• SonicOS 7
• ゾーン
  • ゾーンの動作
  • 事前定義ゾーン
  • セキュリティ種別
  • インターフェース間通信を許可する
  • ゾーンでの SonicWall セキュリティ サービスの有効化
  • 無線および非無線コントローラ モードの効果
    • 非無線コントローラ モードを有効にした場合の影響
    • 無線コントローラ モードを有効にした場合の影響
  • 一致オブジェクト > ゾーン
    • ゾーンの設定テーブル
    • 新しいゾーンの追加
    • ゲスト アクセス用ゾーンの設定
    • オープン認証およびソーシャル ログイン用ゾーンの設定
    • RADIUS によるキャプティブ ポータル認証用のゾーンの設定
    • ユーザ定義ポリシー メッセージ用のゾーンの設定
    • ユーザ定義ログイン ページ用ゾーンの設定
    • WLAN ゾーンの設定
    • RADIUS サーバの設定
    • DPI-SSL をゾーン単位できめ細かく制御する設定
    • ユーザポリシー ページへの自動リダイレクトを有効にする
    • ゾーンの削除
• アドレス
  • アドレス オブジェクトの種別
  • アドレス グループについて
  • アドレス オブジェクト/グループの UUID について
  • アドレス ページ
    • 共通の機能
      • 共通の機能
      • 共通の列見出し
    • エントリの並べ替え
  • 既定のアドレス オブジェクトおよびアドレス グループ
  • 既定の Pref64 アドレス オブジェクト
  • 既定の、悪意のあるアドレス グループ
  • アドレス オブジェクトの追加
  • アドレス オブジェクトの編集
  • ユーザ定義アドレス オブジェクトの削除
  • MAC または FQDN アドレス オブジェクトの消去
  • アドレス グループの作成
  • アドレス グループの編集
  • アドレス グループの削除
  • 動的アドレス オブジェクトの使用
    • 動的アドレス オブジェクトの主要な機能
    • ネットワーク上の承認済みサーバの使用の強制
    • MAC および FQDN 動的アドレス オブジェクトの使用
      • FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断
      • FQDN ベースのアクセス ルールに適した内部 DNS サーバの使用
      • MAC アドレスによる動的ホストのネットワーク アクセスの制御
      • ドメイン全体へのアクセスの帯域幅管理
• サービス
  • 既定のサービス オブジェクトおよびグループ
  • ユーザ定義サービス オブジェクト用の 定義済み IP プロトコル
  • 定義済みプロトコルを使用したサービス オブジェクトの追加
  • カスタム IP 種別サービスの追加
    • 設定例
  • ユーザ定義サービス オブジェクトの編集
  • ユーザ定義サービス オブジェクトの削除
  • ユーザ定義サービス グループの追加
  • ユーザ定義サービス グループの編集
  • ユーザ定義サービス グループの削除
• URI リスト
  • URI と URI リストについて
  • URI リスト グループについて
  • キーワードとキーワード リストについて
  • URI リスト オブジェクトの照合
  • URI リスト オブジェクトの使用
  • URI リスト オブジェクトの管理
    • URI リスト オブジェクト テーブルについて
    • URI リスト オブジェクトの設定
    • URI リスト オブジェクトのエクスポート
    • URI リスト オブジェクトの編集
    • URI リスト オブジェクトの削除
  • URI リスト グループの管理
    • URI リスト グループ テーブルについて
    • URI リスト グループの追加
    • URI リスト グループの編集
    • URI リスト グループの削除
• 一致オブジェクト
  • 一致オブジェクトについて
    • 正規表現について
      • 正規表現の構文
    • 不一致検索について
  • アプリケーション リスト オブジェクトについて
    • アプリケーション フィルタについて
    • 種別フィルタについて
  • 一致オブジェクトの設定
  • アプリケーション リスト オブジェクトの設定
• スケジュール
  • 個別スケジュールの追加
  • スケジュールの変更
  • 個別スケジュールの削除
• 動的グループ
  • 動的外部アドレス グループ ファイルについて
  • DEAG および DEAO の最大数
  • 高可用性の要件
  • 動的外部オブジェクトの追加
  • 動的外部オブジェクトの編集
  • 動的外部オブジェクトの削除
• 電子メール アドレス
  • 電子メール アドレス オブジェクトの設定
• SonicWall サポート
  • このドキュメントについて

FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断

非標準ポートを使った処理や、未知のプロトコルの使用、暗号化やトンネル化 (またはその両方) によるトラフィックの意図的な不明瞭化などを行っているという理由から、特定の送信先 IP アドレスへのすべてのプロトコルのアクセスを遮断することが望ましい場合があります。具体的な例としては、ホーム ネットワークのトンネルを通すことによってトラフィックを不明瞭化するという目的で、DSL モデムまたはケーブル モデムに接続されたホーム ネットワーク上に HTTPS プロキシ サーバを設定した場合 (あるいはその他の方法で、53、80、443 などの“信頼できる"ポート、および 5734、23221、63466 などの非標準ポートのポート転送/トンネル化を行っている場合) などが考えられるでしょう。このようなネットワークではポートが予測不能であるだけでなく、多くの場合、IP アドレスも動的に設定されるため同様に予測不能となり、状況はさらに複雑化します。

これらのシナリオでは、通常、ユーザによるホーム ネットワークの特定ができるように動的 DNS (DDNS) 登録が利用されるので、FQDN AO を積極的に使えば DDNS レジストラに登録されているすべてのホストへのアクセスを遮断できます。

ここでは例として DDNS ターゲットの場合を示しています。非 DDNS ターゲット ドメインも同様に使用できます。

想定条件

• 10.50.165.3 と 10.50.128.53 の DNS サーバを使うようにファイアウォールが構成されているとします。
• ファイアウォールは、ファイアウォールで保護されているすべてのユーザに対して DHCP リースを提供しているものとします。ネットワーク上のすべてのホストは上記の構成済み DNS サーバを使用して解決を行います。
  • 未承認 DNS サーバへの DNS 通信を遮断したければアクセス ルールを使います。「ネットワーク上の承認済みサーバの使用の強制」を参照してください。
• DSL ホーム ネットワークのユーザが DDNS プロバイダ DynDNS に登録しているホスト名が moosifer.dyndns.org であるとします。このセッションで ISP がこの DSL 接続に割り当てたアドレスは、71.35.249.153 であるとします。
  • 同じ IP アドレスに対して別のホスト名を登録することは容易なので、後からホスト名が追加されることを想定して FQDN AO を使用しています。必要に応じて、別の DDNS プロバイダに対応するエントリを追加することもできます。

手順 1 － FQDN アドレス オブジェクトの作成:

1. 「オブジェクト > 一致オブジェクト > アドレス > アドレス オブジェクト」ページに移動します。

2. 「追加」をクリックし、次の FQDN アドレス オブジェクトを作成します。

   

   最初に作成された時点では、dyndns.org のアドレス (例えば、63.208.196.110) のみがこのエントリの解決先になります。ファイアウォールで保護されているホストが承認済み DNS サーバを使用して moosifer.dyndns.orgの解決を試行した場合、その問い合わせに対する応答として返された (1 つまたは複数の) IP アドレスが FQDN AO に動的に追加されます。

手順 2 － アクセス ルールの作成:

1. 「ポリシー > アクセス ルール」ページに移動します。

2. 「追加」をクリックし、次のアクセス ルールを作成します。

   

   この FQDN に含まれるターゲット ホストへのアクセスはプロトコルに関係なく遮断され、アクセスが試行された場合は、そのイベントがログに記録されます。