第14章インターフェースの設定

ネットワーク＞インターフェース

「ネットワーク＞インターフェース」ページには、物理インターフェースに直接リンクされたインターフェースオブジェクトが含まれます。ＳｏｎｉｃＯＳのインターフェースアドレス指定方式は、ネットワークゾーンおよびアドレスオブジェクトと連動しています。「ネットワーク＞インターフェース」ページに表示されるインターフェースは、ＳｏｎｉｃＷＡＬＬ装置の種類によって異なります。以下の図に示すページは、ＳｏｎｉｃＷＡＬＬＴＺ１００または２００Ｗｉｒｅｌｅｓｓ-Ｎ装置のものです。

この章は、次のセクションから構成されています。

･「セットアップウィザード」

･「インターフェース設定」

･「インターフェーストラフィック統計」

･「物理インターフェースと仮想インターフェース」

･「ＳｏｎｉｃＯＳのセキュリティ保護されるオブジェクト」

セットアップウィザード

「セットアップウィザード」ボタンを選択すると、「セットアップウィザード」画面が表示されます。セットアップウィザードの指示に従って、ＳｏｎｉｃＷＡＬＬセキュリティ装置のインターネット接続を設定します。セットアップウィザードについては、第85章「ＳｏｎｉｃＷＡＬＬ装置でのインターネット接続の設定」を参照してください。

インターフェース設定

「インターフェース設定」テーブルには、各インターフェースに関する以下の情報がリストされます。

･名前－ご使用のＳｏｎｉｃＷＡＬＬセキュリティ装置のモデルに応じて、Ｘ０～Ｘ８、およびＷ０と表示されます。

補足　ＳｏｎｉｃＷＡＬＬＮＳＡ２４０では、Ｘ２が設定可能な唯一のギガビットインターフェースです。Ｘ０およびＸ１ギガビットインターフェースは、それぞれＬＡＮおよびＷＡＮ用です。ＴＺ２１０シリーズでは、Ｘ０とＸ１のみがギガビットインターフェースです。ＮＳＡ２４０では、Ｘ２のみがギガビットインターフェースです。

･ゾーン－既定で、ＬＡＮ、ＤＭＺ、ＷＡＮ、およびＷＬＡＮがリストされます。ゾーンが設定されると、この列に名前がリストされます。

･ＩＰアドレス－インターフェースに割り当てられたＩＰアドレス。

･サブネットマスク－サブネットに割り当てられたネットワークマスク。

･モード／ＩＰ割り当て－メインページには、インターフェースのゾーンタイプに基づいて、次のＩＰ割り当てタイプのうち１つが表示されます。

･非ＷＡＮ：静的、トランスペアレント、またはレイヤ２ブリッジモード。

･ＷＡＮ：静的、ＤＨＣＰ、ＰＰＰｏＥ、ＰＰＴＰ、またはＬ２ＴＰ。

･状況－リンクの状況と速度。

･コメント－ユーザ定義のコメント。

･設定－「設定」アイコン

を選択すると、「インターフェースの編集」ウィンドウが表示され、指定されたインターフェースの設定を行うことができます。

インターフェーストラフィック統計

「インターフェーストラフィック統計」テーブルには、設定されているすべてのインターフェースの送受信情報がリストされます。

ＳｏｎｉｃＷＡＬＬセキュリティ装置のすべてのインターフェースについて、以下の情報が表示されます。

･受信ユニキャストパケット数－インターフェースが受信したポイントツーポイント通信の数を示します。

･受信ブロードキャストパケット数－インターフェースが受信したマルチポイント通信の数を示します。

･受信バイト－インターフェースが受信したデータ量をバイト数で示します。

･送信ユニキャストパケット数－インターフェースが送信したポイントツーポイント通信の数を示します。

･送信ブロードキャストバイト－インターフェースが送信したマルチポイント通信の数を示します。

･送信バイト－インターフェースが送信したデータ量をバイト数で示します。

･省略されたＤＰＩ－ＤＰＩ検査をバイパスされたパケット数を示します。

現在の統計を消去するには、「ネットワーク＞インターフェース」ページの右上にある「クリア」ボタンを選択します。

物理インターフェースと仮想インターフェース

ＳｏｎｉｃＯＳのインターフェースは大きく次のように分けられます。

･物理インターフェース－物理インターフェースは、単一のポートにバインドされます。

･仮想インターフェース－仮想インターフェースは、サブインターフェースとして物理インターフェースに割り当てられ、複数のインターフェースに割り当てられたトラフィックを物理インターフェースが搬送できるようにします。

･ＰｏｒｔＳｈｉｅｌｄインターフェース－ＰｏｒｔＳｈｉｅｌｄインターフェースは、ＳｏｎｉｃＷＡＬＬＴＺシリーズとＳｏｎｉｃＷＡＬＬＮＳＡ２４０の機能です。これらの装置のＬＡＮポートは、任意の数だけ結合して単一のＰｏｒｔＳｈｉｌｅｄインターフェースにすることができます。

物理インターフェース

物理インターフェースは、送受信トラフィックを規定するアクセスルールの設定が可能なゾーンに割り当てる必要があります。セキュリティゾーンは、送受信トラフィックの経路として動作する各物理インターフェースにバインドされます。インターフェースがなければ、トラフィックはゾーンにアクセスしたり、ゾーンを出ていくことができません。

ゾーンの詳細については、「ゾーンの設定」を参照してください。

仮想インターフェース（ＶＬＡＮ）

仮想インターフェースは、物理インターフェースに割り当てられたサブインターフェースであり、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズセキュリティ装置でサポートされます。仮想インターフェースにより、１つの物理接続で複数のインターフェースを使用できます。

仮想インターフェースは、ゾーンの割り当て、ＤＨＣＰサーバ、ＮＡＴ、アクセルルールの管理など、物理インターフェースと同じ機能を数多く備えています。

仮想ローカルエリアネットワーク（ＶＬＡＮ）は、ＩＰヘッダーのタグ付けを使用することで、単一の物理ＬＡＮの中で複数のＬＡＮをシミュレートできるため、“タグベースのＬＡＮ多重テクノロジ”と表現できます。物理的に個別の、接続されていない２つのＬＡＮは、互いに完全に分かれています。２つの異なるＶＬＡＮについても同様ですが、ＶＬＡＮの場合、２つのＶＬＡＮは、同じ回線上に存在できます。ＶＬＡＮでは、このような仮想化を実現するＶＬＡＮ対応のネットワーキング機器が必要です。これらは、ネットワークの設計とセキュリティポリシーに従ってＶＬＡＮタグを認識、処理、削除、および挿入できるスイッチ、ルータ、およびファイアウォールです。

ＶＬＡＮは多くのさまざまな理由で役立ちますが、その理由の多くは、ＶＬＡＮが、物理的ではなく論理的なブロードキャストドメイン、つまりＬＡＮ境界を提供できる機能に基づいています。これは、大きな物理ＬＡＮを複数の小さな仮想ＬＡＮに分割する場合と、物理的に異なる複数のＬＡＮを論理的に連続する１つの仮想ＬＡＮにまとめる場合の、両方に該当します。この利点は、以下のとおりです。

･パフォーマンスの向上－論理的に分割された小さなブロードキャストドメインを作成することで、必要な送信先にのみブロードキャストを送信し、アプリケーショントラフィック用に多くの帯域幅を残せるため、ネットワーク全体の使用率が低下します。

･コストの減少－ブロードキャストのセグメント化は、かつてはルータで行われていたため、新たなハードウェアと設定が必要でした。ＶＬＡＮでは、ルータの機能的な役割は一変しました。通信の抑制目的で使用されるのではなく、必要に応じて、異なるＶＬＡＮ間の通信を促進するために使用されます。

･仮想ワークグループ－ワークグループは、マーケティング部門やエンジニアリング部門など、一般に情報を共有する論理単位です。効率上の理由で、ブロードキャストドメイン境界は、このような機能ワークグループに対応するように作成しますが、それが常に可能であるとはかぎりません。エンジニアリングユーザとマーケティングユーザが建物の同じ階（および同じワークグループスイッチ）を共有していて、入り混じっていることもあれば、その逆のこともあります。エンジニアリングチームが、構内全体に分散していることもあります。この状態を複雑な配線を駆使して解決するのはコストがかかり、絶えず行われる追加や移動を保守するのは不可能です。ＶＬＡＮでは、スイッチを簡単に再設定して、論理的なネットワーク配置をワークグループの要求に対応させることができます。

･セキュリティ－あるＶＬＡＮ上のホストは、別のＶＬＡＮ上のホストと、両者間の通信を促進するネットワーク機器がなければ通信できません。

サブインターフェース

ＳｏｎｉｃＯＳのＶＬＡＮサポートは、物理インターフェースの下にネストされる論理インターフェースである、サブインターフェースを使用して実現されます。一意のＶＬＡＮＩＤごとに、独自のサブインターフェースが必要です。セキュリティと管理上の理由で、ＳｏｎｉｃＯＳはＶＬＡＮトランクプロトコルに対応していません。代わりに、サポートされる各ＶＬＡＮを設定し、適切なセキュリティ機能を割り当てる必要があります。

補足　ＳｏｎｉｃＷＡＬＬに接続している他の機器からのトランクリンクで、ＶＴＰ（ＶＬＡＮＴｒｕｎｋｉｎｇ Protocol）やＧＶＲＰ（Generic ＶＬＡＮＲｅｇｉｓｔｒａｔｉｏｎ Protocol) などの動的なＶＬＡＮトランクプロトコルを使用しないでください。

ＶＬＡＮケーブルスイッチからのトランクリンクは、関連するＶＬＡＮＩＤをＳｏｎｉｃＷＡＬＬ上のサブインターフェースとして宣言し、それらを、物理インターフェースを設定する方法とほぼ同じ方法で設定することにより、サポートされます。言い換えると、サブインターフェースとして定義されたＶＬＡＮだけがＳｏｎｉｃＷＡＬＬによって処理され、それ以外は対象外として破棄されます。この方法の場合、トランクリンクの接続先であるＳｏｎｉｃＷＡＬＬ上の親物理リンクは従来のインターフェースとして動作し、同じリンク上に存在する可能性があるネイティブの（タグ付きでない）ＶＬＡＮトラフィックもサポートできます。また、親インターフェースは、“未定義”のままです。

ＶＬＡＮサブインターフェースは、ゾーンの割り当て、セキュリティサービス、ＧｒｏｕｐＶＰＮ、ＤＨＣＰサーバ、ＩＰヘルパー、ルーティング、ＮＡＴポリシーとアクセスルールの完全な制御など、物理インターフェースの大部分の機能と特徴を備えています。現在、ＶＬＡＮサブインターフェースから除外されている機能は、ＷＡＮ動的クライアントサポート、およびマルチキャストサポートです。プラットフォームごとにサポートされるサブインターフェースの最大数を次の表に示します。


プラットフォーム	サポートされるサブインターフェース数
ＮＳＡ２４０	10
ＮＳＡ２４００	25
ＮＳＡ３５００	50
ＮＳＡ４５００	200
ＮＳＡＥ５０００	300
ＮＳＡＥ５５００	400
ＮＳＡＥ６５００	500
ＮＳＡＥ７５００	512

ＳｏｎｉｃＯＳのセキュリティ保護されるオブジェクト

ＳｏｎｉｃＯＳのインターフェースアドレス指定方式は、ネットワークゾーンおよびアドレスオブジェクトと連動しています。この構造は、セキュリティが保護されるオブジェクトに基づいており、ＳｏｎｉｃＯＳ内のルールとポリシーでこれらのオブジェクトが使用されます。

セキュリティが保護されるオブジェクトには、物理インターフェースに直接リンクされ、「ネットワーク＞インターフェース」ページで管理されるオブジェクトが含まれます。アドレスオブジェクトは、「ネットワーク＞アドレスオブジェクト」ページで定義します。サービスおよびスケジュールオブジェクトは、ＳｏｎｉｃＷＡＬＬセキュリティ装置管理インターフェースの「ファイアウォール」セクションで定義し、ユーザオブジェクトは、ＳｏｎｉｃＷＡＬＬセキュリティ装置管理インターフェースの「ユーザ」セクションで定義します。

ゾーンは、ＳｏｎｉｃＯＳのセキュリティ保護されたオブジェクトの手法の、階層上の頂点にあたります。ＳｏｎｉｃＯＳには事前に定義されたゾーンがあり、これとは別に独自のゾーンを定義することもできます。事前定義ゾーンは、ＬＡＮ、ＤＭＺ、ＷＡＮ、ＷＬＡＮ、および個別です。ゾーンには複数のインターフェースを指定できますが、ＷＡＮゾーンは合計で２つのインターフェースに制限されています。「ネットワーク＞ＷＡＮ負荷分散」ページ上のＷＡＮフェイルオーバーと負荷分散の設定に応じて、ＷＡＮゾーン内では、いずれか一方または両方のＷＡＮインターフェースがアクティブにトラフィックを搬送できます。

ＳｏｎｉｃＷＡＬＬセキュリティ装置におけるＷＡＮフェイルオーバーおよび負荷分散の詳細については、「ネットワーク＞フェイルオーバーと負荷分散」を参照してください。

ゾーン設定レベルでは、ゾーンの「インターフェース間通信を許可する」設定により、許可を指示するゾーン内アクセスルールの作成に関する処理が自動的に行われます。ゾーン全体の総合的なアドレスオブジェクトと、ゾーンアドレスからゾーンアドレスへの許可を包括的に指示するアクセスルールが作成されます。

トランスペアレントモード

ＳｏｎｉｃＯＳのトランスペアレントモードでは、インターフェースを管理階層のトップレベルとして使用します。トランスペアレントモードは、一意のアドレス指定およびインターフェースルーティングをサポートします。

レイヤ２ブリッジモード

ＳｏｎｉｃＯＳファームウェアバージョン４.０以降には、ＳｏｎｉｃＷＡＬＬセキュリティ装置をあらゆるイーサネットネットワークに透過的に統合するための新しい手法として、Ｌ２（レイヤ２）ブリッジモードが備わっています。Ｌ２ブリッジモードは、ＳｏｎｉｃＷＡＬＬセキュリティ装置が、２つのインターフェース間で共通のサブネットを共有し、すべてのＩＰトラフィックに対してステートフルな精密パケット検査を実行できるという点で、見かけ上はＳｏｎｉｃＯＳのトランスペアレントモードに似ていますが、機能上は、より多目的な用途に対応しています。

Ｌ２ブリッジモードでは、セキュリティで保護された学習ブリッジ手法が採用されているため、他の多くの透過的なセキュリティ装置統合方式では処理できない種類のトラフィックを通過させ、検査することができます。Ｌ２ブリッジモードを使うと、既存のイーサネットネットワークに影響を与えずにＳｏｎｉｃＷＡＬＬセキュリティ装置を追加して、インラインの精密パケット検査機能をすべてのＩＰｖ４ＴＣＰとＵＤＰのトラフィックに提供することができます。このシナリオでは、ＳｏｎｉｃＷＡＬＬＵＴＭ装置がセキュリティを適用するためではなく、両方向のスキャン、ウィルスとスパイウェアの遮断、および侵入の阻止のために使用されます。

他の透過的なソリューションとは異なり、Ｌ２ブリッジモードは、ＩＥＥＥ８０２.１ＱＶＬＡＮ（ＳｏｎｉｃＷＡＬＬＮＳＡ装置上のもの）、ＳｐａｎｎｉｎｇＴｒｅｅＰｒｏｔｏｃｏｌ、マルチキャスト、ブロードキャスト、ＩＰｖ６を含む、すべての種類のトラフィックを通過させるため、いずれのネットワーク通信も中断されることはありません。

Ｌ２ブリッジモードの多目的性を示すもう１つの例が、このモードを使用してＩＰＳスニッファモードを設定できることです。ＩＰＳスニッファモードは、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置でサポートされ、ブリッジペアの１インターフェースを使用してスイッチ上のミラーリングされたポートからのネットワークトラフィックを監視します。ＩＰＳスニッファモードでは侵入検知が可能ですが、ＳｏｎｉｃＷＡＬＬセキュリティ装置がトラフィックフローにインラインで接続されていないため、悪意のあるトラフィックを遮断することはできません。ＩＰＳスニッファモードの詳細については、「ＩＰＳスニッファモード」を参照してください。

Ｌ２ブリッジモードは、既存のファイアウォールが存在し、既存のファイアウォールを変更する計画が当面はなく、一方でＳｏｎｉｃＷＡＬＬ統合脅威管理（ＵＴＭ）精密パケット検査のセキュリティ機能（侵入防御サービス、ゲートウェイアンチウィルス、ゲートウェイアンチスパイウェアなど）を追加する必要のあるネットワークにとって理想的なソリューションです。ＳｏｎｉｃＷＡＬＬＵＴＭセキュリティサービスを購読していない場合は、ＳｏｎｉｃＷＡＬＬの「セキュリティサービス＞概要」ページで無料トライアルに申し込むことができます。

Ｌ２ブリッジモードは高可用性を備えた配備でも使用できます。このシナリオについては、「高可用性を備えたレイヤ２ブリッジモード」セクションで説明します。

以下のセクションを参照してください。

･「ＳｏｎｉｃＯＳレイヤ２ブリッジモードの主要な機能」

･「Ｌ２ブリッジモードとトランスペアレントモードの設定に関連した重要な概念」

･「Ｌ２ブリッジモードとトランスペアレントモードの比較」

･「Ｌ２ブリッジパスの決定」

･「Ｌ２ブリッジインターフェースゾーンの選択」

･「サンプルトポロジ」

ＳｏｎｉｃＯＳレイヤ２ブリッジモードの主要な機能

次の表は、レイヤ２ブリッジモードの主要な機能とその利点をまとめたものです。


機能	利点
精密パケット検査を備えたＬ２ブリッジング	アドレスの再割り当てや再構成を行うことなく、ＳｏｎｉｃＷＡＬＬセキュリティ装置をあらゆるネットワークに追加でき、かつ、既存のネットワークデザインを変更することなく、精密パケット検査のセキュリティサービスを追加できるトランスペアレントな処理手法です。Ｌ２ブリッジモードは、セキュリティと同程度に接続性を重視して設計され、あらゆる種類のイーサネットフレームを通過させることができるため、シームレスな統合が可能となります。
セキュリティで保護された学習ブリッジ手法	許可されているすべてのトラフィックがＬ２ブリッジを介してネイティブに通過できなければ、真のＬ２動作とは言えません。Ｌ２ブリッジモード以外のトランスペアレント処理手法は、透過性を実現するためにＡＲＰやルート操作に依存しており、そのことが原因で問題が生じることも少なくありません。これに対し、Ｌ２ブリッジモードでは、ネットワークのトポロジを動的に学習することによって最適なトラフィックパスが決定されます。
あらゆるイーサネットフレームタイプのサポート	すべてのイーサネットトラフィックがＬ２ブリッジを通過できます。つまり、どのようなネットワーク通信も中断されることはありません。その他多くのトランスペアレント処理手法がＩＰｖ４トラフィックしかサポートしていないのに対し、Ｌ２ブリッジモードは、すべてのＩＰｖ４トラフィックを検査した上で、その他すべてのトラフィック（ＬＬＣ、全Ｅｔｈｅｒｔｙｐｅ、独自フレーム形式など）を通過させるか、必要であれば遮断します。
混在モード処理	Ｌ２ブリッジモードは、Ｌ２ブリッジに加え、従来のセキュリティ装置のサービス（ルーティング、ＮＡＴ、ＶＰＮ、無線動作など）を同時に提供します。したがって、ネットワークの特定のセグメントではＬ２ブリッジとして使用しながら、それ以外のセグメントにはセキュリティサービス一式をすべて提供するといったことも可能です。ＳｏｎｉｃＷＡＬＬセキュリティ装置をピュアＬ２ブリッジとして導入しておき、将来、必要に応じて完全なセキュリティサービス動作に移行させることもできます。
無線レイヤ２ブリッジ	ＬＡＮ、ＷＬＡＮ、ＤＭＺ、または個別ゾーンなど、複数のゾーンタイプにわたって単一のＩＰサブネットを使用します。この機能により、無線クライアントと有線クライアントは、ＤＨＣＰアドレスなどの同じネットワークリソースをシームレスに共有できます。レイヤ２プロトコルは、対になったインターフェース間での実行が可能であり、ブロードキャストパケットや非ＩＰパケットなど、複数のトラフィックタイプがブリッジを通過できるようにします。

Ｌ２ブリッジモードとトランスペアレントモードの設定に関連した重要な概念

Ｌ２ブリッジモードの運用と設定について言及する際、次のような用語が使用されます。

･Ｌ２ブリッジモード－ＳｏｎｉｃＷＡＬＬセキュリティ装置の設定手法の１つです。ＳｏｎｉｃＷＡＬＬをインラインで既存のネットワークに追加でき、トランスペアレントモードを超える完全な透過性を実現します。レイヤ２ブリッジモードは、ブリッジペアのセカンダリブリッジインターフェースに対して選択されたネットワークモード設定と言うこともできます。

･トランスペアレントモード－ＳｏｎｉｃＷＡＬＬセキュリティ装置の設定方法の１つです。自動的に適用されるＡＲＰとルーティングロジックを使用し、単一のＩＰサブネットを複数のインターフェースにスパニングすることにより、ＩＰを設定し直すことなく、ＳｏｎｉｃＷＡＬＬを既存のネットワークに追加できるようにします。

･ネットワークモード－保護インターフェース（ＬＡＮ）またはパブリックインターフェース（ＤＭＺ）を設定するとき、インターフェースのネットワークモードとして、次のいずれかを選択できます。

･静的－インターフェースのＩＰアドレスを手動で入力します。

･トランスペアレントモード－インターフェースのＩＰアドレスが、ＷＡＮプライマリＩＰサブネット範囲内のアドレスオブジェクト（ホスト、範囲、またはグループ）を使って割り当てられ、ＷＡＮインターフェースから、割り当てられているインターフェースへとサブネットを効果的にスパニングすることができます。

･レイヤ２ブリッジモード－このモードで設定されたインターフェースは、同じブリッジペアのプライマリブリッジインターフェースに対するセカンダリブリッジインターフェースになります。このブリッジペアは、完全なＬ２透過性を備えた２ポートの学習ブリッジのように振る舞い、それを通過するすべてのＩＰトラフィックは完全なステートフルフェイルオーバーと精密パケット検査の対象となります。

･ブリッジペア－プライマリブリッジインターフェースとセカンダリブリッジインターフェースの組み合わせから成る論理的なインターフェースです。ここで言うプライマリとセカンダリは、本質的な動作上の優位性や主従関係を表すものではありません。どちらのインターフェースも絶えずそれぞれのゾーンタイプに従って扱われ、設定されているアクセスルールに従ってＩＰトラフィックを通過させます。ブリッジペアを通過する非ＩＰｖ４トラフィックは、セカンダリブリッジインターフェースの「すべての非ＩＰｖ４トラフィックをブロックする」の設定によって制御されます。サポートされるブリッジペアの数は、利用可能なインターフェースのペアに依存します。つまり、ブリッジペアの最大数は、プラットフォーム上の物理インターフェース数を２で割った値になります。ブリッジペアに属しているからといって、インターフェースの従来の動作が妨げられることはありません。例えば、Ｘ１が、Ｘ３をセカンダリブリッジインターフェースとするブリッジペアのプライマリブリッジインターフェースとして設定されている場合、Ｘ１は、同時にプライマリＷＡＮとしての従来の役割を果たし、自動的に追加されるＸ１の既定ＮＡＴポリシーを介して、インターネット宛てのトラフィックのＮＡＴ変換を実行できます。

･プライマリブリッジインターフェース－セカンダリブリッジインターフェースと対をなすインターフェースの呼称です。プライマリブリッジインターフェースは、非保護ゾーン（ＷＡＮ）、保護ゾーン（ＬＡＮ）、パブリックゾーン（ＤＭＺ）のいずれかに所属することができます。

･セカンダリブリッジインターフェース－「ネットワークモード」が「レイヤ２ブリッジモード」に設定されたインターフェースの呼称です。セカンダリブリッジインターフェースは、保護ゾーン（ＬＡＮ）またはパブリックゾーン（ＤＭＺ）に所属することができます。

･ブリッジ管理アドレス－プライマリブリッジインターフェースのアドレスは、ブリッジペアの両方のインターフェースによって共有されます。プライマリブリッジインターフェースがプライマリＷＡＮインターフェースとしても機能する場合、ＳｏｎｉｃＷＡＬＬの発信通信（ＮＴＰなど）やライセンスマネージャの更新には、このアドレスが使用されます。また、混在モードの配備において、ブリッジペアのいずれかのセグメントに接続されたホストが、そのゲートウェイとしてブリッジ管理アドレスを使用する場合もあります。

･ブリッジパートナー－ブリッジペアの“もう一方の”インターフェースを指す用語です。

･非ＩＰｖ４トラフィック－ＳｏｎｉｃＯＳは、ＩＣＭＰ（１）、ＩＧＭＰ（２）、ＴＣＰ（６）、ＵＤＰ（１７）、ＧＲＥ（４７）、ＥＳＰ（５０）、ＡＨ（５１）、ＥＩＧＲＰ（８８）、ＯＳＰＦ（８９）、ＰＩＭ-ＳＭ（１０３）、Ｌ２ＴＰ（１１５）の各ＩＰプロトコルタイプをサポートしています。ＣｏｍｂａｔＲａｄｉｏＴｒａｎｓｐｏｒｔＰｒｏｔｏｃｏｌ（１２６）などの特殊なＩＰタイプやＩＰＸ、（現時点では）ＩＰｖ６などの非ＩＰｖ４トラフィックタイプについては、ＳｏｎｉｃＷＡＬＬでネイティブに処理することはできません。非ＩＰｖ４トラフィックは、Ｌ２ブリッジモードの設定により通過させるか破棄することができます。

･キャプティブブリッジモード－Ｌ２ブリッジ動作のこのオプションモードでは、Ｌ２ブリッジに到着したトラフィックを非ブリッジペアインターフェースに転送することができません。既定では、Ｌ２ブリッジのロジックにより、Ｌ２ブリッジに到着したトラフィックはＡＲＰおよびルーティングテーブルによって決定される最適なパスに従って送信先に転送されます。場合によっては、こうした最適なパスで非ブリッジペアインタフェースへのルーティングやＮＡＴ変換が必要になることがあります。キャプティブブリッジモードを有効にすると、Ｌ２ブリッジに到着するトラフィックは論理的に最適なパスを取ることなくＬ２ブリッジを出て行きます。一般に、このモードの動作が必要になるのは、冗長なパスが存在する複雑なネットワークでパスの厳守が求められる場合に限られます。キャプティブブリッジモードは、インターフェースの編集ウィンドウ上で「このブリッジペアにトラフィックをルーティングしない」を選択することで有効にします。

･ピュアＬ２ブリッジトポロジ－ネットワークにインラインセキュリティを提供することを目的とし、ＳｏｎｉｃＷＡＬＬを厳密なＬ２ブリッジモードで使用することをいいます。つまり、ブリッジペアの一方の側に着信したトラフィックは常にもう一方の側に宛てて送出されます。異なるインターフェースを介してルーティングまたはＮＡＴ変換されることはありません。既に境界セキュリティ装置が存在する場合や、既存のネットワークの特定のパス（部門間または２つのスイッチ間のトランクリンクなど）に沿ったインラインセキュリティが求められる場合に用いられる代表的なトポロジです。ピュアＬ２ブリッジトポロジは機能的な制約を意味するものではなく、むしろ混成環境における一般的な配備を表すトポロジ上の概念と言えます。

･混在モードトポロジ－ＳｏｎｉｃＷＡＬＬを介した受信／送信のポイントがブリッジペア以外にも存在する配備をいいます。つまり、ブリッジペアの一方の側に着信したトラフィックは、異なるインターフェースを介してルーティングまたはＮＡＴ変換されることもあります。例えば、次のような環境が既に整っているとき、同時にＳｏｎｉｃＷＡＬＬを使用することで、１つまたは複数のブリッジペアにセキュリティを提供できます。

･ブリッジペアまたは他のインターフェース上のホストに対する境界セキュリティ（ＷＡＮ接続など）。

･保護（ＬＡＮ）インターフェースやパブリック（ＤＭＺ）インターフェースなど、追加のセグメントに対するファイアウォールやセキュリティサービス。この場合、これらのセグメント上のホストと、ブリッジペア上のホストとの間で通信を行うことになります。

･ＳｏｎｉｃＰｏｉｎｔとの無線サービス。この場合、無線クライアントと、ブリッジペア上のホストとの間で通信が行われます。

Ｌ２ブリッジモードとトランスペアレントモードの比較

Ｌ２ブリッジモードとトランスペアレントモードのこの比較には、以下のセクションが含まれます。

･「トランスペアレントモードでのＡＲＰ」

･「トランスペアレントモードのＶＬＡＮサポート」

･「トランスペアレントモードでの複数サブネット」

･「トランスペアレントモードの非ＩＰｖ４トラフィック」

･「単純なトランスペアレントモードトポロジ」

･「Ｌ２ブリッジモードでのＡＲＰ」

･「Ｌ２ブリッジモードでのＶＬＡＮサポート」

･「Ｌ２ブリッジのＩＰパケットパス」

･「Ｌ２ブリッジモードでの複数サブネット」

･「Ｌ２ブリッジモードでの非ＩＰｖ４トラフィック」

･「Ｌ２ブリッジモードとトランスペアレントモードの比較」

･「Ｌ２ブリッジモードにはないトランスペアレントモードのメリット」

･「Ｌ２ブリッジモードとＣＳＭ装置の比較」

トランスペアレントモードでは、ＳｏｎｉｃＯＳが実行されているセキュリティ装置を、アドレスの再割り当てなしに既存のネットワークに導入できます。これに対し、Ｌ２ブリッジモードには、特にＡＲＰ、ＶＬＡＮサポート、複数サブネット、非ＩＰｖ４トラフィックタイプなどに関して、ある程度の中断を伴います。次の図は、統合に伴う中断を最小限に抑えることを優先し、トランスペアレントモードのＳｏｎｉｃＷＡＬＬ装置をネットワークに追加したところです。この構成の特徴を次に示します。

･予定外のダウンタイムがまったく発生しないか、発生したとしても無視できるほど小さい。

･ネットワークのどの部分にもアドレスの再割り当てが不要。

･（ルータがＩＳＰによって所有されている場合によく見られるような）ゲートウェイルータの再設定や変更が不要。

トランスペアレントモードでのＡＲＰ

トランスペアレントモードでは、ＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ：ネットワークインターフェースカードの一意のハードウェアアドレスとＩＰアドレスとを関連付けるメカニズム）がプロキシされます。左側のワークステーションまたはサーバが、過去にルータ（１９２.１６８.０.１）のＭＡＣアドレスを００：９９：１０：１０：１０：１０に解決したことがある場合、これらのホストがＳｏｎｉｃＷＡＬＬを介して通信を行うためには、このキャッシュされたＡＲＰエントリがクリアされている必要があります。これは、ＳｏｎｉｃＷＡＬＬが、トランスペアレントモード動作のインターフェースに接続されているホストに代わって、ゲートウェイのＩＰ（１９２.１６８.０.１）をプロキシ（つまり、代理で応答する）するためです。したがって、左側のワークステーションが１９２.１６８.０.１の解決を試みるためにＡＲＰ要求を送信すると、ＳｏｎｉｃＷＡＬＬが自分のＸ０のＭＡＣアドレス（００：０６：Ｂ１：１０：１０：１０）を返すことによって応答します。

同様に、ＳｏｎｉｃＷＡＬＬがそのＸ１（プライマリＷＡＮ）インターフェースでＡＲＰ要求を受信した場合、トランスペアレントモードのインターフェースに割り当てられたトランスペアレント範囲（１９２.１６８.０.１００～１９２.１６８.０.２５０）に指定されているＩＰアドレスを対象にＡＲＰのプロキシを行います。ルータが過去にサーバ（１９２.１６８.０.１００）のＭＡＣアドレスを００：ＡＡ：ＢＢ：ＣＣ：ＤＤ：ＥＥに解決したことがある場合、ＳｏｎｉｃＷＡＬＬを介してホストと通信するためには、このキャッシュされたＡＲＰエントリがクリアされている必要があります。通常、そのためには、管理インターフェースを使用するか、再起動することによって、ルータのＡＲＰキャッシュを消去する必要があります。ルータのＡＲＰキャッシュがクリアされると、このルータは、１９２.１６８.０.１００に対する新しいＡＲＰ要求を送信できます。ＳｏｎｉｃＷＡＬＬは、それに対する応答として、Ｘ１のＭＡＣアドレスである００：０６：Ｂ１：１０：１０：１１を返します。

トランスペアレントモードのＶＬＡＮサポート

上図のネットワークは単純なものですが、ＶＬＡＮを使ってトラフィックをセグメント化する大規模なネットワークでは決して珍しくありません。スイッチとルータ間のリンクがＶＬＡＮトランクであるようなネットワークの場合、リンクのいずれかの側のサブインターフェースへのＶＬＡＮを、トランスペアレントモードのＳｏｎｉｃＷＡＬＬで終端させることはできますが、一意のアドレス割り当てが必要となります。つまり、非トランスペアレントモードの動作となるため、少なくとも一方の側のアドレスを再割り当てする必要があります。これは、トランスペアレントモードのアドレス空間の送信元として使用できるのはプライマリＷＡＮインターフェースだけであるためです。

トランスペアレントモードでの複数サブネット

大規模なネットワークでは、単一の有線上、複数の有線上、別個のＶＬＡＮ上、またはそれらを組み合わせた回線上で、複数のサブネットが使用されることも少なくありません。トランスペアレントモードは、静的ＡＲＰエントリとルートエントリを使って複数のサブネットをサポートできます（Ｔｅｃｈｎｏｔｅ
〈 http://www.sonicwall.com/us/support/2134_3468.html〉を参照）が、そのプロセスは簡単ではありません。

トランスペアレントモードの非ＩＰｖ４トラフィック

トランスペアレントモードでは、非ＩＰｖ４トラフィックがすべて破棄（および通常はログに記録）されるため、他の種類のトラフィック（ＩＰＸなど、処理されないＩＰタイプ）が通過することはできません。

Ｌ２ブリッジモードでは、こうしたトランスペアレントモード配備の一般的な問題を解決できます。この点については、次のセクションで説明します。

単純なトランスペアレントモードトポロジ

Ｌ２ブリッジモードでのＡＲＰ

Ｌ２ブリッジモードには、どのホストが、Ｌ２ブリッジ（ブリッジペア）のどのインターフェース上に存在するかを動的に調査する学習ブリッジ設計が採用されています。ＡＲＰはネイティブに通過します。つまり、Ｌ２ブリッジを介して通信を行うホストからは、そのピアの実際のホストＭＡＣアドレスが見えます。例えば、ルータ（１９２.１６８.０.１）と通信しているワークステーションは、ルータを００：９９：１０：１０：１０：１０として認識し、ルータはワークステーション（１９２.１６８.０.１００）を００：ＡＡ：ＢＢ：ＣＣ：ＤＤ：ＥＥとして認識します。

この動作により、Ｌ２ブリッジモードで動作するＳｏｎｉｃＷＡＬＬは、物理的な挿入に伴う一時的な中断を除けば、ほとんどのネットワーク通信を中断させることなく、既存のネットワークに導入できます。

なお、Ｌ２ブリッジモードのＳｏｎｉｃＷＡＬＬを挿入した場合は、ストリームベースのＴＣＰプロトコル通信（クライアントとサーバ間のＦＴＰセッションなど）を再度確立する必要があります。これは、ステートフルパケット検査（ＳＰＩ）が提供するセキュリティを維持することを目的とした設計によるものです。ＳＰＩエンジンは、自分より前に存在していたＴＣＰ接続に関する情報を持ちません。そのため、これらの確立済みのパケットはログイベント（存在しない接続または終了済みの接続でＴＣＰパケットが受信されたために、そのＴＣＰパケットは破棄されたなど）を伴って破棄されます。

Ｌ２ブリッジモードでのＶＬＡＮサポート

ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置のＬ２ブリッジモードでは、Ｌ２ブリッジを通過する８０２.１ＱＶＬＡＮトラフィックをきめ細かく制御できます。ＶＬＡＮの既定の処理では、カプセル化されたトラフィックに、あらゆるファイアウォールルール、および、ステートフル精密パケット検査を適用しながら、Ｌ２ブリッジを通過するすべての８０２.１ＱＶＬＡＮタグが許可および維持されます。さらに、Ｌ２ブリッジでは、許可／禁止されたＶＬＡＮＩＤのホワイト／ブラックリストを指定することも可能です。

例えば、任意の数のＶＬＡＮを持つＶＬＡＮトランクに対し、Ｌ２ブリッジモードで動作するＳｏｎｉｃＷＡＬＬをインラインで挿入し、いずれのＶＬＡＮＩＤまたはサブネットにも明示的な設定を施すことなく、そのＶＬＡＮを通過するすべてのＩＰｖ４トラフィックに完全なセキュリティサービスを提供できます。ＶＬＡＮトラフィックの処理手法により、必要であれば、Ｌ２ブリッジモード経由で通過するすべてのＶＬＡＮトラフィックにファイアウォールのアクセスルールを適用することもできます。

Ｌ２ブリッジのＩＰパケットパス

次に、上のフロー図のイベントシーケンスについて説明します。

1. ８０２.１Ｑカプセル化フレームがＬ２ブリッジインターフェースに到着します（この最初のステップ、次のステップ、および最後のステップは、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置でサポートされている８０２.１ＱＶＬＡＮトラフィックにのみ当てはまります）。

2. ８０２.１ＱＶＬＡＮＩＤがＶＬＡＮＩＤのホワイト／ブラックリストと照らしてチェックされます。

･ＶＬＡＮＩＤが禁止されていた場合、パケットは破棄されてログに記録されます。

･ＶＬＡＮＩＤが許可されていた場合、パケットのカプセル化が解除され、ＶＬＡＮＩＤが格納されて、内部パケット（ＩＰヘッダーを含む）がフルパケットハンドラを介して渡されます。

3. Ｌ２ブリッジでは任意の数のサブネットがサポートされるため、パケットの送信元ＩＰに対して、送信元ＩＰスプーフィングチェックが実行されます。ファイアウォールアクセスルールを使って特定のサブネットだけをサポートするようにＬ２ブリッジを設定することもできます。

4. ＳＹＮフラッドチェックが実行されます。

5. 適切なファイアウォールアクセスルールを適用するため、送信先ゾーンに対して送信先ルート調査が実行されます。送信元ゾーンと同じゾーン（ＬＡＮからＬＡＮなど）、非保護ゾーン（ＷＡＮ）、暗号化（ＶＰＮ）、無線（ＷＬＡＮ）、マルチキャスト、任意のタイプの個別ゾーンを含め、すべてのゾーンが有効な送信先になります。

6. ＮＡＴ調査が実行され、必要に応じて適用されます。

･一般に、Ｌ２ブリッジに到達したパケットの送信先はブリッジパートナーインターフェース（つまり、ブリッジのもう一方の側）になります。この場合、変換は一切実行されません。

･混在モードのトポロジで多く見られるように、Ｌ２ブリッジ管理アドレスがゲートウェイである場合、ＮＡＴが必要に応じて適用されます。詳細については、「Ｌ２ブリッジパスの決定」セクションを参照してください。

7. パケットにファイアウォールアクセスルールが適用されます。例えば、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置の場合、次のパケットデコードは、ＶＬＡＮＩＤ１０、送信元ＩＰアドレス１１０.１１０.１１０.１１０、送信先ＩＰアドレス４.２.２.１のＩＣＭＰパケットを示しています。

ＶＬＡＮのメンバーシップに関係なく、どのＩＰ要素（送信元ＩＰ、送信先ＩＰ、サービス種別など）でも任意のＩＰパケットを制御するファイアウォールアクセスルールを作成できます。禁止されたパケットは破棄されてログに記録されます。許可されたパケットは引き続き処理されます。

8. パケットに対する接続キャッシュエントリが作成され、必要に応じてＮＡＴ変換が実行されます。

9. ＴＣＰ、ＶｏＩＰ、ＦＴＰ、ＭＳＮ、Ｏｒａｃｌｅ、ＲＴＳＰのほか、メディアストリーム、ＰＰＴＰ、およびＬ２ＴＰに対するステートフルパケット検査および変換が実行されます。禁止されたパケットは破棄されてログに記録されます。許可されたパケットは引き続き処理されます。

10. ＧＡＶ、ＩＰＳ、アンチスパイウェア、CFS、電子メールフィルタなどの精密パケット検査が実行されます。禁止されたパケットは破棄されてログに記録されます。許可されたパケットは引き続き処理されます。設定されている場合、クライアント警告通知が実行されます。

11. パケットの宛先が暗号化ゾーン（ＶＰＮ）、非保護ゾーン（ＷＡＮ）、またはその他の接続インターフェース（非保護ゾーンとその他の接続インターフェースは、通常、混在モードトポロジの場合に該当）であった場合、パケットは適切なパスを介して送信されます。

12. パケットの宛先がＶＰＮ／ＷＡＮ／接続インターフェースではなかった場合、保存されていたＶＬＡＮタグが復元され、（再び元のＶＬＡＮタグを持った）パケットが

ブリッジパートナーインターフェースへと送出されます。

Ｌ２ブリッジモードでの複数サブネット

前述したように、Ｌ２ブリッジモードでは、ブリッジを介して任意の数のサブネットを処理できます。既定では、すべてのサブネットが許可されますが、アクセスルールを適用してトラフィックを制御することも可能です。

Ｌ２ブリッジモードでの非ＩＰｖ４トラフィック

既定では、サポートされないトラフィックが、Ｌ２ブリッジインターフェースからブリッジパートナーインターフェースへと渡されます。これにより、ＬＬＣパケット（ＳｐａｎｎｉｎｇＴｒｅｅなど）や他のＥｔｈｅｒＴｙｐｅ（ＭＰＬＳラベルスイッチパケット（ＥｔｈｅｒＴｙｐｅ０ｘ８８４７）、Ａｐｐｌｅｔａｌｋ（ＥｔｈｅｒＴｙｐｅ０ｘ８０９ｂ）、ＢａｎｙａｎＶｉｎｅｓ（ＥｔｈｅｒＴｙｐｅ０ｘｂａｄ））など、ＩＰｖ４以外のトラフィックを通過させることができます。これらの非ＩＰｖ４パケットはブリッジを通過するだけで、パケットハンドラによって検査されることも、制御されることもありません。これらのトラフィックタイプが不要である場合は、「セカンダリブリッジインターフェース」設定ページの「すべての非ＩＰｖ４トラフィックをブロックする」オプションを有効にすることで、ブリッジの動作を変更できます。

Ｌ２ブリッジモードとトランスペアレントモードの比較


項目	レイヤ２ブリッジモード	トランスペアレントモード
動作のレイヤ	レイヤ２（ＭＡＣ）	レイヤ３（ＩＰ）
ＡＲＰ動作	ＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）の情報は変更されません。ＭＡＣアドレスはそのままの形でＬ２ブリッジを通過します。ＳｏｎｉｃＷＡＬＬのＭＡＣアドレスを宛先とするパケットは処理され、それ以外のパケットは通過します。送信元と送信先が学習されてキャッシュされます。	ＡＲＰは、トランスペアレントモードで動作するインターフェースによってプロキシされます。
パスの決定	ブリッジペアのいずれかの側のホストが、動的に学習されます。インターフェースの関連付けを宣言する必要はありません。	プライマリＷＡＮインターフェースは、常にトランスペアレントモードトラフィックおよびサブネット空間決定のマスター受信／送信ポイントになります。このサブネット空間を透過的に共有するホストは、アドレスオブジェクトの割り当てを使用して明示的に宣言されている必要があります。
最大インターフェース数	２つ（プライマリブリッジインターフェースおよびセカンダリブリッジインターフェース）。	複数のインターフェース。マスターインターフェースは常にプライマリＷＡＮになります。利用可能なインターフェースさえあれば、従属トランスペアレントインターフェースの数に制限はありません。
最大ペア数	最大数ブリッジペア数は、利用可能な物理インターフェース数に依存します。これは、“複数の１対１ペアリング”と考えることができます。	トランスペアレントモードでは、複数のインターフェースが同時にプライマリＷＡＮに対するトランスペアレントパートナーとして動作することはできますが、これは単にプライマリＷＡＮのサブネットを他のインターフェースにスパニングしているに過ぎません。これは、“単一の１対１ペアリング”または“単一の１対多ペアリング”と考えることができます。
ゾーンの制限	プライマリブリッジインターフェースは、非保護、保護、パブリックのいずれかになります。セカンダリブリッジインターフェースは、保護またはパブリックのいずれかになります。	トランスペアレントモードペアのインターフェースは、１つの非保護インターフェース（ペアのサブネットのマスターとしてのプライマリＷＡＮ）と、１つ以上の保護／パブリックインターフェース（ＬＡＮまたはＤＭＺなど）で構成されている必要があります。
サポートされるサブネット数	任意の数のサブネットがサポートされます。サブネットへのトラフィックまたはサブネットからのトラフィックは、ファイアウォールアクセスルールを作成することによって制御できます。	既定の設定では、トランスペアレントモードでサポートされるサブネット数は１つだけです（つまり、プライマリＷＡＮに割り当てられ、プライマリＷＡＮからスパニングされるサブネット）。ＡＲＰエントリおよびルートを使用して、サブネットを手動で追加することはできます。
非ＩＰｖ４トラフィック	既定では、セカンダリブリッジインターフェースの設定ページで無効にされていない限り、すべての非ＩＰｖ４トラフィックが、ブリッジペアインターフェースからそのブリッジパートナーインターフェースへとブリッジされます。これには、ＩＰｖ６トラフィック、ＳＴＰ（ＳｐａｎｎｉｎｇＴｒｅｅＰｒｏｔｏｃｏｌ）、および識別不能のＩＰタイプも含まれます。	トランスペアレントモードでは非ＩＰｖ４トラフィックは処理されません。破棄されてログに記録されます。
ＶＬＡＮトラフィック	ＶＬＡＮトラフィックはＬ２ブリッジを介して渡され、ステートフル精密パケット検査エンジンによって完全に検査されます。	ＶＬＡＮサブインターフェースを作成し、トランスペアレントモードアドレスオブジェクトを割り当てることはできますが、ＶＬＡＮはそのまま通過するのではなく、ＳｏｎｉｃＷＡＬＬで終端されます。
ＶＬＡＮサブインターフェース	ブリッジペアインターフェース上でＶＬＡＮサブインターフェースを作成することはできます。ただし、ＶＬＡＮフレーム内の送信先ＩＰアドレスが、ＳｏｎｉｃＷＡＬＬ上のＶＬＡＮサブインターフェースのＩＰアドレスと一致しない限り、ＶＬＡＮサブインターフェースは、ブリッジを介してブリッジパートナーへと渡されます。両者のアドレスが一致した場合は（例えば、管理トラフィックとして）処理されます。	トランスペアレントモードで動作する物理インターフェースにＶＬＡＮサブインターフェースを割り当てることはできますが、動作モードはその親に依存しません。これらのＶＬＡＮサブインターフェースに、トランスペアレントモードアドレスオブジェクトを割り当てることもできますが、ＶＬＡＮサブインターフェースはそのまま通過するのではなく終端されます。
ＰｏｒｔＳｈｉｅｌｄインターフェース	Ｌ２ブリッジペアのいずれのインターフェースにもＰｏｒｔＳｈｉｅｌｄインターフェースを割り当てることはできません。	ＰｏｒｔＳｈｉｅｌｄインターフェースにトランスペアレントモード範囲を割り当てることができます。
動的アドレッシング	プライマリブリッジインターフェースをＷＡＮゾーンに割り当てることはできますが、プライマリブリッジインターフェースに対しては静的アドレッシングしか行えません。	トランスペアレントモードでは、プライマリＷＡＮがマスターインターフェースとして使用されますが、トランスペアレントモードでは静的アドレッシングしか許可されません。
ＶＰＮサポート	ルート設定を１つ追加することでＶＰＮ動作がサポートされます。詳細については、「レイヤ２ブリッジモードでのＶＰＮ統合」セクションを参照してください。	ＶＰＮ動作がサポートされます。特別な設定要件はありません。
ＤＨＣＰサポート	ＤＨＣＰはブリッジペアを通過できます。	トランスペアレントモードで動作するインターフェースは、ＤＨＣＰサービスを提供するか、ＩＰヘルパーを使ってＤＨＣＰを通過させることができます。
ルーティングとＮＡＴ	Ｌ２ブリッジペアと他のパス間のトラフィックはインテリジェントにルーティングされます。既定では、ブリッジペアインターフェースからブリッジパートナーへのトラフィックはＮＡＴ変換されませんが、他のパスへのトラフィックを必要に応じてＮＡＴ変換することもできます。必要に応じて独自のルートおよびＮＡＴポリシーを追加できます。	トラフィックは他のパスとの間でインテリジェントにルーティングされます。既定では、ＷＡＮとトランスペアレントモードインターフェース間のトラフィックはＮＡＴ変換されませんが、他のパスへのトラフィックを必要に応じてＮＡＴ変換することもできます。必要に応じて独自のルートおよびＮＡＴポリシーを追加できます。
ステートフルパケット検査	ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置のＶＬＡＮトラフィックなど、Ｌ２ブリッジを通過するすべてのサブネットのすべてのＩＰｖ４トラフィックには、完全なステートフルパケット検査が適用されます。	トランスペアレントモードアドレスオブジェクトの割り当てによって定義されたサブネットへのトラフィックおよびサブネットからのトラフィックには、完全なステートフルパケット検査が適用されます。
セキュリティサービス	すべてのセキュリティサービス（GAV、IPS、アンチスパイ、CFS）が完全にサポートされます。これには、標準的なＩＰトラフィックと８０２.１Ｑカプセル化ＶＬＡＮトラフィックがすべて含まれます。	トランスペアレントモードアドレスオブジェクトの割り当てによって定義されたサブネットとの間で、すべてのセキュリティサービス（GAV、IPS、アンチスパイ、CFS）が完全にサポートされます。
ブロードキャストトラフィック	ブロードキャストトラフィックは、受信したブリッジペアインターフェースからブリッジパートナーインターフェースへと渡されます。	ブロードキャストトラフィックは破棄されてログに記録されます。ただし、ＮｅｔＢＩＯＳについては、ＩＰヘルパーによって処理される場合があります。
マルチキャストトラフィック	「ファイアウォール＞マルチキャスト」ページでマルチキャストが有効にされている場合、マルチキャストトラフィックは検査され、Ｌ２ブリッジペアを介して渡されます。ＩＧＭＰメッセージングには依存せず、個々のインターフェースでマルチキャストサポートを有効にする必要はありません。	「ファイアウォール＞マルチキャスト」ページでマルチキャストが有効にされており、かつ、関連するインターフェースでマルチキャストサポートが有効になっている場合、マルチキャストトラフィック（ＩＧＭＰに依存）は検査され、トランスペアレントモードで渡されます。

Ｌ２ブリッジモードにはないトランスペアレントモードのメリット

トランスペアレントモードがＬ２ブリッジモードよりも優れている点を次に示します。

･Ｌ２ブリッジペアでは最大２つのインターフェースしか許容されない。３つ以上のインターフェースを同じサブネット上で運用する必要がある場合は、トランスペアレントモードを検討することをお勧めします。

･Ｌ２ブリッジペア内ではＰｏｒｔＳｈｉｅｌｄインターフェースが動作しない可能性がある。同じサブネット上でＰｏｒｔＳｈｉｅｌｄインターフェースを運用する必要がある場合は、トランスペアレントモードを検討することをお勧めします。

･ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置でサポートされているＶＬＡＮサブインターフェースは、Ｌ２ブリッジペア内で動作しない可能性があります。同じサブネット上でＶＬＡＮサブインターフェースを運用する必要がある場合は、トランスペアレントモードを検討することをお勧めします。ただし、ブリッジペアに属したインターフェース上でＶＬＡＮサブインターフェースを設定することはできます。その場合、サブインターフェースは、あらゆる点でブリッジペアとは無関係に動作します。

Ｌ２ブリッジモードとＣＳＭ装置の比較

Ｌ２ブリッジモードは、トランスペアレントモードというよりも、機能上はＣＳＭに似ていますが、ＶＬＡＮおよび非ＩＰｖ４トラフィックタイプを処理できるという点で、これらの処理に対応していない現状のＣＳＭ動作とは異なります。ＣＳＭの将来のバージョンのＳｏｎｉｃＯＳＣＦソフトウェアでは、Ｌ２ブリッジモードと同様、より多彩なトラフィック処理機能が採用される可能性もあります。

Ｌ２ブリッジパスの決定

ＳｏｎｉｃＷＡＬＬがブリッジペアインターフェースで受信したパケットは、適切かつ最適なパスに沿って送信先へと転送されなければなりません。そのパスはブリッジパートナーである場合もあれば、その他の物理インターフェース（またはサブインターフェース）である場合もあります。あるいはＶＰＮトンネルである場合も考えられます。同様に、ブリッジペア上の特定のホスト宛てに、他のパス（物理、仮想、またはＶＰＮ）から到達したパケットは、適切なブリッジペアインターフェースを介して送出される必要があります。以下は、こうした状況下で、パス決定に適用されるロジックを順に説明したものです。

1. 送信先に対して、

既定以外の最も限定的なルートが存在する場合は、そのルートが選択されます。例えば、次のようなケースが該当します。

a. ホスト１５.１.１.１００サブネット宛てのパケットがＸ３（非Ｌ２ブリッジＬＡＮ）に到達した。ここで、１５.１.１.０／２４サブネットへのルートが、Ｘ０（セカンダリブリッジインターフェース、ＬＡＮ）インターフェースを介し、１９２.１６８.０.２５４を経由したパスに存在する。この場合、パケットは、Ｘ０を介して、送信先ＩＰアドレス１５.１.１.１００を持つ、１９２.１６８.０.２５４の送信先ＭＡＣアドレスに転送されます。

b. ホスト１０.０.１.１００宛てのパケットがＸ４（プライマリブリッジインターフェース、ＬＡＮ）に到達した。ここで、１０.０.１.０／２４へのルートが、Ｘ５（ＤＭＺ）インターフェースを介し、１９２.１６８.１０.５０を経由したパスに存在する。この場合、パケットは、Ｘ５を介して、送信先ＩＰアドレス１０.０.１.１００を持つ、１９２.１６８.１０.５０の送信先ＭＡＣアドレスに転送されます。

2. 送信先への特定のルートが存在しない場合は、送信先ＩＰアドレスを調べるために、ＡＲＰキャッシュ調査が実行されます。キャッシュエントリと比較した結果、一致が見つかった場合、適切な送信先インターフェースが判明します。例えば、次のようなケースが該当します。

a. ホスト１９２.１６８.０.１００（Ｌ２プライマリブリッジインターフェースＸ２上に存在）宛てのパケットがＸ３（非Ｌ２ブリッジＬＡＮ）に到着した。この場合、パケットはＸ２を介し、ＡＲＰキャッシュから取得された既知の送信先ＭＡＣおよびＩＰアドレス（１９２.１６８.０.１００）に転送されます。

b. Ｘ５（ＤＭＺ）上のホスト１０.０.１.１０宛てのパケットが、Ｘ４（プライマリブリッジインターフェース、ＬＡＮ）に到着した。この場合、パケットはＸ５を介し、ＡＲＰキャッシュから取得された既知の送信先ＭＡＣおよびＩＰアドレス（１０.０.１.１０）に転送されます。

3. ＡＲＰエントリが見つからない場合は、次の処理が行われます。

a. パケットがブリッジペアインターフェースに到着した場合、そのパケットはブリッジパートナーインターフェースに送信されます。

b. パケットが他のパスから到着する場合、ＳｏｎｉｃＷＡＬＬが、ブリッジペアの両方のインターフェースにＡＲＰ要求を送出して、送信先ＩＰが存在するセグメントを特定します。

最後のケースでは、ＡＲＰ応答を受信するまでは送信先が不明であるため、それまでは送信先ゾーンも判明しません。したがって、パスが決定するまで、ＳｏｎｉｃＷＡＬＬは適切なアクセスルールを適用できません。パスが決定された時点で、後続の関連するトラフィックに対して適切なアクセスルールが適用されます。

Ｌ２ブリッジペアインターフェースに到着したトラフィックのアドレス変換（ＮＡＴ）については、次のように処理されます。

1. ブリッジパートナーインターフェースに向けて送出されることが確定している場合、ＩＰ変換（ＮＡＴ）は実行されません。

2. 異なるパスに向けて送出されることが決まっている場合は、次の規則に従って適切なＮＡＴポリシーが適用されます。

a. パスが別の接続（ローカル）インターフェースである場合、変換が実行される可能性は低くなります。つまり、事実上、

最終的な措置として、「すべて->元のＮＡＴポリシー」に従ってルーティングされます。

b. パスがＷＡＮを経由することが確定している場合、既定の「

自動的に追加された［インターフェース］発信ＮＡＴポリシー - Ｘ１ＷＡＮ」が適用され、インターネットへの配信のためにパケットの送信元が変換されます。これは、（「内部セキュリティ」セクションの図にあるような）混在モードトポロジの場合によく見られます。

Ｌ２ブリッジインターフェースゾーンの選択

ブリッジペアインターフェースのゾーンの割り当ては、実際のネットワークのトラフィックフロー要件に従って行う必要があります。トランスペアレントモードでは、送信元インターフェースをプライマリＷＡＮとし、トランスペアレントインターフェースを保護またはパブリックとすることで“高保護から低保護へと保護レベルが推移していくシステム”をある意味強制的に実現しています。これに対し、Ｌ２ブリッジモードでは保護の運用レベルをより細かく制御できます。例えば、Ｌ２ブリッジモードでは、プライマリブリッジインターフェースとセカンダリブリッジインターフェースを同じゾーンに割り当てることも、異なるゾーンに割り当てることもできます（ＬＡＮ＋ＬＡＮ、ＬＡＮ＋ＤＭＺ、ＷＡＮ＋ＣｕｓｔｏｍＬＡＮなど）。この点は、トラフィックに適用される既定のアクセスルールだけでなく、ブリッジを通過するトラフィックに対する精密パケット検査セキュリティサービスの適用方法にも影響します。ブリッジペアで使用するインターフェースを選択して構成する際、考慮すべき重要な要素として、セキュリティサービス、アクセスルール、およびＷＡＮ接続があります。

セキュリティサービスの方向性

Ｌ２ブリッジモードを中心とした配備では、ブリッジペアインターフェースに対するゾーンを適切に選択するために、セキュリティサービスの適用性を理解することが大切です。セキュリティサービスの適用性は、次のような基準に基づいて決定されます。

サービスの方向：

･ＧＡＶは、主にインバウンドサービスです。ＨＴＴＰ、ＦＴＰ、ＩＭＡＰ、ＳＭＴＰ、ＰＯＰ３、ＴＣＰのインバウンドストリームが検査されます。ＳＭＴＰについてはアウトバウンド要素もあります。

･アンチスパイウェアは、主にインバウンドです。インバウンドのＨＴＴＰ、ＦＴＰ、ＩＭＡＰ、ＳＭＴＰ、ＰＯＰ３が検査され、通常はクラスＩＤによって識別されたスパイウェアコンポーネントの配信（取得など）の有無がチェックされます。これとは別にアウトバウンドコンポーネントも存在します。スパイウェアコンポーネントの認識をトリガーするＩＰＳシグネチャに固有の方向性（すなわち“送信”）と対比して、ここでは“アウトバウンド”という用語を用いています。通常、これらのコンポーネントは、インターネット上のウェブサーバ（ＷＡＮホスト）から、クライアント（ＬＡＮホストなど）によってＨＴＴＰ経由で取得されるため、送信の分類基準（以下の表を参照）が使用されます。以下の表でいうと、これは送信接続に該当し、送信方向に分類されるシグネチャが必要となります。

･ＩＰＳには、着信、送信、両方向の３つの方向があります。着信と送信は以下の表に記載したとおりです。両方向とは、表において交差するすべてのポイントを指します。

･精度を高めるため、接続状態（ＳＹＮまたは確立済みなど）やフローにおけるパケットの送信元（開始側または応答側）など、他の要素も考慮されます。

トラフィックの方向：ＩＰＳに関連したトラフィックの方向は、主にトラフィックフローの送信元および送信先ゾーンによって決まります。通常、ＳｏｎｉｃＷＡＬＬがパケットを受信すると、そのパケットの送信元ゾーンが即座に判明し、その送信先ゾーンも、ルート（またはＶＰＮ）調査を実行することによってすぐに判別されます。

パケットの方向性は、その送信元と送信先に基づき、

着信と送信（インバウンド／アウトバウンドと混同しないようにしてください）のいずれかに分類されます。この決定には、次の基準が用いられます。


送信先送信元	非保護	パブリック	無線	暗号化	保護	マルチキャスト
非保護	着信	着信	着信	着信	着信	着信
パブリック	送信	送信	送信	着信	着信	着信
無線	送信	送信	信頼	信頼	信頼	着信
暗号化	送信	送信	信頼	信頼	信頼	送信
保護	送信	送信	信頼	信頼	信頼	送信

表のデータは変更される場合があります。

この分類に加えて、あるゾーンから別のゾーンへと、より高い信頼性を持って転送されるパケットは、本質的に高レベルのセキュリティ（ＬＡＮ｜無線｜暗号化<-->ＬＡＮ｜無線｜暗号化）が確保されていることを表す、特別な

信頼という種別に分類されます。信頼として分類されたトラフィックには、すべてのシグネチャが適用されます（着信、送信、および両方向）。

シグネチャの方向：これは、主にＩＰＳに関連したものです。各シグネチャには、ＳｏｎｉｃＷＡＬＬのシグネチャ開発チームにより方向が割り当てられます。これは、擬陽性を最小限に抑えるための最適化措置として行われます。シグネチャには、次の方向があります。

･着信－着信および信頼に適用されます。シグネチャの大半は着信です。これには、アプリケーションの脆弱性を狙ったあらゆる形態の攻撃のほか、列挙やフットプリンティングといった、あらゆる試みが含まれます。シグネチャの約８５％は着信です。

･送信－送信および信頼に適用されます。送信に分類されるシグネチャの例としては、ＩＭやＰ２Ｐのログイン試行のほか、悪性の応答（攻撃の応答など）などがあります。シグネチャの約１０％は送信です。

･両方向－すべてに適用されます。例えば、両方向のシグネチャには、ＩＭファイル転送、各種ＮｅｔＢＩＯＳ攻撃（Ｓａｓｓｅｒの通信など）、各種ＤｏＳ攻撃（ポート０宛てのＵＤＰ／ＴＣＰトラフィックなど）があります。シグネチャの約５％は両方向です。

ゾーンの適用：シグネチャがトリガーされるためには、必要なセキュリティサービスが、経路上のゾーンの少なくとも１つで有効になっている必要があります。例えば、インターネット（Ｘ１、ＷＡＮ）上のホストがマイクロソフトターミナルサーバ（Ｘ３、セカンダリブリッジインターフェース、ＬＡＮ）にアクセスしている場合、ＩＰＳがＷＡＮ、ＬＡＮ、またはその両方で有効になっていれば、着信のシグネチャである“ＩＰＳ検出警告：ＭＩＳＣＭＳターミナルサーバ要求、ＳＩＤ：４３６、優先順位：低”がトリガーされます。

既定のアクセスルール

既定では、ゾーン対ゾーンのアクセスルールが使用されます。必要に応じて変更することもできますが、既定のアクセスルールをお勧めします。既定のアクセスルールを次に示します。

ＷＡＮ接続

ライセンス、セキュリティサービスに使用するシグネチャのダウンロード、ＮＴＰ（時刻の同期）、ＣＦＳ（コンテンツフィルタサービス）などのスタック通信には、インターネット（ＷＡＮ）接続が必要です。現時点では、これらの通信は、プライマリＷＡＮインターフェース経由でしか行うことができません。これらのタイプの通信が必要な場合、プライマリＷＡＮにインターネットへのパスが必要です。プライマリＷＡＮがブリッジペアに属しているかどうかは、これらのスタック通信を提供する機能に影響しません（例えば、ＰＲＯ４１００では、Ｘ０＋Ｘ２およびＸ３＋Ｘ４を使用することにより、Ｘ１とは分離された２つのブリッジペアを作成できます）。

補足　インターネット接続が利用できない場合、ライセンシングやシグネチャの更新を手動で実行することもできます。詳細については、〈http://www.sonicwall.com/us/support/2134_4170.html〉を参照してください。

サンプルトポロジ

次の図は、一般的な配備を表すサンプルトポロジです。インラインレイヤ２ブリッジモードでは、ＳｏｎｉｃＷＡＬＬセキュリティ装置が追加されて、既にファイアウォールが備わっているネットワークでＵＴＭサービスを提供します。境界セキュリティでは、ＳｏｎｉｃＷＡＬＬセキュリティ装置がピュアＬ２ブリッジモードで既存のネットワークに追加されており、ＳｏｎｉｃＷＡＬＬはネットワークの境界付近に配置されています。内部セキュリティでは、ＳｏｎｉｃＷＡＬＬセキュリティ装置が混在モードで完全統合されており、Ｌ２ブリッジ、ＷＬＡＮサービス、およびＮＡＴ変換によるＷＡＮアクセスを同時に提供します。高可用性を備えたレイヤ２ブリッジモードは、ＳｏｎｉｃＷＡＬＬＨＡペアがＬ２ブリッジと共に高可用性を提供する混在モードシナリオを表しています。ＳＳＬＶＰＮを備えたレイヤ２ブリッジモードは、ＳｏｎｉｃＷＡＬＬＡｖｅｎｔａｉｌＳＳＬＶＰＮまたはＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮシリーズ装置がＬ２ブリッジモードと組み合わせて配備されているシナリオを表しています。

以下のセクションを参照してください。

･「高可用性を備えたレイヤ２ブリッジモード」

･「ＳＳＬＶＰＮを備えたレイヤ２ブリッジモード」

無線レイヤ２ブリッジ

無線モードでは、無線（ＷＬＡＮ）インターフェースのＬＡＮまたはＤＭＺゾーンへのブリッジ後、ＷＬＡＮゾーンがセカンダリブリッジインターフェースになり、無線クライアントが同等の有線クライアントと同じサブネットおよびＤＨＣＰプールを共有できるようになります。

ＷＬＡＮからＬＡＮへのレイヤ２インターフェースブリッジを設定するには、次の手順に従います。

手順 1　ＳｏｎｉｃＯＳ管理インターフェースの「ネットワーク＞インターフェース」ページに移動します。

手順 2　ブリッジの対象とする無線インターフェースの設定アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 3　「ネットワークモード」として「レイヤ２ブリッジモード」を選択します。

補足　ＷＬＡＮゾーンと選択したブリッジインターフェースとの間のトラフィックを許可する一般的なルールが自動的に作成されますが、ＷＬＡＮゾーンタイプのセキュリティポリシーが依然として適用されます。限定的なルールがあれば手動で追加する必要があります。

手順 4　ＷＬＡＮの「ブリッジ先」となるインターフェースを選択します。この例では、Ｘ０（既定のＬＡＮゾーン）を選択します。

手順 5　残りのオプションは通常どおりに設定します。ＷＬＡＮインターフェースの設定方法については、「無線インターフェースの設定」セクションを参照してください。

インラインレイヤ２ブリッジモード

この方式は、既にファイアウォールが備わっているネットワークで、ネットワークに大きな変更を加えずにＳｏｎｉｃＷＡＬＬのＵＴＭサービスを利用したいという場合に便利です。ＳｏｎｉｃＷＡＬＬをレイヤ２ブリッジモードで使用することにより、Ｘ０およびＸ１インターフェースが同じブロードキャストドメイン／ネットワーク（Ｘ１ＷＡＮインターフェース）の一部になります。

この例は、ＨｅｗｌｅｔｔＰａｃｋａｒｄＰｒｏＣｕｒｖｅスイッチング環境にインストールされたＳｏｎｉｃＷＡＬＬＵＴＭ装置を表しています。ＳｏｎｉｃＷＡＬＬはＨＰのＰｒｏＣｕｒｖｅＡｌｌｉａｎｃｅのメンバーです。詳細については、〈http://www.procurve.com/alliance/members/sonicwall.htm〉を参照してください。

ＨＰのＰｒｏＣｕｒｖｅＭａｎａｇｅｒＰｌｕｓ（ＰＣＭ＋）およびＨＰＮｅｔｗｏｒｋＩｍｍｕｎｉｔｙＭａｎａｇｅｒ（ＮＩＭ）サーバソフトウェアパッケージを使用すると、ＳｏｎｉｃＷＡＬＬＵＴＭ装置の諸機能やスイッチを管理できます。

このシナリオに合わせてＳｏｎｉｃＷＡＬＬ装置を設定するには、「ネットワーク＞インターフェース」ページに移動し、Ｘ０ＬＡＮインターフェースの設定アイコンを選択します。「Ｘ０設定」ページで、「ネットワークモード」を「レイヤ２ブリッジモード」に設定し、「ブリッジ先：」インターフェースを「Ｘ１」に設定します。また、インターフェースがＨＴＴＰおよびＳＮＭＰ用に設定されていて、ＰＣＭ＋／ＮＩＭでＤＭＺから管理できるようになっていることも確認します。「ＯＫ」を選択すると、変更内容が保存されて有効になります。

ＬＡＮからＷＡＮへのトラフィックおよびＷＡＮからＬＡＮへのトラフィックが許可されるようにファイアウォールアクセスルールを変更することも必要です。そうしないと、トラフィックがうまく通りません。ＤＭＺ上にＰＣＭ＋／ＮＩＭサーバがある場合は、ファイアウォール上でルーティング情報に変更を加える必要もあるかもしれません。

境界セキュリティ

次の図は、セキュリティサービスの提供を目的に、ＳｏｎｉｃＷＡＬＬを境界部分に追加したネットワークを表しています（ＳｏｎｉｃＷＡＬＬとルータ間には既存のファイアウォールがあってもなくてもかまいません)。

通常、このシナリオでは、ＳｏｎｉｃＷＡＬＬの下にあるものすべて（プライマリブリッジインターフェースセグメント）は、ＳｏｎｉｃＷＡＬＬの左側にあるものすべて（セカンダリブリッジインターフェースセグメント）と比べて信頼レベルが低いと考えることができます。そのため、Ｘ１（プライマリＷＡＮ）をプライマリブリッジインターフェースとして使用するのが適切です。

セカンダリブリッジインターフェース（ＬＡＮ）に接続されたホストからのアウトバウンドトラフィックは、ＳｏｎｉｃＷＡＬＬを介して（Ｌ３スイッチ上のＶＬＡＮインターフェースとルータを順に通過して）ゲートウェイへと出ていくことが許可されます。一方、プライマリブリッジインターフェース（ＷＡＮ）からのインバウンドトラフィックは既定では通過できません。

セカンダリブリッジインターフェース（ＬＡＮ）セグメントにメールサーバやウェブサーバなどのパブリックサーバが存在する場合、ＷＡＮからＬＡＮへのトラフィックを許可するアクセスルールを追加することによって、特定のＩＰアドレスおよびサービスについては、これらのサーバへのインバウンドトラフィックを許可することができます。

内部セキュリティ

この図は、ＳｏｎｉｃＷＡＬＬが境界セキュリティ機器およびセキュアワイヤレスプラットフォームとして機能するネットワークを表しています。同時に、ワークステーションまたはサーバのアドレスを再割り当てすることなく、ワークステーションセグメントとサーバセグメント間のＬ２ブリッジセキュリティが実現されています。

ＳｏｎｉｃＷＡＬＬは、ブリッジおよびルーティング／ＮＡＴを同時に行うことができますが、この配備例は、それを象徴する典型的な部門間混在モードトポロジと言えます。プライマリブリッジインターフェース（サーバ）セグメントとセカンダリブリッジインターフェース（ワークステーション）セグメントとの間を行き来するトラフィックは、Ｌ２ブリッジを通過することになります。

ブリッジペアの両方のインターフェースが保護（ＬＡＮ）ゾーンに割り当てられているため、次の原則が成り立ちます。

･既定ではすべてのトラフィックが許可されます。ただし、必要に応じてアクセスルールを作成することも可能です。

試しに、Ｘ２（プライマリブリッジインターフェース）をパブリック（ＤＭＺ）ゾーンに割り当てたらどうなるかを考えてみます。この場合、すべてのワークステーションはサーバに到達することができますが、サーバからワークステーションへの通信を開始することはできません。これでトラフィックフローの要件が満たされる（ワークステーションからサーバへのセッションを開始するなど）場合もありますが、望ましくない影響が２点ほど生じます。

a. ＤＨＣＰサーバがＤＭＺに存在した場合、ワークステーションからのＤＨＣＰ要求はＬ２ブリッジを介してＤＨＣＰサーバ（１９２.１６８.０.１００）に到達できますが、既定ではＤＭＺからＬＡＮへのアクセスがアクセスルールによって拒否されるため、サーバからのＤＨＣＰＯＦＦＥＲは破棄されてしまいます。アクセスルールを追加するか、既定のアクセスルールを変更して、ＤＭＺからＬＡＮへのこのトラフィックを許可する必要があります。

b. ワークステーションからサーバへのトラフィックは、送信元が保護ゾーンで送信先がパブリックゾーンであるため、セキュリティサービスの方向性は

送信として分類されます。着信または（理想的には）信頼の分類に比べると、調査の水準が低くなるという点で、これは次善の選択肢と言えます。

･セキュリティサービスの方向性は信頼として分類されます。また、すべてのシグネチャ（着信、送信、および両方向）が適用され、どちらのセグメントにも最高水準のセキュリティが提供されます。

レイヤ２ブリッジモードでインターフェースを設定する詳細な手順については、「レイヤ２ブリッジモードの設定」を参照してください。

高可用性を備えたレイヤ２ブリッジモード

この方式は、高可用性とレイヤ２ブリッジモードの両方が望まれるネットワークに適しています。この例は、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置の場合であり、ＶＬＡＮを設定したスイッチの使用を想定しています。

ＳｏｎｉｃＷＡＬＬＨＡペアは、ポートＸ５（指定のＨＡポート）で互いに接続された２つのＳｏｎｉｃＷＡＬＬＮＳＡ３５００装置から成っています。各装置のポートＸ１は、通常のＷＡＮ接続用に設定されており、その機器の管理インターフェースへのアクセスに使用されます。レイヤ２ブリッジモードは、ポートＸ０からポートＸ２へのブリッジによって実装されています。

このシナリオを設定する際には、ＳｏｎｉｃＷＡＬＬとスイッチの両方について注意すべき事柄がいくつかあります。

ＳｏｎｉｃＷＡＬＬ装置に関するもの：

･高可用性を設定するときに仮想ＭＡＣオプションを有効にしないでください。レイヤ２ブリッジモード設定では、この機能は使われません。

･このようなインライン環境で先制モードを有効にするのはお勧めできません。先制モードが必要な場合は、スイッチのドキュメントに書かれている推奨事項に従ってください。ここではトリガとフェイルオーバーの時間値が重要な役割を果たすからです。

･管理ネットワーク用のインターフェース（この例ではＸ１を使用）を確保することを検討してください。プローブやその他の理由でブリッジインターフェースにＩＰアドレスを割り当てる必要がある場合、ＳｏｎｉｃＷＡＬＬではセキュリティと管理のためにスイッチに割り当てた管理ＶＬＡＮネットワークの使用を推奨しています。ＨＡ用に割り当てたＩＰアドレスが実際のトラフィックフローと直接に相互作用することはありません。

スイッチに関するもの：

･複数のタグポートの使用。先ほどの図に示してあるように、エッジスイッチ（ポート２３および２４）とコアスイッチ（Ｃ２４－Ｄ２４）の両方でＶＬＡＮ１００用に２つのタグ（８０２.１ｑ）ポートが作成されています。この２つのスイッチの間でＮＳＡ３５００装置がインラインで接続されています。高パフォーマンス環境では、リンク集約／ポートトランキング、ＤｙｎａｍｉｃＬＡＣＰ、またはこのような配備（ＯＳＰＦを使用）のために指定された完全に独立したリンクの使用が通常は推奨され、スイッチごとのフォールトトレランスを考慮する必要があります。詳細については、スイッチのドキュメントを参照してください。

･ＨＰＰｒｏＣｕｒｖｅスイッチでは、２つのポートが同じＶＬＡＮでタグ付けされた場合、そのポートグループは自動的にフェイルオーバー設定になります。その場合、一方のポートに障害が起きると、もう一方のポートがすぐに有効になります。

ＳＳＬＶＰＮを備えたレイヤ２ブリッジモード

このサンプルトポロジは、既存のＳｏｎｉｃＷＡＬＬＥＸシリーズＳＳＬＶＰＮまたはＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮネットワーク環境へのＳｏｎｉｃＷＡＬＬＵＴＭ機器の適切なインストールに適用されます。ＵＴＭ装置をレイヤ２ブリッジモードにすることにより、ＳＳＬＶＰＮ装置への内部のプライベートな接続でウィルス、スパイウェア、および侵入を両方向でスキャンできます。このシナリオでは、ＳｏｎｉｃＷＡＬＬＵＴＭ装置がセキュリティを適用するためではなく、両方向のスキャン、ウィルスとスパムの遮断、および侵入の阻止に使用します。正しくプログラムすれば、トラフィックの動作や内容が有害であると判断されない限り、ＵＴＭ装置がネットワークトラフィックを妨げることはありません。このセクションでは、ＳｏｎｉｃＷＡＬＬＵＴＭ装置の１ポート配備と２ポート配備の両方を取り扱います。

ＷＡＮからＬＡＮへのアクセスルール

この配備シナリオでは、ＵＴＭ装置をアンチウィルス、アンチスパイウェア、および侵入防御の実施ポイントとしてのみ使用するので、既存のセキュリティポリシーを修正して、ＷＡＮとＬＡＮの間で両方向でトラフィックが行き来できるようにする必要があります。

「ファイアウォール＞アクセスルール」ページで、ＷＡＮからＬＡＮへのトラフィックの共通部分の設定アイコンを選択します。既定のルール（ＷＡＮからＬＡＮへの非開始トラフィックが暗黙に遮断される）の横にある設定アイコンを選択します。

「ルールの編集」ウィンドウで、「動作」設定として「許可」を選択し、「ＯＫ」を選択します。

ネットワークインターフェースの設定とＬ２Ｂモードの有効化

このシナリオでは、ＷＡＮインターフェースを次の目的に使用します。

･管理者用の管理インターフェースへのアクセス

･ＭｙＳｏｎｉｃＷＡＬＬの購読サービスの更新

･機器の既定のルートとＳＳＬＶＰＮ装置の内部トラフィックの「次のホップ」（そのため、ＵＴＭ機器のＷＡＮインターフェースはＳＳＬＶＰＮ装置の内部インターフェースと同じＩＰセグメントにある必要があります）

ＵＴＭ装置のＬＡＮインターフェースは、ＳＳＬＶＰＮ装置の外部インターフェースから届く暗号化されていないクライアントトラフィックの監視に使用されます。このことは、（このＬＡＮインターフェースを既定のルートと見なすためにＳＳＬＶＰＮ装置の外部インターフェースを再構成する代わりに）レイヤ２ブリッジモードで実行する理由になっています。

ＳｏｎｉｃＯＳ管理インターフェースの「ネットワーク＞インターフェース」ページで、「ＷＡＮ」インターフェースの設定アイコンを選択してから、インターネットにアクセスできるアドレスをそこに割り当てることで、装置がシグネチャの更新を取得し、ＮＴＰと通信できるようにします。

ゲートウェイと内部／外部ＤＮＳアドレスの設定はＳＳＬＶＰＮ装置の設定と一致します。

･ＩＰアドレス：これはＳＳＬＶＰＮ装置の内部インターフェースのアドレスと一致しなければなりません。

･サブネットマスク、デフォルトゲートウェイ、ＤＮＳサーバ：これらのアドレスをＳＳＬＶＰＮ装置の設定と一致させます。

「管理」設定として、「ＨＴＴＰＳ」および「Ｐｉｎｇ」チェックボックスを選択します。「ＯＫ」を選択すると、変更内容が保存されて有効になります。

ＬＡＮインターフェースの設定を行うには、「ネットワーク＞インターフェース」ページに移動し、「ＬＡＮ」インターフェースの設定アイコンを選択します。

「ネットワークモード」設定として、「レイヤ２ブリッジモード」を選択します。「ブリッジ先」設定として、「Ｘ１」を選択します。

ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置でサポートされている、ＶＬＡＮタグ付きのトラフィックを通過させる必要もある場合は、「ＶＬＡＮフィルタリング」タブを選択し、通過させる必要のあるＶＬＡＮをすべて追加します。

「ＯＫ」を選択すると、変更内容が保存されて有効になります。ＵＴＭ装置の管理インターフェースから自動的に切断されることもあります。ここでＵＴＭ装置のＸ０インターフェースから管理用のラップトップまたはデスクトップを切断し、ネットワークに物理的に接続する前にＵＴＭ装置の電源を切ることができます。

ネットワークとＳＳＬＶＰＮ装置の間へのＳｏｎｉｃＷＡＬＬＵＴＭ装置のインストール

配備方式（シングルホームまたはデュアルホーム）に関係なく、ＳｏｎｉｃＷＡＬＬＵＴＭ装置をＳＳＬＶＰＮ装置のＸ０／ＬＡＮインターフェースと内部ネットワークへの接続との間に配置する必要があります。そうすることで、機器がＳｏｎｉｃＷＡＬＬのライセンスおよびシグネチャの更新サーバに接続したり、内部ネットワークリソースへのアクセスを要求する外部クライアントからの復号化されたトラフィックをスキャンしたりすることが可能になります。

ＳＳＬＶＰＮ装置がサードパーティのファイアウォールの背後にあって２ポートモードの場合、それはデュアルホームです。デュアルホームＳＳＬＶＰＮ装置を接続するには、次の手順に従います。

手順 1　ＵＴＭ装置のＸ０／ＬＡＮポートをＳＳＬＶＰＮ装置のＸ０／ＬＡＮポートにケーブルで接続します。

手順 2　ＵＴＭ装置のＸ１／ＷＡＮポートを、ＳＳＬＶＰＮを前に接続したポートにケーブルで接続します。

手順 3　ＵＴＭ装置の電源を入れます。

ＳＳＬＶＰＮ装置がサードパーティのファイアウォールのＤＭＺ内にあって１ポートモードの場合、それはシングルホームです。シングルホームＳＬＶＰＮ装置を接続するには、次の手順に従います。

手順 1　ＵＴＭ装置のＸ０／ＬＡＮポートをＳＳＬＶＰＮ装置のＸ０／ＬＡＮポートにケーブルで接続します。

手順 2　ＵＴＭ装置のＸ１／ＷＡＮポートを、ＳＳＬＶＰＮを前に接続したポートにケーブルで接続します。

手順 3　ＵＴＭ装置の電源を入れます。

設定の構成または確認

この段階で、ネットワーク内の管理ステーションからＵＴＭ装置の管理インターフェースにＷＡＮＩＰアドレスを使ってアクセスできるようになっているはずです。

ＳｏｎｉｃＷＡＬＬＵＴＭ装置のすべてのセキュリティサービスが有効になっていることを確認します。「サービスのライセンス取得」および「ゾーンごとのＵＴＭサービスの有効化」を参照してください。

機器をＳｏｎｉｃＷＡＬＬＡｖｅｎｔａｉｌＳＳＬＶＰＮ装置と共に配備する前に、ＳｏｎｉｃＷＡＬＬコンテンツフィルタサービスを無効にする必要があります。「ネットワーク＞ゾーン」ページで、ＬＡＮ（Ｘ０）ゾーンの横にある「設定」を選択し、「コンテンツフィルタサービスを強制する」チェックボックスをオフにし、「ＯＫ」を選択します。

ＳｏｎｉｃＷＡＬＬＵＴＭ装置での管理者パスワードをまだ変更していなければ、「システム＞管理」ページで変更することができます。

外部クライアントからのネットワークへのアクセスをテストするには、ＳＳＬＶＰＮ装置に接続し、ログインします。接続したら、内部ネットワークリソースへのアクセスを試みます。何か問題があれば、設定を確認し、「レイヤ２ブリッジモード配備における一般的な項目の設定」セクションを参照してください。

ＩＰＳスニッファモード

ＩＰＳスニッファモードは、ＳｏｎｉｃＷＡＬＬＮＳＡ２４００シリーズ以上の装置でサポートされており、侵入検知に使用されるレイヤ２ブリッジモードの一種です。ＩＰＳスニッファモードを設定して、ＳｏｎｉｃＷＡＬＬ装置のインターフェースをスイッチ上のミラーリングされたポートに接続してネットワークトラフィックを検査できます。一般に、メインゲートウェイ内部のスイッチでイントラネットのトラフィックを監視する目的でこのモードを使用します。

以下の図のネットワーク構成では、トラフィックはローカルネットワーク内のスイッチに流れ込み、スイッチのミラーポートを経由してＳｏｎｉｃＷＡＬＬセキュリティ装置のＩＰＳスニッファモードインターフェースにミラーリングされます。ＳｏｎｉｃＷＡＬＬ装置では、ブリッジペアで構成された統合脅威管理（ＵＴＭ）設定に従ってパケットが検査されます。警告が発行されると、ＳＮＭＰトラップがＳｏｎｉｃＷＡＬＬ装置の別のインターフェースから指定のＳＮＭＰマネージャに送信されます。ＳｏｎｉｃＷＡＬＬ装置で検査されたネットワークトラフィックは、検査終了後に破棄されます。

ＳｏｎｉｃＷＡＬＬ装置のＷＡＮインターフェースは、シグネチャ更新やその他のデータを取得するためにＳｏｎｉｃＷＡＬＬデータセンターに接続するために使用されます。

ＩＰＳスニッファモードでは、レイヤ２ブリッジが、ＳｏｎｉｃＷＡＬＬ上の同じゾーンにある２つのインターフェース (ＬＡＮ-ＬＡＮ、ＤＭＺ-ＤＭＺなど) の間に設定されます。個別ゾーンを作成してレイヤ２ブリッジに使用することもできます。ＷＡＮゾーンだけは、ＩＰＳスニッファモードでの使用に適していません。

その理由は、ＳｏｎｉｃＯＳはＬＡＮ-ＬＡＮトラフィックのような同じゾーン内のトラフィックのすべてのシグネチャを検出しますが、方向固有の（クライアント側対サーバ側）シグネチャの中には一部のＬＡＮ-ＷＡＮのケースに当てはまらないものがあるからです。

レイヤ２ブリッジの一方のインターフェースを、スイッチのミラーリングされたポートに接続できます。ネットワークトラフィックがスイッチに到達すると、トラフィックはミラーリングされたポートにも送信され、そこからＳｏｎｉｃＷＡＬＬに渡されて厳密なパケット検査を受けます。悪意のあるイベントが認められると警告とログ入力が開始され、ＳＮＭＰが有効な場合はＳＮＭＰトラップがＳＮＭＰマネージャシステムの設定済みＩＰアドレスに送信されます。このトラフィックは、実際にはレイヤ２ブリッジのもう一方のインターフェースまで進みません。ＩＰＳスニッファモードでは、ＳｏｎｉｃＷＡＬＬ装置はネットワークトラフィックに対してインラインに配置されません。トラフィックを検査する手段を提供するだけです。

「ネットワーク＞インターフェース」ページから表示できる「インターフェースの編集」画面には、ＩＰＳスニッファモードを設定するときに使用する「このブリッジペアのトラフィックのみスニフする」という新しいチェックボックスがあります。このチェックボックスをオンにすると、ＳｏｎｉｃＷＡＬＬ装置ではミラーリングされたスイッチポートを通じてＬ２ブリッジから送られてくるすべてのパケットを検査します。ＩＰＳスニッファモードを使う場合、ミラーリングされたスイッチポートからのトラフィックがネットワークに送り返されないように「このブリッジペアにトラフィックをルーティングしない」チェックボックスもオンにする必要があります。（「このブリッジペアにトラフィックをルーティングしない」設定は、キャプティブブリッジモードとして知られています。）

ＩＰＳスニッファモードでインターフェースを設定する詳細な手順については、「ＩＰＳスニッファモードの設定」を参照してください。

ＩＰＳスニッファモードのサンプルトポロジ

このセクションでは、ＨｅｗｌｉｔｔＰａｃｋａｒｄＰｒｏＣｕｒｖｅスイッチング環境でＳｏｎｉｃＷＡＬＬＩＰＳスニッファモードを使用するサンプルトポロジを示します。このシナリオは、脅威がやってくるポートを抑制したり閉じたりできるＨＰのＰｒｏＣｕｒｖｅＭａｎａｇｅｒＰｌｕｓ（ＰＣＭ＋）およびＨＰＮｅｔｗｏｒｋＩｍｍｕｎｉｔｙＭａｎａｇｅｒ（ＮＩＭ）サーバソフトウェアパッケージの機能に依存しています。

この方式は、既にファイアウォールが備わっているネットワークで、ＳｏｎｉｃＷＡＬＬのＵＴＭサービスをセンサーとして利用したい場合に便利です。

この配備では、ＷＡＮインターフェースおよびゾーンを内部ネットワークのアドレス指定方式用に設定し、内部ネットワークに接続します。Ｘ２ポートはＬＡＮポートにブリッジされたレイヤ２ですが、何にも接続されません。Ｘ０ＬＡＮポートはＨＰＰｒｏＣｕｒｖｅスイッチ上の特別にプログラムされた第２のポートに設定します。この特別なポートはミラーモード用に設定します。これは内部ユーザおよびサーバのポートをすべてＳｏｎｉｃＷＡＬＬの「スニッフ」ポートに転送します。それにより、ＳｏｎｉｃＷＡＬＬは内部ネットワークの全トラフィックを分析でき、ＵＴＭシグネチャをトリガするトラフィックがあれば、Ｘ１ＷＡＮインターフェースを通じてＰＣＭ＋／ＮＩＭサーバにただちにトラップするので、脅威がやってくるポートに対して処置を講じることができます。

この配備を設定するには、「ネットワーク＞インターフェース」ページに移動し、Ｘ２インターフェースの設定アイコンを選択します。「Ｘ２設定」ページで、「ネットワークモード」を「レイヤ２ブリッジモード」に設定し、「ブリッジ先：」インターフェースを「Ｘ０」に設定します。「このブリッジペアのトラフィックのみスニフする」チェックボックスを選択します。「ＯＫ」を選択すると、変更内容が保存されて有効になります。

次に、「ネットワーク＞インターフェース」ページに移動し、Ｘ１ＷＡＮインターフェースの設定アイコンを選択します。「Ｘ１設定」ページで、そこにネットワークの内部ＬＡＮセグメントの一意のＩＰアドレスを割り当てます。これは間違いのように思われるかもしれませんが、実はこれが装置を管理するインターフェースであり、しかも装置がＳＮＭＰトラップを送信するインターフェースであり、ＵＴＭシグネチャ更新を取得するインターフェースでもあります。「ＯＫ」を選択します。

また、ファイアウォールルールを変更して、ＬＡＮからＷＡＮ、およびＷＡＮからＬＡＮへのトラフィックを許可する必要があります。そうしないと、トラフィックは正しく通過しません。

スパン／ミラースイッチポートをＳｏｎｉｃＷＡＬＬのＸ２ではなくＸ０に接続し（実のところ、Ｘ２への接続はまったく行われません）、Ｘ１を内部ネットワークに接続します。Ｘ０にスパン／ミラーされたポートをプログラムするときは注意してください。

インターフェースの設定

このセクションは、次の内容で構成されます。

･「静的インターフェースの設定」

･「インターフェースのトランスペアレントモードの設定」

･「無線インターフェースの設定」

･「ＷＡＮインターフェースの設定」

･「NSA 拡張パックモジュールインターフェースの設定 (NSA 2400MX および 250M のみ)」

･「リンク統合化とポート冗長化の設定」

･「ルートモード」

･「Ｕ０外部３Ｇ／モデムインターフェースの設定」

･「ＳｏｎｉｃＷＡＬＬＰｏｒｔＳｈｉｅｌｄインターフェースの設定」

･「ＶＬＡＮサブインターフェースの設定」

･「レイヤ２ブリッジモードの設定」

･「ＩＰＳスニッファモードの設定」

静的インターフェースの設定

静的とは、固定ＩＰアドレスがインターフェースに割り当てられていることを意味します。

手順 1　設定するインターフェースの「設定」列にある設定アイコン

を選択します。「インターフェースの編集」ウィンドウが表示されます。

･ご使用の装置のインターフェース数に応じて、Ｘ０～Ｘ８を設定できます。

･新しいゾーンを作成する場合は、「ゾーンの作成」を選択します。「ゾーンの追加」ウィンドウが表示されます。ゾーンの追加の詳細については、「ネットワーク＞ゾーン」を参照してください。

手順 2　インターフェースに割り当てるゾーンを選択します。ＬＡＮ、ＷＡＮ、ＤＭＺ、ＷＬＡＮ、または個別ゾーンを選択できます。

手順 3　「ネットワークモード」メニューから「静的ＩＰモード」を選択します。

手順 4　「ＩＰアドレス」フィールドと「サブネットマスク」フィールドに、ゾーンのＩＰアドレスとサブネットマスクを入力します。

補足　別のゾーンと同じサブネットにあるＩＰアドレスは入力できません。

手順 5　「コメント」フィールドに、必要に応じてコメントテキストを入力します。このテキストは、「インターフェース」テーブルの「コメント」列に表示されます。

手順 6　このインターフェースを介したＳｏｎｉｃＷＡＬＬセキュリティ装置のリモート管理を有効にするには、サポートされている管理プロトコルを選択します。ＨＴＴＰ、ＨＴＴＰＳ、ＳＳＨ、Ｐｉｎｇ、ＳＮＭＰ、ＳＳＨから１つ以上を選択できます。

同じ装置の別のゾーンからの管理用ＷＡＮインターフェースへのアクセスを許可するには、アクセスルールを作成する必要があります。詳細については、「ＬＡＮゾーンからのＷＡＮプライマリＩＰアクセスの許可」を参照してください。

手順 7　限定的な管理権限を持つ選ばれたユーザがセキュリティ装置にログインすることを許可するには、「ユーザログイン」で、「ＨＴＴＰ」と「ＨＴＴＰＳ」のいずれかまたは両方を選択します。

手順 8　「ＯＫ」を選択します。

補足　ＳｏｎｉｃＷＡＬＬセキュリティ装置のアドレスを変更した後に暗号キーを再生成するには、管理者パスワードが必要です。

インターフェースの詳細設定

イーサネット速度、通信方式、およびＭＡＣアドレスを強制的に変更する必要がある場合は、「詳細」タブを選択します。

「詳細設定」セクションでは、ＳｏｎｉｃＷＡＬＬに接続されたリンクのイーサネット設定を管理できます。イーサネットリンクはイーサネット接続の速度と通信方式を自動的にネゴシエートするので、「リンク速度」では「自動ネゴシエーション」が既定で選択されます。強制的に変更したイーサネット速度と通信方式を指定する場合は、「リンク速度」メニューから以下のオプションのひとつを選択します。

･１０００Ｍｂｐｓ－全二重

･１００Ｍｂｐｓ－全二重

･１００Ｍｂｐｓ－半二重

･１０Ｍｂｐｓ－全二重

･１０Ｍｂｐｓ－半二重

インターフェースの既定のＭＡＣアドレスをオーバーライドするには、「設定したＭＡＣアドレスへ書き換える」を選択し、フィールドにＭＡＣアドレスを入力します。

このインターフェースでマルチキャスト受信を許可するには、「マルチキャストサポートを有効にする」チェックボックスをオンにします。

警告　特定のイーサネット速度と通信方式を選択した場合は、イーサネットカードからＳｏｎｉｃＷＡＬＬセキュリティ装置への接続の速度と通信方式も強制的に変更する必要があります。

インターフェースのトランスペアレントモードの設定

トランスペアレントモードを設定すると、ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＷＡＮサブネットを内部インターフェースにブリッジできるようになります。インターフェースをトランスペアレントモード用に設定するには、以下の手順に従います。

手順 1　設定する「未定義」インターフェースの「設定」列にある設定アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 2　インターフェースを選択します。

･設定可能なインターフェースを選択する場合は、「ゾーン」で「ＬＡＮ」または「ＤＭＺ」を選択します。

･設定可能なインターフェース用の新しいゾーンを作成する場合は、「ゾーンの作成」を選択します。「ゾーンの追加」ウィンドウが表示されます。ゾーンの追加の詳細については、「ネットワーク＞ゾーン」を参照してください。

手順 3　「ネットワークモード」メニューから「トランスペアレントモード」を選択します。

手順 4　「トランスペアレント範囲」メニューから、このインターフェースを通じてアクセスするＩＰアドレスの範囲を含むアドレスオブジェクトを選択します。ＷＡＮゾーン内にあり、ＷＡＮインターフェースＩＰアドレスを含まないアドレス範囲であることが必要です。要求を満たすアドレスオブジェクトが設定されていない場合は、次の手順を実行します。

a. 「

トランスペアレント範囲」メニューで、「アドレスオブジェクトの作成」を選択します。

b. 「

アドレスオブジェクトの追加」ウィンドウで、アドレス範囲の名前を入力します。

a. 「

ゾーンの割り当て」で、「ＷＡＮ」を選択します。

b. 「

タイプ」で、以下を選択します。

･ホスト。このインターフェースに１つのネットワーク機器だけを接続する場合。

･範囲。開始アドレスと終了アドレスを入力して、ＩＰアドレスの範囲を指定します。

･ネットワーク。開始値とサブネットマスクを入力して、サブネットを指定します。ＷＡＮのアドレス範囲内にあり、ＷＡＮインターフェースＩＰアドレスを含まないサブネットを指定してください。

c. ホストのＩＰアドレス、範囲の開始アドレスと終了アドレス、またはネットワークのＩＰアドレスとサブネットマスクを入力します。

d. 「

ＯＫ」を選択して、アドレスオブジェクトを作成し、「インターフェースの編集」ウィンドウに戻ります。

詳細については、

「ネットワーク＞アドレスオブジェクト」を参照してください。

手順 7　限定的な管理権限を持つ選ばれたユーザがこのインターフェースを使ってセキュリティ装置に直接ログインすることを許可するには、「ユーザログイン」で、「ＨＴＴＰ」と「ＨＴＴＰＳ」のいずれかまたは両方を選択します。

手順 8　「ＯＫ」を選択します。

補足　ＳｏｎｉｃＷＡＬＬセキュリティ装置のアドレスを変更した後に暗号キーを再生成するには、管理者パスワードが必要です。

インターフェースの詳細設定

イーサネット速度、通信方式、およびＭＡＣアドレスを強制的に変更する必要がある場合は、「詳細」タブを選択します。「詳細設定」セクションでは、ＳｏｎｉｃＷＡＬＬに接続されたリンクのイーサネット設定を管理できます。イーサネットリンクはイーサネット接続の速度と通信方式を自動的にネゴシエートするので、「リンク速度」では「自動ネゴシエーション」が既定で選択されます。強制的に変更したイーサネット速度と通信方式を指定する場合は、「リンク速度」メニューから以下のオプションのひとつを選択します。

･１０００Ｍｂｐｓ－全二重（）

･ 100Ｍｂｐｓ－全二重

･ 100Ｍｂｐｓ－半二重

･１０Ｍｂｐｓ－全二重

･１０Ｍｂｐｓ－半二重

インターフェースの既定のＭＡＣアドレスをオーバーライドするには、「設定したＭＡＣアドレスに書き換える」を選択し、フィールドにＭＡＣアドレスを入力します。

このインターフェースでマルチキャスト受信を許可するには、「マルチキャストサポートを有効にする」チェックボックスをオンにします。

無線インターフェースの設定

無線インターフェースは無線ゾーンに割り当てられたインターフェースであり、ＳｏｎｉｃＷＡＬＬＳｏｎｉｃＰｏｉｎｔの安全なアクセスポイントをサポートするために使用されます。

手順 1　設定するインターフェースの「設定」列にある設定アイコン

を選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 2　「ゾーン」リストで、ＷＬＡＮまたは個別の無線ゾーンを選択します。

手順 3　「ＩＰアドレス」フィールドと「サブネットマスク」フィールドに、ゾーンのＩＰアドレスとサブネットマスクを入力します。

補足　サブネットマスクの上限は、「ＳｏｎｉｃＰｏｉｎｔ制限」フィールドで選択するＳｏｎｉｃＰｏｉｎｔの数で決まります。複数のインターフェースまたはサブインターフェースを無線インターフェースとして設定する場合は、小さなサブネット（上位）を使用することで、インターフェース上で使用可能なＤＨＣＰリースの数を制限できます。そうしないと、各無線インターフェースでクラスＣサブネット（サブネットマスク２５５.２５５.２５５.０）を使用する場合、セキュリティ装置上で使用可能なＤＨＣＰリースの制限を越える可能性があります。

手順 4　「ＳｏｎｉｃＰｏｉｎｔ制限」フィールドで、このインターフェースで許可されるＳｏｎｉｃＰｏｉｎｔの最大数を選択します。

･この値によって、「サブネットマスク」フィールドに入力できる最大のサブネットマスクが決まります。以下の表は、「ＳｏｎｉｃＰｏｉｎｔ制限」の各項目のサブネットマスク制限と、許可される最大サブネットマスクを入力した場合にインターフェース上で使用可能なＤＨＣＰリースの数を示しています。

･「使用可能なクライアントＩＰ」は、このインターフェース上で許可される最大数のＳｏｎｉｃPointが存在し、それぞれが１つのＩＰアドレスを使用していることに加えて、ＳｏｎｉｃＷＡＬＬゲートウェイインターフェースに対して１つのＩＰを想定しています。


インターフェースあたりのＳｏｎｉｃＰｏｉｎｔ	最大サブネットマスク	使用可能なＩＰアドレスの総数	使用可能なクライアントＩＰ
０ＳｏｎｉｃＰｏｉｎｔ	３０ビット－２５５.２５５.２５５.２５２	2	2
２ＳｏｎｉｃＰｏｉｎｔ	２９ビット－２５５.２５５.２５５.２４８	6	3
４ＳｏｎｉｃＰｏｉｎｔ	29ビット－ 255,255,255,248	6	1
８ＳｏｎｉｃＰｏｉｎｔ	２８ビット－２５５.２５５.２５５.２４０	14	5
１６ＳｏｎｉｃＰｏｉｎｔ (ＮＳＡ 240)	２７ビット－２５５.２５５.２５５.２２４	30	13
３２ＳｏｎｉｃＰｏｉｎｔ (ＮＳＡ 2400)	２６ビット－２５５.２５５.２５５.１９２	62	29
４８ＳｏｎｉｃＰｏｉｎｔ（ＮＳＡ３４００）	２５ビット－２５５.２５５.２５５.１２８	126	61
６４ＳｏｎｉｃＰｏｉｎｔ（ＮＳＡ４５００、５０００）	２５ビット－２５５.２５５.２５５.１２８	126	61
９６ＳｏｎｉｃＰｏｉｎｔ（ＮＳＡＥ５５００）	２４ビット－２５５.２５５.２５５.０	190	93
１２８ＳｏｎｉｃＰｏｉｎｔ（ＮＳＡＥ６５００、ＮＳＡＥ７５００）	２３ビット－２５５.２５５.２５４.０	254	125

補足　上記の表は、許可されるサブネットマスクの最大サイズを示しています。ＷＬＡＮインターフェースでは、クラスフルサブネット（クラスＡ、クラスＢ、またはクラスＣ）や、可変長のサブネットマスクも使用できます。多数の無線クライアントをサポートする必要がある場合は、小さなサブネットマスク（例：２４ビットクラスＣ－２５５.２５５.２５５.０－使用可能ＩＰの総数が２５４）を使用して、より多くのＩＰアドレス空間をクライアントに割り当てることが推奨されます。

手順 8　「ＯＫ」を選択します。

インターフェースの詳細設定

イーサネット速度、通信方式、およびＭＡＣアドレスを強制的に変更する必要がある場合は、「詳細」タブを選択します。

･ 1000Ｍｂｐｓ－全二重

･ 100Ｍｂｐｓ－全二重

･ 100Ｍｂｐｓ－半二重

･１０Ｍｂｐｓ－全二重

･１０Ｍｂｐｓ－半二重

このインターフェースでマルチキャスト受信を許可するには、「マルチキャストサポートを有効にする」チェックボックスをオンにします。

ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置で、このインターフェースを通過する情報にＱｏＳ（ＱｕａｌｉｔｙｏｆＳｅｒｖｉｃｅ）管理の８０２.１ｐ優先順位情報のタグを付けるには、「８０２.１ｐタグ付けを有効にする」チェックボックスをオンにします。このインターフェースを通じて送信されるパケットには、ＶＬＡＮｉｄ＝０のタグが付けられ、８０２.１ｐ優先度情報を搬送します。この優先順位情報を利用するには、このインターフェースに接続されている機器が、優先順位フレームをサポートする必要があります。ＱｏＳ管理は、「ファイアウォール＞アクセスルール」ページ上のアクセスルールで制御されます。ＱｏＳおよび帯域幅管理の詳細については、「ファイアウォール設定＞ＱｏＳ割付」を参照してください。

ＷＡＮインターフェースの設定

ＷＡＮインターフェースを設定すると、インターネット接続が有効になります。ＳｏｎｉｃＷＡＬＬセキュリティ装置では、最高で２つのＷＡＮインターフェースを設定できます。

手順 1　設定するインターフェースの「設定」列にある編集

アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 2　未定義インターフェースを設定している場合は、「ゾーン」メニューから「ＷＡＮ」を選択します。既定ＷＡＮインターフェースを選択した場合は、「ゾーン」メニューで「ＷＡＮ」が既に選択されています。

手順 3　「ネットワークモード」メニューから、以下のいずれかのＷＡＮネットワークアドレス指定モードを選択します。「ネットワークモード」メニューから選択するオプションに応じて表示される該当のフィールドに入力します。

･静的ＩＰ－静的ＩＰアドレスを使用するネットワークに対してＳｏｎｉｃＷＡＬＬを設定します。

･ＤＨＣＰ－ＳｏｎｉｃＷＡＬＬを設定して、インターネット上のＤＨＣＰサーバからＩＰ設定を要求します。「ＤＨＣＰクライアントでのＮＡＴ」は、ケーブルおよびＤＳＬユーザ向けの一般的なネットワークアドレス指定モードです。

･ＰＰＰｏＥ－ＰＰＰｏＥ（ＰｏｉｎｔｔｏＰｏｉｎｔｏｖｅｒＥｔｈｅｒｎｅｔ）を使用して、インターネットに接続します。ＩＳＰからデスクトップソフトウェアとユーザ名およびパスワードを要求される場合は、「ＰＰＰｏＥクライアントでのＮＡＴ」を選択します。ＤＳＬモデムを使用する場合は、このプロトコルが一般的です。

･ＰＰＴＰ－ＰＰＴＰ（ＰｏｉｎｔｔｏＰｏｉｎｔＴｕｎｎｅｌｉｎｇＰｒｏｔｏｃｏｌ）を使用して、リモートサーバに接続します。トンネル接続が必要な旧式のマイクロソフトウィンドウズ実装をサポートします。

･Ｌ２ＴＰ－ＩＰｓｅｃを使用してＬ２ＴＰ（Ｌａｙｅｒ２ＴｕｎｎｅｌｉｎｇＰｒｏｔｏｃｏｌ）サーバに接続し、クライアントからサーバに送信されるすべてのデータを暗号化します。ただし、他の宛先へのネットワークトラフィックは暗号化しません。

補足　ウィンドウズクライアントの場合、Ｌ２ＴＰは、ウィンドウズ２０００およびウィンドウズＸＰでサポートされます。他のバージョンのウィンドウズが動作している場合は、トンネルプロトコルとしてＰＰＴＰを使用する必要があります。

手順 4　このインターフェースを介したＳｏｎｉｃＷＡＬＬセキュリティ装置のリモート管理を有効にするには、サポートされている管理プロトコルを選択します。ＨＴＴＰ、ＨＴＴＰＳ、ＳＳＨ、Ｐｉｎｇ、ＳＮＭＰ、ＳＳＨから１つ以上を選択できます。管理トラフィックとして「ＨＴＴＰ」を選択することもできますが、ＨＴＴＰトラフィックはＨＴＴＰＳトラフィックよりも安全性が低いことに注意してください。

手順 5　限定的な管理権限を持つ選ばれたユーザがこのインターフェースを使ってセキュリティ装置に直接ログインすることを許可するには、「ユーザログイン」で、「ＨＴＴＰ」と「ＨＴＴＰＳ」のいずれかまたは両方を選択します。

手順 6　ＨＴＴＰ接続を、ＳｏｎｉｃＷＡＬＬセキュリティ装置管理インターフェースへの安全なＨＴＴＰＳ接続に自動的にリダイレクトするには、「ＨＴＴＰからＨＴＴＰＳへのリダイレクトを有効にするためのルールを追加する」チェックボックスをオンにします。

手順 7　ネットワークアドレス指定モードのＷＡＮ設定を完了したら、「ＯＫ」を選択します。

ＷＡＮインターフェースの詳細設定

「詳細」タブでは、イーサネット速度と通信方式の強制的な変更、既定のＭＡＣアドレスのオーバーライド、帯域幅管理のセットアップ、および既定のＮＡＴポリシーの自動作成を行います。

詳細設定

･ 1000Ｍｂｐｓ－全二重

･ 100Ｍｂｐｓ－全二重

･ 100Ｍｂｐｓ－半二重

･１０Ｍｂｐｓ－全二重

･１０Ｍｂｐｓ－半二重

警告　特定のイーサネット速度と通信方式を選択した場合は、イーサネットカードからＳｏｎｉｃＷＡＬＬへの接続の速度と通信方式も強制的に変更する必要があります。

このインターフェースでマルチキャスト受信を許可するには、「マルチキャストサポートを有効にする」チェックボックスをオンにします。

ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置で、このインターフェースを通過する情報にＱｏＳ（ＱｕａｌｉｔｙｏｆＳｅｒｖｉｃｅ）管理の８０２.１ｐ優先順位情報のタグを付けるには、「８０２.１ｐタグ付けを有効にする」チェックボックスをオンにします。このインターフェースを通じて送信されるパケットは、ＶＬＡＮｉｄ＝０のタグ付けが行われ、８０２.１ｐ優先順位情報を搬送します。この優先順位情報を利用するには、このインターフェースに接続されている機器が、優先順位フレームをサポートしている必要があります。ＱｏＳ管理は、「ファイアウォール＞アクセスルール」ページ上のアクセスルールで制御されます。ＱｏＳおよび帯域幅管理の詳細については、「ファイアウォール設定＞ＱｏＳ割付」および「ファイアウォール設定＞帯域幅管理」を参照してください。

以下のイーサネット設定を指定することもできます。

･インターフェースＭＴＵ－インターフェースが、パケットを断片化せずに転送できるパケットの最大サイズを指定します。

･ＶＰＮ以外の送信パケットでこのインターフェースのＭＴＵ値以上の大きさのものを断片化する－ＶＰＮ以外の送信パケットでこのインターフェースのＭＴＵ値以上の大きさのものをすべて断片化することを指定します。「ＶＰＮ＞詳細設定」ページでは「ＶＰＮ送信パケットの断片化を指定する」が設定されています。

･ＤＦビット（断片化を行わない）を無視する－パケットのＤＦビットをオーバーライドします。

･インターフェースのＭＴＵより大きい送信パケットに対してＩＣＭＰ要断片化を送信しない－このインターフェースが断片化されたパケットを受信できるという通知を遮断します。

帯域幅管理

ＳｏｎｉｃＯＳでは、ＷＡＮゾーン内にあるインターフェース上の送信（発信）トラフィックと受信（着信）トラフィックの両方に帯域幅管理を適用できます。送信帯域幅管理は、等級ベースキューイングを使用して行われます。受信帯域幅管理は、ＴＣＰ固有の動作を使用してトラフィックを制御する、ＡＣＫ遅延アルゴリズムを実装することによって行われます。

等級ベースキューイング（ＣＢＱ）により、ＳｏｎｉｃＷＡＬＬセキュリティ装置の保証された帯域幅と最大帯域幅のＱｏＳ（ＱｕａｌｉｔｙｏｆＳｅｒｖｉｃｅ）が提供されます。ＷＡＮインターフェース宛てのすべてのパケットは、対応する優先順位のキューに登録されます。スケジューラは、パケットのキュー登録を解除して、フローの保証された帯域幅と利用可能なリンクの帯域幅に応じて、パケットをリンク上で送信します。

送受信帯域幅管理を有効または無効にするには、「インターフェースの編集」画面の「帯域幅管理」セクションを使用します。利用可能な送受信リンクの帯域幅を使用して、アップストリームおよびダウンストリームの接続速度をキロビット／秒単位で設定できます。

補足　帯域幅管理の設定は、設定中のインターフェースだけでなく、ＷＡＮゾーン内のすべてのインターフェースに適用されます。

･送信帯域幅管理を有効にする－送信帯域幅管理を有効にします。

･利用可能な送信帯域幅（Ｋｂｐｓ）－ＷＡＮインターフェースで利用可能な帯域幅をＫｂｐｓ単位で指定します。

･受信帯域幅管理を有効にする－受信帯域幅管理を有効にします。

･利用可能な受信帯域幅（Ｋｂｐｓ）－ＷＡＮインターフェースで利用可能な帯域幅をＫｂｐｓ単位で指定します。

ＷＡＮインターフェースをＰＰＰｏＥ、ＰＰＴＰ、またはＬ２ＴＰのモード/ＩＰ割り当てを使って設定している場合は、ＷＡＮインターフェースの設定ウィンドウ内に「プロトコル」タブが表示されます。選択したプロトコルに応じて設定が取得されクライアント設定が可能になります。この「プロトコル」を設定するには、以下の手順に従います。

手順 1　「～で取得した設定」セクション内に、「ＳｏｎｉｃＷＡＬＬＩＰアドレス」、「サブネットマスク（ＰＰＰｏＥのみ）」、「デフォルトゲートウェイ」、「ＤＮＳサーバ１」、「ＤＮＳサーバ２」が表示されます。

手順 2　ＰＰＴＰまたはＬ２ＴＰを使用する場合は、「ＯＫ」ボタンを選択します。プロトコルの設定は完了です。
ＰＰＰｏＥを使用する場合は、「プロトコル」タブ内にクライアント設定のセクションが表示されます。

手順 3　指定した時間の経過後にＰＰＰｏＥを切断したい場合は、「無動作時に切断」チェックボックスを選択して、時間（分）を入力します。

手順 4　サーバのキープアライブにＬＣＰｅｃｈｏパケットを使いたい場合は、「サーバキープアライブにＬＣＰＥｃｈｏパケットを厳密に使用する」チェックボックスを選択します。

手順 5　指定した期間トラフィックが送信されなかった際にＰＰＰｏＥクライアントをサーバに再接続させたい場合は、「サーバが次の期間トラフィックを送信しなかった場合に、PPPOE クライアントを再接続する」（既定で選択されています）の隣のテキストフィールドに時間（分）を入力します。

手順 6　「ＯＫ」ボタンを選択します。

NSA 拡張パックモジュールインターフェースの設定 (NSA 2400MX および 250M のみ)

SonicWALL NSA 2400MX および NSA 250M 装置は、オプションで以下の NSA 拡張パックモジュールをサポートします。

･ 2 ポート LAN バイパスモジュール

･ 2 ポート SFP モジュール

･ 4 ポートギガビットイーサネットモジュール (SonicWALL NSA 2400MX)

･ 4 ポートギガビットイーサネットモジュール (SonicWALL NSA 250Mシリーズ)

･これらのインターフェースは「インターフェース設定」テーブルに Mx インターフェースとしてリストされます。

警告　モジュールを挿入して設定する前に、装置の電源を切る必要があります。装置の電源を切ってから、背面のモジュールプレートカバーを外して拡張モジュールを挿入します。ねじを締めてモジュールを固定してから、装置の電源を入れます。

SonicWALL 管理インターフェースにログインします。これで希望する拡張モジュールの設定を開始できます。以下のセクションで設定手順を説明します。

･「LAN バイパスモジュールの設定」

･「2 ポート SFP または 4 ポートギガビットイーサネットモジュールの設定 (NSA 2400MX および NSA 250M)」

LAN バイパスモジュールの設定

このモジュールは、インターフェースが LAN バイパス機能を持つ別のインターフェースにブリッジされる際に、ファイアウォールの物理的バイパスを行うことができます。これにより、回復不能なファイアウォールのエラーが発生した場合も、ネットワークトラフィックが流れ続けることができます。

手順 1　設定したい拡張モジュールのインターフェースの「設定」列の「編集」

アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。ブリッジを行うことができるインターフェースが存在する場合にのみ、バイパスのオプションが表示されます。

手順 2　ウィンドウには LAN インターフェースが表示され、物理的バイパス機能を有効にするための「異常時の物理的なバイパスを保証する」チェックボックスがあります。これは、インターフェースが LAN バイパスを行うことができる別のインターフェースにブリッジされている場合にのみ表示されます。このチェックボックスを有効にすることは、ファームウェアまたは NSA 装置に障害が発生した場合でも、ブリッジペアの間でパケットが落ちないことを意味します。
チェックボックスが有効になっていない場合、ポートは通常のイーサネットポートのように動作します。

手順 3　「OK」を選択してインターフェースを設定します。

2 ポート SFP または 4 ポートギガビットイーサネットモジュールの設定 (NSA 2400MX および NSA 250M)

手順 1　設定したい拡張モジュールのインターフェースの「設定」列の「編集」

アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 2　未定義のインターフェースを設定する場合は、「ゾーン」メニューからゾーンを選択できます。以下では「ゾーン」メニューに「LAN」が選択されています。

手順 3　「モード / IP 割り当て」メニューから、以下のうち 1 つ LAN ネットワーク割り当てモードを選択します。

･静的 IP モード - 静的 IP アドレスを使うネットワークに対してインターフェースを設定します。

･トランスペアレント IP モード - 管理階層の最上位としてインターフェースを使って複数のインターフェースをまとめるように、インターフェースを設定します。

IP 割り当てのメニューで選択したオプションに応じて表示される関連フィールドの入力を完了します。

手順 4　サブネットに適合する IP アドレスとサブネットマスクを入力します。これらは自動入力されますが、変更可能です。

手順 5　このインターフェースからの SonicWALL セキュリティ装置のリモート管理を有効にする場合は、サポートする管理プロトコル（HTTP、HTTPS、Ping、SNMP、SSH）を設定します。管理トラフィックに HTTP を選択する場合は、HTTPS よりも安全性が低いことを心に留めてください。インターフェース上のセキュリティを強制するように HTTP から HTTPS にリダイレクトするルールを追加するためのチェックボックスを使うこともできます。

手順 6　「OK」を選択してインターフェースを設定します。

モジュールインターフェースの詳細設定

「詳細」タブは、イーサネット速度と通信方式の強制的な変更、既定のＭＡＣアドレスのオーバーライド、インターフェースでのマルチキャストサポートの有効化、802.1p タグ付けの有効化の設定を含みます。 802.1p タグ付けされて送信されたパケットは、VLAN id=0 でタグ付けされ、802.1p 優先順位情報を持ちます。このインターフェースに接続される機器は、優先順位フレームをサポートする必要があります。

追加インターフェースの設定

手順 7　各拡張モジュールインターフェースは個々に設定される必要があります。これらは最初は未定義のインターフェースとして表示されます。

手順 8　設定したいインターフェースの「設定」列の「編集」

アイコンを選択します。
各インターフェースに対して、「インターフェースの編集」ウィンドウの「一般」タブで、「ゾーン」メニューから「LAN」を選択します。使用する IP アドレスとサブネットマスクを入力します。希望する管理オプションを追加して、「OK」を選択します。それから、「詳細」設定を構成します。

リンク統合化とポート冗長化の設定

リンク統合化もポート冗長化も、ＳｏｎｉｃＯＳＵＩの「インターフェースの編集」ウィンドウの「詳細」タブで設定します。

･「リンク統合化」－複数のイーサネットインターフェースをまとめて単一の論理リンクにし、それによって単一の物理インターフェースを上回るスループットをサポートします。そのため、２つのイーサネットドメイン間でマルチギガビットのトラフィックが送信できるようになります。

･「ポート冗長化」－第２のスイッチに接続できる任意の物理インターフェースに対して単一の冗長ポートを設定して、プライマリインターフェースまたはプライマリスイッチに障害が起きた場合に接続が失われるのを防ぎます。

補足　リンク統合化とポート冗長化は、ＳｏｎｉｃＷＡＬＬＥ-Ｃｌａｓｓ装置でのみサポートされます。

リンク統合化

リンク統合化は、ファイアウォールとスイッチの間で利用可能な帯域幅を増やすために使用され、最高で４つのインターフェースをまとめて１つの統合リンクにすることで行われます。これはＬＡＧ（ＬｉｎｋＡｇｇｒｅｇａｔｉｏｎＧｒｏｕｐ）と呼ばれます。統合リンクのすべてのポートは、同じスイッチに接続されていなければなりません。ファイアウォールは、ＬＡＧ内のインターフェース間でのトラフィックの負荷分散のためにラウンドロビンアルゴリズムを使用します。リンク統合化は一定の冗長化も提供します。つまり、ＬＡＧ内の１つのインターフェースがダウンしても、他のインターフェースの接続は維持されるということです。

リンク統合化は、ベンダによって呼称が異なり、ポートチャンネル、イーサチャンネル、トランク、ポートグルーピングなどと呼ばれることもあります。

リンク統合化フェイルオーバー

ＳｏｎｉｃＷＡＬＬは、リンク障害で接続が失われるのを防ぐために、高可用性（ＨＡ）、負荷分散グループ（ＬＢグループ）、リンク統合化といった複数の方法を用意しています。ファイアウォール上でこれらの機能が３つとも設定されている場合、リンク障害の際に次の優先順位が適用されます。

1. 高可用性

2. リンク統合化

3. 負荷分散グループ

リンク統合化よりもＨＡが優先されます。ＬＡＧ内の各リンクは負荷を平等に分担するので、アクティブファイアウォールのリンクが失われると、アイドルファイアウォールへのフェイルオーバーが強制的に行われます（そのファイアウォールのすべてのリンクの接続が維持されている場合）。物理的な監視を設定する必要があるのは、プライマリ統合ポートについてだけです。

リンク統合化とＬＢグループを併用すると、リンク統合化が優先されます。ＬＢが作動するのは、統合リンクのすべてのポートがダウンした場合だけです。

リンク統合化の制限

･現在、リンク統合化に対しては静的アドレッシングのみがサポートされています。

･現在、ＬＡＣＰ（ＬｉｎｋＡｇｇｒｅｇａｔｉｏｎＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ）はサポートされていません。

リンク統合化の設定

リンク統合化を設定するには、次の手順に従います。

1. 「

ネットワーク＞インターフェース」ページで、ＬＡＧのマスターとして指定するインターフェースの「設定」アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

2. 「

詳細」タブを選択します。

3. 「

冗長／統合ポート」プルダウンメニューで、「リンク統合化」を選択します。

4. ファイアウォール上の現在割り当てられていないインターフェースごとに「

統合ポート」オプションのチェックボックスが表示されます。ＬＡＧに割り当てる他のインターフェースを最高３つまで選択します。

補足　インターフェースをＬＡＧに割り当てると、そのインターフェースの設定はリンク統合化マスターインターフェースによって管理され、個別に設定することができなくなります。インターフェース設定テーブルには、そのインターフェースのゾーンが「統合ポート」として表示され、設定アイコンが表示されなくなります。

5. インターフェースの「

リンク速度」を「自動ネゴシエーション」に設定します。

6. 「

ＯＫ」を選択します。

補足　リンク統合化には、スイッチ上に対応する設定が必要です。スイッチの負荷分散方法はベンダによって異なります。リンク統合化の設定については、スイッチのドキュメントを参照してください。リンク統合化は、ポートチャンネル、イーサチャンネル、トランク、ポートグルーピングなどと呼ばれることもあります。

ポート冗長化

ポート冗長化は、物理イーサネットポートに対して冗長ポートを設定するための単純な方法です。これは単一障害点としてのスイッチの障害を防ぐのに役立つ機能であり、ハイエンドの配備では特にそうです。

プライマリインターフェースがアクティブのとき、プライマリインターフェースはそこを出入りするトラフィックをすべて処理します。プライマリインターフェースがダウンすると、バックアップインターフェースが送受信トラフィックをすべて引き継ぎます。バックアップインターフェースはプライマリインターフェースのＭＡＣアドレスを引き継ぎ、フェイルオーバーイベントでの適切な重複回避用ＡＲＰを送信します。プライマリインターフェースが回復すると、プライマリインターフェースはバックアップインターフェースからすべてのトラフィック処理の責務を再び引き継ぎます。

典型的なポート冗長化設定では、プライマリインターフェースとバックアップインターフェースを別々のスイッチに接続します。これはプライマリスイッチがダウンした場合のフェイルオーバーパスを提供します。両方のスイッチは同じイーサネットドメインになければなりません。両方のインターフェースが同じスイッチに接続されている場合にもポート冗長化を設定することができます。

ポート冗長化フェイルオーバー

ＳｏｎｉｃＷＡＬＬは、リンク障害で接続が失われるのを防ぐために、高可用性（ＨＡ）、負荷分散グループ（ＬＢグループ）、ポート冗長化といった複数の方法を用意しています。ファイアウォール上でこれらの機能が３つとも設定されている場合、リンク障害の際に次の優先順位が適用されます。

1. ポート冗長化

2. ＨＡ

3. ＬＢグループ

ポート冗長化とＨＡを併用すると、ポート冗長化が優先されます。一般に、インターフェースフェイルオーバーはＨＡフェイルオーバーを発生させますが、そのインターフェースで冗長ポートが利用可能であれば、インターフェースフェイルオーバーが発生してもＨＡフェイルオーバーは発生しません。プライマリポートとバックアップの冗長ポートが両方ともダウンした場合は、ＨＡフェイルオーバーが発生します（ただし、バックアップファイアウォールの対応するポートがアクティブであると仮定します）。

ポート冗長化とＬＢグループを併用しても、やはりポート冗長化が優先されます。１つのポート（プライマリまたはバックアップ）の障害であれば、ＨＡの場合と同様にポート冗長化で処理されます。両方のポートがダウンした場合は、ＬＢが作動し、代替インターフェースを探します。

ポート冗長化の設定

ポート冗長化を設定するには、次の手順に従います。

1. 「

2. 「

詳細」タブを選択します。

3. 「

冗長／統合ポート」プルダウンメニューで、「ポート冗長化」を選択します。

4. 「

冗長ポート」プルダウンメニューが表示され、現在割り当てられていない利用可能なインターフェースがすべて表示されます。そのうちの１つを選択します。

補足　いずれかのインターフェースを冗長ポートとして選択すると、そのインターフェースの設定はプライマリインターフェースによって管理され、個別に設定することができなくなります。インターフェース設定テーブルには、そのインターフェースのゾーンが「冗長ポート」として表示され、設定アイコンが表示されなくなります。

5. インターフェースの「

リンク速度」を「自動ネゴシエーション」に設定します。

6. 「

ＯＫ」を選択します。

ルートモード

ルートモードは、別々のパブリックＩＰアドレス範囲の間でトラフィックをルーティングするためのＮＡＴの代替策を提供します。次のトポロジを見てください。ファイアウォールが２つのパブリックＩＰアドレス範囲の間でトラフィックをルーティングしています。

･ 10.50.26.0/24

･ 172.16.6.0/24

１７２.１６.６.０用のインターフェースでルートモードを有効にすることにより、１０.５０.２６.０用に設定されたＷＡＮインターフェースにすべての送受信トラフィックがルーティングされるようになります。

ルートモードを設定するには、次の手順に従います。

1. 「

ネットワーク＞インターフェース」ページを表示します。

2. 適切なインターフェースの「

設定」アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。

3. 「

詳細」タブを選択します。

4. 「

エキスパートモード設定」ヘッダーの下で、「ルートモードを使用する - 送信／受信の変換を防ぐためのＮＡＴポリシーを追加します」チェックボックスを選択して、そのインターフェースに対してルートモードを有効にします。

5. 「

ＮＡＴポリシーの送信／受信インターフェースを次に設定」プルダウンメニューで、そのインターフェースのトラフィックをルーティングするために使用するＷＡＮインターフェースを選択します。

6. 「

ＯＫ」を選択します。

これにより、ファイアウォールは、設定されたインターフェースと選択されたＷＡＮインターフェースの両方について「ＮＡＴではない」ポリシーを２つ作成します。これらのポリシーは、より一般的な多対１ＮＡＴポリシーが設定されていても、それらに優先して使用されます。

Ｕ０外部３Ｇ／モデムインターフェースの設定

ＳｏｎｉｃＷＡＬＬＴＺ２００セキュリティ装置は、外部の３Ｇ／モバイルまたはアナログモデムインターフェースをサポートしています。このインターフェースは、「インターフェース設定」テーブルの下部にＵ０インターフェースとして示されます。外部インターフェースのいくつかの設定は「ネットワーク＞インターフェース」ページから行うことができますが、左側のナビゲーションバーの「３Ｇ」または「モデム」タブのページを使用すると、さらに詳細な設定が可能です。

３Ｇまたはアナログモデムの外部インターフェースの設定の詳細については、「３Ｇ／４Ｇ／モデム」を参照してください。

ＷＡＮ接続モデルの指定

補足　「ＷＡＮ接続モデル」ドロップダウンメニューが表示されるのは、Ｕ０インターフェースが３Ｇ／モバイル外部インターフェースに設定されている場合のみです。Ｕ０インターフェースがアナログモデムに設定されている場合にはこのメニュー項目は表示されません。

ＷＡＮ接続モデルを設定するには、「ネットワーク＞インターフェース」ページに移動し、「ＷＡＮ接続モデル」ドロップダウンメニューから次のオプションのいずれかを選択します。

･３Ｇのみ－ＷＡＮインターフェースが無効になり、３Ｇインターフェースが排他的に使用されます。

･イーサネットのみ－３Ｇインターフェースが無効になり、ＷＡＮインターフェースが排他的に使用されます。

･イーサネットと３Ｇフェイルオーバー－ＷＡＮインターフェースがプライマリインターフェースとして使用され、３Ｇインターフェースが無効になります。ＷＡＮ接続に障害が発生すると３Ｇインターフェースが有効になり、３Ｇ接続が自動的に開始されます。

「イーサネットと３Ｇフェイルオーバー」設定の動作の詳細については、「３Ｇ/４Ｇ接続タイプについて」を参照してください。

ＳｏｎｉｃＷＡＬＬＰｏｒｔＳｈｉｅｌｄインターフェースの設定

ＰｏｒｔＳｈｉｅｌｄ手法により、ＬＡＮポートの一部または全部を別々のセキュリティコンテキストに設定し、ＷＡＮとＤＭＺからだけでなく、ネットワーク内の機器間でも保護できるようになります。実際、各コンテキストには、専用の精密パケット検査ファイアウォールによって保護されるワイヤスピードＰｏｒｔＳｈｉｅｌｄがあります。

ＰｏｒｔＳｈｉｅｌｄは、ＳｏｎｉｃＷＡＬＬＴＺシリーズおよびＮＳＡ２４０装置でサポートされています。

ヒント　ＰｏｒｔＳｈｉｅｌｄグループを使用しなくても、「ネットワーク＞インターフェース」ページで複数のインターフェースにいつでもゾーンを適用できます。ただし、ＰｏｒｔＳｈｉｅｌｄを使用してグループ化しないと、それらのインターフェースで同じネットワークサブネットは共有されません。

ＰｏｒｔＳｈｉｅｌｄインターフェースには、さまざまな組み合わせのポートを割り当てることができます。ＰｏｒｔＳｈｉｅｌｄインターフェースに割り当てないポートはすべて、ＬＡＮインターフェースに割り当てられます。

ＰｏｒｔＳｈｉｅｌｄインターフェースを設定するには、以下の手順を実行します。

手順 1　「ネットワーク＞インターフェース」ページを選択します。

手順 2　設定するインターフェースの「設定」ボタンを選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 3　「ゾーン」プルダウンメニューから、インターフェースに割り当てるゾーンタイプを選択します。

補足　ＰｏｒｔＳｈｉｅｌｄインターフェースを追加できるのは、保護ゾーン、公開ゾーン、および無線ゾーンのみです。

手順 4　「ネットワークモード」プルダウンメニューから「ＰｏｒｔＳｈｉｅｌｄスイッチモード」を選択します。

手順 5　「設定するＰｏｒｔＳｈｉｅｌｄ」プルダウンメニューから、このポートを割り当てるインターフェースを選択します。選択したゾーンと一致するポートのみが表示されます。

ＶＬＡＮサブインターフェースの設定

ＶＬＡＮサブインターフェースは、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置でサポートされています。ＶＬＡＮサブインターフェースを追加する場合は、それをゾーンに割り当て、ＶＬＡＮタグを割り当てて、さらに物理インターフェースに割り当てる必要があります。ゾーンの割り当てに基づき、同じゾーンの物理インターフェースを設定するときと同じようにＶＬＡＮサブインターフェースを設定します。

仮想インターフェースの追加

手順 1　「ネットワーク＞インターフェース」ページを表示するには、左側にあるナビゲーションメニューで、「ネットワーク」、「インターフェース」の順に選択します。

手順 2　「インターフェース設定」テーブルの一番下にある「インターフェースの追加」を選択します。「インターフェースの編集」ウィンドウが表示されます。

手順 3　インターフェースに割り当てるゾーンを選択します。ＬＡＮ、ＷＡＮ、ＤＭＺ、ＷＬＡＮ、または個別ゾーンを選択できます。ゾーンの割り当ては、必ずしも親（物理）インターフェースと合わせる必要はありません。実際、親インターフェースを未定義のままにすることも可能です。

サブインターフェースのネットワーク設定で何を選択するかは、選択したゾーンによって異なります。

･ＬＡＮ、ＤＭＺ、または保護タイプの個別ゾーン－「静的」または「トランスペアレント」

･ＷＬＡＮまたは個別無線ゾーン－静的ＩＰのみ（モードはリストされない）

手順 4　ＶＬＡＮタグ（ＩＤ）をサブインターフェースに割り当てます。有効なＶＬＡＮＩＤは１～４０９５です。ただし、一部のスイッチでは、ＶＬＡＮ１がネイティブＶＬＡＮ用に予約されています。セキュリティ装置で保護するＶＬＡＮごとに、対応するＶＬＡＮＩＤを持ったＶＬＡＮサブインターフェースを作成する必要があります。

手順 5　このサブインターフェースが属する親（物理）インターフェースを宣言します。１つのインターフェースに対して割り当てることのできるサブインターフェース数に制限はありません。サブインターフェースはシステムの上限に達するまでいくつでも割り当てることができます。

手順 6　選択したゾーンに基づき、サブインターフェースのネットワーク設定を行います。この章で前述したインターフェースの設定手順を参照してください。

･「静的インターフェースの設定」

･「インターフェースの詳細設定」

･「インターフェースのトランスペアレントモードの設定」

･「無線インターフェースの設定」

･「ＷＡＮインターフェースの設定」

･「ＳｏｎｉｃＷＡＬＬＰｏｒｔＳｈｉｅｌｄインターフェースの設定」

･「ＶＬＡＮサブインターフェースの設定」

手順 7　サブインターフェースの管理方法とユーザのログイン方法を選択します。

手順 8　「ＯＫ」を選択します。

レイヤ２ブリッジモードの設定

以下のセクションを参照してください。

･「レイヤ２ブリッジモード用の設定タスクリスト」

･「レイヤ２ブリッジモード手順の設定」

･「レイヤ２ブリッジモードでのＶＬＡＮ統合」

･「レイヤ２ブリッジモードでのＶＰＮ統合」

レイヤ２ブリッジモード用の設定タスクリスト

･ネットワークに合ったトポロジを選択します。

･「レイヤ２ブリッジモード配備における一般的な項目の設定」セクション

･ＵＴＭサービスのライセンスを取得します。

･ＤＨＣＰサーバを無効化します。

･ＳＮＭＰおよびＨＴＴＰ／ＨＴＴＰＳ管理を設定し有効化します。

･Ｓｙｓｌｏｇを有効化します。

･対象ゾーンに関してＵＴＭサービスを有効化します。

･ファイアウォールアクセスルールを作成します。

･ログを設定します。

･無線ゾーンを設定します。

･「プライマリブリッジインターフェースの設定」セクション

･プライマリブリッジインターフェースのゾーンを選択します。

･管理を有効化します。

･セキュリティサービスを有効化します。

･「セカンダリブリッジインターフェースの設定」セクション

･セカンダリブリッジインターフェースのゾーンを選択します。

･管理を有効化します。

･セキュリティサービスを有効化します。

･適切なゾーンにセキュリティサービスを適用します。

レイヤ２ブリッジモード配備における一般的な項目の設定

大部分のレイヤ２ブリッジモードトポロジでは、ＳｏｎｉｃＷＡＬＬＵＴＭ装置の使用に先だって次の設定を行う必要があります。

サービスのライセンス取得

装置が正常に登録されたら、「システム＞ライセンス」ページに移動し、「セキュリティサービスのオンライン管理」の下の「同期」を選択します。これにより、ＳｏｎｉｃＷＡＬＬライセンスサーバへの接続が行われ、装置が確実にライセンスを受けられるようになります。

ライセンス状況を確認するには、「システム＞状況」ページに移動し、すべてのＵＴＭサービス（ゲートウェイアンチウィルス、アンチスパイウェア、侵入防御）のライセンス状況を表示します。

ＤＨＣＰサーバの無効化

別の機器がＤＨＣＰサーバとして動作しているネットワーク設定でＳｏｎｉｃＷＡＬＬＵＴＭ装置をレイヤ２ブリッジモードで使用するときは、まず内部のＤＨＣＰエンジンを無効にする必要があります。既定では、このエンジンが設定されて動作しています。「ネットワーク＞ＤＨＣＰサーバ」ページで、「ＤＨＣＰサーバを有効にする」チェックボックスをオフにし、画面の上部にある「適用」ボタンを選択します。

ＳＮＭＰの設定

「システム＞管理」ページで、「ＳＮＭＰを有効にする」の横にあるチェックボックスがオンになっていることを確認し、画面の上部にある「適用」ボタンを選択します。

次に、「設定」ボタンを選択します。「ＳＮＭＰの設定」ページで、ＵＴＭ装置に関する情報として、ＳＮＭＰサーバが要求するＧＥＴコミュニティ名とＴＲＡＰコミュニティ名ならびにＳＮＭＰサーバのＩＰアドレスを入力します。「ＯＫ」を選択すると、変更内容が保存されて有効になります。

インターフェースのＳＮＭＰおよびＨＴＴＰＳの有効化

「ネットワーク＞インターフェース」ページで、装置を管理するインターフェースのＳＮＭＰおよびＨＴＴＰ／ＨＴＴＰＳを有効にします。

Ｓｙｓｌｏｇの有効化

「ログ＞Ｓｙｓｌｏｇ」ページで、「追加」ボタンを選択し、Ｓｙｓｌｏｇサーバのエントリを作成します。「ＯＫ」を選択すると、変更内容が保存されて有効になります。

ゾーンごとのＵＴＭサービスの有効化

「ネットワーク＞ゾーン」ページで、使用するゾーンごとにＵＴＭサービスが有効になっていることを確認します。

次に「セキュリティサービス」ページで、ＵＴＭサービスごとに、その環境に最も適した設定項目を有効にし設定します。

ゲートウェイアンチウィルス設定の例を下に示します。

侵入防御設定の例を下に示します。

アンチスパイウェア設定の例を下に示します。

ファイアウォールアクセスルールの作成

異なるゾーンの装置を管理したり、あるいはＨＰＰＣＭ＋／ＮＩＭサーバなどのサーバを使って管理を行ったり、ＳＮＭＰやＳｙｓｌｏｇサービスを使用するつもりなら、ゾーン間のトラフィックに関してアクセスルールを作成します。「ファイアウォール＞アクセスルール」ページで、そのサーバのゾーンとユーザおよびサーバが含まれるゾーンとの共通部分のアイコンを選択します（環境によっては共通部分が複数存在することもあります）。新しいルールを作成して、サーバがそのゾーンのすべての機器と通信できるようにします。

ログの設定

「ログ＞種別」ページで、「ログレベル」を「情報」に設定し、「警告レベル」を「重大」に設定します。「適用」を選択すると、変更内容が保存されて有効になります。

次に「ログ＞名前解決」ページに移動し、「名前解決方法」を「ＤＮＳの後にＮｅｔＢＩＯＳ」に設定します。「適用」を選択すると、変更内容が保存されて有効になります。

無線ゾーンの設定

ＨＰＰＣＭ＋／ＮＩＭシステムを使用して、ＷＬＡＮ／無線ゾーンに割り当てたインタフェース上のＨＰＰｒｏＣｕｒｖｅスイッチを管理するのであれば、２つの機能を無効にする必要があります。そうしないと、スイッチを管理できません。「ネットワーク＞ゾーン」ページに移動し、無線ゾーンを選択します。「無線」タブで、「ＳｏｎｉｃＰｏｉｎｔからのトラフィックのみを許可する」の横のチェックボックスと「ＷｉＦｉＳｅｃを有効にする」の横のチェックボックスをオフにします。「ＯＫ」を選択すると、変更内容が保存されて有効になります。

レイヤ２ブリッジモード手順の設定

ご使用のネットワークに最適なトポロジの選択については、「Ｌ２ブリッジインターフェースゾーンの選択」セクションを参照してください。この例では、「単純なＬ２ブリッジトポロジ」に最も近いトポロジを使用します。

プライマリブリッジインターフェースとして使用するインターフェースを選択します。この選択の詳細については、「Ｌ２ブリッジインターフェースゾーンの選択」セクションを参照してください。この例では、（プライマリＷＡＮに自動的に割り当てられる）Ｘ１を使用します。

プライマリブリッジインターフェースの設定

手順 1　「ネットワーク」タブを選択し、ナビゲーションパネルから「インターフェース」フォルダを選択します。

手順 2　Ｘ１（ＷＡＮ）インターフェースの右の列で設定

アイコンを選択します。

手順 3　インターフェースの静的ＩＰアドレス（１９２.１６８.０.１２など）を設定します。

補足　プライマリブリッジインターフェースには、静的ＩＰを割り当てる必要があります。

手順 4　デフォルトゲートウェイを設定します。これは、セキュリティ装置そのものをインターネットに到達させるための必須の設定です（ＷＡＮインターフェースのみ）。

手順 5　ＤＮＳサーバを設定します（ＷＡＮインターフェースのみ）。

手順 6　管理オプション（ＨＴＴＰ、ＨＴＴＰＳ、Ｐｉｎｇ、ＳＮＭＰ、ＳＳＨ、ユーザログイン、ＨＴＴＰリダイレクト）を設定します。

手順 7　「ＯＫ」を選択します。

セカンダリブリッジインターフェースとして使用するインターフェースを選択します。詳細については、「Ｌ２ブリッジインターフェースゾーンの選択」を参照してください。この例では、（ＬＡＮに自動的に割り当てられる）Ｘ０を使用します。

セカンダリブリッジインターフェースの設定

手順 1　「ネットワーク＞インターフェース」ページで、設定

アイコンをＸ０（ＬＡＮ）インターフェースの右の列で選択します。

手順 2　「ネットワークモード」ドロップダウンリストから、「レイヤ２ブリッジモード」を選択します。

手順 3　「ブリッジ先」ドロップダウンリストから、「Ｘ１」を選択します。

手順 4　管理オプション（ＨＴＴＰ、ＨＴＴＰＳ、Ｐｉｎｇ、ＳＮＭＰ、ＳＳＨ、ユーザログイン、ＨＴＴＰリダイレクト）を設定します。

手順 5　必要であれば、Ｌ２ブリッジがＩＰｖ４以外のトラフィックを通すことを防ぐために「すべての非ＩＰｖ４トラフィックをブロックする」を有効にすることもできます。

ＶＬＡＮフィルタリング（ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置の場合）

･必要に応じて「ＶＬＡＮフィルタリング」タブを表示して、Ｌ２ブリッジを介したＶＬＡＮトラフィックを制御することもできます。既定では、すべてのＶＬＡＮが許可されます。

･ドロップダウンリストから「リストされたＶＬＡＮを遮断する（ブラックリスト）」を選択し、遮断するＶＬＡＮを左ペインから選んで右ペインに追加します。右ペインに追加されたＶＬＡＮはすべて遮断されます。また、左ペインに残っているＶＬＡＮはすべて許可されます。

･ドロップダウンリストから「リストされたＶＬＡＮを許可する（ホワイトリスト）」を選択し、明示的に許可するＶＬＡＮを左ペインから選んで右ペインに追加します。右ペインに追加されたＶＬＡＮはすべて許可されます。また、左ペインに残っているＶＬＡＮはすべて遮断されます。

手順 6　「ＯＫ」を選択します。

更新済みの設定が「ネットワーク＞インターフェース」ページに表示されます。

これで、必要に応じて、セキュリティサービスを適切なゾーンに適用できるようになりました。この例では、ＬＡＮ、ＷＡＮ、または両方のゾーンにセキュリティサービスを適用する必要があります。

レイヤ２ブリッジモードでのＶＬＡＮ統合

ＶＬＡＮは、ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置でサポートされています。ＶＬＡＮタグを持ったパケットが物理インターフェースに到着すると、ＶＬＡＮＩＤが評価され、それがサポートされているかどうかが判断されます。ＶＬＡＮタグが除去され、その後は、他のトラフィックと同じようにパケット処理が続行されます。受信および送信パケットパスの単純化された表示には、繰り返しが起こり得る次の手順が含まれます。

･ＩＰ検証と再組み立て

･カプセル化解除（８０２.１ｑ、ＰＰＰ）

･復号化

･接続キャッシュの調査と管理

･ルートポリシー調査

･ＮＡＴポリシー調査

･アクセスルール（ポリシー）調査

･帯域幅管理

･ＮＡＴ変換

･高度なパケット処理（該当する場合）

･ＴＣＰ検証

･管理トラフィック処理

･コンテンツフィルタ

･変換とフロー分析（ＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置の場合）：Ｈ.３２３、ＳＩＰ、ＲＴＳＰ、ＩＬＳ／ＬＤＡＰ、ＦＴＰ、Ｏｒａｃｌｅ、ＮｅｔＢＩＯＳ、ＲｅａｌＡｕｄｉｏ、ＴＦＴＰ

･ＩＰとＧＡＶ

この時点で、許可されたトラフィックであると確認された場合、そのパケットが送信先へと転送されます。パケットの送信パスには次の処理が含まれます。

･暗号化

･カプセル化

･ＩＰ断片化

送信時には、ルートポリシーの調査によってゲートウェイインターフェースがＶＬＡＮサブインターフェースであると判断された場合、パケットが適切なＶＬＡＮＩＤヘッダーでタグ付け（カプセル化）されます。ＳｏｎｉｃＷＡＬＬのルーティングポリシーテーブルは、ＶＬＡＮサブインターフェースを作成すると自動的に更新されます。

ＶＬＡＮサブインターフェースに関連したＮＡＴポリシーおよびアクセスルールの自動作成は、物理インターフェースの場合とまったく同じように行われます。ＶＬＡＮ間のトラフィックを制御するルールおよびポリシーは、ＳｏｎｉｃＯＳの使いやすく効率的なインターフェースを使ってカスタマイズできます。

一般的な管理の過程で、またはサブインターフェースの作成手順でゾーンを作成する際、ゾーンの作成ページに、そのゾーンに対するＧｒｏｕｐＶＰＮの自動作成を制御するチェックボックスが表示されます。既定では、新たに作成された無線タイプのゾーンについてのみ、「ＧｒｏｕｐＶＰＮを生成する」が有効になっています。なお、このオプションは、他のゾーンタイプでもゾーンの作成時にチェックボックスをオンにすることで有効化できます。

ＶＬＡＮサブインターフェース間のセキュリティサービスの管理は、ゾーンレベルで行われます。すべてのセキュリティサービスは、物理インターフェース、ＶＬＡＮサブインターフェース、またはその両者の組み合わせから成るゾーンに対して設定および適用できます。

異なるワークグループ間のゲートウェイアンチウィルスおよび侵入防御サービスは、保護セグメントごとに専用の物理インターフェースを用意しなくても、ＶＬＡＮのセグメント化によって容易に達成できます。

ＶＬＡＮサポートにより、組織は、ＳｏｎｉｃＷＡＬＬ.上で専用の物理インターフェースを使用することなく、各種ワークグループ間やワークグループとサーバファーム間に（単純なパケットフィルタと比べて）より効果的な内部セキュリティを導入できます。

本書では、ＶＬＡＮサブインターフェースをＷＡＮゾーンに割り当てて、ＷＡＮクライアントモードを使用する機能（ＷＡＮゾーンに割り当てられたＶＬＡＮサブインターフェースでは、静的アドレッシングのみサポートされます）のほか、ＷＡＮ負荷分散およびフェイルオーバーをサポートする機能を紹介しています。また、ＳｏｎｉｃＰｏｉｎｔをワークグループスイッチ上のアクセスモードのＶＬＡＮポートに接続することによって、ネットワーク全体にＳｏｎｉｃＰｏｉｎｔを分散させる方法についても紹介しています。これらのスイッチは、コアスイッチにバックホールされ、その後、すべてのＶＬＡＮがトランクリンクを介して装置に接続されます。

レイヤ２ブリッジモードでのＶＰＮ統合

レイヤ２ブリッジモード向けにも設定されているインターフェースでのＶＰＮ設定時には、着信ＶＰＮトラフィックが適切にＳｏｎｉｃＷＡＬＬセキュリティ装置を通過するように追加のルートを設定する必要があります。「ネットワーク＞ルーティング」ページに移動し、ページの下方までスクロールして、「追加」ボタンを選択します。「ルートポリシーの追加」ウィンドウで、ルートを次のように設定します。

･送信元：ＡＮＹ

･送信先：個別のＶＰＮアドレスオブジェクト（これはローカルＶＰＮトンネルのＩＰアドレス範囲を表すアドレスオブジェクトです）

･サービス：ＡＮＹ

･ゲートウェイ： 0.0.0.0

･インターフェース：Ｘ０

ＩＰＳスニッファモードの設定

ＳｏｎｉｃＷＡＬＬＮＳＡ装置を設定してＩＰＳスニッファモードを有効にするには、同じゾーンにある２つのインターフェースをＬ２ブリッジペアに使用します。ＷＡＮインターフェース以外のインターフェースであれば、どれでも使用できます。ここでは、例としてＸ２とＸ３をブリッジペアに使用し、これらをＬＡＮゾーンに属するものとして設定します。ＷＡＮインターフェース (Ｘ１) は、必要に応じてＳｏｎｉｃＷＡＬＬデータセンターにアクセスするためにＳｏｎｉｃＷＡＬＬ装置で使用されます。スイッチ上のミラーリングされたポートは、ブリッジペアの一方のインターフェースに接続します。

このセクションには次の内容が含まれています。

･「ＩＰＳスニッファモード用の設定タスクリスト」

･「プライマリブリッジインターフェースの設定」

･「セカンダリブリッジインターフェースの設定」

･「ＳＮＭＰの有効化と設定」

･「セキュリティサービス (統合脅威管理) の設定」

･「ログの設定」

･「ミラーリングされたスイッチポートをＩＰＳスニッファモードインターフェースへ接続」

･「データセンターに接続するＷＡＮインターフェースの設定」

ＩＰＳスニッファモード用の設定タスクリスト

･プライマリブリッジインターフェースの設定

･プライマリブリッジインターフェースのＬＡＮゾーンの選択

･静的ＩＰアドレスの割り当て

･セカンダリブリッジインターフェースの設定

･セカンダリブリッジインターフェースのＬＡＮゾーンの選択

･プライマリブリッジインターフェースへのＬ２ブリッジの有効化

･ＳＮＭＰの有効化とＳＮＭＰマネージャシステムのトラップ送信先ＩＰアドレスの設定

･ＬＡＮトラフィックのセキュリティサービス (ＵＴＭ) の設定

･ “警告”またはそれ以下のレベルのログ警告の設定

･スイッチ上のミラーリングされたポートをブリッジペアの１インターフェースへ接続

･インターネット経由で動的シグネチャデータを取得するためのＷＡＮの接続と設定

プライマリブリッジインターフェースの設定

手順 1　「ネットワーク」タブを選択し、ナビゲーションパネルから「インターフェース」フォルダを選択します。

手順 2　Ｘ２インターフェースの右の列で設定アイコンを選択します。

手順 3　「インターフェースの編集」ダイアログボックスの「一般」タブで、「ゾーン」ドロップダウンリストから「ＬＡＮ」を選択します。

「詳細設定」タブまたは「ＶＬＡＮフィルタリング」タブで設定を行う必要はありません。

手順 4　「ネットワークモード」で、ドロップダウンリストから「静的ＩＰモード」を選択します。

手順 5　インターフェースに静的ＩＰアドレス（１０.１.２.３など）を設定します。ここで選択するＩＰアドレスが、スイッチから見える他のネットワークのＩＰアドレスと衝突しないように注意してください。

補足　プライマリブリッジインターフェースには、静的ＩＰを割り当てる必要があります。

手順 6　サブネットマスクを設定します。

手順 7　わかりやすいコメントを入力します。

手順 8　インターフェースの管理オプション（ＨＴＴＰ、ＨＴＴＰＳ、Ｐｉｎｇ、ＳＮＭＰ、ＳＳＨ、ユーザログイン、ＨＴＴＰリダイレクト）を設定します。

手順 9　「ＯＫ」を選択します。

セカンダリブリッジインターフェースの設定

ここでは、例としてＸ３をセカンダリブリッジインターフェースとして使用します。

手順 1　「ネットワーク」タブを選択し、ナビゲーションパネルから「インターフェース」フォルダを選択します。

手順 2　Ｘ３インターフェースの右の列で設定アイコンを選択します。

手順 3　「インターフェースの編集」ダイアログボックスの「一般」タブで、「ゾーン」ドロップダウンリストから「ＬＡＮ」を選択します。

「詳細設定」タブまたは「ＶＬＡＮフィルタリング」タブで設定を行う必要はありません。

手順 4　「ネットワークモード」ドロップダウンリストから、「レイヤ２ブリッジモード」を選択します。

手順 5　「ブリッジ先」ドロップダウンリストから、「Ｘ２」を選択します。

手順 6　ＩＰｖ４以外のトラフィックを監視する場合は、「すべての非ＩＰｖ４トラフィックをブロックする」設定を有効にしないでください。

手順 7　「このブリッジペアにトラフィックをルーティングしない」チェックボックスをオンにして、ミラーリングされたスイッチポートからのトラフィックがネットワークに送り返されないようにします。（「このブリッジペアにトラフィックをルーティングしない」設定は、キャプティブブリッジモードとして知られています。）

手順 8　「このブリッジペアのトラフィックのみスニフする」チェックボックスをオンにして、ミラーリングされたスイッチポートからＬ２ブリッジに到達したパケットのスニッファ、つまり監視を有効にします。

手順 9　「このブリッジペアでステートフルインスペクションを無効にする」を選択すると、機器に正当な完了したＴＣＰハンドシェークシーケンスが無かったとしてもＴＣＰ接続がＳｏｎｉｃＷＡＬＬを通過することを許可します。これはＳｏｎｉｃＷＡＬＬがＴＣＰフローすべてのトラフィックを確認するわけではない、着信と発信トラフィックに対して非対称のパケット経路を用いるネットワークで使用できます。この設定の使用は、ＴＣＰステートフルとその他の保護されたネットワークに対する防御を強制するＳｏｎｉｃＷＡＬＬの機能を制限してしまうために推奨されません。

手順 10　管理オプション（ＨＴＴＰ、ＨＴＴＰＳ、Ｐｉｎｇ、ＳＮＭＰ、ＳＳＨ、ユーザログイン、ＨＴＴＰリダイレクト）を設定します。

手順 11　「ＯＫ」を選択します。

ＳＮＭＰの有効化と設定

ＳＮＭＰを有効にすると、ゲートウェイアンチウィルス、侵入防御などのＳｏｎｉｃＷＡＬＬセキュリティサービスによって生成される多くのイベントに際して自動的にＳＮＭＰトラップが発行されます。

現在、５０種類を超えるＩＰＳイベントとＧＡＶイベントによってＳＮＭＰトラップが発行されます。『ＳｏｎｉｃＯＳログイベントリファレンスガイド』にはＳｏｎｉｃＯＳでログを記録するイベントのリストがあり、各イベントに対応するＳＮＭＰトラップ番号も記載されています。このガイドは、
〈http://www.sonicwall.com/us/Support.html〉ページの上にある検索フィールドに“Log Event”と入力すると表示できます。

侵入防御サービスを有効にしてＩＰＳスニッファモードを使用する場合にトラップが発行可能かどうかを確認するには、『ＳｏｎｉｃＯＳログイベントリファレンスガイド』の「ログイベントメッセージのインデックス」セクションにある表で“侵入”を検索します。イベントに対応するＳＮＭＰトラップ番号があれば、表の「ＳＮＭＰトラップタイプ」列に記載されています。

ゲートウェイアンチウィルスサービスを有効にしてＩＰＳスニッファモードを使用する場合にトラップが発行可能かどうかを確認するには、表で“セキュリティサービス”を検索し、「ＳＮＭＰトラップタイプ」列のＳＮＭＰトラップ番号を確認します。

ＳＮＭＰを有効にし、設定するには、以下の手順を行います。

手順 1　「システム」タブを選択し、ナビゲーションパネルから「管理」フォルダを選択します。

手順 2　スクロールして、「高度な管理」セクションを見つけます。

手順 3　「ＳＮＭＰを有効にする」チェックボックスをオンにします。設定ボタンが使用可能になります。

手順 4　「設定」を選択します。「ＳＮＭＰ設定」ダイアログボックスが表示されます。

手順 5　「ＳＮＭＰ設定」ダイアログボックスの「システム名」に、ＳｏｎｉｃＷＡＬＬから送信されるトラップを受け取るＳＮＭＰマネージャシステムの名前を入力します。

手順 6　ＳＮＭＰ連絡先の担当者の名前または電子メールアドレスを入力します。

手順 7　システムの場所を説明する文章 (“３階研究室”など) を入力します。

手順 8　システムのアセット番号を入力します。

手順 9　「Ｇｅｔコミュニティ名」に、ＳＮＭＰ情報をＳｏｎｉｃＷＡＬＬから受け取る権限を持つコミュニティ名（パブリックなど）を入力します。

手順 10　「Ｔｒａｐコミュニティ名」に、ＳＮＭＰトラップをＳｏｎｉｃＷＡＬＬからＳＮＭＰマネージャに送信する際に使うコミュニティ名（パブリックなど）を入力します。

手順 11　「ホスト」フィールドに、トラップを受け取るＳＮＭＰマネージャシステムのＩＰアドレスを入力します。

手順 12　「ＯＫ」を選択します。

セキュリティサービス (統合脅威管理) の設定

このセクションで有効にする設定は、ＩＰＳスニッファモードでどの種類の悪意のあるトラフィックを検知するかを決めるものです。一般には侵入防御を有効にしますが、ゲートウェイアンチウィルス、アンチスパイウェアなどの他のセキュリティサービスを有効にすることもできます。

セキュリティサービスを有効にするには、そのサービスのライセンスを取得し、シグネチャ情報をＳｏｎｉｃＷＡＬＬデータセンターからダウンロードする必要があります。ＩＰＳ、ＧＡＶ、アンチスパイウェアの有効化と設定の完全な手順については、このガイドの「セキュリティサービス」セクションを参照してください。

ログの設定

ログを設定して、ＳｏｎｉｃＷＡＬＬで検知された攻撃についての情報を記録することができます。

ログを有効にするには、以下の手順に従います。

手順 1　「ログ」タブを選択し、ナビゲーションパネルから「種別」フォルダを選択します。

手順 2　「ログの種別」の「表示形式」ドロップダウンリストから「すべての種別」を選択します。

手順 3　「攻撃」種別で「ログ」、「警告」、および「Ｓｙｓｌｏｇ」の各チェックボックスをオンにします。

手順 4　「適用」を選択します。

ミラーリングされたスイッチポートをＩＰＳスニッファモードインターフェースへ接続

標準のＣａｔ-５イーサネットケーブルを使って、ミラーリングされたスイッチポートとブリッジペアのいずれかのインターフェースを接続します。ネットワークトラフィックは、スイッチからＳｏｎｉｃＷＡＬＬへ自動的に送信され、そこで検査が可能になります。

ミラーリングされたポートの設定手順については、スイッチのドキュメントを参照してください。

データセンターに接続するＷＡＮインターフェースの設定

ＳｏｎｉｃＷＡＬＬのＷＡＮポート（通常はポートＸ１）をゲートウェイまたはゲートウェイにアクセスできる機器に接続します。ＳｏｎｉｃＷＡＬＬは、ＳｏｎｉｃＷＡＬＬデータセンターと自動的に通信します。ＷＡＮインターフェースを設定する詳細な手順については、「ＷＡＮインターフェースの設定」を参照してください。

ワイヤモードの設定

すべての LAN モード (静的、NAT、トランスペアレントモード、L2 ブリッジモード、Portshield スイッチモード) および、すべての WAN モード (静的、DHCP、PPPoE、PPTP、L2TP) を含む SonicOS インターフェース動作の従来のモードの広範な集合に加えて、SonicOS 5.8 ではネットワークに分断を伴わずに追加挿入する 4 つの新しい方式を提供するワイヤモードを導入しました。

表 1 ワイヤモード設定


ワイヤモード設定	説明
バイパスモード	バイパスモードにより、ワイヤモードのネットワークへの素早く比較的中断の無い導入が可能になります。ネットワークへ挿入するポイント (例. コアスイッチと境界ファイアウォールの間、VM サーバファームの前、データ分類ドメイン間の以降ポイント) の選択後で、SonicWALL セキュリティ装置は物理データパスに挿入され、非常に短い整備期間しか必要ありません。 SonicWALL セキュリティ装置上のスイッチポートの 1 つ以上のペアが、すべてのパケットをセグメントを越えて完全なライン速度で転送するために使われます。バイパスモードは検査やファイアウォール機能を提供しないので、このモードによって管理者は最小のダウンタイムと危険をもって SonicWALL セキュリティ装置をネットワークに物理的に導入して、ネットワークおよびセキュリティインフラの新しく挿入された構成要素でのある水準の安心感を得ることができます。その後管理者は、再設定を行うための簡素なユーザインターフェースを通してバイパスモードから検査または保護モードに即座に移行できます。
検査モード	検査モードは、バイパスモードを機能性が低リスク、遅延なしのパケットパスを変更せずに拡張します。パケットは SonicWALL セキュリティ装置の通過を続けますが、それらはまた、パッシブ検査、分類、フロー報告の目的のために、マルチコア RF-DPI エンジンにミラーされます。これは、実際の中間処理無しでの SonicWALL セキュリティ装置のアプリケーション情報および脅威検出機能を示します。検査モードを選択した場合、「リソース制限での分析を制限する」オプションで、すべてのトラフィックを検査するかどうかを指定します。このオプションが有効 (既定) の場合、装置は処理できる最大数のパケットを走査します。残りのパケットは、検査なしで通過が許可されます。このオプションが無効の場合、ファイアウォールの検査能力を超過するトラフィックの流れは抑制されます。補足　「リソース制限での分析を制限する」オプションを無効にすると、装置がすべてのトラフィックを走査する能力をトラフィック速度が上回った場合にスループットが減少します。
保護モード	保護モードは、検査モードの進化系で、SonicWALL セキュリティ装置のマルチコアプロセッサをパケット処理パスに活発に挿入します。これは、アプリケーション情報と制御、侵入防御サービス、ゲートウェイおよびクラウドベースのアンチウィルス、アンチスパイウェア、そしてコンテンツフィルタを含む、検査とポリシーエンジンの完全な機能セットを開放します。保護モードは、通常の NAT や L2 ブリッジモードの配備と同じレベルの可視性と強制を、L3/L4 変換無しで、そして ARP やルーティング動作の変更無しで提供します。こうして保護モードは、既存のネットワーク設計への最低限の物理的変更だけで論理的変更を必要としない、少しずつ到達可能な NGFW 配備を提供します。
タップモード	タップモードは検査モードと同じ視野を提供しますが、SonicWALL セキュリティ装置上の単一スイッチポートを介してミラーされたパケットストリームを吸収して、物理的な中間挿入の必要性を除去する点が異なります。タップモードは、検査や収集用に外部機器にパケットを届けるためにネットワークタップ、スマートタップ、ポートミラー、または、SPAN ポートを利用する環境で使用するように設計されています。ワイヤモードの他のすべての形態と同様に、タップモードは複数同時ポートインスタンスで動作可能で、複数タップからの不連続ストリームをサポートします。

以下は、インターフェース設定モード間の主な機能の違いです。

表 2 異なるワイヤモード設定での機能性


	バイパスモード	検査モード	保護モード	タップモード	L2 ブリッジ、トランスペアレント、NAT、ルートモード
アクティブ/アクティブクラスタリング ¹	いいえ	いいえ	いいえ	いいえ	いいえ
アプリケーション制御	いいえ	いいえ	はい	いいえ	はい
アプリケーション可視化	いいえ	はい	はい	はい	はい
ARP/ルーティング/NAT 1	いいえ	いいえ	いいえ	いいえ	はい
統合アンチスパムサービス 1	いいえ	いいえ	いいえ	いいえ	はい
コンテンツフィルタ	いいえ	いいえ	はい	いいえ	はい
DHCP サーバ 1	いいえ	いいえ	いいえ	いいえ	はい ²
DPI 検出	いいえ	はい	はい	はい	はい
DPI 防御	いいえ	いいえ	はい	いいえ	はい
DPI-SSL 1	いいえ	いいえ	いいえ	いいえ	はい
高可用性 1	はい	はい	はい	はい	はい
リンク状況伝達 ³	いいえ	いいえ	いいえ	いいえ	いいえ
SPI	いいえ	はい	はい	はい	はい
TCP ハンドシェーク強制 ⁴	いいえ	いいえ	いいえ	いいえ	はい
仮想グループ 1	いいえ	いいえ	いいえ	いいえ	はい

¹ これらの機能とサービスは、ワイヤモードで設定されたインターフェースでは利用できませんが、システム全体レベルでは、他の互換性のある動作モードで設定されたどのインターフェースでも利用可能です。

² L2 ブリッジモードでは利用不可です。

³リンク状況伝達は、ワイヤモードペアのインターフェースがリンク状況のミラーをパートナーの遷移によって開始する機能です。これは、特に冗長化パスのあるネットワークで正しい動作をするために不可欠です。

⁴ ワイヤモードでは、複数のワイヤモードのパスまたは複数の SonicWALL セキュリティ装置が冗長または非対称パスと共に使用されている場合に、ネットワーク上のどこかで発生するフェイルオーバーイベントがサポートされることを許可するために、設計上無効になっています。

補足　ワイヤモードで運転する場合、ローカル管理には SonicWALL セキュリティ装置の専用 "管理" インターフェースが使われます。リモート管理および動的なセキュリティサービスとアプリケーション情報の更新を有効にするには、WAN インターフェース(ワイヤモードインターフェースから独立した) をインターネット接続のために設定する必要があります。これは、SonicOS がほぼすべての組み合わせの混在モードのインターフェースをサポートするので、簡単にできます。

インターフェースをワイヤモードに設定するには、以下の手順に従います。

1. 「

ネットワーク＞インターフェース」ページ上で、ワイヤモードに設定したいインターフェースの設定ボタンを選択します。

2. 「

ゾーン」プルダウンメニューで、「LAN」を選択します。

3. インターフェースをタップモードで設定するには、「

モード/IP 割り当て」プルダウンメニューで「タップモード (1 ポートタップ)」を選択して、「OK」を選択します。

4. インターフェースをワイヤモードで設定するには、「

モード/IP 割り当て」プルダウンメニューで「ワイヤモード (2 ポートワイヤ」を選択します。

5. 「

ワイヤモード設定」プルダウンメニューで、適切なモードを選択します。

･バイパスモード (内部スイッチ/リレーによる)

･検査モード (ミラートラフィックのパッシブ DPI)

･保護モード (直列トラフィックのアクティブ DPI)

6. 「

検査モード」を選択した場合、「リソース制限での分析を制限する」オプションが表示されます。これは既定で有効です。このオプションが有効の場合、装置は処理できる最大数のパケットを走査します。残りのパケットは、検査なしで通過が許可されます。このオプションが無効の場合、ファイアウォールの検査能力を超過するトラフィックの流れは抑制されます。

補足　「リソース制限での分析を制限する」オプションを無効にすると、装置がすべてのトラフィックを走査する能力をトラフィック速度が上回った場合にスループットが減少します。

7. 「

ペアインターフェース」プルダウンメニューで、上流のファイアウォールに接続するインターフェースを選択します。このペアインターフェースは同じ種別 (2 つの 1 GB インターフェースまたは2 つの 10 GB インターフェース) である必要があります。

補足　未定義のインターフェースのみが、「ペアインターフェース」プルダウンで利用可能です。インターフェースを未定義にするには、インターフェースの設定ボタンを選択して、「ゾーン」プルダウンメニューで「未定義」を選択します。

8. 「

OK」を選択します。