SonicOS 7 ネットワーク ファイアウォール
注意事項と推奨事項
- 自己署名および信頼できない CA の有効化 - これらの 2 つのオプションのいずれかを有効にする場合は、SSL でセキュリティ保護された組織内のネットワーク装置のコモンネームをホワイトリストに追加して、これらの機器への接続が遮断されないようにすることを強くお勧めします。例えば、SonicWall ネットワーク セキュリティ装置の既定のサブジェクト名は 192.168.168.168、SonicWall SSL VPN 装置の既定のコモンネーム (共通名) は 192.168.200.1 です。
- 組織独自のプライベート認証局 (CA) を導入している場合は、プライベート CA の証明書を「デバイス > 設定 > 証明書」ストアにインポートすることを強くお勧めします (特に、信頼できない CA によって発行された証明書の遮断を有効にする場合)。
- 現段階では、SSL 制御機能による検査は TCP ポート 443 のトラフィックに対してのみ実行されます。標準以外のポートで行われる SSL のネゴシエーションは、現段階では検査されません。
- Server Hello の断片化 - SSL サーバによって Server Hello が断片化されることがまれにあります。この場合、現在の SSL 制御機能の実装では、Server Hello の復号化は行われません。SSL 制御ポリシーが SSL セッションに適用されず、SSL セッションが許可されることになります。
- セッションの終了処理 - SSL 制御機能では、ポリシー違反が検出されると SSL セッションを終了させますが、これは TCP 層でのセッションを終了させるに過ぎません。この時点では SSL セッションが不完全な状態であるため、クライアントのリダイレクトや、終了に関する何らかの情報通知をクライアントに行うことはできません。
-
ホワイトリストの優先順位 - ホワイトリストは、他のすべての SSL 制御要素より優先されます。SSL サーバ証明書がホワイトリストのエントリに一致すると、SSL セッションの他の要素が設定されたポリシーの違反に該当する場合であっても、SSL セッションの続行が必ず許可されます。これは、意図的に行われています。
-
事前インストール済み (既知の) CA 証明書は 93 通あります。これにより、リポジトリはほとんどのウェブ ブラウザで使用されているものに非常に近くなりました。証明書に関しては、これ以外に以下の点が変更されています。
- CA 証明書の最大数が 6 から 256 に増加しました。
- 個々の CA 証明書の最大サイズが 2,048 から 4,096 に増加しました。
- ホワイトリストおよびブラックリストのエントリの最大数が、それぞれ 1,024 になりました。
Was This Article Helpful?
Help us to improve our support portal