• SonicOS 7
• ゾーン
  • ゾーンの動作
  • 事前定義ゾーン
  • セキュリティ種別
  • インターフェース間通信を許可する
  • ゾーンでの SonicWall セキュリティ サービスの有効化
  • 無線および非無線コントローラ モードの効果
    • 非無線コントローラ モードを有効にした場合の影響
    • 無線コントローラ モードを有効にした場合の影響
  • 一致オブジェクト > ゾーン
    • ゾーンの設定テーブル
    • 新しいゾーンの追加
    • ゲスト アクセス用ゾーンの設定
    • オープン認証およびソーシャル ログイン用ゾーンの設定
    • RADIUS によるキャプティブ ポータル認証用のゾーンの設定
    • ユーザ定義ポリシー メッセージ用のゾーンの設定
    • ユーザ定義ログイン ページ用ゾーンの設定
    • WLAN ゾーンの設定
    • RADIUS サーバの設定
    • DPI-SSL をゾーン単位できめ細かく制御する設定
    • ユーザポリシー ページへの自動リダイレクトを有効にする
    • ゾーンの削除
• アドレス
  • アドレス オブジェクトの種別
  • アドレス グループについて
  • アドレス オブジェクト/グループの UUID について
  • アドレス ページ
    • 共通の機能
      • 共通の機能
      • 共通の列見出し
    • エントリの並べ替え
  • 既定のアドレス オブジェクトおよびアドレス グループ
  • 既定の Pref64 アドレス オブジェクト
  • 既定の、悪意のあるアドレス グループ
  • アドレス オブジェクトの追加
  • アドレス オブジェクトの編集
  • ユーザ定義アドレス オブジェクトの削除
  • MAC または FQDN アドレス オブジェクトの消去
  • アドレス グループの作成
  • アドレス グループの編集
  • アドレス グループの削除
  • 動的アドレス オブジェクトの使用
    • 動的アドレス オブジェクトの主要な機能
    • ネットワーク上の承認済みサーバの使用の強制
    • MAC および FQDN 動的アドレス オブジェクトの使用
      • FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断
      • FQDN ベースのアクセス ルールに適した内部 DNS サーバの使用
      • MAC アドレスによる動的ホストのネットワーク アクセスの制御
      • ドメイン全体へのアクセスの帯域幅管理
• サービス
  • 既定のサービス オブジェクトおよびグループ
  • ユーザ定義サービス オブジェクト用の 定義済み IP プロトコル
  • 定義済みプロトコルを使用したサービス オブジェクトの追加
  • カスタム IP 種別サービスの追加
    • 設定例
  • ユーザ定義サービス オブジェクトの編集
  • ユーザ定義サービス オブジェクトの削除
  • ユーザ定義サービス グループの追加
  • ユーザ定義サービス グループの編集
  • ユーザ定義サービス グループの削除
• URI リスト
  • URI と URI リストについて
  • URI リスト グループについて
  • キーワードとキーワード リストについて
  • URI リスト オブジェクトの照合
  • URI リスト オブジェクトの使用
  • URI リスト オブジェクトの管理
    • URI リスト オブジェクト テーブルについて
    • URI リスト オブジェクトの設定
    • URI リスト オブジェクトのエクスポート
    • URI リスト オブジェクトの編集
    • URI リスト オブジェクトの削除
  • URI リスト グループの管理
    • URI リスト グループ テーブルについて
    • URI リスト グループの追加
    • URI リスト グループの編集
    • URI リスト グループの削除
• 一致オブジェクト
  • 一致オブジェクトについて
    • 正規表現について
      • 正規表現の構文
    • 不一致検索について
  • アプリケーション リスト オブジェクトについて
    • アプリケーション フィルタについて
    • 種別フィルタについて
  • 一致オブジェクトの設定
  • アプリケーション リスト オブジェクトの設定
• スケジュール
  • 個別スケジュールの追加
  • スケジュールの変更
  • 個別スケジュールの削除
• 動的グループ
  • 動的外部アドレス グループ ファイルについて
  • DEAG および DEAO の最大数
  • 高可用性の要件
  • 動的外部オブジェクトの追加
  • 動的外部オブジェクトの編集
  • 動的外部オブジェクトの削除
• 電子メール アドレス
  • 電子メール アドレス オブジェクトの設定
• SonicWall サポート
  • このドキュメントについて

MAC アドレスによる動的ホストのネットワーク アクセスの制御

ほとんどのネットワークでは静的なアドレス設定よりも DHCP が利用されることの方がはるかに多いため、特に、動的な DNS 更新が行われていない場合や、ホスト名が常に確定しているとは言えない環境では、動的に構成されるホストの IP アドレスを予測するのが困難な場合があります。このような状況では、MAC アドレス オブジェクトを使用することにより、ほぼ不変の MAC (ハードウェア) アドレスに基づいてホストのアクセスを制御することができます。

その他のほとんどのアクセス制御方法と同様、MAC アドレスによるアクセス制御も、アクセスを原則的に許可して特定のホストまたはホストのグループを送信先/送信元とするアクセスのみを禁止する方法と、アクセスを原則的に禁止して特定のホストまたはホストのグループに対してのみアクセスを許可する方法のどちらでも利用できます。ここでは、例として後者の場合を示します。

DHCP 対応の複数の無線クライアントがあり、それらのクライアントで独自のオペレーティング システムが実行されているため、ユーザ レベルの認証は一切利用できないと仮定します。このとき、それらのクライアントに LAN 上のアプリケーション固有のサーバ (例えば、10.50.165.2) へのアクセスのみを許可することを考えます。WLAN セグメントではセキュリティのために WPA-PSK が使用されていますが、これらのクライアントからのアクセスを許可する対象は 10.50.165.2 のサーバのみであり、LAN 上のそれ以外のリソースへのアクセスはすべて禁止しなければなりません。また、その他のすべての無線クライアントに対しては、10.50.165.2 へのアクセスのみを禁止し、それ以外の場所へのアクセスはすべて許可する必要があります。

ステップ 1 – MAC アドレス オブジェクトの作成:

1. 「オブジェクト > 一致オブジェクト > アドレス > アドレス オブジェクト」ページに移動します。

2. 「追加」をクリックし、次の MAC アドレス オブジェクトを作成します (マルチホームのオプションは必要に応じて選択します)。

   

3. アドレス オブジェクトの作成完了時点において、対象のホストがファイアウォールの ARP キャッシュに含まれている場合は、直ちにその解決が行われます。ARP キャッシュ内にホストの情報が存在しない場合は、ホストが有効化されて ARP によって検出されるまでの間、「アドレス オブジェクト」テーブルにはそれらのアドレスが「未解決」状態として表示されます。

4. ハンド ヘルド デバイス用のアドレス グループを作成します。

ステップ 2 – アクセス ルールの作成:

1. 「ポリシー > アクセス ルール」ページに移動します。

2. 「追加」をクリックし、下の表に示されている設定で 4 つのアクセス ルールを作成します。

   サンプルのアクセス ルール

   設定	アクセス ルール1	アクセス ルール2	アクセス ルール3	アクセス ルール4
   許可 / 拒否	許可	禁止	許可	禁止
   送信元ゾーン	WLAN	WLAN	WLAN	WLAN
   送信先ゾーン	LAN	LAN	LAN	LAN
   サービス	MediaMoose サービス	MediaMoose サービス	すべて	すべて
   送信元	ハンドヘルド デバイス	すべて	ハンドヘルド デバイス	すべて
   送信先	10.50.165.2	10.50.165.2	すべて	すべて
   許可ユーザ	すべて	すべて	すべて	すべて
   スケジュール	常に有効	常に有効	常に有効	常に有効

この例では、ハンドヘルド デバイスによって使用される特定のアプリケーションを表すために「MediaMoose サービス」というサービスを使用しています。固有サービスの宣言はオプションであり、必要に応じて行ってください。