プロキシサーバ経由でのシグネチャデータベースのダウンロード設定手順

Description

SonicWall Firewall(UTM)装置を設置するネットワーク環境がHTTP/HTTPSをWebプロキシサーバ経由でのみアクセス許可とされている場合、この設定を行う必要が有りますので設定手順をお伝えいたします。

注意: 高可用性(HA)構成の場合は、「高可用性(HA)構成のプロキシサーバ経由でのシグネーチャデータベースのダウンロード設定の補足」も参照ください。

Cause

UTM装置のゲートウェイアンチウィルス、浸入防御、アンチスパイウェア、アプリケーションコントロールの機能には、シグネーチャデータベースのダウンロード/同期が必要になります。

シグネチャデータベースのダウンロード/同期を行う通信は、UTM製品から弊社バックエンドのライセンスマネージャーサーバとインターネット経由で通信が行われます。

Resolution

<内容>

ネットワーク環境と機能の概要

SonicWall ファイアウォール装置の上位のルータやファイアウォールにて、HTTP/HTTPS通信をWebプロキシサーバ経由(送信元がWebプロキシサーバの場合)のみインターネット(WAN)アクセス可能としている環境の場合、シグネチャーファイルを定期的に自動でダウンロードする事が可能にするためにはこの機能を設定する必要があります。

Image

通常、SonicWall ファイアウォール装置は、シグネチャをダウンロードする場合、装置のWAN IPを送信元とするHTTPSでシグネチャーサーバと通信します。

この通信がブロックされている場合、シグネチャーのダウンロードが行えないため、管理者は、手動でMySonicWallよりシグネチャーデータベースをダウンロードし、装置にインポートする必要があります。自動ダウンロードの場合、装置は2時間に一度新しいシグネチャーがあるか確認しあれば自動的に新しいシグネチャーをダウンロードを行います。管理者が手動で同様の作業を行うのは、困難で手間のかかる作業となります。

そのため、SonicWall装置では、プロキシー経由でHTTPでシグネチャーをダウンロードする方法を用意しています。

この機能の概要は以下のとおりです。

  • 下記のサーバに対するHTTPS通信を、HTTPで指定のプロキシーサーバ経由で通信を行います。
    ライセンスマネージャ(lm2.sonicwall.com): セキュリティサービスが有効化どうかを確認します。
    シグネチャサーバ(sig2.sonicwall.com)
  • プロキシサーバおよびその上位のルータ/ファイアウォールでは、SonicWall装置からの上記サーバへのHTTP通信を可能なように設定しなければなりません。
  • SonicWall装置では、HTTPのペイロードを暗号化するためのキーを取得するためにライセンスキーセットを適用する必要があります。
  • 認証が必要なプロキシサーバの場合、SOnicWall装置では、Basic認証及びDigest認証をサポートしています。
  • 診断ツール204.212.170.144ネットワーク設定の確認ライセンスマネージャのテストでは送信元:装置のWAN IP/送信先: ライセンスマネージャのHTTPSでの通信を行います。この環境ではテストが失敗します。
  • この設定を行った後は、ライセンスの更新はMySonicWallにて実施します。次回のシグネチャ更新のタイミングで、機器にライセンスが同期されます。

手順の注意点

UTM装置の管理者画面から登録をこの手順以外のタイミングで行っているとこの機能の設定は正確に行われず、シグネチャデータベースのダウンロード/同期が成功しません。
その場合は、この手順のStep-0から行ってください。

シグネチャデータベースのダウンロード/同期の通信方式:

Webプロキシサーバを経由しない場合(直接ライセンスマネージャサーバとアクセスする場合)の通信は、HTTPSで行われます。
Webプロキシサーバを経由する場合の通信は、パケットのデータ部分を暗号化した HTTPを使用して、以下のように通信を行います。

    UTM装置 <--> Webプロキシサーバ <--> ライセンスマネージャサーバ

SonicOS 7.0 の場合

<SonicOS 6.5 の場合はこちら>

STEP-0: 準備

UTM装置が、直接Mysonicwall/ライセンスマネージャサーバと同期している場合(Webプロキシサーバを経由しない場合)は、本設定手順を始める前に下記の手順で同期状態を解除することが必要になります。

1.UTM装置の管理画面の内部設定にアクセス
UTM管理画面(GUI)にログインをした後、ブラウザのアドレスバーの 「https://アドレス/sonicui/7/m/dashboard/overview/status/device」を「https://アドレス/sonicui/7/m/mgmt/settings/diag」へ置き換えアクセスすると「内部設定」の画面に移動します。
2.内部設定の「ライセンスとセキュリティサービス情報のリセット」を実行します。この時再起動が発生します。
3.装置が再起動するのを待って、次のステップに進みます。

※注意※ 内部設定の「ライセンスとセキュリティサービス情報のリセット」以外の項目の実行や設定変更は、弊社サポート対象外となることもありますので、注意願います。ご自分の判断だけでは絶対に行なわず弊社テクニカルサポートエンジニアの指示の元、適切に行ってください。

STEP-1:

(1) MySonicWallにログインし、My Workspace|Tenant Product|該当装置のシリアル番号をクリックすると、ライセンス状況が表示されます。

(2) 手動でアップグレードをクリックしてから「製品にキーセットを追加」をクリックするとキーセットが表示されます。

(3)「コードをコピー(Copy to clipboard)」をクリックしクリップボードにキーセットをコピーします。これで、MySonicWallでの作業は終了です。

(4) UTM管理画面(GUI)にログインし、デバイス|設定ライセンス を開きます。Mysonicwall.comへのログインダイアログが表示されるのでxボタンをクリックして閉じます

Image

(5) "手動"をクリックします。「手動ライセンスアップグレード」の入力フィールドにwww.Mysonicwall.comより入手したライセンスキーセット(上記3)を張り付け、「適用」をクリックします。
(6) 再起動を要求されるのでRestartをします。
(7) 装置が再起動して管理画面にログインできるようになるのを待って、次のステップに進みます。

STEP-2
UTM管理画面(GUI)のポリシーセキュリティサービスサマリ を開き、"プロキシを通してのシグネチャダウンロード"の項目で以下の設定を行います。
1.”プロキシサーバを通してシグネチャをダウンロードする”にチェックを入れる。
2."プロキシサーバ名またはIPアドレス"と"プロキシサーバポート"を入力。
3.Webプロキシサーバ側で認証設定を行っている場合は、”このプロキシサーバは認証が必要です”を有効にし、ユーザ名とパスワードを入力します。
4.「ネットワーク セキュリティ ポータルのユーザ名」および「ネットワーク セキュリティ ポータルのパスワード」のフィールドにMysonicwall.comのEmailアドレスもしくはユーザ名およびパスワードを入力します。
5.ページの最下部の「適用」をクリックします。

Image

STEP-4:
同じページ(ポリシー | セキュリティサービス > サマリ)の「www.sonicwall.com とライセンスを同期する」の項目の「同期」ボタンが表示されることを確認します。
※ここで同期ボタンが出て来ない場合は、手順に不備がある可能性が有ります。トラブルシューティングを参照し問題の切り分けを行なって下さい。

ヒント: 実際には、SonicWall装置はwww.mysonicwall.comとは通信を行いません。装置がライセンス情報を確認/同期を行うために通信するのはライセンスマネージャです 
Image

STEP-5:
www.sonicwall.com とライセンスを同期する」の項目の「同期」ボタンをクリックし、しばらく同期が終了するのを待ちます。

STEP-6:
UTM管理画面(GUI)のポリシーセキュリティサービスゲートウェイアンチウィルスを開くと、”ゲートウェイアンチウィルスの失効期日”にライセンスの失効日が表示されます。”シグネーチャデータベースのタイムスタンプ”の右側にある「更新」 ボタンをクリックすると、ダウンロードが開始し”ダウンロード中”である旨の表示に変わります。

しばらくすると、ダウンロードが終わり、最新のシグネーチャデータベースのタイムスタンプに更新されます。

<補足>

ライセンスの更新はMySonicWall(https://www.mysonicwall.com/)にて更新ください。

24時間以内にライセンス情報が反映されます。すぐにライセンス更新情報を適用したい場合、STEP-5の「www.sonicwall.com とライセンスを同期する」の項目の「同期」ボタンを再度クリックください。

尚、デバイス>設定>ライセンスからはライセンス更新情報は確認することは出来ませんがSonicWall内部で更新されております。(例:ゲートウェイアンチウイルスの失効期日が更新されていることを確認することは可能です)。

SonicOS 6.5 の場合

<SonicOS7の場合はこちら>

STEP-0: 準備

UTM装置が、直接Mysonicwall/ライセンスマネージャサーバと同期している場合(Webプロキシサーバを経由しない場合)は、本設定手順を始める前に下記の手順で同期状態を解除することが必要になります。

1.UTM装置の管理画面の内部設定にアクセス
UTM管理画面(GUI)にログインをした後、ブラウザのアドレスバーの 「https://アドレス/main.html」の"main"を"diag"に置き換えて「https://アドレス/diag.html」でアクセスすると「内部設定」の画面に移動します。
2.内部設定の「ライセンス&セキュリティサービス情報のリセット」を実行します。
3.「閉じる」ボタンをクリックすると、内部設定が終了し、元の画面に移動します。

※注意※ 内部設定の「ライセンス&セキュリティサービス情報のリセット」以外の項目の実行や設定変更は、弊社サポート対象外となることもありますので、注意願います。ご自分の判断だけでは絶対に行なわず弊社テクニカルサポートエンジニアの指示の元、適切に行ってください。

Image 

STEP-1:

MySonicWallのMy Workspace|Tenant Product|該当装置のシリアル番号をクリックすると、ライセンス状況が表示されます。



手動でアップグレードをクリックしてから「製品にキーセットを追加」をクリックするとキーセットが表示されるので「Copy to clipboard」をクリックして

クリップボードにキーセットをコピーします。

UTM管理画面(GUI)にログインし、システム|ライセンス を開き、「手動でアップグレード」の「キーセットの入力」の入力フィールドにwww.Mysonicwall.comより入手したライセンスキーセットを張り付け、「適用」をクリックします。
この段階では画面右上の「登録」という登録画面へのリンク文字が表示されています。
Image


STEP-2:
再起動する旨の指示が出る場合は、再起動を実施します。(登録コードを最初に入力した場合などに促されます)
再起動後に表示される下記の画面では、必ず “Register Later” (後で登録)をクリックします。

height=



STEP-3:
UTM管理画面(GUI)のセキュリティサービス|概要 を開き、"プロキシを通してのシグネチャダウンロード"の項目で以下の設定を行います。
1.”プロキシを通してのシグネチャダウンロードする”にチェックを入れる。
2."プロキシサーバ名またはIPアドレス"と"プロキシサーバポート"を入力。
3.Webプロキシサーバ側で認証設定を行っている場合は、”このプロキシサーバは認証が必要です”を有効にし、ユーザ名とパスワードを入力する。
4.Mysonicwallのアカウント情報を入力します。
「ネットワーク セキュリティ ポータルのユーザ名」および「ネットワーク セキュリティ ポータルのパスワード」のフィールドにMysonicwall.comのユーザ名(emailアドレス)およびパスワードを入力します。
5.ページの最上位か最下部の「適用」をクリックします。

height=



STEP-4:
同じページ(セキュリティサービス|概要)の「ライセンスの同期」の項目の「同期」ボタンが表示されることを確認します。
※ここで同期ボタンが出て来ない場合は、手順に不備がある可能性が有ります。トラブルシューティングを参照し問題の切り分けを行なって下さい。


STEP-5:
「ライセンスの同期」の項目の「同期」ボタンをクリックし、同期が終了すると、画面右上の「登録」という文字は消え、「警告 | ウィザード | ヘルプ | ログアウト 」だけになります。

height=


STEP-6:
UTM管理画面(GUI)のセキュリティサービス|Gateway Anti-Virus (ゲートウェイアンチウィルス)を開くと、”ゲートウェイアンチウィルスの失効期日”にライセンスの失効日が表示されます。”シグネーチャデータベースのタイムスタンプ”の右側にある「更新」 ボタンをクリックすると、ダウンロードが開始し”ダウンロード中”である旨の表示に変わります。

height=

しばらくすると、ダウンロードが終わり、最新のシグネーチャデータベースのタイムスタンプに更新されます。

height=

 

<補足>

ライセンスの更新はMySonicWall(https://www.mysonicwall.com/)にて更新ください。

24時間以内にライセンス情報が反映されます。すぐにライセンス更新情報を適用したい場合、STEP-5の「ライセンスの同期」の項目の「同期」ボタンを再度クリックください。

尚、システム>ライセンスからはライセンス更新情報は確認することは出来ませんがSonicWall内部で更新されております(例:ゲートウェイアンチウイルスの失効期日が更新されていることを確認することは可能です)。

トラブルシューティング

<ページのトップに戻る

一般的な問題点は以下のとおりです。

  1. セキュリティサービスの設定画面にて、ライセンスが有効でない為設定ができない。
  2. ライセンスの同期に失敗する/ライセンス情報が反映されない。
  3. シグネチャデータベースがダウンロードできない。最新のシグネチャの確認に失敗する。

以下のトラブルシュートを実施して下さい。

  1. ここに記載されたSTEP-0からの手順を正確に実施しているか確認ください。ここで説明している手順は確実に設定を行う唯一の確認済みの手順です。
  2. 診断ツール > pingでSonicWall装置がプロキシと接続できるか確認します。
  3. プロキシサーバがライセンスマネージャ(lm2.sonicwall.com)、シグネチャサーバ(sig2.sonicwall.com) とHTTP(TCP80番)で通信できることを確認します。
  4. プロキシサーバのアクセスログを参照し、SonicWall装置からのプロキシ通信を確認します。
  5. 上記を確認して問題がない場合は、SonicWall装置でパケットキャプチャを実施します。
    送信先:プロキシサーバのIPアドレス
    送信元: 一般的にはWAN IPですが、構成によってプロキシサーバと通信を行うインターフェースのIPを指定して下さい。
    詳細監視フィルターでファイアウォールの生成パケットを監視する (これはインターフェース フィルタをバイパスします)。をチェックします。
    パケットキャプチャ後、pcapng形式でエクスポートしたものを準備の上、SonicWallサポートへお問い合わせください。

 

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
TZ Series
not finding your answers?
Ask the Community