SonicOS 7 セキュリティ サービス

Technical Documentation>  地域 IP フィルタの設定>  地域 IP フィルタの設定
Table of Contents

地域 IP フィルタの設定

設定」ページには、地域 IP フィルタで構成できる設定のグループが表示されます。こうした設定のいくつかの横には、その設定に関する画面上のヒントを表示する (情報) アイコンがあります。

  • 「国」タブで選択した国との双方向の接続を遮断する - このオプションは既定で選択されています。このオプションが有効な場合、指定した国に対する双方向の接続がすべて遮断されます。除外リストを指定すると、選択した IP の遮断を除外できます。このオプションを選択すると、次の 2 つのオプションが使用できるようになります。
    • すべての接続 - 地域フィルタの 2 つのモードのうち 1 つを選択します。ファイアウォールとの双方向の接続すべてをフィルタします。このオプションは、既定では選択されています。
    • ファイアウォール ルール基準の接続 - こちらを選択すると、ファイアウォールに設定されたアクセス ルールに一致する接続だけが遮断のためにフィルタされます。
  • 地域 IP データベースがダウンロードされていない場合、パブリック IP に対するすべての接続を遮断する - このオプションは、既定では選択されていません。地域 IP データベースがダウンロードされていない場合、こちらを選択するとパブリック IP アドレスからの接続試行はすべて破棄されます。
  • ユーザ定義リストを有効にする - このオプションは、既定では選択されていません。ユーザ定義リストは、IP アドレスに対する国の割り当ての誤りを訂正するために使用されます。このチェックボックスをオンにすると、「ユーザ定義リストでファイアウォールの国を上書きする」が使用可能になります。
  • ユーザ定義リストでファイアウォールの国を上書きする - この選択肢は「ユーザ定義リストを有効にする」がオンになっている場合に限り使用できます。選択すると、ユーザ定義リストにより、差異がある場合にファイアウォール リストを上書きできます。ユーザ定義リストを有効にしていても、この上書きを選択しない限りファイアウォール リストが優先されます。
  • ログを有効にする - このオプションは既定では選択されていません。選択すると、フィルタ イベントのログが有効になります。

」ページには、地域 IP フィルタによって特定の国を遮断するように構成できる設定のグループが表示されます。

  • 遮断する国テーブル - 遮断する国のチェックボックスをオンにします。既定では、どの国も遮断されません。テーブル上部のチェックボックスをオンにして、すべての国を選択し、その後、遮断の対象から除外する国を個別にクリックして選択解除することができます。
  • すべての不明な国を遮断する - リストされていない国をすべて遮断する場合は、このオプションを選択します。不明なパブリック IP に対する接続がすべて遮断されます。このオプションは、既定では選択されていません。

  • 地域 IP 除外オブジェクト - 承認された IP アドレスに対するすべての接続の除外リストを設定できます。

    リストからアドレス グループを選択します。既定は「Default Geo-IP and Botnet Exclusion Group」です。

    地域 IP 除外オブジェクトとは、地域 IP フィルタの遮断から除外する、IP アドレスのグループまたは範囲を指定するネットワーク アドレス オブジェクト グループです。このアドレス オブジェクトまたはグループ内のすべての IP アドレスは、それが遮断対象の国のものであっても許可されます。

    例えば、国 A からのすべての IP アドレスを遮断するように設定されており、国 A からの IP アドレスが検出された場合に、このアドレスが「地域 IP 除外オブジェクト」リストに含まれていれば、この IP アドレスとの間の双方向のトラフィックの通過が許可されます。

    この機能が正しく動作するためには、国データベースがファイアウォールにダウンロードされている必要があります。このダウンロードが失敗している場合は、ページの右上にある 「状況」 インジケータが黄色になります。緑色の状況は、データベースが正しくダウンロードされていることを示します。

    国データベースをダウンロードするには、ファイアウォールがアドレス geodnsd.global.SonicWall.com を解決できなければなりません。

    ユーザが遮断対象の国のウェブ ページへのアクセスを試みると、そのユーザのウェブ ブラウザ上に遮断ページが表示されます。

    遮断対象の国への接続が一時的で、ファイアウォールがその IP アドレスのキャッシュを持っていない場合は、接続が即時に遮断されないことがあります。結果として、遮断対象の国への接続が時折 AppFlow 監視に現れることがあります。しかしながら、それと同じ IP アドレスへの追加の接続は即時に遮断されます。

次のどちらかをクリックします。

  • 変更を確認する場合は「適用」。
  • 変更をキャンセルする場合は「リセット」。