レイヤ 2 ブリッジモード

SonicOS には、ファイアウォールをあらゆるイーサネットネットワークに透過的に統合するための手法として、L2 (レイヤ 2) ブリッジモードが備わっています。L2 ブリッジモードは、ファイアウォールが 2 つのインターフェース間で共通のサブネットを共有し、すべての IP トラフィックに対してステートフルな精密パケット検査を実行できるという点で、見かけ上は SonicOS のトランスペアレントモードに似ていますが、機能上は、より多目的な用途に対応しています。

L2 ブリッジモードでは、セキュリティで保護された学習ブリッジ手法が採用されているため、他の多くの透過的なセキュリティ装置統合方式では処理できない種類のトラフィックを通過させ、検査することができます。L2 ブリッジモードを使うと、既存のイーサネットネットワークに影響を与えずに Dell SonicWALL セキュリティ装置を追加して、インラインの精密パケット検査機能をすべての IPv4 TCP と UDP のトラフィックに提供することができます。このシナリオでは、SonicWALL がセキュリティを適用するためではなく、両方向のスキャン、ウイルスとスパムの遮断、および侵入の阻止に使用されます。

他の透過的なソリューションとは異なり、L2 ブリッジモードは、IEEE 802.1Q VLAN、Spanning Tree Protocol、マルチキャスト、ブロードキャスト、IPv6 を含む、すべての種類のトラフィックを通過させるため、いずれのネットワーク通信も中断されることはありません。

L2 ブリッジモードの多目的性を示すもう 1 つの例が、このモードを使用して IPS スニッファモードを設定できることです。IPS スニッファモードは、Dell SonicWALL セキュリティ装置でサポートされ、ブリッジペアの 1 インターフェースを使用してスイッチ上のミラーリングされたポートからのネットワークトラフィックを監視します。IPS スニッファモードでは侵入検知が可能ですが、ファイアウォールがトラフィックフローにインラインで接続されていないため、悪意のあるトラフィックを遮断することはできません。IPS スニッファモードの詳細については、IPS スニッファモードを参照してください。

L2 ブリッジモードは、既存のファイアウォールが存在し、既存のファイアウォールを変更する計画が当面はなく、一方で SonicWALL 精密パケット検査とセキュリティサービスのセキュリティ機能 (侵入防御サービス、ゲートウェイアンチウイルス、ゲートウェイアンチスパイウェアなど) を追加する必要のあるネットワークにとって理想的なソリューションです。SonicWALL セキュリティサービスを購読していない場合は、SonicWALL の「セキュリティサービス > 概要」ページで無料トライアルに申し込むことができます。

L2 ブリッジモードは高可用性を備えた配備でも使用できます。このシナリオについては、高可用性を備えたレイヤ 2 ブリッジモードで説明します。


	補足：リンク統合化は、レイヤ 2 ブリッジモードではサポートされません。

トピック:

•

SonicOS レイヤ 2 ブリッジモードの主要な機能

•

L2 ブリッジモードとトランスペアレントモードの設定に関連した重要な概念

•

L2 ブリッジモードとトランスペアレントモードの比較

•

L2 ブリッジパスの決定

•

L2 ブリッジインターフェースゾーンの選択

•

サンプルトポロジ

SonicOS レイヤ 2 ブリッジモードの主要な機能

次の表は、レイヤ 2 ブリッジモードの主要な機能とその利点をまとめたものです。

表 26. SonicOS レイヤ 2 ブリッジモード:主要な機能と利点
機能	利点
精密パケット検査を備えた L2 ブリッジング	アドレスの再割り当てや再構成を行うことなく、Dell SonicWALL セキュリティ装置をあらゆるネットワークに追加でき、かつ、既存のネットワークデザインを変更することなく、精密パケット検査のセキュリティサービスを追加できるトランスペアレントな処理手法です。L2 ブリッジモードは、セキュリティと同程度に接続性を重視して設計され、あらゆる種類のイーサネットフレームを通過させることができるため、シームレスな統合が可能となります。
セキュリティで保護された学習ブリッジ手法	許可されているすべてのトラフィックが L2 ブリッジを介してネイティブに通過できなければ、真の L2 動作とは言えません。L2 ブリッジモード以外のトランスペアレント処理手法は、透過性を実現するために ARP やルート操作に依存しており、そのことが原因で問題が生じることも少なくありません。これに対し、L2 ブリッジモードでは、ネットワークのトポロジを動的に学習することによって最適なトラフィックパスが決定されます。
あらゆるイーサネットフレームタイプのサポート	すべてのイーサネットトラフィックが L2 ブリッジを通過できます。つまり、どのようなネットワーク通信も中断されることはありません。その他多くのトランスペアレント処理手法が IPv4 トラフィックしかサポートしていないのに対し、L2 ブリッジモードは、すべての IPv4 トラフィックを検査した上で、その他すべてのトラフィック (LLC、全 Ethertype、独自フレーム形式など) を通過させるか、必要であれば遮断します。
混在モード処理	L2 ブリッジモードは、L2 ブリッジに加え、従来のセキュリティ装置のサービス (ルーティング、NAT、VPN、無線動作など) を同時に提供します。したがって、ネットワークの特定のセグメントでは L2 ブリッジとして使用しながら、それ以外のセグメントにはセキュリティサービス一式をすべて提供するといったことも可能です。Dell SonicWALL セキュリティ装置をピュア L2 ブリッジとして導入しておき、将来、必要に応じて完全なセキュリティサービス動作に移行させることもできます。
無線レイヤ 2 ブリッジ	LAN、WLAN、DMZ、または個別ゾーンなど、複数のゾーンタイプにわたって単一の IP サブネットを使用します。この機能により、無線クライアントと有線クライアントは、DHCP アドレスなどの同じネットワークリソースをシームレスに共有できます。レイヤ 2 プロトコルは、対になったインターフェース間での実行が可能であり、ブロードキャストパケットや非 IP パケットなど、複数のトラフィックタイプがブリッジを通過できるようにします。

L2 ブリッジモードとトランスペアレントモードの設定に関連した重要な概念

L2 ブリッジモードの運用と設定について言及する際、次のような用語が使用されます。

•

L2 ブリッジモード－ Dell SonicWALL セキュリティ装置の設定手法の 1 つです。SonicWALL をインラインで既存のネットワークに追加でき、トランスペアレントモードを超える完全な透過性を実現します。レイヤ 2 ブリッジモードは、ブリッジペアのセカンダリブリッジインターフェースに対して選択されたネットワークモード設定と言うこともできます。

•

トランスペアレントモード－ Dell SonicWALL セキュリティ装置の設定方法の 1 つです。自動的に適用される ARP とルーティングロジックを使用し、単一の IP サブネットを複数のインターフェースにスパニングすることにより、IP を設定し直すことなく、SonicWALL を既存のネットワークに追加できるようにします。

•

ネットワークモード－保護インターフェース (LAN) またはパブリックインターフェース (DMZ) を設定するとき、インターフェースのネットワークモードとして、次のいずれかを選択できます。

•

静的－インターフェースの IP アドレスを手動で入力します。

•

トランスペアレントモード－インターフェースの IP アドレスが、WAN プライマリ IP サブネット範囲内のアドレスオブジェクト (ホスト、範囲、またはグループ) を使って割り当てられ、WAN インターフェースから、割り当てられているインターフェースへとサブネットを効果的にスパニングすることができます。

•

レイヤ 2 ブリッジモード－このモードで設定されたインターフェースは、同じブリッジペアのプライマリブリッジインターフェースに対するセカンダリブリッジインターフェースになります。このブリッジペアは、完全な L2 透過性を備えた 2 ポートの学習ブリッジのように振る舞い、それを通過するすべての IP トラフィックは完全なステートフルフェイルオーバーと精密パケット検査の対象となります。

•

ブリッジペア－プライマリブリッジインターフェースとセカンダリブリッジインターフェースの組み合わせから成る論理的なインターフェースです。ここで言うプライマリとセカンダリは、本質的な動作上の優位性や主従関係を表すものではありません。どちらのインターフェースも絶えずそれぞれのゾーンタイプに従って扱われ、設定されているアクセスルールに従って IP トラフィックを通過させます。ブリッジペアを通過する非 IPv4 トラフィックは、セカンダリブリッジインターフェースの「すべての非 IPv4 トラフィックをブロックする」の設定によって制御されます。サポートされるブリッジペアの数は、利用可能なインターフェースのペアに依存します。つまり、ブリッジペアの最大数は、プラットフォーム上の物理インターフェース数を 2 で割った値になります。ブリッジペアに属しているからといって、インターフェースの従来の動作が妨げられることはありません。例えば、X1 が、X3 をセカンダリブリッジインターフェースとするブリッジペアのプライマリブリッジインターフェースとして設定されている場合、X1 は、同時にプライマリ WAN としての従来の役割を果たし、自動的に追加される X1 の既定 NAT ポリシーを介して、インターネット宛てのトラフィックの NAT 変換を実行できます。

•

プライマリブリッジインターフェース－セカンダリブリッジインターフェースと対をなすインターフェースの呼称です。プライマリブリッジインターフェースは、非保護ゾーン (WAN)、保護ゾーン (LAN)、パブリックゾーン (DMZ) のいずれかに所属することができます。

•

セカンダリブリッジインターフェース－ネットワークモードがレイヤ 2 ブリッジモードに設定されたインターフェースの呼称です。セカンダリブリッジインターフェースは、保護ゾーン (LAN) またはパブリックゾーン (DMZ) に所属することができます。

•

ブリッジ管理アドレス－プライマリブリッジインターフェースのアドレスは、ブリッジペアの両方のインターフェースによって共有されます。プライマリブリッジインターフェースがプライマリ WAN インターフェースとしても機能する場合、SonicWALL の発信通信 (NTP など) やライセンスマネージャの更新には、このアドレスが使用されます。また、混在モードの配備において、ブリッジペアのいずれかのセグメントに接続されたホストが、そのゲートウェイとしてブリッジ管理アドレスを使用する場合もあります。

•

ブリッジパートナー－ブリッジペアのもう一方のメンバーを指す用語です。

•

非 IPv4 トラフィック - SonicOS は以下の IP プロトコル種別をサポートします。ICMP (1)、IGMP (2)、TCP (6)、UDP (17)、GRE (47)、ESP (50)、AH (51)、EIGRP (88)、OSPF (89)、PIM-SM (103)、L2TP (115)。Combat Radio Transport Protocol (126) などの特殊な IP タイプや IPX、(現時点では) IPv6 などの非 IPv4トラフィックタイプについては、SonicWALL でネイティブに処理することはできません。非 IPv4 トラフィックは、L2 ブリッジモードの設定により通過させるか破棄することができます。

•

キャプティブブリッジモード－ L2 ブリッジ動作のこのオプションモードでは、L2 ブリッジに到着したトラフィックを非ブリッジペアインターフェースに転送することができません。既定では、L2 ブリッジのロジックにより、L2 ブリッジに到着したトラフィックは ARP およびルーティングテーブルによって決定される最適なパスに従って送信先に転送されます。場合によっては、こうした最適なパスで非ブリッジペアインタフェースへのルーティングや NAT 変換が必要になることがあります。キャプティブブリッジモードを有効にすると、L2 ブリッジに到着するトラフィックは論理的に最適なパスを取ることなく L2 ブリッジを出て行きます。一般に、このモードの動作が必要になるのは、冗長なパスが存在する複雑なネットワークでパスの厳守が求められる場合に限られます。

•

ピュア L2 ブリッジトポロジ－ネットワークにインラインセキュリティを提供することを目的とし、ファイアウォールを厳密な L2 ブリッジモードで使用することをいいます。つまり、ブリッジペアの一方の側に着信したトラフィックは常にもう一方の側に宛てて送出されます。異なるインターフェースを介してルーティングまたは NAT 変換されることはありません。既に境界セキュリティ装置が存在する場合や、既存のネットワークの特定のパス (部門間または 2 つのスイッチ間のトランクリンクなど) に沿ったインラインセキュリティが求められる場合に用いられる代表的なトポロジです。ピュアL2 ブリッジトポロジは機能的な制約を意味するものではなく、むしろ混成環境における一般的な配備を表すトポロジ上の概念と言えます。

•

混在モードトポロジ－ SonicWALL を介した受信/送信のポイントがブリッジペア以外にも存在する配備をいいます。つまり、ブリッジペアの一方の側に着信したトラフィックは、異なるインターフェースを介してルーティングまたは NAT 変換されることもあります。例えば、次のような環境が既に整っているとき、同時に SonicWALL を使用することで、1 つまたは複数のブリッジペアにセキュリティを提供できます。

•

ブリッジペアまたは他のインターフェース上のホストに対する境界セキュリティ (WAN 接続など)。

•

保護 (LAN) インターフェースやパブリック (DMZ) インターフェースなど、追加のセグメントに対するファイアウォールやセキュリティサービス。この場合、これらのセグメント上のホストと、ブリッジペア上のホストとの間で通信を行うことになります。

•

SonicPoint との無線サービス。この場合、無線クライアントと、ブリッジペア上のホストとの間で通信が行われます。

L2 ブリッジモードとトランスペアレントモードの比較

トピック:

•

トランスペアレントモードでの ARP

•

トランスペアレントモードの VLAN サポート

•

トランスペアレントモードでの複数サブネット

•

トランスペアレントモードの非 IPv4 トラフィック

•

L2 ブリッジモードでの ARP

•

L2 ブリッジモードでの ARP

•

L2 ブリッジモードでの VLAN サポート

•

L2 ブリッジの IP パケットパス

•

L2 ブリッジモードでの複数サブネット

•

L2 ブリッジモードでの非 IPv4 トラフィック

•

L2 ブリッジモードとトランスペアレントモードの比較

•

L2 ブリッジモードにはないトランスペアレントモードのメリット

トランスペアレントモードでは、SonicOS が実行されているセキュリティ装置を、アドレスの再割り当てなしに既存のネットワークに導入できますが、この場合、特に ARP、VLAN サポート、複数サブネット、非 IPv4 トラフィック種別に関して、ある程度の中断を伴います。例えば、統合に伴う中断を最小限に抑えることを優先し、トランスペアレントモードの SonicWALL 装置をネットワークに追加したとします。この構成の特徴を次に示します。

•

予定外のダウンタイムがまったく発生しないか、発生したとしても無視できるほど小さい。

•

ネットワークのどの部分にもアドレスの再割り当てが不要。

•

(ルータが ISP によって所有されている場合によく見られるような) ゲートウェイルータの再設定や変更が不要。

トランスペアレントモードでの ARP

トランスペアレントモードでは、ARP (Address Resolution Protocol: ネットワークインターフェースカードの一意のハードウェアアドレスと IP アドレスとを関連付けるメカニズム) がプロキシされます。左側のワークステーションまたはサーバが、過去にルータ (192.168.0.1) の MAC アドレスを 00:99:10:10:10:10 に解決したことがある場合、これらのホストが SonicWALL を介して通信を行うためには、このキャッシュされた ARP エントリがクリアされている必要があります。これは、SonicWALL が、トランスペアレントモード動作のインターフェースに接続されているホストに代わって、ゲートウェイの IP (192.168.0.1) をプロキシ (つまり、代理で応答する) するためです。したがって、左側のワークステーションが 192.168.0.1 の解決を試みるために ARP 要求を送信すると、SonicWALL が自分の X0 の MAC アドレス (00:06:B1:10:10:10) を返すことによって応答します。

同様に、SonicWALL がその X1 (プライマリ WAN) インターフェースで ARP 要求を受信した場合、トランスペアレントモードのインターフェースに割り当てられたトランスペアレント範囲 (192.168.0.100 ～ 192.168.0.250) に指定されている IP アドレスを対象に ARP のプロキシを行います。ルータが過去にサーバ (192.168.0.100) の MAC アドレスを 00:AA:BB:CC:DD:EE に解決したことがある場合、SonicWALL を介してホストと通信するためには、このキャッシュされた ARP エントリがクリアされている必要があります。通常、そのためには、管理インターフェースを使用するか、再起動することによって、ルータの ARP キャッシュを消去する必要があります。ルータの ARP キャッシュがクリアされると、このルータは、192.168.0.100 に対する新しい ARP 要求を送信できます。SonicWALL は、それに対する応答として、X1 の MAC アドレスである 00:06:B1:10:10:11 を返します。

•

VLAN ID が禁止されていた場合、パケットは破棄されてログに記録されます。

•

VLAN ID が許可されていた場合、パケットのカプセル化が解除され、VLAN ID が格納されて、内部パケット (IP ヘッダーを含む) がフルパケットハンドラを介して渡されます。

L2 ブリッジでは任意の数のサブネットがサポートされるため、パケットの送信元 IP に対して、送信元 IP スプーフィングチェックが実行されます。ファイアウォールアクセスルールを使って特定のサブネットだけをサポートするように L2 ブリッジを設定することもできます。

SYNフラッドチェックが実行されます。

適切なファイアウォールアクセスルールを適用するため、送信先ゾーンに対して送信先ルート調査が実行されます。送信元ゾーンと同じゾーン (LAN から LAN など)、非保護ゾーン (WAN)、暗号化 (VPN)、無線 (WLAN)、マルチキャスト、任意のタイプの個別ゾーンを含め、すべてのゾーンが有効な送信先になります。

NAT調査が実行され、必要に応じて適用されます。

•

一般に、L2 ブリッジに到達したパケットの送信先はブリッジパートナーインターフェース (つまり、ブリッジのもう一方の側) になります。この場合、変換は一切実行されません。

•

混在モードのトポロジで多く見られるように、L2 ブリッジ管理アドレスがゲートウェイである場合、NAT が必要に応じて適用されます。詳細については、「L2 ブリッジパスの決定」セクションを参照してください。

パケットにファイアウォールアクセスルールが適用されます。例えば、Dell SonicWALL セキュリティ装置の場合、次のパケットデコードは、VLAN ID 10、送信元 IP アドレス 110.110.110.110、送信先 IP アドレス 4.2.2.1 の ICMP パケットを示しています。

VLAN のメンバーシップに関係なく、どの IP 要素 (送信元 IP、送信先 IP、サービス種別など) でも任意の IP パケットを制御するファイアウォールアクセスルールを作成できます。禁止されたパケットは破棄されてログに記録されます。許可されたパケットは引き続き処理されます。

パケットに対する接続キャッシュエントリが作成され、必要に応じて NAT 変換が実行されます。

TCP、VoIP、FTP、MSN、Oracle、RTSP のほか、メディアストリーム、PPTP、およびL2TP に対するステートフルパケット検査および変換が実行されます。禁止されたパケットは破棄されてログに記録されます。許可されたパケットは引き続き処理されます。

GAV、IPS、アンチスパイウェア、CFS、電子メールフィルタなどの精密パケット検査が実行されます。禁止されたパケットは破棄されてログに記録されます。許可されたパケットは引き続き処理されます。設定されている場合、クライアント警告通知が実行されます。

パケットの宛先が暗号化ゾーン (VPN)、非保護ゾーン (WAN)、またはその他の接続インターフェース (非保護ゾーンとその他の接続インターフェースは、通常、混在モードトポロジの場合に該当) であった場合、パケットは適切なパスを介して送信されます。

パケットの宛先が VPN/WAN/接続インターフェースではなかった場合、保存されていた VLAN タグが復元され、(再び元の VLAN タグを持った) パケットがブリッジパートナーインターフェースへと送出されます。

L2 ブリッジモードでの複数サブネット

前述したように、L2 ブリッジモードでは、ブリッジを介して任意の数のサブネットを処理できます。既定では、すべてのサブネットが許可されますが、アクセスルールを適用してトラフィックを制御することも可能です。

L2 ブリッジモードでの非 IPv4 トラフィック

既定では、サポートされないトラフィックが、L2 ブリッジインターフェースからブリッジパートナーインターフェースへと渡されます。これにより、LLC パケット (Spanning Tree など) や他の EtherType (MPLS ラベルスイッチパケット (EtherType 0x8847)、Appletalk (EtherType 0x809b)、Banyan Vines (EtherType 0xbad)) など、IPv4 以外のトラフィックを通過させることができます。これらの非 IPv4 パケットはブリッジを通過するだけで、パケットハンドラによって検査されることも、制御されることもありません。これらのトラフィックタイプが不要である場合は、「セカンダリブリッジインターフェース」設定ページの「すべての非 IPv4 トラフィックをブロックする」オプションを有効にすることで、ブリッジの動作を変更できます。

L2 ブリッジモードとトランスペアレントモードの比較

表 27. L2 ブリッジモードとトランスペアレントモードの比較
項目	レイヤ 2 ブリッジモード	トランスペアレントモード
動作のレイヤ	レイヤ 2 (MAC)	レイヤ 3 (IP)
ARP 動作	ARP (Address Resolution Protocol) の情報は変更されません。MAC アドレスはそのままの形で L2 ブリッジを通過します。SonicWALL の MAC アドレスを宛先とするパケットは処理され、それ以外のパケットは通過します。送信元と送信先が学習されてキャッシュされます。	ARP は、トランスペアレントモードで動作するインターフェースによってプロキシされます。
パスの決定	ブリッジペアのいずれかの側のホストが、動的に学習されます。インターフェースの関連付けを宣言する必要はありません。	プライマリ WANインターフェースは、常にトランスペアレントモードトラフィックおよびサブネット空間決定のマスター受信/送信ポイントになります。このサブネット空間を透過的に共有するホストは、アドレスオブジェクトの割り当てを使用して明示的に宣言されている必要があります。
最大インターフェース数	2 つ (プライマリブリッジインターフェースおよびセカンダリブリッジインターフェース)。	複数のインターフェース。マスターインターフェースは常にプライマリ WANになります。利用可能なインターフェースさえあれば、従属トランスペアレントインターフェースの数に制限はありません。
最大ペア数	最大数ブリッジペア数は、利用可能な物理インターフェース数に依存します。これは、“複数の 1 対 1 ペアリング"と考えることができます。	トランスペアレントモードでは、複数のインターフェースが同時にプライマリ WANに対するトランスペアレントパートナーとして動作することはできますが、これは単にプライマリWANのサブネットを他のインターフェースにスパニングしているに過ぎません。これは、“単一の 1 対 1 ペアリング"または“単一の1 対多ペアリング"と考えることができます。
ゾーンの制限	プライマリブリッジインターフェースは、非保護、保護、パブリックのいずれかになります。セカンダリブリッジインターフェースは、保護またはパブリックのいずれかになります。	トランスペアレントモードペアのインターフェースは、1 つの非保護インターフェース (ペアのサブネットのマスターとしてのプライマリ WAN) と、1 つ以上の保護/パブリックインターフェース (LAN または DMZ など) で構成されている必要があります。
サポートされるサブネット数	任意の数のサブネットがサポートされます。サブネットへのトラフィックまたはサブネットからのトラフィックは、ファイアウォールアクセスルールを作成することによって制御できます。	既定の設定では、トランスペアレントモードでサポートされるサブネット数は 1 つだけです (つまり、プライマリ WANに割り当てられ、プライマリ WANからスパニングされるサブネット)。ARP エントリおよびルートを使用して、サブネットを手動で追加することはできます。
非 IPv4 トラフィック	既定では、セカンダリブリッジインターフェースの設定ページで無効にされていない限り、すべての非 IPv4 トラフィックが、ブリッジペアインターフェースからそのブリッジパートナーインターフェースへとブリッジされます。これには、IPv6 トラフィック、STP (Spanning Tree Protocol)、および識別不能の IP タイプも含まれます。	トランスペアレントモードでは非 IPv4 トラフィックは処理されません。破棄されてログに記録されます。
VLAN トラフィック	VLAN トラフィックは L2 ブリッジを介して渡され、ステートフル精密パケット検査エンジンによって完全に検査されます。	VLAN サブインターフェースを作成し、トランスペアレントモードアドレスオブジェクトを割り当てることはできますが、VLAN はそのまま通過するのではなく、SonicWALL で終端されます。
VLAN サブインターフェース	ブリッジペアインターフェース上で VLAN サブインターフェースを作成することはできます。ただし、VLAN フレーム内の送信先 IP アドレスが、SonicWALL 上の VLAN サブインターフェースの IP アドレスと一致しない限り、VLAN サブインターフェースは、ブリッジを介してブリッジパートナーへと渡されます。両者のアドレスが一致した場合は (例えば、管理トラフィックとして) 処理されます。	トランスペアレントモードで動作する物理インターフェースに VLAN サブインターフェースを割り当てることはできますが、動作モードはその親に依存しません。これらの VLAN サブインターフェースに、トランスペアレントモードアドレスオブジェクトを割り当てることもできますが、VLAN サブインターフェースはそのまま通過するのではなく終端されます。
動的アドレッシング	プライマリブリッジインターフェースを WANゾーンに割り当てることはできますが、プライマリブリッジインターフェースに対しては静的アドレッシングしか行えません。	トランスペアレントモードでは、プライマリWANがマスターインターフェースとして使用されますが、トランスペアレントモードでは静的アドレッシングしか許可されません。
VPN サポート	ルート設定を 1 つ追加することで VPN 動作がサポートされます。詳細については、レイヤ 2 ブリッジモードでの VPN 統合を参照してください。	VPN 動作がサポートされます。特別な設定要件はありません。
DHCP サポート	DHCP はブリッジペアを通過できます。	トランスペアレントモードで動作するインターフェースは、DHCP サービスを提供するか、IP ヘルパーを使って DHCP を通過させることができます。
ルーティングと NAT	L2 ブリッジペアと他のパス間のトラフィックはインテリジェントにルーティングされます。既定では、ブリッジペアインターフェースからブリッジパートナーへのトラフィックは NAT 変換されませんが、他のパスへのトラフィックを必要に応じて NAT 変換することもできます。必要に応じて独自のルートおよび NAT ポリシーを追加できます。	トラフィックは他のパスとの間でインテリジェントにルーティングされます。既定では、WANとトランスペアレントモードインターフェース間のトラフィックは NAT 変換されませんが、他のパスへのトラフィックを必要に応じて NAT 変換することもできます。必要に応じて独自のルートおよび NAT ポリシーを追加できます。
ステートフルパケット検査	ファイアウォールの VLAN トラフィックなど、L2 ブリッジを通過するすべてのサブネットのすべての IPv4 トラフィックには、完全なステートフルパケット検査が適用されます。	トランスペアレントモードアドレスオブジェクトの割り当てによって定義されたサブネットへのトラフィックおよびサブネットからのトラフィックには、完全なステートフルパケット検査が適用されます。
セキュリティサービス	すべてのセキュリティサービス (GAV、IPS、アンチスパイ、CFS) が完全にサポートされます。これには、標準的な IP トラフィックと 802.1Q カプセル化 VLAN トラフィックがすべて含まれます。	トランスペアレントモードアドレスオブジェクトの割り当てによって定義されたサブネットとの間で、すべてのセキュリティサービス (GAV、IPS、アンチスパイ、CFS) が完全にサポートされます。
ブロードキャストトラフィック	ブロードキャストトラフィックは、受信したブリッジペアインターフェースからブリッジパートナーインターフェースへと渡されます。	ブロードキャストトラフィックは破棄されてログに記録されます。ただし、NetBIOS については、IP ヘルパーによって処理される場合があります。
マルチキャストトラフィック	「ファイアウォール > マルチキャスト」ページでマルチキャストが有効にされている場合、マルチキャストトラフィックは検査され、L2 ブリッジペアを介して渡されます。IGMP メッセージングには依存せず、個々のインターフェースでマルチキャストサポートを有効にする必要はありません。	「ファイアウォール > マルチキャスト」ページでマルチキャストが有効にされており、かつ、関連するインターフェースでマルチキャストサポートが有効になっている場合、マルチキャストトラフィック (IGMP に依存) は検査され、トランスペアレントモードで渡されます。

L2 ブリッジモードにはないトランスペアレントモードのメリット

L2 ブリッジペアでは最大 2 つのインターフェースしか許容されない。3 つ以上のインターフェースを同じサブネット上で運用する必要がある場合は、トランスペアレントモードを検討することをお勧めします。

L2 ブリッジパスの決定

SonicWALL がブリッジペアインターフェースで受信したパケットは、適切かつ最適なパスに沿って送信先へと転送されなければなりません。そのパスはブリッジパートナーである場合もあれば、その他の物理インターフェース (またはサブインターフェース) である場合もあります。あるいは VPN トンネルである場合も考えられます。同様に、ブリッジペア上の特定のホスト宛てに、他のパス (物理、仮想、または VPN) から到達したパケットは、適切なブリッジペアインターフェースを介して送出される必要があります。以下は、こうした状況下で、パス決定に適用されるロジックを順に説明したものです。

送信先に対して、既定以外の最も限定的なルートが存在する場合は、そのルートが選択されます。例えば、次のようなケースが該当します。

ホスト 15.1.1.100 サブネット宛てのパケットが X3 (非 L2 ブリッジ LAN) に到達した。ここで、15.1.1.0/24 サブネットへのルートが、X0 (セカンダリブリッジインターフェース、LAN) インターフェースを介し、192.168.0.254 を経由したパスに存在する。この場合、パケットは、X0 を介して、送信先 IP アドレス 15.1.1.100 を持つ、192.168.0.254 の送信先MAC アドレスに転送されます。

ホスト 10.0.1.100 宛てのパケットが X4 (プライマリブリッジインターフェース、LAN) に到達した。ここで、10.0.1.0/24 へのルートが、X5 (DMZ)インターフェースを介し、192.168.10.50 を経由したパスに存在する。この場合、パケットは、X5 を介して、送信先IP アドレス 10.0.1.100 を持つ、192.168.10.50 の送信先 MAC アドレスに転送されます。

送信先への特定のルートが存在しない場合は、送信先 IP アドレスを調べるために、ARP キャッシュ調査が実行されます。キャッシュエントリと比較した結果、一致が見つかった場合、適切な送信先インターフェースが判明します。例えば、次のようなケースが該当します。

ホスト 192.168.0.100 (L2プライマリブリッジインターフェース X2 上に存在) 宛てのパケットが X3 (非 L2 ブリッジ LAN) に到着した。この場合、パケットは X2 を介し、ARP キャッシュから取得された既知の送信先 MAC および IP アドレス (192.168.0.100) に転送されます。

X5 (DMZ) 上のホスト 10.0.1.10 宛てのパケットが、X4 (プライマリブリッジインターフェース、LAN) に到着した。この場合、パケットは X5 を介し、ARP キャッシュから取得された既知の送信先 MAC および IP アドレス (10.0.1.10) に転送されます。

ARP エントリが見つからない場合は、次の処理が行われます。

パケットがブリッジペアインターフェースに到着した場合、そのパケットはブリッジパートナーインターフェースに送信されます。

パケットが他のパスから到着する場合、SonicWALL が、ブリッジペアの両方のインターフェースに ARP 要求を送出して、送信先 IP が存在するセグメントを特定します。

最後のケースでは、ARP 応答を受信するまでは送信先が不明であるため、それまでは送信先ゾーンも判明しません。したがって、パスが決定するまで、SonicWALL は適切なアクセスルールを適用できません。パスが決定された時点で、後続の関連するトラフィックに対して適切なアクセスルールが適用されます。

L2 ブリッジペアインターフェースに到着したトラフィックのアドレス変換 (NAT) については、次のように処理されます。

ブリッジパートナーインターフェースに向けて送出されることが確定している場合、IP 変換 (NAT) は実行されません。

異なるパスに向けて送出されることが決まっている場合は、次の規則に従って適切な NAT ポリシーが適用されます。

パスが別の接続 (ローカル) インターフェースである場合、変換が実行される可能性は低くなります。つまり、事実上、最終的な措置として、「すべて->元の NAT ポリシー」に従ってルーティングされます。

パスが WAN を経由することが確定している場合、既定の「自動的に追加された[インターフェース]発信 NAT ポリシー - X1 WAN」が適用され、インターネットへの配信のためにパケットの送信元が変換されます。これは、内部セキュリティの図にあるような混在モードトポロジの場合によく見られます。

L2 ブリッジインターフェースゾーンの選択

ブリッジペアインターフェースのゾーンの割り当ては、実際のネットワークのトラフィックフロー要件に従って行う必要があります。トランスペアレントモードでは、送信元インターフェースをプライマリ WAN とし、トランスペアレントインターフェースを保護またはパブリックとすることで "高保護から低保護へと保護レベルが推移していくシステム" をある意味強制的に実現しています。これに対し、L2 ブリッジモードでは保護の運用レベルをより細かく制御できます。例えば、L2 ブリッジモードでは、プライマリブリッジインターフェースとセカンダリブリッジインターフェースを同じゾーンに割り当てることも、異なるゾーンに割り当てることもできます (LAN+LAN、LAN+DMZ、WAN+CustomLAN など)。この点は、トラフィックに適用される既定のアクセスルールだけでなく、ブリッジを通過するトラフィックに対する精密パケット検査セキュリティサービスの適用方法にも影響します。ブリッジペアで使用するインターフェースを選択して構成する際、考慮すべき重要な要素として、セキュリティサービス、アクセスルール、および WAN 接続があります。

セキュリティサービスの方向性

L2 ブリッジモードを中心とした配備では、ブリッジペアインターフェースに対するゾーンを適切に選択するために、セキュリティサービスの適用性を理解することが大切です。セキュリティサービスの適用性は、次のような基準に基づいて決定されます。

サービスの方向:

•

GAV は、主にインバウンドサービスです。 HTTP、FTP、IMAP、SMTP、POP3、TCPのインバウンドストリームが検査されます。SMTP についてはアウトバウンド要素もあります。

•

アンチスパイウェアは、主にインバウンドです。インバウンドの HTTP、FTP、IMAP、SMTP、POP3 が検査され、通常はクラス ID によって識別されたスパイウェアコンポーネントの配信 (取得など) の有無がチェックされます。これとは別にアウトバウンドコンポーネントも存在します。スパイウェアコンポーネントの認識をトリガーする IPSシグネチャに固有の方向性 (すなわち“送信") と対比して、ここでは“アウトバウンド"という用語を用いています。通常、これらのコンポーネントは、インターネット上のウェブサーバ (WAN ホスト) から、クライアント (LAN ホストなど) によって HTTP 経由で取得されるため、送信の分類基準 (以下の表を参照) が使用されます。以下の表でいうと、これは送信接続に該当し、送信方向に分類されるシグネチャが必要となります。

•

IPS には、着信、送信、両方向の 3 つの方向があります。着信と送信は以下の表に記載したとおりです。両方向とは、表において交差するすべてのポイントを指します。

•

精度を高めるため、接続状態 (SYN または確立済みなど) やフローにおけるパケットの送信元 (始動者または応答者など)、他の要素も考慮されます。

トラフィックの方向:IPS に関連したトラフィックの方向は、主にトラフィックフローの送信元および送信先ゾーンによって決まります。通常、SonicWALL がパケットを受信すると、そのパケットの送信元ゾーンが即座に判明し、その送信先ゾーンも、ルート (または VPN) 調査を実行することによってすぐに判別されます。

パケットの方向性は、その送信元と送信先に基づき、着信と送信 (インバウンド/アウトバウンドと混同しないようにしてください) のいずれかに分類されます。この決定には、次の基準が用いられます。

表 28. IPS:トラフィックの方向
送信先/送信元	非保護	公開	無線	暗号化	信頼済み	マルチキャスト
非保護	着信	着信	着信	着信	着信	着信
公開	送信	送信	送信	着信	着信	着信
無線	送信	送信	信頼	信頼	信頼	着信
暗号化	送信	送信	信頼	信頼	信頼	送信
信頼済み	送信	送信	信頼	信頼	信頼	送信


	補足：表のデータは変更される場合があります。

この分類に加えて、あるゾーンから別のゾーンへと、より高い信頼性を持って転送されるパケットは、本質的に高レベルのセキュリティ (LAN｜無線｜暗号化<-->LAN｜無線｜暗号化) が確保されていることを表す、特別な信頼という種別に分類されます。信頼として分類されたトラフィックには、すべてのシグネチャが適用されます (着信、送信、および両方向)。

シグネチャの方向:これは、主に IPS に関連したものです。各シグネチャには、SonicWALL のシグネチャ開発チームにより方向が割り当てられます。これは、擬陽性を最小限に抑えるための最適化措置として行われます。シグネチャには、次の方向があります。

•

着信－着信および信頼に適用されます。シグネチャの大半は着信です。これには、アプリケーションの脆弱性を狙ったあらゆる形態の攻撃のほか、列挙やフットプリンティングといった、あらゆる試みが含まれます。シグネチャの約 85%は着信です。

•

送信－送信および信頼に適用されます。送信に分類されるシグネチャの例としては、IM や P2P のログイン試行のほか、悪性の応答 (例: 攻撃の応答) などがあります。シグネチャの約 10%は送信です。

•

両方向－すべてに適用されます。例えば、両方向のシグネチャには、IM ファイル転送、各種 NetBIOS 攻撃 (例: Sasser の通信)、各種 DoS 攻撃 (例: ポート 0 宛ての UDP/TCPトラフィック) があります。シグネチャの約 5%は両方向です。

ゾーンの適用:シグネチャがトリガーされるためには、必要なセキュリティサービスが、経路上のゾーンの少なくとも 1 つで有効になっている必要があります。例えば、インターネット (X1、WAN) 上のホストが Microsoft ターミナルサーバ (X3、セカンダリブリッジインターフェース、LAN) にアクセスしている場合、IPS が WAN、LAN、またはその両方で有効になっていれば、着信のシグネチャである "IPS 検出警告:MISC MS ターミナルサーバ要求、SID:436、優先順位:低" がトリガーされます。

既定のアクセスルール

既定では、ゾーン対ゾーンのアクセスルールが使用されます。必要に応じて変更することもできますが、既定のアクセスルールをお勧めします。既定のアクセスルールを次に示します。

図 9. 既定のアクセスルール

WAN 接続

ライセンス、セキュリティサービスに使用するシグネチャのダウンロード、NTP (時刻の同期)、CFS (コンテンツフィルタサービス) などのスタック通信には、インターネット (WAN) 接続が必要です。現時点では、これらの通信は、プライマリ WANインターフェース経由でしか行うことができません。これらのタイプの通信が必要な場合、プライマリ WANにインターネットへのパスが必要です。プライマリ WAN がブリッジペアに属しているかどうかは、これらのスタック通信を提供する機能に影響しません。


	補足：インターネット接続が利用できない場合、ライセンシングやシグネチャの更新を手動で実行することもできます。詳細については、http://www.sonicwall.com/us/support/2134_4170.html を参照してください。

サンプルトポロジ

次の図は、一般的な配備を表すサンプルトポロジです。インラインレイヤ 2 ブリッジモードでは、Dell SonicWALL セキュリティ装置が追加されて、既にファイアウォールが備わっているネットワークでセキュリティサービスを提供します。境界セキュリティでは、Dell SonicWALL セキュリティ装置がピュア L2 ブリッジモードで既存のネットワークに追加されており、ファイアウォールはネットワークの境界付近に配置されています。内部セキュリティでは、Dell SonicWALL セキュリティ装置が混在モードで完全統合されており、L2 ブリッジ、WLAN サービス、および NAT 変換による WAN アクセスを同時に提供します。高可用性を備えたレイヤ 2 ブリッジモードは、ファイアウォール HA ペアが L2 ブリッジと共に高可用性を提供する混在モードシナリオを表しています。SSL VPN を備えたレイヤ 2 ブリッジモードは、SonicWALL Aventail SSL VPN または SonicWALL SSL VPN シリーズ装置が L2 ブリッジモードと組み合わせて配備されているシナリオを表しています。

トピック:

•

•

•

•

•

高可用性を備えたレイヤ 2 ブリッジモード

•

SSL VPN を備えたレイヤ 2 ブリッジモード

無線レイヤ 2 ブリッジ

無線モードでは、無線 (WLAN) インターフェースの LAN または DMZ ゾーンへのブリッジ後、WLAN ゾーンがセカンダリブリッジインターフェースになり、無線クライアントが同等の有線クライアントと同じサブネットおよび DHCP プールを共有できるようになります。

WLAN から LAN へのレイヤ 2 インターフェースブリッジを設定するには、次の手順に従います。

SonicOS 管理インターフェースの「ネットワーク > インターフェース」ページに移動します。

ブリッジの対象とする無線インターフェースの設定アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。


	ヒント：設定済みの仮想アクセスポイントがある場合、既に WLAN ゾーン内の X4 などのインターフェースに VLAN インターフェースがあり、仮想アクセスポイントはその VLAN ID を使用するように設定されています。

「モード/IP 割り当て」ドロップダウンメニューから「レイヤ 2 ブリッジモード」を選択します。


	補足：WLAN ゾーンと選択したブリッジインターフェースとの間のトラフィックを許可する一般的なルールが自動的に作成されますが、WLAN ゾーンタイプのセキュリティポリシーが依然として適用されます。限定的なルールがあれば手動で追加する必要があります。

WLAN のブリッジ先となるインターフェースを「ブリッジ先」ドロップダウンメニューから選択します。この例では、X0 (既定の LAN ゾーン) を選択します。

残りのオプションは通常どおりに設定します。WLAN インターフェースの設定方法については、無線インターフェースの設定を参照してください。

インラインレイヤ 2 ブリッジモード

この方式は、既にファイアウォールが備わっているネットワークで、ネットワークに大きな変更を加えずにファイアウォールのセキュリティサービスを利用したいという場合に便利です。ファイアウォールをレイヤ 2 ブリッジモードで使用することにより、X0 および X1 インターフェースが同じブロードキャストドメイン/ネットワーク (X1 WAN インターフェース) の一部になります。

この例は、Hewlett Packard ProCurve スイッチング環境にインストールされた Dell SonicWALL セキュリティ装置を表しています。SonicWALL は HP の ProCurve Alliance のメンバーです。
http://www.procurve.com/alliance/members/sonicwall.htm.

HP の ProCurve Manager Plus (PCM+) および HP Network Immunity Manager (NIM) サーバソフトウェアパッケージを使用すると、Dell SonicWALL セキュリティ装置の諸機能やスイッチを管理できます。

このシナリオに合わせて SonicWALL を設定するには、「ネットワーク > インターフェース」ページに移動し、X0 LAN インターフェースの設定アイコンを選択します。「X0 設定」ページで、「ネットワークモード」を「レイヤ 2 ブリッジモード」に設定し、「ブリッジ先:」インターフェースを「X1」に設定します。また、インターフェースが HTTP および SNMP 用に設定されていて、PCM+/NIMで DMZ から管理できるようになっていることも確認します。「OK」を選択すると、変更内容が保存されて有効になります。

LAN から WAN へのトラフィックおよび WAN から LAN へのトラフィックが許可されるようにファイアウォールアクセスルールを変更することも必要です。そうしないと、トラフィックがうまく通りません。DMZ 上に PCM+/NIM サーバがある場合は、ファイアウォール上でルーティング情報に変更を加える必要もあるかもしれません。

境界セキュリティ

境界セキュリティは、セキュリティサービスの提供を目的に、SonicWALL を境界部分に追加したネットワークシナリオです (SonicWALL とルータ間には既存のファイアウォールがあってもなくてもかまいません)。通常、このシナリオでは、SonicWALL の下にあるものすべて (プライマリブリッジインターフェースセグメント) は、SonicWALL の左側にあるものすべて (セカンダリブリッジインターフェースセグメント) と比べて信頼レベルが低いと考えることができます。そのため、X1 (プライマリ WAN) をプライマリブリッジインターフェースとして使用するのが適切です。

セカンダリブリッジインターフェース (LAN) に接続されたホストからのアウトバウンドトラフィックは、SonicWALL を介して (L3 スイッチ上の VLAN インターフェースとルータを順に通過して) ゲートウェイへと出ていくことが許可されます。一方、プライマリブリッジインターフェース (WAN) からのインバウンドトラフィックは既定では通過できません。

セカンダリブリッジインターフェース (LAN) セグメントにメールサーバやウェブサーバなどのパブリックサーバが存在する場合、WAN から LAN へのトラフィックを許可するアクセスルールを追加することによって、特定の IP アドレスおよびサービスについては、これらのサーバへのインバウンドトラフィックを許可することができます。

内部セキュリティ

SonicWALL が境界セキュリティ機器およびセキュアワイヤレスプラットフォームとして動作するネットワークシナリオです。同時に、ワークステーションまたはサーバのアドレスを再割り当てすることなく、ワークステーションセグメントとサーバセグメント間の L2 ブリッジセキュリティが実現されています。

SonicWALL は、ブリッジおよびルーティング/NAT を同時に行うことができますが、この配備例は、それを象徴する典型的な部門間混在モードトポロジと言えます。プライマリブリッジインターフェース (サーバ) セグメントとセカンダリブリッジインターフェース (ワークステーション) セグメントとの間を行き来するトラフィックは、L2 ブリッジを通過することになります。

ブリッジペアの両方のインターフェースが保護 (LAN) ゾーンに割り当てられているため、次の原則が成り立ちます。

•

既定ではすべてのトラフィックが許可されます。ただし、必要に応じてアクセスルールを作成することも可能です。

試しに、X2 (プライマリブリッジインターフェース) を公開 (DMZ) ゾーンに割り当てたらどうなるかを考えてみます。この場合、すべてのワークステーションはサーバに到達することができますが、サーバからワークステーションへの通信を開始することはできません。これでトラフィックフローの要件が満たされる (ワークステーションからサーバへのセッションを開始するなど) 場合もありますが、望ましくない影響が 2 点ほど生じます。

•

DHCP サーバが DMZ に入ります。このため、ワークステーションからの DHCP 要求は L2 ブリッジを介して DHCP サーバ (192.168.0.100) に到達できますが、既定では DMZ から LAN へのアクセスがアクセスルールによって拒否されるため、サーバからの DHCP OFFER は破棄されてしまいます。アクセスルールを追加するか、既定のアクセスルールを変更して、DMZ から LAN へのこのトラフィックを許可する必要があります。

•

ワークステーションからサーバへのトラフィックは、送信元が保護ゾーンで送信先が公開ゾーンであるため、セキュリティサービスの方向性は送信として分類されます。着信または (理想的には) 信頼の分類に比べると、調査の水準が低くなるという点で、これは次善の選択肢と言えます。

•

セキュリティサービスの方向性は信頼として分類されます。また、すべてのシグネチャ (着信、送信、および両方向) が適用され、どちらのセグメントにも最高水準のセキュリティが提供されます。

レイヤ 2 ブリッジモードでインターフェースを設定する詳細な手順については、レイヤ 2 ブリッジモードの設定を参照してください。

高可用性を備えたレイヤ 2 ブリッジモード

この方式は、高可用性とレイヤ 2 ブリッジモードの両方が望まれるネットワークに適しています。この例は、Dell SonicWALL セキュリティ装置の場合であり、VLAN を設定したスイッチの使用を想定しています。

図 10. 内部セキュリティ:高可用性とレイヤ 2 ブリッジモードの両方が望まれるネットワークの例

ファイアウォール HA ペアは、ポート X5 (指定の HA ポート) で互いに接続された 2 つのファイアウォールから成っています。各装置のポート X1 は、通常の WAN 接続用に設定されており、その機器の管理インターフェースへのアクセスに使用されます。レイヤ 2 ブリッジモードは、ポート X0 からポート X2 へのブリッジによって実装されています。

このシナリオを設定する際には、ファイアウォールとスイッチの両方について注意すべき事柄がいくつかあります。

ファイアウォールでは、

•

高可用性を設定するときに仮想 MAC オプションを有効にしないでください。レイヤ 2 ブリッジモード設定では、この機能は有用ではありません。

•

このようなインライン環境で復旧時の自動回復を有効にするのはお勧めできません。先制モードが必要な場合は、スイッチのドキュメントに書かれている推奨事項に従ってください。ここではトリガとフェイルオーバーの時間値が重要な役割を果たすからです。

•

管理ネットワーク用のインターフェース (この例では X1 を使用) を確保することを検討してください。プローブやその他の理由でブリッジインターフェースに IP アドレスを割り当てる必要がある場合、SonicWALL ではセキュリティと管理のためにスイッチに割り当てた管理 VLAN ネットワークの使用を推奨しています。HA 用に割り当てた IP アドレスが実際のトラフィックフローと直接に相互作用することはありません。

スイッチに関するもの:

•

複数のタグポートの使用。先ほどの図に示してあるように、エッジスイッチ (ポート 23 および 24) とコアスイッチ (C24 － D24) の両方で VLAN 100 用に 2 つのタグ (802.1q) ポートが作成されています。この 2 つのスイッチの間で装置がインラインで接続されています。高パフォーマンス環境では、リンク集約/ポートトランキング、Dynamic LACP、またはこのような配備 (OSPF を使用) のために指定された完全に独立したリンクの使用が通常は推奨され、スイッチごとのフォールトトレランスを考慮する必要があります。詳細については、スイッチのドキュメントを参照してください。

•

HP ProCurve スイッチでは、2 つのポートが同じ VLAN でタグ付けされた場合、そのポートグループは自動的にフェイルオーバー設定になります。その場合、一方のポートに障害が起きると、もう一方のポートがすぐに有効になります。

SSL VPN を備えたレイヤ 2 ブリッジモード

このサンプルトポロジは、既存の SonicWALL EX シリーズ SSL VPN または SonicWALL SSL VPN ネットワーク環境への SonicWALL ネットワークセキュリティ装置の適切なインストールに適用されます。装置をレイヤ 2 ブリッジモードにすることにより、SSL VPN 装置への内部のプライベートな接続でウイルス、スパイウェア、および侵入を両方向でスキャンできます。このシナリオでは、SonicWALL がセキュリティを適用するためではなく、両方向のスキャン、ウイルスとスパムの遮断、および侵入の阻止に使用されます。正しくプログラムすれば、トラフィックの動作や内容が有害であると判断されない限り、ネットワークセキュリティ装置がネットワークトラフィックを妨げることはありません。このセクションでは、Dell SonicWALL セキュリティ装置の 1 ポート配備と 2 ポート配備の両方を取り扱います。

WAN から LAN へのアクセスルール

この配備シナリオでは、ネットワークセキュリティ装置をアンチウイルス、アンチスパイウェア、および侵入防御の実施ポイントとしてのみ使用するので、既存のセキュリティポリシーを修正して、WAN と LAN の間で両方向でトラフィックが行き来できるようにする必要があります。

「ファイアウォール > アクセスルール」ページで、WAN から LAN へのトラフィックの共通部分の設定アイコンを選択します。既定のルール (WAN から LAN への非開始トラフィックが暗黙に遮断される) の横にある設定アイコンを選択します。「ルールの編集」ウィンドウで、「動作」設定として「許可」を選択し、「OK」を選択します。

ネットワークインターフェースの設定と L2B モードの有効化

このシナリオでは、WAN インターフェースを次の目的に使用します。

•

管理者用の管理インターフェースへのアクセス

•

MySonicWALL の購読サービスの更新

•

機器の既定のルートと SSL VPN 装置の内部トラフィックの「次のホップ」(そのため、WAN インターフェースは SSL VPN 装置の内部インターフェースと同じ IP セグメントにある必要があります)

ネットワークセキュリティ装置の LAN インターフェースは、SSL VPN 装置の外部インターフェースから届く暗号化されていないクライアントトラフィックの監視に使用されます。このことは、(この LAN インターフェースを既定のルートと見なすために SSL VPN 装置の外部インターフェースを再構成する代わりに) レイヤ 2 ブリッジモードで実行する理由になっています。

SonicOS 管理インターフェースの「ネットワーク > インターフェース」ページで、WAN インターフェースの設定アイコンを選択してから、インターネットにアクセスできるアドレスをそこに割り当てることで、装置がシグネチャの更新を取得し、NTP と通信できるようにします。

ゲートウェイと内部/外部 DNS アドレスの設定は SSL VPN 装置の設定と一致します。

•

IP アドレス:これは SSL VPN 装置の内部インターフェースのアドレスと一致しなければなりません。

•

サブネットマスク、デフォルトゲートウェイ、DNS サーバ:これらのアドレスを SSL VPN 装置の設定と一致させます。

「管理」設定として、「HTTPS」および「Ping」チェックボックスを選択します。「OK」を選択すると、変更内容が保存されて有効になります。

LAN インターフェースの設定を行うには、「ネットワーク > インターフェース」ページに移動し、「LAN」インターフェースの設定アイコンを選択します。

「ネットワークモード」設定として、「レイヤ 2 ブリッジモード」を選択します。「ブリッジ先」設定として、「X1」を選択します。

ファイアウォールでサポートされている、VLAN タグ付きのトラフィックを通過させる必要もある場合は、「VLAN フィルタリング」タブを選択し、通過させる必要のある VLAN をすべて追加します。

「OK」を選択すると、変更内容が保存されて有効になります。ネットワークセキュリティ装置の管理インターフェースから自動的に切断されることもあります。ここで装置の X0 インターフェースから管理用のラップトップまたはデスクトップを切断し、ネットワークに物理的に接続する前に装置の電源を切ることができます。

ネットワークと SSL VPN 装置の間への Dell SonicWALL セキュリティ装置のインストール

配備方式 (シングルホームまたはデュアルホーム) に関係なく、SonicWALL を SSL VPN 装置の X0/LAN インターフェースと内部ネットワークへの接続との間に配置する必要があります。そうすることで、機器が SonicWALL のライセンスおよびシグネチャの更新サーバに接続したり、内部ネットワークリソースへのアクセスを要求する外部クライアントからの復号化されたトラフィックをスキャンしたりすることが可能になります。

SSL VPN 装置がサードパーティのファイアウォールの背後にあって 2 ポートモードの場合、それはデュアルホームです。

デュアルホーム SSL VPN 装置を接続するには、次の手順に従います。

ネットワークセキュリティ装置の X0/LAN ポートを SSL VPN 装置の X0/LAN ポートにケーブルで接続します。

ネットワークセキュリティ装置の X1/WAN ポートを、SSL VPN を前に接続したポートにケーブルで接続します。

装置の電源を入れます。

SSL VPN 装置がサードパーティのファイアウォールの DMZ 内にあって 1 ポートモードの場合、それはシングルホームです。

シングルホーム SL VPN 装置を接続するには、次の手順に従います。

ネットワークセキュリティ装置の X0/LAN ポートを SSL VPN 装置の X0/LAN ポートにケーブルで接続します。

ネットワークセキュリティ装置の X1/WAN ポートを、SSL VPN を前に接続したポートにケーブルで接続します。

装置の電源を入れます。

設定の構成または確認

この段階で、ネットワーク内の管理ステーションからネットワークセキュリティ装置の管理インターフェースに WAN IP アドレスを使ってアクセスできるようになっているはずです。

Dell SonicWALL セキュリティ装置のすべてのセキュリティサービスが有効になっていることを確認します。サービスのライセンス取得およびゾーンごとのセキュリティサービスの有効化を参照してください。

機器を SonicWALL Aventail SSL VPN 装置と共に配備する前に、SonicWALL コンテンツフィルタサービスを無効にする必要があります。「ネットワーク > ゾーン」ページで、LAN (X0) ゾーンの横にある「設定」を選択し、「コンテンツフィルタサービスを強制する」チェックボックスをオフにし、「OK」を選択します。

Dell SonicWALL セキュリティ装置での管理者パスワードをまだ変更していなければ、「システム > 管理」ページで変更することができます。

外部クライアントからのネットワークへのアクセスをテストするには、SSL VPN 装置に接続し、ログインします。接続したら、内部ネットワークリソースへのアクセスを試みます。何か問題があれば、設定を確認し、レイヤ 2 ブリッジモード配備における一般的な項目の設定を参照してください。