|
•
|
大部分のレイヤ 2 ブリッジ モード トポロジでは、Dell SonicWALL セキュリティ装置の使用に先だって次の設定を行う必要があります。
|
•
|
|
•
|
|
•
|
装置が正常に登録されたら、「システム > ライセンス」ページに移動し、「セキュリティ サービスのオンライン管理」の下の「同期」を選択します。これにより、SonicWALL ライセンス サーバへの接続が行われ、装置が確実にライセンスを受けられるようになります。
ライセンス状況を確認するには、「システム > 状況」ページに移動し、すべてのセキュリティ サービス (ゲートウェイ アンチウイルス、アンチスパイウェア、侵入防御) のライセンス状況を表示します。
「システム > 管理」ページで、「SNMP を有効にする」の横にあるチェックボックスがオンになっていることを確認し、画面の上部にある「適用」ボタンを選択します。
「ネットワーク > インターフェース」ページで、装置を管理するインターフェースの SNMP および HTTP/HTTPS を有効にします。
「ログ > Syslog」ページで、「追加」ボタンを選択し、syslog サーバのエントリを作成します。「OK」を選択すると、変更内容が保存されて有効になります。
「ネットワーク > ゾーン」ページで、使用するゾーンごとにセキュリティ サービスが有効になっていることを確認します。
次に「セキュリティ サービス」ページで、サービスごとに、その環境に最も適した設定項目を有効にし設定します。
異なるゾーンの装置を管理したり、あるいは HP PCM+/NIM サーバなどのサーバを使って管理を行ったり、SNMP や Syslog サービスを使用するつもりなら、ゾーン間のトラフィックに関してアクセス ルールを作成します。「ファイアウォール > アクセス ルール」ページで、そのサーバのゾーンとユーザおよびサーバが含まれるゾーンとの共通部分のアイコンを選択します (環境によっては共通部分が複数存在することもあります)。新しいルールを作成して、サーバがそのゾーンのすべての機器と通信できるようにします。
「ログ > 設定」ページで、優先順位やその他のログの設定を行います。
次に「ログ > 名前解決」ページに移動し、「名前解決方法」を「DNS の後に NetBIOS」に設定します。「適用」を選択すると、変更内容が保存されて有効になります。
ご使用のネットワークに最適なトポロジの選択については、L2 ブリッジ インターフェース ゾーンの選択 を参照してください。この例では、「単純な L2 ブリッジ トポロジ」に最も近いトポロジを使用します。
プライマリ ブリッジ インターフェースとして使用するインターフェースを選択します。この選択の詳細については、L2 ブリッジ インターフェース ゾーンの選択 を参照してください。この例では、(プライマリ WANに自動的に割り当てられる) X1 を使用します。
|
1
|
|
2
|
X1 (WAN) インターフェースの右の列で設定アイコンを選択します。
|
|
7
|
「OK」を選択します。
|
セカンダリ ブリッジ インターフェースとして使用するインターフェースを選択します。この選択の詳細については、L2 ブリッジ インターフェース ゾーンの選択 を参照してください。この例では、(LAN に自動的に割り当てられる) X0 を使用します。
|
1
|
|
2
|
|
3
|
|
4
|
|
5
|
必要であれば、L2 ブリッジが IPv4 以外のトラフィックを通すことを防ぐために「すべての非 IPv4 トラフィックをブロックする」を有効にすることもできます。
|
|
6
|
必要に応じて「VLAN フィルタリング」タブを表示して、L2 ブリッジを介した VLAN トラフィックを制御することもできます。既定では、すべての VLAN が許可されます。
|
|
•
|
ドロップダウン リストから「リストされた VLAN を遮断する (ブラックリスト)」を選択し、遮断する VLAN を左ペインから選んで右ペインに追加します。右ペインに追加された VLAN はすべて遮断されます。 また、左ペインに残っている VLAN はすべて許可されます。
|
|
•
|
ドロップダウン リストから「リストされた VLAN を許可する (ホワイトリスト)」を選択し、明示的に許可する VLAN を左ペインから選んで右ペインに追加します。右ペインに追加された VLANはすべて許可されます。 また、左ペインに残っている VLAN はすべて遮断されます。
|
|
7
|
「OK」を選択します。
|
更新済みの設定が「ネットワーク > インターフェース」ページに表示されます。
これで、必要に応じて、セキュリティ サービスを適切なゾーンに適用できるようになりました。この例では、LAN、WAN、または両方のゾーンにセキュリティ サービスを適用する必要があります。
L2 バイパス リレーが閉じられると、バイパスされたインターフェース (X0 および X1) に接続されたネットワーク ケーブルは、単一の連続的なネットワーク ケーブルのように物理的に接続されます。「異常時の物理的なバイパスを保証する」オプションを有効にすると、異常時にファイアウォールをバイパスすることにより、ネットワーク トラフィックの中断を回避できます。
L2 バイパスは、レイヤ 2 ブリッジ モードのインターフェースにのみ設定できます。「異常時の物理的なバイパスを保証する」オプションは、「モード / IP 割り当て」メニューで「レイヤ 2 ブリッジ モード」を選択した場合のみ表示されます。ブリッジペアの 2 つのインターフェースの間に物理的なバイパス リレーがないかぎり、このオプションは表示されません。
「異常時の物理的なバイパスを保証する」オプションを有効にすると、他の「レイヤ 2 ブリッジ モード」オプションも自動的に次のように設定されます。
|
•
|
すべての非 IPv4 トラフィックを遮断する - 無効。このオプションが有効の場合、すべての非 IPv4 イーサネット フレームが遮断されます。そのため、このオプションは無効になります。
|
|
•
|
このブリッジ ペアにトラフィックをルーティングしない - 有効。このオプションが有効の場合、ブリッジ ペアのピア ネットワーク以外に向けてパケットがルーティングされるのを防ぎます。そのため、このオプションは有効になります。
|
|
•
|
このブリッジ ペアのトラフィックのみスニフする - 無効。このオプションが有効の場合、ブリッジ ペアのインターフェースで受信したトラフィックは一切転送されません。そのため、このオプションは無効になります。
|
|
•
|
このブリッジ ペアでステートフル インスペクションを無効にする - 変更しない。このオプションは影響を受けません。
|
|
1
|
「ネットワーク > インターフェース」ページに移動します。
|
|
2
|
|
3
|
「異常時の物理的なバイパスを保証する」チェックボックスをオンにします。
|
|
4
|
「OK」を選択してインターフェースを設定します。
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
この時点で、許可されたトラフィックであると確認された場合、そのパケットが送信先へと転送されます。パケットの送信パスには次の処理が含まれます。
|
•
|
|
•
|
|
•
|
一般的な管理の過程で、またはサブインターフェースの作成手順でゾーンを作成する際、ゾーンの作成ページに、そのゾーンに対する GroupVPN の自動作成を制御するチェックボックスが表示されます。既定では、新たに作成された無線タイプのゾーンについてのみ、「GroupVPN を生成する」が有効になっています。なお、このオプションは、他のゾーン タイプでもゾーンの作成時にチェックボックスをオンにすることで有効化できます。
異なるワークグループ間のゲートウェイ アンチウイルスおよび侵入防御サービスは、保護セグメントごとに専用の物理インターフェースを用意しなくても、VLAN のセグメント化によって容易に達成できます。
レイヤ 2 ブリッジ モード向けにも設定されているインターフェースでの VPN 設定時には、着信 VPN トラフィックが適切にファイアウォールを通過するように追加のルートを設定する必要があります。「ネットワーク > ルーティング」ページに移動し、ページの下方までスクロールして、「追加」ボタンを選択します。「ルート ポリシーの追加」ウィンドウで、ルートを次のように設定します。
|
•
|
送信元:すべて
|
|
•
|
送信先:個別の VPN アドレス オブジェクト (これはローカル VPN トンネルの IP アドレス範囲を表すアドレス オブジェクトです)
|
|
•
|
サービス:すべて
|
|
•
|
ゲートウェイ:0.0.0.0
|
|
•
|
