SonicOS 7.1 リリース ノート

Technical Documentation>  SonicOS 7.1.1>  バージョン 7.1.1-7040
Table of Contents

バージョン 7.1.1-7040

2023 年 12 月

SonicOS 7.1.1 は、SonicOS のメジャー機能リリースです。

重要

  • NSsp 15700 用のこの SonicOS 7.1.1 ファームウェアは、MySonicWall では利用できません。お客様のサービス担当者にファームウェアについてお問い合わせください。
  • ネットワーク セキュリティ管理 (NSM) 2.3.5 は、SonicOS 7.1.1 をサポートしません。NSM 2.4 で SonicOS 7.1.1 をサポートします。

互換性とインストールの注意事項

  • 最も一般的なブラウザがサポートされますが、ダッシュボードの画像をリアルタイムで表示するには、Google Chrome を推奨します。
  • MySonicWall アカウントが必須です。

新機能

  • DNS フィルタ

    以下を含むオンライン体験の安全性と効率性の向上を目的とした大幅なアップデートを提供します。

    • 悪意のあるウェブサイトに対するセーフガード: DNS フィルタにより、既知の悪意のあるドメインへのアクセスを事前に遮断することで、マルウェア感染やその他のサイバー攻撃のリスクを軽減します。
    • 帯域幅の強化: 不必要または不適切なウェブサイトへのアクセスを遮断することで、帯域幅の消費を抑え、インターネット速度を最適化します。
    • 不適切な内容のフィルタ: DNS フィルタは、露骨な内容、暴力、または不適切な内容をホストするウェブサイトへのアクセスを遮断することで、追加の保護レイヤーを提供します。

  • コンテンツ フィルタ 5.0

    大幅に強化されたコンテンツ フィルタ エンジン 5.0 を提供します。

    • 種別の拡張: サポートされる種別が増え、ウェブサイトの分類が改善されました。
    • 評価基準による遮断: 評価基準による URL 遮断は、疑わしいウェブサイトを評価に基づいて事前に特定し、遮断します。

  • ネットワーク アクセス制御のサポート

    SonicOS は、NAC ベンダーが SonicWall セキュリティ コンテクストをファイアウォールに送信できる API を提供します。セキュリティ コンテクストを使用することで、SonicOS は移行動作用ポリシーの構築、動的ユーザ役割と他の情報を NAC ベンダーから取得して情報モデルの構築とトラフィック フィルタを実行します。SonicOS は、違うベンダーの複数の NAC サーバを同時にサポートします。

  • SonicWave AX のサポート

    SonicOS 7.1.1 バージョンで、「SonicWave 600 シリーズ アクセス ポイント」がファイアウォールに統合されました。

    SonicWave 600 シリーズ アクセス ポイントをバージョン 7.0.x のファイアウォールで構成された WLAN ゾーンに接続し、WNM で管理している場合、ファイアウォールを SonicOS 7.1 に更新すると、アクセス ポイントはファイアウォールによって取得されます。ファイアウォールを更新した後に、WNM 設定は使用できなくなります。シームレスな管理を実現するには、WLAN ゾーンの SonicPoint/SonicWave 管理を無効にしてください。

  • NSv の強化

    • NSv ベースが SonicCore からSonicCoreX に更新されました

      この更新により、安全な起動、仮想 TPM、および多くの性能強化を提供します。

    • NSv ブートストラップ

      SonicOS 7.1.1 は、NSv でブートストラップを提供します。これにより、NSv ファイアウォールを大量展開するための、迅速かつ一貫性のあるスケーラブルな設定プロセスを提供します。

      トークン基準の登録

      トークン基の登録は、ブートストラップ ファイルの MySonicWall ユーザ名とパスワードを文字列に置き換えて、基本的な構成とライセンス情報による大量展開を自動化します。これは、同じアカウントで他の登録製品の情報にアクセスするために使用できる MySonicWall 認証情報の悪用を防ぐのにも役立ちます。

    この NSv バージョンへアップグレードするには、新しい NSv の展開と、現在の環境からエクスポートされたバックアップ設定と証明書のインポートが必要です。詳細については、『7.0.1 から 7.1.1 への NSv アップグレード』を参照してください。

  • ファームウェア自動更新のサポート

    この機能は、ファイアウォールを最新のファームウェア バージョン、パッチ、セキュリティ更新・アップデートに保つ手順を簡略化します。

    この機能は NSsp 15700 プラットフォームではサポートされません。

  • 脅威/システム監視、監査ログ、およびパケット キャプチャ ファイルを外部記憶装置モジュールに保存する機能

    外部記憶装置を使用して、システム ログ、脅威ログ、AppFlow 報告データ、パケット キャプチャを保存し、ファイアウォールの再起動後もこれらの機能の履歴データが残るようにします。外部記憶装置に保存されたデータの検索もできます。

    この機能は NSsp 15700 プラットフォームではサポートされません。

  • UI 監視とページの強化

    SonicOS 7.1.1 は、使いやすさを向上させるためのユーザ インターフェースの機能強化を提供します。

    • ダッシュボード」には、ライセンスの同期とシグネチャの更新に関する「最後のライセンス管理連絡先」に関する詳細が表示されます。
    • 「ヘルプ スライダー」で、新しい「キャプチャ ラボ」アイコンが利用できます。このアイコンをクリックすると、新しいブラウザ タブまたはウィンドウが開き、「SonicWall キャプチャ ラボ」ウェブサイトが表示されます。
    • オブジェクトとルールの関連表示は、セキュリティ ルールとアクセス ルールをグラフィカルに表示します。
    • グローバル検索を使用して、オブジェクトやプロファイルに指定された値を検索できます。

  • ポリシー モードの強化

    • 侵入防御サービス (IPS) の調整機能

      特定の侵入防御サービス ルールの有効化と無効化を選択的にできます。

      SonicOS 7.1.1 では、管理者は特定の IPS シグネチャの集合を確認対象から除外し、選択した IPS シグネチャを選択的に無効にすることで、誤警報を減らすことができます。

      オブジェクト > IPS 脅威」ページの IPS シグネチャは、既定で有効化されています。システムによる動作を無視したい IPS シグネチャを無効にします。

    • ゲートウェイ アンチウイルスとアンチスパイウェアの脅威プロファイルのサポート

      管理者は、アンチ スパイウェアおよびゲートウェイ アンチウイルス プロファイルを動作プロファイルとして構成できるようになりました。シグネチャは、特定のセキュリティ ポリシーに対して検証を要求し、他のシグネチャは無視するように構成できるようになりました。この強化により、既知のシグネチャに対する不必要な確認をなくせます。

    • インターフェースで、管理タブ (HTTPS/PING/SSH) と送信元 (IP) を有効にする機能

      SonicOS 7.1.1 は、HTTP、HTTPS、Ping、SNMP、SSH などの管理サービス機能を有効にし、これらのサービスを特定の IP アドレスオブジェクトまたは任意のインターフェイス上のグループから管理できるようにする機能を提供します。

    • アンチ スパイウェア、ゲートウェイ アンチウイルス、および侵入防御プロファイル オブジェクトを表示する機能

      SonicOS 7.1.1 は、ルール作成を簡素化し、アプリケーション内の場所に関係なく、1 つのページですべてのオブジェクトとプロファイルを表示できます。オブジェクト表示機能により、ユーザはユーザ インタフェース内のオブジェクトとプロファイルの概要を表示することができます。検索されたオブジェクトをルールで使用する必要がある場合、ユーザはそのオブジェクトをルール ページの適切なドロップダウン メニューにドラッグ アンド ドロップするだけで、目的のオブジェクトを見つけて選択することができます。

    • シャドウ機能の強化

      SonicOS 7.1.1 は、シャドウ機能を拡張しました。多数のポリシーまたはルールで動作するようにし、セキュリティ ルールのグループを編集し、既存のルールの位置に基づいて上下にルールを追加する機能を追加しました。

    • フィルタと検索の向上

      SonicOS 7.1.1 は、列でのフィルタを追加することで、フィルタと検索のサポートを拡張しました。ファームウェア バージョンとシリアル番号がサイド バーに表示されており、いつでも確認できます。

  • SonicWall キャプチャ セキュリティ装置に対するアクティブ/スタンバイ高可用性のサポート

    • SonicOS 7.1.1 は、SonicWall キャプチャ セキュリティ装置 にアクティブ/スタンバイ高可用性のサポートを提供します。

  • ツール サポートの強化

    テクニカル サポート レポート」ページの診断とレポート ツールがいくつか強化されました。

    • いくつかの異なるレポートがダウンロードできる「動作」セクションを追加するために、レイアウトが変更されました。
    • システム ログのダウンロード」ボタンにツールチップが追加されました。
    • 「システム ログ」ファイル パッケージには、CSV 形式のイベント ログが含まれます。

修正された問題点

問題番号 問題の詳細
GEN7-15658 パケット キャプチャがいくつかのアプリケーション シグネチャを表示しません。
GEN7-19707 地域 IP/ボットネット フィルタ地図データベース ファイルのアップロードを許可する」オプションを無効にできません。
GEN7-24864 ローカル パケット ミラーに対するパケット ミラーが動作しません。
GEN7-26633 SIP UDP フレームが一定サイズ以上の場合、着信と発信呼び出しの両方に対する受信音声が使用できません。
GEN7-28520 赤色または黄色の警告が、ファイアウォール前面パネルの Alarm ライトを点灯させません。
GEN7-31345 Azure の NSv インスタンス背後にある LAN デバイスにファイルを複製すると、VPN を超えた SMB ファイル転送の速度が大幅に低下します。
GEN7-31899 DOS ポリシー ページの構成が監査できません。
GEN7-35181 特定の状況下で、「ファームウェアの同期」が期待通りに動作しません。
GEN7-35248 インターフェースの DHCPv6 接頭辞委任を削除すると、他のインターフェースの接頭辞委任構成が消去されます。
GEN7-35275 ウェブ管理インターフェースの「すべての DNS 要求に対して DNS プロキシを強制する」を有効にしたときの効果が向上しました: ファイアウォールが DNS クエリを自分自身に送信した場合、この種別のパケットは DNS プロキシ モジュールを通過しません。2.「診断」ページで静的キャッシュに静的ドメイン登録を追加して有効にした場合、このドメインは解決されませんが、ファイアウォールが他の非スタック モジュールでの静的登録を解決している場合は問題ありません。
GEN7-36178 FTP サーバの応答時間が 2 秒よりも多くかかった場合、FTP 自動化が失敗します。
GEN7-37282 TZ モデル、NSa2700、NSa3700、および NSv モデルのみ: 「ステートフル フェイルオーバー」設定を無効にして再度有効にした場合、スタンバイ装置で接続キャッシュが正常に同期しません。
GEN7-37326 「WAN GroupVPN」設定を編集して、すぐに「WAN GroupVPN」を有効化または無効化すると、いくつかの構成設定が失われます。
GEN7-37501 無線クライアントの MAC を含む「MAC フィルタの拒否」リストを「MAC なしアドレス グループ」に変更した後や、「MAC フィルタの拒否」リストを無効にした後でも、無線クライアントが遮断されたままになります。
GEN7-37511 6to4 自動トンネル 」を使用するポリシー基準のルートを追加する際にゲートウェイを構成しようとすると、エラー「ゲートウェイは既定でなければなりません」が表示されます。
GEN7-38529 MGMT インターフェースを伴う装置で、既定の高可用性ハートビート インターフェースが「MGMT」です。既定は「制御高可用性インターフェース」であるべきです。
GEN7-38767 SSL VPN ポータルが、ジャンボ フレームを正しく処理できません。
GEN7-39795 ユーザがシステム管理者としてログインすると、「パケット監視」ページが表示されません。
GEN7-39850 ゲートウェイ用の IPv6 ポリシー基準のルートに 6to4 自動トンネル インターフェースを選択すると、管理インターフェースに警告メッセージ「ゲートウェイは既定でなければなりません」が表示されます。
GEN7-39990 「高可用性」のアイドル装置で、条件確認によって負荷分散動作が正常に設定されません。
GEN7-40116 VMWare にホストされた NSv の X0 ポートを使用しようとすると、サイト間 VPN を超えた HTTPS 管理が失敗します。
GEN7-40300 SSL VPN クライアントの「ネットワーク アドレス IPv4 プール」を変更すると、変更は正常に行われたように表示されますが、実際には変更されません。
GEN7-40352 「コンテンツ フィルタ プロファイル オブジェクト」で「29.検索エンジンとポータル サイト」の遮断を選択して追加すると、次のエラーが表示されます: コマンド 'category "1.暴力/憎悪/人種差別" block' が一��しません。
GEN7-40886 Huawei マルチシャーシ スイッチが 132 バイト LACP BPDU を管理できないため、M-LAG/LACP が動作しません。
GEN7-40997 送信元が編集された管理アクセス ルールの FQDN アドレス オブジェクトが新しい DNS 登録の変更を継承しないため、古い登録が維持され、トラフィックが「ポリシー破棄」の条件で破棄されます。ホストがアドレス オブジェクトのホスト一覧にすでに存在する場合、アドレス オブジェクト テーブルとポリシー テーブルが正しく同期されません。
GEN7-41630 無効化された IPv6 VPN ポリシーを編集すると、有効化されてしまいます。
GEN7-41656 ユーザ基準のコンテンツ フィルタ サービス (CFS) ポリシーが存在しても、すべてのゾーンの SSO 強制が無効として表示されます。
GEN7-43151 高可用性フェイルオーバー後、クライアントがキャプチャ クライアントから一致しないシリアル番号を受信し、不正なクライアントとして誤って扱われるため、クライアントがインターネットにアクセスできなくなります。
GEN7-43386 VPN トンネルがフェーズ 1 暗号化に AESGCM を使用している場合、「show vpn tunnel」が暗号化を表示せずに、PRF アルゴリズムを誤って表示します。
GEN7-43436 SSL VPN サービスが無効化されているのにもかかわらず、仮想オフィス ポータルにアクセスできてしまいます。
GEN7-43505 認証方式が「証明書」に設定されている場合、VPN を超えた DHCP に中央ゲートウェイ VPN ポリシーを追加できません。
GEN7-43710 ウェブ管理インターフェースを使用して「WAN グループ VPN 」を編集する際に、事前共有鍵に表示できない文字が含まれているとエラーが表示されます。
GEN7-44890 ユーザ名に @ 記号が含まれている場合、そのユーザの SSL VPN ポータル ページにブックマークが表示されません。単純な「name」ではなく「name@domain.com」を表示名として使用している LDAP ユーザが、SSL VPN ポータル ページでブックマークを保存できません。

確認されている問題点

問題番号 問題の詳細
GEN7-28519 MD5 認証を有効にしている場合、ボーダー ゲートウェイ プロトコル (BGP) が確立できません。
GEN7-34246

「ブラウザ ネットワーク タイム ロックアウトとログイン方式 (NTLM)」認証機能が期待通りに機能しません。

認証させるには、ユーザはデバイスにログインしなければなりません。
GEN7-34484 ファイアウォールを再起動すると、監査ログが消去されます。
GEN7-37742 NSv のみ: 管理コンソールへの SSH ログインが許可されません。
GEN7-41011 LDAP からインポートされたグループの LDAP の場所が、自動的に入力されません。
GEN7-41040 SSO バイパス」設定からセキュリティ ポリシーが自動的に追加されてしまいます。ポリシー モードが構成されたファイアウォールでは、追加されるべきではありません。
GEN7-41102 ファイアウォールにインポートされたユーザに対して「パスワードの変更」が有効化されている場合でも、新しいパスワードへの「パスワードの変更」ページが表示されません。
GEN7-41340 親インターフェースが「未定義」に設定されている場合、そのサブ VLAN WAN インターフェースの接続されたルートが灰色で表示されます。
GEN7-41593 高可用性ペアをアップグレードする際に LACP が有効化されている場合、高可用性を無効にした上で、各ファイアウォールを別々にアップグレードしなければなりません。
GEN7-41996 自動的にサマー タイムを調整する」設定を無効にしても現在のシステム時間が変更されません。
GEN7-42202 アップロードされたユーザ定義のボットネット シグネチャ ファイルがファイアウォールに保存されず、ファイアウォールを再起動すると失われます。
GEN7-43016

VMWare ESXi UI バージョンのみ: .ova ファイルを使用して NSv を展開すると、エラー「disk image missing (ディスク イメージがありません)」が表示されます。

 

  1. Unzip を使用して、.ova を 3 つのファイルに解凍します: .vmdk ファイル、.nvram ファイル、および .ovf ファイル。
  2. 単一の .ova ファイルではなく、上記の 3 つのファイルをファイアウォールにアップロードします。
GEN7-43049 ファームウェアをアップロードして、ファイアウォールを工場出荷時の設定で起動すると、まれにウェブ管理インターフェースにネットワーク エラーが表示される場合があります。API が応答を送信し、ファイアウォールを再起動する前に HTTP 接続を閉じると、ファイアウォールがまだアクセス可能のように見えます。
GEN7-43500 ローカル ユーザの名前を変更しても、「サーバ DPI-SSL 除外/包有」リストに登録が表示されたままになり、名前が変更されたユーザを選択できなくなります。
GEN7-43554

ユーザ定義悪意のあるドメイン名リスト」と「ホワイト リスト」ページに不正なドメインを追加した後、構成の変更がまだ待機中のため、有効なドメインを追加できません。

ファイアウォールからログアウトし、再度ログインします。
GEN7-43677 リアルタイム グラフの再表示速度を選択するオプションが利用できません。(既定では、データは 5 秒毎に再表示されます。)
GEN7-43890 UDP チェックサム強制を有効にする」が有効の場合、L2TP クライアントが NAT の背後にあると、NAT を使用した伝送モードでは、IP ヘッダの一部が経由中に変更されることで UDP ヘッダーが不正なチェックサムを持つため、L2TP クライアントは接続できません。
GEN7-44642 NSsp 15700 のみ: MGMT/シャーシ IP と X1/予備 IP が同じサブネット内の場合、X1 ポートの HTTPS 管理にアクセスできません。
GEN7-44690 LDAPS が構成されており、ユーザが CAC を使用して認証しようとすると、SSL VPN ログインの認証に失敗します。
GEN7-44809

CPU の使用率が高くなることで、コンソールが応答しなくなり、テクニカル サポート レポート (TSR) をエクスポートできなくなります。

診断」ページで「上位メモリ呼び出しを収集する」を無効にします。(この変更を反映するには、ファイアウォールを再起動してください。)
GEN7-44866 「ファームウェア自動更新」のスケジュールを設定すると、Safari ウェブ ブラウザでウェブ管理インターフェイスを使用してファイアウォールを管理するときにエラーが発生します。
GEN7-44892

RADIUS を伴う RSA Secure ID Pin」を PIN を設定せずに使用し、NetExtender を使用してログインしようとすると、問い合わせで PIN を入力した後、PIN + SecureID を入力するための次のプ��ンプトが表示されず、NetExtender に「Login incorrect - Incorrect username/password (ログイン不正 - ユーザ名/パスワードが正しくありません)」というメッセージが表示されます。

管理者がユーザをログアウトします。それでユーザは接続に成功するはずです。
GEN7-44899 DNS ルールは、設計上、MAC または FQDN 種別のアドレス オブジェクトをサポートしません。アドレス オブジェクト グループは現在この制限を迂回しています。
GEN7-44909 ユーザが「再表示」をクリックするまで、「脅威ログ」ページにデータが表示されません。
GEN7-45060 TZ シリーズのみ:内部無線」ページの「無線モード」を「2.4G」から「5G 混在 80M-48」に変更したビルトイン無線をメッシュ ゲートウェイ方式で使用し、SonicWave デバイスが 2 台接続されている場合、ファイアウォールが断続的に再起動します。
GEN7-45077 アクセス ルール」ページの「グラフ」をクリックし、「開始」フィルタに「すべて」を選択すると、「使用中ルール」に「データなし」が表示されます。
GEN7-45081 ネットワーク セキュリティ管理 (NSM) で管理されるファイアウォールにログインしてセッションが失効したときに、「構成」または「非構成」をクリックすると、再度ログインする画面にリダイレクトされずに失敗します。
GEN7-45110 「アクセス ルール」の NAC ポリシーの編集で、送信元アドレス グループを変更すると次のエラー メッセージが表示されます: <アドレス オブジェクト名> は適切な値ではありません
GEN7-45163 アプリケーション ルール ポリシー名の最後に空白があると、アプリケーション ルールに一致した回数に 0 が表示されます。
GEN7-45194 SLA プローブ」ページのドロップダウン リストに VPN 基準の SD-WAN グループが表示されますが、除外されるべきです。
GEN7-45207 動的 LDAP サーバとして追加されたサブドメインを伴う LDAP で、サブドメイン内のユーザ名を LDAP 検索に使用すると、ウェブ管理インターフェースが応答しなくなる場合があります。
GEN7-45225 WAN 負荷分散で U0 が「最終バックアップ」として構成されており、X1 が構成されていない場合、ウェブ管理インターフェースとコンソール診断用 PING がインターネットに到達できません。
GEN7-45241

システム ログまたは TSR をダウンロードすると、CPU が 100% になる問題が断続的に発生します。

「デバイス | 診断 > テクニカル サポート レポート」ページで「サポート目的の診断レポートを定期的に保護する」を無効にすると問題を回避できます。
GEN7-45252 NSsp 15700 のみ:現在の設定でイメージを再起動する」をクリックすると、スタンバイ ファイアウォールの CLI に「Wrong firmware to boot (間違ったファームウェアの起動)」が表示されて、アップロードされたファームウェアの起動に失敗する問題が断続的に発生します。ファイアウォールでフェイルオーバーを強制的に行うと、アップグレードは正常に完了します。
GEN7-45257 ファイアウォールを SonicOS 7.0.1 から SonicOS 7.1.1 にアップグレードすると、LDAP ユーザが作成したブックマークが表示されません。
GEN7-45303 FTP データ チャンネルが大量 (20,000) にある場合で、短期間にセッションが失効すると、キャッシュが削除されます。これにより、ファイアウォールは接続キャッシュ タイマーの処理で CPU 使用率が高くなり、応答しなくなります。このシナリオが発生する可能性は極めて低いですが、ファイアウォール自体の現在の限界です。

追加の参考情報

GEN7-21050、GEN7-30510、GEN7-30873、GEN7-32613、GEN7-36401、GEN7-37384、GEN7-37924、GEN7-38708、GEN7-39004、GEN7-39068、GEN7-39249、GEN7-39837、GEN7-40176、GEN7-40351、GEN7-40379、GEN7-40499、GEN7-40657、GEN7-40659、GEN7-40662、GEN7-40738、GEN7-40780、GEN7-40803、GEN7-40913、GEN7-41276、GEN7-41658、GEN7-41967、GEN7-42015、GEN7-42120、GEN7-42230、GEN7-42246、GEN7-42417、GEN7-42425、GEN7-42545、GEN7-42955、GEN7-42956、GEN7-42964、GEN7-43124、GEN7-43319、GEN7-43448、GEN7-43732、GEN7-43774、GEN7-43799、GEN7-44083、GEN7-44255、GEN7-44281、GEN7-44538