SonicOS 7 一致オブジェクト
- SonicOS 7
- ゾーン
- アドレス
- サービス
- URI リスト
- 一致オブジェクト
- スケジュール
- 動的グループ
- 電子メール アドレス
- SonicWall サポート
動的アドレス オブジェクトの主要な機能
動的アドレス オブジェクト (DAO) とは、MAC AO および FQDN AO の使用を可能にする基幹フレームワークのことを表す用語です。アクセス ルールは、アドレス オブジェクトを静的な構造から動的な構造に変換することによって、ネットワークの変化に自動的に対応できます。
下の表には、DAO の詳細と例が示されています。
| 機能 | 利点 |
|---|---|
| FQDN ワイルドカードのサポート |
FQDN アドレス オブジェクトでは*.somedomainname.comのようなワイルドカード エントリがサポートされています。ワイルドカード エントリが指定された場合は、まず基本ドメイン名が解決されて、それに対して定義されているすべてのホスト IP アドレスに変換され、その後、ファイアウォールを通過する DNS 応答のアクティブな収集が継続的に行われます。例えば、*.myspace.com の FQDN AO を作成すると、まずファイアウォールの構成で指定されている DNS サーバを使用して、myspace.com を 63.208.226.40、63.208.226.41、63.208.226.42、63.208.226.43 に対して解決します (このことは nslookup myspace.com、またはそれと同等のコマンドによって確認できます)。ほとんどの DNS サーバではゾーン転送は許可されないので、通常はドメイン内のすべてのホストを自動的に列挙することはできません。それに代わる方法として、ファイアウォールは、ファイアウォールを通過する DNS 応答を監視して、承認済み DNS サーバから発信された DNS 応答を探します。そのため、ファイアウォールの背後のホストが外部 DNS サーバに対して問い合わせを行った場合、そのサーバがファイアウォール上の構成済み/定義済み DNS サーバであるときには、その応答がファイアウォールによって解析され、いずれかのワイルドカード FQDN AO のドメインに一致するかどうかが調べられます。 承認済み DNS サーバとは、ファイアウォールが使用する DNS サーバとして構成されている DNS サーバのことです。承認済み DNS サーバからの応答のみをワイルドカードの学習プロセスで使用する理由は、意図的に不正なホスト エントリが設定された未承認 DNS サーバの使用によって FQDN AO のポイズニングが発生する危険を防止するためです。SonicOS の将来のバージョンでは、すべての DNS サーバからの応答をサポートするオプションが提供される可能性があります。アクセス ルールを使うと、承認済み DNS サーバの使用を強制することができます。その方法については、この後の「ネットワーク上の承認済みサーバの使用の強制」で説明します。 例として、4.2.2.1 と 4.2.2.2 の DNS サーバを使用するようにファイアウォールが構成されていて、ファイアウォールで保護されているすべてのクライアントに対して DHCP 経由でこれらの DNS サーバが提供されている場合を考えてみましょう。ファイアウォールで保護されているクライアント A が vids.myspace.com に対応するアドレスの DNS クエリを 4.2.2.1 または 4.2.2.2 に対して実行する場合、ファイアウォールでは、それに対する応答が検査され、定義済みの *.myspace.com FQDN AOに一致するものと判断されます。そして、その問い合わせの結果 (63.208.226.224) は、*.myspace.com DAO に対応する解決済みの値として追加されます。 上記の例で、*.myspace.com AO が作成される前に、クライアント A のワークステーションが vids.myspace.com を解決して、その結果をキャッシュしていたとすると、クライアントは新しい DNS要求を発行する代わりにリゾルバのキャッシュを使用するので、ファイアウォールによる vids.myspace.com の解決は行われません。そのため、別のホストによって vids.myspace.com の解決が行われない限り、ファイアウォールは vids.myspace.com について学習する機会を得られないことになります。Microsoft Windows を使用しているワークステーションでは、ipconfig /flushdns コマンドを使用して、ローカル リゾルバのキャッシュを消去することができます。このキャッシュの消去を行うと、クライアントはすべての FQDN を解決するようになるので、それらのアクセス時にファイアウォールがその解決の情報を取得することが可能になります。 ワイルドカード FQDN エントリは、そのドメイン名のコンテキストに含まれるすべてのホスト名に解決されます (アドレス オブジェクトあたり最大 256 エントリまで)。例えば、*.sonicwall.com と指定されている場合、www.sonicwall.com、software.sonicwall.com、licensemanager.sonicwall.com は、それぞれの IP アドレスに解決されますが、sslvpn.demo.sonicwall.com は別のコンテキストのドメイン名であるため解決されません。ワイルドカード FQDN AO によって sslvpn.demo.sonicwall.com を解決するには、*.demo.sonicwall.com というエントリを指定する必要があります。このエントリを指定した場合は、sonicos-enhanced.demo.sonicwall.com、csm.demo.sonicwall.com、sonicos-standard.demo.sonicwall.com などのドメイン名も解決されます。 ワイルドカードは、部分一致ではなく完全一致のみをサポートします。つまり、*.sonicwall.com は正当な入力ですが、w*.sonicwall.com、*w.sonicwall.com、および w*w.sonicwall.com は違います。ワイルドカードはエントリごとに 1 つしか指定できないので、例えば *.*.sonicwall.com は機能しません。 |
| DNS の使用による FQDN の解決 | FQDN アドレス オブジェクトは、ファイアウォールの「ネットワーク > DNS」ページで構成された DNS サーバを使用して解決されます。DNS 登録は複数の IP アドレスに解決される場合が多いので、FQDN AO 解決プロセスは、AO あたり最大 256 個の登録までの範囲で、ホスト名に対応するアドレスをすべて取得します。解決プロセスでは、FQDN の IP アドレスへの解決だけでなく、DNS 管理者による構成に基づいて、登録の TTL (存続期間) の関連付けも行われます。この TTL は、古くなった FQDN 情報が使われることを防ぐために利用されます。 |
| 動的 ARP キャッシュ データの使用による MAC アドレスの解決 | ファイアウォールのいずれかの物理セグメントにおいて、ARP (Address Resolution Protocol) メカニズムによってノードが検出されると、ファイアウォールの ARP キャッシュが更新され、そのノードの MAC アドレスと IP アドレスが追加されます。この更新が発生した場合、そのノードの MAC アドレスを参照する MAC アドレス オブジェクトが存在するときには、解決されたアドレスのペアを使用して、そのアドレス オブジェクトが直ちに更新されます。ノードが使われなくなって、そのノードの ARP キャッシュがタイムアウトした場合 (ホストとファイアウォールの L2 接続が切断された場合など) には、その MAC AO は未解決状態に移行します。 |
| MAC アドレス オブジェクトによるマルチホームのサポート | MAC AO ではマルチホームのノードをサポートする構成を使用できます。 マルチホームのノードとは、物理インターフェースごとに複数の IP アドレスが割り当てられているノードのことです。各 AO では最大256 個の解決済みエントリを指定できます。この方法を使用すると、1 つの MAC アドレスが複数の IP アドレスに解決される場合でも、そのすべての IP アドレスに対して、その MAC AO を参照するアクセス ルールなどが適用されるようになります。 |
| 自動と手動の更新処理 | MAC AO エントリはファイアウォールの ARP キャッシュに自動的に同期され、FQDN AO エントリには DNS エントリの TTL 値が適用されるため、解決済みの値は常に新しい状態に保たれます。これらの自動的な更新処理に加えて、個々の DAO または定義済みのすべての DAO を対象として手動で更新および抹消を実行することもできます。 |
Was This Article Helpful?
Help us to improve our support portal