• SonicOS 7 ルールとポリシー
• アクセス ルール
  • ファイアウォール アクセス ルールの設定
    • ステートフル パケット検査の既定のアクセス ルールについて
    • 接続の制限について
    • アクセス ルールによる帯域幅管理の使用
      • アクセス ルールでの帯域幅管理の有効化
    • アクセス ルールの設定
      • 詳細設定の構成
      • QoS 設定値の構成
      • 詳細帯域幅管理での帯域幅管理の設定
      • グローバル帯域幅管理での帯域幅管理の設定
      • 地域 IP 設定値の構成
      • アクセス ルールの確認
      • IPv6 のアクセス ルールの設定
      • NAT64 のアクセス ルールの設定
      • DNS プロキシのアクセス ルール
      • アクセス ルールのユーザ優先順位
      • アクセス ルールの表示
        • ゾーン別
        • 列ごと
      • ゾーン間アクセス ルールの最大数の指定
      • ゾーンのアクセス ルールの設定
    • アクセス ルールの有効化と無効化
    • アクセス ルールの編集
    • アクセス ルールの削除
    • アクセス ルールの既定の設定の復元
    • アクセス ルールのトラフィック統計の表示
  • アクセス ルールの設定例
    • Ping の有効化
    • 特定のサービスへの LAN アクセスの遮断
    • LAN ゾーンからの WAN プライマリ IP アクセスの許可
• NAT ルール
  • SonicOS での NAT について
  • NAT 負荷分散について
    • 使用する NAT LB 方式の決定
    • 注意
    • 負荷分散アルゴリズムの適用方法
    • スティッキー IP アルゴリズムの例
      • 例 1 - ネットワークへの割付
      • 例 2 - IP アドレス範囲への割付
  • NAT64 について
    • Pref64::/n の使用
  • FQDN ベースの NAT について
  • 送信元 MAC アドレスの置き換えについて
  • NAT ポリシー エントリの表示
    • 表示の変更
    • 表示のフィルタリング
    • ポリシーに関する情報の表示
  • 「NAT または NAT64 の追加または編集」ポリシー
  • NAT ポリシーの削除
  • NAT ルール ポリシーの作成 例
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    • WAN IP アドレス経由の着信ポート アドレス変換
    • 多対 1 の NAT ポリシーの作成
    • 多対多の NAT ポリシーの作成
    • 1 対多の NAT 負荷分散ポリシーの作成
    • 2 台のウェブ サーバの NAT 負荷分散ポリシーの作成
    • NAT64 ポリシーのための WAN から WAN へのアクセス ルールの作成
    • DNS 改竄
• ルーティング ルール
  • ルーティングについて
    • メトリックと管理距離
      • メトリックについて
      • 管理距離について
    • ルート通知
    • ECMP ルーティング
    • ポリシーベース ルーティング
    • ポリシーベース TOS ルーティング
    • PBR のメトリックベースの優先順位
    • ポリシー ベースのルーティングと IPv6
    • OSPF および RIP の高度なルーティング サービス
      • ルーティング サービスについて
        • プロトコル種別
        • 最大ホップ数
        • スプリット ホライズン
        • ポイズン リバース
        • ルーティング テーブル更新
        • サブネット サイズのサポート
        • 自律システム トポロジ
      • OSPF の条件
    • ドロップ トンネル インターフェース
    • アプリベースのルーティング
  • ルールとポリシー > ルーティング ルール
    • ルーティング ルールの設定
      • 静的ルートの追加
      • プローブに対応したポリシーベース ルーティングの設定
• コンテンツ フィルタ ルール
  • コンテンツ フィルタ ルール (CFS) について
    • コンテンツ フィルタ ルールについて
    • CFS ポリシーの UUID について
    • コンテンツ フィルタ オブジェクトについて
    • CFS の動作
  • CFS ポリシーの設定
    • コンテンツ フィルタ ルール テーブルについて
      • コンテンツ フィルタ ルール テーブルの検索
    • コンテンツ フィルタ ルールの追加
    • コンテンツ フィルタ ルールの編集
    • コンテンツ フィルタ ルールの削除
• アプリケーション ルール
  • アプリケーション ルールについて
    • アプリケーション ルールとは？
      • アプリケーション ルール ポリシーについて
      • アプリケーション ルールの性能について
    • アプリケーション ルールのメリット
    • アプリケーション制御の仕組み
    • アプリケーション制御ポリシーの作成について
    • アプリケーション ルール ポリシーの作成について
    • プリケーション ルールとアプリケーション制御 のライセンス
    • 用語
  • ルールとポリシー > アプリケーション ルール
    • アプリケーション ルール ポリシーの設定
    • アプリケーション ルール ウィザードを使用する
  • アプリケーション ルール設定の確認
    • 便利なツール
      • Wireshark
      • 16 進エディタ
  • アプリケーション ルールの使用例
    • 一致オブジェクトでの正規表現の作成
    • ポリシーベースのアプリケーション ルール
    • アプリケーション シグネチャベース ポリシーのログ
    • コンプライアンスの施行
    • サーバの保護
    • ホストされる電子メール環境
    • 電子メール制御
    • ウェブ ブラウザ制御
    • HTTP POST 制御
    • 禁止するファイル タイプ制御
    • ActiveX コントロール
    • FTP 制御
      • 機密ファイルの FTP 送信の遮断
      • 送信 UTF-8/UTF-16 エンコード ファイルの遮断
      • FTP コマンドの遮断
    • 帯域幅管理
    • DPI をバイパス
    • 個別のシグネチャ
    • リバース シェル悪用の防御
      • ネットワーク アクティビティの生成
      • Wireshark を使用したペイロードのキャプチャおよびテキスト ファイルへのエクスポート
      • 一致オブジェクトの作成
      • ポリシーの定義
• エンドポイント ルール
• SonicWall サポート

プリケーション ルールとアプリケーション制御 のライセンス

アプリケーションの視覚化および制御には、次の 2 つのコンポーネントがあります。

• 可視化コンポーネントは、「装置の健全性」ページでのアプリケーション トラフィックの識別およびレポート機能を提供します。
• 制御コンポーネントは、ネットワークで処理されるアプリケーション トラフィックのログ記録、遮断、帯域幅管理を行うためのアプリケーション ルールおよびアプリケーション制御ポリシーの作成および執行を可能にします。

また、アプリケーション可視化とアプリケーション制御は、SonicWall ゲートウェイ アンチウイルス (GAV)、アンチスパイウェア、侵入防御サービス (IPS) を含むその他のセキュリティ サービスと合わせたバンドル形式でライセンスされます。

MySonicWall での登録時や、登録済み SonicOS 機器への SonicWall のロード時には、サポートされている SonicWall 装置でアプリケーション可視化とアプリケーション制御の 30 日間トライアル ライセンスが自動的に開始され、アプリケーション シグネチャが装置にダウンロードされます。

30 日間無料トライアルは、バンドルされている他のサービスでも使用できますが、アプリケーション可視化やアプリケーション制御の場合のように自動的に有効になることはありません。追加の無料トライアルは、SonicOS の個別のセキュリティ サービス ページまたは MySonicWall で開始できます。

「デバイス | AppFlow > フロー報告」ページ (『SonicOS ログとレポート』技術マニュアルの「フロー報告の統計の管理」セクションを参照) でリアルタイム データの収集を手動で有効にすると、「ライブ監視」ページでリアルタイムのアプリケーション トラフィックを見ながら、ファイアウォールのアプリケーション シグネチャ データベースにある識別/分類されたフローに対する別の「監視」ページでアプリケーションの活動を確認することができます。

アプリケーション制御の使用を開始するには、この機能を「ポリシー | ルールとポリシー > アプリケーション制御」ページの「アプリケーション制御のグローバル設定」ビューで有効にする必要があります。

「アプリケーション ルール」と「アプリケーション制御」で作成したポリシーの使用を開始するには、「ポリシー | ルールとポリシー > アプリケーション制御 | アプリケーション制御のグローバル設定」ページで「アプリケーション制御を有効にする」を選択します。

「ポリシー | ルールとポリシー > アプリケーション制御 | アプリケーション制御のグローバル設定」ページの「アプリケーション制御を有効にする」チェックボックスをオンにすると、精密パケット検査 (DPI) を通過したすべてのトラフィックで Connection Closed (接続クローズ) Syslog メッセージに dpi=1 の Syslog タグが表示されるようになります。DPI を通過しなかったトラフィックでは、Connection Closed (接続クローズ) Syslog メッセージで dpi=0 と表示されます。Syslog タグ フィールド説明のインデックスの詳細と、SPI タグを説明する Syslog の例については、『SonicOS ログ イベント管理ガイド』を参照してください。

30 日間トライアルを開始する (登録時) か、セキュリティ サービス ライセンス バンドルを購入すると、SonicWall ライセンス サーバによってアプリケーション可視化とアプリケーション制御のライセンス キーがファイアウォールに提供されます。

ライセンスは、www.mysonicwall.com の「ゲートウェイ サービス」の下にある「サービス管理」ページで入手できます。

セキュリティ サービス ライセンス バンドルには、次の購読サービスのライセンスが含まれます。

• アプリケーション可視化
• アプリケーション制御
• ゲートウェイ アンチウイルス
• ゲートウェイ アンチスパイウェア
• 侵入防御サービス

アプリケーション シグネチャの更新と他のセキュリティ サービスのシグネチャの更新は、これらのサービスのライセンスされている限り、定期的にファイアウォールにダウンロードされます。

SonicOS 管理インターフェースでアプリケーション制御を無効にしている場合は、その機能を再び有効にするまでアプリケーション シグネチャの更新が中断されます。

2 つのファイアウォール間で高可用性が設定されていると、それらの装置はセキュリティ サービス ライセンスを共有できます。この機能を使用するには、MySonicWall でファイアウォールを関連付けられた製品として登録する必要があります。どちらの装置も同じ SonicWall ネットワーク セキュリティ装置モデルでなければなりません。

高可用性ペアでは、MySonicWall で初めて装置を登録する場合も、プライマリ装置とセカンダリ装置の双方を SonicOS 管理インターフェースから個別に登録して、各装置のそれぞれの管理 IP アドレスにログインする必要があります。これにより、セカンダリ装置はファイアウォール ライセンス サーバと同期され、関連付けられているプライマリ装置とライセンスを共有できるようになります。インターネットへのアクセスが制限されている場合は、共有するライセンスを手動で両方の装置に適用できます。