば、参照先エンティティを UUID に基づいて確認できます。

• SonicOS ウェブ管理インターフェースから、 UUID の一部または全体を検索することができます。

• UUID を持つオブジェクトが他の UUID エンティティから参照されている場合、リンクをクリッ

クして参照元のエンティティにジャンプできます。

たとえば、アドレスオブジェクトが別のエンティティから参照されている場合、マウスポイ

ンタを「コメント」アイコンに重ねることで、参照先エンティティの詳細とリンクを含むポップアップを表示できます。

• SonicOS ウェブ管理インターフェースで設定オプションを追加して、 UUID 列とポリシー名を表示

することができます。ユーザに分かりやすい表記にするために、管理者が設定したアクセス

ルールと NAT ポリシーを示すユーザフレンドリな「名前」フィールドが追加されます。この名

前はオプションですが、設定する場合は一意である必要があります。

ある装置から別の装置に設定をインポートすると、インポートした設定ファイルに同じ GID がそのま

ま残るため、同じ構成状態を維持できます。ただし、 UUID を表示するときには、インポートした設

定の MAC アドレスが、現在稼働中のネットワーク装置の MAC アドレスと置き換わっています。

コンテンツページのユーザエクスペリエンスと UI の向上SonicOS 6.5.1.1 ウェブ管理インターフェースの 2 つのページが更新され、ユーザエクスペリエンスが

向上しています。

• SonicOS 6.5.0.x の「管理 | セキュリティサービス | コンテンツフィルタ」ページにある「CFS ポリ

シー」画面が、 SonicOS 6.5.1.1 では、「管理 | ポリシー | ルール > コンテンツフィルタポリ

シー」に新しいページとして移動しています。

• SonicOS 6.5.0.x の「管理 | ログと報告 | RF 監視」ページが、 SonicOS 6.5.1.1 では、「監視 | 装置の

健全性 | RF 監視」に移動しています。

WAN DDOS 防御のパフォーマンスの改良点SonicOS 6.5.1.1 では、 WAN DDOS 防御のパフォーマンスが向上するとともに、「許可リスト」をより

効率的に使用できるようになっています。以前「許可リスト」には、 LAN/DMZ インターフェースで



34

受信するパケットの送信先 IP を設定していましたが、 WAN 以外を送信元ゾーンとするパケットが

WAN インターフェースから送信される場合にのみ同リストを設定するよう変更されました。

「VPN ネゴシエーショントラフィックを常に許可する」チェックボックスが新しく追加されていま

す。これは、既定では無効になっています。有効にすると、装置が TCP 以外の DDOS 攻撃を受けてい

るときにも VPN のネゴシエーションが可能です。

WAN DDOS 防御では、 TCP 以外の DDOS 攻撃を防ぐことができます。したがって、 TCP の SYN フラッド

が懸念される場合、 SYN フラッド防御と組み合わせて使用する必要があります。この機能の目的は、

インターネットで TCP 以外のサービスを提供するよく知られたサーバ (中央の DNS サーバなど) の保護

ではなく、 LAN/DMZ 側で開始された TCP 以外のトラフィックの大部分が生じる LAN/DMZ ネットワー

クを保護することです。このネットワークでは WAN 側で開始されたトラフィックもわずかに生じる

場合があります。

WAN DDOS 防御は、「管理 | セキュリティ設定 | ファイアウォール設定 > フラッド防御」ページで設

定します。

修正された問題点このセクションでは、本リリースで修正された問題点のリストを示します。

コンテンツフィルタサービス

修正された問題点問題番号

「Starting CFS (CFS を開始しています)」というメッセージがコンソールに表示され、

SonicWall の起動が完了しない場合があります。

恒久的なキャッシュデータの復元時に CFS がエラー状態に陥ったことにより再起動す

ると発生します。

198800

DPI SSL


TSL 1.0 の 64 ビット暗号を攻撃する CVE‐2016‐2183 SWEET32 への PC スキャンが失敗します。

TSL 1.0 などの脆弱な暗号を許可している場合に発生します。

197127

ログ


ログ監視でログをフィルタできません。

検索フィールドに入力されたフィルタの文字列に大文字が含まれると発生します。

198930

ネットワーク


NSM データベースからカーネルルートがなくなっています。

この問題は、送信元の NAT が有効の場合、 VPN 再配分の問題が原因で発生する可能性が

あります。

190839



35

SSL VPN


設定した WINS サーバが NetExtender の「DNS」タブに表示されません。

NetExtender を Windows 10 クライアントで使用する場合に発生します。 WINS サーバは、

NetExtender を Windows 7 クライアントで使用する場合には表示されます。

197032

「Access‐Request」メッセージの AVP 種別 24 が 34 バイトで切り捨てられるため、サー

バが接続を拒否し、「不正なユーザ名/パスワード」のメッセージを NetExtender に送信

します。

42 バイト長のメッセージを持つ RADIUS 状態メッセージ (AVP 種別 24) を使用して接続す

る NetExtender ユーザに、内部サーバが OTP を送信する場合に発生します。

192916

スイッチング


IPv6 SSL VPN で LACP グループ内のインターフェース IP に接続できません。

「dp_stack_output:1259:Need to free this WQE!!! (この WQE を解放する

必要があります) 」というコンソールメッセージが表示されて接続に失敗します。

WAN 側の PC から IPv6 SSL VPN を使用して LACP の WAN インターフェースに、または

LAN/DMZ 側の LACP と接続しようとした場合に発生します。

194566

複数の 10G インターフェースを備えた装置で VLAN トランクポートリストの下に 10G

インターフェースが 1 個しか表示されず、 1G ポートと 10G ポートをリンク統合グルー

プ (LAG) として設定できます。

X16、 X17、 X18、および X19 がすべて 10G インターフェースの NSA 6600 で、 LAG の設定

時に、 X2 などの 1G インターフェースがトランクポートとして設定されており、 X2 と

X17 の両方で同じ VLAN ID が有効になっている場合に発生します。

194004

システム


例外的に、 REAL_tDataPlane タスクの一時的な停止により、 SonicWall 管理インターフェー

スが応答しなくなる、または再起動することがあります。

ポインタの初期化エラーによって発生します。

198865

「不正な名前またはパスワードです」のエラーメッセージが表示され、ログインでき

ません。

ユーザ名に特殊文字、 @、 /、 \ が含まれる場合に発生します。特殊文字の後続部分がす

べて破棄されます。

196858

SonicWall に再起動の問題が発生します。

不規則に発生、または SonicWall をクラウド GMS により取得するときのタスクの異常が

原因で発生することがあります。

196399

ユーザ


LDAP からユーザをインポートするときに、ユーザを場所でフィルタするためのフィー

ルドが見つかりません。

「管理 | ユーザ > ローカルユーザとグループ > ローカルユーザ」ページで LDAP から

ユーザをインポートし、インポートダイアログで「次の場所/次の場所とその配下にい

るユーザ」オプションを選択すると発生します。このオプションを選択すると LDAP 位

置を示すフィールドが表示されるはずですが、フィールドが見当たりません。

195781



36

確認されている問題点このセクションでは、本リリースで確認されている問題点のリストを示します。

脆弱性


CVE‐2018‐5280 および CVE‐2018‐5281 の脆弱性が発見されています。

LDAP の設定がクロスサイトスクリプティングに脆弱である場合に発生します。

199274

無線


ユーザ認証なしでポリシーページを設定すると、「適用」をクリックした際に、 auth

URL (認証用 URL) を提示するリダイレクトが失敗します。

無線ユーザのユーザ認証なしでポリシーページを設定する場合に発生します。

197404

API

確認されている問題点問題番号

SonicWall の管理者権限で API を使用する設定を行えません。

SonicWall の管理者権限で API を使用する設定モードに変更しようとすると発生します。

設定しようとすると、モードが設定モードに変更されず、「権限がありません」のメッセージが表示されます。

201747

先制の機能を使用できません。

既存の管理者ユーザを先制しようとすると発生します。先制を試みるユーザは非設定モードから変わらないため、設定しようとすると常に、「設定のために管理者ユーザがすでにログインしています」と表示されます。

200271

DPI‐SSH


DPI SSH で、ユーザ「オブジェクトグループ: 除外」フィールドの設定ファイルに不正

な値が送信されます。

SonicOS 管理インターフェースの「除外するオブジェクトグループ」の値を「なし」に設

定し、 GMS 設定ファイルの同項目の値に「すべて」を指定している場合に発生します。

201616



37

DPI‐SSL


SMTP over SSL で、ファイル添付とメッセージ追加の動作を遮断できません。

「SSL クライアント検査」が有効で、「DPI‐SSL/TLS クライアント」ページの「アプリケー

ションファイアウォール」オプションが選択され、ファイル添付とメッセージ追加を

遮断するアプリケーションルールポリシーが存在する状況で、ポリシーに一致する電

子メールメッセージが送信された場合に発生します。

198590

「CFS 種別基準の除外をスキップする」が正しく動作しません。

bankofamerica.com といったコモンネームを「CFS 種別基準の除外をスキップする」オプ

ションを選択して「DPI‐SSL/TLS クライアント」ページで追加し、カテゴリ「20. オンラ

インバンキング」を除外した状況で、 LAN 側 PC が bankofamerica.com にアクセスを試

み、そのアクセスが検査から除外されると発生します。

198185

「CFS 種別基準の除外/包含」で、除外が正しく動作しません。

「DPI‐SSL/TLS クライアント」ページの「SSL クライアント検査を有効にする」を選択して、

「CFS 種別基準の除外/包含」画面でカテゴリ「29. 検索エンジンとポータルサイト」を

除外している状況で、 LAN 側 PC が https://www.baidu.com にアクセスし DPI‐SSL が

引き続き実行される場合に発生します。

196892

SSL VPN


ユーザポータルから仮想アシストをダウンロードできません。

「仮想アシスト」アイコンをクリックして仮想アシストのダウンロードを試みると発生します。「このウェブサイトのアドオンの実行に失敗しました」というメッセージが表示されます。

193798

ユーザ


既定のパーティションポリシーが変更されるため、パーティションの機能が動作しま

せん。

リモートユーザパーティションポリシーを CLI から追加すると発生します。

197455

VoIP


VPN 経由で送信する初の一連の短いコールは正常に実行できますが、同じ宛先への 2

回目のコールは実行できません。 2 番目のファイアウォールに何か問題があります。

TCP 変換を選択して、 2 回目の一連の SIP/TCP/VPN コールを同じ送信先に送信すると発生

します。

202700

X シリーズスイッチ


X1052 にポートシールドを設定するとエラーが発生します。

Dell X1052 スイッチを NSA 3600 に接続している場合に発生します。 X1052 スイッチには

10 G、 1 G 全二重、 1 G 銅線のみのスロットがありますが、 NSA 3600 は X1052 のすべての

ポートを 10 G と見なします。

200619



38

システムの互換性このセクションでは、ハードウェアおよびソフトウェアの本リリースとの互換性に関する追加情報を提供します。

日本語版特有の問題点


TZ Wireless/SOHO Wireless 装置に日本語以外のファームウェアをアップロードし、工場

出荷時の設定で起動した場合、無線のチャンネル数が制限されます。

‐

「ダッシュボード > 接続監視」ページでエクスポートした CSV 形式の接続監視結果ファ

イルをエクセルで開くと、文字化けすることがあります。

エクセルが UTF‐8 エンコードの CSV ファイルを異なるエンコードで開くために発生し、

ヘッダ行 (1 行目) が文字化けします。

応急: 初にテキストエディタ等で CSV ファイルのエンコードを Shift‐JIS または BOM 付き

の UTF‐8 に変更してから、エクセルで開きます。

‐

「システム > 管理」ページから言語を切替えると、設定情報が破損することがあります。

本リリースのファームウェアは、設定を引き継いだ言語の切替をサポートしていません。日本語から英語に切替えて、その後日本語に戻しても設定情報は破損した状態になるので、言語を切替えないでご利用ください。

応急: 言語を切替えてしまった場合は、工場出荷時の設定で起動してから、必要な設定

を行ってください。

‐

「システム > 設定」ページからファームウェアをアップロードし、 "アップロードされ

たファームウェア"で起動すると、通常表示されるはずの再起動中の画面が正しく表示

されないことがあります。

インターネットエクスプローラを使用して"アップロードされたファームウェア"で起

動した場合に発生します。この問題が発生しても、機器は正しく再起動されます。

応急: インターネットエクスプローラの代わりに FireFox を使用します。

‐

「セキュリティサービス > 概要」ページが正しく表示されないことがあります。

「プロキシサーバを通してシグネチャをダウンロードする」機能を有効にした場合に発生します。この問題が発生しても、シグネチャのダウンロード機能は正しく動作します。

83453

現在使用されているファームウェアのバージョンが、本リリースのファームウェアに対して設定を引き継いだアップグレード、およびエクスポートした設定ファイルのインポートに対応している場合、工場出荷時の設定で起動してから一度も英語表示の管理画面に切替えていない状態でのみそれをサポートします。

‐

管理画面やメッセージに、英語で表示される箇所があります。



39

ワイヤレス 3G/4G ブロードバンド機器SonicOS 6.5 では、さまざまな種類の PC カード、 USB 機器、および無線サービスのプロバイダがサポート

されます。サポートされる機器の新のリストについては、以下のリンク先を参照してください。https://www.sonicwall.com/en‐us/support/knowledge‐base/170505473051240

GMS のサポートSonicOS 6.5.1.1 が稼働している SonicWall セキュリティ装置の SonicWall グローバル管理システム (GMS)

管理には、 SonicOS 6.5.1.1 の新機能を使用するファイアウォールの管理用に GMS 8.5 が必要です。

SonicWall GMS 8.4 は、 SonicOS 6.5 の以前のリリースが持つすべての機能の管理をサポートしています。

WAN 高速化/WXA のサポートSonicWall WXA シリーズの装置 (WXA 6000 ソフトウェア、 WXA 500 Live CD、 WXA 5000 仮想装置、 WXA

2000/4000 装置) では、 SonicOS 6.5 が稼働する SonicWall セキュリティ装置と共に使用することがサ

ポートされています。推奨される WXA ファームウェアのバージョンは、 WXA 1.3.2 です。

ブラウザのサポート可視化機能を備えた SonicOS は、近のほとんどのブラウザがサポートする HTML5 などの先端のブラウ

ザ技術を使用しています。 SonicWall では、 SonicOS の管理に新の Chrome、 Firefox、 Internet Explorer、

または Safari のいずれかのブラウザを使用することを推奨します。このリリースでは、以下のウェブ

ブラウザがサポートされています。

• Chrome 45 以降

• Firefox 38 以上

• IE 10 以上

• Edge、全バージョン

• Opera 32 以上

• 非 Windows マシンで動作する Safari 10 以上

メモ: Windows マシンでは、 Safari による SonicOS の管理はサポートされていません。

メモ: SonicWall 装置のシステム管理には、モバイルデバイスのブラウザは推奨されません。



40

https://www.sonicwall.com/en-us/support/knowledge-base/170505473051240

製品ライセンスSonicWall セキュリティサービスのすべての機能と利点、ファームウェアアップデート、および技術

サポートを有効にするためには、 SonicWall ネットワークセキュリティ装置を MySonicWall 上で登録す

る必要があります。 MySonicWall アカウントへのログインまたは登録は、 https://mysonicwall.com/ から

行います。

アップグレード情報新ファームウェアの取得方法、 SonicWall 装置のファームウェアイメージのアップグレード方法、

および他の装置から構成設定をインポートする方法については、サポートポータル

(https://www.sonicwall.com/ja‐jp/support/technical‐documentation) から入手できる『SonicOS 6.5 アップ

グレードガイド』を参照してください。

SonicWall のサポート有効なメンテナンス契約が付属する SonicWall 製品をご購入になったお客様や、トライアルバージョ

ンをお持ちのお客様は、テクニカルサポートを利用できます。

サポートポータルには、問題を自主的にすばやく解決するために使用できるセルフヘルプツールが

あり、 24 時間 365 日ご利用いただけます。サポートポータルにアクセスするには、

https://www.sonicwall.com/ja‐jp/support に移動します。

サポートポータルでは、次のことができます。

• ナレッジベースの記事や技術文書を閲覧する。

• ビデオチュートリアルを視聴する。

• MySonicWall にアクセスする。

• SonicWall のプロフェッショナルサービスに関して情報を得る。

• SonicWall サポートサービスおよび保証に関する情報を確認する。

• トレーニングや認定プログラムに登録する。

• テクニカルサポートやカスタマーサービスを要求する。

SonicWall サポートへの連絡方法は、 https://www.sonicwall.com/ja‐jp/support/contact‐support をご覧くだ

さい。



41

https://mysonicwall.com


https://www.sonicwall.com/ja-jp/support

https://www.sonicwall.com/ja-jp/support/contact-support

Copyright © 2018 SonicWall Inc. All rights reserved.

本製品は、米国および国際的な著作権法および知的財産法によって保護されています。 SonicWall は、 SonicWall

Inc. および/またはその関連会社の米国および/またはその他の国における商標または登録商標です。その他の商

標または登録商標は、各社の所有物です。

本文書の情報は SonicWall Inc. およびその関連会社の製品に関して提供されています。明示的、黙示的、または禁

反言などを問わず、本書または SonicWall 製品の販売に関連して、いかなる知的所有権のライセンスも供与され

ません。本製品のライセンス契約で定義される契約条件で明示的に規定される場合を除き、 SonicWall および/ま

たはその関連会社は一切の責任を負わず、商品性、特定目的への適合性、あるいは権利を侵害しないことの暗示的な保証を含む (ただしこれに限定されない)、製品に関する明示的、暗示的、または法定的な責任を放棄しま

す。いかなる場合においても、 SonicWall および/またはその関連会社が事前にこのような損害の可能性を認識し

ていた場合でも、 SonicWall および/またはその関連会社は、本文書の使用または使用できないことから生じる、

直接的、間接的、結果的、懲罰的、特殊的、または付随的な損害 (利益の損失、事業の中断、または情報の損失

を含むが、これに限定されない) について一切の責任を負わないものとします。 SonicWall および/またはその関連

会社は、本書の内容に関する正確性または完全性についていかなる表明または保証も行いません。また、事前の通知なく、いつでも仕様および製品説明を変更する権利を留保するものとします。 SonicWall Inc. および/またはそ

の関連会社は、本書に記載されている情報を更新する義務を負わないものとします。

詳細については、 https://www.sonicwall.com/ja‐jp/legal を参照してください。

SonicWall エンドユーザ製品利用規約を参照する場合は、 https://www.sonicwall.com/ja‐jp/legal/eupa に移動してく

ださい。お客様の地域に適用される EUPA を表示するには、地理的位置に応じて言語を選択してください。

終更新日: 2018 年 5 月

232‐004300‐00 Rev A

凡例

警告: 物的損害、けが、または死亡に至る可能性があることを示しています。

注意: 手順に従わないとハードウェアの破損やデータの消失が生じる恐れがあることを示してい

ます。

重要、メモ、ヒント、モバイル、またはビデオ: 補足情報があることを示しています。



42

https://www.sonicwall.com/ja-jp/legal

https://www.sonicwall.com/ja-jp/legal/eupa

sonicwall® sonicos 6.5.1software.sonicwall.com/firmware/documentation/232-004300...sonicwall...

Documents