SonicOS Release Notes

Transcription

1 SonicWall SonicOS 年 4 月 このでは SonicWall SonicOS リリースについて説明します トピック : SonicOS について サポート対象プラットフォーム 新機能 改良点 修正された問題点 確認されている問題点 システムの互換性 製品ライセンス アップグレード情報 SonicWall サポート SonicOS について には 重要な新機能と 以前のリリースで見つかったさまざまな既知の問題に対する修正が含まれています 詳細については 新機能および修正された問題点セクションを参照してください メモ : 本書には 一部の国や地域ではリリースされていないプラットフォーム / バージョンに関する記述が含まれている場合があります サポート対象プラットフォーム SonicOS は 次の SonicWall 装置でサポートされます SuperMassive 9600 NSA 6600 TZ600 SuperMassive 9400 NSA 5600 TZ500 / TZ500 Wireless SuperMassive 9200 NSA 4600 TZ400 / TZ400 Wireless NSA 3600 TZ300 / TZ300 Wireless NSA 2600 SOHO Wireless 1

2 新機能 このセクションでは SonicOS で導入された新機能について説明します トピック : 高可用性 PPPoE アンナンバードインターフェースのサポート ベンダー OUI の検出とログ記録 Dell X シリーズスイッチ統合機能 DPI-SSH pcapng のサポート 定期的なバックアップのための TSR FTP 地域 IP とボットネットのユーザ定義リスト SIP UDP 断片化の修正 IPFIX を介した AppFlow サーバ上のシステムログ NAT64: IPv6 クライアントから IPv4 サーバへのステートフル NAT DNS プロキシ FQDN ルーティング ルートの最大数が倍増 ゾーン間のアクセスルールの最大サイズの増加 拡張 IPFIX v2 を使用したフロー報告 Syslog サーバのプロファイリング IPv6 のサポート DPI-SSL の接続数の増加と拡張 オープン認証ソーシャルログイン 更新された SonicPoint ファームウェア SonicPoint RADIUS アカウント 31 ビットネットワーク 脅威 API 生体認証 VPN 自動プロビジョニング 高可用性 SonicOS では 高可用性の分野で次の 2 つの新機能が導入されています 動的 WAN インターフェースでの高可用性 (HA) 機能のサポート SonicOS では PPPoE を HA アクティブ / スタンバイモードのインターフェースで有効にすることができます アクティブ装置は PPPoE サーバに接続した後 PPPoE セッション ID とサーバ名をアイドル装置に同期します 2

3 フェイルオーバー時に アクティブ装置はタイムアウトすることによってクライアント側の PPPoE HA 接続を終了します セカンダリ装置は サーバ側の元の接続を終了し 新しい PPPoE 接続を開始します 高可用性機能が有効で 1 つのインターフェースが PPPoE アンナンバード (Unnumbered) として設定されている場合は 次の設定を行う必要があります 高可用性 > 設定 画面で 次の操作を行います 仮想 MAC を有効にする チェックボックスをオンにします 先制 ( プリエンプト ) モードを有効にする チェックボックスをオフにします 高可用性 > 監視 画面で 次の操作を行います 物理リンク監視を有効にする をオンにします プライマリおよびセカンダリ IP アドレスのフィールドを に設定します 他のチェックボックスをすべてオフにします HA ステートフル同期機能の DHCP サポート DHCP を HA モードのインターフェースで有効にできるようになりました この機能は アクティブ / スタンバイ ( 非ステートフル ) モードとステートフル同期モードの両方でサポートされます DHCP リースを取得できるのはアクティブ装置のみです アクティブ装置は DHCP IP アドレスを DNS アドレスおよびゲートウェイアドレスと共にアイドル装置に同期します DHCP クライアント ID も同期されるため 仮想 MAC を有効にしなくてもこの機能を利用できます フェイルオーバー時に アクティブ装置は DHCP リースを解放します セカンダリ装置は既存の DHCP IP アドレスとクライアント ID を使用して DHCP リースを更新し アクティブ装置になります IP アドレスは変わらず VPN トンネルトラフィックを含むネットワークトラフィックは引き続き送信されます フェイルオーバー発生時にアクティブ装置に IP アドレスが設定されていない場合は セカンダリ装置が新しい DHCP 発見を開始します PPPoE アンナンバードインターフェースのサポート PPPoE アンナンバードインターフェースを使用すると 1 つの PPPoE 接続だけで一連の IP アドレスを管理できます インターネットサービスプロバイダ (ISP) は サブネット内で割り当て可能な複数の静的 IP アドレスを提供します 最初のアドレスはネットワークアドレスとして指定され 最後のアドレスはブロードキャストアドレスとして指定されます 3

4 まず WAN インターフェースで次のように PPPoE クライアントの設定を行います 別のインターフェースでアンナンバード PPPoE インターフェースを設定します 1 ゾーン で LAN または DMZ を選択するか 新しいゾーンを作成します 2 モード / IP 割り当て で IP アンナンバード を選択します 3 IP アドレス には ISP から提供されたアドレスを入力します 通常は プロバイダから割り当てられた 2 番目の IP アドレスを使用します サブネットマスクも ISP から割り当てられます 4

5 注意 : PPPoE の既定の MTU は 1492 です X2 から X3 へのアンナンバードが設定されているときに X3 を別のモードに変更するには 先に X2 を別のモードに変更して X2 との関係を終了します そうしないと インターフェース X3 の IP アドレスまたはマスクを変更した場合に X3 は PPPoE サーバに再接続します X3 がアンナンバードインターフェースとして設定されている場合 他のインターフェースから L2 ブリッジを使用して X3 に接続することはできません 高可用性機能が有効になっている場合は 次のようにアンナンバード PPPoE を使用するように 高可用性 > 設定 画面で設定します ネットワークトポロジの例を以下に示します このトポロジでは X2 は PPPoE アンナンバードインターフェースで X3 はアンナンバードインターフェースです SonicOS が次の 2 つのルートを追加します 5

6 SonicOS は 2 つの NAT ポリシーも追加します 手動で追加する NAT ポリシーの設定は次のようになります ベンダー OUI の検出とログ記録 有線 無線を問わず あらゆるネットワーク機器にはハードウェアの製造元によって 48 ビットの MAC アドレスが割り当てられています OUI (Organizationally Unique Identifier) は ベンダー 製造元 その他の組織を全世界で一意に識別する 24 ビットの番号です MAC アドレスの前半 3 オクテットが OUI です SonicOS では この情報を使用して以下の各表の ベンダー 列に表示します ダッシュボード > 接続監視 ダッシュボード > ログ監視 ダッシュボード > AppFlow 監視 6

7 ネットワーク > ARP ネットワーク > 近隣者発見 ネットワーク > MAC-IP アンチスプーフ ネットワーク > DHCP サーバ ネットワーク > IP ヘルパー スイッチング > L2 発見 スイッチング > リンク統合 VPN > VPN を越えた DHCP 無線 > 状況 無線 > IDS SonicPoint > ステーション状況 SonicPoint > RF 解析 SonicPoint > IDS Dell X シリーズスイッチ統合機能 SonicOS には Dell X シリーズ統合のための次のような拡張と新機能が用意されています PortShield と高可用性 以前の Dell X シリーズ統合では 専用アップリンクを使用して HA モードの SonicOS PortShield 機能をサポートしていました SonicOS では HA モードの PortShield 機能が共通アップリンクを使用してサポートされます この設定では アクティブ / スタンバイファイアウォールと X シリーズスイッチの間のリンクが すべての PortShield トラフィックを伝送する共通アップリンクとして機能します また この設定では PortShield ホストとして機能するファイアウォールインターフェースが アクティブ装置とスタンバイ装置に接続された同じ X シリーズスイッチではなく 独立したスイッチに接続されている必要があります これは 同じ PortShield VLAN でのパケットのループを回避するためです PortShield メンバーは アクティブ / スタンバイファイアウォールによって制御される X シリーズスイッチのポートに接続できます VLAN トラフィック用の共通アップリンクを介した一元管理 以前の Dell X シリーズ統合では 専用アップリンク設定で VLAN をサポートしていました SonicOS では VLAN が共通アップリンクでもサポートされます このため ファイアウォールと X シリーズスイッチを結ぶ単一のリンクで X シリーズスイッチを管理するファイアウォールの管理トラフィック ファイアウォールのインターフェースに対応する IDV (Interface Disambiguation via VLAN) VLAN の PortShield トラフィック および共通アップリンクインターフェースに存在する VLAN サブインターフェースのトラフィックを伝送できます メモ : 同じスイッチに対する専用アップリンクまたは共通アップリンクとして設定された装置インターフェースに 重複する VLAN が存在することはできません これは VLAN 空間が X シリーズスイッチ上でグローバルだからです メモ : アクセス / トランク設定用の VLAN を選択せずに 拡張スイッチインターフェースから共通アップリンクインターフェースへの PortShield を設定することはできません X シリーズスイッチの最大数が 4 台に増加 7

8 以前の SonicOS リリースでは SonicWall ファイアウォールを最大で 2 台の X シリーズスイッチに対してプロビジョニングすることができました SonicOS では 最大で 4 台の X シリーズスイッチがサポートされます 4 台すべての X シリーズスイッチをファイアウォール装置に直接接続する必要があります X シリーズスイッチのデイジーチェーン接続はまだサポートされていません SonicWall NSA と SuperMassive のサポート SonicOS では X シリーズソリューションのサポート対象が SonicWall NSA 装置と SuperMassive 装置にまで拡張されています (NSA 2600 を除く ) 以下の SonicWall プラットフォームがサポートされるようになりました SuperMassive 9600 NSA 6600 TZ600 SuperMassive 9400 NSA 5600 TZ500 / TZ500 Wireless SuperMassive 9200 NSA 4600 TZ400 / TZ400 Wireless NSA 3600 TZ300 / TZ300 Wireless DPI-SSH SonicOS では DPI-SSH 機能が導入されています DPI-SSH では SSH トンネル内のファイアウォールを通過するデータを検査します SSH ( セキュアシェル ) は ネットワークに接続された 2 台のコンピュータ間で 保護されたネットワーク通信とサービスを利用するための暗号化ネットワークプロトコルです 保護されていないネットワーク上の保護されたチャネルを介して それぞれ SSH サーバプログラムと SSH クライアントプログラムを実行しているサーバとクライアントを接続します SSH はシェルとしてだけなく 保護されたチャネルとしても機能します このトンネルを介して シェル ファイル転送 X11 転送など さまざまなサービスを提供します SonicOS は SSH2 をサポートしています SSH1 セッションはインターセプトされず 検査されません SSH1 バナーメッセージに非準拠の SSH バージョン番号が含まれる場合 メッセージは不正なプロトコルとして扱われ 破棄されます DPI ( 精密パケット検査 ) では SonicWall ファイアウォールを通過するパケットのデータ部分 ( および場合によってはヘッダー ) を調べます プロトコル違反 ウィルス スパム 侵入 または定義済みの条件がないかどうかを検索し パケットを通過させるかどうかを判断します DPI-SSH では 着信 SSH パケットを復号化し 検査のために DPI モジュールに送信します DPI 検査が完了したら パケットを再度暗号化して送信先に送ります データ / パケットが DPI 検査に合格しなかった場合 DPI-SSH は接続をリセットします DPI-SSH には 特定の種別のトラフィックを検査またはバイパスするための包含 / 除外条件があります SonicOS 管理者は DPI-SSH > 設定 画面でこの条件を変更できます DPI-SSH では ルートモードとワイヤモードの両方がサポートされます ワイヤモードでは DPI- SSH は保護 ( 直列トラフィックのアクティブ DPI) モードでのみサポートされます ルートモードでは 制限はありません DPI-SSH では 以下のクライアントがサポートされます Cygwin 用の SSH クライアント Putty securecrt Ubuntu の SSH CentOS の SSH 8

9 Cygwin 用の SFTP クライアント Cygwin の SCP Winscp DPI-SSH では 以下のサーバがサポートされます Fedora の SSH サーバ Ubuntu の SSH サーバ DPI-SSH では 以下の鍵交換アルゴリズムがサポートされます 注意 : Diffie-hellman-group1-sha1 Diffie-hellman-group14-sha1 ecdh-sha2-nistp256 ローカルマシンに SSH サーバ鍵が既に保存されている場合は それを削除する必要があります 例えば サーバに対して SSH を既に使用していて サーバ DSS 鍵が保存されている場合 DSS 鍵をローカルファイルから削除しないと SSH セッションが失敗します ssh-keygen ユーティリティを使用してもパスワードをバイパスできません Putty では GSSAPI が使用されます このオプションは SSH2 専用で より強力な暗号化認証を利用できます 最初の通信時に ローカルのトークンまたは鍵がローカルクライアントとサーバに保存されます メッセージと処理は DPI-SSH の開始前に交換されるので DPI-SSH は GSSAPI トークンを含めて 開始前に交換された内容については関知しません GSSAPI オプションが有効になっていると DPI-SSH は失敗します クライアント側では DPI-SSH が有効になっている場合 SSH 2.x または 1.x クライアントを使用できます ただし 異なるバージョン番号のクライアントを同時に使用することはできません ゲートウェイアンチスパイウェア検査とアプリケーションファイアウォール検査は DPI-SSH > 設定 画面でこれらのオプションを選択してもサポートされません pcapng のサポート SonicOS には パケット監視ユーザインターフェース上で pcapng ファイルをエクスポートするオプションがあります pcapng ファイルは Wireshark で直接開くことができ 新しい Packet comments セクションが表示されます 以前のリリースでは パケット監視のエクスポートで pcap がサポートされていましたが 管理者が pcap HTML およびテキストをエクスポートして 行番号 入力インターフェース 出力インターフェース およびパケットを処理した機能名を調べる必要がありました 1 つの pcapng ファイルをエクスポートすることで このデータを利用できるようになりました ダッシュボード > パケット監視 画面には pcapng ファイルをエクスポートするための新しいオプションが用意されています 9

10 このファイルを Wireshark で開くと 新しい Packet comments セクションが表示されます 定期的なバックアップのための TSR FTP この機能を使用すると 管理者は設定 ( 環境設定 ) とテクニカルサポートレポート (TSR) を指定された FTP サーバに送信できます 管理者は この情報を FTP サーバに定期的にバックアップするためのスケジュールを設定できます 環境設定と TSR の定期バックアップを有効にするには : 1 システム > 設定 ページに移動します 10

11 2 FTP で送信 ボタンをクリックします 報告スケジュール ページが表示されます 3 TSR を送信するには テクニカルレポートを FTP で送信する チェックボックスをオンにし ます 4 環境設定を送信するには 設定を FTP で送信する チェックボックスをオンにします 5 FTP サーバに関する必要な情報を入力します 6 スケジュールの設定 ボタンをクリックして開始スケジュールを定義します 7 OK をクリックし 適用 をクリックします 地域 IP とボットネットのユーザ定義リスト SonicOS には 地域 IP フィルタ用のユーザ定義国リスト およびボットネットフィルタ用のユーザ定義ボットネットリストを設定するための新しいオプションがあります IP アドレスは誤った国に関連付けられることがあります こうした分類の誤りがあると IP アドレスの不適切 / 不必要なフィルタリングが行われる可能性があります ユーザ定義国リストを設定することで この問題を解決できます ユーザ定義国リストは ファイアウォールで特定の IP アドレスに関連付けられている国よりも優先します 同様に IP アドレスはボットネットとして誤ってマークされることがあります ユーザ定義ボットネットリストは 特定の IP アドレスに対するボットネットタグよりも優先します 11

12 セキュリティサービス > 地域 IP フィルタ ページは この新機能に合わせて変更されており さまざまな設定を含む 4 つのタブで構成されます セキュリティサービス > ボットネットフィルタ ページも この新機能に合わせて同様に変更されており やはり 4 つのタブで構成されます 12

13 SIP UDP 断片化の修正 以前のリリースの SIP 変換の設計と実装では UDP モードで転送される断片化された SIP パケットが処理されませんでした SIP ペイロード長が ネットワークの最大 MTU サイズから SIP パケットヘッダーのサイズを引いた値よりも大きいと SIP/UDP シグナルパケットは断片化されました 例えば よく使われる最大 MTU サイズの 1514 バイトでは SIP シグナルパケットのペイロード長が 1472 バイトを超えると SIP パケットは SonicOS によって破棄されました SonicOS では SIP/UDP ペイロード長がネットワークの MTU サイズによって制限されません このサポートがユーザから意識されることはありません 設定は不要です IPFIX を介した AppFlow サーバ上のシステムログ SonicOS では システムログを IPFIX パケット経由で外部サーバに送信し ディスク上のデータベースに保存できます ログには 接続キャッシュなしで報告された記録のみが含まれます ユーザは ログ > 設定 ページで設定を編集し 送信するログイベントの種類を指定できます システムログには ファイアウォールを流れるトラフィックに通常は依存しないイベントが記録されます こうしたイベントは ほとんどがフロー ( セッション / 接続 ) 関連のイベントです 通常 システムログには次のようなイベントが記録されますが これ以外のイベントが記録されることもあります インターフェース状態の変化 ファン障害 ユーザ認証 HA フェイルオーバーとフェイルバック トンネルのネゴシエーション 設定変更などのシステムイベント この機能の設定オプションは 以下のページにあります AppFlow > フロー報告 > 外部コレクター タブ : 13

14 重要な手順は ログのプロパティとログ設定のいくつかのフィールドを外部コレクターに送信することです すべてのエントリを送信 ボタンをクリックして設定を送信する前に SonicOS と外部コレクターサーバの接続が完了していることを確認してください 以下の場合は ボタンを再度クリックして設定を同期します SonicOS がアップグレードされてログイベントが新たに追加された場合 SonicOS と外部サーバの接続がしばらく停止し その間にログ設定が編集された可能性がある場合 AppFlow > フロー報告 > GMSFlow サーバ タブ : IPFIX に以下の追加報告を含む ドロップダウンリストでログを有効にします 準備ができたら ログ設定の同期 ボタンをクリックします AppFlow > フロー報告 > AppFlow サーバ タブ : IPFIX に以下の追加報告を含む ドロップダウンリストでログを有効にします 準備ができたら ログ設定の同期 ボタンをクリックします NAT64: IPv6 クライアントから IPv4 サーバへのステートフル NAT SonicOS を NAT64 トランスレータとして使用すると 任意のゾーンにある IPv6 専用クライアントから 適切なルートが設定された IPv4 専用サーバへの通信を開始できます IPv6 アドレスは IPv4 アドレスにマッピングされて IPv6 トラフィックが IPv4 トラフィックに変わります その逆も同様です このマッピングのために IPv6 アドレスプール ( アドレスオブジェクトとして表される ) と IPv4 アドレスプールが作成されます IPv6 と IPv4 の間でパケットヘッダーを変換するために IP/ICMP 変換アルゴリズムが実装されています IPv4 ホストの IPv4 アドレスは SonicOS で設定された IPv6 接頭辞を使用して IPv6 アドレスと双方向で変換されます DNS64 サーバは IPv6 専用クライアントで設定され ク 14

15 ライアントは A レコード (IPv4 レコード ) と共に AAAA レコード (IPv6 レコード ) を作成します SonicOS は DNS64 サーバとしては機能しません この機能により 管理者は通常の NAT ポリシーと同じ方法で NAT64 ポリシーを設定できるようになります このポリシーでは 変換後の送信先を 6to4 ポリシーで 変換前 に設定することで SonicOS は IPv4 に変換された IPv6 アドレスを自動的に IPv4 アドレスに変換します ネットワーク > NAT ポリシー ページでポリシーを追加するときに IP バージョン フィールドで NAT64 のみ を選択します SonicOS では すべてのアドレスを pref64::/n で表して NAT64 を実行できるすべての IPv6 クライアントを表すようにネットワーク種別のアドレスオブジェクトを設定できます pref64::/n は IPv6 専用クライアントから NAT64 を経由して IPv4 専用クライアントに到達できる送信元ネットワークを定義します Well-Known Prefix の 64:ff9b::/96 は SonicOS によって自動的に作成されます IPv6 クライアントからのパケットは もともと LAN ゾーンから送信されたものですが NAT64 ポリシーによって変換された後は WAN ゾーンから送信されたように見えます SonicOS が場合によってこれらのパケットを廃棄しないように 次のような新しい WAN > WAN 許可ルールポリシーを作成する必要があります 15

16 注意 : 現時点では NAT64 は TCP UDP および ICMP トラフィックを伝送するユニキャストパケットのみを変換します 現時点では NAT64 は FTP および TFTP アプリケーション層プロトコルのストリームをサポートしています H.323 MSN Oracle PPTP RTSP および RealAudio アプリケーション層のプロトコルのストリームはサポートしていません 現時点では NAT64 は IPv4 から開始された IPv6 ホストのサブセットへの通信をサポートしていません DNS プロキシ SonicOS は IPv4 と IPv6 が混在するネットワーク内の DNS サービスに IPv4 クライアントがアクセスできるように DNS プロキシをサポートしています 通常配備では IPv4 インターフェースは IPv4 インターネット上で名前解決を行うことができます IPv6 インターフェースは DNS プロキシを通じてのみ IPv6 インターネット上で名前解決を行うことができます SonicOS ウェブ管理インターフェースに ネットワーク > DNS プロキシ という新しいページが追加されています 16

17 DNS プロキシを有効にする チェックボックスをオンにすると この機能がグローバルに有効になります DNS プロキシには IPv4 から IPv4 と IPv4 から IPv6 という 2 つのモードがあります 既定のモードは IPv4 から IPv6 で ファイアウォールはクライアントからのクエリをアップストリームの IPv6 DNS サーバにリダイレクトします IPv4 から IPv4 では ファイアウォールはクエリをアップストリームの IPv4 DNS サーバにリダイレクトします DNS プロキシプロトコルの既定のオプションは UDP と TCP で DNS クエリが TCP 経由で送信されると クエリはプロキシされて TCP 経由で外部の DNS サーバに再送信されます すべての DNS 要求に対して DNS プロキシを強制する チェックボックスは DNS プロキシ用の拡張オプションです このオプションを選択すると SonicOS によって送信されるスタック DNS パケット および送信先アドレスに外部の DNS サーバが設定された転送 DNS クエリを含めて 他の種別の DNS クエリが DNS プロキシモジュールにフックされます インターフェース設定と許可ルール SonicOS は 物理インターフェース VLAN インターフェース または VLAN トランクインターフェースで DNS プロキシ機能をサポートしており 各インターフェースのゾーンには LAN DMZ または WLAN のみを使用できます インターフェース設定ページの 詳細 タブには インターフェースで DNS プロキシを設定できる場合 DNS プロキシを有効にする というチェックボックスが表示されます インターフェースで DNS プロキシを有効にすると SonicOS によって UDP 用に 1 つの許可ルールが自動的に追加され インターフェースからインターフェース 任意の値を持つ送信元とインターフェース IP を持つ送信先 DNS を使用するサービス および管理の有効化が設定されます TCP 経由の DNS プロキシ が有効になっていると 別の許可ルールが自動的に追加されます DHCP インターフェースで DNS プロキシが有効になっている場合 機器はインターフェース IP を DNS サーバアドレスとしてクライアントにプッシュする必要があるので SonicOS 管理者は DHCP サーバを手動で設 17

18 定し DNS/WINS タブの DHCP サーバの設定でインターフェースアドレスを DNS サーバ 1 のアドレスとして使用する必要があります DHCP ページの インターフェースの事前設定 チェックボックスを使用すると この設定を簡単に行うことができます 選択したインターフェースで DNS プロキシが有効になっている場合 DNS/WINS ページに DNS サーバの IP が自動的に追加されます DNS キャッシュ ネットワーク > DNS プロキシ ページで DNS キャッシュを有効にする チェックボックスをオンにすると DNS キャッシュ機能を有効にすることができます 既定の設定は有効です この機能を有効にすると SonicOS は DNS プロキシ処理時に DNS 応答からの回答をキャッシュし それ以降の DNS クエリが DNS キャッシュと一致した場合はクライアントに直接応答します DNS キャッシュには 静的 DNS キャッシュと動的 DNS キャッシュの 2 種類があります 静的 DNS キャッシュは ユーザが手動で作成して編集できるキャッシュで 有効期限がありません 動的 DNS キャッシュは DNS プロキシ処理時に自動的に追加されるキャッシュで DNS キャッシュテーブル全体にのみ表示されます このキャッシュの種別は Dynamic で TTL 値が設定されます 動的 DNS キャッシュは管理者が消去できます スプリット DNS スプリット DNS は DNS プロキシの拡張で 管理者は一連のネームサーバを設定し それらを特定のドメイン名 ( ワイルドカードも使用可能 ) に関連付けることができます SonicOS がドメイン名と一致するクエリを受信すると クエリは指定された DNS サーバに送信されます FQDN ルーティング SonicOS では ポリシーベースルーティング (PBR) で完全修飾ドメイン名 (FQDN) がサポートされるようになりました FQDN は PBR エントリの送信元または送信先として使用でき PBR エントリは高度なルーティングプロトコルに再配布できます ポリシーベースルーティングは ネットワーク管理者が設定したポリシーに基づいてルーティングを決定するための手法です ポリシーベースルーティングは パケットのサイズ 送信元アドレス ペイロードのプロトコル またはパケットヘッダーやペイロードに含まれるその他の情報に基づいて設定できます FQDN はアドレスオブジェクトとして追加され ポリシーの設定時に使用できます FQDN オブジェクトには IPv4 ホストと IPv6 ホストの両方を含めることができます FQDN オブジェクト内のホストの数は可変です FQDN アドレスオブジェクトを設定するには 種別 フィールドで FQDN を選択し 他のフィールドに値を設定します 18

19 ルートの最大数が倍増 この機能により SonicOS でサポートされる静的ルートと動的ルートの最大数が 2 倍になります すべてのプラットフォームは 最大数の動的ルートと静的ルートが利用されているときに 動的ルーティングの変更に適応しながら適切なパフォーマンスを維持する必要があります 適応の最中は SonicOS ウェブ管理インターフェースの応答が遅くなることがあります 静的ルートと動的ルートの最大数は TSR に表示されます ゾーン間のアクセスルールの最大サイズの増加 以前のバージョンの SonicOS では 管理者がルールテーブルのサイズを増やしたり減らしたりすることはできませんでした すべてのゾーン間ペアのルールテーブルのサイズは プラットフォームに基づいて定数値に固定されていました SonicOS では ゾーン間ペアごとにルールテーブルのサイズを柔軟に設定できます ファイアウォール > アクセスルール ページが更新されて ファイアウォール > アドレスオブジェクト ページと同様のレイアウトになっています 選択したゾーン間のルールテーブルのサイズを ファイアウォール > アクセスルール ページで設定します ポリシーの最大数 プラットフォーム SuperMassive 9200/9400/9600 NSA 2600/3600/4600/5600/6600 TZ 300/400/500/600 シリーズ SOHO Wireless ゾーン間のルールテーブルごとの最大サイズ 5000 ルール 2500 ルール 1250 ルール 250 ルール 拡張 IPFIX v2 を使用したフロー報告 SonicOS では 拡張 IPFIX v2 がサポートされるようになりました 以前のバージョンの SonicOS では GMSFlow サーバ ( コレクター ) へのフロー報告形式で 拡張 IPFIX 形式 ( バージョン 1) が既定で使用されていました SonicOS では 拡張 IPFIX (v1) と拡張 IPFIX v2 のどちらかで報告するようにフロー報告をカスタマイズできます この新しい形式では可変長フィールドが使用されます これは静的フィールドを送信するよりはるかにメモリ効率に優れた方法で ネットワーク経由で送信される情報量が大幅に削減されます 拡張 IPFIX v2 では ファイアウォールに関する情報をより詳しく伝達するために多くの新しいフィールドが追加されており いくつかの冗長なフィールドや不要なフィールドが削除されています これらの新しいフィールド内の追加のデータによって GMSFlow サーバの可視化機能が拡充されます GMSFlow サーバは SonicWall GMS 8.3 以降で拡張 IPFIX v2 形式をサポートします SonicWall GMS 8.2 以前のリリースでは 拡張 IPFIX (v1) 形式のみがサポートされます 管理者は AppFlow > フロー報告 ページの GMSFlow サーバ タブで GMS FS 報告形式 オプションに 拡張 IPFIX v2 を選択できます 同様のオプションが AppFlow サーバ タブにも追加されています これらのフィールドを表示するには 内部設定を有効にする必要があります 有効にする方法については SonicWall サポートにお問い合わせください サポートの電話番号は をご覧ください 19

20 Syslog サーバのプロファイリング この機能を利用すると すべてのサーバに対してグローバルな設定を使用する代わりに 各 Syslog サーバを個別に設定できます 以前のリリースでは システム内のすべてのモジュールから発生するイベントが 設定されたすべての Syslog サーバに報告されていました このため 配備によっては膨大な量の Syslog トラフィックが発生し パフォーマンスの問題やパケット損失を引き起こすこともありました Syslog サーバのプロファイリングを使用すると 以下の新機能を利用できるようになります Syslog サーバごとに異なる設定を使用して Syslog メッセージを送信できます Syslog サーバの複数のグループを作成できます イベントごとに異なる Syslog サーバのグループに報告されるように設定できます ログ > Syslog ページのすべての設定は Syslog サーバの NDPP 強制を有効にする チェックボックスを除いて Syslog サーバ テーブルの行ごとに個別に設定できるようになりました これにより サーバごとに異なる設定で Syslog メッセージを表示することができ 各サーバに独自の速度制限オプションを設定できます 新しく追加された 有効にする チェックボックスを使用すると 特定の Syslog サーバへの Syslog メッセージの送信を有効または無効にすることができます 拡張 Syslog および ArcSight 形式の設定も個別に行うことができ 対応するボタンが ログ > Syslog ページに表示されます これらの設定はすべて SonicOS ウェブインターフェースおよびコマンドラインインターフェース (CLI) から行うことができます 利便性のために グローバル設定を使用してすべてのサーバを設定できます イベントプロファイル イベントプロファイルは 0 ~ 23 の整数です 複数の Syslog サーバをグループにまとめるために使用できます グループ内の Syslog サーバにはすべて同じプロファイルが設定されます 作成できるグループの数は最大 24 個 (0 ~ 23) で グループごとに 7 台の Syslog サーバを含めることができます つまり 合計で最大 168 台の Syslog サーバを含めることができます イベントプロファイル という新しい列が Syslog サーバ テーブルに追加されています この新しいフィールドは サーバ名とポートに加えて グループ鍵にも属します そのため Syslog サーバ テーブルの各行で < 名前 ポート > の代わりに < 名前 ポート プロファイル > の組み合わせが一意でなければなりません これにより 複数の行でプロファイルが異なる同じ < 名前 ポート > の組み合わせを使用できます つまり 必要に応じて 1 台の Syslog サーバが複数のグループに属すことができます ログ > 設定 ページのイベントにも 設定可能なイベントプロファイルがあります イベントのイベントプロファイルは任意のグループに設定できます これにより そのイベントの Syslog メッセージは そのサーバグループにのみ送信されるようになります イベントのイベントプロファイルが Syslog サーバ テーブルに存在しないグループに設定されている場合 そのイベントの Syslog メッセージは送信されません GMS メモ : レポートソフトウェアの設定を Syslog 設定よりも優先させる オプションは削除されました Syslog サーバで個別の設定を使用できるので このオプションは不要になりました GMS サーバには 固定 Syslog ファシリティ ( ローカル 0) Syslog 形式 ( 既定 ) およびサーバ ID ( ファイアウォール ) があります GMS のイベントプロファイル値は既定で 0 に設定されますが プロファイルに関係なくすべてのイベントが GMS に報告されます GMS は速度制限からも除外されます 新し 20

21 く追加された 有効にする チェックボックスは適用されません GMS の有効と無効の切り替えは システム > 管理 ページでのみ行うことができ ログ > Syslog ページではできません GMS を有効にすると GMS サーバが Syslog サーバ テーブルのイベントプロファイル 0 グループに追加されます それ以外のプロファイルグループに追加することはできません したがって プロファイル 0 グループにだけは合計 8 台のサーバ (7 台の Syslog サーバと 1 台の GMS サーバ ) を含めることができます その他のグループには 7 台のサーバしか含めることができません ログ > 設定 ページの GMS グループのイベントにはプロファイル 0 が設定されており 変更はできません 他のイベントには異なるプロファイルを設定できます IPv6 のサポート SonicOS では このセクションで示すように さまざまな追加機能で IPv6 がサポートされています SSL 制御 SonicOS では SSL 制御で IPv6 がサポートされるようになりました 新しいオプションや設定は追加されていません IPv4 と IPv6 の両方のネットワークトラフィックが ファイアウォール設定 > SSL 制御 ページの設定に基づいて検査されます IPv6 DPI-SSL SonicOS では DPI-SSL で IPv6 がサポートされるようになりました 新しいオプションや設定は追加されていません DPI-SSL > クライアント SSL および DPI-SSL > サーバ SSL ページの設定が IPv4 と IPv6 の両方のネットワークトラフィックに適用されるようになりました IPv6 NTP SonicOS では IPv6 のドメイン名または IP アドレスを持つ NTP サーバがサポートされるようになりました 管理者は システム > 時間 ページの NTP の設定 セクションで IPv6 NTP サーバを追加できます IPv6 DNS SonicOS では DNS で IPv6 がサポートされるようになりました IPv6 DNS サーバと通信するには まず ネットワーク > インターフェース に移動し 静的 IP または DHCPv6 を通じて WAN インターフェースに IPv6 アドレスを設定します 次に ネットワーク > DNS ページで 表示する IP バージョン の IPv6 ラジオボタンを選択します 表示が変わり IPv6 DNS サーバのアドレスを入力できるようになります アドレスは手動で入力することも WAN ゾーンから動的に取得することもできます IPv6 DNS サーバを優先 チェックボックスをオンにして SonicOS が DNS 要求を IPv6 DNS サーバに先に送信するようにします この要求が失敗した場合 SonicOS は設定された IPv4 DNS サーバに要求を送信します システム > 診断 ページの DNS 名調査 診断ツールを使用して DNS サーバをテストすることができます 以前のリリースにあった 4 つの DNS 診断ツールはすべて DNS 名調査 に統合されました IPv6 MAC アドレスオブジェクト SonicOS では MAC アドレスオブジェクトで IPv6 がサポートされるようになりました MAC アドレスオブジェクト (AO) は ホスト IP アドレスの動的メモリにバインドされます アクセスルールを定義するときによく使用されます 21

22 IPv6 MAC AO を作成するには ネットワーク > アドレスオブジェクト ページに移動し 追加 をクリックします 次に 種別 フィールドで MAC を選択し MAC アドレス フィールドに IPv6 MAC アドレスを入力します 設定は基本的に IPv4 MAC AO の場合と同じです IPv6 MAC AO 設定用の新しいオプションや設定は追加されていません IPv6 FQDN アドレスオブジェクト SonicOS では FQDN アドレスオブジェクトで IPv6 がサポートされるようになりました まず ネットワーク > DNS ページで IPv6 DNS サーバを設定します この設定の詳細については IPv6 DNS を参照してください IPv6 FQDN AO を作成するには ネットワーク > アドレスオブジェクト ページに移動し 追加 をクリックします 次に 種別 フィールドで FQDN を選択し FQDN ホスト名 フィールドに IPv6 FQDN ホスト名を入力します 設定は基本的に IPv4 FQDN AO の場合と同じです IPv6 FQDN AO 設定用の新しいオプションや設定は追加されていません DPI-SSL の接続数の増加と拡張 SonicOS では TZ500 シリーズおよび TZ600 装置で利用できる DPI-SSL 接続の数が増加しています 接続数の増加に加えて この機能はすべてのプラットフォームに次のような拡張をもたらします 競合条件に関連する安定性の修正 初期化シーケンスの再設計 キャッシュ ( セッションキャッシュとスプーフキャッシュの両方 ) の拡張と最適化 接続毎のメモリフットプリントの減少による接続数の増加 オープン認証ソーシャルログイン SonicOS では オープン認証ソーシャルログインがサポートされるようになりました ソーシャルログインソーシャルサインインとも呼ばれます ソーシャルログインはシングルサインオンの一形態で ウェブサイトごとに新しいログインアカウントを個別に作成する代わりに Facebook Twitter Google+ などのソーシャルネットワーキングサービスの既存の情報を利用してサードパーティのウェブサイトにサインインします オープン認証 (OAuth) OAuth は 権限の認可を行うためのオープン規格です OAuth は サーバリソースへの保護された委任アクセスをリソースオーナーに代わってクライアントアプリケーションに提供します リソースオーナーが自身の資格情報を共有することなく サーバリソースへのアクセスをサードパーティに認可するするための手順を規定しています OAuth ソーシャルログインは 無線ゾーンのゲストサービスの範囲内で 内部無線と SonicPoint を備えた SonicWall ファイアウォールでサポートされます 無線ゲストサービスは 公衆 WiFi ホットスポットや企業のゲスト用 WiFi で広く利用されています 22

23 SonicOS では Facebook Twitter および Google+ がサポートされています SonicOS の範囲内では ソーシャルログインは SonicOS 管理者ログインではなく 無線ゲストに対してサポートされています メモ : この機能を有効にする前に FaceBook/Google/Twitter および SonicWall によるオープン認証ソーシャルログインのガイダンスをお読みください 外部認証サーバのトポロジ SonicOS の設定 SonicOS でソーシャルログインを有効にするには : 1 WLAN ゾーンを編集し ゲストサービス タブをクリックします 2 ゲストサービスを有効にする および 外部ゲスト認証を有効にする チェックボックスをオンにします 3 外部ゲスト認証を有効にする チェックボックスの横にある 設定 をクリックします 4 ポップアップダイアログの 一般 タブの ソーシャルネットワークログイン セクションで ソーシャルネットワークログイン チェックボックスをオンにし Facebook Google Twitter の 1 つまたは複数のチェックボックスをオンにします 5 認証ページ タブで ログインページ フィールドに login.php など 目的のページ名を入 力します 6 OK をクリックします 認証サーバとユーザの間の認証プロセストラフィックを許可するために必要な 通信を許可するネットワークドメインが SonicOS によって自動的に作成されます 自動的に追加されるアドレスオブジェクトグループの名前は Default Social Login Pass Group になります このアドレスオブジェクトグループは 現在設定されている通信を許可するネットワークがある場合はそれに追加されます ない場合は Social Login Pass Group という名前の新しいグループに追加されます これらのエントリは ネットワーク > アドレスオブジェクト ページに表示されます 23

24 Facebook の設定 更新された SonicPoint ファームウェア 新しい SonicWall ブランドのファームウェアバージョン は SonicOS を実行する装置に接続された SonicPoint で使用できます サポート対象のプラットフォームは次のとおりです SonicPoint ACe SonicPoint ACi SonicPoint N2 お使いの SonicPoint には SonicOS によって新しいファームウェアが自動的にプロビジョニングされます SonicPoint RADIUS アカウント SonicOS では IEEE i エンタープライズ認証の範囲内で SonicPoint ACe ACi または N2 が接続された SonicWall ファイアウォール上の RADIUS アカウントがサポートされるようになりました メモ : この機能が追加されたことで 改良点 # に対する要求が解決します 24

25 RADIUS アカウントでは RADIUS プロトコルを使用して ネットワークアクセスサーバ (NAS この場合は SonicPoint) から RADIUS アカウントサーバ (RAS) にアカウント情報を配信します SonicOS 管理者はこのアカウント情報を使用して ユーザ毎のセッション時間や転送中のトラフィック負荷を基に RADIUS アカウントサーバ側でさまざまな課金ルールを適用できます RADIUS アカウントは 次のシステムメッセージに含まれる情報を収集して保存する処理です Accounting-Start Accounting-Stop SonicOS の設定 RADIUS アカウントを設定するには : 1 SonicPoint > SonicPoint ページで 使用中の SonicPoint の 設定 ボタンをクリックします 2 無線 0 基本 タブで 認証種別 に WPA2 - 自動 - EAP を選択します 3 RADIUS サーバの設定 で 設定 をクリックします 25

26 4 設定ダイアログで RADIUS サーバの設定 ( 認証サーバ ) および RADIUS アカウントサーバの設定 の下に適切な IP ポート および鍵 ( パスワード ) を入力します メモ :RADIUS アカウントサーバと RADIUS ( 認証 ) サーバは同じ IP 上になくてもかまいません 5 OK をクリックして SonicPoint ACe/ACi/N2 をプロビジョニングします RADIUS サーバの設定 アカウントサポートを有効にするには RADIUS サーバを適切に設定する必要があります freeradius を設定してアカウントサポートを有効にするには : 1 次のように RADIUS クライアントのエントリを /etc/freeradius/clients.conf ファイルに追加します Client { Secret= "password" } メモ : は RADIUS サーバに到達できる SonicWall ゲートウェイの WAN IP です 2 次のようにユーザ情報を /etc/freeradius/users ファイルに追加します user_name Cleartext-Password := "password" 3 ターミナルで sudo freeradius -X コマンドを実行して freeradius を起動します 26

27 31 ビットネットワーク SonicOS では 31 ビットのサブネットマスクの使用を定義する RFC 3021 がサポートされるようになりました このマスクでは サブネット内で 2 つのホストアドレスしか使用できず ネットワーク アドレスや ゲートウェイ アドレス ブロードキャストアドレスはありません このような設定は 大規模なネットワーク内で 2 つのホストをポイントツーポイントリンクで接続するために使用できます この変更がアドレス空間の節約に結び付くことは明白で 大規模なネットワーク内の各ポイントツーポイントリンクが消費するアドレスが 4 つではなく 2 つになります ここでいうポイントツーポイントリンクは PPP (Point to Point Protocol) とは異なります 31 ビットマスクを使用するポイントツーポイントリンクでは PPP プロトコルを使用してもしなくてもかまいません ポイントツーポイントリンク上の 31 ビットの接頭辞付き IPv4 アドレスは イーサネットネットワークでも使用できます SonicOS の設定 インターフェースを 31 ビットサブネット用に設定するには : 1 ネットワーク > インターフェース ページで 目的のインターフェースを編集します 2 サブネットマスク を に設定します 3 IP アドレス フィールドに一方のホスト IP アドレスを入力します 4 デフォルトゲートウェイ フィールドにもう一方のホスト IP アドレスを入力します 5 必要に応じて 使用中のネットワークに合わせて他のフィールドを設定します 6 OK をクリックします 27

28 ネットワーク環境の例 このネットワーク環境では ホスト PC1 とホスト PC2 は相互にアクセスすることができます 一方 LAN ネットワーク内のホストはホスト PC2 にアクセスすることができます この環境用の設定を行うには : 1 ホスト PC1 で 次のように 2 つのルートエントリを追加します Route add mask Route add mask ホスト PC2 で 次のように 2 つのルートエントリを追加します Route add mask Route add mask Cisco ルータ (F0/0) で 次の設定を行います interface fastethernet 0/0 ip address Cisco 2811 で 次のように 1 つのルートエントリを追加します! ip route ! 5 ファイアウォールで 次のように 1 つのルートエントリを追加して WAN ゾーンのデータが X2 から X5 および X5 から X2 に流れるようにします Any Any X2 Default Gateway X2 脅威 API SonicOS では 脅威 API 機能がサポートされるようになりました SonicOS 脅威 API は SonicWall ファイアウォールサービスへの API アクセスを提供します 現在のファイアウォール GUI/CLI ユーザインターフェースに比べて 脅威 API は簡潔で 標準 HTTP プロトコルを有効に利用します クラウド配備へと向かう時代の流れの中 脅威 API は従来の SonicOS GUI/CLI よりも簡単に使用できます 28

29 悪意のある脅威が URL や IP アドレスによってもたらされることがあります これらの脅威のリストは大きく 頻繁に変更される可能性があります SonicOS には URL と IP アドレスのユーザ定義リストを遮断する機能が既にありますが 人間がログインして手動でリストを更新する必要があるため実に不便です API インターフェースを使用すると これがはるかに容易になります 脅威リストは 脅威 API を使用して SonicOS に送信されます 脅威は次のどちらかの形式で追加できます URL ( IP アドレス ( ) サードパーティは脅威リストを生成し 脅威 API を使用してファイアウォールに渡すことができます 脅威リスト内の IP アドレスについては SonicOS はまず既定の脅威 API アドレスグループを作成し 次に脅威リスト内の IP アドレスごとにアドレスオブジェクト (AO) を作成します SonicOS 管理者は そのアドレスグループを参照して IP アドレスを遮断するファイアウォールアクセスルールを設定します SonicOS は CFS 脅威 URI リストに URL を追加します SonicOS 管理者は 関連付けられている CFS プロファイルで脅威 API 強制を有効にし 脅威リスト内の URL を遮断するようにコンテンツフィルタシステム (CFS) ポリシーを設定します メモ :SonicOS 脅威 API を使用するには ファイアウォールにコンテンツフィルタシステム (CFS) ライセンスが必要です 脅威が CFS によって遮断されると ユーザのブラウザに次のような遮断メッセージが表示されます 脅威 API に合わせた SonicOS ウェブ UI の更新 メモ : 脅威 API の設定は SonicOS 管理者のみが行うことができます 既定では これは admin ユーザです 内部設定 脅威 API 用の新しい内部設定が追加されています 脅威 API フィルタを有効にする - グローバルな脅威 API の有効 / 無効の設定 ファイアウォール > コンテンツフィルタオブジェクト の設定 ファイアウォール > コンテンツフィルタオブジェクト ページで CFS プロファイルオブジェクトを追加または編集するときに 詳細 タブに新しい 脅威 API 強制を有効にする チェックボックスが表示されます SonicOS が最初の脅威リストを受信して脅威 URI リストオブジェクトを作成した 29

30 後 管理者はその脅威 URI リストオブジェクトを参照する CFS プロファイルオブジェクトを追加し 脅威 API 強制を有効にする チェックボックスをオンにします ファイアウォール > コンテンツフィルタオブジェクト > CFS 動作オブジェクト ページには ユーザ定義の脅威 API 遮断ページを CFS 動作オブジェクトごとにきめ細かく設定する手段が用意されています API 認証 以下に示すすべての API コマンドは API 呼び出しごとに HTTP 基本認証を必要とします ユーザ資格情報は保存されません API コマンド GET /threat/block/uri/ 1 行に URI が 1 つずつ含まれる 単純なテキスト形式の URI 遮断リストを返します OPTIONS /threat/block/uri/ ウェブページ上の制限されたリソースを 最初のリソースが提供されたドメインの外部の別のドメインから要求できるようにします POST /threat/block/uri/ URI 遮断リストをインスタンス化します 30

31 DELETE /threat/block/uri/ URI 遮断リストをクリアします GET /threat/block/ip/ 1 行に 1 個の V4/V6 ホストを記述する単純なプレーンテキスト形式のホスト IP 遮断リストを返します OPTIONS /threat/block/ip/ 最初のリソースが提供されたドメイン外の別のドメインからウェブページ上の限定されたリソースを要求できるようにします POST /threat/block/ip/ ホスト IP 遮断リストをインスタンス化します PUT /threat/block/ip/ IP 遮断リストにホストを追加します DELETE /threat/block/ip/ IP 遮断リストからすべてのホストまたは指定されたホストを削除します 脅威 API の例 例 1: ある記事を参照する URL の遮断を要求する脅威 API 呼び出し : 例 2: IP および URI の遮断リストをインスタンス化する : curl -k -i -u admin:password -X POST -d "`printf " \n \n"`" もう 1 つの例 : curl -k -i -u admin:password -X POST -d "`printf "example1.com\nexample2.com\n"`" 例 3: IP 遮断リストにエントリを追加してリストを更新する : curl -k -i -u admin:password -X PUT -d "`printf " \n"`" 31

32 例 4: IP および URI エントリを削除する : curl -k -i -u admin:password -X DELETE -d "`printf " \n \n"`" もう 1 つの例 : curl -k -i -u admin:password -X DELETE 生体認証 SonicOS は SonicWall Mobile Connect と連携して生体認証をサポートしています Mobile Connect は ユーザがモバイルデバイスからプライベートネットワークに安全にアクセスできるようにするアプリです Mobile Connect 4.0 では ユーザ名とパスワードの代わりにフィンガータッチによる認証を使用できます SonicOS が提供する SSL VPN > クライアント設定 ページの設定項目を使用すると Mobile Connect を使用してファイアウォールに接続するときにこの認証方法を有効にすることができます 生体認証を有効にするには : 1 SSL VPN > クライアント設定 ページで 既定のデバイスプロファイル の 設定 ボタン をクリックします 2 クライアント設定 タブで 次のいずれかまたは両方の設定を 有効 に設定します ios デバイスでタッチ ID の使用を許可する Android デバイスで指紋認証の使用を許可する 3 クライアントスマートフォンなどのモバイルデバイスで TouchID (ios) または指紋認証 (Android) を有効にします モバイルデバイスに Mobile Connect 4.0 以上がインストールされていることを確認し ファイアウォールに接続するように設定します VPN 自動プロビジョニング SonicOS では VPN 自動プロビジョニング機能が導入されています この機能は ボックスツーボックスのハブアンドスポーク構成に自動 VPN プロビジョニングを提供します ユーザエクスペリエンスは SonicWall グローバル VPN クライアントを使用してクライアントマシンからファイアウォールに接続した場合と同様ですが 複雑な部分はユーザには見えません VPN 自動プロビジョニングを使用する場合 スポーク装置の設定に最小限必要な情報は次の 2 つだけです ピアゲートウェイのアドレスまたはドメイン名 マシン認証資格情報 既定のプロビジョニング鍵を使用する オプションを選択すると すべての装置に認識される既定値に基づいてマシン認証資格情報を設定できます セキュリティを強化するために ユーザレベルの資格情報も必要になる場合があります 32

33 VPN 自動プロビジョニングは VPN > 設定 ページで VPN ポリシーを追加するときに使用できます 追加ダイアログの セキュリティポリシー で 次のいずれかを選択します SonicWall 自動プロビジョニングクライアント SonicWall 自動プロビジョニングサーバ 4 必要に応じて他のフィールドを設定します 33

34 改良点 このリリースには 次の改良点が含まれています WPA2 EAP による RADIUS アカウント認証 改良点 SonicOS では SonicPoint 経由でファイアウォールにアクセスする無線ユーザを RADIUS アカウントで認証できるようになりました CFS 4.0 の MAC アドレスオブジェクト 改良点 SonicOS では CFS 4.0 の除外リストで MAC アドレスオブジェクトを使用できるようになりました 修正された問題点 このセクションでは 本リリースで修正された問題点のリストを示します 3G/4G 修正された問題点 Huawei E353 を接続できません Sprint 341U カードでの接続に 10 分以上かかります Sprint 341U が U0 に接続されており U0 が 4G プロファイルでの最終バックアップとして設定されていて プライマリ WAN (X1) からのケーブルの取り外しによって X1 からのフェイルオーバーが開始された場合に発生します アンチウイルス 修正された問題点 McAfee AntiVirus 強制インストールが行われません 送信先インターフェースが静的 IP アドレスではなく PPPoE である場合に発生します 帯域幅管理 修正された問題点 帯域幅管理種別が グローバルエンハンスメント に設定されている場合 インター フェースの編集 ダイアログに送信 / 受信の帯域幅フィールドが 2 回表示されます ファイアウォール設定 > 帯域幅管理種別 ページで帯域幅管理種別を グローバル エンハンスメント に設定した後 ネットワーク > インターフェース でインター フェースを編集すると発生します 送信トラフィックでは詳細帯域幅管理ポリシーが機能するのに 受信トラフィックでは 機能しません 2 つの SonicPoint が同じファイアウォールインターフェースに接続されていて 詳細帯 域幅管理ポリシーがこの 2 つの SonicPoint の無線クライアント間の送信トラフィックと 受信トラフィックの両方に対して設定されている場合に発生します 34

35 CFS 修正された問題点 Web サイトアクセスが失敗し リンクと画像が読み込まれず ブラウザが試行し続けますが CFS 遮断ページが表示されません CFS プロファイルの禁止 URI にエントリが含まれている場合に発生します 高可用性 修正された問題点 ファームウェアのアップグレード後に HA ペアのアクティブなプライマリファイアウォールがダウンし アクティブなセカンダリファイアウォールもダウンします NSA 2600 HA ペアでファームウェアを SonicOS n にアップグレードした後に発生します SonicOS UI で提供されている方法またはコマンドライン (CLI) でフェイルオーバーを強制することができません 高可用性 > 詳細設定 ページの アクティブ / スタンバイフェイルオーバーの強制 ボタンをクリックした場合 または CLI コマンド force-failover を試行した場合に発生します X1 が DHCP モードの場合 セカンダリ装置の既定のルートが間違っています ログ 修正された問題点 ダッシュボード > ログ監視 ページの 表示列の選択 オプションが機能せず 新しい列を選択して 適用 ボタンまたは 既定に復元 ボタンをクリックすると csrftoken がありません というエラーがログ監視に表示されます ウェブサイトが CFS によって許可されている場合 ログメッセージに 一般的な ICMP という誤ったアプリケーションタイプが表示されます Analyzer サーバの形式は GMS のように既定の形式にする必要があります ネットワーク 修正された問題点動的 MAC アドレスオブジェクトをアクセスルールで使用できず SonicOS から ポリ シーアクション :IP バージョンが混在するアドレスオブジェクトとグループはポリシーに使用できません というエラーが表示されます LAN コンピュータ MAC アドレスを持つ LAN MAC AO を追加し その MAC AO を送信元として使用する LAN ゾーンから WAN ゾーンへのアクセスルールを作成しようとすると発生します Verifone CC 端末が DHCP IP アドレスリースを取得できません 静的 DHCP スコープを使用する場合に発生します DDNS ポリシーの編集に失敗し SonicOS から エラー: プロファイル名 : プロファイル名がありません というエラーが表示されます DDNS ポリシーを編集または追加するときに発生し 同じエラーが表示されます メトリック >= 20 の場合 新しく追加した FQDN PBR ルートの優先順位の値が既定のルートより高くなります これは既定のルートよりも低い優先順位になる必要があります

36 ネットワーク 修正された問題点 多くの NAT ポリシーが不足していることが原因で ファイアウォールでトラフィックが正しく処理されません ベータ版ファームウェアを SonicOS n から n にアップグレードした後に発生します NAT64 ポリシーは 優先順位が変更された後に自動的に削除されます マルチホームホストを無効にする MAC アドレスオブジェクトで IPv4 ホストまたは IPv ホストが誤って解決されます NAT64 ポリシーに一致する VLAN インターフェースからのトラフィックは VLAN 上のパケット というメッセージを表示して破棄され 失敗します 無効な WAN インターフェースの MTU が 1500 未満の場合 パケットサイズが MTU より大きく 1500 未満のトラフィックが送信されると トラフィックが到達不能になります ネットワーク / 範囲タイプの AO を編集すると アドレスオブジェクトタイプがホストになります OSPFv3 経由の動的 IPv6 ルーティングにデフォルトルートを登録するためのオプションがありません OSPFv3 を ネットワーク > ルーティング ページから設定した場合に発生します OSPFv3 経由の IPv6 デフォルトルートの登録は 現時点ではサポートされていません SonicPoint 修正された問題点 時間が経過すると SonicPoint ACe が応答しなくなります SSL-VPN 修正された問題点 NetExtender がクライアントマシンからファイアウォールへの接続を確立できません ファイアウォール設定 > フラッド防御 の下にある SYN フラッド防御 オプションが 常に WAN クライアント接続をプロキシする に設定されている場合に発生します スイッチング /X シリーズ 修正された問題点ポート冗長化またはリンク統合化に設定済みのインターフェースの親インターフェースが 誤ってファイアウォールアップリンクとして設定される場合があります 装置インターフェースに設定されている VLAN と共通アップリンクインターフェースに設定されている VLAN が重複している場合 専用アップリンクによって装置インターフェースへのスイッチポートをポートシールドしようとすると ファイアウォールとスイッチの間で設定の不一致が発生します 異なるスイッチの共通アップリンクに重複する VLAN を設定できます 高可用性と共通アップリンクトポロジを使用した配備では セカンダリファイア ウォールにフェイルオーバーした後 トラフィックが再開されません X1052 スイッチの電源を切ると 予期しないフェイルオーバーが発生します 未定義のファイアウォールアップリンクインターフェースの設定ボタンをクリックす ると ゾーンの追加 ポップアップウィンドウが開きます 36

37 システム 修正された問題点高可用性設定のファイアウォールで 不定期にフェイルオーバーが発生します ユーザレベル認証機能で NULL 条件を伴う特定のケースで発生します データプレーンコアの例外によって ファイアウォールで予期しない再起動が発生します 遮断ページに関連するメモリバッファエラーが発生した場合に発生します タスクの停止 Trace tsftaskloc によって ファイアウォールが再起動します 範囲オブジェクトを使用する不正な NAT ポリシーが設定されている場合およびボットネットデータベースをダウンロードする場合に発生します MD5 認証による個別 NTP が機能しません 個別 NTP サーバで時刻が更新されません 新しく組み込まれた DNS 名調査診断ツールで NetBIOS 調査が実行されません これは SonicOS で システム > 診断 ツールから削除された 名前の逆引き ツールで提供していた機能であり 新しいツールでも提供する必要があります ユーザ定義で追加したネットワーク監視ポリシーを変更すると このポリシーが削除されます ユーザインターフェース 修正された問題点 帯域幅管理種別 を 詳細 から グローバル に変更した後 詳細 に戻すことができません ファイアウォール設定 > 帯域幅管理種別 ページで 帯域幅管理種別 を 詳細 から グローバル に変更し ポップアップダイアログで このページでこれ以上ダイアログボックスを生成しない オプションをオンにした後 帯域幅管理種別 を 詳細 に戻そうとすると発生します ネットワーク > アドレスオブジェクト 設定ウィンドウのすべてのテキストボックスは完全には表示されません Firefox を使用しているときに発生します ユーザ 修正された問題点 RADIUS または LDAP の認証済みユーザセッションは ログアウト ボタンをクリッ クした後もアクティブのままとなります LAN 側のユーザが ファイアウォールを介したインターネットアクセスを試み ロ グインリダイレクト ウィンドウが表示されたときにログインして ログアウト ボタンをクリックすると発生します ユーザ > 状況 ページを確認すると 現在の ユーザ テーブルにはそのユーザセッションがまだアクティブとして表示され ユー ザは再ログインを求められることなく 同じコンピュータからインターネットにアクセ スし続けることができます 37

38 VPN 修正された問題点 IKEv2 の Cisco IOS との相互運用性の問題により セレクタチェックエラー というログメッセージが発生します サイト間トンネルが 動的暗号マップを使用する複数の Cisco 3945 ルータに多数の TZ ファイアウォールを接続した場合に発生します HA フェイルオーバーが発生してフェーズ 2 の有効期限が切れると フェーズ 2 の再ネゴシエーションが失敗し IKE 応答側 :IPsec プロポーザルが一致しません ( フェーズ 2) というメッセージが表示されます AP 接続が確立された後に HA フェイルオーバーが発生し その後フェーズ 2 の有効期限が切れた場合に発生します トンネルインターフェースから自動プロビジョニンクライアントポリシーに切り替えた後 トンネルが起動しません 脆弱性 修正された問題点テストにより ファイアウォールが HTTProxy 脆弱性に対して脆弱であることが示されます Trust Wave PCI スキャンの実行時に発生します 無線 修正された問題点 MAC フィルタリストを有効にすると SOHOw 無線参加が失敗します ゲストサービスゾーン設定の無線ソーシャルログインパスネットワークを変更でき ません 確認されている問題点 このセクションでは 本リリースで確認されている問題点のリストを示します 3G/4G 確認されている問題点 SonicOS n では SonicOS より Sprint カードの FTP ダウンロード時間が長くなります FTP バイナリモードを使用し 1 MB の zip ファイルを 2 回ダウンロードすると発生します CFS 確認されている問題点 CFS 3.0 の禁止 URI リストに含まれているが遮断されていないドメインが CFS 4.0 の禁 止 URI リストに追加され 遮断されます 禁止 URI リストを設定し 遮断する オプションを無効にした後 CFS 3.0 から CFS 4.0 にアップグレードすると発生します 38

39 IPv6 確認されている問題点 SonicOS は MySonicWall やライセンスマネージャなどの SonicWall バックエンドサーバと通信するときに IPv4 DNS 要求を送信します X1 (WAN) インターフェースと DNS サーバが IPv6 アドレスのみで構成されている場合に発生します ネットワーク 確認されている問題点ファイアウォールを再起動すると IPv6 FQDN ネットワーク監視ポリシーが失われます IPv6 FQDN ネットワーク監視ポリシーの設定にコメントが含まれている場合に発生します ファイアウォール > アクセスルール でアクセスルールを追加するときに新しいアドレスオブジェクトを作成するオプションを使用すると ルールが保存されなくなります Internet Explorer 11 ブラウザを使用して装置を管理する場合に発生します 発信インターフェースを指定するときに アクティブまたはパッシブ FTP が NAT64 で機能しません 指定した発信インターフェースが NAT64 ポリシーの影響を受ける場合に発生します 応急 : 発信インターフェースを すべて に設定します NAT64 を使用すると HTTPS トラフィックが失敗することがあります SSL クライアント検査が有効な場合に発生します スケジュールの設定されているアクセスルールのスケジュールが 再起動後に変更されます 2 つのスケジュールオブジェクトが使用可能で そのうちの 1 つを使用するようにアクセスルールが設定されている場合に発生します 再起動後には ルールテーブルには他のスケジュールを使用するアクセスルールが表示されます WLAN トンネルインターフェースを保存した後に再度編集すると DNS プロキシを有 効にする オプションが無効になるか表示されなくなります グローバルの DNS プロキシを有効にする オプションが有効になっている場合に 設 定で DNS プロキシを有効にする オプションを選択して WLAN トンネルインター フェースを追加すると発生します トンネルインターフェースの設定を保存した後に トンネルインターフェースの設定を確認すると DNS プロキシを有効にする オプ ションが無効になるか表示されなくなります IPv6 MAC アドレスオブジェクトで解決された IPv6 ホストは その MAC アドレスを静的 NDP エントリの新しい値に変更した後も消えません MAC AO で静的 NDP テーブルからの IPv6 アドレスが解決された後 1 つの NDP エントリの MAC アドレスを新しい値に変更しても MAC AO にはその前に解決された IPv6 アドレスがそのまま表示されます 特定のサブドメインホスト IP アドレスを FQDN アドレスオブジェクトに追加できません *.e.com などの FQDN AO を追加した後 管理者がファイアウォール LAN ゾーンに接続されたコンピュータ上で 1.e.com 2.e.com および 3.e.com を問い合わせると これらのサブドメインの IP アドレスがサーバから返されます しかし FQDN AO には e.com のホスト IP アドレスのみが含まれるままになります 39

40 ネットワーク 確認されている問題点 IP ヘルパーでプロトコルが有効になっていても NetBIOS DNS などのポリシーが設定されていない場合 IP ヘルパー RPF チェックによってトラフィックが L2B モードで破棄されます PPPoE/PPTP/L2TP モードに設定したサブ VLAN インターフェースを変更すると 有効なスケジュール中に再接続できなくなります 接続中にインターフェースを静的モードに変更し 次に ipppoe/pptp/l2tp モードに戻すと発生します ネットワーク監視ポリシーが機能しません プローブ対象として すべての SonicPoint を選択した場合に発生します 管理を許可するように設定されていても WAN ゾーンの HA ペアのセカンダリユニッ トを管理できず すべての ARP 要求が破棄されて Drop Code:31 ( 無効な HA ARP パケット ) というエラーが表示されます DHCP アドレスである X1 の HA 監視 IP 上のユニットにアクセスするときに発生します SonicPoint 確認されている問題点 SonicPoint NDR アクセスポイントで RADIUS アカウントが失敗します システム 確認されている問題点 SonicOS で NAT64 ポリシーを無効または有効にできません いくつかの NAT ポリシーが既に存在する場合に発生します スイッチング /X シリーズ 確認されている問題点 HA ペアで X シリーズスイッチを削除した後に設定をインポートすると スイッチの VLAN 設定がクリアされます スイッチを削除してから再度追加するとエラーが発生し そのスイッチにアクセスできなくなります ユーザインターフェース 確認されている問題点 AppFlow 監視 AppFlow 報告 ログ監視 テーブルで並べ替えが機能しません 列が常に降順で並べ替えられます また 並べ替えアイコンが表示されません

41 VPN 確認されている問題点自動プロビジョニング (AP) クライアントの背後にある 2 つの保護されたサブネットのうち 1 つしか AP サーバへのトンネルを確立できません AP サーバポリシーの XAUTH を利用した VPN AP クライアントの認証を要求する オプションが有効になっている場合に発生します 認証されていない VPN AP クライアントアクセスを許可する オプションが有効になっている場合は 両方のサブネットがトンネルを確立できます VPN 自動プロビジョニングで AP クライアントが定期的なアグレッシブモードネゴシエーション要求の送信を停止します AP クライアントが VPN ポリシーの IP プールがいっぱいです というメッセージによって AP サーバから拒否された後に発生します 応急 : VPN 自動プロビジョニングを配備するとき AP クライアントに割り当てる IP プールを大きくします VPN トンネルをネゴシエートできない場合があります 自動プロビジョニングサーバが ID 文字列 (DC) にワイルドカードを含む証明書を使用する場合に発生します ウィザード 確認されている問題点セットアップガイドウィザードに HA が有効なので 静的 IP アドレスのみ使用できます という誤った文が含まれています SonicOS の高可用性モードでは 動的 WAN インターフェースがサポートされています ウィザードの WAN モード 画面で発生します 日本語版特有の問題点 確認されている問題点 TZ Wireless/SOHO Wireless 装置に日本語以外のファームウェアをアップロードし 工場 - 出荷時の設定で起動した場合 無線のチャンネル数が制限されます ダッシュボード > 接続監視 ページでエクスポートした CSV 形式の接続監視結果ファイルをエクセルで開くと 文字化けすることがあります エクセルが UTF-8 エンコードの CSV ファイルを異なるエンコードで開くために発生し ヘッダ行 (1 行目 ) が文字化けします 応急 : 最初にテキストエディタ等で CSV ファイルのエンコードを Shift-JIS または BOM 付きの UTF-8 に変更してから エクセルで開きます システム > 管理 ページから言語を切替えると 設定情報が破損することがあります - 本リリースのファームウェアは 設定を引き継いだ言語の切替をサポートしていません 日本語から英語に切替えて その後日本語に戻しても設定情報は破損した状態になるので 言語を切替えないでご利用ください 応急 : 言語を切替えてしまった場合は 工場出荷時の設定で起動してから 必要な設定を行ってください - 41

42 日本語版特有の問題点 確認されている問題点 システム > 設定 ページからファームウェアをアップロードし アップロードされたファームウェア " で起動すると 通常表示されるはずの再起動中の画面が正しく表示されないことがあります インターネットエクスプローラを使用して アップロードされたファームウェア で起動した場合に発生します この問題が発生しても 機器は正しく再起動されます 応急 : インターネットエクスプローラの代わりに FireFox を使用します セキュリティサービス > 概要 ページが正しく表示されないことがあります プロキシサーバを通してシグネチャをダウンロードする 機能を有効にした場合に発生します この問題が発生しても シグネチャのダウンロード機能は正しく動作します SSLVPN ポータルにログイン後 NetExtender ボタンを選択しても SSLVPN 接続に失敗することがあります 日本語版ウィンドウズ XP を使用した場合に発生し NetExtender のインストールは完了していますが接続に失敗することがあります 応急 : 接続の失敗後に PC を再起動してから再度 SSLVPN ポータルで NetExtender ボタンを選択します 現在使用されているファームウェアのバージョンが 本リリースのファームウェアに対して設定を引き継いだアップグレード およびエクスポートした設定ファイルのインポートに対応している場合 工場出荷時の設定で起動してから一度も英語表示の管理画面に切替えていない状態でのみそれをサポートします 管理画面やメッセージに 英語で表示される箇所があります

43 システムの互換性 このセクションでは ハードウェアおよびソフトウェアの本リリースとの互換性に関する追加情報を提供します ワイヤレス 3G/4G ブロードバンド機器 SonicOS では さまざまな種類の PC カード USB 機器 および無線サービスプロバイダがサポートされます サポートされる機器の最新のリストについては を参照してください GMS のサポート SonicOS が稼働している SonicWall セキュリティ装置の SonicWall グローバル管理システム (GMS) 管理には SonicOS の新機能を使用するファイアウォールの管理用に GMS 8.3 が必要です SonicWall GMS 8.2 は SonicOS 以前のリリースのそれ以外の全機能の管理をサポートしています WXA のサポート SonicWall WXA シリーズの装置 (WXA 6000 ソフトウェア WXA 500 Live CD WXA 5000 仮想装置 WXA 2000/4000 装置 ) は SonicOS が稼働する SonicWall セキュリティ装置との使用がサポートされています 推奨される WXA ファームウェアのバージョンは WXA です ブラウザのサポート 可視化機能を備えた SonicOS は 最新のブラウザでサポートされている HTML5 などの先端のブラウザ技術を使用しています SonicWall では SonicOS の管理に最新の Chrome Firefox Internet Explorer または Safari のいずれかのブラウザを使用することを推奨します このリリースでは 以下のウェブブラウザがサポートされています Chrome 18.0 以上 ( ダッシュボードをリアルタイムでグラフィック表示する場合に推奨されるブラウザ ) Firefox 16.0 以上 Internet Explorer 9.0 以上 Windows 以外のマシンで動作する Safari 5.0 以上 メモ :Windows マシンでは Safari による SonicOS の管理はサポートされていません メモ :SonicWall 装置のシステム管理には モバイルデバイスのブラウザは推奨されません 製品ライセンス SonicWall セキュリティサービスのすべての機能と利点 ファームウェアアップデート および技術サポートを有効にするためには SonicWall ネットワークセキュリティ装置を MySonicWall 上で登録する必要があります MySonicWall アカウントへのログインまたは登録は から行います 43

44 アップグレード情報 最新ファームウェアの取得方法 SonicWall 装置のファームウェアイメージのアップグレード方法 および他の装置から設定構成をインポートする方法については MySonicWall ( またはサポートポータル ( から入手できる SonicOS 6.2 アップグレードガイド を参照してください SonicWall サポート 有効なサポートメンテナンス契約が付属する SonicWall 製品をご購入になったお客様や トライアルバージョンをお持ちのお客様は テクニカルサポートを利用できます サポートポータルには 問題を自主的にすばやく解決するために使用できるセルフヘルプツールがあり 24 時間 365 日ご利用いただけます サポートポータルを利用するには にアクセスしてください サポートポータルでは 次のことを実行できます ナレッジベースの記事や技術文書を閲覧する ソフトウェアをダウンロードする ビデオチュートリアルを視聴する ユーザフォーラムで他のユーザや専門家と交流する ライセンスアシスタンスを受ける MySonicWall にアクセスする SonicWall のプロフェッショナルサービスに関して情報を得る トレーニングや認定プログラムに登録する SonicWall サポートへの連絡方法は をご覧ください 44

45 Copyright 2017 SonicWall Inc. All rights reserved. 本製品は 米国および国際的な著作権法および知的財産法によって保護されています SonicWall は SonicWall Inc. および / またはその関連会社の米国および / またはその他の国における商標または登録商標です その他の商標または登録商標は 各社の所有物です 本文書の情報は SonicWall Inc. およびその関連会社の製品に関連して提供されたものです 明示的 黙示的 または禁反言などを問わず 本書または SonicWall 製品の販売に関連して いかなる知的所有権のライセンスも供与されません 本製品のライセンス契約で定義される契約条件で明示的に規定される場合を除き SONICWALL および / またはその関連会社は一切の責任を負わず 商品性 特定目的への適合性 あるいは権利を侵害しないことの暗示的な保証を含む ( ただしこれに限定されない ) 製品に関する明示的 暗示的 または法定的な責任を放棄します いかなる場合においても SONICWALL および / またはその関連会社が事前にこのような損害の可能性を認識していた場合でも SONICWALL および / またはその関連会社は 本文書の使用または使用できないことから生じる 直接的 間接的 結果的 懲罰的 特殊的 または付随的な損害 ( 利益の損失 事業の中断 または情報の損失を含むが これに限定されない ) について一切の責任を負わないものとします SonicWall および / またはその関連会社は 本文書の内容の正確性または完全性に関していかなる表明または保証も行いません また 事前の通知なく いつでも仕様および製品説明を変更する権利を留保するものとします SonicWall Inc. および / またはその関連会社は 本文書に記載されている情報を更新する義務を負わないものとします 詳細については を参照してください 凡例 警告 : 物的損害 けが または死亡に至る可能性があることを示しています 注意 : 手順に従わないとハードウェアの破損やデータの消失が生じる恐れがあることを示しています 重要 メモ ヒント モバイル またはビデオ : 補足情報があることを示す表示です 最終更新日 :2017 年 4 月 Rev A 45