UTM/Firewall: SSLVPNの接続元IPアドレスを制限する方法

Description

SSLVPNをWANで有効にしている場合、ブルートフォース攻撃を試みるユーザからのアクセスにより回線の帯域や装置のCPUリソースを不要に消費してしまう事があります。

リモートアクセスする必要のあるユーザの拠点が限定されている場合、SSLVPNサービスを特定のIPアドレスに対し許可する事でこれらの攻撃からファイアーウォールを保護する事が出来ます。

Cause

WANゾーンでSSLVPNを有効化するとWAN>WANのすべての送信元からSSLVPNを許可するアクセスルールが自動追加されます。

このルールは編集する事が出来ません。

Resolution

  1. SonicWALL管理画面にログインします。
  2. ブラウザのURLバーに[https://(SonicWALL管理IP/sonicui/7/m/mgmt/settings/diag]と入力し、ページを移動します。
  3. 内部設定ボタンをクリックします。
    Image
  4. 自動的に追加されたアクセス ルールの削除および完全な編集を行う機能を有効にするをオンにします。
    Image
  5. SSL VPN アクセス ルールを自動生成するをオフにします。
    Image
  6. 画面上部の適用ボタンをクリックして設定を反映させ、内部設定を閉じるボタンをクリックして設定画面へ戻ります。
    Image
  7. ポリシー|ルールとポリシー|アクセス ルール ページで送信元WAN送信先WANのSSLVPNの許可ルールを開き送信元をすべてから任意のアドレスオブジェクトに変更します。Image 
  8. アクセスルールを自動的に追加されたアクセス ルールの削除および完全な編集を行う機能を有効にするをオフにします。

 

なお、SonicOS7.1.3以降では内部設定での設定変更は不要で直接アクセスルールを編集できるようになります。

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
NSa Series
Firewalls
NSsp Series
Firewalls
TZ Series
not finding your answers?
Ask the Community