SonicOS の IPv6 実装の詳細については、次を参照してください。 付録 C:IPv6SonicOS の IPv6 実装の詳細については、次を参照してください。 付録 C:IPv6
SonicOS は、IPv6 アドレスを持つユーザの NetExtender 接続をサポートしています。「SSLVPN > クライアント設定」ページで、最初に従来の IPv6 IP アドレス プールを設定し、次に、IPv6 IP プールを設定します。クライアントには、IPv4 と IPv6 の 2 つの内部アドレスが割り当てられます。
Note IPv6 DNS/WINS サーバはサポートされません。
「SSLVPN > クライアント ルート」ページで、事前定義されたすべての IPv6 アドレス オブジェクトを含むすべてのアドレス オブジェクトのドロップダウン リストから、クライアント ルートを選択できます。
Note IPv6 FQDN がサポートされています。
1. 「セキュリティ属性」タブを選択します。
2. 「属性の選択」プルダウン メニューで、属性の適切な種別を選択します。以下のセクションでは、セキュリティ属性の設定方法について説明します。
• アプリケーション
• ディレクトリ名
• 周辺機器 ID
• ファイル名
3. 属性固有の設定 (下の説明) を完了し、「属性の追加」を選択します。
4. この手順を必要に応じて繰り返して、複数の属性を設定します。複数のセキュリティ属性を設定する場合、デバイスはデバイス プロファイルと一致するようにすべてのセキュリティ属性と一致する必要があります。
5. 作業が終了したら、「クライアント ルート」タブを選択し、クライアント ルートの設定に進みます。
デバイス プロファイルは、指定されたアンチウイルス プログラムがインストールされていることを確認します。
アンチウイルス プログラム属性の定義には次の情報が使用されます。
• ベンダー – アンチウイルス プログラムのベンダーを選択します。
• 製品名 – サポートされるアンチウイルス プログラムを選択します。
• 製品バージョン – アンチウイルス プログラムを選択すると、サポートされる製品バージョン番号が表示されます。適切なバージョン番号と比較演算子を選択します。
Tip セキュリティ属性で行うこれらの数値検索では、プルダウン メニューから、より大きい (>)、以上 (>=)、同じ (=)、より小さい (<)、または以下 (<=) の 5 種類の比較演算子からいずれかを指定できます。
• シグネチャ更新 - クライアント デバイスがアンチウイルス シグネチャを何日前に更新したかを示す値を入力し、比較演算子の種類を選択します。
• ファイル システム スキャン - クライアント デバイスがアンチウイルス プログラムによって何日前にスキャンされたかを示す値を入力し、比較演算子の種類を選択します。
• リアルタイム防御要件 – アンチウイルス プログラムでリアルタイム防御を有効にする必要がある場合は、このチェックボックスをオンにします。
デバイス プロファイルは、指定されたアンチスパイウェア プログラムがインストールされていることを確認します。
アンチスパイウェア プログラム属性の定義には次の情報が使用されます。
• ベンダー – アンチスパイウェア プログラムのベンダーを選択します。
• 製品名 – サポートされるアンチスパイウェア プログラムを選択します。
• 製品バージョン – アンチスパイウェア プログラムを選択すると、サポートされる製品バージョン番号が表示されます。適切なバージョン番号と比較演算子を選択します。
• シグネチャ更新 - クライアント デバイスがアンチスパイウェア シグネチャを何日前に更新したかを示す値を入力し、比較演算子を選択します。
• ファイル システム スキャン - クライアント デバイスがアンチスパイウェア プログラムによって何日前にスキャンされたかを示す値を入力し、比較演算子を選択します。
• リアルタイム防御要件 – アンチウイルス プログラムでリアルタイム防御を有効にする必要がある場合は、このチェックボックスをオンにします。
デバイス プロファイルは、指定されたアプリケーションがインストールされていることを確認します。
アプリケーションのファイル名を入力します。ワイルドカード文字 (* と ?) を使用でき、入力は大文字小文字を区別しません。
デバイス プロファイルは、認証局 (CA) 証明書がインストールされていることを確認します。
「CA 証明書」プルダウン メニューから証明書を選択します。Dell SonicWALL セキュリティ装置にインストールされている証明書がすべてプルダウン メニューに表示されます。クライアント デバイスをこのプロファイルと一致させるには、ユーザへのクライアント証明書発行元 CA のルート証明書を使用して装置を設定する必要があります (中間の証明書は機能しません)。
検索する証明書ストアを選択します。
• システム ストアのみ - HKLM\SOFTWARE\Microsoft\SystemCertificates を検索します。
• システム ストアとユーザ ストア - 最初にシステム ストア ディレクトリが検索され、次に、ユーザ ストア HKCU\Software\Microsoft\SystemCertificates が検索されます。
デバイス プロファイルは、デバイスのファイル システムに特定のディレクトリが存在することを確認します。
デバイスのハードディスクに存在する必要があるディレクトリ名を入力します。ディレクトリ名は大文字小文字が区別されません。
デバイス プロファイルは、デバイスの一意のハードウェア識別子である周辺機器 ID を確認します。
ユーザのデバイスのデバイス識別子を入力します。1 つのデバイスのみがこのデバイス プロファイルと一致します。通常、デバイス識別子は、{unique_id} などの変数によって表される認証ディレクトリ内の属性です。
HD Tune などのハードディスク ユーティリティ プログラムを使用してデバイス識別子を決定できます。次の HD Tune のスクリーンショットでは、デバイス識別子は「Serial number」として表示されます。
デバイス プロファイルは、特定のファイルがインストールされていることを確認します。
ファイル名属性の定義には次の情報が使用されます。
• ファイル名 – 拡張子と完全パスを含めたファイル名を入力します。ファイル名は大文字小文字が区別されません。ワイルドカード文字 (* と ?) または環境変数 (%windir% または %userprofile% など) を使用できます。
• ファイル サイズ – ファイルサイズをバイト数で入力し、比較演算子を選択します。
• 最終更新 – mm/dd/yyyy 形式で日付を入力すると、絶対時間を選択できます。ファイルが更新されてから経過した日数 (オプションで、時間数、分数、および秒数) を入力すると、相対時間を選択できます。
• ファイルの信頼性を確認する – MD5 または SHA-1 ハッシュのいずれか、または Windows カタログ ファイルを使用するファイルを確認する場合は、このチェックボックスをオンにします。
デバイス プロファイルは、パーソナル ファイアウォール プログラムがインストールされていることを確認します。
パーソナル ファイアウォール プログラム属性の定義には次の情報が使用されます。
• ベンダー – パーソナル ファイアウォール プログラムのベンダーを選択します。
• 製品名 – サポートされるパーソナル ファイアウォール プログラムを選択します。
• 製品バージョン – パーソナル ファイアウォール プログラムを選択すると、サポートされる製品バージョン番号が表示されます。適切なバージョン番号と比較演算子を選択します。
デバイス プロファイルは、指定された Windows ドメインが存在することを確認します。
「コンピュータが所属するドメイン」フィールドに、DNS 接尾辞なしで 1 つ以上のドメイン名を入力します。ドメイン名を複数入力する場合はセミコロンで区切ります。ドメインにはワイルドカード文字 (* と ?) を使用できます。
デバイス プロファイルは、指定された Windows レジストリ登録が存在することを確認します。
Windows レジストリ登録属性の定義には次の情報が使用されます。
• キー名 – Windows レジストリ登録を入力します。
• 値名 – (オプション) レジストリ登録の特定の値を入力します。
• レジストリ登録 – (オプション) レジストリ登録の数値を入力し、比較演算子を演算子を選択します。
「値名」および「レジストリ登録」フィールドではワイルドカードを使用できますが、キー名には使用できません。特殊文字 (ワイルドカード、バックスラッシュなど) を入力するには、特殊文字の前にバックスラッシュを入力する必要があります。
デバイス プロファイルは、デバイスで実行されている Windows のバージョンを確認します。
Windows バージョンの検索の定義には次の情報が使用されます。
• 演算子 – より大きい (>)、以上 (>=)、同じ (=)、より小さい(<)、または以下 (<=) を選択します。
• メジャー – Windows メジャー バージョン番号を入力します。
• マイナー – Windows マイナー バージョン番号を入力します。
• ビルド – (オプション) Windows ビルド バージョン番号を入力します。
• 最近の Windows バージョンは、次のメジャーおよびマイナー リリース番号で定義されます。
– Windows 2000 – メジャー: 5、マイナー: 0
– Windows XP – メジャー: 5、マイナー:1
– Windows Vista – メジャー: 6、マイナー:0
– Windows 7 – メジャー:6、マイナー:1
比較演算子は 3 つすべての値に適用されます。
セキュリティ属性設定を完了したら、「クライアント ルート」タブを選択します。
「クライアント ルート」タブは、SSL VPN ユーザに付与されるネットワーク アクセスの制御に使用されます。
「強制トンネル方式」ドロップダウン リストで「有効」を選択し、NetExtender ユーザへのすべてのトラフィック (リモート ユーザのローカル ネットワーク宛てのトラフィックも含む) で強制的に SSL VPN NetExtender トンネルが使用されるようにします。これは、次のルートをリモート クライアントのルート テーブルに追加することで実現されます。
|
NetExtender は、接続中のすべてのネットワーク接続のローカル ネットワーク ルートも追加します。これらのルートには既存のルートよりも高いメトリックが設定されているため、ローカル ネットワークへのトラフィックは強制的に SSL VPN トンネル経由に切り替えられます。例えば、リモート ユーザが10.0.*.*ネットワークの IP アドレス 10.0.67.64 を使用している場合、ルート 10.0.0.0/255.255.0.0 が追加され、トラフィックが SSL VPN トンネルを経由するようになります。
Note 強制トンネル方式を設定する以外にも、個々の SSL VPN ユーザ アカウントを設定する必要もあります。クライアント ルートと強制トンネル方式用にユーザとグループを設定を参照してください。
クライアント ルートを設定して SSL VPN ユーザにネットワークへのアクセス権を付与するには、次の手順を実行します。
1. 「アクセス不可」リストから適切なアドレス オブジェクトを選択します。
2. 「->」ボタンを選択して、そのアドレス オブジェクトを「クライアント ルート」リストに追加します。
3. 他のアドレス オブジェクトに対して同じ操作を繰り返します。
4. 操作が終了したら、「クライアント設定」タブを選択します。デバイス プロファイルの設定が終了したら、次のセクションで、SSL VPN ユーザおよびグループに SSL VPN アクセスを設定する方法を確認してください。
クライアント ルートと強制トンネル方式用にユーザとグループを設定
Note デバイス プロファイルでクライアント ルート設定が終了したら、「ユーザ > ローカル ユーザ」または」「ユーザ > ローカル グループ」ページで、すべての SSL VPN ユーザおよびグループにこれらのルートへのアクセス権を割り当てる必要もあります。
SSL VPN NetExtender ユーザとグループがクライアント ルートにアクセスできるように設定するには、以下の手順を実行します。
1. 「ユーザ > ローカル ユーザ」 または 「ユーザ > ローカル グループ」 に移動します。
2. SSL VPN NetExtender ユーザまたはグループに対する「設定」ボタンを選択します。
3. 「VPN アクセス」 タブを選択します。
4. クライアント ルートに対するアドレス オブジェクトを選択して、右矢印 (->) ボタンを選択します。
5. 「OK」を選択します。
6. SSL VPN NetExtender を使うすべてのローカル ユーザまたはグループに対して、手順 1 から 5 を繰り返します。
SSL VPN ユーザとグループを強制トンネル方式のために設定するには、以下の手順を実行します。
1. 「ユーザ > ローカル ユーザ」 または 「ユーザ > ローカル グループ」 に移動します。
2. SSL VPN NetExtender ユーザまたはグループに対する 「設定」 ボタンを選択します。
3. 「VPN アクセス」 タブを選択します。
4. 「WAN リモート アクセス」アドレス オブジェクトを選択して、右矢印 (->) ボタンを選択します。
5. 「OK」を選択します。
6. SSL VPN NetExtender を使うすべてのローカル ユーザまたはグループに対して、手順 1 から 5 を繰り返します。
「クライアント設定」タブは、SSL VPN クライアントに DNS 設定を指定したり、NetExtender クライアントにオプションを設定したりするのに使用されます。
クライアント設定を指定するには、以下の手順に従います。
1. 「既定の DNS 設定」を選択して、Dell SonicWALL セキュリティ装置の既定の DNS 設定を使用します。DNS および WINS 設定は自動的に入力されます。
2. また、DNS 情報は手動で構成することもできます。「DNS サーバ 1」フィールドにプライマリ DNS サーバの IP アドレスを入力するか、「既定の DNS 設定」を選択して既定の設定を使用します。
3. (オプション) 「DNS サーバ 2」フィールドに、バックアップ DNS サーバの IP アドレスを入力します。
4. DNS 検索リスト
5. (オプション) 「WINS サーバ 1」フィールドに、プライマリ WINS サーバの IP アドレスを入力します。
6. (オプション) 「WINS サーバ 2」フィールドに、バックアップ WINS サーバの IP アドレスを入力します。
7. 次の NetExtender クライアント設定を指定して、ユーザの接続および切断時の NetExtender の動作をカスタマイズします。
• クライアントの自動更新を有効にする - NetExtender クライアントを起動するたびにアップデートの有無をチェックします。
• 切断後にクライアントを終了 - SSL VPN サーバから切断された NetExtender クライアントは終了されます。再接続するには、SSL VPN ポータルに戻るか、「プログラム」メニューから NetExtender を起動する必要があります。
• クライアント終了後にアンインストール - SSL VPN サーバから切断された NetExtender クライアントは自動的にアンインストールされます。再接続するには、SSL VPN ポータルに戻る必要があります。
• クライアント接続プロファイルを作成 - NetExtender クライアントは、SSL VPN サーバ名、ドメイン名、およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します。
• ユーザ名とパスワードの保存 - ユーザが NetExtender クライアントにユーザ名とパスワードをキャッシュできるようにするかどうかを設定できます。選択できるオプションは、「ユーザ名だけ保存を許可」、「ユーザ名とパスワードの保存を許可」、「ユーザ名とパスワードの保存は不可」の 3 つです。これらのオプションによって、セキュリティの必要性とユーザの使い勝手の両方に配慮した設定を実現できます。
8. 「OK」を選択して、デバイス プロファイル設定プロセスを完了します。