第47章アクセスルールの設定

ファイアウォール＞アクセスルール

この章では、ＳｏｎｉｃＷＡＬＬセキュリティ装置のステートフルパケット検査で使用される既定のアクセスルールの概要、およびビジネス要件に合わせてアクセスルールをカスタマイズするための設定例について説明します。

アクセスルールは、着信および発信アクセスポリシーの定義、ユーザ認証の設定、およびＳｏｎｉｃＷＡＬＬセキュリティ装置のリモート管理を可能にするネットワーク管理ツールです。

ＳｏｎｉｃＯＳの「ファイアウォール＞アクセスルール」ページには、並べ替え可能なアクセスルール管理インターフェースが用意されています。以下のセクションでは、ゾーンごとのアクセスルールの設定およびアクセスルールを使用した帯域幅管理の設定について、高レベルの概要を示します。

･「ステートフルパケット検査の既定のアクセスルールの概要」セクション

･「アクセスルールによる帯域幅管理の使用の概要」セクション

･「アクセスルール設定タスクリスト」セクション

ステートフルパケット検査の既定のアクセスルールの概要

既定では、ＳｏｎｉｃＷＡＬＬセキュリティ装置のステートフルパケット検査によって、ＬＡＮからインターネットへの通信はすべて許可され、インターネットからＬＡＮへのトラフィックはすべて遮断されます。ＳｏｎｉｃＷＡＬＬセキュリティ装置で有効になっている“既定の”ステートフルパケット検査のアクセスルールでは、以下の動作が定義されています。

･ＬＡＮ、ＷＬＡＮからＷＡＮまたはＤＭＺへのすべてのセッションを許可します（送信先ＷＡＮＩＰアドレスがＳｏｎｉｃＷＡＬＬ装置自身のＷＡＮインターフェースの場合を除く）。

･ＤＭＺからＷＡＮへのすべてのセッションを許可します。

･ＷＡＮからＤＭＺへのすべてのセッションを禁止します。

･ＷＡＮおよびＤＭＺからＬＡＮまたはＷＬＡＮへのすべてのセッションを禁止します。

既定のアクセスルールを拡張または指定変更する、追加のネットワークアクセスルールを定義することもできます。例えば、アクセスルールを作成することによって、ＬＡＮゾーンからＷＡＮプライマリＩＰアドレスへのアクセスを許可したり、特定の種類のトラフィック（ＬＡＮからＷＡＮへのＩＲＣなど）を遮断したり、特定の種類のトラフィック（インターネット上の特定のホストからＬＡＮ上の特定のホストへのＬｏｔｕｓＮｏｔｅｓデータベースの同期など）を許可したり、特定のプロトコル（Ｔｅｌｎｅｔなど）の使用をＬＡＮ上の許可されたユーザのみに制限したりすることができます。

個別アクセスルールでは、ネットワークトラフィックの送信元ＩＰアドレス、送信先ＩＰアドレス、ＩＰプロトコルの種類を評価し、その情報をＳｏｎｉｃＷＡＬＬセキュリティ装置で作成されたアクセスルールと比較します。ネットワークアクセスルールが優先されるので、ＳｏｎｉｃＷＡＬＬセキュリティ装置のステートフルパケット検査の設定は変更される場合があります。例えば、ＩＲＣトラフィックを遮断するアクセスルールは、この種類のトラフィックを許可するＳｏｎｉｃＷＡＬＬセキュリティ装置の既定の設定よりも優先されます。

警告　ネットワークアクセスルールを定義する機能は、非常に強力なツールです。個別アクセスルールを使用して、ファイアウォールの保護を無効にしたり、インターネットへのアクセスをすべて遮断したりすることができます。ネットワークアクセスルールを作成または削除するときには注意が必要です。

アクセスルールによる帯域幅管理の使用の概要

帯域幅管理（ＢＷＭ）によって、すべての帯域幅管理が有効になっているインターフェース上で、保証されている最大帯域幅をサービスに割り当てて、トラフィックの優先順位を設定できるようになります。アクセスルールを使用して、特定のネットワークトラフィックに対して帯域幅管理を適用することができます。帯域幅管理が有効化されたポリシーに属しているパケットは、対応する優先キューのキューに登録された後で、帯域幅管理が有効化されたインターフェースで送信されます。その他のすべてのパケットは既定のキューに登録され、先入れ先出し（ＦＩＦＯ）方式（最も長時間格納されていたアイテムを先に取り出す格納方法）で送信されます。

サンプルシナリオ

送信メールトラフィック（ＳＭＴＰなど）のアクセスルールを作成する場合は、以下のパラメータで帯域幅管理を有効にします。

･保証された帯域幅は２０％

･最大帯域幅は４０％

･優先順位は０（ゼロ）

送信ＳＭＴＰトラフィックでは、利用可能な帯域幅の２０％が保証され、最大で利用可能な帯域幅の４０％を使用できます。ＳＭＴＰトラフィックが帯域幅管理の有効な唯一のルールである場合は以下のようになります。

･ＳＭＴＰトラフィックが設定された帯域幅の最大値（上記説明のように４０％が最大）を使っている場合は、その他すべてのトラフィックは残り６０％の帯域幅を使えます。

･ＳＭＴＰトラフィックが設定された帯域幅の最大値以下を使っている場合は、その他すべてのトラフィックは６０％から１００％のリンク帯域幅を使えます。

ここで、ＦＴＰに対して以下の帯域幅管理が有効なルールを追加することを考えてみます。

･保証された帯域幅は６０％

･最大帯域幅は７０％

･優先順位は１

前のＳＭＴＰルールと共に設定された場合は、以下のような動作になります。

･全帯域幅の６０％が常にＦＴＰトラフィックのために確保されます（保証されているため）。全帯域幅の２０％が常にＳＭＴＰトラフィックのために確保されます（保証されているため）。

･ＳＭＴＰトラフィックは最大で全帯域幅の４０％を使えます（ＦＴＰより高い優先順位のため）。ＦＴＰの６０％保証とあわせると、結果としてその他のトラフィックは、より高い優先順位のトラフィックによって１００％の帯域幅が使われているために送信されません。

･ＳＭＴＰトラフィックが減って全帯域幅の１０％しか使っていない場合は、ＦＴＰは最大で７０％を使え、その他すべてのトラフィックは残りの２０％を使えます。

･ＳＭＴＰトラフィックが止まった場合、ＦＴＰは７０％を使え、その他すべてのトラフィックは残りの３０％を使えます。

･ＦＴＰトラフィックが止まった場合、ＳＭＴＰは４０％を使え、その他すべてのトラフィックは残りの６０％を使えます。

補足　「ファイアウォール設定＞帯域幅管理」ページで「帯域幅管理種別」が「ＷＡＮ」に設定されている場合は、帯域幅管理を使用するアクセスルールは、帯域幅管理を使用しないアクセスルールよりも優先順位が高くなります。帯域幅管理なしのアクセスルールには、最も低い優先順位が指定されます。「帯域幅管理種別」が「グローバル」に設定されている場合は、既定の優先順位は「中」（４）です。

ヒント　「ネットワーク＞インターフェース」ページで「帯域幅管理」を設定する必要があります。インターフェースの設定アイコンを選択し、「詳細」タブを選択します。利用可能な送信／受信帯域幅として指定する値を「利用可能な送信帯域幅（Ｋｂｐｓ）」フィールドおよび「利用可能な受信帯域幅（Ｋｂｐｓ）」フィールドにそれぞれ入力します。

これは、「ファイアウォール設定＞帯域幅管理」ページで「帯域幅管理種別」が「ＷＡＮ」か「グローバル」に設定されている場合に適用されます。

アクセスルール設定タスクリスト

このセクションでは、以下の設定タスクについて説明します。

･「各種表示形式でのアクセスルールの表示」セクション

･「ゾーンのアクセスルールの設定」セクション

･「アクセスルールの追加」セクション

･「アクセスルールの編集」セクション

･「アクセスルールの削除」セクション

･「アクセスルールの有効化と無効化」セクション

･「アクセスルールの既定のゾーン設定の復元」セクション

･「アクセスルールのトラフィック統計の表示」セクション

･「接続の制限の概要」セクション

･「アクセスルールの設定例」セクション

各種表示形式でのアクセスルールの表示

ＳｏｎｉｃＯＳを使用すると、複数の表示形式でアクセスルールを表示できます。表示の種類は、「表示形式」セクションで選択できます。以下の「表示形式」が用意されています。

･すべてのルールを表示－「すべてのルールを表示」を選択すると、ＳｏｎｉｃＷＡＬＬセキュリティ装置で設定されているすべてのアクセスルールが表示されます。

･マトリックス－「送信元／送信先」の形式で表示します。「送信元」の行には、「ＬＡＮ」、「ＷＡＮ」、「ＶＰＮ」、またはその他のインターフェースが表示され、「送信先」の列には、「ＬＡＮ」、「ＷＡＮ」、「ＶＰＮ」、またはその他のインターフェースが表示されます。テーブルのセルの編集アイコン

を選択すると、アクセスルールが表示されます。

･ドロップダウンボックス－「送信元ゾーン」と「送信先ゾーン」の２つのプルダウンメニューを表示します。「送信元ゾーン」メニューからインターフェースを選択し、「送信先ゾーン」メニューからもインターフェースを選択します。「ＯＫ」を選択すると、２つのインターフェースについて定義されているアクセスルールが表示されます。

ヒント　ゾーンごとにアクセスルールを表示することもできます。「送信元ゾーン」および「送信先ゾーン」列の「オプション」チェックボックスを使用します。「送信元ゾーン」列から「ＬＡＮ」、「ＷＡＮ」、「ＶＰＮ」、「すべて」を選択します。次に、「送信先ゾーン」列から「ＬＡＮ」、「ＷＡＮ」、「ＶＰＮ」、「すべて」のいずれかを選択します。「ＯＫ」を選択すると、アクセスルールが表示されます。

各形式の表示では、定義済みのネットワークアクセスルールのテーブルが表示されます。例えば、「すべてのルールを表示」を選択すると、すべてのゾーンのすべてのネットワークアクセスルールが表示されます。

ゾーンのアクセスルールの設定

特定のゾーンのアクセスルールを表示するには、「マトリックス」、「ドロップダウンボックス」、または「すべてのルールを表示」形式の表示でゾーンを選択します。

アクセスルールは、最も限定的なものがテーブルの一番上に、最も限定的でないものが一番下になるように並べ替えられます。テーブルの一番下には「すべて」ルールが表示されます。既定のアクセスルールは、「アクセスルール」ページにリストされているもの以外のすべてのＩＰサービスです。アクセスルールでは、「すべて」ルールに優先するルールを作成することによって動作を変更できます。「すべて」ルールでは、例えば、ＬＡＮ上のユーザにはＮＮＴＰニュースを含むすべてのインターネットサービスへのアクセスが許可されています。

アクセスルールの優先順位を変更するには、「優先順位」列の矢印アイコンを選択します。「優先順位の変更」ウィンドウが表示されます。「優先順位」フィールドに新しい優先順位の数値（１-１０）を入力し、「ＯＫ」を選択します。

ヒント　削除アイコンや編集アイコンが淡色表示されている（使用できない）場合は、アクセスルールを変更したり、リストから削除したりすることはできません。

アクセスルールの追加

ＳｏｎｉｃＷＡＬＬセキュリティ装置にアクセスルールを追加するには、以下の手順を実行します。

手順 1　「アクセスルール」テーブルの下部にある「追加」を選択します。「ルールの追加」ウィンドウが表示されます。

手順 2　「一般」タブで、「動作」リストから「許可」、「禁止」、「破棄」のいずれかを選択し、ＩＰトラフィックを許可または遮断します。

手順 3　「送信元ゾーン」メニューおよび「送信先ゾーン」メニューからそれぞれ送信元と送信先ゾーンを選択します。

手順 4　「サービス」リストから、そのアクセスルールの対象とするサービスまたはサービスのグループを選択します。「既定」のサービスはすべてのＩＰサービスを含みます。
サービスがリストに表示されていない場合は、「サービスの追加」ウィンドウでサービスを定義する必要があります。「サービスの作成」または「グループの作成」を選択して、「サービスの追加」ウィンドウまたは「サービスグループの追加」ウィンドウを表示します。

手順 5　「送信元」リストから、そのアクセスルールの対象とするトラフィックの送信元を選択します。「ネットワークの作成」を選択すると、「アドレスオブジェクトの追加」ウィンドウが表示されます。

手順 6　特定のユーザのインターネットへのアクセスを制限する場合など、そのアクセスルールの対象とする送信元ＩＰアドレスの範囲を定義する場合は、アドレス範囲の開始ＩＰアドレスを「アドレス範囲の開始」フィールドに、アドレス範囲の終了ＩＰアドレスを「アドレス範囲の終了」フィールドに入力します。すべてのＩＰアドレスを含めるには、「アドレス範囲の開始」フィールドに「＊」を入力します。

手順 7　「送信先」リストから、そのアクセスルールの対象とするトラフィックの送信先を選択します。「ネットワークの作成」を選択すると、「アドレスオブジェクトの追加」ウィンドウが表示されます。

手順 8　「許可するユーザ」メニューから、そのアクセスルールの対象とするユーザまたはユーザのグループを追加します。

手順 9　「スケジュール」メニューからスケジュール時刻を選択します。既定のスケジュールは「常に有効」です。

手順 10　「コメント」フィールドに、アクセスルールの識別に有効な任意のコメントを入力します。

手順 11　「断片化パケットを許可する」チェックボックスは既定で選択されています。大きなＩＰパケットは、しばしば断片化されてからインターネット上でルーティングされ、送信先ホストで再編成されます。この設定を無効にする１つの理由として、サービス拒否（ＤｏＳ）攻撃でＩＰ断片化を悪用される可能性があるからです。

手順 12　「詳細」タブを選択します。

手順 13　アクセスルールでＴＣＰ無動作時のタイムアウトを設定するには、「ＴＣＰ接続無動作時タイムアウト（分）」フィールドで時間を分単位で設定します。既定値は５分です。

手順 14　アクセスルールでＵＤＰ無動作時のタイムアウトを設定するには、「ＵＤＰ接続無動作時タイムアウト（秒）」フィールドで時間を秒単位で設定します。既定値は３０秒です。

手順 15　「許可された接続数（最大接続数に対する％）」フィールドで、許可される接続数をＳｏｎｉｃＷＡＬＬセキュリティ装置で許可される最大接続数に対するパーセントで指定します。接続の制限の詳細については、「接続の制限の概要」を参照してください。

手順 16　このアクセスルールに対応する逆方向の（送信先ゾーンまたはアドレスオブジェクトから送信元ゾーンまたはアドレスオブジェクトへの）アクセスルールを作成する場合は、「再帰ルールを作成する」を選択します。

手順 17　このルールの対象となるトラフィックにＤＳＣＰまたは８０２.１ｐサービス品質管理を適用する場合は、「ＱｏＳ」タブを選択します。アクセスルールにおけるＱｏＳ級割の管理の詳細については、「８０２.１ｐとＤＳＣＰＱｏＳ」を参照してください。

手順 18　「ＤＳＣＰ級割設定」で、「ＤＳＣＰ級割の方針」を選択します。「なし」、「維持」、「指定」、「参照」のいずれかを選択できます。既定値は「維持」です。

･なし：パケットのＤＳＣＰ値は０にリセットされます。

･維持：パケットのＤＳＣＰ値は変更されません。

･指定：ＤＳＣＰ値を「ＤＳＣＰ値の指定」フィールドで選択した値に設定します。これは０から６３の範囲の数値です。一般的な値には次のようなものがあります。

･０－最大努力型／既定（既定値）

･８－等級１

･１０－等級１、金（ＡＦ１１）

･１２－等級１、銀（ＡＦ１２）

･１４－等級１、銅（ＡＦ１３）

･１６－等級２

･１８－等級２、金（ＡＦ２１）

･２０－等級２、銀（ＡＦ２２）

･２２－等級２、銅（ＡＦ２３）

･２４－等級３

･２６－等級３、金（ＡＦ３１）

･２７－等級３、銀（ＡＦ３２）

･３０－等級３、銅（ＡＦ３３）

･３２－等級４

･３４－等級４、金（ＡＦ４１）

･３６－等級４、銀（ＡＦ４２）

･３８－等級４、銅（ＡＦ４３）

･４０－エキスプレス転送

･４６－緊急転送（ＥＦ）

･４８－制御用

･５６－制御用

･参照：「ファイアウォール＞ＱｏＳ割付」ページのＱｏＳ割付設定を使用します。ＱｏＳ割付を設定する手順については、「８０２.１ｐとＤＳＣＰＱｏＳ」を参照してください。「参照」を選択した場合は、「８０２.１ｐ級割を、ＤＳＣＰ値に優先する」を選択できます。

手順 19　「８０２.１ｐ級割の設定」で、「８０２.１ｐ級割の方針」を選択します。「なし」、「維持」、「指定」、「参照」のいずれかを選択できます。既定値は「なし」です。

･なし：８０２.１ｐタグ付けをパケットに追加しません。

･維持：パケットの８０２.１ｐ値は変更されません。

･指定：８０２.１ｐ値を「８０２.１ｐ値の指定」フィールドで選択した値に設定します。これは０から７の範囲の数値です。一般的な値には次のようなものがあります。

･０－最大努力型（既定値）

･１－バックグラウンド型

･２－倹約型

･３－最高努力型

･４－負荷制御型

･５－映像型（＜待ち時間１００ｍｓ）

･６－音声型（＜待ち時間１０ｍｓ）

･７－ネットワーク制御型

･参照：「ファイアウォール＞ＱｏＳ割付」ページのＱｏＳ割付設定を使用します。ＱｏＳ割付を設定する手順については、「８０２.１ｐとＤＳＣＰＱｏＳ」を参照してください。

手順 20　「ＯＫ」を選択してルールを追加します。

ヒント　着信ＩＰトラフィックを許可する個別アクセスルールは作成可能ですが、ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＳＹＮフラッドやＰｉｎｇｏｆＤｅａｔｈ攻撃などのＤｏＳ攻撃に対する保護は無効にしません。

アクセスルールの編集

「ルールの編集」ウィンドウ（「ルールの追加」ウィンドウと同じ設定項目が含まれる）を表示するには、編集アイコンを選択します。

アクセスルールの削除

個々のアクセスルールを削除するには、削除アイコンを選択します。チェックボックスをオンにしたすべてのアクセスルールを削除するには、「削除」ボタンを選択します。

アクセスルールの有効化と無効化

アクセスルールを有効または無効にするには、「有効」チェックボックスをオンまたはオフにします。

アクセスルールの既定のゾーン設定の復元

エンドユーザがゾーンについて設定したアクセスルールをすべて削除するには、「既定」ボタンを選択します。これによって、選択したゾーンのアクセスルールは、ＳｏｎｉｃＷＡＬＬセキュリティ装置で最初に設定された既定のアクセスルールに戻ります。

アクセスルールのトラフィック統計の表示

マウスポインタをグラフアイコンに移動すると、以下のアクセスルールの受信（Ｒｘ）および送信（Ｔｘ）トラフィック統計が表示されます。

･受信バイト

･受信パケット

･送信バイト

･送信パケット

接続の制限の概要

接続の制限機能は、ＳｏｎｉｃＯＳのＳＹＮＣｏｏｋｉｅｓおよび侵入防御サービス（ＩＰＳ）などの機能と組み合わせたときに、追加のセキュリティと制御の層を提供することを目的としています。接続の制限では、アクセスルールを分類基準として使用し、そのクラスのトラフィックに割り当て可能な合計接続キャッシュに対する最大パーセンテージを宣言して、ＳｏｎｉｃＷＡＬＬを介した接続を抑制する方法を提供します。

ＩＰＳと組み合わせて使用することによって、Ｓａｓｓｅｒ、Ｂｌａｓｔｅｒ、Ｎｉｍｄａなどの特定のクラスの破壊工作ソフトウェアの拡散を緩和することができます。これらのワームは、異常に速い速度でランダムなアドレスへの接続を開始することによって拡散します。例えば、Ｎｉｍｄａに感染した各ホストでは１秒間に３００～４００回の接続が試行され、Ｂｌａｓｔｅｒの場合は１秒間に８５０個のパケットが送信され、Ｓａｓｓｅｒの場合は１秒間に５,１２０回の試行が可能です。通常、悪意のないネットワークトラフィック、特に保護ゾーンから非保護ゾーン（ＬＡＮからＷＡＮ）へのトラフィックではこれほど高い数値は見られません。この種の悪意のある活動によって、特に小規模な装置では、数秒間のうちに利用可能な接続キャッシュリソースがすべて消費されます。

接続の制限を使用すると、ワームやウイルスの拡散防止に加えて、他の種類の接続キャッシュリソースの消費に関する問題も緩和できます。例えば、セキュリティに問題のない内部ホストでピアツーピアソフトウェアが実行されているとき（ＩＰＳでこのようなサービスを許可するように設定している場合）や、内部または外部ホストでパケットジェネレータやスキャンツールが使用されている場合などに発生する問題を緩和できます。

補足　SonicWALL セキュリティ装置がサポート可能な最大接続数は、アプリケーションフローが有効かどうか、外部コレクターが設定されているかどうか、そして SonicWALL セキュリティ装置モデルの物理的能力を含む特定の設定に依存します。詳細については「接続数」セクションを参照してください。

さらに、接続の制限を使用して、サーバに対して許可される正当な着信接続数を制限することにより、公開されているサーバ（ウェブサーバなど）を保護することができます（つまり、スラッシュドット効果からサーバを保護できます）。これは、完全に開いていないＴＣＰ接続またはなりすましによるＴＣＰ接続を検出して防止する、ＳＹＮフラッドに対する保護とは異なります。このような接続の制限は非保護ゾーンのトラフィックに最も多く適用されますが、必要に応じて任意のゾーンのトラフィックに適用できます。

接続の制限を適用するには、特定の種類のトラフィックに割り当て可能な接続数の割合を、最大許容接続数に対するパーセンテージで定義します。前述の数値は既定のＬＡＮからＷＡＮへの設定を示しています。利用可能なすべてのリソースを、ＬＡＮからＷＡＮへの（すべての送信元、すべての送信先、すべてのサービスの）トラフィックに割り当てることができます。

より限定的なルールを構築して、特定の種類のトラフィック（ＷＡＮ上の任意の送信先へのＦＴＰトラフィックなど）で消費できる接続のパーセンテージを制限したり、あるクラスのトラフィックに１００％を割り当てて、一般的なトラフィックは低いパーセンテージ（最小許容値は１％）に制限して重要なトラフィック（重要なサーバへのＨＴＴＰＳトラフィックなど）を優先したりすることができます。

補足　ＩＰＳのシグネチャを接続の制限の分類基準として使用することはできません。使用できるのは、アクセスルール（つまりアドレスオブジェクトとサービスオブジェクト）のみです。

アクセスルールの設定例

このセクションでは、次のようなネットワークアクセスルールを追加する設定例を示します。

･「Ｐｉｎｇの有効化」セクション

･「特定のサービスへのＬＡＮアクセスの遮断」セクション

･「アクセスルールでの帯域幅管理の有効化」セクション

Ｐｉｎｇの有効化

このセクションでは、ＤＭＺ上の機器がＰｉｎｇ要求を送信してＬＡＮ上の機器からＰｉｎｇ応答を受信することを許可するアクセスルールの設定例を示します。既定では、ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＤＭＺから開始されＬＡＮに到達するトラフィックを許可しません。インターフェースの１つをＤＭＺゾーンに配置した後、「ファイアウォール＞アクセスルール」ウィンドウから以下の手順を実行して、Ｐｉｎｇ要求の送信とＬＡＮ内の機器からのＰｉｎｇ応答の受信をＤＭＺ内の機器に許可するアクセスルールを設定します。

手順 1　「追加」を選択して「ルールの追加」ウィンドウを表示します。

手順 2　「許可」ラジオボタンを選択します。

手順 3　「サービス」メニューから、「Ｐｉｎｇ」を選択します。

手順 4　「送信元」メニューから、「ＤＭＺＳｕｂｎｅｔｓ」を選択します。

手順 5　「送信先」メニューから、「ＬＡＮＳｕｂｎｅｔｓ」を選択します。

手順 6　「ＯＫ」を選択します。

特定のサービスへのＬＡＮアクセスの遮断

このセクションでは、業務時間中にＬＡＮからインターネット上のＮＮＴＰサーバへのアクセスを遮断するアクセスルールの設定例を示します。

スケジュールに基づいてＬＡＮからＮＮＴＰサーバへのアクセスを遮断するアクセスルールを設定するには、以下の手順に従います。

手順 1　「追加」を選択して、「追加」ウィンドウを表示します。

手順 2　「動作」の設定から「拒否」を選択します。

手順 3　「サービス」メニューから「ＮＮＴＰ」を選択します。サービスがリストに表示されない場合は、「サービスの追加」ウィンドウでサービスを追加する必要があります。

手順 4　「送信元」メニューから「すべて」を選択します。

手順 5　「送信先」メニューから「ＷＡＮ」を選択します。

手順 6　「スケジュール」メニューからスケジュール時刻を選択します。

手順 7　「コメント」フィールドに任意のコメントを入力します。

手順 8　「追加」を選択します。

ＬＡＮゾーンからのＷＡＮプライマリＩＰアクセスの許可

アクセスルールを作成すると、同じＳｏｎｉｃＷＡＬＬ装置に関して、あるゾーンの管理ＩＰアドレスに対する別のゾーンからのアクセスを許可することができます。たとえば、ＬＡＮ側からのＷＡＮＩＰアドレスへのＰｉｎｇやＨＴＴＰ／ＨＴＴＰＳ管理を許可することができます。そのためには、アクセスルールを作成して、ゾーン間でそのサービスを許可し、送信先として１つまたは複数の明示的な管理ＩＰアドレスを指定する必要があります。あるいは、送信先として１つまたは複数の管理アドレス（たとえば、ＷＡＮプライマリＩＰ、すべてのＷＡＮＩＰ、すべてのＸ１管理ＩＰ）が含まれるアドレスグループを指定することもできます。このタイプのルールは、ゾーン間でのＨＴＴＰ管理、ＨＴＴＰＳ管理、ＳＳＨ管理、Ｐｉｎg、およびＳＮＭＰのサービスを可能にするものです。

補足　アクセスルールはゾーン間管理についてのみ設定できます。ゾーン内管理はインターフェース設定によりインターフェース単位で制御されます。

ＬＡＮゾーンからのＷＡＮプライマリＩＰへのアクセスを許可するルールを作成するには、以下の手順に従います。

手順 1　「ファイアウォール＞アクセスルール」ページで、「ＬＡＮ＞ＷＡＮ」アクセスルールを表示します。

手順 2　「追加」を選択して、「追加」ウィンドウを表示します。

手順 3　「動作」の設定から「許可」を選択します。

手順 4　「サービス」メニューから次のサービスのいずれかを選択します。

･ＨＴＴＰ

･ＨＴＴＰＳ

･ＳＳＨ管理

･Ｐｉｎｇ

･ＳＮＭＰ

手順 5　「送信元」メニューから「すべて」を選択します。

手順 6　「送信先」メニューから１つまたは複数の明示的なＷＡＮＩＰアドレスが含まれるアドレスグループまたはアドレスオブジェクトを選択します。

補足　ＷＡＮプライマリサブネットなどのサブネットを表すアドレスグループやアドレスオブジェクトを選択しないでください。それでは、ＷＡＮ管理ＩＰアドレスへのアクセスではなく、既定で許可されているＷＡＮサブネットの機器へのアクセスを許可することになります。

手順 7　「許可するユーザ」メニューからアクセスを許可するユーザまたはグループを選択します。

手順 8　「スケジュール」メニューからスケジュール時刻を選択します。

手順 9　「コメント」フィールドに任意のコメントを入力します。

手順 10　「追加」を選択します。

アクセスルールでの帯域幅管理の有効化

アクセスルールを使用して、受信トラフィックと送信トラフィックの両方に帯域幅管理を適用できます。じょうごのアイコンが表示されているアクセスルールには、帯域幅管理が設定されています。

ヒント　あるゾーンの複数のインターフェースに帯域幅管理を設定する場合、設定したゾーンの保証帯域幅が、そのゾーンにバインドされているインターフェースで利用可能な帯域幅を超えるような設定は行わないでください。

帯域幅管理の詳細については、「ファイアウォール設定＞帯域幅管理」を参照してください。