• SonicOS 7
• ゾーン
  • ゾーンの動作
  • 事前定義ゾーン
  • セキュリティ種別
  • インターフェース間通信を許可する
  • ゾーンでの SonicWall セキュリティ サービスの有効化
  • 無線および非無線コントローラ モードの効果
    • 非無線コントローラ モードを有効にした場合の影響
    • 無線コントローラ モードを有効にした場合の影響
  • 一致オブジェクト > ゾーン
    • ゾーンの設定テーブル
    • 新しいゾーンの追加
    • ゲスト アクセス用ゾーンの設定
    • オープン認証およびソーシャル ログイン用ゾーンの設定
    • RADIUS によるキャプティブ ポータル認証用のゾーンの設定
    • ユーザ定義ポリシー メッセージ用のゾーンの設定
    • ユーザ定義ログイン ページ用ゾーンの設定
    • WLAN ゾーンの設定
    • RADIUS サーバの設定
    • DPI-SSL をゾーン単位できめ細かく制御する設定
    • ユーザポリシー ページへの自動リダイレクトを有効にする
    • ゾーンの削除
• アドレス
  • アドレス オブジェクトの種別
  • アドレス グループについて
  • アドレス オブジェクト/グループの UUID について
  • アドレス ページ
    • 共通の機能
      • 共通の機能
      • 共通の列見出し
    • エントリの並べ替え
  • 既定のアドレス オブジェクトおよびアドレス グループ
  • 既定の Pref64 アドレス オブジェクト
  • 既定の、悪意のあるアドレス グループ
  • アドレス オブジェクトの追加
  • アドレス オブジェクトの編集
  • ユーザ定義アドレス オブジェクトの削除
  • MAC または FQDN アドレス オブジェクトの消去
  • アドレス グループの作成
  • アドレス グループの編集
  • アドレス グループの削除
  • 動的アドレス オブジェクトの使用
    • 動的アドレス オブジェクトの主要な機能
    • ネットワーク上の承認済みサーバの使用の強制
    • MAC および FQDN 動的アドレス オブジェクトの使用
      • FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断
      • FQDN ベースのアクセス ルールに適した内部 DNS サーバの使用
      • MAC アドレスによる動的ホストのネットワーク アクセスの制御
      • ドメイン全体へのアクセスの帯域幅管理
• サービス
  • 既定のサービス オブジェクトおよびグループ
  • ユーザ定義サービス オブジェクト用の 定義済み IP プロトコル
  • 定義済みプロトコルを使用したサービス オブジェクトの追加
  • カスタム IP 種別サービスの追加
    • 設定例
  • ユーザ定義サービス オブジェクトの編集
  • ユーザ定義サービス オブジェクトの削除
  • ユーザ定義サービス グループの追加
  • ユーザ定義サービス グループの編集
  • ユーザ定義サービス グループの削除
• URI リスト
  • URI と URI リストについて
  • URI リスト グループについて
  • キーワードとキーワード リストについて
  • URI リスト オブジェクトの照合
  • URI リスト オブジェクトの使用
  • URI リスト オブジェクトの管理
    • URI リスト オブジェクト テーブルについて
    • URI リスト オブジェクトの設定
    • URI リスト オブジェクトのエクスポート
    • URI リスト オブジェクトの編集
    • URI リスト オブジェクトの削除
  • URI リスト グループの管理
    • URI リスト グループ テーブルについて
    • URI リスト グループの追加
    • URI リスト グループの編集
    • URI リスト グループの削除
• 一致オブジェクト
  • 一致オブジェクトについて
    • 正規表現について
      • 正規表現の構文
    • 不一致検索について
  • アプリケーション リスト オブジェクトについて
    • アプリケーション フィルタについて
    • 種別フィルタについて
  • 一致オブジェクトの設定
  • アプリケーション リスト オブジェクトの設定
• スケジュール
  • 個別スケジュールの追加
  • スケジュールの変更
  • 個別スケジュールの削除
• 動的グループ
  • 動的外部アドレス グループ ファイルについて
  • DEAG および DEAO の最大数
  • 高可用性の要件
  • 動的外部オブジェクトの追加
  • 動的外部オブジェクトの編集
  • 動的外部オブジェクトの削除
• 電子メール アドレス
  • 電子メール アドレス オブジェクトの設定
• SonicWall サポート
  • このドキュメントについて

正規表現について

アプリケーション ルール ポリシーで使用するため、特定の一致オブジェクト種別に正規表現を構成できます。「一致オブジェクトの設定」オプションでは、個別正規表現を構成したり、あらかじめ定義された正規表現から選択したりできます。SonicWall セキュリティ装置は、ネットワーク トラフィックに対して再組み立て不要の正規表現による照合をサポートしています。このため、入力ストリームのバッファリングが不要で、パターンはパケット境界をまたがって照合されます。

SonicOS には、以下の定義済み正規表現が用意されています。

VISA CC	VISA クレジット カード番号
US SSN	米国の社会保障番号
CANADIAN SIN	カナダの社会保険番号
ABA ROUTING NUMBER	米国銀行協会のルーティング番号
AMEX CC	American Express クレジット カード番号
MASTERCARD CC	Mastercard クレジット カード番号
DISCOVER CC	Discover クレジット カード番号

正規表現を使用するポリシーは、ネットワーク トラフィック内の該当するパターンのうち、最初に出現するものに一致します。そのため、一致に対して可能な限り速やかに動作できます。照合は、人間が読み取れるテキストだけではなくネットワーク トラフィックに対しても実行されるので、照合可能な英字には ASCII 文字セット全体 (全 256 文字) が含まれます。

'.'、(任意の文字ワイルドカード)、'*'、'?'、'+'、繰り返しカウント、代替、および否定などの一般的な正規表現の基本命令がサポートされています。構文とセマンティクスは Perl や vim などの一般的な正規表現の実装と似ていますが、わずかな違いがあります。例えば、行頭演算子 (^) と行末演算子 ($) はサポートされていません。また、'\z' は、PERL のように文字列の終わりを指すのではなく、0 以外の数字、すなわち [1-9] を指します。詳細については、「正規表現の構文」を参照してください。

Perl 正規表現エンジンとの大きな違いの 1 つは、後方参照と置換がサポートされていないことです。これらの機能は実際には正規表現に無関係で、調べているデータについて線形時間では実行できません。したがって、最高のパフォーマンスを維持するため、これらの機能はサポートされていません。置換または変換機能がサポートされていないのは、ネットワーク トラフィックを検査するだけで、変更はしないからです。

よく使用されるパターン (米国の社会保障番号や VISA のクレジットカード番号など) 向けにあらかじめ定義された正規表現は、一致オブジェクトの作成時に選択できます。ユーザは、同じ一致オブジェクト内に独自の表現を記述することもできます。ユーザが入力した表現は解析され、正しく解析されなかった表現があれば、「一致オブジェクトの設定」ウィンドウの下部に構文エラーが表示されます。解析が正しく完了した後、正規表現はコンパイラに渡され、ネットワーク トラフィックをリアルタイムでスキャンするのに必要なデータ構造が作成されます。

決定性有限オートマトン (DFA) というデータ構造を作成することによって、正規表現が効率的に照合されます。DFA のサイズはユーザが入力した正規表現によって決定され、デバイスのメモリ容量によって制約を受けます。複雑な正規表現のコンパイル処理には長い時間がかかり、装置のメモリを大量に消費することがあります。含まれる表現によっては、DFA の作成に最大 2 分かかることもあります。

装置管理の応答性に対する影響が大きすぎるだけでなく、悪用やサービス拒否攻撃を防ぐため、コンパイラは処理を中止し、データ構造がデバイスに対して大きくなりすぎる正規表現を拒否できます。ウィンドウの下部に、"悪用を検出しました" というエラー メッセージが表示されます。

長時間のコンパイル中、装置管理セッションが一時的に反応しなくなることがありますが、ネットワーク トラフィックは装置に送信され続けています。

大きなカウンタを含む表現の DFA を作成すると、多くの時間とメモリが消費されます。そのような表現は、'*' 演算子と '+' 演算子などの無制限のカウンタを使用する表現よりも拒否される可能性が高くなります。

同様に、拒否されるおそれがある表現としては、文字範囲や文字クラスよりも多数の文字を含む表現があります。つまり、‘(a|b|c|d|. . .|z)’ という表現は、同等の文字クラス ‘\l’ よりも拒否される可能性が高くなります。'[a-z]' という範囲を使用すると、内部的に '\l' に変換されます。ただし、

'[d-y]' または '[0-Z]' という範囲は、文字クラスに変換できず、長いので、この断片を含む表現は拒否される可能性があります。

表現が拒否されたときはいつでも上記のヒントを利用して、拒否されないように、より効率的な方法で書き直すことができます。構文の詳細については、「正規表現の構文」を参照してください。ユーザ定義正規表現の作成方法に関する例は、「ポリシー > アプリケーション ルール」の「一致オブジェクトにおける正規表現の作成」セクションを参照してください。