ファイアウォール設定 > 詳細

このセクションでは、ネットワーク管理者のために侵入検知と防止、動的ポート、ソース ルーティング パケット、接続の選択、アクセス ルール オプションなどの詳細なファイアウォール設定を示します。アクセス ルールの詳細設定オプションを構成するには、「ファイアウォール」の下部にある「ファイアウォール設定 > 詳細」を選択します。

ファイアウォール設定 > 詳細」ページには、次のファイアウォール設定オプション グループがあります。

侵入検知と防止
動的ポート機能への対応
ソース ルーティング パケット
接続
アクセス ルール サービス オプション
IP および UDP チェックサム強制
ジャンボ フレーム
IPv6 の詳細設定

侵入検知と防止

 
ステルス モードを有効にする - 既定では、セキュリティ装置は着信接続要求を "遮断" または "オープン" として扱います。ステルス モードを有効にすると、セキュリティ装置は遮断された着信接続要求には応答しません。ステルス モードでは、セキュリティ装置は基本的にハッカーから見えなくなります。
IP ID の乱数化を有効にする - ハッカーが使用するさまざまな検出ツールによってセキュリティ装置の存在が検出されることを防ぐには、「IP ID の乱数化を有効にする」を選択します。このオプションを有効にすると、乱数化された IP ID が IP パケットに割り当てられるようになるので、ハッカーがセキュリティ装置の“特徴"を検出するのが困難になります。
転送トラフィックに対する IP TTL を減少する - Time-to-live (TTL) は、パケットがネットワーク上に長い時間存在しているので破棄するかどうかを、ネットワーク ルータに指示する IP パケットの値です。転送済みですでにネットワーク上に一定の時間存在しているパケットの TTL 値を減らすには、このオプションを選択します。
ICMP Time-Exceeded パケットを生成しない - ファイアウォールは、TTL 値がゼロになったためにパケットを破棄したときには、Time-Exceeded パケットを生成してそのことを報告します。ファイアウォールでこのような報告パケットが生成されないようにするには、このオプションを選択します。

動的ポート機能への対応

 
サービス オブジェクトの TCP ポートに対する FTP 変換を有効にする -「サービス グループ」ドロップダウン メニューから選択して特定のサービス オブジェクトの FTP 変換を有効にします。既定で、サービス グループは「FTP (全て)」が選択されています。

FTP は TCPポート (ポート 20 および 21) 上で動作します。ここで、ポート 21 は制御ポート、ポート 20 はデータ ポートです。しかし、標準でないポート (2020、2121 など) を使用している場合は、Dell SonicWALL はそれを FTP として認識できないため、既定でパケットを破棄します。「サービス オブジェクトの TCP ポートに対する FTP 変換を有効にする」オプションを使用すると、サービス オブジェクトを選択して、FTP トラフィックの個別制御ポートを指定できます。

この機能の動作を説明するために、FTP サーバが、ポート 2121 でリッスンしている Dell SonicWALL の背後にある次の例を考えます。

a
ネットワーク > アドレス オブジェクト」ページで、次の値を使用して FTP サーバのプライベート IP アドレスに対するアドレス オブジェクトを作成します。
名前:FTP Server Private
ゾーン:LAN
種別:ホスト
IP アドレス:192.168.168.2
b
ネットワーク > サービス」ページで、次の値を使用して FTP サーバ用のユーザ定義サービスを作成します。
名前:FTP Custom Port Control
プロトコル:TCP(6)
ポート範囲:2121 - 2121
c
ネットワーク > NAT ポリシー」ページで、以下の NAT ポリシーを作成します。

d
ファイアウォール > アクセス ルール」ページで、以下のアクセス ルールを作成します。

e
最後に、「ファイアウォール設定 > 詳細」ページの「サービス オブジェクトの TCP ポートに対する FTP 変換を有効にする」ドロップダウン メニューから、"FTP Custom Port Control" サービス オブジェクトを選択します。
* 
補足:サービス グループとサービス オブジェクトの設定の詳細については、ネットワーク > サービス を参照してください。
オラクル (SQLNet) のサポートを有効にする - ネットワーク上に Oracle9i 以前のアプリケーションがある場合に選択します。Oracle10g 以降のアプリケーションに対しては、このオプションを選択しないことを推奨します。

Oracle9i 以前のアプリケーションでは、データ チャネル ポートが制御接続ポートと異なります。このオプションを有効にした場合、SQLNet 制御接続に対して、ネゴシエーションされたデータ チャネルのスキャンが行われます。ネゴシエーションが検出されると、データ チャネルの接続エントリが動的に作成され、必要に応じて NAT が適用されます。SonicOS 内では、SQLNet とデータ チャネルは互いに関連付けられ、1 つのセッションとして処理されます。

Oracle10g 以降のアプリケーションでは、これら 2 つのポートは同一であるため、データ チャネル ポートを別個に追跡する必要はありません。したがって、このオプションを有効にする必要はありません。
RTSP 変換を有効にする - オーディオとビデオなど、リアルタイム データのオンデマンド提供をサポートするには、このオプションを選択します。RTSP (Real Time Streaming Protocol) は、リアルタイムのプロパティを持つデータの提供を制御するための、アプリケーションレベルのプロトコルです。