SonicOS 7 ルールとポリシー --- TZ シリーズ用

Technical Documentation>  アクセス ルール>  ファイアウォール アクセス ルールの設定>  アクセス ルールの設定
Table of Contents

アクセス ルールの設定

 

ルールを設定するには、ルールの適用先となるサービスまたはサービス グループがまず定義されている必要があります。定義されていない場合は、サービスまたはサービス グループを定義したうえで、これに適用するルールを 1 つ以上定義します。

以下では、SonicOS を実行するファイアウォール装置用のファイアウォール ルールの追加、変更、既定値へのリセット、削除を行う手順を示します。SonicOS を実行する装置では、「アクセス ルール」画面でページ単位の移動、列見出しによる並べ替えがサポートされています。「アクセス ルール」テーブルでは、列見出しをクリックするとその列による並べ替えを実行できます。選択された列見出しの右側には、矢印が表示されます。この矢印をクリックすると、テーブル内のエントリの並べ替え順序が逆になります。

「アクセス ルール」画面のエントリの上にマウス ポインタを置くと、アドレス オブジェクトやサービスなどのオブジェクトに関する情報が表示されます。

アクセス ルールでは IPv6 がサポートされています。「アクセス ルール検索」セクションで IPv6 アクセス ルールを検索します。結果のリストがテーブルに表示されます。

アクセス ルール

そこから、編集するアクセス ルールの「構成」アイコンをクリックできます。アクセス ルールの IPv6 設定は、IPv4 の場合とほとんど同じです。

アクセス ルールを設定するには、以下の手順を完了します。

  1. ポリシー | ルールとポリシー > アクセス ルール」に移動します。「アクセス ルール」ページが表示されます。「ポリシー | ルールとポリシー > アクセス ルール」ページでは、アクセス ルールの複数のビューを選択できます。
  2. 既定」ビューの「構成」列で、ルールを設定する送信元および送信先インターフェースの「編集」アイコンをクリックします。そのインターフェース ペアに対する「アクセス ルールの編集」ページが表示されます。

  3. または、「アクセス ルール」テーブルで「+ ルールの追加」をクリックします。「アクセス ルールの編集」ダイアログ ボックスが表示されます。

    アクセス ルールの追加/編集

  1. 一般」ビューをクリックし、「ポリシー名」を追加または編集します。

  2. 動作 (アクセスの「許可」、「禁止」、または「 破棄」) を選択します。

    ポリシーに "No-Edit" (編集不可) のポリシー動作がある場合、「動作」設定は編集できません。

  1. 送信元」/「送信先」ドロップダウン メニューから送信元と送信先のゾーンを選択します。

    • 既定のゾーンはありません。「すべて」はどちらのゾーン フィールドでもサポートされています。
  2. 送信元ポート」を選択します。アクセス ルールが設定されている場合、選択された「サービス オブジェクト/グループ」で定義されている送信元ポートに基づいてトラフィックがフィルタ処理されます。選択されたサービス オブジェクト/グループには、「サービス」で選択するのと同じプロトコル種別が設定されている必要があります。
  3. サービス」ドロップダウン メニューから、サービス オブジェクトを選択します。サービスが存在しない場合は、「サービス オブジェクトの設定」を参照してください。
  4. 送信元」 / 「送信先」ドロップダウン メニューから「送信元」と「送信先」の各ゾーンを選択します。
  5. 送信元ネットワーク アドレス オブジェクトを「送信元」ドロップダウン メニューから選択します。
  6. 送信先ネットワーク アドレス オブジェクトを「送信先」ドロップダウン メニューから選択します。
  7. IP バージョン」(「IPv4」または「IPv6」) を指定します。
  8. このルールの適用先が、すべてのユーザか、個々のユーザまたはグループかを「包含ユーザ」ドロップダウン メニューで指定します。「除外ユーザ」ドロップダウン メニューを使用してユーザを除外することもできます。
  9. スケジュール」ドロップダウン メニューでスケジュールまたはスケジュール グループを選択して、ルールがいつ適用されるかを指定します。ルールを常に適用する場合は、「常に有効」を選択します。スケジュールが存在しない場合は、「スケジュールの設定」を参照してください。
  10. アクセス ルールの「優先順位」を設定します。
  11. 必要に応じて、ルールに関連するコメントを「コメント」フィールドに入力します。
  12. このルールに対するログを有効にするには、「ログを有効にする」を選択します。
  13. 断片化パケットは、特定の種別のサービス拒否攻撃で使用されるので、既定では遮断されます。「断片化パケットを許可する」は、ユーザによる特定のアプリケーションへのアクセスで問題が発生していて SonicWall ログが多数の断片化パケットの破棄を示している場合にのみ有効にしてください。
  14. 断片化パケットを許可するには、「断片化パケットを許可する」をオンにします。
  15. フロー報告を許可するには、「フロー報告を有効にする」をオンにします。
  16. パケットの監視を許可するには、「パケット監視を有効にする」をオンにします。
  17. (必要に応じて) 「管理トラフィックを許可する」をオンにします。このオプションが有効になっている場合、管理用と非管理用の両方のトラフィックが許可されます。

  18. ボットネット フィルタを使用する場合は、「ボットネット フィルタを有効にする」をオンにします。

  19. このアクセス ルールに一致するトラフィックで SIP 変換を有効にするには、「SIP 」をオンにします。このオプションは、既定では選択されていません。

    既定では、SIP クライアントは自身のプライベート IP アドレスを、SIP プロキシ宛てに送信される SIP (セッション開始プロトコル) セッション定義プロトコル (SDP) メッセージに使用します。SIP プロキシがファイアウォールのパブリック (WAN) 側に配置されていて、SIP クライアントがファイアウォールのプライベート (LAN) 側に配置されている場合、SDP メッセージは変換されないため、SIP プロキシは SIP クライアントに到達できません。SIP 変換を有効にすると、プライベート IP アドレスと割り当てられたポートを変更して SonicOS が LAN から WAN に流れる SIP メッセージを変換するようにすることで、この問題が解決されます。

  20. このアクセス ルールに一致するトラフィックで H.323 変換を有効にするには、「H.323 」をオンにします。

    H.323 は IPv4 と IPv6 の両方でサポートされています。ただし、H.323 は IPv4 と IPv6 の間のブリッジとして機能しません。ファイアウォールへの受信 H.323 ストリームが IPv4 モードの場合は、送信側でも IPv4 モードのままです。IPv6 モードの場合も同じです。H.323 シグナル ストリームによってホストされる関連メディア セッション (音声、ビデオ セッションなど) は、H.323 シグナル セッションと同じアドレス モードになります。例えば、H.323 シグナル ハンドシェイクが IPv6 モードの場合、この H.323 シグナル ストリームから生成されるすべての RTP/RTCP ストリームも IPv6 モードになります。

  21. 次へ」をクリックして「詳細」設定に進みます。