第6世代ファイアウォールのアップデートパスについて

Description

このKBでは、6.5.4.15より古いバージョンの第6世代ファイアウォールであるTZシリーズおよびNSAシリーズの推奨アップグレードパスについて説明します。

Resolution

SonicWallでは、セキュリティとパフォーマンスを強化するために、最新のアプライアンスファームウェアを実行することを推奨しています。

現在運用中のファームウェアが6.5.4.15より古いバージョンの場合は、次に示すアップグレードパスに沿って段階的にファームウェアアップグレードを行ってください。

 

1. ファイアウォールの現在のファームウェアバージョンに対応する中間ファームウェアバージョンが必要です。

例えば、現在のバージョンが6.5.2.2の場合、中間ファームウェアバージョン6.5.4.7にアップグレードしその後6.5.4.15にアップグレードします。

2024年10月現在、中間ファームウェアはMysonicWall上で非公開のためサポートセンターにお問い合わせください。

また、過去にサポートセンターから提供されたHotfix版ファームウェアで継続運用中のお客様もサポートセンターにお問い合わせください。

 

2. Gen6のファームウェアのダウンロードとインストールについては、KBの記事に従ってください:SonicOSファームウェアをアップグレードするにはどうすればよいですか?| ソニックウォール

 

3. 中間ファームウェアがインストールされたら、ファイアウォールが正しく機能し、すべてのサービスが動作していることを確認します。

 

4. 推奨パスの次のファームウェア、または最新バージョンのファームウェアについては、前述と同じプロ セスに従ってください。

 

5. ファームウェアの最新バージョンがインストールされたら、ファイアウォールが正常に動作していることを確認するために、最終検証を実行します。

これらの手順に従うことで、古いバージョンからファイアウォールをアップグレードし、最適なセキュリティとパフォーマンスを確保することができます。

 

 

運用中のSonicOSバージョン推奨されるアップグレードパス
OS 6.2.5.x世代、またはそれよりも古い世代OS 6.5.1.3
OS 6.5.1.x世代、OS 6.5.2.x世代、OS 6.5.3.x世代、OS 6.5.4.7より古い6.5.4.xバージョンOS 6.5.4.7
OS 6.5.4.7以上かつOS 6.5.4.15より古いバージョンOS 6.5.4.15

 

注意:アップグレードに伴う仕様変更によりアップグレード後に設定変更が必要となる場合がございます。

アップグレード元のバージョン毎の変更箇所は以下の通りです。

アップグレード元が6.1.x以前のバージョン

1.) ログ > syslogページでsyslogサーバアドレスを設定している場合、 6.2.5から追加されたsyslogプロファイルの拡張機能により、設定が継承されません。 
 6.2.7では継承されません。
 アップグレード後にSyslogサーバアドレスとポート番号を再設定いただく必要があります。
2.) ログ > 種別ページで種別毎にログの出力先を変更している場合(ログ、警告、Syslog)、6.2から追加されたログの機能拡張により、設定が継承されません。
  アップグレード後に適宜再設定いただく必要があります。
3.) システムが自動生成するアクセスルール(*1)を利用していない場合、あるいはそのルールの動作、送信元、送信先などを編集している場合、自動生成ルールが存在していないとシステムによって判定されてしまいアクセスルールが自動生成される場合があります。   

    *1 例1:LAN > WANの「送信元:すべて、送信先:すべて、サービス:すべて、動作:許可」のルール
    例2:LAN > DMZの「送信元:すべて、送信先:すべて、サービス:すべて、動作:許可」のルール
    例3:LAN > LANの「送信元:すべて、送信先:すべて、サービス:すべて、動作:許可」のルール

これらの自動生成ルールを編集している場合や不要である場合には、下記いずれかの対処が事前に必要です。

  a) 自動生成されたルールは編集せずに無効化し、適宜ルールを作成する

  b) ネットワーク > ゾーン > 各ゾーンの設定 > 一般タブ内の下記オプションを無効化する
   -------------------------
   同じ信頼度のゾーン間のトラフィックを許可するためのアクセス ルールを自動追加する 
   低い信頼度のゾーンへのトラフィックを許可するためのアクセス ルールを自動追加する 
   高い信頼度のゾーンからのトラフィックを許可するためのアクセス ルールを自動追加する 
   低い信頼度のゾーンからのトラフィックを拒否するためのアクセス ルールを自動追加する
   -------------------------

アップグレード元が6.2.x以前のバージョン

1.) ファームウェアVersion6.5.1.x以降へのアップグレードにあったっての注意点

2.) ファームウェアVersion6.5.1.x以降へのアップグレード後、一部ホストへのTCP接続がタイムアウトする

 

アップグレード元が6.5.3以前のバージョン

1.) ローカルユーザグループのグループ名に日本語を使用にしている場合に所属していたユーザが削除されます。

2.) アクセスルールの既定の設定で、緊急パケットがファイアウォールでブロックされます。緊急パケットを使用するアプリケーション(オラクルなど)を使用している場合は、こちらのKBを参照して緊急パケットを許可するように変更をしてください。

Related Articles

  • Firewall logs show frequent probe status changes after upgrade
    Read More
  • SSO Agent 4.0: Installation, Configurations, and troubleshooting
    Read More
  • CFS blocks valid sites due to incorrect 64: Not Rated tag
    Read More

Categories

Firewalls
NSa Series
Firewalls
TZ Series
not finding your answers?
Ask the Community
was this article helpful?
YesNo