ワイヤモードとタップモードの設定

SonicOS は、ネットワークに分断を伴わずに追加挿入する新しい方式を提供するワイヤモードとタップモードをサポートしています。


	補足：ワイヤモードは NSA 2600 以降の装置でサポートされます。

表 24. ワイヤモードとタップモードの設定
ワイヤモード設定	説明
バイパスモード	バイパスモードにより、SonicWALL ハードウェアのネットワークへの素早く比較的中断の無い導入が可能になります。ネットワークへ挿入するポイント (例: コアスイッチと境界ファイアウォールの間、VM サーバファームの前、データ分類ドメイン間の移行ポイント) を選択すると、SonicWALL は物理データパスに挿入され、非常に短い整備期間しか必要ありません。SonicWALL 上のスイッチポートの 1 つ以上のペアが、すべてのパケットをセグメントを越えて完全なライン速度で転送するために使われます。すべてのパケットは、マルチコア検査および強制パスに搬送されるのではなく、SonicWALL の 240Gbps スイッチファブリック上に残ります。バイパスモードは検査やファイアウォール機能を提供しないので、このモードによって最小のダウンタイムと危険をもって SonicWALL をネットワークに物理的に導入して、ネットワークおよびセキュリティインフラの新しく挿入された構成要素である水準の安心感を得ることができます。その後、再設定を行うための簡素なユーザインターフェースを通してバイパスモードから検査または保護モードに即座に移行できます。
検査モード	検査モードは、低リスク、遅延の無いパケットパスなどの機能を変えることなくバイパスモードを拡張します。パケットは SonicWALL のスイッチファブリックの通過を続けますが、それらはまた、パッシブ検査、分類、フロー報告の目的のために、マルチコア RF-DPI エンジンにミラーされます。これは、実際の中間処理無しでの SonicWALL のアプリケーション情報および脅威検出機能を示します。
保護モード	保護モードは、検査モードの進化形で、SonicWALL のマルチコアプロセッサをパケット処理パスに活発に挿入します。これは、アプリケーション情報と制御、侵入防御サービス、ゲートウェイおよびクラウドベースのアンチウイルス、アンチスパイウェア、そしてコンテンツフィルタを含む、検査とポリシーエンジンの完全な機能セットを開放します。保護モードは、通常の NAT や L2 ブリッジモードの配備と同じレベルの可視性と強制を、L3/L4 変換なしで、そして ARP やルーティング動作の変更なしで提供します。こうして保護モードは、既存のネットワーク設計への最低限の物理的変更だけで論理的変更を必要としない、少しずつ到達可能な NGFW 配備を提供します。
タップモード	タップモードは検査モードと同じ視野を提供しますが、SonicWALL 上の単一スイッチポートを介してミラーされたパケットストリームを吸収して、物理的な中間挿入の必要性を除去する点が異なります。タップモードは、検査や収集用に外部機器にパケットを届けるためにネットワークタップ、スマートタップ、ポートミラー、または、SPAN ポートを利用する環境で使用するように設計されています。ワイヤモードの他のすべての形態と同様に、タップモードは複数同時ポートインスタンスで動作可能で、複数タップからの不連続ストリームをサポートします。

Table 25 は、インターフェース設定モード間の主な機能の違いです。

表 25. ワイヤモード:機能の違い
	バイパスモード	検査モード	保護モード	タップモード	L2 ブリッジ、トランスペアレント、NAT、ルートモード
アクティブ/アクティブクラスタリング ¹	いいえ	いいえ	いいえ	いいえ	はい
アプリケーション制御	いいえ	いいえ	はい	いいえ	はい
アプリケーション可視化	いいえ	はい	はい	はい	はい
ARP/ルーティング/NAT 1	いいえ	いいえ	いいえ	いいえ	はい
統合アンチスパムサービス 1	いいえ	いいえ	いいえ	いいえ	はい
コンテンツフィルタ	いいえ	いいえ	はい	いいえ	はい
DHCP サーバ 1	いいえ	いいえ	いいえ	いいえ	はい ²
DPI 検出	いいえ	はい	はい	はい	はい
DPI 防御	いいえ	いいえ	はい	いいえ	はい
DPI-SSL1	いいえ	いいえ	はい	いいえ	はい
高可用性	はい	はい	はい	はい	はい
リンク状況伝達 ³	はい	はい	はい	いいえ	いいえ
ステートフルパケット検査	いいえ	はい	はい	はい	はい
TCP ハンドシェーク強制 ⁴	いいえ	いいえ	いいえ	いいえ	はい
仮想グループ 1	いいえ	いいえ	いいえ	いいえ	はい

これらの機能とサービスは、ワイヤモードで設定されたインターフェースでは利用できませんが、システム全体レベルでは、他の互換性のある動作モードで設定されたどのインターフェースでも利用可能です。

L2 ブリッジモードでは利用不可です。

リンク状況伝達は、ワイヤモードペアのインターフェースがリンク状況のミラーをパートナーの遷移によって開始する機能です。これは、冗長化パスのあるネットワークで正しい動作をするために不可欠です。

ワイヤモードでは、複数のワイヤモードのパスまたは複数の SonicWALL が冗長または非対称パスと共に使用されている場合に、ネットワーク上のどこかで発生するフェイルオーバーイベントがサポートされることを許可するために、設計上無効になっています。


	補足：ワイヤモードで運転する場合、ローカル管理には SonicWALL の専用 "管理" インターフェースが使われます。リモート管理および動的なセキュリティサービスとアプリケーション情報の更新を有効にするには、WAN インターフェース(ワイヤモードインターフェースから独立した) をインターネット接続のために設定する必要があります。これは、SonicOS がほぼすべての組み合わせの混在モードのインターフェースをサポートするので、簡単にできます。

ワイヤモードでのインターフェースの設定

インターフェースをワイヤモードに設定するには、以下の手順に従います。

「ネットワーク > インターフェース」ページで、ワイヤモードに設定したいインターフェースの設定アイコンを選択します。

「ゾーン」ドロップダウンメニューで、WLAN 以外の任意のゾーン種別を選択します。

インターフェースをタップモードで設定するには、「モード/IP 割り当て」ドロップダウンメニューで「タップモード (1 ポートタップ)」を選択します。

•

インターフェースをワイヤモードで設定するには、「モード/IP 割り当て」ドロップダウンメニューで「ワイヤモード (2 ポートワイヤ)」を選択します。

「ワイヤモード種別」ドロップダウンメニューで、適切なモードを選択します。

•

バイパス (内部スイッチ/リレーによる)

•

検査 (ミラートラフィックのパッシブ DPI)

•

保護 (直列トラフィックのアクティブ DPI)

「ペアインターフェース」ドロップダウンメニューで、上流のファイアウォールに接続するインターフェースを選択します。このペアインターフェースは同じ種別 (2 つの 1 GB インターフェースまたは 2 つの 10 GB インターフェース) である必要があります。


	補足：未定義のインターフェースのみが、「ペアインターフェース」ドロップダウンメニューで利用可能です。インターフェースを未定義にするには、インターフェースの「設定」ボタンを選択して、「ゾーン」ドロップダウンメニューで「未定義」を選択します。

「OK」を選択します。

ワイヤモードは、WAN、LAN、DMZ、および個別ゾーン (無線ゾーンを除く) に対して設定可能です。ワイヤモードはレイヤ 2 ブリッジモードを簡潔にしたもので、インターフェースのペアとして設定されます。ワイヤモードでは、送信先ゾーンは「ペアインターフェースゾーン」です。送信元の「ゾーン」とその「ペアインターフェースゾーン」間のトラフィックの方向に基づいて、アクセスルールがワイヤモードペアに適用されます。例えば、送信元の「ゾーン」が「WAN」で、「ペアインターフェースゾーン」が「LAN」の場合、トラフィックの方向に応じて WAN から LAN へのルールと LAN から WAN へのルールが適用されます。

ワイヤモードでは、管理者はインターフェースのリンク状況をペアインターフェースに伝播するリンク状況伝達を有効にすることができます。あるインターフェースが停止した場合は、そのインターフェースのリンク状況をミラーするため、ペアインターフェースが強制的に停止されます。ワイヤモードペアのインターフェースは、どちらも常に同じリンク状況になります。

ワイヤモードでは、管理者はステートフル検査を無効にできます。「ステートフル検査を無効にする」を選択すると、ステートフルパケット検査がオフになります。「ステートフル検査を無効にする」が選択されていない場合は、3 ウェイ TCP ハンドシェイクを強制することなく、新しい接続を確立できます。非対称ルートを配備する場合は、「ステートフル検査を無効にする」を選択する必要があります。