VoIP の設定


	補足：継続性 NAT を有効にすると、アドレスとポートのペアの予測可能性が高くなるので、全体的なセキュリティはやや低下します。大多数の UDP ベースアプリケーションは従来の NAT に対応しています。したがって、継続性 NAT を必要とするアプリケーションをネットワークで使用する場合を除き、継続性 NAT は有効にしないでください。

SIP の設定

既定では、SIP クライアントは自身のプライベート IP アドレスを、SIP プロキシ宛てに送信される SIPセッション定義プロトコル (SDP) メッセージに使用します。SIP プロキシが SonicWALL のパブリック (WAN) 側に配置されていて、SIP クライアントがファイアウォールのプライベート (LAN) 側に配置されている場合、SDP メッセージは変換されないため、SIP プロキシは SIP クライアントに到達できません。

「SIP を有効にする」を選択すると、LAN (信頼済み) と WAN/DMZ (信頼されていない) 間のSIP メッセージが変換されます。SonicWALL で SIP 変換を実行したい場合、「SIP を有効にする」設定のチェックボックスをオンにする必要があります。SIP プロキシが SonicWALL セキュリティ装置のパブリック (WAN) 側にあって SIP クライアントが LAN 側にある場合、既定では SIP クライアントは自身のプライベート IP アドレスを、SIP プロキシ宛てに送信される SIP/セッション定義プロトコル (SDP) メッセージの中に埋め込み/使用します。つまり、これらの SIP メッセージおよび SDP メッセージは未変更のままになるため、SonicWALL 背後のクライアントにメッセージを返信する方法を SIP プロキシは認識できません。「SIP を有効にする」を選択すると、SonicWALL が各 SIP メッセージを検査してプライベート IP アドレスおよび割り当て済みポートを変更できるようになります。また、「SIP を有効にする」が選択されていると、SIP セッションコールを実行するために開いている必要のある RTP (リアルタイム転送プロトコル) ポートや RTCP (RTP 制御プロトコル) ポートを制御して開くこともできます。NAT で第 3 層のアドレスは変換されますが、第 7 層の SIP/SDP アドレスは変換されません。このため、SIP メッセージを変換するには「SIP を有効にする」を選択する必要があります。


	ヒント：一般的には「SIP 変換を有効にする」チェックボックスをオンにする必要があります (ただし、この機能を無効にする必要のある NAT トラバーサルソリューションがほかに存在している場合を除きます)。SIP 変換は双方向モードで機能します。つまり、LAN から WAN に送出されたメッセージに対しても、その逆に WAN から LAN に送出されたメッセージに対しても変換が実行されます。

「SIP シグナル送信ポート上で SIP 以外のパケットを許可する」を選択すると、追加の独自メッセージで SIP シグナル送信ポートを用いるアプリケーション (たとえば、Apple iChat や MSN Messengerなど) を使用できるようになります。このチェックボックスがオンの場合、不適切または無効な SIP トラフィックを濫用した悪意のある攻撃に対してネットワークが開放されてしまうおそれがあります。このチェックボックスは、既定では無効になります。

SonicWALL が音声通話の両行程を確認できる場合 (たとえば、LAN 上の電話が同じ LAN 上の別の電話と通話する場合)、「SIP Back-to-Back ユーザエージェント (B2BUA) サポートを有効にする」設定を有効にする必要があります。この設定を有効にする必要があるのは、SIP プロキシサーバを B2BUA として使用する場合だけです。


	ヒント：SonicWALL がボイス通話の両行程を確認できない場合 (たとえば、通話先および通話受信元が WAN 上の各電話だけに限られる場合) は、「SIP Back-to-Back ユーザエージェント (B2BUA) サポートを有効にする」設定を無効にして不要な CPU の使用を回避する必要があります。

「SIP シグナルのタイムアウト時間 (秒)」および「SIP メディアのタイムアウト時間 (秒)」で、通話のアイドル状態 (トラフィック交換のない状態) の許容時間を定義します。この時間の経過後は、SonicWALL により以降のトラフィックがブロックされます。通話は保留にされた場合、アイドル状態になります。「SIP シグナルのタイムアウト時間 (秒)」の既定の時間値は 1,800秒 (30 分) です。「SIP メディアのタイムアウト時間 (秒)」の既定の時間値は 120 秒 (2 分) です。

「追加で変換対象とする SIP シグナル UDP ポート (オプション)」設定では、標準以外の UDP ポートを SIP シグナルトラフィックの搬送に使用するように指定することができます。SIP シグナルトラフィックは UDP ポート 5060 で搬送されるのが一般的ですが、市販 VOIP サービスによっては別のポート (たとえば 1560) を使用するものもあります。「追加で変換対象とする SIPシグナル UDP ポート」設定を使用すると、こうした標準以外のポート上でセキュリティ装置が SIP 変換を実行するようになります。


	ヒント：Vonage の VoIP サービスには、UDP ポート 5061 が使用されます。

H.323 の設定

ステートフル H.323 プロトコルに対応したパケットのコンテンツを SonicWALL で検査/修正できるようにするには、「H.323 の設定」セクションの「H.323 を有効にする」を選択して「適用」を選択します。H.323 パケット内の動的 IP アドレスとトランスポートポートとのマッピング (信頼済みネットワーク/ゾーンおよび信頼されていないネットワーク/ゾーン内での H.323 通話相手どうしの通信に必要) も、SonicWALL によって実行されます。SonicWALL で H.323 固有処理の実行を省略する場合は、「H.323 を有効にする」を無効にしてください。

「ゲートキーパーからの着信通話のみ許可する」を選択すると、すべての着信通話がゲートキーパーの認証を受けます。認証に失敗した通話は、ゲートキーパーに拒絶されます。

「H.323 シグナル/メディア無動作時のタイムアウト (秒)」フィールドに、通話アイドル状態を許可する時間数を指定します。この時間数の経過後は、SonicWALL により以降のトラフィックがブロックされます。通話は保留にされた場合、アイドル状態になります。「H.323 シグナル/メディアのタイムアウト時間 (秒)」の既定の時間値は 300 秒 (5 分) です。

「デフォルト WAN/DMZ ゲートキーパー IP アドレス」フィールドの既定値は“0.0.0.0"です。このフィールドに既定の H.323 ゲートキーパー IP アドレスを入力すると、LAN ベースの H.323 機器がマルチキャストアドレス“224.0.1.41"を使用して、ゲートキーパーを発見できるようになります。IP アドレスを入力しなかった場合は、LAN ベースの H.323 機器から送出されたマルチキャストディスカバリメッセージに対して、設定済みマルチキャスト処理が施されます。

BWM と QoS の設定

VoIP の最大の課題の 1 つは、IP ネットワーク上で高度な通話品質を保証することです。IP は遅延を許容する非同期データトラフィックを主な処理対象として設計されていますが、VoIP は遅延とパケット損失に非常に敏感です。高品質なリアルタイム VoIP 通信を保証するには、アクセスの管理およびトラフィックの優先順位設定が重要な要件となります。

SonicWALL の統合帯域幅管理 (BWM) およびサービス品質 (QoS) 機能には、VoIP 通信の信頼性および品質を管理するためのツール群が提供されています。

トピック:

•

•

•

•

Dell SonicWALL ネットワークセキュリティ装置上で帯域幅管理を設定するには:

「ネットワーク > インターフェース」を選択します。

インターフェーステーブルの「WAN」(X1) 行の「設定」列にある編集アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

「詳細」タブを選択します。

「送信帯域幅管理を有効にする」チェックボックスをオンにし、「利用可能な送信帯域幅 (Kbps)」フィールドに利用可能な帯域幅を入力します。

「受信帯域幅管理を有効にする」チェックボックスをオンにし、「利用可能な受信帯域幅 (Kbps)」フィールドに利用可能帯域幅を入力します。

「OK」を選択します。

VoIP アクセスルールの設定

既定では、SonicWALL のステートフルパケット検査によって、LAN からインターネットへの通信はすべて許可され、インターネットから LAN に送出されるトラフィックはすべて遮断されます。既定のアクセスルールを拡張または指定変更する、追加のネットワークアクセスルールを定義することもできます。

WAN から VoIP サービスプロバイダを利用できるようにクライアントの VoIP アクセス許可を定義する場合は、ファイアウォール背後のクライアントによる VoIP 通話の送受信が許可されるように、送信元インターフェース/ゾーンと送信先インターフェース/ゾーンとの間のネットワークアクセスルールを設定してください。


	ヒント：着信 IP トラフィックを許可する個別ルールは作成可能ですが、SonicWALL は、SYN フラッドや Ping of Death 攻撃などのサービス妨害 (DoS) 攻撃に対する保護は無効にしません。


	補足：ネットワークアクセスルールに帯域幅管理を設定する前に、WANインターフェースの「ネットワーク > インターフェース」ページで「帯域幅管理」を選択しておく必要があります。

Dell SonicWALL ネットワークセキュリティ装置で VoIP トラフィックに対するアクセスルールを追加するには:

「ファイアウォール > アクセスルール」ページに移動します。

「表示形式」で、「すべてのルールを表示」を選択します。

「アクセスルール」テーブルの下部にある「追加」を選択します。「ルールの追加」ウィンドウが表示されます。

「一般」タブで、「動作」リスト内でトラフィックを許可するものについて「許可」を選択します。

「送信元ゾーン」メニューおよび「送信先ゾーン」メニューからそれぞれ送信元と送信先ゾーンを選択します。

「サービス」リストから、アクセスルールに影響されるサービスまたはサービスのグループを選択します。

•

H.323 に関しては、次のいずれかを選択するか、または「グループの作成」を選択し、次のサービスのいずれかをグループに追加します。

•

H.323 コールシグナリング

•

H.323 ゲートキーパーディスカバリ

•

H.323 ゲートキーパー RAS

•

SIP に関しては、「SIP」を選択します。

「送信元」リストから、アクセスルールに影響されるトラフィックの送信元を選択します。「ネットワークの作成」を選択すると、「アドレスオブジェクトの追加」ウィンドウが表示されます。

特定のユーザによるインターネットアクセスを制限するなどのアクセスルールの影響を受ける送信元 IP アドレスを定義するには、「種別:」ドロップダウンメニューで「範囲」を選択します。「開始アドレス:」フィールドおよび「終了アドレス:」フィールドにそれぞれ、最小 IP アドレスと最大 IP アドレスを入力します。

「送信先」リストから、アクセスルールに影響されるトラフィックの送信先を選択します。「ネットワークの作成」を選択すると、「アドレスオブジェクトの追加」ウィンドウが表示されます。

「許可するユーザ」メニューから、アクセスルールに影響されるユーザまたはユーザのグループを追加します。

VoIP へのアクセスを特定の時間帯に限り許可する場合は、「スケジュール」メニューからスケジュールを選択します。既定のスケジュールは「常に有効」です。「システム > スケジュール」ページで、スケジュールオブジェクトを指定できます。

「コメント」フィールドに、アクセスルールの識別に有効な任意のコメントを入力します。

「帯域幅」タブを選択します。

「帯域幅管理」を選択し、「保証された帯域幅」を Kbps 単位で入力します。

「最大帯域幅」フィールドに、そのルールで常時利用できる最大帯域幅量を入力します。

「帯域幅優先順位」リストで、0 (最大) から 7 (最低) までの優先順位を割り当てます。VoIP の通話品質を高めるためには、VoIP トラフィックに高い優先順位を割り当てるようにします。


	ヒント：帯域幅管理を使用したルールは、帯域幅管理のないルールよりも優先順位が高くなります。

VoIP ログ採取の設定

「ログ > 設定」ページでは、VoIP イベントのログ記録を有効にできます。ログエントリは「ログ > 表示」ページに表示されます。VoIP のログを有効にする方法については、ログ > 設定を参照してください。