SonicWALL UTM ベスト プラクティス 設定

SonicWALL UTM ベスト プラクティス 設定

Firmware/Software Version: All SoniOS firmware versions.
Services: VPN, IPS, Firewall Access Rules

回答：

1. SonicWall装置の上位ルータでのACL: SonicWall装置の上位のルータでACLを設定している場合、送信元がSonicWallのWANインターフェースのIPアドレスのTCPおよびUDPパケットを全て許可して下さい。SonicWall装置は、ライセンス情報やシグネチャのダウンロードなどのために定期的に自律的に通信を行います。SonicWall装置が通信する相手のリストはこちら(英語)をご覧ください。
2. WAN Interface設定|詳細タブのMaximum Transmission Unit (MTU): デフォルト値：1500。ADSLやCATVネットワークの場合は、そのオーバーヘッドがありますので低い値を設定します。一般的に ADSL の場合は1460、 CATV の場合は1404を設定します。MTU値は8バイト単位で設定します。PPPoEの場合はさらにその分を差し引きます。使用中のインターネット接続のMTU値を定義する で最適なMTUサイズの算出方法を説明していますので参照してください。
3. WAN Interface設定|詳細タブのVPN 以外の送信パケットでこのインターフェースのMTU 値以上の大きさのものを断片化する: このチェックボックスはMTUと連携して使用されます。Gen5ユニットでは、Primary WANインターフェースのデフォルトは有効です。ベストプラクティスとしてこの設定は常に有効のままにしておいてください。Gen4からGen5に設定を移行した場合などは無効になっている可能性があります。その他のWAN インターフェースでも有効にしてください。
4. WAN Interface設定|詳細タブのDF ビット（断片化を行わない）を無視する: このオプションを有効にすることによってDFビットがセットされている場合でもパケットはフラグメントされます。WANインターフェースの詳細タブにおいて、この設定のデフォルトはチェックされていない状態です。この設定の推奨設定は、チェックされていない状態のままにしておくことです。
5. WANおよびその他のInterface設定|詳細タブのリンク速度の設定: デフォルトでは自動ネゴシエーションになっています。しかし、特定のスループットの問題が発生するような場合、リンク速度設定を手動で適切な設定に変更します。この場合、相手の設定も同じ設定にしてください。間違った設定をしてしまった場合、以下のような問題を生じさせることがあります。
   - ISPとのコネクションネゴシエーションができない
   - インターネット接続が切断される
   - パケットのドロップ
   - スループットの低下
6. WANおよびその他のInterface設定|詳細タブの帯域幅管理: WANゾーンのインターフェースにアウトバンド／インバンド個別に帯域幅管理を設定することができます。帯域幅管理は、間違えた設定をした場合スループットの低下を引き起こす場合があります。必要ない場合は、この設定を無効にしてください。有効にする場合適切な帯域値を設定してください。
7. VPNの詳細設定の断片化パケットの処理を有効にする: このオプションは有効にしてください。また、DF ビット （断片化を行わない） を無視するは無効にしてください。
8. 各アクセスルールでの断片化パケットを許可する：このオプションはすべてのルールで有効に設定してください。
9. ネットワーク内のコンピュータが大量のコネクションを生成しているかどうかチェックするためにコネクションモニター/接続監視を利用する： ネットワーク内のコンピュータがウィルス等に感染している場合、大量のコネクションを生成する場合があります。結果としてSonicWALLのリリースを消費しつくしてしまう場合があります。ネットワークの健全な運用のためにこの情報については定期的にモニターしてください。
   システム ＞ 診断 ＞ コネクションモニター もしくは接続監視を選択。アクティブ接続の監視で”総数” を確認。
10. ネットワーク-> フェイルオーバーと負荷分散: プローブIPアドレスの設定をせずにラウンドロビンタイプでこのオプションが有効化されると、スループット問題が発生する場合があります。ラウンドロビンに設定する場合、プローブIPアドレスを必ず設定してください。
11. コネクション: ネットワークのホストが巨大なファイルのダウンロードを行っていないかコネクションモニター/接続監視で監視してください。上記8項を参照してください。
12. ルールとNATポリシー: 不要なアクセスルールや、NATポリシーは削除してください。不要かどうかの判断は、統計情報を参照することにより判断可能です。また、サービスグループやアドレスグループを活用してアクセスルールやNATポリシーをできるだけ共通化してください。また、アクセスルールに関してデフォルトのルール（LAN->WANであれば”すべて-許可”のルール）は削除しないでください。
    また、NATの構成において、変換前と変換後が同じ（変換しない）場合、変換後のオブジェクトは「オリジナル」を指定してください。同じオブジェクトを変換前と変換後のオブジェクトに共通して指定することを避けてください。
13. ログー＞名前解決:名前解決方法をなしにしてください。
14. IP Re-assembly: このオプションはGen4デバイスでのみ表示されます。Security Services > IPS > ConfigureでIP Re-assembly の設定を有効にするとフラグメントパケットを再構築したうえでスキャンが行われます。NSAではこのオプションは、diagページの”DPI での IP 断片化再構成を有効にする “設定に置き換えられています。この設定はデフォルト値のままにしてください。デフォルト値はファームウェアによって異なります。
15. セキュリティサービス設定内の“セキュリティサービスの設定”: デフォルトで推奨設定として最高度セキュリティが有効になっています。しかし、パフォーマンスを改善したい場合は、パフォーマンスの最適化を選ぶことができます。
16. diag.htmlの“有効になっている任意のDPI ベースのサービへ最大許可アドバタイズTCP ウィンドウ上での制限の執行を有効します。”設定: この設定はデフォルトでOffです。ダウンロードが中断する、パフォーマンスが出ない等の問題がある場合にこの設定の変更を試してみてください。
    チェックをして有効にします。
    すぐ下のフィールドの値を256にセットします。
    改善が見られない場合は、設定を元に戻します。
17. IPSを最適化: SonicWALLの侵入防御サービスは、CPU使用率に大きな負荷をかけます。以下の設定により、IPSの最適化を実施してください。
    IPSのシグネチャーには3つのレベルがあります。 HighおよびMedium Priority Attacksはほとんどが敵意があるとみなされるトラフィックです。一方でLow Priority Attacksは攻撃および、管理者が好まないかもしれない通常のネットワーク環境での一般ユーザのトラフィックが含まれます。
    三つのレベルすべてで“すべて検知”をチェックしてください。
    高危険度と中危険度については、さらに“すべて防御”をオンにしてください。
    低危険度の手口に関しては、必要に応じて以下の2つの設定を検討してください。
    　　　　　　- すべて防御をチェックし、ご自身のセキュリティ ポリシー上防御不要である手口/種別に関しては防御を無効とする。
    　　　　　　- すべて防御をチェックせず、防御が必要な手口/種別のみ、個別に防御を有効にする。
    ただし、各危険度の手口防御をグローバル設定で無効にしても、個々の手口に関してそれぞれ必要に応じて個別に防御を有効にすることが可能です。
18. Anti-spywareの最適化: アンチスパイウェアに関しても同様に最適化してください。
    高危険度、中危険度はすべて防御、すべて検知
    低危険度に関しては“すべて検知”のみ有効
    全てのリストされたプロトコルについて、受信検査をすべて有効に設定。
    送信スパイウェア通信検査を有効にするをチェックする。
19. キャプチャATP: キャプチャ ATP 分析を有効にする をチェックします。解析のためにキャプチャ ATP に転送されるファイル種別を指定します。 で必要なものをチェックします。
20. 地域IPフィルタ: ログを有効にする をチェックします。その他の設定は規定値のままにします。定期的に、監視 | 概要 の上位ロケーションをモニタリングし必要と思われる追加の設定をすることが可能です。
21. ボットネットフィルタ: ボットネット コマンドとコントロール サーバに対する双方向の接続を遮断する、ログを有効にする をチェックします。
22. アドレスレンジオブジェクト: アドレスレンジオブジェクトは24bitマスク以下の範囲で使用してください。24bitマスク以上の広い範囲での使用ではいくつかの不具合が発見されています。
23. 高可用性モニタリング IP (管理IP)の構成: 高可用性で装置を冗長化して使用する場合、高可用性を構成する両装置への管理用IP（モニタリング IP）を割り当てます。この割り当てが無い場合、装置への過剰なプロセス、ライセンス同期、セキュリティサービスを使用している場合のシグネチャ ダウンロードなどにおける問題を引き起こす可能性があります。