SonicOS 7 ルールとポリシー --- TZ シリーズ用
- SonicOS 7 ルールとポリシー
- アクセス ルール
- NAT ルール
- ルーティング ルール
- コンテンツ フィルタ ルール
- アプリケーション ルール
- エンドポイント ルール
- SonicWall サポート
ドロップ トンネル インターフェース
ドロップ トンネル インターフェースは、設定されたルートがダウンしている場合に、トラフィックが誤ったルートで送信されるのを阻止します。ドロップ トンネル インターフェースに送信されたトラフィックは、装置から外へ出ることはなく、破棄されたように見えます。
ドロップ トンネル インターフェースは、単独でも使用できますが、VPN トンネル インターフェースと組み合わせて使用してください。静的ルートがトンネル インターフェースにバインドされている場合、SonicWall は、ドロップ トンネル インターフェースにバインドされている静的ルートを同じネットワーク トラフィックに対して設定することを推奨します。このようにすると、トンネル インターフェースがダウンしたときに、2 番目の静的ルートが使用され、トラフィックは実質的に破棄されます。これにより、データが平文のまま別のルートに転送されるのを防止できます。
VPN トンネル インターフェースを使用してルートを設定すると、トンネルが一時的にダウンした場合、対応するルート登録も無効化されます。SonicOS は、VPN 保護ネットワークに向かう、接続の新しいルート登録を探し出します。リモート VPN ネットワークへのバックアップ リンクがない配備では、それ以外の適切なルート登録が使用できません。そのためトラフィックは誤ったルート登録 (通常、デフォルト ルート) に送信され、そこで内部データが暗号化されずに送信されるというようなセキュリティ上の問題が生じます。
バックアップ リンクのない配備では、次の例のようにルート テーブルを設定することを検討してください。
route n: local VPN network(source), remote VPN network(destination), VPN TI(egress_if)
route n+1: local VPN network(source), remote VPN network(destination), Drop If(egress_if)
VPN トンネル インターフェースをこの例のように設定すると、トラフィックはドロップ インターフェースと一致するので、送出されません。VPN トンネル インターフェースが再開すると、トラフィックも再開します。
Was This Article Helpful?
Help us to improve our support portal