• 詳細
  • 侵入検知と防止
  • 動的ポート機能への対応
  • ソース ルーティング パケット
  • アクセス ルール オプション
  • IP および UDP チェックサム強制
  • 接続
  • IPv6 の詳細設定
  • 制御プレーン フラッド防御
• SSL 制御
  • SSL 制御の主な機能
  • SSL 制御の重要な概念
  • 注意事項と推奨事項
  • SSL 制御の設定
  • ユーザ定義リスト
  • ゾーンでの SSL 制御の有効化
• 暗号化制御
  • TLS 暗号化
    • 暗号の遮断/遮断解除
    • 暗号のフィルタリング
      • 表示オプションの選択
      • 強度別に暗号を表示する
      • 動作別で暗号を表示する
      • CBC モードの有無で暗号を表示する
      • TLS プロトコル バージョン別に暗号を表示する
  • SSH 暗号化
• リアルタイム ブラックリスト (RBL) フィルタ
  • RBL フィルタの設定
    • RBL 遮断の有効化
    • RBL サービスの追加
    • ユーザ定義 SMTP サーバ リストの設定
      • ホワイト リストの設定
      • ブラック リストの設定
    • SMTP IP アドレスのテスト

注意事項と推奨事項

1. 自己署名および信頼できない CA の有効化 － これらの 2 つのオプションのいずれかを有効にする場合は、SSL でセキュリティ保護された組織内のネットワーク装置のコモンネームをホワイトリストに追加して、これらの機器への接続が遮断されないようにすることを強くお勧めします。例えば、SonicWall ネットワーク セキュリティ装置の既定のサブジェクト名は 192.168.168.168、SonicWall SSL VPN 装置の既定のコモンネーム (共通名) は 192.168.200.1 です。
2. 組織独自のプライベート認証局 (CA) を導入している場合は、プライベート CA の証明書を「デバイス > 設定 > 証明書」ストアにインポートすることを強くお勧めします (特に、信頼できない CA によって発行された証明書の遮断を有効にする場合)。
3. 現段階では、SSL 制御機能による検査は TCP ポート 443 のトラフィックに対してのみ実行されます。標準以外のポートで行われる SSL のネゴシエーションは、現段階では検査されません。
4. Server Hello の断片化 － SSL サーバによって Server Hello が断片化されることがまれにあります。この場合、現在の SSL 制御機能の実装では、Server Hello の復号化は行われません。SSL 制御ポリシーが SSL セッションに適用されず、SSL セッションが許可されることになります。
5. セッションの終了処理 － SSL 制御機能では、ポリシー違反が検出されると SSL セッションを終了させますが、これは TCP 層でのセッションを終了させるに過ぎません。この時点では SSL セッションが不完全な状態であるため、クライアントのリダイレクトや、終了に関する何らかの情報通知をクライアントに行うことはできません。

6. ホワイトリストの優先順位 － ホワイトリストは、他のすべての SSL 制御要素より優先されます。SSL サーバ証明書がホワイトリストのエントリに一致すると、SSL セッションの他の要素が設定されたポリシーの違反に該当する場合であっても、SSL セッションの続行が必ず許可されます。これは、意図的に行われています。

7. 事前インストール済み (既知の) CA 証明書は 93 通あります。これにより、リポジトリはほとんどのウェブ ブラウザで使用されているものに非常に近くなりました。証明書に関しては、これ以外に以下の点が変更されています。

   1. CA 証明書の最大数が 6 から 256 に増加しました。
   2. 個々の CA 証明書の最大サイズが 2,048 から 4,096 に増加しました。
   3. ホワイトリストおよびブラックリストのエントリの最大数が、それぞれ 1,024 になりました。