を選択します。「アドレス オブジェクトの編集」ウィンドウが開き、「アドレス オブジェクトの追加」ウィンドウと同じ設定項目が表示されます。Network_netObjView
アドレス オブジェクトは、SonicOS Enhanced の 4 つのオブジェクト クラス (アドレス、ユーザ、サービス、スケジュール) の 1 つです。アドレス オブジェクトを使用することで、1 度定義したエンティティをSonicOS インターフェース全体の複数の参照インスタンスで再利用することができます。例えば、IPアドレスが 67.115.118.80 の内部ウェブ サーバがあるとします。アクセス ロールや NAT ポリシーを作成する際に IP アドレスを繰り返し入力するのではなく、アドレス オブジェクトを使用して、例えば“マイ ウェブ サーバ"という 1 つのエンティティを IP アドレス 67.115.118.80 のホスト アドレス オブジェクトとして作成します。この“マイ ウェブ サーバ"アドレス オブジェクトは、アドレス オブジェクトを定義条件として使用する任意の設定画面で、ドロップダウン メニューから簡単に選択できます。
ネットワーク アドレスの表現にはさまざまな種類があるため、現在は以下の種類のアドレス オブジェクトが用意されています。
• ホスト – IP アドレスによって 1 つのホストを定義するホスト アドレス オブジェクト。ホスト アドレス オブジェクトのサブネット マスクは、単独のホストを識別できるように自動的に 32 ビット (255.255.255.255) に設定されます。例えば、“マイ ウェブ サーバ"の IP アドレスが“67.115.118.110"のとき、既定のネットマスクは“255.255.255.255"になります。
• 範囲 – 連続する IP アドレスの範囲を定義する範囲アドレス オブジェクト。範囲アドレス オブジェクトにはサブネット マスクは関連付けられませんが、内部ロジックでは通常、指定範囲の各アドレスは32 ビットでマスクされたホスト オブジェクトとして扱われます。例えば、“マイ公開サーバ"の開始IP アドレスが“67.115.118.66"、終了 IP アドレスが“67.115.118.90"であるとします。この場合、この範囲にある 25 個のホスト アドレスはすべて、この範囲アドレス オブジェクトに含まれます。
• ネットワーク – ネットワーク アドレス オブジェクトは、複数のホスト アドレスで構成されているという点では範囲オブジェクトと似ていますが、アドレスの上限と下限を指定するのではなく、有効なサブネット マスクによってアドレスの境界を定義します。ネットワーク アドレス オブジェクトは、ネットワークのアドレスとそれに対応するサブネット マスクによって定義する必要があります。例えば、ネットワーク値が "67.115.118.64"、サブネット マスクが "255.255.255.224" の "マイ公開ネットワーク" のアドレスは、67.115.118.64~67.115.118.95 になります。一般的なルールとして、ネットワークの最初のアドレス (ネットワーク アドレス) およびネットワークの最後のアドレス (ブロードキャスト アドレス) は使用できません。
• MAC アドレス – MAC アドレス オブジェクトを使用することで、ハードウェア アドレス、つまり MAC (メディア アクセス コントロール) アドレスによってホストを識別できます。MAC アドレスは、ハードウェアの製造元によって有線または無線のすべてのネットワーク機器に個別に割り当てられており、変更できないようになっています。MAC アドレスは、6 バイト 16 進数形式で表記される 48 ビット値です。例えば、“マイ アクセス ポイント"の MAC アドレスは“00:06:01:AB:02:CD"などとなります。MAC アドレスは、セキュリティ装置の ARP キャッシュを参照することで IPアドレスに解決されます。 MAC アドレス オブジェクトは、SonicOS のさまざまな無線設定コンポーネントで使用されます。
• FQDN アドレス – FQDN アドレスを使用することで、例えば "www.SonicWALL.com" など、ホストの完全修飾ドメイン名 (FQDN) を使ってホストを指定することができます。FQDN は、セキュリティ装置の設定で指定されている DNS サーバを使用して IP アドレスに解決されます。ワイルドカード エントリもサポートされており、ワイルドカードを指定すると、承認済み DNS サーバへの問い合わせに対する応答が収集されるようになります。
SonicOS Enhanced には、アドレス オブジェクトをアドレス オブジェクト グループにグループ化する機能があります。アドレス オブジェクトのグループを定義することで、参照の効率を向上させることができます。グループは、ホスト アドレス オブジェクト、範囲アドレス オブジェクト、ネットワーク アドレス オブジェクトを任意に組み合わせて構成できます。MAC アドレス オブジェクトは別にグループ化する必要がありますが、IP ベースのアドレス オブジェクトのグループに MAC アドレス オブジェクトを追加すること自体は安全です。 IP アドレス オブジェクトのグループに追加された MAC アドレス オブジェクトは、処理のコンテキストにおいてその参照が無意味なとき (NAT ポリシーの場合など) には無視されます。たとえは、“マイ公開グループ"にはホスト アドレス オブジェクトである“マイ ウェブ サーバ"と、範囲アドレス オブジェクトである“マイ公開サーバ"を含められるので、IP アドレス 67.115.118.66~67.115.118.90、および IP アドレス 67.115.118.110 を効率的に表すことができます。
「ネットワーク > アドレス オブジェクト」ページでは、アドレス オブジェクトの作成と管理を行えます。
「表示形式」メニューを使って、以下の方法でアドレス オブジェクトを表示できます。
• すべてのアドレス オブジェクト - 設定済みのすべてのアドレス オブジェクトを表示します。
• ユーザ定義アドレス オブジェクト - ユーザ定義のプロパティを持つアドレス オブジェクトを表示します。
• 既定のアドレス オブジェクト - Dell SonicWALL セキュリティ装置に既定で設定されているアドレス オブジェクトを表示します。
アドレス オブジェクトを並べ替えることで、Dell SonicWALL セキュリティ装置に設定されているアドレス オブジェクトを簡単に探すことができます。
Note アドレス オブジェクトは、NAT ポリシー、アクセス ルール、サービスを設定する前に定義する必要があります。
アドレス オブジェクトとアドレス グループ エントリのナビゲートと並べ替え
「アドレス オブジェクト」テーブルと「アドレス グループ」テーブルは、多数のアドレス オブジェクトやアドレス グループを表示できるように簡単にページ付けすることができます。テーブルの右上にあるナビゲーション コントロール バーを使用して、「アドレス オブジェクト」テーブルまたは「アドレス グループ」テーブルに表示された多数のエントリをナビケートできます。ナビゲーション コントロール バーには 4 つのボタンがあります。左端のボタンは、テーブルの最初のページを表示します。右端のボタンは、最後のページを表示します。内側の左矢印ボタンと右矢印で、それぞれ前または次のページに移動します。
「表示範囲」フィールドにポリシー番号 (「# 名前」カラムにおいてポリシー名の前に記載されている番号) を入力することにより、特定のエントリに移動できます。既定のテーブル設定では、ページあたり 50 個のエントリが表示されます。この既定のテーブル エントリ数は、「システム > 管理」ページで変更できます。
テーブルのエントリを並べ替えるには、列見出しを選択します。エントリは昇順または降順で並べ替えられます。列エントリの右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は降順を示します。
「既定のアドレス オブジェクト」表示では、Dell SonicWALL セキュリティ装置の既定のアドレス オブジェクトおよびアドレス グループが表示されます。「既定のアドレス オブジェクト」エントリは、変更や削除ができません。そのため、既定エントリの編集アイコンと削除アイコンは淡色表示になります。
アドレス オブジェクトを追加するには、以下の手順を実行します。
1. 「すべてのアドレス オブジェクト」表示または「ユーザ定義アドレス オブジェクト」表示の「アドレス オブジェクト」テーブルの下にある「追加」ボタンを選択して、「アドレス オブジェクトの追加」ウィンドウを表示します。
このネットワーク オブジェクトに付ける名前を「名前」フィールドに入力します。
3. 「タイプ」メニューで、「ホスト」、「範囲」、「ネットワーク」、「MAC」、または「FQDN」を選択します。
• 「ホスト」を選択した場合、「IP アドレス」フィールドと「サブネット マスク」フィールドに IP アドレスとサブネット マスクを入力します。
「範囲」を選択した場合、「開始アドレス」フィールドと「終了アドレス」フィールドに開始アドレスと終了アドレスを入力します。
「ネットワーク」を選択した場合、「ネットワーク」フィールドと「サブネット マスク」フィールドに IP アドレスとサブネット マスクを入力します。
「MAC」を選択した場合、「ネットワーク」フィールドと「MAC アドレス」フィールドに MAC アドレスとサブネット マスクを入力します。
「FQDN」を選択した場合、「FQDN ホスト名」フィールドに単独のサイトのドメイン名または一連のサイトのドメイン名 (ワイルドカードを使用) を入力します。
「ゾーンの割り当て」メニューで、アドレス オブジェクトに割り当てるゾーンを選択します。
5. 「追加」ボタンを選択します。
アドレス オブジェクトを編集するには、「アドレス オブジェクト」テーブルの「設定」カラムにある編集アイコン を選択します。「アドレス オブジェクトの編集」ウィンドウが開き、「アドレス オブジェクトの追加」ウィンドウと同じ設定項目が表示されます。
アドレス オブジェクトを削除するには、「設定」カラムで、削除するアドレス オブジェクトに対応する削除アイコン 
を選択します。削除を確認するダイアログ ボックスが表示されます。「OK」を選択すると、アドレス オブジェクトが削除されます。アクティブなアドレス オブジェクトを複数削除するには、削除するアドレス オブジェクトを選択して「削除」ボタンを選択します。
Dell SonicWALL セキュリティ装置に追加されたアドレス オブジェクトの数が増えてきたら、アドレスのグループを作成することで、アドレスやアクセス ポリシーの管理を容易にすることができます。グループに加えた変更は、グループ内の各オブジェクトに適用されます。アドレス オブジェクトのグループを追加するには、以下の手順を実行します。
1. 「グループの追加」を選択して、「アドレス オブジェクト グループの追加」ウィンドウを表示します。
グループの名前を「名前」フィールドに入力します。
3. リストから「アドレス オブジェクト」を選択して、右向きの矢印を選択します。そのオブジェクトがグループに追加されます。Ctrl キーを押しながら選択すると、複数のオブジェクトを選択できます。
4. 「OK」を選択します。
Tip グループからアドレスまたはサブネットを削除するには、右側のカラムで IP アドレスまたはサブネットを選択して、左向きの矢印を選択します。選択した項目が右側のカラムから左側のカラムに移動されます。
アドレス グループの編集と削除
グループを編集するには、「アドレス グループ」テーブルの「設定」カラムにある編集アイコン 
を選択します。「アドレス オブジェクト グループの編集」ウィンドウが表示されます。変更を加えた後、「OK」を選択します。
アドレス グループを個別に削除するには、「設定」カラムにある削除アイコン 
を選択します。削除を確認するダイアログ ボックスが表示されます。「OK」を選択すると、アドレス グループが削除されます。アクティブなアドレス グループを複数削除するには、削除するアドレス グループを選択して「削除」ボタンを選択します。
SonicOS Enhanced には、Dell SonicWALL セキュリティ装置をパブリック サーバ用に設定する作業を自動化するパブリック サーバ ウィザードが用意されています。このウィザードは、例えば、ネットワーク上の電子メール サーバおよびウェブ サーバをインターネット上のユーザがアクセスできるように公開する場合などに使用できます。
パブリック サーバ ウィザードを使用すると、サーバの種別 (HTTP、FTP、電子メール)、プライベート (外部) アドレス オブジェクト、パブリック (内部) アドレス オブジェクトを選択または定義できます。サーバの種別、プライベート ネットワーク オブジェクト、パブリック ネットワーク オブジェクトを設定すると、セキュリティ装置にそのサーバ用の適切な NAT ポリシー登録およびアクセス ルール登録が作成されます。SonicOS 管理インターフェースを使って、その他の設定オプションも指定できます。
ウィザードを使用して Dell SonicWALL セキュリティ装置を設定する手順の詳細については、第 23 部, ウィザードを参照してください。
SonicOS Enhanced では初期のバージョンから常に、ユーザ インターフェースのほとんどの領域において、IP アドレスを表すためにアドレス オブジェクト (AO) が使われてきました。アドレス オブジェクトは以下の種類に分類されます。
• ホスト - 個々の IP アドレスと、それに関連付けられているサブネット マスクおよびゾーン。
• MAC (旧バージョン) - メディア アクセス コントロール (イーサネット ホストに割り当てられている固有のハードウェア アドレス)。MAC AO は SonicOS 2.5 で初めて導入され、最初は以下の目的で使用されていました。
– SonicPoint を識別する
– ホストにおいて、ゲスト サービスの認証をバイパスできるようにする
– 無線スキャンで検出された無線アクセス ポイントの BSSID (基本サービス セット識別子、WLAN MAC) を許可する
導入当初の MAC AO は、管理インターフェースの他の領域 (アクセス ルールなど) ではターゲットとして指定することが許可されていなかったため、初期のバージョンでは、ホストのアクセスをハードウェア アドレスによって制御する目的で使用することはできませんでした。
• 範囲 - 開始アドレスと終了アドレスによって指定される特定範囲内のすべての IP アドレス。
• グループ - さまざまな種類のアドレス オブジェクトをまとめて扱うためのアドレス オブジェクトの集まり。グループには、他のグループ、ホスト、MAC、範囲、または FQDN のアドレス オブジェクトを含めることができます。
SonicOS Enhanced 3.5 では MAC AO の動作が再定義され、完全修飾ドメイン名 (FQDN) AOが導入されました。
• MAC - SonicOS Enhanced 3.5 以降では、Dell SonicWALL 上の ARP キャッシュを参照することによって、MAC AO が IP アドレスに解決されます。
• FQDN - 完全修飾ドメイン名 (例えば "www.reallybadwebsite.com" など) は、Dell SonicWALL の設定で指定されている DNS サーバを使用して (1 つまたは複数の) IP アドレスに解決されます。ワイルドカード エントリもサポートされており、ワイルドカードを指定すると、承認済み DNS サーバへの問い合わせに対する応答が収集されるようになります。
アドレス オブジェクトの作成は単に IP アドレスを入力するよりも手間がかかりますが、アドレス オブジェクトは SonicOS Enhanced の管理機構を補完する目的で実装されており、それによって以下の特徴が実現されています。
• ゾーンの関連付け - ホスト、MAC、および FQDN のアドレス オブジェクトを定義する際は、明示的にゾーンを指定する必要があります。インターフェースのほとんどの領域 (アクセス ルールなど) では、指定されたゾーンは参照のためにしか使われません。指定されたゾーンが機能上の目的で使用されるのは、「アドレス オブジェクト」ドロップダウン リストの項目をコンテキストに合わせて正確に表示するために利用される場合と、ユーザおよびグループに割り当てる "VPN アクセス" を定義する場合です。アドレス オブジェクトを使用して VPN アクセスを定義する際には、アクセス ルール自動作成プロセスによってアドレス オブジェクトのゾーンが参照され、そのルールを割り当てるべき VPN [ゾーン]の共通部分が適切に決定されます。例えば、LAN ゾーンに属する "192.168.168.200 ホスト" というホスト アドレス オブジェクトが "Trusted Users" ユーザ グループの "VPN アクセス" に追加された場合、自動的に作成されるアクセス ルールは VPN LAN ゾーンに割り当てられます。
• 管理と処理 - 多用途の種別に属するアドレス オブジェクト群は SonicOS Enhanced インターフェース全域で容易に使用できるため、(アクセス ルールなどからの) ハンドルの定義と管理を簡便に行うことができます。また、アドレス オブジェクト グループのメンバーは単純な操作によって簡単に追加または削除できるので、それを参照するルールやポリシーを直接操作する必要なしに、ルールやポリシーの内容を効率的に変更することができます。
• 再利用性 - オブジェクトを定義する必要があるのは一度だけで、定義したオブジェクトは必要に応じて何度でも容易に参照できます。
動的アドレス オブジェクトの主要な機
動的アドレス オブジェクト (DAO) とは、MAC AO および FQDN AO の使用を可能にする基底フレームワークのことを表す用語です。「ファイアウォール > アクセス ルール」は、アドレス オブジェクトを静的な構造から動的な構造に変換することによって、ネットワークの変化に自動的に対応できます。
当初の段階では、SonicOS Enhanced 4.0、5.0 および 5.1 で動的アドレス オブジェクトがサポートされるのはアクセル ルール内のみです。SonicOS Enhanced の将来のバージョンでは、NAT や VPN などのその他のサブシステムにも DAO のサポートが導入される可能性があります。
|
ネットワーク上の承認済みサーバの使用の強制
ネットワーク上の承認済みサーバ (許可されたサーバ) の使用を強制することは必須ではありませんが、そのような設定を行うことをお勧めします。この設定は不正なネットワーク活動の抑止に有効であるだけでなく、FQDN ワイルドカードの解決プロセスの信頼性を確保するためにも役立ちます。一般に、既知のプロトコルによる通信のエンドポイントは可能な限り明確に定義することが望ましいと言えます。そのためには、例えば、以下のような方法を使用することが考えられます。
• 承認済みサーバ (SMTP サーバ、DNS サーバなど) のアドレス オブジェクト グループを作成します。
該当するゾーンのアクセス ルールを作成して、内部ネットワーク上の承認済み SMTP サーバにのみ SMTP 通信の発信を許可し、それ以外のすべての SMTP 発信トラフィックを遮断することにより、意図的または意図しないスパムの送信を防止します。
該当するゾーンのアクセス ルールを作成して、内部ネットワーク上の承認済み DNS サーバに対して、すべての宛先ホストとの DNS プロトコル (TCP/UDP 53) による通信を許可します。内部ネットワーク上に DNS サーバを設置している場合は、必ずこのルールを定義したうえで、アクセスを制限する次の DNS ルールを設定する必要があります。
• 該当するゾーンのアクセス ルールを作成して、ファイアウォールで保護されたホストからの DNS (TCP/UDP 53) 通信を承認済み DNS サーバに対してのみ許可し、それ以外のすべてのDNS アクセスを遮断することにより、未承認の DNS サーバとの通信の発生を防止します。
上記のルール設定後に、許可されていないアクセスが試行された場合は、ログの表示によってそのことを確認できます。
MAC および FQDN 動的アドレス オブジェクトの使用
MAC および FQDN の動的アドレス オブジェクトを使用すると、アクセス ルールを非常に柔軟な形で穀zできるようになります。MAC アドレス オブジェクトおよび FQDN アドレス オブジェクトの設定は、静的アドレス オブジェクトの場合と同じ方法で「ネットワーク > アドレス オブジェクト」ページから行います。動的アドレス オブジェクトの作成後に、その表示項目にマウスを合わせると、そのオブジェクトの状況が表示されます。 また、動的アドレス オブジェクトの追加や削除を行うと、その操作がイベントとしてログに記録されます。
動的アドレス オブジェクトは、さまざまな用途に使用できます。以下に示す例は、可能な活用方法のごく一部にすぎません。SonicOS Enhanced の将来のバージョンでは、動的アドレス オブジェクトの汎用性がさらに拡張される可能性があります。
FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断
非標準ポートを使った処理や、未知のプロトコルの使用、暗号化やトンネル化 (またはその両方) によるトラフィックの意図的な不明瞭化などを行っているという理由から、特定の送信先 IP アドレスへのすべてのプロトコルのアクセスを遮断することが望ましい場合があります。具体的な例としては、ホーム ネットワークのトンネルを通すことによってトラフィックを不明瞭化するという目的で、DSL モデムまたはケーブル モデムに接続されたホーム ネットワーク上に HTTPS プロキシ サーバを設定した場合 (あるいはその他の方法で、53、80、443 などの“信頼できる"ポート、および 5734、23221、63466 などの非標準ポートのポート転送/トンネル化を行っている場合) などが考えられるでしょう。このようなネットワークではポートが予測不能であるだけでなく、多くの場合、IP アドレスも動的に設定されるため同様に予測不能となり、状況はさらに複雑化します。
これらのシナリオでは、通常、ユーザがホーム ネットワークを特定することを可能にするために動的DNS (DDNS) が利用されるので、FQDN AO を積極的に活用することによって、DDNS レジストラに登録されているすべてのホストに対するアクセスを遮断することができます。
Note ここでは例として DDNS ターゲットの場合を示しています。非 DDNS ターゲット ドメインも同様に使用できます。
想定条件
• Dell SonicWALL ファイアウォールは、10.50.165.3 および 10.50.128.53 の DNS サーバを使用するように設定されているとします。
• Dell SonicWALL は、ファイアウォールで保護されているすべてのユーザに対して DHCP リースを提供しているものとします。ネットワーク上のすべてのホストは上記の設定済み DNS サーバを使用して解決を行います。
– 必須ではありませんが、「ネットワーク上の承認済みサーバの使用の強制」で説明した方法により、アクセス ルールを使って未承認 DNS サーバへの DNS 通信を遮断することもできます。
• DSL ホーム ネットワークのユーザが DDNS プロバイダの DynDNS に登録しているドメイン名は、moosifer.dyndns.org であるとします。このセッションで ISP がこの DSL 接続に割り当てたアドレスは、71.35.249.153 であるとします。
– 同じ IP アドレスに対して別のホスト名を登録することは容易なので、後からホスト名が追加されることを想定して FQDN AO を使用しています。必要に応じて、別の DDNS プロバイダに対応するエントリを追加することもできます。
1. FQDN アドレス オブジェクトの作成:
a.: 「ネットワーク > アドレス オブジェクト」ページで「追加」を選択し、次のアドレス オブジェクトを作成します。
b.: 最初に作成された時点では、このエントリの解決先は dyndns.org のアドレス (63.208.196.110など) のみです。
2. ファイアウォール アクセス ルールの作成
a.: 「ファイアウォール > アクセス ルール」ページで「追加」を選択し、「送信元ゾーン」を「LAN」に、「送信先ゾーン」を「WAN」にそれぞれ設定して、次のアクセス ルールを追加します。
送信元として“LAN Subnets"を指定する代わりに、必要に応じて、より限定的な送信元を指定することによって、特定のホストからの送信のみを対象としてターゲットへのアクセスを禁止することもできます。
b.: ファイアウォールで保護されているホストが承認済み DNS サーバを使用して moosifer.dyndns.orgの解決を試行した場合、その問い合わせに対する応答として返された (1 つまたは複数の) IP アドレスが FQDN AO に動的に追加されます。
c.: この FQDN に含まれるターゲット ホストへのアクセスはプロトコルに関係なく遮断され、アクセスが試行された場合は、そのイベントがログに記録されます。
FQDN ベースのアクセス ルールに適した内部 DNS サーバの使用
DHCP で動的に構成されるネットワーク環境は、内部ホストの登録を動的に行うために、内部 DNSサーバと組み合わせて運用されるのが一般的であり、広く使われているマイクロソフトの DHCP サービスと DNS サービスもその一例です。このようなネットワークでは、ネットワーク上のホストを設定することによって、適切に設定された DNS サーバ上の DNS レコードの動的更新を容易に実現することができます (詳細については、Microsoft のサポート技術情報「Windows Server 2003 で DNS 動的更新を構成する方法」(http://support.microsoft.com/kb/816592/ja) などを参照してください)。
次の図は、典型的な DNS 動的更新プロセスのパケットの詳細情報を示したものです。この例では、動的に設定されたホスト (10.50.165.249) が、(DHCP で提供された) DNS サーバ (10.50.165.3) に対して、完全なホスト名 (bohuymuth.moosifer.com) を登録していることがわかります。
このような環境では、FQDN AO を利用して、ホスト名によるアクセス制御を行うことが有益な場合があります。この方法が最も有効に適用できるのは、ネットワーク内のホスト名が既知の場合 (ホスト名のリストが保持されている場合や、一貫した名前付け規則が使用されている場合など) です。
MAC アドレスによる動的ホストのネットワーク アクセスの制御
ほとんどのネットワークでは静的なアドレス設定よりも DHCP が利用されることの方がはるかに多いため、特に、動的な DNS 更新が行われていない場合や、ホスト名が常に確定しているとは言えない環境では、動的に設定されるホストの IP アドレスを予測するのが困難な場合があります。このような状況では、MAC アドレス オブジェクトを使用することにより、ほぼ不変の MAC (ハードウェア) アドレスに基づいてホストのアクセスを制御することができます。
その他のほとんどのアクセス制御方法と同様、MAC アドレスによるアクセス制御も、アクセスを原則的に許可して特定のホストまたはホストのグループを送信先/送信元とするアクセスのみを禁止する方法と、アクセスを原則的に禁止して特定のホストまたはホストのグループに対してのみアクセスを許可する方法のどちらでも利用できます。ここでは、例として後者の場合を示します。
DHCP に対応した複数の無線クライアントがあり、これらのクライアントでは独自のオペレーティング システムが実行されているため、ユーザ レベルの認証は一切利用できないと仮定しましょう。 そして、これらのクライアントに対して、LAN 上のアプリケーション固有サーバ (例えば、10.50.165.2) へのアクセスのみを許可する必要があるとします。WLAN セグメントではセキュリティのために WPA-PSK が使用されていますが、これらのクライアントからのアクセスを許可する対象は 10.50.165.2 のサーバのみであり、LAN 上のそれ以外のリソースへのアクセスはすべて禁止しなければなりません。また、その他のすべての無線クライアントに対しては、10.50.165.2 へのアクセスのみを禁止し、それ以外の場所へのアクセスはすべて許可する必要があります。
1. MAC アドレス オブジェクトの作成:
a.: 「ネットワーク > アドレス オブジェクト」ページで「追加」を選択し、次のアドレス オブジェクトを作成します (マルチホームのオプションは必要に応じて選択します)。
アドレス オブジェクトの作成完了時点において、対象のホストが Dell SonicWALL の ARP キャッシュに含まれている場合は、直ちにその解決が行われます。ARP キャッシュ内にホストの情報が存在しない場合は、ホストが有効化されて ARP によって検出されるまでの間、「アドレス オブジェクト」テーブルにはそれらのアドレスが「未解決」状態として表示されます。
ハンドヘルド機器をメンバーとして含むアドレス オブジェクト グループを作成します。
ファイアウォール アクセス ルールの作成
a.: アクセス ルールを作成するには、「ファイアウォール > アクセス ルール」ページに移動して「すべてのルールを表示」ラジオ ボタンを選択し、ページの下部が表示されるまでスクロールして「追加」ボタンを選択します。
b.: 次の 4 つのアクセス ルールを作成します。
|
Note この例では、ハンドヘルド機器によって使用される特定のアプリケーションを表すために「MediaMoose サービス」というサービスを使用しています。固有サービスの宣言はオプションであり、必要に応じて行ってください。
ドメイン全体へのアクセスの帯域幅管理
ストリーミング メディアは、ネットワークの帯域幅を最も大量に消費するサービスの 1 つです。ストリーミング メディアを配信しているサイトでは、ほとんどの場合、多数のサーバからなるサーバ ファームが利用されているため、これらのサイトへのアクセスを制御したり、サイトへの接続に割り当てられる帯域幅を管理したりすることは容易ではありません。さらに、これらのサイトではメディアが再エンコードされてから HTTP で送信される場合が多いので、種別による分類や分離を行うことはいっそう難しくなっています。これらのサイトを構成しているサーバのリストを手動で管理するのは困難な仕事ですが、ワイルドカード FQDN アドレス オブジェクトを使用すると、その作業を簡単化することができます。
1. FQDN アドレス オブジェクトの作成
「ネットワーク > アドレス オブジェクト」ページで「追加」を選択し、次のアドレス オブジェクトを作成します。
アドレス オブジェクトが最初に作成された時点では、youtube.com は 208.65.153.240、208.65.153.241、208.65.153.242 の IP アドレスに解決されますが、内部ホストがyoutube.com ドメイン内のすべての要素に対応する各ホストの解決を開始した後は、v87.youtube.comサーバ (208.65.154.84) のエントリなど、内部ホストからの問い合わせによって取得されたホスト エントリが追加されていきます。
2. ファイアウォール アクセス ルールの作成:
a.: 「ファイアウォール > アクセス ルール」ページで「追加」を選択し、「送信元ゾーン」を「LAN」に、「送信先ゾーン」を「WAN」にそれぞれ設定して、次のアクセス ルールを追加します。
「帯域幅」タブが表示されない場合は、WAN インターフェース上の帯域幅を宣言することによって帯域幅管理を有効化します。BWM の詳細については、次を参照してください。 帯域幅管理の概要
b.: 「アクセス ルール」テーブル内に、帯域幅管理が有効であることを示す帯域幅管理アイコンと統計情報が表示されるようになります。*.youtube.com のすべてのホストに対するアクセスは、どのプロトコルを使用している場合でも、累積的に、すべてのユーザ セッションで利用可能な合計帯域幅の2%までに制限されます。