sonicwall ssl-vpn 管理者ガイドsoftware.sonicwall.com/sslvpn/documentation/ssl-vpn...sonicwall...

COMPREHENSIVE INTERNET SECURITY™

ＳｏｎｉｃＷＡＬＬセキュリティ装置

SonicWALL SSL-VPN

管理者ガイド

ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド i

目次

本書の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

本書について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v本書の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v本書の表記について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi

ＳｏｎｉｃＷＡＬＬテクニカルサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

製品とサービスに関するお問い合わせ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

ＳｏｎｉｃＷＡＬＬ管理インターフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .viii

管理インターフェースのナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix状況バー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixテーブルのナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x管理インターフェースの共通アイコン. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xiヘルプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xiログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xi

ＳＳＬ-ＶＰＮの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

ＳＳＬ-ＶＰＮの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

暗号化の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

ＳＳＬハンドシェークプロシージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮの主要な概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4ポータルの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4レイアウトの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Ｏｎｅ－Ａｒｍアプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5ＮｅｔＥｘｔｅｎｄｅｒの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5ＤＮＳの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6ネットワークルートの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

配備のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7サポートするユーザ接続数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7リソースタイプのサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7ＳｏｎｉｃＷＡＬＬ製品との統合. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

３つのアプローチ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8ＮｅｔＥｘｔｅｎｄｅｒの概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8ファイル共有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8ネットワークリソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9リモートデスクトッププロトコル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10アプリケーションプロトコル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

基本システムエンティティの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

ブラウザ要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

ウェブ管理インターフェースの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13ウェブインターフェースのレイアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

状況環境の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15システム情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

近の警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

ii ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

イベントログの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

ログ設定の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

使用中のユーザ数の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23時刻と日付の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24ソフトウェアとシステムの使用の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25バックアップ設定ファイルのエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25設定ファイルのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26設定の保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27変更後の設定の自動保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27設定ファイルの暗号化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

証明書の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28証明書署名リクエストの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29監視の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30個別ロゴの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32診断の実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

ネットワーク設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

基本ネットワーク管理タスク. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

ネットワークインターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

ＤＮＳ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

装置のデフォルトルートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

装置の静的ルートの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

ホスト解決の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

ネットワークオブジェクトの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

ＮｅｔＥｘｔｅｎｄｅｒの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

ユーザアクセスポリシーとグループアクセスポリシーの設定 . . . . . . . . . . . . .49

アクセスポリシーの概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50新規グループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50グループの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51グループの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51グループポリシーの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

グループブックマークの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54ＬＤＡＰ認証ドメインのグループ設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56ＬＤＡＰ属性の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59ＬＤＡＰ属性情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59ＬＤＡＰユーザおよび属性の例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59ＬＤＡＰサーバの問い合わせ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設定 . . . . . . . . . . . . . . . . . . 60

ユーザの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61新規ユーザの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61ユーザの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63ユーザの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63ユーザポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64ユーザブックマークの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68ログインポリシーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

グローバル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74グローバル設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74グローバルポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75グローバルブックマークの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

アクセスポリシー階層 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイド iii

-

ポータルレイアウトとドメインの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

ポータルレイアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80ポータルレイアウト環境の表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81ポータルレイアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

認証ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

ローカルユーザデータベース認証の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

ＲＡＤＩＵＳ認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

ＮＴドメイン認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

ＬＤＡＰ認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

アクティブディレクトリ認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

アクティブディレクトリのトラブルシューティング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92ドメイン設定テーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92ドメインの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のサードパーティファイアウォール用設定 . . . . 93

ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と共に配備するための設定 . . . . . . . . . . . . . . . 93準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93方法１　ＬＡＮインターフェース上にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を配備する. . . . . . . . . . . . 94方法２　ＤＭＺインターフェース上にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を配備する . . . . . . . . . . . 96

Ｊｕｎｉｐｅｒ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

ＮｅｔｇｅａｒＦＶＳ３１８ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

ＣｈｅｃｋｐｏｉｎｔＡＩＲ５５ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮとＣｈｅｃｋＰｏｉｎｔＡＩＲ５５を連携させる . . . . . . . . . . . . . . . . . . . . 104静的ルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105ＡＲＰ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

iv ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド v

本書の使い方

本書についてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイドをご利用いただき、ありがとうございます。本書では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に合わせてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮを正常に起動、設定、管理するために必要な情報について説明します。

補足　本書の新バージョンと、その他のＳｏｎｉｃＷＡＬＬ製品、およびサービスのマニュアルについては、

〈http://www.sonicwall.com/japan/products/documentation.html〉を参照してください。

本書の構成

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイドは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮウェブ管理インターフェースの構造に従って以下の章から構成されています。

第１章、ＳＳＬ-ＶＰＮの概要

この章では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の機能と、ＳＳＬ-ＶＰＮ技術の概要について説明します。

第２章、基本システムエンティティの設定

この章では、以下のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の操作について説明します。

• システム状況情報の管理

• ＳｏｎｉｃＷＡＬＬ装置の登録

• ＳｏｎｉｃＷＡＬＬセキュリティサービスライセンスのアクティブ化と管理

• ＳｏｎｉｃＷＡＬＬ装置のローカル管理オプションとリモート管理オプションの設定

• ファームウェアバージョンとプリファレンスの管理

• 個別ロゴの設定

• 証明書のインポート

• Ｐｉｎｇ診断

第３章、ＳＳＬ-ＶＰＮネットワークの設定

この章では、ネットワーク環境に合わせたＳｏｎｉｃＷＡＬＬ装置の設定について説明します。ＳｏｎｉｃＷＡＬＬ管理インターフェースのネットワークセクションに含まれている機能は、以下のとおりです。

• インターフェース－機器のネットワークインターフェースを設定する

• ＤＮＳ－機器のホスト名、使用するＤＮＳ／ＷＩＮＳサーバを設定する

• ルート－機器のデフォルトゲートウェイや、その他の静的ルートを設定する

• ホスト解決－内部の名前解決のためのホスト名とＩＰアドレス情報を設定する

• ネットワークオブジェクト－ＨＴＴＰサービス、ＦＴＰサービス、ＲＤＰサービス、ＳＳＨサービス、ファイ

ル共有などのネットワークリソースを表す再利用可能なネットワークオブジェクトを作成する

http://www.sonicwall.com/japan/products/documentation.html

vi ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

第４章、ユーザアクセスポリシーとグループアクセスポリシーの設定

この章では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のアクセスポリシーの設定について説明します。また、ユーザ／グループ／グローバルレベルのブックマークの作成について説明します。

第５章、ポータルレイアウトとドメインの設定

この章では、ポータルレイアウトとドメインの設定について説明します。

本書の表記について

本書の表記規則は以下のとおりです。

本書で使用されているアイコン

これらの専用メッセージは、注目すべき情報があることを示すものです。すぐに見分けられるように記号が付いています。

警告　装置のパフォーマンスに影響する機能、セキュリティ機能、または発生する可能性のあるＳｏｎｉｃ

ＷＡＬＬの問題について警告する重要な情報

ヒント　ＳｏｎｉｃＷＡＬＬのセキュリティ機能と設定についての役立つ情報

補足　特に注意を必要とする機能についての重要な情報

参照　付属ガイドやその他の資料に記載されている関連情報の参照アドバイス

表記規則使い方

太字ＳｏｎｉｃＷＡＬＬ装置管理インターフェースで選択できる項目を強調表示する

斜体フィールドに入力する値を強調表示する。例えば、 "ＩＰアドレスフィールドに１９２.１６８.１６８.１６８と入力します"となる

メニュー項目＞メニュー項目複数のステップからなる管理インターフェースのメニュー選択項目を示す。例えば、セキュリティサービス＞コンテンツフィルタは、セキュリティサービスを選択してから、コンテンツフィルタを選択することを意味する

ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド vii

ＳｏｎｉｃＷＡＬＬテクニカルサポートテクニカルサポートへのご質問については、まずＳｏｎｉｃＷＡＬＬのウェブサイト〈http://www.sonicwall.com/support/support.html〉を参照してください。ウェブベースのリソースで、ほとんどの技術問題は解決することができます。解決できない場合は、ＳｏｎｉｃＷＡＬＬテクニカルサポートにお問い合わせください。

お電話でのお問い合わせ先は、以下のとおりです。

北米電話サポート

米国 / カナダ－８８８.７７７.１４７６または＋１４０８.７５２.７８１９

国際電話サポート

オーストラリア－＋１８００.３５.１６４２

オーストリア－＋４３（０）８２０.４００.１０５

ＥＭＥＡ－＋３１（０）４１１.６１７.８１０

フランス－＋３３（０）１.４９３３.７４１４

ドイツ－＋４９（０）１８０５.０８００.２２

香港－＋１.８００.９３.０９９７

インド－＋８０２６５５６８２８

イタリア－＋３９.０２.７５４１.９８０３

日本－＋８１（０）３.５４６０.５３５６

ニュージーランド－＋０８００.４４６４８９

シンガポール－＋８００.１１０.１４４１

スペイン－＋３４（０）９１３７.５３０３５

スイス－＋４１.１.３０８.３.９７７

英国－＋４４（０）１３４４.６６８.４８４

補足　テクニカルサポートの新の電話番号については、〈http://www.sonicwall.com/support/

contact.html〉を参照してください。

製品とサービスに関するお問い合わせSonicWALL 製品とサービスの詳細については、 SonicWALL 販売代理店またはゴールドパートナー〈http://www.sonicwall.com/japan/corporate_info/distributors.html〉までお問い合わせください。

http://www.sonicwall.com/support/support.html

http://www.sonicwall.com/japan/corporate_info/distributors.html

http://www.sonicwall.com/japan/corporate_info/distributors.html

http://www.sonicwall.com/support/contact.html

http://www.sonicwall.com/support/contact.html

viii ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

ＳｏｎｉｃＷＡＬＬ管理インターフェースＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のウェブベース管理インターフェースは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を設定するための使いやすいグラフィックインターフェースです。以下に、管理インターフェースの主なオブジェクトについて説明します。

ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド ix

管理インターフェースのナビゲートＳｏｎｉｃＷＡＬＬ管理インターフェースのナビゲートには、ナビゲーションバー（ブラウザウィンドウの左側）のメニューボタンの階層が含まれます。メニューボタンを選択すると、関連する管理機能がナビゲーションバーにサブメニュー項目として表示されます。

サブメニューページにナビゲートするには、リンクを選択します。メニューボタンを選択すると、初のサブメニュー項目ページが表示されます。初のサブメニューページは、メニューボタンを選択すると自動的に表示されます。例えば、ネットワークボタンを選択すると、ネットワーク＞設定ページが表示されます。

状況バー

管理インターフェースウィンドウの一番下の状況バーには、ＳｏｎｉｃＷＡＬＬ管理インターフェースで実行されたアクションの状況が表示されます。

変更の適用

ＳｏｎｉｃＷＡＬＬ管理インターフェースの右上角の適用ボタンを選択すると、そのページで行なった設定変更が保存されます。

x ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

設定が管理インターフェースの中の２次ウィンドウにある場合は、ＯＫボタンを選択します。これで、その設定はＳｏｎｉｃＷＡＬＬ装置に自動的に適用されます。

テーブルのナビゲート

エントリの数が多い管理インターフェースのテーブルをナビゲートするには、テーブル上部のナビゲーションボタンを使います。

ナビゲーションボタンには以下のものがあります。

検索フィールド

範囲リスト

検索ボタン

除外ボタン

リセットボタン

表示するページリスト

ナビゲーションボタン説明

検索範囲リストで選択した範囲に基づき、指定した設定を含むログを検索できる。範囲には、時間、優先順位、送信元、送信先、およびユーザがある。検索結果にリストされる結果の順序は、選択した範囲によって異なる

除外検索条件に一致するログ以外のログエントリを表示できる

表示するページエントリの数が多いために複数のページが表示される場合に、ページを指定してそのページのログエントリを表示することができる。ログエントリのページが 1 ページだけの場合、このオプションは表示されない

リセット検索ボタンを使ってログエントリの表示順序を変更した後、ログエントリのリストを既定の順序にリセットする

ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド xi

基準リストドロップダウンリストボックスで選択する範囲に基づいてテーブルページも検索できます。

管理インターフェースの共通アイコン

以下に、ＳｏｎｉｃＷＡＬＬ管理インターフェースで使用される共通アイコンの機能について説明します。

編集アイコンを選択すると、設定を編集するためのウィンドウが表示されます。

削除アイコンを選択すると、テーブルエントリが削除されます。

コメントアイコンの上にポインタを移動すると、コメントフィールドエントリのテキストが表示されます。

ヘルプ

各ＳｏｎｉｃＷＡＬＬ装置では、管理インターフェースからウェブベースのオンラインヘルプを利用することができます。

各ページの右上角の疑問符？ボタンを選択すると、そのページに対応する状況に応じたヘルプが表示されます。

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のオンラインヘルプにアクセスするには、インターネットとの接続が確立

されている必要があります。

ログアウト

メニューバーの一番下のログアウトボタンを選択すると、管理インターフェースセッションが終了し、ブラウザセッションが縮小されます。

xii ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

1ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

ＳＳＬ-ＶＰＮの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、リモート社員やモバイル社員のための単純、安全かつクライアント不要のリモートネットワークアクセスソリューションおよびリモートアプリケーションアクセスソリューションを実現します。クライアント不要のため、 " ファット " クライアントを事前にインストールしなくても接続を使用できます。ユーザはどこにいても、標準のウェブブラウザを通じて、会社のローカルエリアネットワーク（ＬＡＮ）上にある電子メールファイル、イントラネットサイト、アプリケーション、その他のリソースに簡単かつ安全にアクセスできます。

この章には以下のセクションが含まれています。

• 2 ページ「ＳＳＬ-ＶＰＮの概要」

• 2 ページ「暗号化の概要」

• 2 ページ「ＳＳＬハンドシェークプロシージャ」

• 3 ページ「仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ」

• 4 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮの主要な概念」

• 7 ページ「配備のガイドライン」


ＳＳＬ-ＶＰＮの概要仮想プライベートネットワーク（ＶＰＮ）を使用すると、公共のネットワークインフラストラクチャ上で安全なエンドツーエンドのプライベートネットワーク接続を確立することができ、通信費用を節減したり、組織内のユーザとサイトの間にプライベートで安全な接続を実現したりできます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置はセキュアソケットレイヤ（ＳＳＬ）ＶＰＮの機能を備えており、それを使用するための特別機能ライセンス費用も必要ないため、並列的なリモートアクセスインフラストラクチャを配備するための費用効果の高い代替法となります。

暗号化の概要暗号化とは、データに符号化またはスクランブル処理を施して、不正なユーザがデータを読み取れないようにする機能です。暗号化は、インターネット経由でプライベートな通信を行うための保護された手段です。

公開鍵暗号化（ＰＫＥ）と呼ばれる特殊な暗号化では、公開鍵と私有鍵を使用してデータを暗号化および復号化します。公開鍵暗号化では、ウェブサイトなどの当事者が公開鍵と私有鍵を生成します。保護されているウェブサーバは、ウェブサイトにアクセスするユーザに公開鍵を送信します。ユーザのウェブブラウザはこの公開鍵を使用して、対応する私有鍵によって暗号化されたデータを復号化します。さらに、ユーザのウェブブラウザはこの公開鍵を使用してデータを透過的に暗号化することができ、このデータは保護されたウェブサーバの私有鍵でのみ復号化できます。公開鍵暗号化により、ユーザはウェブサイトの身元をＳＳＬ証明書を通じて確認できます。

ＳＳＬハンドシェークプロシージャ以下の例は、ユーザとＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアを使用するＳＳＬ-ＶＰＮゲートウェイとの間にＳＳＬセッションを確立するために必要な標準的手順を示しています。

1. ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に接続しようとするときには、ユーザのウェブブラウザが装置

に対して暗号化情報（ブラウザがサポートしている暗号化の種類など）を送信します。

2. 装置はユーザに対して、自身の暗号化情報（公開暗号鍵を含んでいるＳＳＬ証明書など）を送信し

ます。

3. ウェブブラウザはそのＳＳＬ証明書が示す認証局に基づいて、ＳＳＬ証明書の正当性を確認します。

4. その後、ウェブブラウザはプリマスタ暗号化鍵を生成し、そのプリマスタ鍵をＳＳＬ証明書内の公開鍵

で暗号化し、暗号化済みのプリマスタ鍵をＳＳＬ-ＶＰＮゲートウェイに送信します。

5. ＳＳＬ-ＶＰＮゲートウェイはこのプリマスタ鍵を使用してマスタ鍵を作成し、新しいマスタ鍵をユーザの

ウェブブラウザに送信します。

6. ウェブブラウザとＳＳＬ-ＶＰＮゲートウェイは、このマスタ鍵と互いに同意した暗号化アルゴリズムを使用

して、ＳＳＬ接続を確立します。この時点で、ユーザとＳＳＬ-ＶＰＮゲートウェイは同じ暗号化鍵を使用してデータの暗号化と復号化を行うようになります。これは対称暗号化と呼ばれます。

7. ＳＳＬ接続が確立されると、ＳＳＬ-ＶＰＮゲートウェイはウェブブラウザにＳＳＬ-ＶＰＮゲートウェイログイン

ページを暗号化して送信します。

8. ユーザは自分のユーザ名、パスワード、ドメイン名を送信します。

9. ユーザのドメイン名をＲＡＤＩＵＳサーバ、ＬＤＡＰサーバ、ＮＴドメインサーバ、またはアクティブディレ

クトリサーバを通じて認証しなければならない場合は、ＳＳＬ-ＶＰＮゲートウェイはユーザの情報を適切な認証サーバに転送します。


10. 認証された場合、ユーザはＳＳＬ-ＶＰＮポータルにアクセスできるようになります。

仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬセキュアソケットレイヤベースの仮想プライベートネットワーク（ＳＳＬ-ＶＰＮ）では、安全なＳＳＬ接続を通じて、アプリケーションやプライベートなネットワークリソースにリモートからアクセスすることができます。ＳＳＬ-ＶＰＮを使用すると、モバイル社員やビジネスパートナーや顧客を会社のエクストラネットあるいはプライベートＬＡＮ上にあるファイルやアプリケーションにアクセスさせることができます。

ＳＳＬ-ＶＰＮプロトコルはクライアント不要とされていますが、一般的なＳＳＬ-ＶＰＮポータルはＳＳＬ-ＶＰＮポータルから透過的にダウンロードされるウェブコンポーネント、Ｊａｖａコンポーネント、ＡｃｔｉｖｅＸコンポーネントを組み合わせたものなので、ユーザはＶＰＮクライアントアプリケーションを手動でインストールして設定しなくてもリモートネットワークに接続できます。さらにＳＳＬ-ＶＰＮでは、ユーザがウィンドウズ、Ｕｎｉｘ、Ｌｉｎｕｘなど多様なＰＣから接続できます。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ソフトウェアは、エンドツーエンドのＳＳＬ-ＶＰＮソリューションを実現します。このソフトウェアには、ＳＳＬ-ＶＰＮユーザー、アクセスポリシー、認証方式、ネットワークリソースに関するユーザブックマーク、システム設定などを設定するためのウェブベースの管理インターフェースが含まれています。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアにより、ユーザはファイルのアクセス、更新、アップロード、ダウンロードができるほか、デスクトップマシンにインストールされている（またはアプリケーションサーバ上でホストされている）リモートアプリケーションを使用できるようになります。さらにこのプラットフォームは、安全なウェブベースのＦＴＰアクセスや、ネットワークコンピュータに似たファイル共有インターフェース、ＳＳＨおよびＴｅｌｎｅｔのエミュレーション、ＶＮＣおよびＲＤＰのサポート、ＷｅｂおよびＨＴＴＰＳのプロキシ転送をサポートしています。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのＮｅｔＥｘｔｅｎｄｅｒ機能は、社内リソースへの完全なネットワークアクセスを実現します。このＡｃｔｉｖｅＸコントロールを使用すると、エンドユーザは複雑なソフトウェアのインストールや設定をせずにリモートネットワークに接続できます。このクライアントは、リモートネットワークのあらゆる種類のデータにアクセスするための保護された手段です。


ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮの主要な概念ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を使用する際に関係してくる主要な概念を次に示します。

• 4 ページ「ポータルの概要」

• 4 ページ「レイアウトの概要」

• 4 ページ「ドメインの概要」

• 5 ページ「Ｏｎｅ－Ａｒｍアプローチ」

• 5 ページ「ＮｅｔＥｘｔｅｎｄｅｒの概要」

• 6 ページ「ＤＮＳの概要」

• 6 ページ「ネットワークルートの概要」

ポータルの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置には仮想オフィスというメカニズムがあります。これはシステムソフトウェア内のポータルであり、ここで組織の内部リソースへの一連のリンクを設定することができます（これにより、別の環境にアクセスしやすくなります）。ポータルとは、ＳＳＬ-ＶＰＮユーザが対話的に使用するインタフェースです。ＳＳＬ-ＶＰＮを通じてリモートアクセスを実現しようとするネットワークコンポーネント（たとえばＮｅｔＥｘｔｅｎｄｅｒ、ファイル共有、ネットワークリソースなど）は、ポータルを介して提供することになります。ポータルを介してユーザに提供されるコンポーネントは、ポータルのレイアウトを定義することでカスタマイズできます。ポータルをカスタマイズするには、レイアウトと呼ばれる特殊なテンプレートを使用します。ポータルの設定情報については、 82 ページ「ポータルレイアウトの設定」を参照してください。

レイアウトの概要

レイアウトとは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮセッションサイト内での環境の表示方法を設定するためのテンプレートです。レイアウトでは、サイトタイトル、ポータルタイトル、バナータイトル、バナーメッセージを設定できます。また、仮想ホスト／ドメイン名を設定したり、既定ポータルのＵＲＬを作成したりすることもできます。レイアウトの設定情報については、 82 ページ「ポータルレイアウトの設定」を参照してください。

さらに、レイアウトでは以下のことを設定できます。

• カスタマイズされたログインページを表示する

• ログインページにバナーメッセージを表示する

• キャッシュ制御のためのＨＴＴＰメタタグを有効にする

• ＡｃｔｉｖｅＸキャッシュクリーナを有効にする

• 自己署名証明書インポートのリンクを表示する

ドメインの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ環境のドメインとは、ＳＳＬ-ＶＰＮ装置のサービス下のネットワークにアクセスしようとするユーザを認証するためのメカニズムです。ドメインの種類としては、ＳＳＬ-ＶＰＮの内部にあるＬｏｃａｌＤｏｍａｉｎと、外部プラットフォームのＮＴ認証、ＬＤＡＰ、ＲＡＤＩＵＳがあります。多くの組織では、１つのドメインを使用するだけで認証機能を十分に実現できますが、大きな組織の場合は、ポータルを通じてアプリケーションにアクセスしようとするユーザの複数のノードやコレクションを扱うために、複数の分散ドメインが必要になることがあります。複数の認証ドメインを使用するポータルを通じてログインすると、たとえ


ば自宅オフィスや売店のようなリモートサイトから仕事をするときに手間がかからずに便利です。ドメインの設定情報については、 4 ページ「ドメインの概要」セクションを参照してください。

Ｏｎｅ－Ａｒｍアプローチ

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、一般的な配備方法では、付随するゲートウェイ機器（たとえばＳｏｎｉｃＷＡＬＬＰＲＯ２０４０）のＤＭＺまたはＯｐｔインターフェイス上で "ｏｎｅ－ａｒｍ" モードで連携しています。ＳＳＬ-ＶＰＮ上のプライマリインタフェース（Ｘ０）は、ゲートウェイデバイス上の使用可能なセグメントに接続されます。暗号化されたユーザセッションが、ゲートウェイを通じてＳＳＬ-ＶＰＮ装置に渡されます（ステップ１）。ＳＳＬ-ＶＰＮがセッションを復号化し、要求されたリソースを判別します。その後、このＳＳＬ-ＶＰＮセッショントラフィックがゲートウェイ装置を通過して（ステップ２）、内部ネットワークリソースに到達します。ゲートウェイを通過する際に、侵入防御、ゲートウェイアンチウィルス、アンチスパイウェア調査などのセキュリティサービスを適切に設定されたゲートウェイ装置によって適用することができます。その後、内部ネットワークリソースは要求されたコンテンツをゲートウェイ経由でＳＳＬ-ＶＰＮ装置に返します（ステップ３）。そこでコンテンツが復号化され、クライアントに返されます。

図 1 初期接続のイベントの流れ

ＮｅｔＥｘｔｅｎｄｅｒの概要

ＮｅｔＥｘｔｅｎｄｅｒは、ウィンドウズユーザのための透過的なＳＳＬ-ＶＰＮクライアントであり、透過的にダウンロードされ、会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。このクライアントは、ＡｃｔｉｖｅＸコンポーネントとネゴシエートする仮想インターフェースによって提供されるＩＰレベルのメカニズムとして動作し、ポイントツーポイントプロトコル（ＰＰＰ）アダプタインスタンスを使用します。

ＮｅｔＥｘｔｅｎｄｅｒは、このＡｃｔｉｖｅＸコンポーネントがインストールされているかどうかを調べます。ＡｃｔｉｖｅＸのダウンロードが完了すると、ＮｅｔＥｘｔｅｎｄｅｒはインストールを許可します。初にするのは、リモートネッ

1. Ｘ０インターフェースがゲートウェイ上の使用可能なセグメントに接続する。暗号化されたセッションがＳＳＬ-ＶＰＮ装置に進む。

2. ＳＳＬ -ＶＰＮトラフィックがゲートウェイを通じて内部ネットワークリソース

3. 内部ネットワークリソースがゲートウェイを通じてＳＳＬ -ＶＰＮ装置にコンテンツを返す。


トワークへのＮｅｔＥｘｔｅｎｄｅｒトンネルを作成し、そのリモートネットワークを仮想的に結合することです。これにより、ユーザがドライブのマウント、ファイルのアップロードおよびダウンロード、リソースへのアクセスといった処理をローカルネットワークと同様の感覚で行えるようになります。

ＮｅｔＥｘｔｅｎｄｅｒのウィンドウズクライアントに関する要件は次のとおりです。

• ウィンドウズ２０００プロフェッショナル、ウィンドウズＸＰホーム／プロフェッショナル、ウィンドウズ

２０００サーバ、またはウィンドウズ２００３サーバ。

• インターネットエクスプローラ５.０.１以上。スクリプトを含むＡｃｔｉｖｅＸファイルをダウンロードして実行す

るにはインターネットエクスプローラが必要です。

• ＮｅｔＥｘｔｅｎｄｅｒをインストールするには管理権限が必要です。

ＮｅｔＥｘｔｅｎｄｅｒへの接続の詳細については、『ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮユーザガイド』を参照してください。

ＤＮＳの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアのＤＮＳ設定部分を使用して、ホスト名、ＤＮＳサーバアドレス、ＷＩＮＳサーバアドレスを設定することができます。これにより、デバイスがホスト名をＩＰアドレスへと解決できるようになります。

ネットワークルートの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、データを既定で明示的な宛先（通常は付随するファイアウォールデバイスだが、デフォルトゲートウェイまたはその他のデバイスの場合もある）に送信するように設定できます。これが、その装置のデフォルトルートになります。更に、特定のホストやネットワークに対するルートを、デフォルトゲートウェイ以外に個別に設定することも可能です。


配備のガイドライン以下のセクションでは、配備のガイドラインについて詳しく説明します。

サポートするユーザ接続数

一般的な使用シナリオ（たとえば大きなファイルを連続的にダウンロードする場合など）では、パフォーマンスを適化するために、同時ユーザ接続の数を１００程度に制限することをお勧めします。これは社員数１,０００人までの組織に適した設定ですが、もっと多くの同時接続を扱うこともできます。その他に、使用するアプリケーションの複雑さや大きなファイルの共有なども、パフォーマンスに影響を与える要因になります。

リソースタイプのサポート

以下の表は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置にアクセスするさまざまな方法を詳しく示しています。

ＳｏｎｉｃＷＡＬＬ製品との統合

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置をその他のＳｏｎｉｃＷＡＬＬ製品と統合すると、ＳｏｎｉｃＷＡＬＬＰＲＯ／ＴＺシリーズ製品ラインを補完できます。着信ＨＴＴＰＳトラフィックは、ＳｏｎｉｃＷＡＬＬファイアウォール装置によってＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へとリダイレクトされます。このトラフィックはＳＳＬ-ＶＰＮ装置で復号化されてファイアウォールに返され、そこで内部ネットワークリソースに到達するための道筋が検討されます。

アクセスメカニズムアクセスタイプ

標準のウェブブラウザ • ＦＴＰおよびウィンドウズネットワークファイル共有のサポートを備えたファイ

ルおよびファイルシステム

• ウェブベースのアプリケーション

• マイクロソフトアウトルックウェブアクセスおよびその他のウェブ対応アプリ

ケーション

• ＨＴＴＰおよびＨＴＴＰＳのイントラネット

ＳｏｎｉｃＷＡＬＬＮｅｔＥｘｔｅｎｄｅｒ（ＡｃｔｉｖｅＸクライアント）

• 以下のようなあらゆるＴＣＰ／ＩＰベースのアプリケーション

• ユーザのラップトップ上のネイティブクライアントを通じた電子メールア

クセス（マイクロソフトアウトルック、ロータスノーツなど）

• 商用アプリケーションおよび自作アプリケーション

• ネットワーク管理者によって許可された柔軟なネットワークアクセス

ダウンロード可能なＡｃｔｉｖｅＸクライアントまたはＪａｖａクライアント

• リモートデスクトップまたはリモートサーバプラットフォームのリモート制御下

にある、デスクトップマシン上にインストールされたアプリケーション（またはアプリケーションサーバ上でホストされているアプリケーション）

• ターミナルサービス、ＶＮＣ、Ｔｅｌｎｅｔ、ＳＳＨ


３つのアプローチＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、保護された内部ネットワークに対するクライアント不要のＩＤベースの安全なリモートアクセスを実現します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮでは、仮想オフィス環境を使用することで、ユーザがプライベートネットワーク全体または個々のコンポーネント（ファイル共有、ウェブサーバ、ＦＴＰサーバ、リモートデスクトップなどに加え、マイクロソフトターミナルサーバ上でホストされている個々のアプリケーションまで対応可能）に対して安全なリモートアクセスを行うことができます。これらの安全なリモートアクセスは、次のコンポーネントによって実現されています。

• ＮｅｔＥｘｔｅｎｄｅｒ

• ファイル共有

• ネットワークリソース

ＮｅｔＥｘｔｅｎｄｅｒの概念

ＮｅｔＥｘｔｅｎｄｅｒにより、リモートユーザは保護された内部ネットワークに完全にアクセスできるようになります。これは、従来のＩＰＳｅｃＶＰＮクライアントで実現されていた機能と実質的に同じものですが、ＮｅｔＥｘｔｅｎｄｅｒの場合はクライアントを手動でインストールする必要がありません。その代わりに、ＮｅｔＥｘｔｅｎｄｅｒクライアントがＡｃｔｉｖｅＸコンポーネントとしてリモートユーザのＰＣに自動的にインストールされ、このＡｃｔｉｖｅＸコンポーネントが、内部ネットワーク上の許可されたホストおよびサブネットに対するＳＳＬベースの安全なポイントツーポイントアクセスを実現するための仮想アダプタをインスタンス化します。

ファイル共有

ファイル共有は、ＣＩＦＳ（ＣｏｍｍｏｎＩｎｔｅｒｎｅｔＦｉｌｅＳｙｓｔｅｍ）プロトコルまたはＳＭＢ（ＳｅｒｖｅｒＭｅｓｓａｇｅＢｌｏｃｋ）プロトコルを使用するマイクロソフトファイル共有への安全なウェブインターフェースをリモートユーザに提供します。ファイル共有では、マイクロソフトのネットワークコンピュータやマイネットワークによく似たスタイルのウェブインターフェースが採用されており、適切な権限を持つユーザがネットワーク共有を参照して、ファイルの名前変更、削除、取得、アップロードを行い、後で参照するためにブックマークを作成することができます。


ネットワークリソース

ネットワークリソースとは、ＳＳＬ-ＶＰＮを通じてアクセスできる信頼済みネットワークの、より細かいレベルのコンポーネントです。管理者がネットワークリソースを事前定義してユーザまたはグループにブックマークとして割り当てることもできますし、ユーザが自分用のネットワークリソースを定義してブックマークを作成することもできます。ネットワークリソースには以下のリモートアクセス機能が含まれています。

属性設定

ＨＴＴＰ（ウェブ）内部ネットワーク、またはＳＳＬ-ＶＰＮ装置が到達できるその他のネットワークセグメント（インターネットを含む）上のＨＴＴＰサーバに対するプロキシアクセス。リモートユーザがＨＴＴＰＳを使用してＳＳＬ-ＶＰＮ装置と通信し、ＵＲＬを要求すると、ＳＳＬ-ＶＰＮがそのＵＲＬをＨＴＴＰ経由で取得します。その後、ＵＲＬが必要に応じて変換され、復号化されてリモートユーザに返されます。

ＨＴＴＰＳ（セキュアウェブ）内部ネットワーク、またはＳＳＬ-ＶＰＮ装置が到達できるその他のネットワークセグメント（インターネットを含む）上のＨＴＴＰＳサーバに対するプロキシアクセス。

Ｔｅｌｎｅｔ（Ｊａｖａ）リモートユーザのウェブブラウザを通じて配信されるＪａｖａベースのＴｅｌｎｅｔクライアント。リモートユーザがアクセス可能なＴｅｌｎｅｔサーバのＩＰアドレスを指定すると、ＳＳＬ-ＶＰＮが目的のサーバへの接続を確立し、ネイティブなＴｅｌｎｅｔを使用して、ＳＳＬ上のユーザとサーバとの通信を代行します。

ＳＳＨ（Ｊａｖａ）リモートユーザのウェブブラウザを通じて配信されるＪａｖａベースのＳＳＨクライアント。リモートユーザがアクセス可能なＳＳＨサーバのＩＰアドレスを指定すると、ＳＳＬ-ＶＰＮが目的のサーバへの接続を確立し、ネイティブに暗号化されたＳＳＨを使用して、ＳＳＬ上のユーザとサーバとの通信を代行します。

ＦＴＰ（Ｗｅｂ）内部ネットワーク、またはＳＳＬ-ＶＰＮ装置が到達できるその他のネットワークセグメント（インターネットを含む）上のＦＴＰサーバに対するプロキシアクセス。リモートユーザがＨＴＴＰＳを使用してＳＳＬ-ＶＰＮ装置と通信し、ＵＲＬを要求すると、ＳＳＬ-ＶＰＮがそのＵＲＬをＨＴＴＰ経由で取得し、必要に応じて変換し、復号化してリモートユーザに返します。

リモートデスクトップリモートデスクトップは、内部ネットワーク上のリモートデスクトッププロトコル（ＲＤＰ）および、仮想ネットワークコンピューティング（ＶＮＣ）対応のワークステーションとサーバに対するアクセスをリモートユーザに提供し、そのコンピュータを実際に操作しているに近い環境を実現します。各種のリモートデスクトッププロトコルの詳細については、以下のセクションを参照してください。

アプリケーションアプリケーションとは、デスクトップ全体ではなく特定のアプリケーションに対するＲＤＰセッションのことを指します。これにより、管理者およびユーザがＣＲＭソフトウェアや財務会計ソフトウェアといった個別のアプリケーションへのアクセスを定義することができ、リモートユーザにデスクトップ全体のアクセス権を与えずに済みます。アプリケーションを閉じると、そのセッションも終了します。各種のアプリケーションプロトコルの詳細については、以下のセクションを参照してください。


リモートデスクトッププロトコル

近のマイクロソフトのワークステーションやサーバにはリモートアクセスを簡単に実現できるＲＤＰサーバの機能が用意されていますし、簡単に入手してインストールできる無償のＶＮＣサーバオプションもほとんどのオペレーティングシステム用に数多く公開されています。ＲＤＰクライアントやＶＮＣクライアントは、許可されたリモートユーザのウェブブラウザを通じて次のような形式で自動的に配信されます。

• ＲＤＰ４（Ｊａｖａ） - ＲＤＰ４はマイクロソフトのリモートデスクトッププロトコルの初期バージョンであり、

Ｊａｖａクライアントとして提供できるのでプラットフォーム互換性が広いという長所があります。ＲＤＰ４は、ＲＤＰ５とは異なり、全画面モードやＲＤＰセッション内の音声に対応していません。

• ＲＤＰ５（ＡｃｔｉｖｅＸ） - ＲＤＰ５はマイクロソフトが現在使用しているバージョンのリモートデスクトッププ

ロトコルであり、セッション音声や全画面モードなど豊富な機能を備えているため、ＡｃｔｉｖｅＸクライアントの形式でしか使用できません。

• ＶＮＣ（Ｊａｖａ） - ＶＮＣはもともとＡＴ＆Ｔによって開発されたものですが、今日ではオープンソース

ソフトウェアとして広く使われています。さまざまなＶＮＣサーバがありますが、どのＶＮＣサーバもほとんどのワークステーションやサーバにインストールしてリモートアクセスを実現することができます。これらのサーバに接続するためのＶＮＣクライアントは、リモートユーザのウェブブラウザを通じてＪａｖａクライアントとして配信されます。

アプリケーションプロトコル

使用できるアプリケーションプロトコルを以下に示します。

ＲＤＰ（Ｊａｖａ） - ＪａｖａベースのＲＤＰ４クライアントを使用してターミナルサーバに接続し、指定のパス（たとえばC:\programfiles\microsoft office\office11\winword.exe）にあるアプリケーションを自動的に呼び出します。

ＲＤＰ５（ＡｃｔｉｖｅＸ） - ＡｃｔｉｖｅＸベースのＲＤＰ５クライアントを使用してターミナルサーバに接続し、指定のパス（たとえば C: \ programfiles \ ethereal \ ethereal.exe）にあるアプリケーションを自動的に呼び出します。


基本システムエンティティの設定

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の設定を始める前に、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理インターフェース環境の一部であるツールを確認することをお勧めします。

この章の構成は以下のとおりです。

• 12 ページ「ブラウザ要件」

• 13 ページ「ウェブ管理インターフェースの概要」

• 15 ページ「状況環境の概要」

• 19 ページ「イベントログの概要」

• 23 ページ「使用中のユーザ数の概要」

• 25 ページ「ソフトウェアとシステムの使用の設定」

• 28 ページ「証明書の管理」


ブラウザ要件ウェブ管理インターフェースとＳＳＬ-ＶＰＮポータルでは、以下のウェブブラウザがサポートされています。Ｊａｖａは、ＳＳＬ-ＶＰＮポータルの各種機能にのみ必要であり、ウェブ管理インターフェースには必要ありません。

表 1 マイクロソフトウィンドウズの設定

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアを設定する場合、管理者は、ＪａｖａＳｃｒｉｐｔ、Ｃｏｏｋｉｅ、およびＳＳＬ対応のウェブブラウザを使う必要があります。

ＳＳＬ-ＶＰＮユーザインターフェースには、システム状況、イベントログ、およびログ設定の設定ページが含まれます。

属性設定

ブラウザ • インターネットエクスプローラ５.０.１以上、Ｍｏｚｉｌｌａ１.ｘ、またはネットス

ケープ７.０以上

• オペラ７.０以上

• ＦｉｒｅＦｏｘ１.０以上

Ｊａｖａ • ＳｕｎＪＲＥ１.３.１以上

• マイクロソフトＪＶＭ５以上

アップルマックＯＳＸ • ブラウザ：サファリ１.２以上

• Ｊａｖａ：ＳｕｎＪＲＥ１.１以上

Ｕｎｉｘ、Ｌｉｎｕｘ、またはＢＳＤブラウザ：Ｍｏｚｉｌｌａ 1.ｘまたはネットスケープ７.０以上サファリ１.２以上

• Ｊａｖａ：ＳｕｎＪＲＥ１.１以上


ウェブ管理インターフェースの概要以下は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のウェブベース管理インターフェースに接続する場合の基本セッションの概要です。管理セッションと基本セットアップタスクの詳細については、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００導入ガイドを参照してください。ＳＳＬ-ＶＰＮのウェブベース管理インターフェースにアクセスするには、以下の手順に従います。

1. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００のＬＡＮ（Ｘ０）ポートにクロスケーブルの片端を接続します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の管理に使っているコンピュータにケーブルのもう一方の端を接続します。

図 2 クロスケーブルによるＸ０ポートと管理ステーションの接続

2. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の管理に使うコンピュータの静的ＩＰアドレスが、１９２.１６８.２００.２０な

ど、１９２.１６８.２００.ｘ／２４サブネットに入るように設定します。コンピュータの静的ＩＰアドレスのセットアップについては、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００導入ガイドを参照してください。

補足　インターネットエクスプローラ５.０.１以上、ネットスケープナビゲータ４.７以上、Ｍｏｚｉｌｌａ１.７以

上、Ｆｉｒｅｆｏｘなど、ＪａｖａとＨＴＴＰのアップロードをサポートしているウェブブラウザの使用をお勧めします。

3. ウェブブラウザを開き、場所またはアドレスフィールドに〈https://192.168.200.1〉（既定のＬＡＮ管

理ＩＰアドレス）を入力します。

4. セキュリティ警告が表示されます。はいボタンを選択して次に進みます。

図 3 ＩＰアドレスのアクセス時に表示されるセキュリティ警告

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の設定では上記のブラウザの使用が認められていますが、アプリ

ケーションの全スイートを利用するためには、ＪａｖａＳｃｒｉｐｔ、Ｊａｖａ、Ｃｏｏｋｉｅ、ＳＳＬ、およびＡｃｔｉｖｅＸをサポートしているＩＥ５.０.１以上を使う必要があります。


5. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理インターフェースが表示されるので、指示に従ってユーザ名とパス

ワードを入力します。ユーザ名フィールドにａｄｍｉｎを入力し、パスワードフィールドにｐａｓｓｗｏｒｄを入力し、ドメインドロップダウンリストからＬｏｃａｌＤｏｍａｉｎを選び、ログインボタンを選択します。

図 4 ログイン画面

表示される既定のページは、システム＞状況ページです。このページの詳細については、 15 ページ「状況環境の概要」を参照してください。

補足　環境に初に表示される既定のページとして仮想オフィスポータルのホームページを入力した場合

は、ユーザ権限しかないドメインを選択したことになります。仮想オフィスポータルのホームページからは、管理者の環境にナビゲートできないことに注意してください。管理者の環境にナビゲートするには、ログインページに戻り、管理者権限が割り当てられているユーザ名とパスワードを入力し、再度ログインする必要があります。ドメインは権限に関してはユーザ名と無関係であることに注意してください。

ブラウザウィンドウの左側にあるシステム、ネットワーク、ポータル、ＮｅｔＥｘｔｅｎｄｅｒ、ユーザ、ログ、および仮想オフィスの各メニューで、管理設定を構成します。ナビゲーションオプションのいずれかを選択すると、新しいナビゲーションリンクが表示されます。ナビゲーションリンクを選択すると、対応する管理ウィンドウが表示されます。

ナビゲーションメニューのオンラインヘルプオプションには、状況に応じたオンラインヘルプが表示されます。管理情報と手順については、オンラインヘルプを参照してください。

ナビゲーションメニューの一番下にあるログアウトオプションを選択すると、管理セッションが終了し、認証ウィンドウが再表示されます。ログアウトを選択した場合は、再認証しなければシステムを管理することはできません。


ウェブインターフェースのレイアウト

以下の表に、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのウェブインターフェースのレイアウトを詳しく説明します。

表 2 ＳＳＬ-ＶＰＮ装置のウェブインターフェースのレイアウト

状況環境の概要状況環境は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ環境での作業の開始ポイントです。ここに表示される詳細情報から、ご使用のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置で何が発生しているかを把握することができます。

システム＞状況ページには、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のライセンスとＳｏｎｉｃＷＡＬＬセキュリティサービスのライセンスの管理に役立つ幅広いさまざまな情報とリンクが提供されます。ＳｏｎｉｃＷＡＬＬ装置

トップメニューメニューオプション

システム状況装置の状況を確認できる

時間時間パラメータを設定できる

設定設定のインポート、エクスポート、および保管を行える

証明書証明書のインポートまたは生成を行える

監視帯域使用、使用中のユーザ数、ＣＰＵ使用率（％）、およびメモリ使用率（％）のグラフを表示できる

診断診断のためにＰｉｎｇセッションを実行できる

再起動システムを再起動する

ネットワークインターフェース装置のインターフェースを設定できる

ＤＮＳドメイン名を解決するように装置を設定できる

ルートデフォルトルートと静的ルートを設定できる

ホスト解決ホスト名を解決できる

ネットワークオブジェクト

ＩＰアドレスをサービスにバインドするエンティティを作成できる

ポータルポータルレイアウト認証のためにユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮにリダイレクトされたときに表示する個別の待ち受けページを作成できる

ドメインアクセスポリシーを作成できる認証ドメインを作成できる

個別ロゴポータルページに組織のロゴを作成できる

ＮｅｔＥｘｔｅｎｄｅｒクライアントルートＮｅｔＥｘｔｅｎｄｅｒアプリケーションで使うクライアントルートを作成できる

クライアントアドレス

ＮｅｔＥｘｔｅｎｄｅｒアプリケーションで使うクライアントアドレスを作成できる

ユーザ状況ユーザとグループの状況を確認できる

ローカルユーザローカルユーザを設定できる

ローカルグループローカルグループを設定できる

ログ表示機器で生成済みのＳｙｓｌｏｇエントリを表示できる

設定ログ環境の設定を構成できる

仮想オフィス仮想オフィスポータルのホームページにアクセスできる

オンラインヘルプ

オンラインヘルプにアクセスできる

ログアウト装置からログアウトできる


に関する状況情報が、システムメッセージ、システム情報、ライセンスと登録、近の警告、およびネットワークインターフェースの６つのセクションに分けて表示されます。

図 5 システム＞状況ページ

システムメッセージ

ライセンスと登録

ネットワークインターフェース

システム情報最近の警告


システム情報

このセクションには、以下の情報が表示されます。

表 3 システム情報

近の警告

このセクションには、システムイベントやシステムエラーに関連するメッセージが表示されます。攻撃メッセージには、ＡＶ警告、禁止する電子メール添付ファイル、不正な証明書などが含まれます。青色の矢印を選択すると、ログ＞表示ページが表示されます。近の警告セクションのフィールドは、以下のとおりです。

• 日付／時間－メッセージが生成された日時

• ユーザ－メッセージを生成したタスクを実行しようとしたユーザの名前

• メッセージ－エラーを表す実際のメッセージ

フィールド説明

モデルＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のタイプ

シリアル番号ＳｏｎｉｃＷＡＬＬ装置のシリアル番号またはＭＡＣアドレス

認証コード〈https://www.mysonicwall.com〉の登録データベースでＳｏｎｉｃＷＡＬＬ装置を認証する場合に使う英数字コード

ファームウェアバージョンＳｏｎｉｃＷＡＬＬ装置にロードされているファームウェアバージョン

ＲＯＭバージョンＲＯＭバージョン

ＣＰＵ（使用率）直前の５分間のＣＰＵ平均使用率とＳｏｎｉｃＷＡＬＬ装置プロセッサのタイプ

搭載しているメモリ搭載しているＲＡＭとフラッシュメモリ

システム時間現在の実際の時間

アップタイム初に起動したときから現時点までのＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置がアクティブであった日数、時間数、分数、および秒数

使用中のユーザ数ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に現在ログインしているユーザの数

https://www.mysonicwall.com


ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の登録

インターネット接続を確立したら、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を登録することをお勧めします。ＳｏｎｉｃＷＡＬＬ装置の登録には、以下のようなメリットがあります。

• ＳｏｎｉｃＯＳファームウェア更新にアクセスできる

• ＳｏｎｉｃＷＡＬＬテクニカルサポートが得られる

• （ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と併用する目的で購入したＳｏｎｉｃＷＡＬＬファイアウォールがある場

合）ＳｏｎｉｃＷＡＬＬ侵入防御サービス、ＳｏｎｉｃＷＡＬＬゲートウェイアンチウィルス、コンテンツフィルタサービス、およびネットワークアンチウィルスの３０日間無料トライアルを試用できる

登録する前に

SSL-VPN を登録する際、ＤＮＳと時間が正しく設定されていることを確認します。時間の設定は、システム＞時間ページで行いす。ＤＮＳの設定は、ネットワーク＞ＤＮＳページで行います。

SSL-VPN を登録するには、ｍｙＳｏｎｉｃＷＡＬＬアカウントが必要です。新しいｍｙＳｏｎｉｃＷＡＬＬアカウントは、ＳｏｎｉｃＷＡＬＬ管理インターフェースから直接作成できます。

補足　ｍｙＳｏｎｉｃＷＡＬＬ登録情報は、売却したり、他の会社と共有したりされません。

ｍｙＳｏｎｉｃＷＡＬＬでの登録1. SSL-VPN 管理インターフェースにログインしていない場合は、ユーザ名ａｄｍｉｎと、セットアップウィ

ザードで設定した管理者パスワードを使用してログインします。

2. 管理インターフェースにシステム＞状況ページが表示されない場合は、左側にあるナビゲーションメ

ニューでシステムを選択し、次に状況を選択します。

3. 装置は、ライセンスと登録セクションに表示されるシリアル番号と認証コードを使うことによって

〈https://www.mysonicwall.com〉サイトで登録できます。ＳｏｎｉｃＷＡＬＬウェブサイトリンクを選択すると、ｍｙＳｏｎｉｃＷＡＬＬアカウントにアクセスします。装置の登録完了後に認証コードが提供されます。取得した登録コードを下記に入力してください。という見出しの下のフィールドに登録コードを入力し、更新を選択します。

図 6 ライセンスと登録

補足　ｍｙＳｏｎｉｃＷＡＬＬアカウントをお持ちでない場合は、〈https://www.mysonicwall.com〉サイトで、

アカウントを新規に作成する必要があります。




イベントログの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、失敗したログイン試行、ＮｅｔＥｘｔｅｎｄｅｒセッション、ログアウトイベントなどのシステムイベントを追跡するためのイベントログを保持します。このログは、ログ＞表示ページに表示したり、利便性やアーカイブのために電子メールアドレスに自動的に送信したりできます。

図 7 ログ＞表示ページ

ログはテーブル形式で表示され、列を基準に並べ替えることができます。ＳｏｎｉｃＷＡＬＬ装置は、成功したログインやエクスポートされた設定などのイベントを通知することができます。警告は、電子メールアドレスまたは電子メールページャのいずれかに即時に送信されます。

ログエントリには、イベントの日時、およびイベントを説明する簡単なメッセージが含まれます。ログページには、ログメッセージが、並べ替え可能で検索可能なテーブルに表示されます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置には、２５０ＫＢのログデータまたは約１,０００個のログメッセージが保管されます。ログファイルがログサイズ制限に達すると、ログは消去され、必要に応じてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者の電子メールアドレスに送信されます。

ログエントリに表示される情報は以下のとおりです。

表 4 ログページの列

列説明

時間タイムスタンプには、ログイベントの日時がＹＹ／ＭＭ／ＤＤ／ＨＨ／ＭＭ／ＳＳ（年／月／日／時間／分／秒）の形式で表示される。時間は２４時間形式で表示される。日時は、システム＞時間ページで設定されたＳＳＬ-ＶＰＮゲートウェイのローカル時間に基づく

優先順位イベントに関連付けられた重大度。重大度の有効な値は、緊急、警告、重大、エラー、警告、通告、情報、およびデバッグ

送信元送信元のＩＰアドレスは、そのログイベントを生成したユーザまたは管理者のＩＰアドレスを示す。システムエラーなど、送信元のＩＰアドレスが表示されないイベントもある


送信先送信先のＩＰアドレスは、そのイベントに関連付けられたサーバまたはサービスの名前またはＩＰアドレスを示す。例えば、ユーザがＳＳＬ-ＶＰＮポータルを介してイントラネットのウェブサイトにアクセスした場合、対応するログエントリには、アクセスしたウェブサイトのＩＰアドレスまたは完全修飾ドメイン名（ＦＱＤＮ）が表示される

ユーザメッセージが生成されたときに装置にログインしていたユーザの名前

メッセージログメッセージのテキスト

列説明


ログ設定の概要ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、ウェブベースのログ、Ｓｙｓｌｏｇ、および電子メール警告メッセージをサポートしています。また、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、イベントログファイルを消去する前にＳＳＬ-ＶＰＮ管理者の電子メールアドレスに送信するように設定することもできます。

Ｓｙｓｌｏｇは、システムアクティビティとネットワークアクティビティを記録する業界標準のログプロトコルです。Ｓｙｓｌｏｇメッセージは、ＷＥＬＦ（ＷｅｂＴｒｅｎｄｓＥｎｈａｎｃｅｄＬｏｇＦｏｒｍａｔ）で送信されるので、通常の標準的なファイアウォールやネットワークレポート製品はログファイルを受け取って解釈することができます。Ｓｙｓｌｏｇサービスは、ＵＤＰポート５１４で待機している外部のＳｙｓｌｏｇサーバにＳｙｓｌｏｇメッセージを転送します。

図 8 ログ＞設定ページ

ログと警告の設定を構成するには、以下の手順に従います。

1. イベントログの設定を始めるには、左側のナビゲーションメニューのログ＞設定にナビゲートします。

2. 主格Ｓｙｓｌｏｇサーバフィールドに、ＳｙｓｌｏｇサーバのＩＰアドレスまたは完全修飾ドメイン名（ＦＱＤＮ）

を入力します。Ｓｙｓｌｏｇログが必要ない場合は、このフィールドを空白のままにしておきます。

3. 予備用または２つ目のＳｙｓｌｏｇサーバがある場合は、そのサーバのＩＰアドレスまたはドメイン名を副

格Ｓｙｓｌｏｇサーバフィールドに入力します。

4. 電子メールでイベントログファイルを受け取るには、イベントログの電子メール送信先フィールドに完

全な電子メールアドレス（ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ）を入力します。イベントログファイルは、イベントログが消去される前に、指定された電子メールアドレスに送信されます。このフィールドを空白のままにした場合、ログファイルは電子メールで送信されません。

5. 電子メールで警告メッセージを受け取るには、警告の電子メール送信先フィールドに完全な電子メー

ルアドレス（ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ）または電子メールページャアドレスを入力します。警告イベントが発生すると、指定された電子メールアドレスに電子メールが送信されます。警告メッセージを生成するイベントのタイプを、ログ＞設定ページのログと警告の種別領域で定義します。

このフィールドを空白のままにした場合、警告メッセージは電子メールで送信されません。


6. ログファイルまたは警告メッセージを電子メールアドレスに送信するには、メールサーバフィールドに

メールサーバのＤＮＳ名またはＩＰアドレスを入力します。

このフィールドを空白のままにした場合、ログファイルと警告メッセージは電子メールで送信されません。

7. ログファイルを消去して管理者の電子メールアドレスに送信する時期をイベントログの送信フィールド

で指定します。オプション " 一杯のとき " を選択した場合、イベントログは、ログファイルが一杯になったときに電子メールアドレスに送信され、送信後に消去されます。 "１日ごと " または "１週間ごと" オプションを選択した場合、ログファイルは１日に１回または１週間に１回電子メールアドレスに送信されて削除されます。 "１日ごと " または "１週間ごと " を選択した場合は、時間前にログファイルが一杯になった場合もログファイルは消去されます。

8. ログ＞表示ページで、ログの消去ボタンを選択して、現在のイベントログを削除することができます。

イベントログは電子メールで送信されません。

9. ログ＞設定ページのログと警告の種別領域でＳｙｓｌｏｇ、イベントログ、または警告メッセージとして識

別されるログメッセージの重大度を定義します。ログのカテゴリは、重大度の高いものから低いものまで設定されています。特定のログサービスに対してカテゴリを選択すると、そのログカテゴリとそれより重大度の高いイベントがログに記録されます。

例えば、イベントログサービスに対してエラーラジオボタンを選択すると、緊急、警告、重大、およびエラーのすべてのイベントが内部のログファイルに記録されます。

10. 適用を選択して構成の設定を更新します。

ログテーブルのエントリのナビゲートと並べ替え

ログドロップダウンリストでは、多数のログイベントを簡単に閲覧できるようにページ付けがされています。これらのログイベントにナビゲートするには、以下の表で説明するファシリティを使用します。

表 5 ログテーブルのナビゲーションファシリティ

ナビゲーションボタン説明

検索範囲リストで選択した範囲に基づき、指定した設定を含むログを検索できます。範囲には、時間、優先順位、送信元、送信先、およびユーザがあります。検索結果にリストされる結果の順序は、選択した範囲のタイプによって異なります。

除外検索条件に一致したログ以外のすべてのログエントリを表示します。

表示するページエントリの数が多いために複数のページが表示される場合に、ページを指定してそのページのログエントリを表示できます。ログエントリのページが 1 ページだけの場合、このファシリティは表示されません。

リセット検索結果をリセットして、すべてのログを表示します。


使用中のユーザ数の概要ユーザ＞状況ページには、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置にログインしているアクティブなユーザ数と管理者数が表示されます。

図 9 ユーザ＞状況ページ

使用中のユーザセッションウィンドウには、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ポータルまたは管理インターフェースにログインしている現在のユーザまたは管理者が表示されます。このウィンドウの列は以下のとおりです。

表 6 アクティブなユーザの情報

エントリには、ユーザの名前、ユーザが属するグループ、ユーザのＩＰアドレス、およびユーザがログインした時間を示すタイムスタンプが表示されます。管理者は、ユーザの右側に表示されているごみ箱アイコンを選択することで、直ちにユーザセッションを終了してユーザをログアウトさせることができます。

列説明

名前ユーザのＩＤを示す文字列

グループユーザが属するグループ

ＩＰアドレスユーザがログインしているワークステーションのＩＰアドレス

ログイン時間ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置との接続を初に確立した時間が、曜日、日付、および時刻（ＨＨ：ＭＭ：ＳＳ）で表される

ログイン経過時間ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置との接続を初に確立してからの経過時間が、日数と時間数（ＨＨ：ＭＭ：ＳＳ）で表される

無動作時間ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に対してアクティブではない状態または無動作の状態だった時間

ログアウトユーザを装置からログアウトさせることができるアイコン


時刻と日付の設定

時刻と日付を設定するには、左側のナビゲーションメニューの一般を選択し、日付を選択します。時刻と日付の設定は、ログイベントのタイムスタンプやその他の内部の目的に使用されます。

時刻と日付を設定するには、以下の手順に従います。

1. タイムゾーンドロップダウンメニューで、タイムゾーンを選択します。

2. 時刻と日付の設定を手動で定義するには、希望する時刻（２４時間形式）と日付を入力します。

3. 適用を選択して設定を更新します。

図 10 システム＞時刻ページ

ＮＴＰ（ＮｅｔｗｏｒｋＴｉｍｅＰｒｏｔｏｃｏｌ）を使って装置の時刻を設定するには、以下の手順に従います。ＮＴＰに対応している場合は、ＮＴＰの時刻設定が手動の時刻設定に優先します。ＮＴＰの時刻設定は、ＮＴＰサーバと、タイムゾーンメニューで選択したタイムゾーンによって決まります。

1. ＮＴＰを使用して自動的に時刻を調整するチェックボックスを選択します。

2. 更新間隔フィールドに、時刻設定をＮＴＰサーバと同期する間隔を秒単位で入力します。間隔を定義

しないと、既定の更新間隔である６４秒が自動的に選択されます。

3. ＮＴＰサーバ１フィールドに、ＮＴＰサーバのＩＰアドレスまたは完全修飾ドメイン名（ＦＱＤＮ）を入力し

ます。

4. 冗長性がある場合は、ＮＴＰサーバ２とＮＴＰサーバ３の（オプション）フィールドに、予備のＮＴＰ

サーバアドレスを入力します。

5. 適用を選択して設定を更新します。


ソフトウェアとシステムの使用の設定

システム＞設定ページから、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の現在のシステム設定による以下のタスクを実行することができます。

• バックアップ設定ファイルのエクスポート

• 設定ファイルのインポート

• 設定の保管

• ファイル設定の暗号化

• 変更後の設定の自動保管

図 11 システム＞設定ページ

バックアップ設定ファイルのエクスポート

構成の設定をバックアップファイルに保存またはエクスポートして、この保存した設定ファイルを後でインポートすることができます。バックアップファイル名は、既定ではｓｓｌｖｐｎＳｅｔｔｉｎｇｓ.ｚｉｐです。バックアップ設定ファイルをエクスポートするには、以下の手順に従います。

1. システム＞設定ページに移動します。

2. 設定のバックアップファイルを保存するには、設定のエクスポートを選択します。

使っているブラウザが、設定ファイルを開くかどうかを尋ねます。


図 12 ファイルのダウンロードダイアログボックス

3. 保存を選択し、ＯＫを選択します。

4. 設定ファイルを保存する場所を選択します。ファイル名は、既定ではｓｓｌｖｐｎＳｅｔｔｉｎｇｓ.ｚｉｐですが、

変更できます。

5. 保存を選択して設定ファイルを保存します。

設定ファイルのインポート

構成の設定をバックアップファイルに保存し、この保存した設定ファイルから後で設定をインポートすることができます。バックアップファイル名は、既定ではｓｓｌｖｐｎＳｅｔｔｉｎｇｓ.ｚｉｐです。設定ファイルをインポートするには、以下の手順に従います。

1. システム＞設定ページに移動します。

2. 設定のインポートを選択します。設定のインポートダイアログボックスを表示します。

図 13 設定のインポートフォーム

3. 参照を選択して、インポートしたい（設定が含まれている）ファイルが置かれている場所にナビゲートし

ます。ファイルはどのような名前でも構いません。

4. アップロードを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮによって、ファイルから設定がインポートされ、装置がその設定で再構成されます。

補足　システムを再設定する準備が整っていることを確認します。ファイルをインポートすると、直ちに既

存の設定が上書きされます。

5. ファイルのインポートが終了したら、装置を再起動して変更を適用します。


設定の保存

新の設定セッションで作成した設定を保存するには、設定の保存を選択します。

変更後の設定の自動保存

システム＞設定ページから、現在の設定をフラッシュメモリに保存することができます。変更後に自動的に設定を保存するチェックボックスを選択していると、設定は自動的にフラッシュメモリのファイルに保存されます。このチェックボックスを選択しない場合は、設定をフラッシュメモリに保存するために設定の保存を選択する必要があります。

設定ファイルの暗号化

セキュリティのために、システム＞設定ページで設定ファイルを暗号化することができます。ただし、設定ファイルを暗号化すると、トラブルシューティングの目的で編集したり確認したりできなくなります。

設定ファイルを暗号化するには、設定ファイルを暗号化するチェックボックスを選択します。


証明書の管理ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮには、事前インストール済みのＳＳＬ機能対応自己署名Ｘ５０９証明書が添付されています。自己署名証明書の機能はすべて、有名な認証局（ＣＡ）から発行される証明書と同じですが、信頼できるルートストアにインポートするまでセキュリティ警告「信頼できないルートＣＡ証明書です」が発行されます。このインポート手順を実行するには、認証後にポータルで証明書のインポートボタンを選択します。

自己署名証明書の使用に代わるもう１つの方法は、証明書署名リクエスト（ＣＳＲ）を生成し、有名なＣＡに提出して有効な証明書を発行してもらうことです。有名なＣＡには、Ｖｅｒｉｓｉｇｎ〈www.verisign.com〉やＲｅｇｉｓｔｅｒＦｌｙ〈www.registerfly.com〉などがあります。

補足　この装置には、事前ロード済みの証明書が添付されています。

証明書署名リクエストの生成

ＶｅｒｉｓｉｇｎやＴｈａｗｔｅなどの幅広く認められている認証局から有効な証明書を入手するには、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の証明書署名リクエストを生成しなければなりません。証明書署名リクエストを生成するには、以下の手順に従います。

1. システム＞証明書ページに移動します。

2. ＣＳＲの生成を選択してＣＳＲと証明書鍵を生成します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮが、証明書署名リクエストの生成ダイアログボックスを表示します。

図 14 証明書署名リクエストの生成ダイアログボックス

3. ダイアログボックスのフィールドに入力し、適用を選択します。

4. すべての情報が正しく入力されると、ｃｓｒ.ｚｉｐファイルが作成されます。このｚｉｐファイルをディスクに

保存します。このファイルを認証局に提出する必要があります。

証明書と発行者情報の表示

現在ロードされているＳＳＬ証明書は、証明書テーブルにリストされます。証明書と発行者情報を表示するには、以下の手順に従います。


1. 証明書に対応する設定アイコンを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮが、発行者情報や証明書のサブジェクト情報を確認できる証明書の編集ダイアログボックスを表示します。

図 15 証明書の編集ダイアログボックス

2. 証明書の編集ダイアログボックスから、発行者情報や証明書のサブジェクト情報を確認することができ

ます。

3. 証明書の共通名を更新するには、共通名フィールドに正しいＩＰアドレスまたは文字列を入力します。

4. 適用を選択して変更を適用します。

また、期限切れの証明書や不正な証明書を削除することもできます。証明書を削除するには、テーブル上でごみ箱アイコンを選択します。

補足　ＳＳＬ証明書がアクティブな場合はごみ箱アイコンは利用できません。証明書を削除するには、別

のＳＳＬ証明書をアップロードしてアクティブにします。これで、アクティブではない証明書を削除することができます。

証明書のインポート

証明書をインポートするには、以下の手順に従います。

1. システム＞証明書ページにナビゲートします。

システム＞証明書ページから、現在ロードされている証明書を確認したり、デジタル証明書をアップロードしたり、新しいＣＳＲを生成したりできます。


図 16 システム＞証明書ページ

2. 証明書のインポートを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮが、証明書のインポートダイアログボックスを表示します。

図 17 証明書のインポートダイアログボックス

3. 参照を選択します。

4. ディスクまたはネットワークドライブ上でデジタル証明書のｚｉｐファイルを探して選択します。どのような

ファイル名でも受け入れられますが、拡張子は ".ｚｉｐ" でなければなりません。ｚｉｐファイルには、証明書ファイルｓｅｒｖｅｒ.ｃｒｔと証明書鍵ファイルｓｅｒｖｅｒ.ｋｅｙが入っています。ｚｉｐファイルにこれらの２つのファイルが入っていないと、そのｚｉｐファイルはアップロードされません。

5. アップロードを選択します。

証明書のアップロードが終了すると、その証明書はシステム＞証明書ページの証明書リストに表示されます。

補足　公認の認証局（ＣＡ）で生成された有効な証明書にはパスワードが必要です。

監視の概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置には、装置の使用と処理能力を把握するためにユーザが設定して確認できる監視ツールが用意されています。装置の監視機能を設定および確認するには、以下の手順に従います。


1. システム＞監視ページにナビゲートします。

システム＞監視ページが表示されます。

図 18 システム＞監視ページ

2. 以下の表に、４つの異なる監視グラフについて説明します。

表 7 監視グラフのタイプ

3. これらのグラフに表示される監視結果の期間を変更するには、監視期間リストから、期間オプションを

選択します。

グラフ説明

使用帯域幅（Ｋｂｐｓ）毎時間、毎日、毎週、または毎月測定した、機器が送受信する１秒あたりのデータ容量をＫｂｐｓ単位で示す

使用中のユーザ数毎時間、毎日、毎週、または毎月測定した、装置にログインしているユーザの数。この数値は、２、３、５などの整数で表される

ＣＰＵ使用率（％）毎時間、毎日、毎週、または毎月測定した、使用中の装置プロセッサにおける処理能力使用量。この数値は、ＣＰＵの全処理能力に対するパーセントで表される

メモリ使用率（％）毎時間、毎日、毎週、または毎月測定した、装置で使用された利用可能メモリの容量。この数値は、利用可能メモリの全容量に対するパーセントで表される


個別ロゴの設定

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ユーザ向けの組織ホームページの個別ロゴを設定することができます。組織の個別ロゴを作成するには、以下の手順を実行します。

1. ポータル＞個別ロゴページにナビゲートします。

図 19 ポータル＞個別ロゴページ

2. アップロードするロゴフィールドで、参照 ... を選択し、フォルダを参照してアップロードするログファイ

ルを入手します。

3. アップロードを選択します。これで、新しいロゴがユーザ向けホームページに表示されます。仮想オ

フィスを選択してそのロゴを確認します。

補足　ロゴファイルは、ＧＩＦ形式でなければ、ユーザ向けホームページにアップロードして表示できませ

ん。

診断の実行

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置からのＰｉｎｇ診断を実行することができます。実行するには、以下の手順に従います。

1. システム＞診断ページにナビゲートします。

システム＞診断ページが表示されます。


図 20 システム＞診断ページ

2. 診断ツールリストボックスで、Ｐｉｎｇオプションを選択します。

3. 対象先ＩＰアドレス／名前フィールドに、Ｐｉｎｇセッションの宛先のＩＰアドレスまたはドメイン名を入力しま

す。

4. 実行を選択します。


ネットワーク設定の構成

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の設定を始めるには、ネットワークインターフェース、ＤＮＳ設定、ルート、ホスト解決を含む、ネットワーク設定を構成する必要があります。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＩＰ設定とインターフェース設定は、ネットワーク＞インターフェースページから構成できます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の管理者は、インターフェースウィンドウから、主格（Ｘ０）インターフェースのＩＰアドレスを設定できます。また、必要に応じて、追加インターフェースを設定することもできます。

補足　ＳＳＬ-ＶＰＮインターフェースとして設定できるのは、ネットワークインターフェースＸ０のみです。イ

ンターフェースＸ０のみがＳＳＬ-ＶＰＮセッションを許可します。ウェブサーバはインターフェースＸ０でのみＳＳＬ-ＶＰＮセッションを待機するので、管理はインターフェースＸ０からしか行えません。ただし、配備シナリオによっては、インターフェースＸ１、Ｘ２、およびＸ３の使用が必要になることもあります。ターミナルサービス機器はインターフェースＸ１に接続できます。


• 36 ページ「ネットワークインターフェースの設定」

• 38 ページ「ＤＮＳ設定の構成」

• 39 ページ「装置のデフォルトルートの設定」

• 40 ページ「装置の静的ルートの設定」

• 41 ページ「ホスト解決の設定」

• 43 ページ「ネットワークオブジェクトの設定」


基本ネットワーク管理タスクネットワーク管理タスクの実行を始める前に、管理ポート番号を変更して、ＳｏｎｉｃＷＡＬＬＧＭＳネットワーク管理環境と互換性があるようにＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を設定する必要があります。これらのタスクを実行するには、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００導入ガイドを参照してください。

ネットワークインターフェースの設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のポートが同じネットワーク上のファイアウォールまたはターゲット機器と通信する場合は、インターフェースにＩＰアドレスとサブネットマスクを割り当てる必要があります。

補足　Ｘ０インターフェースが、ＳＳＬ-ＶＰＮのセッションと管理にアクティブな唯一のインターフェースで

す。

ＳＳＬ-ＶＰＮ装置でインターフェースのこれらの設定を構成するには、次の手順に従います。

補足　Ｘ０インターフェースのＩＰアドレスが変更されると、ＳＳＬ-ＶＰＮサービスは自動的に再起動されま

す。これによって既存のユーザセッションはすべて切断されるので、再接続する必要があります。

1. ネットワーク＞インターフェースページにナビゲートします。

図 21 ネットワーク＞インターフェースページ

2. 希望のインターフェースに対応する設定アイコンを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮが、インターフェースの編集ダイアログボックスを表示します。


図 22 インターフェースの編集ダイアログボックス

3. ＩＰアドレスフィールドにＩＰアドレスを入力します。

4. サブネットマスクフィールドにサブネットマスクを入力します。

5. ＯＫを選択します。


ＤＮＳ設定の構成ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置が接続して対応するＩＰアドレスからホスト名とＵＲＬ名を解決するようにドメインネームサービス（ＤＮＳ）サーバを設定することができます。これによってＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は完全修飾ドメイン名（ＦＱＤＮ）を使ってサイトに接続できるようになります。

ネットワーク＞ＤＮＳページで、ＳＳＬ-ＶＰＮ管理者は、ホスト名、ＤＮＳサーバアドレス、およびＷＩＮＳサーバアドレスを設定できます。ＷＩＮＳサーバの設定はオプションですが、ＤＮＳサーバの設定は必須です。

ＤＮＳサーバを設定するには、以下の手順に従います。

1. ネットワーク＞ＤＮＳページにナビゲートします。

図 23 ネットワーク＞ＤＮＳページ

2. ホスト名領域のＳＳＬ-ＶＰＮゲートウェイホスト名フィールドに、ＳＳＬ-ＶＰＮ装置のホスト名を入力し

ます。

3. ＤＮＳ設定領域の主格ＤＮＳサーバフィールドに、主格ＤＮＳサーバのアドレスを入力します。

4. ＤＮＳ設定領域の副格ＤＮＳサーバフィールドに、副格ＤＮＳサーバのアドレスを入力します。

5. ＤＮＳ設定領域のＤＮＳドメインフィールドに、ＤＮＳドメインのアドレスを入力します。

6. ＷＩＮＳ設定領域の主格ＷＩＮＳサーバフィールドに、主格ＷＩＮＳサーバのアドレスを入力します。

7. ＷＩＮＳ設定領域の副格ＷＩＮＳサーバフィールドに、副格ＷＩＮＳサーバのアドレスを入力します。

8. 適用を選択します。


装置のデフォルトルートの設定リモートネットワークと通信できるようにＳＳＬ-ＶＰＮ装置の既定ゲートウェイを設定する必要があります。リモートネットワークとは、装置独自のネットワークとは異なる任意のＩＰサブネットです。一般に、既定ゲートウェイは、ＳＳＬ-ＶＰＮの接続先のＳｏｎｉｃＷＡＬＬファイアウォールインターフェースのＩＰアドレスになります。これがこの装置のデフォルトルートです。

管理者は、ネットワーク＞ルートページから、既定のネットワークルートを定義したり、別の静的ルートを追加したりできます。静的ルートはオプションですが、既定のネットワークルートはインターネットアクセスに必須です。デフォルトルートや静的ルートの詳細については、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００導入ガイドを参照してください。

デフォルトルートを設定するには、以下の手順に従います。

1. ネットワーク＞ルートページにナビゲートします。

図 24 ネットワーク＞ルートページ

2. デフォルトゲートウェイフィールドに、ＳＳＬ-ＶＰＮがネットワークに接続する場合に通るファイアウォー

ルのＩＰアドレスまたはその他のゲートウェイ機器のＩＰアドレスを入力します。このアドレスが装置のデフォルトルートとして機能します。

3. インターフェースリストボックスで、ネットワークへの接続インターフェースの役割を果たすインター

フェースを選択します。一般に、このインターフェースはＸ０になります。



装置の静的ルートの設定ネットワークのトポロジーに基づき、既定のゲートウェイを通って特定のサブネットにアクセスするよりも、特定のサブネットへの静的ルートを設定することが必要になる、またはそのほうが好ましい場合があります。デフォルトルートは機器の既定ゲートウェイですが、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置が他のネットワークにもアクセスできるようにする必要がある場合は静的ルートを追加することができます。ルーティングや静的ルートの詳細については、標準的なＬｉｎｕｘの参考書を参照してください。以下に例を示します。

http://www.die.net/doc/linux/man/man8/route.8.html

装置の明示的な宛先への静的ルートを設定するには、以下の手順に従います。

1. ネットワーク＞ルートページにナビゲートします。

2. 静的ルートの追加ボタンを選択します。

静的ルートの追加ダイアログボックスが表示されます。

図 25 静的ルートの追加ダイアログボックス

3. 送信先ネットワークフィールドに、装置の静的ルートとして機能するＩＰアドレスを入力します。

4. サブネットマスクフィールドに、静的ルートアドレスの適切なサブネットマスク値を入力します。

5. デフォルトゲートウェイフィールドに、装置をネットワークに接続するルータのＩＰアドレスを入力します。

6. インターフェースリストボックスで、装置をネットワークに接続するインターフェースを選択します。

7. 追加を選択します。

http://www.die.net/doc/linux/man/man8/route.8.html


ホスト解決の設定ホスト解決ページで、ネットワーク管理者は、ホスト名または完全修飾ドメイン名（ＦＱＤＮ）をＩＰアドレスに設定つまりマップすることができます。

補足　ホスト解決エントリは、ＳＳＬ-ＶＰＮ装置自体で自動的に作成されます。削除しないでください。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、ＮｅｔＢＩＯＳクライアントとＷＩＮＳ（ＷｉｎｄｏｗｓＩｎｔｅｒｎｅｔＮａｍｉｎｇＳｅｒｖｉｃｅ）クライアントの両方として機能し、ローカルネットワークのホスト名と、対応するＭＡＣアドレスとＩＰアドレスを認識することができます。

ホスト名をＩＰアドレスに解決するには、以下の手順に従います。

1. ネットワーク＞ホスト解決ページにナビゲートします。

ネットワーク＞ホスト解決ページが表示されます。

図 26 ネットワーク＞ホスト解決ページ

2. ホスト名の追加を選択します。ホスト名の追加ダイアログボックスが表示されます。

図 27 ホスト名の追加ダイアログボックス

3. ＩＰアドレスフィールドに、ホスト名にマップするＩＰアドレスを入力します。

4. ホスト名フィールドに、指定したＩＰアドレスにマップするホスト名を入力します。

5. エイリアスフィールドに、ホスト名のエイリアスである文字列を入力します。

6. 追加を選択します。これで、

ホスト解決ページに、新しいホスト名が表示されます。


図 28 ホスト解決ページ


ネットワークオブジェクトの設定便宜上、サービスとそのサービスにマップされているＩＰアドレスの両方を含むエンティティを作成することができます。このエンティティをネットワークオブジェクトといいます。これを使えば、ポリシーを適用するときにサービスを明示的な宛先に指定することが簡単になります。サービスとＩＰアドレスの両方を指定しなくても、ネットワークオブジェクトを参照するだけで済みます。

ネットワークオブジェクトを作成するには、以下の手順に従います。

1. ネットワーク＞ネットワークオブジェクトページにナビゲートします。

ネットワーク＞ネットワークオブジェクトページが表示されます。

図 29 ネットワーク＞ネットワークオブジェクトページ

2. ネットワークオブジェクトの追加ボタンを選択します。

ネットワークオブジェクトの追加ダイアログボックスが表示されます。

図 30 ネットワークオブジェクトの追加ダイアログボックス

3. 名前フィールドに、作成するネットワークオブジェクトの名前にする文字列を入力します。

4. サービスリストを選択し、サービスのタイプを選択します。


ネットワーク＞ネットワークオブジェクトページのネットワークオブジェクトリストに、新しいネットワークオブジェクトが表示されます。

6. 作成したネットワークオブジェクトにアドレスを割り当てるには、設定アイコンを選択します。

ネットワークオブジェクトの編集ダイアログボックスが表示されます。ここでは、ネットワークオブジェクト名とそれに関連付けられているサービスが表示されることに注意してください。また、ネットワークオブジェクトにマップされた既存のアドレスを含むアドレスリストも表示されます。ネットワークオブジェクトに対して作成する新しいアドレスは、このリストに表示されます。


図 31 ネットワークオブジェクトの編集ダイアログボックス


オブジェクトアドレスの定義ダイアログボックスが表示されます。

図 32 オブジェクトアドレスの定義ダイアログボックス

8. オブジェクト種別リストを選択し、オブジェクトのタイプを選択します。

オブジェクトには次の２つのタイプがあります。

• ＩＰアドレス－明示的なＩＰアドレス .

• ＩＰネットワーク－開始アドレスとサブネットマスクの両方で定義されるＩＰアドレスの範囲

9. 選択したオブジェクトのタイプに関する適切な情報を入力します。

• オブジェクトのタイプがＩＰアドレスの場合は、ＩＰアドレスフィールドにＩＰアドレスを入力します。

• オブジェクトのタイプがネットワークアドレスの場合は、ネットワークアドレスフィールドに開始ＩＰアド

レスを入力し、サブネットマスクフィールドにサブネットマスクを入力します。


ネットワークオブジェクトの編集ダイアログボックスのアドレスリストに、ＩＰアドレスが表示されます。以下の図に例を示します。


図 33 新しいネットワーク範囲が表示されたネットワークオブジェクトの編集

11. 閉じるを選択します。


ＮｅｔＥｘｔｅｎｄｅｒの設定ＮｅｔＥｘｔｅｎｄｅｒを設定するには、以下の手順に従います。

1. ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレスページにナビゲートします。

ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレスページが表示されます。

図 34 ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレスページ

2. クライアントアドレス範囲の開始フィールドに、クライアントアドレス範囲の開始クライアントアドレスを

指定します。

3. クライアントアドレス範囲の終了フィールドに、クライアントアドレス範囲の終了クライアントアドレスを

指定します。


5. ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルートページにナビゲートします。

図 35 ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルートページ

6. クライアントルートの追加ボタンを選択します。

クライアントルートの追加ダイアログボックスが表示されます。


図 36 クライアントルートの追加ダイアログボックス

7. 送信先ネットワークフィールドに、クライアントルートとして追加する宛先のアドレスを入力します。

8. サブネットマスクフィールドに適切なサブネットマスクを入力します。



ユーザアクセスポリシーとグループアクセスポリシーの設定

この章では、ユーザとグループを定義し、そのユーザとグループのためにＳＳＬ-ＶＰＮアクセスポリシーとブックマークを設定する方法を説明します。ポリシーは、ＳＳＬ-ＶＰＮ装置で定義されているオブジェクトにさまざまなレベルでアクセスできるようにします。

この章は以下のセクションで構成されます。

• 50 ページ「アクセスポリシーの概念」

• 50 ページ「グループの設定」

• 52 ページ「グループポリシーの編集」

• 54 ページ「グループブックマークの設定」

• 56 ページ「ＬＤＡＰ認証ドメインのグループ設定」

• 60 ページ「アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設定」

• 61 ページ「ユーザの設定」

• 74 ページ「グローバル設定」

• 77 ページ「アクセスポリシー階層」


アクセスポリシーの概念アクセスポリシーは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の各種オブジェクトにさまざまなレベルでアクセスできるようにするものです。ＳＳＬ-ＶＰＮは、特定の装置に対するアクセスレベルを制御します。設定可能なアクセスレベルは、グローバル、グループ、ユーザの３レベルです。特定のＩＰアドレス、ＩＰアドレス範囲、全アドレス、またはネットワークオブジェクトに対してアクセスポリシーを作成することによって、アクセスを遮断または許可することができます。

グループの設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のローカルユーザまたはローカルグループウィンドウを表示するには、ウェブブラウザからＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置にログインします。

• ユーザを表示するには、ユーザ＞ローカルユーザページにナビゲートする

• グループを表示するには、ユーザ＞ローカルグループページにナビゲートする

ドメインを作成するとグループが自動的に作成されることに注意してください。ドメインは、ポータル＞ドメインページで作成することができます。ユーザ＞ローカルグループウィンドウからグループを直接作成することもできます。

次は、ユーザ＞ローカルグループページの例です。

図 37 ユーザ＞ローカルグループページ

新規グループの追加

ユーザ＞ローカルグループウィンドウに次の２つの既定のオブジェクトがあります。

• グローバルポリシー－組織内のすべてのノードのアクセスポリシーです。


• ＬｏｃａｌＤｏｍａｉｎ－ＬｏｃａｌＤｏｍａｉｎグループは、既定のＬｏｃａｌＤｏｍａｉｎ認証ドメインに対応して自動

的に作成されます。これは、特に指定がなかったときローカルユーザが追加される既定のグループです。

新規のグループを作成するには、以下の手順を実行します。

1. グループの追加を選択します。ローカルグループの追加ウィンドウが表示されます。

図 38 ローカルグループの追加ダイアログボックス

2. グループの記述名をグループ名フィールドに入力します。

3. 適切なドメインをドメインメニューで選択します。ドメインがグループにマッピングされます。

4. 追加を選択して設定を更新します。グループを追加すると、新規のグループはローカルユーザまたは

ローカルグループウィンドウに追加されます。

設定したすべてのグループがローカルグループウィンドウに表示されます。グループはアルファベット順で表示されます。

グループの削除

グループを削除するには、ローカルグループテーブル内の削除したいグループのごみ箱アイコンを選択します。ローカルグループウィンドウが表示され、削除されたグループが定義済みグループのリストから消えます。

補足　ユーザの追加されたグループ、および認証ドメインに対して作成された既定のグループを削除する

ことはできません。認証ドメインの既定のグループを削除するには、対応するドメインを削除します（グループを削除することはできません）。認証ドメインの既定のグループ以外については、初にグループ内のすべてのユーザを削除します。その後、グループを削除することができます。

グループの編集

グループを編集するには、ローカルグループテーブル内の編集したいグループの設定アイコンを選択します。グループ設定の編集ダイアログボックスが表示されます。


図 39 グループ設定の編集ダイアログボックス

グループ名、ドメイン名、無動作タイムアウトなどの、全般的なグループ情報が表示されます。グループ名とドメイン名フィールドは設定できません。

このグループ内のユーザの無動作タイムアウトを設定するには、次の手順を実行します。

1. 許容する無動作時間（分）を無動作タイムアウトフィールドに入力します。

2. 適用を選択して設定の変更を保存します。

無動作タイムアウトは、ユーザ、グループ、グローバルの各レベルで設定できます。タイムアウトをユーザとグループのレベルで０に設定すると、グローバルタイムアウトの設定が使われます。複数のレベルでタイムアウトを設定した場合、ユーザタイムアウトの設定がグループタイムアウトより優先され、グループタイムアウトがグローバルタイムアウトより優先されます。

大タイムアウト時間は１００，０００分を超えます。しかし、グローバル設定の編集ページでタイムアウトを０に設定すると、無動作タイムアウトは無効になります（ユーザとグループの無動作タイムアウトも０に設定した場合）。

グループポリシーの編集

グループアクセスポリシーでは、すべてのトラフィックが既定で許可されます。追加の許可および拒否ポリシーを、送信先アドレスまたはアドレス範囲か、サービス種別ごとに作成することができます。


ポリシーは限定的な方が優先されます。例えば、特定のＩＰアドレスに適用されるポリシーはＩＰアドレス範囲に適用されるポリシーよりも優先されます。特定のＩＰアドレスに適用されるポリシーが２つあるときは、特定のサービス（ＲＤＰなど）に関するポリシーがすべてのサービスに関するポリシーよりも優先されます。

補足　ユーザポリシーはすべてのグループポリシーよりも優先され、グループポリシーはすべてのグロー

バルポリシーよりも優先されます。これはポリシーの定義と関係ありません（すべてのＩＰアドレスへのアクセスを許可するユーザポリシーは、特定のＩＰアドレスへのアクセスを拒否するグループポリシーよりも優先されます）。詳細については、この章の後のセクション「アクセスポリシー階層」を参照してください。

グループアクセスポリシーを定義するには、グループ設定の編集ウィンドウのポリシータブでポリシーの追加を選択します。ポリシーの追加ダイアログボックスが表示されます。

図 40 ポリシーの追加ダイアログボックス

1. ポリシーの適用先メニューで、定義済みネットワークオブジェクト、個別ホスト、アドレス範囲、全アド

レスのどれを適用先とするかを選択します。

2. ポリシーの名前をポリシー名フィールドに指定します。

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のポリシーは、ＳＳＬ-ＶＰＮ接続の送信元アドレスではなく、送信先

アドレスに適用されます。インターネット上の特定のＩＰアドレスがポリシーエンジンを通じてＳＳＬ-ＶＰＮゲートウェイの認証を受けることを許可または阻止することはできません。この種のポリシーは、ファイアウォールルールで定義する必要があります。ユーザのログインポリシーページからＩＰアドレスで送信元のログインを制御することは可能です。

3. ポリシーの適用先メニューから、ポリシーの適用先を選択します。

• ポリシーを定義済みネットワークオブジェクトに適用する場合は、ネットワークオブジェクトを選択し

て、適用するオブジェクトを選択します。

• ポリシーを特定のホストに適用する場合は、ＩＰアドレスを選択して、ローカルホストコンピュータ

のＩＰアドレスを入力します。

• ポリシーをアドレス範囲に適用する場合は、ＩＰアドレス範囲を選択して、ＩＰネットワークアドレスと

サブネットマスクを入力します。

4. サービスの種類をサービスメニューから選択します。ポリシーの適用先がネットワークオブジェクトの場

合は、そのネットワークオブジェクト定義されたサービスが使用されます。

5. 状況メニューから許可または拒否を選択して特定のサービスまたはホストコンピュータのＳＳＬ-ＶＰＮ接

続を許可または拒否します。

6. 追加を選択して設定を更新します。設定の更新後、新しいグループポリシーがグループ設定の編集

ウィンドウに表示されます。

グループポリシーは、グループポリシーリストに優先度の高いものから順番に表示されます。


グループブックマークの設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のブックマークは、頻繁に接続するローカルエリアネットワーク上のコンピュータにＳＳＬ-ＶＰＮユーザが簡単にアクセスできるようにする仕組みです。グループブックマークは、特定のグループのすべてのメンバーに適用されます。グループブックマークを定義するには、以下の手順を実行します。

1. ユーザ＞ローカルグループウィンドウにナビゲートします。

2. ブックマークを作成したいグループの設定アイコンを選択します。

グループ設定の編集ダイアログボックスが表示されます。

図 41 グループ設定の編集ダイアログボックス

3. ブックマークタブを選択し、ブックマークの追加を選択します。

ブックマークの追加ウィンドウが表示されます。


図 42 ブックマークの追加ダイアログボックス

グループブックマークを定義すると、グループのメンバー全員がＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ポータルで定義済みのブックマークを見ることができます。グループの個々のメンバーがグループブックマークを削除または変更することはできません。グループブックマークを編集または追加するには、以下の手順を実行します。

1. ブックマークの名前となる文字列をブックマーク名フィールドに入力します。

2. グループ／ドメイン名、またはブックマープをマッピングするコンピュータのＩＰアドレスを名前またはＩＰ

アドレスフィールドに入力します。

3. サービスの種類をサービスメニューで選択します。次のいずれかのサービスをブックマークにマッピング

する場合は、ここで手順５に進みます。

• 仮想ネットワークコンピューティング（ＶＮＣ）

• ファイル転送プロトコル（ＦＴＰ）

• Ｔｅｌｎｅｔ

• セキュアシェル（ＳＳＨ）

• ウェブ（ＨＴＴＰ）

• セキュアウェブ（ＨＴＴＰＳ）

• ファイル共有（ＣＩＦＳ／ＳＭＢ）

4. ＲＤＰ５またはＲＤＰ４を選択すると、ＳＳＬ-ＶＰＮ装置のブックマークの追加ダイアログボックスに画面

サイズフィールドが表示されます。



補足　画面サイズはコンピュータによって異なるので、リモートデスクトップアプリケーションを使用するとき

は、リモートデスクトップセッションの実行元のコンピュータのサイズを選択する必要があります。また、場合によってはリモートコンピュータ上のアプリケーションのパスをアプリケーションパスフィールドで指定する必要があります。

5. 追加を選択して設定を更新します。設定の更新後、新しいグループブックマークがグループ設定の

編集ウィンドウに表示されます。

ＬＤＡＰ認証ドメインのグループ設定補足　マイクロソフトのアクティブディレクトリデータベースでは、ＬＤＡＰ組織スキーマが使われます。アク

ティブディレクトリデータベースの問い合わせにはＫｅｒｂｅｒｏｓ認証（標準の認証－ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置では " アクティブディレクトリ " ドメイン認証と呼ぶ）、ＮＴＬＭ認証（ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ではＮＴドメイン認証と呼ぶ）、またはＬＤＡＰデータベース問い合わせを使用します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置で設定されたＬＤＡＰドメインがアクティブディレクトリサーバの認証を受けることができます。

ＬＤＡＰ（ＬｉｇｈｔｗｅｉｇｈｔＤｉｒｅｃｔｏｒｙＡｃｃｅｓｓＰｒｏｔｏｃｏｌ）は、ディレクトリの問い合わせと更新のための標準です。ＬＤＡＰは多層的な階層（例えば、グループや組織単位）をサポートしているので、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、この情報を問い合わせ、ＬＤＡＰ属性に基づいて特定のポリシーまたはブックマークを提供することができます。ＬＤＡＰ属性を設定することで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置管理者は、ＬＤＡＰまたはアクティブディレクトリデータベースに既に設定されているグループを利用できるので、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置で同じグループを手動で作り直さなくて済みます。

ＬＤＡＰ認証ドメインを作成すると、既定のＬＤＡＰグループがＬＤＡＰドメインと同じ名前で作成されます。このドメインでグループを追加または削除することもできますが、既定のＬＤＡＰグループは削除できません。ＬＤＡＰ属性を作成されたユーザが仮想オフィスホームページに入ると、当該ユーザのグループに対して作成したブックマークがブックマークテーブルに表示されます。

ＬＤＡＰグループについてはＬＤＡＰ属性を定義できます。例えば、ＬＤＡＰグループのユーザはＬＤＡＰサーバで定義されている特定のグループまたは組織単位のメンバーでなければならないというような指定ができます。あるいは特定のＬＤＡＰ識別名を指定することもできます。

グループのＬＤＡＰ属性を追加して、ユーザが仮想オフィス環境に入ったとき、設定されているブックマークが表示されるようにするには、以下の手順を実行します。

1. ポータル＞ドメインページにナビゲートします。

ポータル＞ドメインページが表示されます。


図 44 ポータル＞ドメインページ

2. ドメインの追加を選択します。

ドメインの追加ダイアログボックスが表示されます。

図 45 ドメインの追加ダイアログボックス

3. 認証種別リストボックスで、ＬＤＡＰ認証オプションを選択します。

4. ドメイン名フィールドに、作成する新しいドメインの名前となる文字列を入力します。これはユーザのロ

グインページのドメインリストボックスに表示されるドメイン名です。この名前をＬＤＡＰ／アクティブディレクトリドメイン名と一致させる必要はありませんが、ユーザにとってわかりやすい名前を使用してください。実際のＬＤＡＰ／アクティブディレクトリドメイン名など、ユーザに馴染みの名前を使うことをお勧めします。

5. サーバアドレスフィールドに、認証ＬＤＡＰサーバのＩＰアドレスを入力します。

6. ＬＤＡＰＢａｓｅＤＮフィールドに、ＬＤＡＰツリーの基本識別名となる変数文字列を入力します。例え

ば、ｃｎ＝ｕｓｅｒｓ，ｄｃ＝ｍｏｏｓｉｆｅｒ，ｄｃ＝ｃｏｍ。この文字列は、引用符なしで入力しなければなりません。

7. ログインユーザ名フィールドに、ＬＤＡＰログインユーザ名を、ログインパスワードフィールドにパス

ワードを入力します。


8. ポータルレイアウト名リストボックスで、希望のレイアウトを選択します。この認証ドメインに対して表示

されるポータルです。

9. ログイン時にクライアント証明書の提示を要求する場合は、クライアントデジタル証明書を要求する

チェックボックスをオンにします。このチェックボックスをオンにすると、クライアントはクライアント証明書の提示が必要になるので、強固な相互認証が実現されます。

10. ユーザ＞ローカルグループページで、設定オプションを選択します。

グループ設定の編集ページに、ＬＤＡＰ属性のフィールドが表示されます。

図 46 グループ設定の編集ダイアログボックスのＬＤＡＰ属性フィールド

11. ＬＤＡＰ属性フィールドに適切な名前を入力します。ここでは、名前＝値という形式で一連のＬＤＡＰ

属性を追加します。ＬＤＡＰ属性の完全なリストについては、ＳｏｎｉｃＷＡＬＬＬＤＡＰ属性マニュアルを参照してください。

ｍｅｍｂｅｒＯｆ＝属性を持つ属性フィールドを入力します。これには次の一般変数種別をまとめて指定できます。

ＣＮ＝－一般名。ＤＮ＝－識別名。ＤＣ＝－既定のクラス。

ｍｅｍｂｅｒＯｆ行に変数をまとめて指定するときは、全体を引用符で囲む必要があります。変数と変数の間はカンマで区切ります。ＣＮおよびＤＣ変数を使用する場合の構文は次のようになります。

ｍｅｍｂｅｒＯｆ＝ "ＣＮ＝ <ｓｔｒｉｎｇ>，ＤＣ＝ <ｓｔｒｉｎｇ>

次は、ＣＮおよびＤＣ変数を使用した場合のＬＤＡＰ属性フィールドの入力例です。

ｍｅｍｂｅｒＯｆ＝” ＣＮ＝ＴｅｒｍｉｎａｌＳｅｒｖｅｒＣｏｍｐｕｔｅｒｓ，ＣＮ＝Ｕｓｅｒｓ，ＤＣ＝ｓｏｎｉｃｗａｌｌ，ＤＣ＝ｎｅｔ”

12. 無動作タイムアウト値を無動作タイムアウトフィールドに入力します。



ＬＤＡＰ属性の例

グループごとに高４つのＬＤＡＰ属性を入力できます。次は、アクティブディレクトリのＬＤＡＰユーザのＬＤＡＰ属性の例です。

ｎａｍｅ＝”Ａｄｍｉｎｉｓｔｒａｔｏｒ”

ｍｅｍｂｅｒＯｆ＝”ＣＮ＝ＴｅｒｍｉｎａｌＳｅｒｖｅｒＣｏｍｐｕｔｅｒｓ，ＣＮ＝Ｕｓｅｒｓ，ＤＣ＝

ｓｏｎｉｃｗａｌｌ，ＤＣ＝ｎｅｔ”

ｏｂｊｅｃｔＣｌａｓｓ＝”ｕｓｅｒ”

ｍｓＮＰＡｌｌｏｗＤｉａｌｉｎ＝”ＦＡＬＳＥ”

ＬＤＡＰ属性情報

ＬＤＡＰ属性に関して次のことに注意してください。

• グループに複数の属性が定義されている場合、ＬＤＡＰユーザはすべての属性を満たさなければなりま

せん。

• ＬＤＡＰ認証は、認証時に与えられたのと同じ資格情報を使用してＬＤＡＰツリーにバインドされます。

アクティブディレクトリに対して使用する場合、これは与えられたログイン資格情報が、ｓａｍＡｃｃｏｕｎｔＮａｍｅ（ログイン名）ではなくＣＮ（一般名）属性と一致しなければならないことを意味します。例えば、ＮＴ／アクティブディレクトリログイン名がｌｍｏｏｓｅで、フルネームがｌａｒｒｙｍｏｏｓｅの場合、ＳＳＬ-ＶＰＮにＬＤＡＰ認証を使用してログインするとき、ユーザ名としてｌａｒｒｙｍｏｏｓｅを指定します。この動作は、ＳＳＬ-ＶＰＮファームウェアの以降のリリースで変更される可能性があります。

• 属性が定義されていない場合は、ＬＤＡＰサーバによって承認されたすべてのユーザがグループのメン

バーになることができます。

• 複数のグループが定義されていて、ユーザが２つのグループのすべてのＬＤＡＰ属性を満たしている

場合、そのユーザは一番多くのＬＤＡＰ属性が定義されているグループに所属するものと見なされます。対応するＬＤＡＰグループの属性の数が等しいときは、グループのアルファベット順に所属グループが決められます。

• ＬＤＡＰユーザが、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に設定されたどのＬＤＡＰグループのＬＤＡＰ属性も

満たしていない場合、そのユーザはポータルにログインできません。つまり、ＬＤＡＰ属性機能を使用することで、管理者はＬＤＡＰグループまたは組織ごとに個別のルールを作成するだけでなく、特定のＬＤＡＰユーザだけをポータルにログインさせることもできるわけです。

ＬＤＡＰユーザおよび属性の例

ＬＤＡＰグループに手動で追加したユーザの設定はＬＤＡＰ属性よりも優先されます。

例えば、ＬＤＡＰ属性ｏｂｊｅｃｔＣｌａｓｓ＝ "Ｐｅｒｓｏｎ" がグループＧｒｏｕｐ１に対して定義され、ＬＤＡＰ属性ｍｅｍｂｅｒＯｆ＝ "ＣＮ＝ＷＩＮＳＵｓｅｒｓ，ＤＣ＝ｓｏｎｉｃｗａｌｌ，ＤＣ＝ｎｅｔがＧｒｏｕｐ２に対して定義されているものとします。

ユーザＪａｎｅがＬＤＡＰサーバでＰｅｒｓｏｎオブジェクトクラスのメンバーとして定義されていて、しかしＷＩＮＳユーザグループのメンバーではない場合、ＪａｎｅはＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＧｒｏｕｐ１のメンバーになります。

しかし、管理者が手動でユーザＪａｎｅをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＧｒｏｕｐ２に追加すると、そのＬＤＡＰ属性は無視され、ＪａｎｅはＧｒｏｕｐ２のメンバーになります。


ＬＤＡＰサーバの問い合わせ

ＬＤＡＰまたはアクティブディレクトリサーバに問い合わせてユーザのＬＤＡＰ属性を調べるには、いくつか方法があります。コンピュータにｌｄａｐｓｅａｒｃｈツールがある場合（例えば、ＯｐｅｎＬＤＡＰがインストールされたＬｉｎｕｘコンピュータでは）次のコマンドを実行します。

ｌｄａｐｓｅａｒｃｈ -ｈ１０ . ０ . ０ . ５ -ｘ -Ｄ

”ｃｎ＝ｄｅｍｏ，ｃｎ＝ｕｓｅｒｓ，ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔ” -ｗｄｅｍｏ１２３ -ｂ

”ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔ” ＞／ｔｍｐ／ｆｉｌｅ

ここで、

• １０.０.０.５は、ＬＤＡＰまたはアクティブディレクトリサーバのＩＰアドレス

• ｃｎ＝ｄｅｍｏ，ｃｎ＝ｕｓｅｒｓ，ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔは、ＬＤＡＰユーザの識別名

• ｄｅｍｏ１２３は、ユーザｄｅｍｏのパスワード

• ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔは、問い合わせ先の基本ドメイン

• ＞／ｔｍｐ／ｆｉｌｅは、オプションで、ＬＤＡＰの問い合わせの結果を保存するファイル

ウィンドウズサーバからＬＤＡＰサーバに問い合わせを行う方法については、以下を参照してください。

http://www.microsoft.com/Resources/Documentation/ windowsserv/2003/all/techref/en-us/w2k3tr_adsrh_what.asp

http://www.microsoft.com/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_adsrh_how.asp?frame=true

アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設定

ＲＡＤＩＵＳ、マイクロソフトＮＴドメイン、またはアクティブディレクトリサーバに対して（Ｋｅｒｂｅｒｏｓを使用して）認証を行う場合、ＡＡＡユーザおよびグループを個別に定義できます。これは必須でありませんが、個別のＡＡＡユーザに対してポリシーやブックマークを別々に作成できます。

ユーザのログイン時、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置はアクティブディレクトリ、ＲＡＤＩＵＳ、またはＮＴサーバを調べて、ユーザのログインが承認されているか確認します。ユーザが承認されている場合、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、ユーザがユーザおよびグループに関するＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置データベースに定義されているか確認します。ユーザが定義されていれば、ユーザのために定義されているポリシーとブックマークが適用されます。

例えば、ＲＡＤＩＵＳドメインがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に "ＭｉａｍｉＲＡＤＩＵＳサーバ " という名前で作成してある場合、 "ＭｉａｍｉＲＡＤＩＵＳサーバ " ドメインのメンバーであるユーザをグループに追加することができます。これらのユーザ名はＲＡＤＩＵＳサーバで設定した名前と一致しなければなりません。その後、ユーザがポータルにログインすると、ポリシー、ブックマーク、その他の設定がユーザに適用されます。ＡＡＡユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に存在しなければ、グローバルな設定、ポリシー、ブックマークだけがユーザに適用されます。

外部（非ローカル）ユーザに対するブックマークのサポート

仮想オフィスのブックマークシステムでは、グループとユーザの両方のレベルでブックマークを作成することができます。管理者が作成したグループとユーザの両方のブックマークは該当ユーザに伝播しますが、各ユーザは個人の専用ブックマークを作成することができます。

http://www.microsoft.com/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_adsrh_what.asp

http://www.microsoft.com/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_adsrh_what.asp




ブックマークはＳＳＬ-ＶＰＮのローカル設定ファイルに保存されるので、グループおよびユーザのブックマークを定義済みのグループおよびユーザエンティティと対応づける必要があります。ローカル（ＬｏｃａｌＤｏｍａｉｎ）のグループおよびユーザを操作するときは、管理者が装置上のグループおよびユーザを手動で定義しなければならないので、これが自動化されます。同様に、外部（非ＬｏｃａｌＤｏｍａｉｎ、例えば、ＲＡＤＩＵＳ、ＮＴ、ＬＤＡＰ）グループを操作するときは、外部ドメインの作成によって対応するローカルグループが作成されるので、この対応づけが自動化されます。

しかし、外部（非ＬｏｃａｌＤｏｍａｉｎ）のユーザを操作するときは、ユーザ作成（個人）ブックマークをＳＳＬ-ＶＰＮの設定ファイル内に保存できるように、ローカルユーザエンティティが存在していなければなりません。ブックマークをＳＳＬ-ＶＰＮ自体に保存する必要があるのは、ＬＤＡＰ、ＲＡＤＩＵＳ、およびＮＴ認証の外部ドメインが、この情報をブックマークとして保存する仕組みを提供していないからです。

個人のブックマークを使いたい外部ドメインユーザのために管理者がローカルユーザを手動で作成しなくて済むように、ＳｏｎｉｃＯＳＳＳＬ-ＶＰＮは外部ドメインユーザが個人のブックマークを作成したとき対応するローカルユーザエンティティを自動的に作成してブックマーク情報を保存できるようにします。

補足　ローカルユーザエンティティが作成されるのはユーザがブックマークを追加したときだけです。ユー

ザがブックマークを追加しなければ、ローカルユーザの自動作成は行われません。

例えば、ＲＡＤＩＵＳドメインｍｙＲＡＤＩＵＳが作成されていて、ＲＡＤＩＵＳユーザｊｄｏｅがＳＳＬ-ＶＰＮにログオンした場合、その時点でｊｄｏｅが個人のブックマークを追加すると、ｊｄｏｅというローカルユーザがＳＳＬ-ＶＰＮ装置にＥｘｔｅｒｎａｌ種別で作成され、それを管理者は他のローカルユーザと同じように扱うことができるようになります。外部ローカルユーザは、管理者が削除するまで存続します。

ユーザの設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のユーザをローカルユーザウィンドウから定義することもできます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のローカルユーザウィンドウを表示するには、左側のナビゲーションメニューのユーザオプションを選択し、ローカルユーザオプションを選択します。

補足　Ｒａｄｉｕｓ、ＬＤＡＰ、ＮＴドメイン、またはアクティブディレクトリ認証を使うように設定されたユーザ

は、外部認証サーバがユーザ名とパスワードを検証するので、パスワードを必要としません。

新規ユーザの追加

新規のユーザを作成するには、以下の手順を実行します。

1. ユーザ＞ローカルユーザページにナビゲートします。

ユーザ＞ローカルユーザページが表示されます。


図 47 ユーザ＞ローカルユーザページ

2. ユーザ＞ローカルユーザウィンドウでユーザの追加を選択します。

ローカルユーザの追加ダイアログボックスが表示されます。

図 48 ローカルユーザの追加ダイアログボックス

3. ユーザのユーザ名をユーザ名フィールドに入力します。これは、ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ

装置ポータルにログインするとき入力する名前です。

4. ユーザの所属するグループの名前をグループ／ドメインメニューで選択します。

5. ユーザのパスワードとなる文字列をパスワードフィールドに入力します。

6. パスワードの文字列をパスワードの確認フィールドにもう一度入力してパスワードを確認します。

補足　ユーザ名とパスワードは、どちらも大文字と小文字が区別されます。

7. ユーザ種別リストボックスで、ユーザ種別オプションとしてユーザまたは管理者のどちらかを選択しま

す。

選択したグループのドメインでアクティブディレクトリ、ＲＡＤＩＵＳ、ＮＴドメイン、ＬＤＡＰなどの外部認証が使われている場合は、ユーザの追加ウィンドウが閉じ、新しいユーザがローカルユーザリストに追加されます。

8. 追加を選択して設定を更新します。ユーザを追加すると、新しいユーザがローカルユーザウィンドウ

に追加されます。

補足　ＲＡＤＩＵＳ、ＬＤＡＰ、ＮＴおよびアクティブディレクトリのユーザ名の入力が必要になるのは、ユー

ザごとに個別にポリシーやブックマークを定義する場合だけです。ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置


で定義されていなければ、グローバルなポリシーとブックマークが、外部認証サーバに対するユーザ認証に適用されます。外部（非ＬｏｃａｌＤｏｍａｉｎ）のユーザを操作するときは、ユーザ作成（個人）ブックマークをＳＳＬ-ＶＰＮの設定ファイルに保存できるように、ローカルユーザエンティティが存在していなければなりません。ブックマークをＳＳＬ-ＶＰＮ自体に保存する必要があるのは、ＬＤＡＰ、ＲＡＤＩＵＳ、およびＮＴ認証の外部ドメインが、この情報をブックマークとして保存する仕組みを提供していないからです。個人のブックマークを使いたい外部ドメインユーザのために管理者がローカルユーザを手動で作成しなくて済むように、ＳｏｎｉｃＯＳＳＳＬ-ＶＰＮは外部ドメインユーザが個人のブックマークを作成したとき対応するローカルユーザエンティティを自動的に作成してブックマーク情報を保存できるようにします。

ユーザの削除

ユーザを削除するには、削除したいユーザのごみ箱アイコンを選択します。削除されたユーザはローカルユーザウィンドウから消えます。

ユーザの編集

ユーザの属性を編集できる場所にナビゲートするには、以下の手順を実行します。

1. ユーザ＞ローカルユーザウィンドウにナビゲートします。

2. ローカルユーザリスト内のユーザエントリの設定アイコンを選択します。

ユーザ設定の編集ウィンドウが表示されます。ユーザ設定の編集リストにユーザ名、グループ名、ドメイン名が表示されます。これらのフィールドは設定できません。これらのフィールドの情報を変更する必要がある場合は、ユーザの削除を選択してユーザを削除してから正しい情報でユーザを作り直します。

図 49 ユーザ設定の編集ウィンドウ


ユーザ設定の編集ウィンドウには、次の表に示すとおり、４つのタブがあります。

ユーザが外部認証サーバの認証を受ける場合、ユーザ種別とパスワードフィールドは表示されません。パスワードフィールドを設定できないのは、認証サーバがパスワードを検証するからです。ユーザ種別を設定できないのは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置以外では、ユーザが内部ユーザデータベースの認証を受けて管理者権限を持つことはできないからです。また、ユーザ種別Ｅｘｔｅｒｎａｌは、外部認証ユーザに対応して自動的に作成されるローカルユーザインスタンスを識別するために使用されます。

ユーザのパスワードと無動作タイムアウトの変更

ローカルドメインのユーザの場合はユーザのパスワードと無動作タイムアウト値を変更できます。パスワードを変更するには次のようにします。

1. 新しいユーザパスワードをパスワードフィールドに入力します。

2. ＯＫを選択して設定を更新します。

無動作タイムアウトを変更するには次のようにします。

1. 許容する無動作時間（分）を無動作タイムアウトフィールドに入力します。

2. ＯＫを選択して設定の変更を保存します。

ユーザポリシーの編集

ユーザのアクセスポリシーを編集するには、以下の手順を実行します。

1. ポリシータブを選択します。

ユーザ設定の編集－ポリシータブが表示されます。

タブ説明

一般パスワードと、装置の無動作タイムアウトを設定する。既定のタブ

ポリシー装置のセッションからリソースにアクセスするときのアクセスポリシーを作成する

ブックマークサービスに簡単にアクセスするためのブックマークをユーザレベルで作成する

ログインポリシーログイン用のアクセスポリシーを作成する


図 50 ユーザ設定の編集－ポリシータブ

2. ポリシーの追加アイコンを選択します。

ポリシーの追加ダイアログボックスが表示されます。

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のポリシーはＳＳＬーＶＰＮの送信元アドレスではなく送信先アドレス

に適用されます。インターネット上の特定のＩＰアドレスがポリシーエンジンを通じてＳＳＬ-ＶＰＮゲートウェイの認証を受けることを許可または阻止することはできません。ユーザのログインポリシーページからＩＰアドレスで送信元のログインを制御することも可能です。








4. サービスの種類をサービスメニューから選択します。ポリシーの適用先がネットワークオブジェクトの場

合は、そのネットワークオブジェクト定義されたサービスが使用されます。

5. 状況メニューから許可または拒否を選択して特定のサービスまたはホストコンピュータのＳＳＬ-ＶＰＮ接


6. サービスの種類をサービスメニューで選択します。ポリシーの適用先がネットワークオブジェクトの場合

は、そのネットワークオブジェクトにサービスの種類が定義されます。

7. 許可または拒否を状況メニューから選択して特定のサービスまたはホストコンピュータのＳＳＬ-ＶＰＮを

許可または拒否します。


8. 追加を選択して設定を更新します。設定を更新すると、新しいポリシーがユーザ設定の編集ウィンドウ

に表示されます。

ユーザのポリシーは、現在のユーザポリシーテーブルに、優先度の高いものから順番に表示されます。ポリシーの追加ダイアログボックスの内容はポリシーの適用先リストボックスで選択したオブジェクトの種別に応じて変化します。オブジェクトは次のとおりです。

• ネットワークオブジェクト

• ＩＰアドレス

• ＩＰアドレス範囲

• すべてのアドレス

選択したオブジェクトに応じて、以下のいずれかの手順でポリシーを追加します。

ネットワークオブジェクトのポリシーを編集する1. ポリシーの適用先フィールドで、ネットワークオブジェクトオプションを選択します。

図 51 ネットワークオブジェクトを使用するポリシーの追加ダイアログボックス


3. ネットワークオブジェクトリストボックスから、適用するネットワークオブジェクトを選択します。

4. 状況リストボックスで、アクセス動作として許可または拒否を選択します


ＩＰアドレスのポリシーを編集する1. ポリシーの適用先フィールドで、ＩＰアドレスオプションを選択します。


図 52 ＩＰアドレスを使用するポリシーの追加ダイアログボックス


3. ＩＰアドレスをＩＰアドレスフィールドに入力します。

4. サービスリストボックスで、サービスオプションを選択します。

5. 状況リストボックスで、アクセス動作として許可または拒否を選択します


ＩＰアドレス範囲のポリシーを編集する1. ポリシーの適用先フィールドで、ＩＰアドレス範囲オプションを選択します。

図 53 ＩＰアドレス範囲を使用するポリシーの追加ダイアログボックス


3. ネットワークアドレスをＩＰネットワークアドレスフィールドに入力します。

4. サブネットマスクをサブネットマスクフィールドに入力します。


6. 状況リストボックスで、アクセス動作として許可または拒否を選択します。


すべてのアドレスポリシーの編集1. ポリシーの適用先フィールドで、すべてのアドレスオプションを選択します。


図 54 すべてのアドレスを使用するポリシーの追加ダイアログボックス


3. すべてのＩＰアドレスを指定するとき、ＩＰアドレス範囲フィールドは読み取り専用になります。


5. 状況リストボックスで、アクセス動作として許可または拒否を選択します。


ユーザブックマークの編集

ユーザブックマークを定義するには、以下の手順を実行します。

1. ブックマークタブを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのユーザ設定の編集－ブックマークタブが表示されます。


図 55 ユーザ設定の編集－ブックマークタブ

2. ブックマークの追加を選択します。

ブックマークの追加ダイアログボックスが表示されます。


ユーザブックマークが定義されると、ユーザはＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の仮想オフィスホームページで定義済みのブックマークを見ることができます。管理者の作成したブックマークを個々のユーザが削除または変更することはできません。

3. ブックマークの名前となる文字列をブックマーク名フィールドに入力します。

4. コンピュータのドメイン名またはＩＰアドレスを名前またはＩＰアドレスフィールドに入力します。

5. サービス種別をサービスリストボックスで選択します。


6. ＲＤＰ５またはＲＤＰ４を選択した場合、ＳＳＬーＶＰＮ装置のブックマークの追加ダイアログボックスに

画面サイズフィールドが表示されます。

図 57 ＲＤＰ５サービスを使用するブックマークの追加ダイアログボックス

画面サイズはコンピュータによって異なるので、リモートデスクトップアプリケーションを使用するときは、リモートデスクトップセッションの実行元のコンピュータのサイズを選択する必要があります。また、場合によってはアプリケーションパスフィールドでリモートコンピュータ上のアプリケーションのパスを指定する必要があります。

7. 追加を選択して設定を更新します。設定を更新すると、新しいユーザブックマークがユーザ設定の編

集ウィンドウに表示されます。

ログインポリシーの設定

ＳＳＬ-ＶＰＮ装置に対するログインを、ユーザのＩＰアドレスによって許可または拒否するポリシーを設定することができます。装置へのログインを許可または拒否するには、以下の手順を実行します。

1. ユーザ＞ローカルユーザページにナビゲートします。

2. 特定のユーザの設定アイコンを選択します。

ユーザ設定の編集ダイアログボックスが表示されます。

3. ログインポリシータブを選択します。

ユーザ設定の編集－ログインポリシータブが表示されます。


図 58 ユーザ設定の編集－ログインポリシータブ

4. ログインポリシー領域で、ユーザに適用したいログインポリシーを選択します。ログインポリシーにつ

いては次の表を参照してください。

5. 選択したポリシーを送信元ＩＰアドレスに適用するには、アクセスポリシー（許可または拒否）を、送

信元ＩＰアドレスに対するログインポリシー領域の定義済みアドレスからのログインリストボックスで選択し、リスト上の追加を選択します。アドレスの定義ダイアログボックスが表示されます。

図 59 アドレスの定義ダイアログボックス

6. 送信元アドレス種別のいずれかのオプションを送信元アドレス種別リストボックスから選択します。

• ＩＰアドレス－特定のＩＰアドレスを選択します。

ポリシー説明

ログインを無効にするユーザが装置にログインするのを阻止する

ユーザは、ログインするためにクライアント証明書が必要

特定のユーザがクライアントの認める証明書を提示したかどうかで装置へのログインを条件付きで許可する


• ＩＰネットワーク－ＩＰアドレス範囲を選択します。このアドレスを選択すると、次の図のアドレスの

定義ダイアログボックスが表示されます。

図 60 アドレスの定義ダイアログボックス

7. 選択したアドレス種別の詳細を指定します。

• 特定のＩＰアドレスの場合は、そのＩＰアドレスをＩＰアドレスフィールドに入力します。

• ＩＰネットワークの場合は、ＩＰアドレスをネットワークアドレスフィールドに入力し、さらにアドレス範

囲を指定するサブネットマスク値をマスクフィールドに入力します。


アドレスまたはアドレス範囲がユーザ設定の編集ダイアログボックスの定義済みアドレスリストに表示されます。例えば、ネットワークアドレス１０.０.６１.２１５、サブネットマスク２５５.２５５.２５５.２４０のアドレス範囲を選択すると、定義済みアドレスリストに１０.０.６１.２０８－１０.０.６１.２２３と表示されます。選択したログインポリシーが、この範囲のアドレスに適用されます。

図 61 ユーザ設定の編集－ログインポリシータブ

9. 選択したポリシーをクライアントブラウザに適用するには、クライアントブラウザに対するログインポリ

シー領域の定義済みブラウザからのログインリストボックスでアクセスポリシー（許可または拒否）を


選択し、リスト上の追加を選択します。ブラウザの定義ダイアログボックスが表示されます。

図 62 ブラウザの定義ダイアログボックス

10. ブラウザの名前をクライアントブラウザフィールドに入力し、追加を選択します。

ブラウザの名前が定義済みブラウザリストに表示されます。


ユーザの新しいログインポリシーが保存されます。


グローバル設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のグローバル設定はローカルユーザまたはローカルグループ環境から設定されます。これを表示するには、左側のナビゲーションメニューのユーザオプションを選択し、ローカルユーザまたはローカルグループオプションを選択します。

グローバル設定の編集

グローバル設定を編集するには、以下の手順を実行します。

1. ユーザ＞ローカルユーザまたはユーザ＞ローカルグループウィンドウにナビゲートします。

2. ユーザまたはグループリスト上部のグローバルポリシーグループまたはユーザの右側の設定アイコンを

選択します。グローバル設定の編集ウィンドウが表示されます。

図 63 グローバル設定の編集ウィンドウ

3. すべてのユーザまたはグループの無動作タイムアウトを設定するには、許可する無動作タイムアウト時

間（分）を無動作タイムアウトフィールドに入力します。

4. 適用を選択して設定の変更を保存します。

無動作タイムアウトは、ユーザ、グループ、グローバルの各レベルで設定できます。特定のユーザに複数のタイムアウトが設定されている場合は、ユーザタイムアウトの設定がグループタイムアウトよりも優先され、グループタイムアウトがグローバルタイムアウトよりも優先されます。

グローバルタイムアウトを０に設定すると、グループまたはユーザのタイムアウトを設定していないユーザの無動作タイムアウト無動作タイムアウトが無効になります。


グローバルポリシーの編集

グローバルアクセスポリシーを定義するには、以下の手順を実行します。

1. グローバル設定の編集ウィンドウのポリシータブで、ポリシーの追加を選択します。

ポリシーの追加ウィンドウが表示されます。

図 64 ポリシーの追加ダイアログボックス

補足　ユーザとグループのアクセスポリシーはグローバルポリシーよりも優先されます。

2. ポリシーの適用先メニューで、定義済みネットワークオブジェクト、個別ホスト、アドレス範囲、全アド

レスのどれを適用先とするかを選択します。


補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のポリシーは、ＳＳＬ-ＶＰＮ接続の送信元アドレスではなく、送信先

アドレスに適用されます。インターネット上の特定のＩＰアドレスがポリシーエンジンを通じてＳＳＬ-ＶＰＮ装置の認証を受けることを許可または阻止することはできません。








5. サービスの種類をサービスメニューで選択します。ポリシーの適用先がネットワークオブジェクトの場合

は、そのネットワークオブジェクトにサービスの種類が定義されます。

6. 許可または拒否を状況メニューから選択して特定のサービスまたはホストコンピュータのＳＳＬ-ＶＰＮ接


7. 追加を選択して設定を更新します。設定を更新すると、新しいポリシーがグローバル設定の編集ウィ

ンドウに表示されます。

グローバルポリシーは、グローバル設定の編集ダイアログボックスのポリシーリストに優先度の高いものから順番に表示されます。

適用先リストボックスで選択したオブジェクト種別ごとのポリシーの設定方法については、「ユーザポリシーの編集」セクションを参照してください。


グローバルブックマークの編集

グローバルブックマークを編集するには、以下の手順を実行します。

1. ユーザ＞ローカルユーザまたはユーザ＞ローカルグループページにナビゲートします。

2. グローバルポリシーエントリの設定アイコンを選択します。

グローバルポリシーの編集ウィンドウが表示されます。

3. ブックマークの追加を選択します。

ブックマークの追加ウィンドウが表示されます。


グローバルブックマークが定義されると、メンバー全員がＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ポータルで定義済みのブックマークを見ることができます。個々のユーザがグローバルブックマークを削除または変更することはできません。

ＲＤＰブックマークの場合は、次のブックマークの追加ダイアログボックスが表示されます。

図 66 ＲＤＰの場合のブックマークの追加ダイアログボックス

4. ブックマークを追加するには、ブックマークの名前ををブックマーク名フィールドに入力します。

5. コンピュータのドメイン名またはＩＰアドレスを名前またはＩＰアドレスフィールドに入力します。

6. サービス種別をサービスリストボックスで選択します。

7. ＲＤＰサービスを選択した場合は、画面サイズを画面サイズリストボックスで選択し、アプリケーション

のパスをアプリケーションおよびパスフィールドで指定します。

8. 追加を選択して設定を更新します。設定を更新すると、新しいグローバルブックマークがグローバル

設定の編集ウィンドウのブックマークリストに表示されます。


アクセスポリシー階層管理者は、ユーザ、グループ、グローバルポリシーを、定義済みネットワークオブジェクト、ＩＰアドレス、アドレス範囲、全ＩＰアドレス、および各種のＳＳＬ-ＶＰＮサービスに対して定義することができます。では、どのポリシーの優先度が高いのでしょう？特定の種類のトラフィックに複数のポリシーが適用される場合、そのトラフィックは許可されるのか、それとも阻止されるのでしょうか？

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のポリシー階層は次のように定義されています。

• ユーザポリシーはどのグループポリシーよりも優先される

• グループポリシーはどのグローバルポリシーよりも優先される

• 複数のユーザ、グループ、またはグローバルポリシーが設定されている場合は、も限定的なポリ

シーが優先される

例えば、特定のＩＰアドレスに設定されたポリシーはアドレス範囲に設定されたポリシーよりも優先されます。また、ＩＰアドレス範囲に適用されるポリシーは全ＩＰアドレスに適用されるポリシーよりも優先されます。複数のＩＰアドレス範囲が設定されている場合、も小さいアドレス範囲が優先されます。ホスト名は個別のＩＰアドレスと同等に扱われます。では、ＩＰアドレス、ホスト名、およびアドレス範囲を含む定義済みネットワークオブジェクトはどうなるでしょう？

ネットワークオブジェクトの優先度はアドレス範囲と似ています。ただし、ネットワークオブジェクト全体ではなく、個別のアドレスまたはアドレス範囲で優先度が決まります。

例えば、次のグローバルポリシーの設定を考えます。

• ポリシー 1 ：ＩＰアドレス範囲１０.０.０.０－１０.０.０.２５５のすべてのサービスを阻止する拒否ルール

• ポリシー 2 ：１０.０.１.２－１０.０.１.１０へのＦＴＰアクセスを阻止する拒否ルール

• ポリシー３：定義済みネットワークオブジェクト（ＦＴＰＳｅｒｖｅｒｓ）に対するＦＴＰアクセスを許可する

許可ルール。ＦＴＰＳｅｒｖｅｒｓネットワークオブジェクトは次のアドレスを含む。１０.０.０.５－１０.０.０.２０。 10.0.0.5 - 10.0.0.20. さらにｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍを含み、これは１０.０.１.３に解決される

ユーザまたはグループポリシーが衝突していないと仮定します。このときユーザが次へのアクセスを試みます。

• ＦＴＰサーバ（１０.０.０.１）。ユーザはポリシー１で阻止される

• ＦＴＰサーバ（１０.０.１.５）。ユーザはポリシー２で阻止される

• ＦＴＰサーバ（１０.０.０.１０）。ユーザはポリシー３でアクセスを許可される。ＩＰアドレス範囲１０.０.０.５

－１０.０.０.２０は、ポリシー１のＩＰアドレス範囲よりも限定的

• ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍのＦＴＰサーバ。ユーザはポリシー３でアクセスを許可される。特定のホスト名は

ポリシー２のＩＰアドレス範囲よりも限定的

補足　ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍにＩＰアドレス１０.０.１.３ではアクセスできないことに注意してください。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のポリシーエンジンは、ＤＮＳの逆引きを実行しません。


ポータルレイアウトとドメインの設定

この章では、ポータルの設定方法、ポータルへのレイアウトの割当方法、ＲＡＤＩＵＳ、ＮＴドメイン、ＬＤＡＰなどの認証ドメインの定義方法と、アクティブディレクトリの設定について説明します。また、ポータルとポータルレイアウトのパラメータの設定方法についても詳しく説明します。


• 80 ページ「ポータルレイアウト」

• 86 ページ「認証ドメインの概要」

• 87 ページ「ローカルユーザデータベース認証の設定」

• 88 ページ「ＲＡＤＩＵＳ認証の設定」

• 89 ページ「ＮＴドメイン認証の設定」

• 90 ページ「ＬＤＡＰ認証の設定」

• 91 ページ「アクティブディレクトリ認証の設定」

• 92 ページ「アクティブディレクトリのトラブルシューティング」


ポータルレイアウト個別ポータルレイアウトを設定することで、ユーザが認証のためにＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮにリダイレクトされたときにユーザごとに個別の待ち受けページを表示できます。

図 67 ポータル＞ポータルレイアウトページ

ネットワーク管理者は、ポータルに個々のレイアウトを定義することができます。レイアウトの設定には、テーマ、メニューレイアウト、表示するポータルページ、表示するポータルアプリケーションのアイコン、およびウェブキャッシュ制御オプションが含まれます。

既定ポータルレイアウトはＬｏｃａｌＤｏｍａｉｎポータルです。別のポータルレイアウトを追加したり、修正したりすることもできます。

補足　ドメインにポータルレイアウトを適用するには、新しいドメインを追加し、ドメイン設定ページのポータ

ルレイアウト名メニューからポータルレイアウトを選択します。選択したポータルレイアウトは、新しいドメイン内のすべてのユーザに適用されます。


ポータルレイアウト環境の表示

新しいポータルレイアウトを追加するには、以下の手順に従います。

1. ポータル＞ポータルレイアウトウィンドウで、ポータルレイアウトの追加ボタンを選択します。

ポータルレイアウトウィンドウが表示されます。このウィンドウには、レイアウトとホームページの２つのタブがあります。レイアウトが既定のタブです。

図 68 ポータルレイアウト－レイアウトタブ

2. 以下の表に、ポータルレイアウト－レイアウトタブのフィールドを示します。

表 8 ポータルレイアウト－レイアウトフィールド


ポータルレイアウト名このポータルを参照する場合に使うタイトル。内部参照専用で、ユーザには表示されない

ポータルサイトタイトルユーザがこのポータルにアクセスしたときにウェブブラウザのタイトルバーに表示されるタイトル

ポータルバナータイトルポータル自体の一番上に表示されるウェルカムテキスト

ログインメッセージポータルログインページで認証エリアの上に表示されるオプションテキスト

仮想ホスト／ドメイン名複数のポータルが提供される環境では、仮想ホストを使うことでポータルＵＲＬに簡単にリダイレクトできる

ポータルＵＲＬこの特定のポータルにアクセスする場合に使うＵＲＬ

個別ログインページを表示するこのポータルの既定（ＳｏｎｉｃＷＡＬＬ）ログインページではなく個別のログインページを表示する

個別ログインページにログインメッセージを表示する

ログインメッセージテキストボックスに指定されたメッセージを表示する


ポータルレイアウトの設定

ポータルレイアウトを設定する方法は２つあります。

• 既存のレイアウトを修正する（ポータル＞ポータルレイアウトウィンドウでレイアウトの名前を選択す

る）

• 新しいポータルレイアウトを定義する

新しいポータルレイアウトを設定するには、以下の手順に従います。

1. ポータルレイアウト名フィールドにポータルレイアウトの説明的な名前を入力します。この名前は、

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ポータルＵＲＬのパスの一部になります。例えば、ＳＳＬ-ＶＰＮポータルが〈https://vpn.company.com〉でホストされているときにポータルレイアウトｓａｌｅｓを作成した場合、ユーザは、サブサイト〈https://vpn.company.com/portal/sales〉にアクセスできます。

補足　ポータルレイアウト名には、英数字、ハイフン（-）、および下線（_）しか使用できません。これ

以外の文字やスペースを入力すると、レイアウト名は初の英数字以外の文字の前で切り捨てられます。

2. ポータルサイトタイトルフィールドに、ウェブブラウザウィンドウのタイトルを入力します。

3. 専用のログインページを表示するには、個別ログインページを表示するチェックボックスを選択しま

す。

4. ユーザがポータルにログインする前にバナーメッセージを表示したい場合は、ポータルバナータイト

ルフィールドにバナータイトルのテキストを入力します。

ホスト名が異なる別個のポータルを作成したい場合は、仮想ホスト／ドメイン名フィールドにホスト名を入力します。このフィールドはオプションです。

仮想ホスト名を作成すると、ユーザは既定ＵＲＬとは異なる別のホスト名を使ってログインできるようになります。例えば、販売担当者は、管理用の既定ドメイン〈https://vpn.company.com〉ではなく、〈https://sales.company.com〉にアクセスできます。仮想ホスト名を定義しても、ポータルＵＲＬ（例えば、〈https://vpn.company.com/portal/sales〉）は存在します。仮想ホスト名を作成することで、管理者はユーザグループごとに別個のログインＵＲＬを提供できます。

補足　仮想ホスト名とドメイン名をＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の外部ＩＰアドレスに解決できるように外

部ＤＮＳサーバにエントリを追加してください。

補足　仮想ホスト名を使う場合は、＊ .ｄｏｍａｉｎＳＳＬ証明書を購入する必要があります。そうしないと、

ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ポータルにログインしたときに証明書ホスト名の不一致警告が表示されます。証明書ホスト名の不一致の影響を受けるのはログインページのみです。ＳＳＬ-ＶＰＮクライアントアプリケーションはホスト名不一致の影響を受けません。

仮想ホスト名には、英数字、ハイフン（-）、および下線（_）しか使用できません。

5. キャッシュ制御のためのＨＴＴＰメタタグを有効にするチェックボックスを選択して、このポータルレイ

アウトにＨＴＴＰメタタグキャッシュ制御ディレクティブを適用します。キャッシュ制御ディレクティブには、次のものが含まれます。

キャッシュ制御のためのＨＴＴＰメタタグを有効にする

すべてのＨＴＴＰ／ＨＴＴＰＳページにＨＴＴＰメタタグを埋め込み、リモートユーザのブラウザのキャッシュにコンテンツが保管されないようにする

ＡｃｔｉｖｅＸウェブキャッシュクリーナを有効にする

ＳＳＬ-ＶＰＮセッションの終了後にすべてのセッションのコンテンツを消去するＡｃｔｉｖｅＸコントロール（ブラウザのサポートが必要）をロードする



図 69 ポータルレイアウト－ホームページタブ

4. 以下の表に、ポータルレイアウト－ホームページタブのフィールドを示します。

表 9 ポータルレイアウト－ホームページのフィールド

5. ＡｃｔｉｖｅＸアプリケーションの中には、ＡｃｔｉｖｅＸターミナルサービスクライアントなど、信頼できるルー

トＣＡからの証明書でサーバに接続しなければ機能しないものもあります。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ


ホームページメッセージを表示する

ユーザがＳＳＬ-ＶＰＮ装置に対する認証に成功した後で個別のホームページメッセージを表示する

ＮｅｔＥｘｔｅｎｄｅｒを表示するＮｅｔＥｘｔｅｎｄｅｒのリンクを表示し、ユーザがクライアントレスのＮｅｔＥｘｔｅｎｄｅｒ仮想アダプタをインストールして起動できるようにする。この設定例では、ＮｅｔＥｘｔｅｎｄｅｒを使って全トンネルアクセスを提供するが、ＮｅｔＥｘｔｅｎｄｅｒの使用はオプションである

ファイル共有を表示するファイル共有（ウィンドウズＳＭＢ／ＣＩＦＳ）ウェブインターフェースのリンクを提供し、認証されたＳＳＬ-ＶＰＮユーザがドメイン許可に従ってＮＴファイル共有を使用できるようにする

ブックマークテーブルを表示する管理者提供のブックマークが含まれるブックマークテーブルを表示する。また、ユーザはネットワークリソースへの独自のブックマークを定義することもできる

証明書のインポートボタンを表示する

信頼できるルートストアに自己署名証明書をインポートするためのボタンをリモートユーザに提供する。自己署名証明書を使っている場合は、ユーザがこのボタンを選択して証明書をインポートできるようにこの機能を有効にすることを勧める

ホームページメッセージユーザ認証の成功後にホームページ上に表示できるオプションテキスト

ブックマークテーブルタイトルポータルのホームページ上のブックマークセクションを表すオプションテキスト


装置に付属のテスト用ＳＳＬ証明書を使っている場合、自己署名証明書インポートのリンクを表示するチェックボックスを選択すると、ウィンドウズユーザが自己署名証明書を簡単にインポートできるようになります。ただし、Ｖｅｒｉｓｉｇｎ、Ｔｈａｗｔｅなどの信頼できるルートＣＡからの有効なＳＳＬ証明書をアップロードすることを強くお勧めします。アップロードした場合は、自己署名証明書インポートのリンクを表示するチェックボックスを選択しないでください。ＯＫを選択してホームページのコンテンツを更新します。

ポータルのホームページに関する重要な情報

通常のＳＳＬ-ＶＰＮ管理者の場合は、プレーンテキストのホームページメッセージとネットワークリソースへのリンクのリストがあれば、ポータルのホームページとして不足はありません。しかし、表示したいコンテンツがほかにある上級管理者の場合は、以下の情報を検討してください。

• ホームページはＩＦＲＡＭＥ（内部ＨＴＭＬフレーム）で表示される

• ｉｆｒａｍｅの幅は５４２ピクセルだが、ナビゲーションメニューとコンテンツ間のバッファは２９ピクセルな

ので、利用可能なワークスペースは５１３ピクセルである

• ホームページの一番下に表示する個別ＨＴＭＬファイルをアップロードできる。ホームページメッセージ

にＨＴＭＬタグとＪａｖａＳｃｒｉｐｔを追加することもできる

• アップロードしたＨＴＭＬファイルは他のコンテンツの後ろに表示されるので、このファイルに <ｈｅａｄ> タ

グや <ｂｏｄｙ> タグを入れてはならない


認証ドメインの概要ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のドメイン設定ウィンドウを表示するには、ポータル＞ドメインページにナビゲートし、ポータル＞ドメインウィンドウを表示します。

図 70 ポータル＞ドメインページ

アクセスポリシーを作成するには、まず認証ドメインを作成しなければなりません。既定で、ＬｏｃａｌＤｏｍａｉｎ認証ドメインがすでに定義されています。ＬｏｃａｌＤｏｍａｉｎドメインは内部ユーザデータベースです。

リモート認証サーバに対する認証を要求する追加ドメインを作成することもできます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、内部ユーザデータベース認証のほかに、Ｒａｄｉｕｓ、ＬＤＡＰ、ＮＴドメイン、およびアクティブディレクトリの認証をサポートしています。


ローカルユーザデータベース認証の設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に保管されているユーザ名とパスワードを使ってユーザを認証する複数のドメインを作成することができます。これは、ユーザごとに異なるポータルレイアウト（ＳＳＬ-ＶＰＮポータルページ、テーマなど）を表示したい場合に必要です。

新しい認証ドメインを追加するには、以下の手順に従います。

1. ドメインの追加を選択します。以下のような

ドメインの追加ダイアログボックスが表示されます。

2. 認証種別リストボックスからローカルユーザデータベースを選択します。

図 71 認証種別としてローカルユーザデータベースが選択されているドメインの追加ダイアログボックス

3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。これは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ

ポータルにログインするためにユーザが選択するドメイン名です。

4. ポータルレイアウト名フィールドにレイアウトの名前を入力します。他のレイアウトをポータル＞ポータ

ルレイアウトページで追加定義することもできます。

5. ログインでクライアント証明書の使用を要求したい場合には、必要に応じて、クライアントデジタル証

明書を要求するチェックボックスを選択します。このチェックボックスを選択することによって、強力な相互認証のためにクライアント証明書を提示することをクライアントに要求します。

6. 追加を選択して設定を追加します。ドメインが追加されると、ドメイン設定テーブルにそのドメインが追加

されます。


ＲＡＤＩＵＳ認証の設定ＲＡＤＩＵＳ認証のドメインを作成するには、以下の手順に従います。

1. ドメインの追加を選択して、ドメインの追加ダイアログボックスを表示します。

2. 認証種別メニューからＲＡＤＩＵＳを選択します。ＲＡＤＩＵＳ設定フィールドが表示されます。

図 72 認証種別としてＲＡＤＩＵＳが選択されているドメインの追加ダイアログボックス


装置ポータルにログインするためにユーザが選択するドメイン名です。

4. ＲＡＤＩＵＳサーバアドレスフィールドにＲＡＤＩＵＳサーバのＩＰアドレスまたはドメイン名を入力します。

5. ＲＡＤＩＵＳサーバで要求される場合は、秘密パスワードフィールドに認証の秘密パスワードを入力しま

す。

6. ポータルレイアウト名リストボックスでレイアウトの名前を選択します。


されます。

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、ＰＡＰ認証を使って、指定されたＲＡＤＩＵＳサーバに対する認

証を試みます。通常、ＲＡＤＩＳＵサーバは、ＳＳＬ-ＶＰＮ装置からのＲＡＤＩＵＳクライアント接続を受け入れるように設定する必要があります。一般に、この接続の発信元はＳＳＬ-ＶＰＮのＸ０インターフェースのＩＰアドレスのようです。この設定方法については、ＲＡＤＩＵＳサーバのマニュアルを参照してください。


ＮＴドメイン認証の設定ＮＴドメイン認証を設定するには、以下の手順に従います。


2. 認証種別メニューからＮＴドメインを選択します。ＮＴドメイン設定フィールドが表示されます。

図 73 認証種別としてＮＴドメインが選択されているドメインの追加ダイアログボックス


装置ポータルに対して認証するときにユーザが選択するドメイン名です。

4. ＮＴドメイン名と同じ値でも構いません。

5. ＮＴドメイン名フィールドにＮＴ認証ドメインを入力します。これは、ネットワーク認証のためにウィンドウ

ズ認証サーバで設定されるドメイン名です。

6. ＮＴサーバアドレスフィールドにサーバのＩＰアドレスまたはホストとドメイン名を入力します。




されます。


ＬＤＡＰ認証の設定ＬＤＡＰ認証を設定するには、以下の手順に従います。


2. 認証種別メニューからＬＤＡＰを選択します。ＬＤＡＰドメイン設定フィールドが表示されます。

図 74 認証種別としてＬＤＡＰが選択されているドメインの追加ダイアログボックス


装置ポータルにログインするためにユーザが選択するドメイン名です。サーバアドレスフィールドと同じ値でも構いません。

4. サーバアドレスフィールドにサーバのＩＰアドレスまたはドメイン名を入力します。

5. ＬＤＡＰＢａｓｅＤＮフィールドにＬＤＡＰ問い合わせの検索ベースを入力します。検索ベースの文字列と

しては、例えばＣＮ＝Ｕｓｅｒｓ，ＤＣ＝ｙｏｕｒｄｏｍａｉｎ，ＤＣ＝ｃｏｍなどがあります。

6. ログインユーザ名フィールドに、ＬＤＡＰログインユーザ名を、ログインパスワードフィールドにパス

ワードを入力します。

補足　ユーザがＬＤＡＰを使って認証を試みると、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、ユーザから提供さ

れた認証情報を使ってＬＤＡＰツリーにバインドすることを試みます。マイクロソフトのアクティブディレクトリに対してＬＤＡＰ認証を使う場合は、ユーザはアカウント名ではなくフルネームを指定しなければなりません。例えば、アカウント名が "ｊｄｏｅ" のユーザ "ＪｏｈｎＤｏｅ" は、 "ＪｏｈｎＤｏｅ" を使ってログインしなければなりません。そうしないと、ＬＤＡＰバインドの試みは失敗し、認証は中止されます。認証でユーザにフルネームではなくアカウント名（’ ｊｄｏｅ’ などのｓａｍＡｃｃｏｕｎｔＮａｍｅ）を使わせたい場合は、アクティブディレクトリ（Ｋｅｒｂｅｒｏｓ）ドメイン認証の使用を検討してください。

補足　ＬＤＡＰＢａｓｅＤＮフィールドに入力する場合は、引用符（""）を省いてください。



8. ログインでクライアント証明書の使用を要求したい場合は、必要に応じて、クライアントデジタル証明

書を要求するチェックボックスを選択します。このチェックボックスを選択することによって、強力な相互認証のためにクライアント証明書を提示することをクライアントに要求します。クライアント証明書のＣＮＡＭＥは、ユーザがログインする場合に指定するユーザ名と一致しなければなりません。また、このクライアント証明書は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置で信頼済みの認証局（ＣＡ）で生成されたものでなければなりません。


9. 追加を選択して設定を追加します。ドメインが追加されると、ドメイン設定テーブルにそのドメインが追

加されます。

アクティブディレクトリ認証の設定ウィンドウズアクティブディレクトリ認証を設定するには、以下の手順に従います。

1. ドメインの追加を選択して、ドメインの追加ダイアログボックスを表示し、以下の手順に従います。

補足　すべての認証タイプの中で、アクティブディレクトリ認証が、クロックスキュー、つまり

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置とアクティブディレクトリサーバとの時間のずれにも敏感です。アクティブディレクトリを使って認証することができない場合は、この章の後のトラブルシューティング手順を参照してください。

2. 認証種別メニューからアクティブディレクトリを選択します。アクティブディレクトリ設定フィールドが表示

されます。

図 75 認証種別としてアクティブディレクトリが選択されているドメインの追加ダイアログボックス


装置ポータルにログインするためにユーザが選択するドメイン名です。これは、ネットワーク設定に応じて、サーバアドレスフィールドまたはアクティブディレクトリドメインフィールドと同じ値でも構いません。

4. アクティブディレクトリドメインフィールドにアクティブディレクトリドメイン名を入力します。

5. サーバアドレスフィールドにアクティブディレクトリサーバのＩＰアドレスまたはホストとドメイン名を入力し

ます。

6. ポータルレイアウト名フィールドにレイアウトの名前を入力します。他のレイアウトをポータル＞ポータル

レイアウトページで追加定義することもできます。

7. ログインでクライアント証明書の使用を要求したい場合は、必要に応じて、クライアントデジタル証明

書を要求するチェックボックスを選択します。このチェックボックスを選択することによって、強力な相互認証のためにクライアント証明書を提示することをクライアントに要求します。クライアント証明書のＣＮＡＭＥは、ユーザがログインする場合に指定するユーザ名と一致しなければなりません。また、このクライアント証明書は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置で信頼済みの認証局（ＣＡ）で生成されたものでなければなりません。


されます。


アクティブディレクトリのトラブルシューティングユーザがアクティブディレクトリを介して接続することができない場合は、以下の点を確認してください。

1. アクティブディレクトリサーバの時間設定とＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の時間設定は同期していな

ければなりません。アクティブディレクトリがクライアントを認証する場合に使うＫｅｒｂｅｒｏｓ認証では、ウィンドウズサーバとクライアント（ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置）との時間のずれが大１５分まで認められています。この問題を解決する一番簡単な方法は、システム＞時間ページでネットワークタイムプロトコルを設定し、またサーバの時間設定が正しいことを確認することです。

2. ウィンドウズサーバがアクティブディレクトリ認証に対応していることを確認します。ウィンドウズＮＴ４.０

サーバを使っている場合は、ＮＴドメイン認証しかサポートされていません。一般に、ウィンドウズ２０００サーバとウィンドウズ２００３サーバは、従来のウィンドウズクライアントをサポートするためにＮＴドメイン認証にも対応しています。

ドメイン設定テーブル

設定されたドメインはすべて、ポータル＞ドメインウィンドウのドメイン設定テーブルにリストされます。ドメインは、作成された順にリストされます。

ドメインの削除

ドメインを削除するには、ドメイン設定テーブルで、削除したいドメインに対応するごみ箱アイコンを選択します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置が更新されると、削除したドメインはドメイン設定テーブルに表示されなくなります。

補足　ＬｏｃａｌＤｏｍａｉｎドメインを削除することはできません。


ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のサードパーティファイアウォール用設定

この付録では、さまざまなサードパーティファイアウォールをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と共に配備するための設定方法について説明します。

この付録は次のセクションから構成されています。

• 93 ページ「ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と共に配備するための設定」

• 99 ページ「Ｊｕｎｉｐｅｒ」

• 99 ページ「ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ」

• 100 ページ「ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ」

• 101 ページ「ＮｅｔｇｅａｒＦＶＳ３１８」

• 103 ページ「ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬの設定」

• 104 ページ「ＣｈｅｃｋｐｏｉｎｔＡＩＲ５５」

ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と共に配備するための設定

準備

ＰＩＸのコンソールポートへの管理接続、またはＰＩＸのいずれかのインターフェースに対するＴｅｌｎｅｔ／ＳＳＨ接続が必要です。ＰＩＸにアクセスして設定の変更を発行するためには、ＰＩＸのグローバルパスワードと有効レベルパスワードを知っている必要があります。これらのパスワードを知らない場合は、ネットワーク管理者に確認してから次の作業に進んでください。

ＳｏｎｉｃＷＡＬＬでは、ＰＩＸのＯＳを、使用するＰＩＸがサポートしている新バージョンへと更新することをお勧めしています。このマニュアルはＰＩＸＯＳ６.３.５を実行しているＣｉｓｃｏＰＩＸ５１５ｅを対象にしており、これがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と相互運用するための推奨バージョンです。新しいバージョンのＰＩＸＯＳを入手するためには、お使いのＣｉｓｃｏＰＩＸについてのＣｉｓｃｏＳｍａｒｔＮＥＴサポート契約とＣＣＯログインが必要です。


以降の配置例で使用するＷＡＮ／ＤＭＺ／ＬＡＮのＩＰアドレスは、実際に有効なものではなく、お使いのネットワーク環境に合わせて変更する必要があるという点に注意してください。

補足　推奨バージョン：ＰＩＸＯＳ６.３.５以上

ＣｉｓｃｏＰＩＸに関する管理上の考慮事項

以降で説明する２つの配置方法では、ＰＩＸのＷＡＮインターフェースＩＰアドレスを、内部のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に対する外部接続の手段として使用しています。ＰＩＸはＨＴＴＰ／Ｓ経由での管理が可能ですが、推奨バージョンのＰＩＸＯＳでは、既定の管理ポート（８０,４４３）の再割り当てができません。そのため、ＨＴＴＰ／Ｓ管理ＧＵＩを無効にする必要があります。ＨＴＴＰ／Ｓ管理ＧＵＩを無効にするには、’ clear http’ コマンドを発行します。

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に独立した静的なＷＡＮＩＰアドレスを割り当てている場合は、ＰＩＸ

上のＨＴＴＰ／Ｓ管理ＧＵＩを無効にする必要はありません。

方法１　ＬＡＮインターフェース上にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を配備する

1. 管理システムからＳＳＬ-ＶＰＮ装置の管理ＧＵＩにログインします。既定の管理インターフェースはＸ０

で、既定のＩＰアドレスは１９２.１６８.２００.１です。

2. ’ ネットワーク＞インターフェース’ ページに進み、Ｘ０インターフェースの’ 設定’ アイコンを選択

します。表示されたポップアップで、ＸＯのアドレスを’ １９２.１６８.１００.２’ に変更し、マスクを’２５５.２５５.２５５.０’ にします。その後、’ ＯＫ’ ボタンを選択して変更を保存、適用します。

3. ’ ネットワーク＞ルート’ ページに進み、デフォルトゲートウェイを’ １９２.１６８.１００.１’ に変更しま

す。その後、右上隅の’ 適用’ ボタンを選択して変更を保存、適用します。

4. ’ ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレス’ ページに進みます。内部ＬＡＮネットワーク上で使用され

ていない１９２.１６８.１００.０／２４ネットワークのＩＰアドレスの範囲を入力する必要があります。既存のＤＨＣＰサーバがある場合、またはＰＩＸが内部インターフェース上でＤＨＣＰサーバを実行している場合は、これらのアドレスと競合しないように注意してください。たとえば、’ クライアントアドレス範囲の開始’ の隣にあるフィールドに’ １９２.１６８.１００.２０１’ と入力し、’ クライアントアドレス範囲の終了’の隣にあるフィールドに’ １９２.１６８.１００.２４９’ と入力します。その後、右上隅の’ 適用’ ボタンを選択して変更を保存、適用します。

5. ’ ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート’ ページに進みます。 ’ １９２.１６８.１００.０’ に関するクライ

アントルートを追加します。 ’ １９２.１６８.２００.０’ に関するエントリが既にある場合は、既存のものを削除します。

6. ’ ネットワーク＞ＤＮＳ’ ページに進み、内部ネットワークのＤＮＳアドレス、内部ドメイン名、ＷＩＮＳ

サーバアドレスを入力します。これらはＮｅｔＥｘｔｅｎｄｅｒを正しく機能させるために重要な情報なので注意して入力してください。その後、右上隅の’ 適用’ ボタンを選択して変更を保存、適用します。

7. ’ システム＞再起動’ ページに進み、’ 再起動’ ボタンを選択します。

8. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０インターフェースをＰＩＸのＬＡＮネットワークにインストールしま

す。装置のその他のインターフェースにフックしないよう注意してください。

9. コンソールポート、ｔｅｌｎｅｔ、またはＳＳＨを通じてＰＩＸの管理ＣＬＩに接続し、設定モードに入ります。

10. ’ clear http’ コマンドを発行して、ＰＩＸのＨＴＴＰ／Ｓ管理ＧＵＩを無効にします。

11. ’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します（x.x.x.x の部分は

お使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。


12. ’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します（x.x.x.x の部分は


13. ’ static (inside,outside) tcp x.x.x.x www 192.168.100.2 www netmask 255.255.255.255 0 0’ コマ

ンドを発行します（x.x.x.x の部分はお使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。

14. ’ static (inside,outside) tcp x.x.x.x https 192.168.100.2 https netmask 255.255.255.255 0 0’ コ

マンドを発行します（x.x.x.x の部分はお使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。

15. ’ access-group sslvpn in interface outside’ コマンドを発行します。

16. 設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、適用します。

17. 外部システムから、ＨＴＴＰとＨＴＴＰＳの両方を使用してＳＳＬ-ＶＰＮ装置に接続してみます。

ＳＳＬ-ＶＰＮ装置にアクセスできない場合は、上記すべてのステップを確認して、もう一度テストしてください。

終的な設定例（関連部分を太字で記載）PIX Version 6.3(5)

interface ethernet0 auto


interface ethernet2 auto shutdown

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security4

enable password SqjOo0II7Q4T90ap encrypted

passwd SqjOo0II7Q4T90ap encrypted

hostname tenaya

domain-name vpntestlab.com

clock timezone PDT -8

clock summer-time PDT recurring

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list sslvpn permit tcp any host 64.41.140.167 eq wwwaccess-list sslvpn permit tcp any host 64.41.140.167 eq httpspager lines 24

logging on

logging timestamp

logging buffered warnings

logging history warnings

mtu outside 1500

mtu inside 1500

mtu dmz 1500

ip address outside 64.41.140.167 255.255.255.224ip address inside 192.168.100.1 255.255.255.0no ip address dmz


ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interfacenat (inside) 1 192.168.100.0 255.255.255.0 0 0static (inside,outside) tcp 64.41.140.167 www 192.168.100.2 www netmask 255.255.255.255 0 0static (inside,outside) tcp 64.41.140.167 https 192.168.100.2 https netmask 255.255.255.255 0 0access-group sslvpn in interface outsideroute outside 0.0.0.0 0.0.0.0 64.41.140.166 1timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

ntp server 192.43.244.18 source outside prefer

no snmp-server location

no snmp-server contact

snmp-server community SF*&^SDG

no snmp-server enable traps

floodguard enable

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 15

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside

ssh timeout 15

console timeout 20

dhcpd address 192.168.100.101-192.168.100.199 insidedhcpd dns 192.168.100.10dhcpd lease 600dhcpd ping_timeout 750dhcpd domain vpntestlab.comdhcpd enable insideterminal width 80

banner motd Restricted Access.Please log in to continue.

Cryptochecksum:422aa5f321418858125b4896d1e51b89

: end

tenaya#

方法２　ＤＭＺインターフェース上にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を配備する

この方法はオプションであり、使用されていない第三のインターフェースを備えたＰＩＸ（ＰＩＸ５１５、ＰＩＸ５２５、ＰＩＸ５３５など）が必要です。ここではＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の既定のナンバリングスキーマを使用します。

1. 管理システムからＳＳＬ-ＶＰＮ装置の管理ＧＵＩにログインします。既定の管理インターフェースはＸ０

で、既定のＩＰアドレスは１９２.１６８.２００.１です。

2. ’ ネットワーク＞ルート’ ページに進み、デフォルトゲートウェイが’ １９２.１６８.２００.２’ に設定され

ていることを確認します。その後、右上隅の’ 適用’ ボタンを選択して変更を保存、適用します。


3. ’ ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレス’ ページに進みます。 ’ クライアントアドレス範囲の開

始’ の隣にあるフィールドに’ １９２.１６８.２００.２０１’ と入力し、’ クライアントアドレス範囲の終了’の隣にあるフィールドに’ １９２.１６８.２００.２４９’ と入力します。その後、右上隅の’ 適用’ ボタンを選択して変更を保存、適用します。

4. ’ ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート’ ページに進みます。 ’ １９２.１６８.１００.０’ と’

１９２.１６８.２００.０’ に関するクライアントルートを追加します。

5. ’ ネットワーク＞ＤＮＳ’ ページに進み、内部ネットワークのＤＮＳアドレス、内部ドメイン名、ＷＩＮＳ

サーバアドレスを入力します。これらはＮｅｔＥｘｔｅｎｄｅｒを正しく機能させるために重要な情報なので注意して入力してください。その後、右上隅の’ 適用’ ボタンを選択して変更を保存、適用します。

6. ’ システム＞再起動’ ページに進み、’ 再起動’ ボタンを選択します。

7. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０インターフェースをＰＩＸの使用されていないＤＭＺネットワークに

インストールします。装置のその他のインターフェースにフックしないよう注意してください。

8. コンソールポート、ｔｅｌｎｅｔ、またはＳＳＨを通じてＰＩＸの管理ＣＬＩに接続し、設定モードに入ります。

9. ’ clear http’ コマンドを発行して、ＰＩＸのＨＴＴＰ／Ｓ管理ＧＵＩを無効にします。

10. ’ interface ethernet2 auto’ コマンドを発行します（インターフェース名は、実際に使用するインター

フェースに置き換えます）。

11. ’ nameif ethernet2 dmz security4’ コマンドを発行します（インターフェース名は、実際に使用する

インターフェースに置き換えます）。

12. ’ ip address dmz 192.168.200.2 255.255.255.0’ コマンドを発行します。

13. ’ nat (dmz) 1 192.168.200.0 255.255.255.0 0 0’ コマンドを発行します。

14. ’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します（x.x.x.x の部分は


15. ’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します（x.x.x.x の部分は


16. ’ access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0

255.255.255.0’ コマンドを発行します。

17. ’ access-list dmz-to-inside permit ip host 192.168.200.1 any’ コマンドを発行します。

18. ’ static (dmz,outside) tcp x.x.x.x www 192.168.200.1 www netmask 255.255.255.255 0 0’ コマ


19. ’ static (dmz,outside) tcp x.x.x.x https 192.168.200.1 https netmask 255.255.255.255 0 0’ コマ


20. ’ static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0’ コマンドを発行し

ます。

21. ’ access-group sslvpn in interface outside’ コマンドを発行します。

22. ’ access-group dmz-to-inside in interface dmz’ コマンドを発行します。

23. 設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、適用します。

24. 外部システムから、ＨＴＴＰとＨＴＴＰＳの両方を使用してＳＳＬ-ＶＰＮ装置に接続してみます。

ＳＳＬ-ＶＰＮ装置にアクセスできない場合は、上記すべてのステップを確認して、もう一度テストしてください。

終的な設定例（関連部分を太字で記載）

PIX Version 6.3(5)



interface ethernet1 autointerface ethernet2 autonameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security4enable password SqjOo0II7Q4T90ap encrypted

passwd SqjOo0II7Q4T90ap encrypted

hostname tenaya

domain-name vpntestlab.com

clock timezone PDT -8

clock summer-time PDT recurring

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list sslvpn permit tcp any host 64.41.140.167 eq wwwaccess-list sslvpn permit tcp any host 64.41.140.167 eq httpsaccess-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0access-list dmz-to-inside permit ip host 192.168.200.1 anypager lines 24

logging on

logging timestamp

logging buffered warnings

mtu outside 1500

mtu inside 1500

mtu dmz 1500

ip address outside 64.41.140.167 255.255.255.224ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.2 255.255.255.0ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interfacenat (inside) 1 192.168.100.0 255.255.255.0 0 0nat (dmz) 1 192.168.200.0 255.255.255.0 0 0static (dmz,outside) tcp 64.41.140.167 www 192.168.200.1 www netmask 255.255.255.255 0 0static (dmz,outside) tcp 64.41.140.167 https 192.168.200.1 https netmask 255.255.255.255 0 0static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0access-group sslvpn in interface outsideaccess-group dmz-to-inside in interface dmzroute outside 0.0.0.0 0.0.0.0 64.41.140.166 1timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local


ntp server 192.43.244.18 source outside prefer

floodguard enable

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 15

ssh 0.0.0.0 0.0.0.0 outside

ssh timeout 15

console timeout 20

dhcpd address 192.168.100.101-192.168.100.199 insidedhcpd dns 192.168.100.10dhcpd lease 600dhcpd ping_timeout 750dhcpd domain vpntestlab.comdhcpd enable insideterminal width 80

banner motd Restricted Access.Please log in to continue.

Cryptochecksum:81330e717bdbfdc16a140402cb503a77

: end

Ｊｕｎｉｐｅｒ現時点では、Ｊｕｎｉｐｅｒ関連のシナリオはありません。

ＬｉｎｋｓｙｓＷＲＴ５４ＧＳＳＳＬ-ＶＰＮはＬｉｎｋｓｙｓワイヤレスルータのＬＡＮスイッチ上で設定する必要があります。

ここでは、お使いのＬｉｎｋｓｙｓにケーブルＩＳＰがＤＨＣＰ経由で単一のＷＡＮＩＰを割り当てており、このＬｉｎｋｓｙｓが１９２.１６８.１.０／２４という既定のＬＡＮＩＰアドレススキーマを使用していることを前提にしています。

補足　推奨ファームウェア：このセットアップでは、バージョン２.０７.１以上のファームウェアを推奨しま

す。

ＬｉｎｋｓｙｓをＳＳＬ-ＶＰＮ装置と相互運用できるように設定するには、ＳＳＬ（４４３）ポートをＳＳＬ-ＶＰＮ装置のＩＰアドレスに転送する必要があります。

1. Ｌｉｎｋｓｙｓデバイスにログインします。

2. Ａｐｐｌｉｃａｔｉｏｎｓ＆Ｇａｍｉｎｇタブを選択します。

3. 次の情報を入力します。

ＡｐｐｌｉｃａｔｉｏｎＳＳＬ-ＶＰＮポート転送先アプリケーションの名前

ＰｏｒｔＲａｎｇｅＳｔａｒｔ４４３アプリケーションで使用される開始ポート番号

ＰｏｒｔＲａｎｇｅＥｎｄ４４３アプリケーションで使用される終了ポート番号

ＰｒｏｔｏｃｏｌＴＣＰＳＳＬ-ＶＰＮ装置はＴＣＰを使用


4. 設定が完了したら、ページの下部にあるＳａｖｅＳｅｔｔｉｎｇｓボタンを選択します。

これで、ＬｉｎｋｓｙｓがＳＳＬ-ＶＰＮ装置と相互運用するようになります。

ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅここでは、ＷａｔｃｈＧｕａｒｄＦｉｒｅｂｏｘＸＧａｔｅｗａｙのＩＰアドレスが１９２.１６８.１００.１に設定され、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのＩＰアドレスが１９２.１６８.１００.２に設定されているものと想定します。

補足　以降のステップは、ＷａｔｃｈＧｕａｒｄＳＯＨＯ６シリーズのファイアウォールでも同様です。

作業を始める前に、ＷａｔｃｈＧｕａｒｄのどのポートを管理に使用しているかを確認します。ＷａｔｃｈＧｕａｒｄをＨＴＴＰＳ（４４３）ポートで管理していない場合は、次のステップに従ってください。ＷａｔｃｈＧｕａｒｄをＨＴＴＰＳ（４４３）ポートで管理している場合は、初にこの設定方法の注意事項を参照してください。

1. ブラウザを開き、ＷａｔｃｈＧｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ装置のＩＰアドレスを入力します（例：

１９２.１６８.１００.１）。アクセスに成功すると、次のような "ＳｙｓｔｅｍＳｔａｔｕｓ" ページが表示されます。

ＷａｔｃｈＧｕａｒｄの管理インターフェースが既にＨＴＴＰＳをポート４４３で受け付けるように設定されている場合は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置とＷａｔｃｈＧｕａｒｄ装置の両方を管理できるようにポートを変更する必要があります。

2. Ａｄｍｉｎｉｓｔｒａｔｉｏｎ＞ＳｙｓｔｅｍＳｅｃｕｒｉｔｙを選択します。

3. Ｕｓｅｎｏｎ-ｓｅｃｕｒｅＨＴＴＰｉｎｓｔｅａｄｏｆｓｅｃｕｒｅＨＴＴＰＳｆｏｒａｄｍｉｎｉｓｔｒａｔｉｖｅＷｅｂｓｉｔｅをオフに

します。

ＩＰＡｄｄｒｅｓｓ 192.168.1.10 ＳＳＬ-ＶＰＮ装置に割り当てられるＩＰアドレス

ＥｎａｂｌｅオンＳＳＬポート転送を有効にするにはチェックボックスをオン


4. ＨＴＴＰＳｅｒｖｅｒＰｏｒｔを４４４に変更し、Ｓｕｂｍｉｔボタンを選択します。

これで、ＷａｔｃｈＧｕａｒｄをＷＡＮからポート４４４で管理できるようになります。ＷａｔｃｈＧｕａｒｄにアクセスするには次のようにします。〈https://<watchguard wan ip>:444〉

5. 左側のナビゲーションメニューでＦｉｒｅｗａｌｌ＞Ｉｎｃｏｍｉｎｇを選択します。

6. ＨＴＴＰＳサービスのＦｉｌｔｅｒをＡｌｌｏｗに設定し、ＳｅｒｖｉｃｅＨｏｓｔフィールドにＳｏｎｉｃＷＡＬＬ

ＳＳＬ-ＶＰＮ装置のＷＡＮＩＰアドレス（１９２.１６８.１００.２）を入力します。

7. ページの下部にあるＳｕｂｍｉｔボタンを選択します。

これで、ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と相互運用できるようになります。

ＮｅｔｇｅａｒＦＶＳ３１８ここでは、ＮｅｔＧｅａｒＦＶＳ３１８ＧａｔｅｗａｙのＩＰアドレスが１９２.１６８.１００.１に設定され、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのＩＰアドレスが１９２.１６８.１００.２に設定されているものと想定します。

1. Ｎｅｔｇｅａｒ管理インターフェースの左側のインデックスからＲｅｍｏｔｅＭａｎａｇｅｍｅｎｔを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮをＮｅｔｇｅａｒゲートウェイデバイスと連携させるためには、ＮｅｔＧｅａｒの管理ポートがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の管理ポートと競合しないようにする必要があります。

2. ＡｌｌｏｗＲｅｍｏｔｅＭａｎａｇｅｍｅｎｔチェックボックスをオフにします。

3. Ａｐｐｌｙボタンを選択して変更を保存します。


補足　ＮｅｔＧｅａｒのＲｅｍｏｔｅＭａｎａｇｅｍｅｎｔが必要な場合は、このチェックボックスをオンのままにして、

既定のポートを変更します（８０８０を推奨します）。

4. 左側のナビゲーションでＡｄｄＳｅｒｖｉｃｅを選択します。

5. ＡｄｄＣｕｓｔｏｍＳｅｒｖｉｃｅボタンを選択します。

6. サービス定義を作成するために、次の情報を入力します。

7. 左側のナビゲーションでＰｏｒｔｓを選択します。

ＮａｍｅＨＴＴＰＳ

ＴｙｐｅＴＣＰ／ＵＤＰ

ＳｔａｒｔＰｏｒｔ 443

ＦｉｎｉｓｈＰｏｒｔ 443


8. Ａｄｄボタンを選択します。

9. ＳｅｒｖｉｃｅＮａｍｅドロップダウンメニューからＨＴＴＰＳを選択します。

10. ＡｃｔｉｏｎドロップダウンメニューではＡＬＬＯＷａｌｗａｙｓを選択します。

11. ＬｏｃａｌＳｅｒｖｅｒＡｄｄｒｅｓｓフィールドにＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＷＡＮＩＰアドレスを入力しま

す。

12. Ａｐｐｌｙボタンを選択して変更を保存します。

これで、ＮｅｔｇｅａｒゲートウェイデバイスがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と相互運用できるようになります。

ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬの設定ここでは、ＮｅｔＧｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒのＩＰアドレスが１９２.１６８.１００.１に設定され、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのＩＰアドレスが１９２.１６８.１００.２に設定されているものと想定します。

1. Ｎｅｔｇｅａｒの管理インターフェースの左側のインデックスからＡｄｖａｎｃｅｄ＞ＰｏｒｔＭａｎａｇｅｍｅｎｔを

選択します。

2. ページ中央のＡｄｄＣｕｓｔｏｍＳｅｒｖｉｃｅボタンを選択します。

3. ＳｅｒｖｉｃｅＮａｍｅフィールドにサービス名を入力します（例：ＳＳＬ-ＶＰＮ）。

4. ＳｔａｒｔｉｎｇＰｏｒｔフィールドに４４３と入力します。

5. ＥｎｄｉｎｇＰｏｒｔフィールドに４４３と入力します。

6. ＳｅｒｖｅｒＩＰＡｄｄｒｅｓｓフィールドにＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＷＡＮＩＰアドレスを入力します。

7. Ａｐｐｌｙボタンを選択します。

これで、ＮｅｔｇｅａｒワイヤレスルータがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と相互運用できるようになります。


ＣｈｅｃｋｐｏｉｎｔＡＩＲ５５

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮとＣｈｅｃｋＰｏｉｎｔＡＩＲ５５を連携させる

まず必要なのは、ホストベースのネットワークオブジェクトを定義することです。そのためには、Ｆｉｌｅメニューの "Ｍａｎａｇｅ" と "ＮｅｔｗｏｒｋＯｂｊｅｃｔｓ" を使用します。

ホストノードオブジェクト

補足　このオブジェクトは、内部ネットワークに存在するものとして定義されます。ＳｏｎｉｃＷＡＬＬ

ＳＳＬ-ＶＰＮをセキュアセグメント（非武装地帯とも呼ばれます）に配置する場合は、後述のファイアウォール規則でセキュアセグメントから内部ネットワークへの必要なトラフィックを通過させる必要があります。

次に、作成したオブジェクトのＮＡＴタブを選択します。


ＮＡＴのプロパティ

ここで外部ＩＰアドレスを入力します（それがファイアウォールの既存の外部ＩＰアドレスでない場合）。変換方法として’ ｓｔａｔｉｃ’ を選択します。 "ＯＫ" を選択すると、次のような必須のＮＡＴ規則が自動的に作成されます。

ＮＡＴ規則

静的ルート

ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５の大部分のインストール環境では、静的ルートが必要です。このルートは、ＳＳＬ-ＶＰＮのパブリックＩＰアドレスからの全トラフィックを内部ＩＰアドレスに送信します。

#route add 64.41.140.167 netmask 255.255.255.255 192.168.100.2

ＡＲＰ

ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５には、自動ＡＲＰ作成と呼ばれる機能があります。この機能により、副格外部ＩＰアドレス（ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのパブリックＩＰアドレス）に関するＡＲＰエントリが自動的に追加されます。Ｎｏｋｉａのセキュリティプラットフォーム上でＣｈｅｃｋＰｏｉｎｔを実行する場合は、この機能を無効にするよう推奨されています。そのため、外部ＩＰアドレスに関するＡＲＰエントリをＮｏｋｉａＶｏｙａｇｅｒＧＵＩの中で手動で追加する必要があります。

さらに、すべてのトラフィックをインターネットからＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮに流すためのトラフィック規則またはポリシー規則が必要になります。


ポリシー規則

ここでも、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮをＣｈｅｃｋＰｏｉｎｔファイアウォールのセキュアセグメントに配置する場合は、関連トラフィックをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮから内部ネットワークに流すための第二の規則が必要になります。

ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド 107

索引

CＣＳＲ

ＣＳＲリクエストの作成 28LＬＤＡＰ認証 90NＮｅｔＥｘｔｅｎｄｅｒ

概念 8ＮＴドメイン認証 89SＳｏｎｉｃＷＡＬＬテクニカルサポート viiＳＳＬ

証明書のインポート 28ハンドシェーク 2

ＳＳＬ－ＶＰＮ概念 4長所 1

Ｓｙｓｌｏｇの設定 21あアクティブディレクトリ認証 91暗号化 2か概念

ＮｅｔＥｘｔｅｎｄｅｒ 8ＳｏｎｉｃＷＡＬＬＳＳＬ－ＶＰＮ 4ドメイン viポータル viレイアウト vi

管理インターフェース viii共通アイコン xiサブメニュー ix状況バー ixテーブルのナビゲート xナビゲート ixヘルプ xi変更の適用 ixログアウト xi

き既定の設定の復元 27くグループの削除 51グループの設定 50

グループブックマーク 55グループポリシー 53グローバル設定 74グローバルブックマーク 76グローバルポリシー 75しシステム

警告 17状況 15情報 17

証明書アクティブ化 30削除 29

証明書署名リクエスト（ＣＳＲ）、ＣＳＲを参照 28せ静的ルート 39設定ファイルのエクスポート 25て電子メール警告 21とドメイン 4, 15, 86, 87, 91, 92

概要 4設定 79

に認証ドメイン 79

概要 86ひ日付の設定 24ふブラウザ要件 12ゆユーザの削除 63ユーザの設定 61ユーザブックマーク 69ユーザポリシー 64れレイアウト viろログ

イベントの表示 19ログ設定の構成 21

108 ＳｏｎｉｃＷＡＬＬＳＳＬ -ＶＰＮ管理者ガイド

SonicWALL, Inc.

〒107-0052 東京都港区赤坂 1 丁目 8 番地 6 号赤坂 HKN ビル 7F

T: 03-5573-4701 F: 03-5573-4708 www.sonicwall.co.jp [email protected] © 2005 SonicWALL, Inc. SonicWALLは、SonicWALL, Inc.の登録商標です。ここに記載されている他の製品名、企業名は、各企業の商標または登録商標です。

製品の仕様、説明は予告なく変更されることがあります。 P/ N 232-000949-00 Rev B 12/05

sonicwall ssl-vpn 管理者ガイドsoftware.sonicwall.com/sslvpn/documentation/ssl-vpn...sonicwall...

Documents