SonicWall が 地域IP ルックアップを行う方法

SonicWall が 地域IP ルックアップを行う方法

質問:

SonicWall はどのように 地域IP (Geo-IP) ルックアップを行いますか？

回答:

SonicWall UTM装置において地域IP フィルタがライセンスされている場合、 geoipdata.global.sonicwall.com から国データベースをダウンロードします。これは国とそのIDのリストで、テクニカル サポート レポート (TSR) 内の Aggregate Geo IP Report  以下の Status セクションで確認できます。何らかの理由によりリストのダウンロードに失敗した場合、セキュリティ サービス > 地域IP フィルタ にある状況セクションが黄色表示となります。緑表示はダウンロードが成功したことを意味します。さらに、トラフィックがSonicWallを通過する際に、SonicWallは ネットワーク> DNS ページで設定されたDNS サーバに対してDNS 問い合わせを行うことで地域IP ルックアップを行います。

地域IP ルックアップは以下の3つの機能のうちひとつでも有効な場合に行われます:

• アプリケーション フロー監視およびアプリケーション フロー報告における可視化 – これは可視化が有効化 (フロー報告 > ローカル/外部 コレクターにアプリケーション フローを送信する) されている場合に有効となります。アプリケーション可視化ライセンスを必要とします。既定では、SonicWallにおいて可視化ライセンスが有効で内部/外部コレクター フロー報告が有効であれば、GeoIP も有効化されています。
• 地域IP フィルタ が有効な場合 – 国ベースの遮断 – これはアプリケーション可視化ライセンスに含まれます。
• Botnet フィルタ が有効な場合 – 別売りの Botnet フィルタ ライセンスを必要とします。

DNS 問い合わせのレスポンスには国IDが含まれます。このIDをもとに、そして地域IP フィルタでその国が遮断されている場合、SonicWallはトラフィックを遮断します。DNS問い合わせおよびレスポンスの遅延により、割り当てIPに対する最初の接続は遮断されません。しかしながら、同じIPに対する引き続きの接続はSonicWALLがそのIPを自身のキャッシュに保持しますので遮断されます。接続の試行がHTTP GETの場合、SonicWallは遮断ページを表示します。その他の接続は単に遮断されます。