• SonicOS 7 ルールとポリシー
• アクセス ルール
  • ファイアウォール アクセス ルールの設定
    • ステートフル パケット検査の既定のアクセス ルールについて
    • 接続の制限について
    • アクセス ルールによる帯域幅管理の使用
      • アクセス ルールでの帯域幅管理の有効化
    • アクセス ルールの設定
      • 詳細設定の構成
      • QoS 設定値の構成
      • 詳細帯域幅管理での帯域幅管理の設定
      • グローバル帯域幅管理での帯域幅管理の設定
      • 地域 IP 設定値の構成
      • アクセス ルールの確認
      • IPv6 のアクセス ルールの設定
      • NAT64 のアクセス ルールの設定
      • DNS プロキシのアクセス ルール
      • アクセス ルールのユーザ優先順位
      • アクセス ルールの表示
        • ゾーン別
        • 列ごと
      • ゾーン間アクセス ルールの最大数の指定
      • ゾーンのアクセス ルールの設定
    • アクセス ルールの有効化と無効化
    • アクセス ルールの編集
    • アクセス ルールの削除
    • アクセス ルールの既定の設定の復元
    • アクセス ルールのトラフィック統計の表示
  • アクセス ルールの設定例
    • Ping の有効化
    • 特定のサービスへの LAN アクセスの遮断
    • LAN ゾーンからの WAN プライマリ IP アクセスの許可
• NAT ルール
  • SonicOS での NAT について
  • NAT 負荷分散について
    • 使用する NAT LB 方式の決定
    • 注意
    • 負荷分散アルゴリズムの適用方法
    • スティッキー IP アルゴリズムの例
      • 例 1 - ネットワークへの割付
      • 例 2 - IP アドレス範囲への割付
  • NAT64 について
    • Pref64::/n の使用
  • FQDN ベースの NAT について
  • 送信元 MAC アドレスの置き換えについて
  • NAT ポリシー エントリの表示
    • 表示の変更
    • 表示のフィルタリング
    • ポリシーに関する情報の表示
  • 「NAT または NAT64 の追加または編集」ポリシー
  • NAT ポリシーの削除
  • NAT ルール ポリシーの作成 例
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    • WAN IP アドレス経由の着信ポート アドレス変換
    • 多対 1 の NAT ポリシーの作成
    • 多対多の NAT ポリシーの作成
    • 1 対多の NAT 負荷分散ポリシーの作成
    • 2 台のウェブ サーバの NAT 負荷分散ポリシーの作成
    • NAT64 ポリシーのための WAN から WAN へのアクセス ルールの作成
    • DNS 改竄
• ルーティング ルール
  • ルーティングについて
    • メトリックと管理距離
      • メトリックについて
      • 管理距離について
    • ルート通知
    • ECMP ルーティング
    • ポリシーベース ルーティング
    • ポリシーベース TOS ルーティング
    • PBR のメトリックベースの優先順位
    • ポリシー ベースのルーティングと IPv6
    • OSPF および RIP の高度なルーティング サービス
      • ルーティング サービスについて
        • プロトコル種別
        • 最大ホップ数
        • スプリット ホライズン
        • ポイズン リバース
        • ルーティング テーブル更新
        • サブネット サイズのサポート
        • 自律システム トポロジ
      • OSPF の条件
    • ドロップ トンネル インターフェース
    • アプリベースのルーティング
  • ルールとポリシー > ルーティング ルール
    • ルーティング ルールの設定
      • 静的ルートの追加
      • プローブに対応したポリシーベース ルーティングの設定
• コンテンツ フィルタ ルール
  • コンテンツ フィルタ ルール (CFS) について
    • コンテンツ フィルタ ルールについて
    • CFS ポリシーの UUID について
    • コンテンツ フィルタ オブジェクトについて
    • CFS の動作
  • CFS ポリシーの設定
    • コンテンツ フィルタ ルール テーブルについて
      • コンテンツ フィルタ ルール テーブルの検索
    • コンテンツ フィルタ ルールの追加
    • コンテンツ フィルタ ルールの編集
    • コンテンツ フィルタ ルールの削除
• アプリケーション ルール
  • アプリケーション ルールについて
    • アプリケーション ルールとは？
      • アプリケーション ルール ポリシーについて
      • アプリケーション ルールの性能について
    • アプリケーション ルールのメリット
    • アプリケーション制御の仕組み
    • アプリケーション制御ポリシーの作成について
    • アプリケーション ルール ポリシーの作成について
    • プリケーション ルールとアプリケーション制御 のライセンス
    • 用語
  • ルールとポリシー > アプリケーション ルール
    • アプリケーション ルール ポリシーの設定
    • アプリケーション ルール ウィザードを使用する
  • アプリケーション ルール設定の確認
    • 便利なツール
      • Wireshark
      • 16 進エディタ
  • アプリケーション ルールの使用例
    • 一致オブジェクトでの正規表現の作成
    • ポリシーベースのアプリケーション ルール
    • アプリケーション シグネチャベース ポリシーのログ
    • コンプライアンスの施行
    • サーバの保護
    • ホストされる電子メール環境
    • 電子メール制御
    • ウェブ ブラウザ制御
    • HTTP POST 制御
    • 禁止するファイル タイプ制御
    • ActiveX コントロール
    • FTP 制御
      • 機密ファイルの FTP 送信の遮断
      • 送信 UTF-8/UTF-16 エンコード ファイルの遮断
      • FTP コマンドの遮断
    • 帯域幅管理
    • DPI をバイパス
    • 個別のシグネチャ
    • リバース シェル悪用の防御
      • ネットワーク アクティビティの生成
      • Wireshark を使用したペイロードのキャプチャおよびテキスト ファイルへのエクスポート
      • 一致オブジェクトの作成
      • ポリシーの定義
• エンドポイント ルール
• SonicWall サポート

アクセス ルールの設定

• IPv6 のアクセス ルールの設定
• NAT64 のアクセス ルールの設定
• DNS プロキシのアクセス ルール
• アクセス ルールのユーザ優先順位
• アクセス ルールの表示
• ゾーン間アクセス ルールの最大数の指定
• ゾーンのアクセス ルールの設定

ルールを設定するには、ルールの適用先となるサービスまたはサービス グループがまず定義されている必要があります。定義されていない場合は、サービスまたはサービス グループを定義したうえで、これに適用するルールを 1 つ以上定義します。

以下では、SonicOS を実行するファイアウォール装置用のファイアウォール ルールの追加、変更、既定値へのリセット、削除を行う手順を示します。SonicOS を実行する装置では、「アクセス ルール」画面でページ単位の移動、列見出しによる並べ替えがサポートされています。「アクセス ルール」テーブルでは、列見出しをクリックするとその列による並べ替えを実行できます。選択された列見出しの右側には、矢印が表示されます。この矢印をクリックすると、テーブル内のエントリの並べ替え順序が逆になります。

「アクセス ルール」画面のエントリの上にマウス ポインタを置くと、アドレス オブジェクトやサービスなどのオブジェクトに関する情報が表示されます。

アクセス ルールでは IPv6 がサポートされています。「アクセス ルール検索」セクションで IPv6 アクセス ルールを検索します。結果のリストがテーブルに表示されます。

そこから、編集するアクセス ルールの「構成」アイコンをクリックできます。アクセス ルールの IPv6 設定は、IPv4 の場合とほとんど同じです。

アクセス ルールを設定するには、以下の手順を完了します。

1. 「ポリシー | ルールとポリシー > アクセス ルール」に移動します。「アクセス ルール」ページが表示されます。「ポリシー | ルールとポリシー > アクセス ルール」ページでは、アクセス ルールの複数のビューを選択できます。
2. 「既定」ビューの「構成」列で、ルールを設定する送信元および送信先インターフェースの「編集」アイコンをクリックします。そのインターフェース ペアに対する「アクセス ルールの編集」ページが表示されます。

3. または、「アクセス ルール」テーブルで「+ ルールの追加」をクリックします。「アクセス ルールの編集」ダイアログ ボックスが表示されます。

   

4. 「一般」ビューをクリックし、「ポリシー名」を追加または編集します。

5. 動作 (アクセスの「許可」、「禁止」、または「 破棄」) を選択します。

   ポリシーに "No-Edit" (編集不可) のポリシー動作がある場合、「動作」設定は編集できません。

6. 「送信元」/「送信先」ドロップダウン メニューから送信元と送信先のゾーンを選択します。

• 既定のゾーンはありません。「すべて」はどちらのゾーン フィールドでもサポートされています。

「送信元ポート」を選択します。アクセス ルールが設定されている場合、選択された「サービス オブジェクト/グループ」で定義されている送信元ポートに基づいてトラフィックがフィルタ処理されます。選択されたサービス オブジェクト/グループには、「サービス」で選択するのと同じプロトコル種別が設定されている必要があります。

「サービス」ドロップダウン メニューから、サービス オブジェクトを選択します。サービスが存在しない場合は、「サービス オブジェクトの設定」を参照してください。

「送信元」 / 「送信先」ドロップダウン メニューから「送信元」と「送信先」の各ゾーンを選択します。

送信元ネットワーク アドレス オブジェクトを「送信元」ドロップダウン メニューから選択します。

送信先ネットワーク アドレス オブジェクトを「送信先」ドロップダウン メニューから選択します。

「IP バージョン」(「IPv4」または「IPv6」) を指定します。

このルールの適用先が、すべてのユーザか、個々のユーザまたはグループかを「包含ユーザ」ドロップダウン メニューで指定します。「除外ユーザ」ドロップダウン メニューを使用してユーザを除外することもできます。

「スケジュール」ドロップダウン メニューでスケジュールまたはスケジュール グループを選択して、ルールがいつ適用されるかを指定します。ルールを常に適用する場合は、「常に有効」を選択します。スケジュールが存在しない場合は、「スケジュールの設定」を参照してください。

アクセス ルールの「優先順位」を設定します。

必要に応じて、ルールに関連するコメントを「コメント」フィールドに入力します。

このルールに対するログを有効にするには、「ログを有効にする」を選択します。

断片化パケットは、特定の種別のサービス拒否攻撃で使用されるので、既定では遮断されます。「断片化パケットを許可する」は、ユーザによる特定のアプリケーションへのアクセスで問題が発生していて SonicWall ログが多数の断片化パケットの破棄を示している場合にのみ有効にしてください。

断片化パケットを許可するには、「断片化パケットを許可する」をオンにします。

フロー報告を許可するには、「フロー報告を有効にする」をオンにします。

パケットの監視を許可するには、「パケット監視を有効にする」をオンにします。

(必要に応じて) 「管理トラフィックを許可する」をオンにします。このオプションが有効になっている場合、管理用と非管理用の両方のトラフィックが許可されます。

ボットネット フィルタを使用する場合は、「ボットネット フィルタを有効にする」をオンにします。

このアクセス ルールに一致するトラフィックで SIP 変換を有効にするには、「SIP 」をオンにします。このオプションは、既定では選択されていません。

既定では、SIP クライアントは自身のプライベート IP アドレスを、SIP プロキシ宛てに送信される SIP (セッション開始プロトコル) セッション定義プロトコル (SDP) メッセージに使用します。SIP プロキシがファイアウォールのパブリック (WAN) 側に配置されていて、SIP クライアントがファイアウォールのプライベート (LAN) 側に配置されている場合、SDP メッセージは変換されないため、SIP プロキシは SIP クライアントに到達できません。SIP 変換を有効にすると、プライベート IP アドレスと割り当てられたポートを変更して SonicOS が LAN から WAN に流れる SIP メッセージを変換するようにすることで、この問題が解決されます。

このアクセス ルールに一致するトラフィックで H.323 変換を有効にするには、「H.323 」をオンにします。

H.323 は IPv4 と IPv6 の両方でサポートされています。ただし、H.323 は IPv4 と IPv6 の間のブリッジとして機能しません。ファイアウォールへの受信 H.323 ストリームが IPv4 モードの場合は、送信側でも IPv4 モードのままです。IPv6 モードの場合も同じです。H.323 シグナル ストリームによってホストされる関連メディア セッション (音声、ビデオ セッションなど) は、H.323 シグナル セッションと同じアドレス モードになります。例えば、H.323 シグナル ハンドシェイクが IPv6 モードの場合、この H.323 シグナル ストリームから生成されるすべての RTP/RTCP ストリームも IPv6 モードになります。

「次へ」をクリックして「詳細」設定に進みます。