SonicOS 7 ネットワーク ファイアウォール

Technical Documentation > SonicOS 7 ネットワーク ファイアウォール > SSL 制御 > ゾーンでの SSL 制御の有効化

ゾーンでの SSL 制御の有効化

SSL 制御をグローバルに有効にして必要なオプションを設定した後、1 つまたは複数のゾーンで SSL 制御を有効にする必要があります。ファイアウォールは、SSL 制御機能が有効にされているゾーンのクライアントからファイアウォールを介して送信される Client Hello を検知すると、検査を開始します。ファイアウォールは、応答で送信される Server Hello と証明書が検知し設定されたポリシーに従って評価します。例えば、LAN ゾーンで SSL 制御を有効にすると、LAN 上のクライアントから開始され任意の送信先ゾーンに到達するすべての SSL トラフィックが検査されます。

あるゾーン (例えば、LAN ゾーン) の SSL 制御を有効にして、そのゾーンのクライアントがファイアウォールに接続された別のゾーン (例えば、DMZ ゾーン) の SSL サーバにアクセスする場合、そのサーバの証明書のサブジェクト コモンネームをホワイトリストに追加して、信頼できるアクセスが継続するようにすることをお勧めします。

ゾーンで SSL 制御を有効にするには、以下の手順に従います。

  1. オブジェクト > 一致オブジェクト > ゾーン」ページに移動します。

  2. 該当するゾーンの「編集」アイコンを選択します。「ゾーン設定 > 一般」ダイアログが表示されます。

  3. SSL 制御を有効にする」オプションを選択します。
  4. 保存」をクリックします。これで、このゾーンから開始されるすべての新しい SSL 接続に対して検査が実行されるようになります。

SSL 制御のイベント

ユーザが手動でログインした場合または CIA/シングル サイン オンによって識別された場合は、ログ イベントの補足セクション (非提示) にクライアントのユーザ名が含まれています。識別できなかったユーザについては、補足に「識別されていません」と表示されます。

SSL 制御: イベント メッセージ
# イベント メッセージ 発生条件
1 SSL Control: Certificate with invalid date 【SSL 制御: 証明書の日付が無効】 証明書の開始日が SonicWall のシステム時刻より前か、終了日がシステム時刻より後です。
2 SSL Control: Certificate chain not complete 【SSL 制御: 証明書チェーンが不完全】 信頼できる上位 CA を持つ中間 CA により証明書が発行されていますが、SSL サーバが中間証明書を提示しませんでした。このログ イベントは情報提供のためのもので、SSL 接続には影響しません。
3 SSL Control: Self-signed certificate 【SSL 制御: 自己署名証明書】

証明書が自己署名証明書です (発行者の CNとサブジェクトが一致)。

自己署名証明書制御の強制については、次を参照してください ゾーンでの SSL 制御の有効化
4 SSL Control: Untrusted CA 【SSL 制御: 信頼できない CA】

ファイアウォールの「デバイス > 設定 > 証明書」ストアにない CA によって証明書が発行されています。

自己署名証明書制御の強制については、次を参照してください ゾーンでの SSL 制御の有効化
5 SSL Control: Website found in blacklist 【SSL 制御: ブラックリストに登録されたウェブサイト】 サブジェクトの共通名がブラックリストに指定されたパターンと一致します。
6 SSL Control: Weak cipher being used 【SSL 制御: 脆弱な暗号を使用】

ネゴシエーションされた対称暗号が 64 ビット未満でした。脆弱な暗号のリストについては、次を参照してください ゾーンでの SSL 制御の有効化
7 SSL Control: Failed to decode Server Hello 【SSL 制御: Server Hello のデコード失敗】 SSL サーバからの Server Hello を判読できませんでした。SonicWall 装置上の SSL サーバに接続する場合のように、証明書と Server Hello が別のパケットのときにも発生します。このログ イベントは情報提供のためのもので、SSL 接続には影響しません。
8 SSL Control: Website found in whitelist 【SSL 制御: ホワイトリストに登録されたウェブサイト】 サブジェクト (通常はウェブサイト) の共通名がホワイトリストに指定されたパターンと一致します。SSLv2 や脆弱な暗号など、ネゴシエーションの中でその他のポリシーの違反があった場合でも、ホワイトリストのエントリは常に許可されます。
9 SSL Control: HTTPS via SSL2 【SSL 制御: SSLv2 経由の HTTPS】

SSL セッションのネゴシエーションで SSL v2 が使用されました。 SSL v2 は特定のMan-in-the-Middle 攻撃を受けやすいとされています。SSLv2 ではなく、SSLv3 または TLSを使用することを強くお勧めします。

Was This Article Helpful?

Help us to improve our support portal

Yes! Not Really

Techdocs Article Helpful form

  • Hidden
  • Hidden

Techdocs Article NOT Helpful form

  • Still can't find what you're looking for? Try our knowledge base or ask our community for more help.
  • Hidden
  • Hidden