App_Control

アプリケーション制御は、アプリケーションシグネチャのポリシールールを設定するためのソリューションを提供します。アプリケーション制御ポリシーには、グローバルなアプリケーション制御と、対象のより広いアプリケーションルールポリシーが含まれます。SonicOS では、「ダッシュボード > アプリケーションフロー監視」ページから、その場で直接いくつかの種類のアプリケーション制御ポリシーを作成することができます。

アプリケーション制御は、アプリケーション固有のポリシーのセットとして、ユーザ、電子メールアドレス、スケジュール、および IP サブネットの各レベルのネットワークトラフィックをきめ細かく制御できるようにします。このアプリケーション層アクセス制御機能の主な目的は、ウェブブラウジング、ファイル転送、電子メール、および電子メール添付ファイルを制限することにあります。

アプリケーション層トラフィックを SonicOS で制御できる機能が、リアルタイムのアプリケーショントラフィックフローを表示できる機能や、アプリケーションシグネチャデータベースにアクセスしたりアプリケーション層ルールを作成したりする新しい方法によって大幅に強化されています。SonicOS では、すべてのネットワークトラフィックにわたって制御をより強化するために、アプリケーション制御と標準のネットワーク制御機能が統合されています。

アプリケーション制御ポリシーについて

SonicOS では、アプリケーション制御ポリシーを作成してネットワーク内のアプリケーションを制御する方法が 3 通りあります。

• アプリケーションフロー監視からのルールの作成 - 「ダッシュボード > アプリケーションフロー監視」ページに、管理者がアプリケーションの遮断、帯域幅管理、またはパケット監視のためのアプリケーションルールポリシーを素早く設定することを可能にする、「ルールの作成」ボタンが提供されます。これにより、管理者は SonicWALL 可視化およびアプリケーションインテリジェンス機能の使用中に注目したアプリケーションに動作を素早く適用できます。ポリシーは自動的に作成され、「ファイアウォール > アプリケーションルール」ページのアプリケーションルールポリシーテーブルに表示されます。

• アプリケーション制御詳細 - 「ファイアウォール > アプリケーション制御詳細」ページに、グローバルなアプリケーション制御ポリシーを設定する簡単で直接的な方法が提供されます。アプリケーションのある種別全体の遮断とログ記録を迅速に有効化したり、個々のアプリケーションや個々のシグネチャを容易に特定して同じ処理を実行したりできます。有効化すると、「ファイアウォール > アプリケーションルール」ページでポリシーを作成しなくても、種別、アプリケーション、またはシグネチャのグローバルな遮断またはログ記録が行われます。すべてのアプリケーション検出および防御の設定が「ファイアウォール > アプリケーション制御詳細」ページで使用できます。

• アプリケーションルール - 「ファイアウォール > アプリケーションルール」ページに、アプリケーション制御ポリシーを作成する 3 番目の方法が提供されます。この方法は、以前のアプリケーションルール機能で使われた方法と同じです。アプリケーションルールの対象が拡大されているのは、一致オブジェクトや動作オブジェクト、場合によっては電子メールアドレスオブジェクトもポリシーに組み込まれているからです。柔軟性を高めるために、アプリケーションポリシーは、「アプリケーション制御詳細」ページで利用できる任意の種別、アプリケーション、またはシグネチャで同じアプリケーション制御にアクセスできます。「ファイアウォール > 一致オブジェクト」ページは、アプリケーションルールポリシーで一致オブジェクトとして使用するアプリケーションリストオブジェクト、アプリケーション種別リストオブジェクト、およびアプリケーションシグネチャリストオブジェクトを作成する方法を提供します。「一致オブジェクト」ページでは、ネットワークトラフィック内のコンテンツを照合するための正規表現も設定できます。「ファイアウォール > 動作オブジェクト」ページでは、ポリシーで使う個別動作を作成することが可能です。

アプリケーション制御機能について

アプリケーション制御のデータ漏洩抑止コンポーネントは、ファイルやドキュメントをスキャンしてコンテンツやキーワードを探す機能を備えています。アプリケーション制御を使用すると、特定のファイル名、ファイルの種類、電子メール添付ファイル、添付ファイルの種類、特定の件名を持つ電子メール、特定のキーワードまたはバイトパターンを含む電子メールまたは添付ファイルの転送を制限できます。内部または外部ネットワークアクセスを各種の条件に基づいて禁止できます。パケット監視を使ってアプリケーショントラフィックを詳細に調査可能で、アプリケーションによって使われるネットワーク帯域を削減するために様々な帯域幅管理設定が選択可能です。

アプリケーション制御は、Dell SonicWALL の再組み立てが不要な精密パケット検査技術に基づいて、ポリシーベースの個別動作を作成することを可能にするインテリジェントな防御機能も提供します。個別動作の例を次に示します。

• シグネチャに基づくアプリケーション全体の遮断

• アプリケーション機能またはサブコンポーネントの遮断

• ファイルの種類ごとの帯域幅調整 (HTTP または FTP プロトコルを使用する場合)

• 添付ファイルの遮断

• 個別遮断ページの送信

• 個別電子メール応答の送信

• HTTP 要求のリダイレクト

• FTP 制御チャンネルでの個別 FTP 応答の送信

アプリケーション制御は、アプリケーションレベルのアクセス制御、アプリケーション層帯域幅管理、およびデータ漏洩の抑止機能を主に提供する一方で、個別のアプリケーション一致またはプロトコル一致のシグネチャを作成する機能も備えています。プロトコルの固有の部分を照合することで、任意のプロトコルに対応する個別アプリケーションルールポリシーを作成できます。個別のシグネチャを参照してください。

アプリケーション制御は、機密文書が誤って転送されるのを防ぐための優れた機能を提供します。例えば、Outlook Exchange の自動アドレス補完機能を使用している場合、一般的な名前に対して誤ったアドレスが補完されてしまうことはよくあります。以下の図に例を示します。

アプリケーション制御の利点

アプリケーション制御機能には、次のような利点があります。

• アプリケーションベースの設定により、アプリケーション制御用のポリシーの設定が容易である。

• アプリケーション制御購読サービスによって新しい攻撃の出現時に更新されたシグネチャが提供される。

• アプリケーションフロー監視やリアルタイム可視化監視に見られるような、関連するアプリケーションインテリジェンス機能が 30 日間無料トライアルのアプリケーション可視化ライセンスとして登録時に利用できる。これにより、任意の登録済み Dell SonicWALL 装置でネットワーク内のアプリケーショントラフィックに関する情報を明確に表示できる。アプリケーション可視化およびアプリケーション制御のライセンスは、Dell SonicWALL セキュリティサービスライセンスのバンドルにも含まれています。SonicOS 管理インターフェースをアクティブにするには、この機能を有効にする必要があります。

• 管理者は「アプリケーションフロー監視」ページの参照中に「ルールの作成」ボタンを使って、注目したアプリケーションに帯域幅管理やパケット監視を素早く適用する、またアプリケーションを完全に遮断することが可能です。

• 管理者は、同じアプリケーションの他のシグネチャに影響を与えることなく個々のシグネチャのポリシー設定を行えます。

• アプリケーション制御の設定画面は、SonicOS 管理インターフェースの「ファイアウォール」メニューで利用可能で、ファイアウォールとアプリケーション制御のアクセスルールおよびポリシーはすべて同じ領域に集約されています。

アプリケーション制御機能は、3 つの主要な製品種別と比較することができます。

• スタンドアロンプロキシ装置

• ファイアウォール VPN 装置に統合されたアプリケーションプロキシ

• 個別のシグネチャがサポートされるスタンドアロン IPS 装置

通常、スタンドアロンプロキシ装置は、特定のプロトコルに対してきめ細かいアクセス制御を提供するように設計されています。Dell SonicWALL アプリケーション制御は、HTTP、FTP、SMTP、POP3 などの複数のプロトコルにわたってアプリケーションレベルのきめ細かいアクセス制御を提供します。アプリケーション制御はファイアウォール上で動作するため、受信トラフィックと送信トラフィックの両方を制御できます。これに対し、専用のプロキシ装置は、一方向にのみ配備されるのが一般的です。SonicWALL 独自の精密パケット検査技術に基づいたアプリケーション制御は、専用のプロキシ装置よりも高いパフォーマンスとスケーラビリティを提供します。

今日の統合アプリケーションプロキシでは、アプリケーションレベルのきめ細かいアクセス制御、アプリケーション層帯域幅管理、およびデジタル権利管理機能は提供されません。専用プロキシ装置の場合と同様、SonicWALL アプリケーション制御は、統合アプリケーションプロキシソリューションよりもはるかに高いパフォーマンスとスケーラビリティを提供します。

一部のスタンドアロン IPS 装置ではプロトコルデコードサポートが提供されていますが、アプリケーションレベルのきめ細かいアクセス制御、アプリケーション層帯域幅管理、およびデジタル権利管理機能をサポートする製品は存在しません。

アプリケーション制御を SonicWALL Email Security と比較した場合、それぞれに利点があります。Email Security は SMTP に対してのみ有効ですが、非常に幅広いポリシー空間を利用できます。アプリケーション制御は、SMTP、POP3、HTTP、FTP、およびその他のプロトコルに対して有効で、ファイアウォール上の SonicOS に統合され、Email Security よりも高いパフォーマンスを発揮します。ただし、アプリケーション制御では、Email Security において SMTP に対して提供されるポリシーオプションがすべて提供されるわけではありません。

アプリケーション制御の仕組み

アプリケーション制御では、SonicOS の精密パケット検査を利用して、ゲートウェイを通過するアプリケーション層ネットワークトラフィックをスキャンし、設定されているアプリケーションに一致するコンテンツを検索します。一致するものが見つかると、これらの機能は設定されている動作を実行します。アプリケーション制御ポリシーの設定時には、アプリケーションの遮断とログ記録のどちらを行うか、どのユーザ、グループ、または IP アドレスを対象として含めるか除外するか、また執行のスケジュールを定義するグローバルルールを作成します。さらに、以下を定義するアプリケーションルールポリシーも作成できます。

• スキャンするアプリケーションの種類

• 照合する方向、コンテンツ、キーワード、またはパターン

• 照合するユーザまたはドメイン

• 実行する動作

以下のセクションでは、アプリケーション制御のメインコンポーネントについて説明します。

• 帯域幅管理を用いた動作

• パケット監視を用いた動作

• アプリケーションフロー監視からのルールの作成

• アプリケーション制御の詳細ポリシー作成

帯域幅管理を用いた動作

アプリケーション層帯域幅管理 (BWM) を利用すると、プロトコル内の特定のファイルタイプに対しては帯域幅の消費を制限する一方で、それ以外のファイルタイプに対しては帯域幅を無制限に使用するポリシーを作成できます。これにより、同じプロトコル内で好ましいトラフィックと好ましくないトラフィックを区別できます。アプリケーション層帯域幅管理は、すべてのアプリケーション一致や、HTTP クライアント、HTTP サーバ、個別、および FTP ファイル転送の種別を使用する個別アプリケーションルールポリシーでサポートされます。ポリシー種別の詳細については、アプリケーションルールポリシーの作成を参照してください。

「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」が「グローバル」に設定されている場合、アプリケーション層帯域幅管理機能は、「ファイアウォール > アプリケーションルール」ページからのポリシーの追加時に使用できる、定義済みの 8 つの既定の帯域幅管理優先順位レベルによってサポートされます。また、「ファイアウォール > 動作オブジェクト」画面からの新しい動作の追加時に使用できる、カスタマイズ可能な「帯域幅管理種別」動作もあります。

帯域幅管理は、「アプリケーションフロー監視」ページからも、サービス種別アプリケーションまたはシグネチャ種別アプリケーションを選択してから「ルールの作成」ボタンを選択することで設定できます。利用可能な帯域幅管理オプションは、「ファイアウォール設定 > 帯域幅管理」ページのグローバル優先順位キューテーブル内の有効な優先順位レベルに依存します。この有効な優先順位は既定では、高、中、低です。

すべてのアプリケーション帯域幅管理は、「ファイアウォール設定 > 帯域幅管理」ページで設定されるグローバル帯域幅管理と関連しています。

次の 2 種類の帯域幅管理が利用可能です。詳細およびグローバルです。

• 種別が「詳細」に設定されている場合、帯域幅管理はアプリケーションルール」に対して個別に設定できます。

• 種別が「グローバル」に設定されている場合、設定済みの帯域幅管理をすべてのゾーン内のすべてのインターフェースに対してグローバルに適用できます。

図 42:1 「ファイアウォール設定 > 帯域幅管理」ページ

ベストプラクティスとして、「ファイアウォール設定 > 帯域幅管理」ページのグローバル帯域幅管理の設定は、常にいかなる帯域幅管理ポリシーの設定よりも前に行う必要があります。

「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」を「詳細」からグローバル」に変更すると、すべてのアクセスルールで帯域幅管理が無効になります。ただし、アプリケーション制御ポリシー内の既定の帯域幅管理動作オブジェクトは、グローバル帯域幅管理設定に変換されます。

「帯域幅管理種別」を「グローバルから「詳細」に変更すると、すべてのアプリケーションルールポリシーで使用されている既定の帯域幅管理動作は、変更前にどのようなレベルに設定されていても、「高度な帯域幅管理 - 中」に自動変換されます。

既定の帯域幅管理動作

「詳細」と「グローバル」の切り替えを行うと、既定の帯域幅管理動作が「帯域幅管理グローバル - 中」に変換されます。動作種別を切り替えても、ファイアウォールによって以前の優先順位レベルが保存されることはありません。変換の内容は、「ファイアウォール > アプリケーションルール」ページで確認できます。

個別帯域幅管理動作

個別帯域幅管理動作は既定の帯域幅管理動作と異なる振舞いをします。個別帯域幅管理動作は、「ファイアウォール > 動作オブジェクト」ページで動作オブジェクトを作成することで設定されます。個別帯域幅管理動作と、そうした動作を使用するポリシーでは、「帯域幅管理種別」が「グローバル」と「詳細」の間で切り替えられるたびに、それぞれの優先順位設定が保持されます。

次の図に、グローバル帯域幅管理種別が「グローバル」に設定された後の同じポリシーを示します。ツールチップには優先順位のみが表示されています。これは、レベル 5 の保証帯域幅または最大帯域幅のグローバル優先順位キューに値がまったく設定されていないからです。

図 42:2 帯域幅管理種別がグローバルであるポリシーでの個別帯域幅管理動作

「帯域幅管理種別」が「グローバル」に設定されている場合、「動作オブジェクトの追加/編集」画面には、帯域幅優先順位のオプションが提示されますが、使用される値は、保証帯域幅および最大帯域幅の「ファイアウォール設定 > 帯域幅管理」ページにある「優先順位」テーブルで指定されているものです。

は、「ファイアウォール設定 > 帯域幅管理」ページでグローバル帯域幅管理種別が「グローバル」に設定されている状態での「動作オブジェクトの追加/編集」画面内の帯域幅優先順位の選択肢を示します。

図 42:3 帯域幅管理種別がグローバルでの動作オブジェクトの追加/編集ページ

補足設定されているかどうかに関係なく、すべての優先順位 (リアルタイム～最低) が表示されます。どの優先順位が有効かを確認するには、「ファイアウォール設定 > 帯域幅管理」ページを参照します。「帯域幅管理種別」が「グローバル」に設定されていて、有効になっていない帯域幅優先順位を選択した場合、トラフィックは自動的に優先順位 4 (中) にマップされます。

アプリケーション層の帯域幅管理の設定は、アクセスルールの帯域幅管理の設定と同じ方法で処理されます。どちらもグローバル帯域幅管理設定に関連付けられています。しかしながら、アクセスルールではできないすべての内容種別を指定することが、アプリケーション制御では可能です。

帯域幅管理の 1 つの利用例として、あなたが管理者として就業時間内の .mp3 および実行可能ファイルのダウンロードを 1Mbps を超えないように制限して、同時に、.doc や .pdf といった生産性の高い種別のファイルのダウンロードを利用可能な最大帯域幅まで許可するか、生産性の高いコンテンツのダウンロードに可能な最大優先順位を与えたい、というケースがあります。もう 1 つの例として、特定の種別のピアツーピア (P2P) トラフィックに帯域幅制限をかけたいが、その他の種別の P2P は制限無しの帯域幅を許可したい、というケースがあります。アプリケーション層の帯域幅管理により、これらを実施するポリシーを作成することが可能になります。

多くの帯域幅管理動作オプションも、あらかじめ定義された既定の動作リストで利用可能です。この帯域幅管理動作オプションは、「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」の設定に応じて変化します。「帯域幅管理種別」が「グローバル」に設定されている場合は、8 つの優先順位すべてが選択可能です。「帯域幅管理種別」が「詳細」に設定されている場合は、どの優先順位も選択できませんが、ポリシーの追加時には定義済みの優先順位を使用できます。

以下の表は、ポリシー追加時に利用可能なあらかじめ定義されている既定の動作を示します。

常時利用可

帯域幅管理種別 = グローバル

帯域幅管理種別 = 詳細

リセット / 破棄

動作なし

DPI をバイパスする

パケット監視

0 — リアルタイム

1 — 最高

2 — 高

3 — 中高

4 — 中

5 — 中低

6 — 低

7 — 最低

高度な帯域幅管理 - 低

高度な帯域幅管理 - 中

高度な帯域幅管理 - 高

補足すべての帯域幅管理順位に対する保証された帯域幅の合計は、100% を超えることはできません。

パケット監視を用いた動作

事前定義済みのパケット監視動作がポリシーに対して選択されていると、SonicOS は「ダッシュボード > パケット監視」または「システム＞パケット監視」ページ上で構成した設定に応じてトラフィックをキャプチャまたはミラーします。既定では、Wireshark で参照可能なキャプチャファイルを作成します。パケット監視動作を用いてポリシーを設定してから、実際にパケットをキャプチャするために、「パケット監視」ページで「キャプチャの開始」を選択する必要があります。欲しいパケットをキャプチャした後で、「キャプチャの停止」を選択します。

ポリシーに関連するパケットのみをキャプチャするようにパケット監視動作を制御するには、「パケット監視」ページで「設定」を選択して、「監視フィルタ」タブで「ファイアウォール/アプリケーションルールによるフィルタを有効にする」を選択します ( 参照)。このモードでは、「パケット監視」ページで「キャプチャの開始」を選択した後で、トラフィックがアプリケーション制御ポリシー (またはファイアウォールアクセスルール) を始動させるまではパケットはキャプチャされません。ポリシーが始動されると、「ログ > 表示」ページでそれに関連する警告メッセージを見ることができます。これは、「ルールの作成」ボタンを使って、または、動作オブジェクトを使うアプリケーションルール方式を使って、またはファイアウォールアクセスルール内で作成されたアプリケーション制御ポリシーでパケット監視が選択された場合に動作して、キャプチャまたはミラーする対象に対する設定またはフィルタを指定することができます。例えば、キャプチャを異なる形式でダウンロードして、ウェブページ内で参照できます。

図 42:4 パケット監視 - 監視フィルタタブ

ミラーリングを設定するには、「ミラー」タブに移動して、「ローカルミラー設定」の下の「受信したリモートのミラーされたパケットをインターフェースに送信する」フィールドでミラーされたパケットを送信する先のインターフェースを選択します。また、リモート設定のうち 1 つを設定できます。これにより、アプリケーションパケットを別のコンピュータにミラーしてすべてをハードディスク上に保存することが可能です。例えば、全員の MSN インスタントメッセンジャートラフィックをキャプチャして会話を読むことができます。

アプリケーションフロー監視からのルールの作成

「ダッシュボード > アプリケーションフロー監視」ページには、「ルールの作成」ボタンが提供されます。アプリケーションフロー監視の参照中に疑わしい、または過度の帯域幅を使っているアプリケーションを見つけた場合、簡単にリスト内のアプリケーションを選択してから、「ルールの作成」を選択してそれに対するアプリケーション制御ポリシーを即座に設定できます。複数のアプリケーションを選択してから、それらすべてに適用するポリシーを設定するために「ルールの作成」を使うこともできます。

補足標準アプリケーションは選択できません。サービス種別アプリケーションとシグネチャ種別アプリケーションは、単一ルール内に混在できません。

は、「ダッシュボード > アプリケーションフロー監視」ページの上に表示された「ルールの作成」ウィンドウを示します。

図 42:5 「ダッシュボード > アプリケーションフロー監視」ページと「ルールの作成」ウィンドウ

この「ルールの作成」機能は、リスト表示設定のアプリケーションフロー監視ページから利用可能です。円グラフとグラフ監視表示では、「ルールの作成」ボタンは見えますが無効です。

「ルールの作成」ウィンドウからは、以下の種別のポリシーを設定できます。

• 遮断 - アプリケーションはファイアウォールによって完全に遮断されます。

• 帯域幅管理 - グローバル帯域幅管理を使う帯域幅管理優先順位から 1 つ選択して、どのインターフェースが使われるかに関わらず、アプリケーションによって使われる帯域幅を制御します。

補足帯域幅管理は、使用したい各インターフェースで有効になっている必要があります。インターフェースは、「ネットワーク > インターフェース」ページから設定できます。

• パケット監視 - 検査と分析のために、アプリケーションからのパケットをキャプチャします。

ルールに対して希望する動作を選択した後で、「ルールの作成」ウィンドウ内の「ルールの作成」を選択すると、アプリケーション制御ポリシーは自動的に作成されて「ファイアウォール > アプリケーションルール」ページのアプリケーションルールポリシーテーブルに追加されます。

「ルールの作成」ウィンドウには、「帯域幅管理」セクションの隣に、グローバル優先順位キューを設定できる「ファイアウォール設定 > 帯域幅管理」ページに移動するための「設定」ボタンがあります。グローバル帯域幅管理と「ファイアウォール設定 > 帯域幅管理」ページの詳細については、帯域幅管理を用いた動作を参照してください。「ルールの作成」ウィンドウ内にある帯域幅管理オプションは、グローバル優先順位キューで有効になっているオプションを反映しています。既定の値は、以下の通りです。

• 帯域幅管理グローバル - 高 - 30% の保証で100% の最大/バースト

• 帯域幅管理グローバル - 中 - 50% の保証で100% の最大/バースト

• 帯域幅管理グローバル - 低 - 20% の保証で100% の最大/バースト

アプリケーション制御の詳細ポリシー作成

「ファイアウォール > アプリケーション制御詳細」ページの設定手法では、特定の種別、アプリケーション、またはシグネチャをきめ細かく制御できます。これには、きめ細かなログ制御や、ユーザ、グループ、または IP アドレス範囲の包含および除外、スケジュールのきめ細かな設定が含まれます。ここでの設定はグローバルなポリシーであり、どんな個別のアプリケーションルールポリシーからも独立しています。以下に「ファイアウォール > アプリケーション制御詳細」ページを示します。

このページでは次の設定を使用できます。

• 種別、アプリケーション、またはシグネチャを選択する。

• 遮断またはログ記録、あるいはこれら両方の動作を選択する。

• 動作に含めたり除外したりするユーザ、グループ、または IP アドレス範囲を指定する。

• 制御を執行するスケジュールを設定する。

これらのアプリケーション制御設定はアプリケーションルールポリシーとは独立したものですが、ここの場所または「ファイアウォール > 一致オブジェクト」ページで使用できる任意の種別、アプリケーション、またはシグネチャでアプリケーション一致オブジェクトを作成して、それらの一致オブジェクトをアプリケーションルールポリシーで使用することもできます。これにより、アプリケーション制御で設定できる動作やその他の多様な設定を使用できます。アプリケーション制御に関するこうしたポリシーベースのユーザインターフェースの詳細については、アプリケーションリストオブジェクトを参照してください。

アプリケーションルールポリシーの作成

アプリケーション制御を使用すると、ネットワーク上のトラフィックの特定の側面を制御する個別アプリケーションルールポリシーを作成できます。ポリシーは一致オブジェクト、プロパティ、および特定の防御動作のセットです。ポリシーを作成するときは、最初に一致オブジェクトを作成したうえで、動作を選択 (オプションでカスタマイズ) し、これらをポリシー作成時に参照します。

「ファイアウォール > アプリケーションルール」ページでは、「ポリシー設定」画面にアクセスできます。以下に、ポリシー種別が「SMTP クライアント」のものを示します。この画面は、選択したポリシー種別に応じて変化します。

ポリシーの例を次に示します。

• ギャンブルのようなアクティビティに関するアプリケーションを遮断する。

• .exe および.vbs 形式の電子メール添付ファイルを無効にする。

• 送信 HTTP 接続で Mozilla ブラウザを許可しない。

• 発信元が CEO と CFO の場合を除き、"Dell SonicWALL Confidential (Dell SonicWALL 社外秘)" というキーワードを含む、送信電子メールまたは MS Word 添付ファイルを許可しない。

• すべての機密文書内でグラフィックまたは透かしが検出された送信電子メールを許可しない。

ポリシーを作成するときは、ポリシー種別を選択します。それぞれのポリシー種別は、ポリシーの送信元、送信先、一致オブジェクト種別、および動作フィールドに有効な値または値タイプを指定します。さらに、ポリシーを定義することで、特定のユーザまたはグループを対象として含めるかまたは除外するかの指定、スケジュールの選択、ログ記録の有効化、接続側の指定、および基本または詳細方向タイプの指定を行うこともできます。基本方向タイプは、受信または送信のみを単に示します。詳細方向タイプでは、ゾーン間の送信の方向 (例えば LAN から WAN) を設定できます。

次の表に、使用可能なアプリケーションポリシー種別の特徴を示します。

ポリシー種別	説明	有効な送信元サービス/ 既定	有効な送信先サービス/既定	有効な一致オブジェクト種別	有効な動作種別	接続側
アプリケーション制御コンテンツ	任意のアプリケーション層プロトコルの動的なアプリケーション制御関連オブジェクトを使用するポリシー	N/A	N/A	アプリケーション種別リスト、アプリケーションリスト、アプリケーションシグネチャリスト	リセット/破棄、動作なし、DPI をバイパスする、パケット監視、 BWM グローバル-、WAN BWM	N/A
CFS	コンテンツフィルタのポリシー	N/A	N/A	CFS 種別リスト	CFS 遮断ページ、パケット監視、動作なし、 BWM グローバル-、WAN BWM	N/A
個別ポリシー	任意のアプリケーション層プロトコルの個別オブジェクトを使用するポリシー、IPS 形式の個別のシグネチャを作成するのに使用可	すべて/すべて	すべて/すべて	個別オブジェクト	リセット/破棄、DPI をバイパスする、パケット監視、動作なし、 BWM グローバル-、WAN BWM	クライアント側、サーバ側、両方
FTP クライアント	FTP 制御チャンネルで転送されるすべての FTPコマンド	すべて/すべて	FTP 制御/FTP 制御	FTP コマンド、FTP コマンド+値、個別オブジェクト	リセット/破棄、DPI をバイパスする、パケット監視、動作なし	クライアント側
FTP クライアントファイルアップロード要求	FTP でファイルをアップロードしようとする試み (STOR コマンド)	すべて/すべて	FTP 制御/FTP 制御	ファイル名、ファイル拡張子	リセット/破棄、DPI をバイパスする、パケット監視、動作なし、 BWM グローバル-、WAN BWM	クライアント側
FTP クライアントファイルダウンロード要求	FTP でファイルをダウンロードしようとする試み (RETR コマンド)	すべて/すべて	FTP 制御/FTP 制御	ファイル名、ファイル拡張子	リセット/破棄、DPI をバイパスする、パケット監視、動作なし、 BWM グローバル-、WAN BWM	クライアント側
FTP データ転送ポリシー	FTP データチャンネルで転送されるデータ	すべて/すべて	すべて/すべて	ファイル内容オブジェクト	リセット/破棄、DPI をバイパスする、パケット監視、動作なし	両方
HTTP クライアント	ウェブブラウザトラフィックまたはクライアント上で発生するすべての HTTP 要求に適用されるポリシー	すべて/すべて	すべて/HTTP (設定可能)	HTTP ホスト、HTTP Cookie、HTTP リファラ、HTTP Request 個別ヘッダー、HTTP URI コンテンツ、HTTP ユーザエージェント、ウェブブラウザ、ファイル名、ファイル拡張子個別オブジェクト	リセット/破棄、DPI をバイパスする、パケット監視 ^A、動作なし、 BWM グローバル-、WAN BWM	クライアント側
HTTPサーバ	HTTP サーバから発信される応答	すべて/HTTP (設定可能)	すべて/すべて	ActiveX クラス ID、HTTP Set Cookie、HTTP Response、ファイル内容オブジェクト、個別ヘッダー、個別オブジェクト	リセット/破棄、DPI をバイパスする、パケット監視、動作なし、BWM グローバル-、WAN BWM	サーバ側
IPS コンテンツ	任意のアプリケーション層プロトコルの動的な侵入防御関連オブジェクトを使用するポリシー	N/A	N/A	IPSシグネチャ種別リスト、IPSシグネチャリスト	リセット/破棄、DPI をバイパスする、パケット監視、動作なし、 BWM グローバル-、WAN BWM	N/A
POP3 クライアント	POP3 クライアントによって生成されたトラフィックを検査するポリシー、通常は POP3サーバ管理者にとって有用	すべて/すべて	POP3 (電子メールの取得)/POP3 (電子メールの取得)	個別オブジェクト	リセット/破棄、DPI をバイパスする、パケット監視、動作なし	クライアント側
POP3サーバ	POP3 サーバからPOP3 クライアントにダウンロードされた電子メールを検査するポリシー、電子メールフィルタに使用	POP3 (電子メールの取得)/POP3 (電子メールの取得)	すべて/すべて	電子メール本文、電子メール CC、電子メール送信元、電子メール送信先、電子メール件名、ファイル拡張子、MIME 個別ヘッダー	リセット/破棄、添付ファイルを無効にする、DPI をバイパスする、動作なし	サーバ側
SMTP クライアント	クライアント上で発生するSMTP トラフィックに適用されるポリシー	すべて/すべて	SMTP (電子メールの送信)/SMTP (電子メールの送信)	電子メール本文、電子メール CC、電子メール送信元、電子メール送信先、電子メールサイズ、電子メール件名、個別オブジェクト、ファイル内容、ファイル名、ファイル拡張子、MIME 個別ヘッダー	リセット/破棄、応答を返さずに SMTP 電子メールを遮断する、DPI をバイパスする、パケット監視、動作なし	クライアント側

^Aパケット監視動作は、ファイル名またはファイル拡張子個別オブジェクトに対してサポートされていません。

一致オブジェクト

一致オブジェクトは、動作を実行するために満たす必要がある条件のセットを表します。これには、オブジェクト種別、一致する種別 (完全、部分、正規表現、前方、または後方)、入力形式 (テキストまたは16 進)、および照合する実際のコンテンツが含まれます。一致オブジェクトは、以前のリリースではアプリケーションオブジェクトと呼ばれていました。

実行可能ファイルなどのバイナリコンテンツを照合する場合は 16 進入力形式を使用し、ファイルや電子メールのコンテンツなどを照合する場合は英数字 (テキスト) 入力形式を使用します。また、16 進入力形式は、グラフィックイメージ内のバイナリコンテンツに対しても使用できます。グラフィックのいずれかのプロパティフィールドに特定の文字列が含まれている場合は、テキスト入力形式を使用して同じグラフィックを照合することもできます。正規表現 (regex) は、特定の文字列や値ではなくパターンを照合するためのもので、英数字入力形式を使用します。

ファイル内容一致オブジェクト種別は、ファイル内のパターンやキーワードを照合するための方法を提供します。この種別の一致オブジェクトは、FTP データ転送、HTTP サーバ、またはSMTP クライアントポリシーでのみ使用できます。

次の表に、サポートされている一致オブジェクト種別を示します。

オブジェクト種別	説明	一致する種別	不一致検索	追加のプロパティ
ActiveX クラス ID	ActiveX コンポーネントのクラス ID。例えば、Gator ActiveXコンポーネントのクラス ID は“c1fb8842-5281-45ce-a271-8fd5f117ba5f"です。	完全	いいえ	なし
アプリケーション種別リスト	アプリケーション種別 (マルチメディア、P2P、ソーシャルネットワーキングなど) を指定できます。	N/A	いいえ	なし
アプリケーションリスト	選択したアプリケーション種別内で個々のアプリケーションを指定できます。	N/A	いいえ	なし
アプリケーションシグネチャリスト	選択したアプリケーションや種別に対して個々のアプリケーションを指定できます。	N/A	いいえ	なし
CFS 許可/禁止リスト	コンテンツフィルタの許可ドメインと禁止ドメインを指定できます。	完全、部分、前方、後方	いいえ	なし
CFS 種別リスト	1 つ以上のコンテンツフィルタ種別を選択できます。	N/A	いいえ	選択対象として 64の種別のリストが用意されています。
個別オブジェクト	IPS 形式の条件の個別セットを指定できます。	完全	いいえ	4 つのオプションパラメータを追加で設定できます。それらはオフセット、深度、最小ペイロードサイズ、最大ペイロードサイズです。オフセットは、パケットペイロード内のどのバイトからパターンの照合を開始するかを指定します (値は 1 から始まり、照合における誤検出を最小限にする働きをします)。深度は、パケットペイロード内のどのバイトでパターンの照合を終了するかを指定します (値は 1 から始まります)。
電子メール本文	電子メール本文内のすべての内容。	処理中	いいえ	なし
電子メール CC の送信先 (MIME ヘッダー)	CC MIME ヘッダー内のすべての内容。	完全、部分、前方、後方	はい	なし
電子メール送信元 (MIME ヘッダー)	From MIME ヘッダー内のすべての内容。	完全、部分、前方、後方	はい	なし
電子メールサイズ	送信を許可する最大電子メールサイズを指定できます。	N/A	いいえ	なし
電子メール件名 (MIME ヘッダー)	Subject MIME ヘッダー内のすべての内容。	完全、部分、前方、後方	はい	なし
電子メール送信先 (MIME ヘッダー)	To MIME ヘッダー内のすべての内容。	完全、部分、前方、後方	はい	なし
MIME 個別ヘッダー	MIME 個別ヘッダーを作成できます。	完全、部分、前方、後方	はい	個別ヘッダー名を指定する必要があります。
ファイル内容	ファイル内容で照合するパターンを指定できます。パターンは、ファイルが圧縮されている場合でも照合されます。	処理中	いいえ	このオブジェクトには“添付ファイルを無効にする"動作を適用しないでください。
ファイル名	電子メールの場合、これは添付ファイルの名前です。HTTP の場合、これはウェブメールアカウントにアップロードされた添付ファイルの名前です。FTP の場合は、アップロードまたはダウンロードされたファイルの名前です。	完全、部分、前方、後方	はい	なし
ファイル拡張子	電子メールの場合、これは添付ファイルのファイル拡張子です。HTTP の場合、これはウェブメールアカウントにアップロードされた添付ファイルのファイル拡張子です。FTP の場合は、アップロードまたはダウンロードされたファイルのファイル拡張子です。	完全	はい	なし
FTP コマンド	特定の FTP コマンドを選択できます。	N/A	いいえ	なし
FTP コマンド+値	特定の FTP コマンドと値を選択できます。	完全、部分、前方、後方	はい	なし
HTTP Cookie ヘッダー	ブラウザから送信される Cookie を指定できます。	完全、部分、前方、後方	はい	なし
HTTP Host ヘッダー	HTTP Host ヘッダー内の内容。HTTP 要求における送信先サーバのホスト名を浮ｵます (例えば、www.google.com)。	完全、部分、前方、後方	はい	なし
HTTP Referrer ヘッダー	ブラウザから送信される Referrer ヘッダーの内容を指定できます。この機能は、ユーザがどのウェブサイトから顧客のウェブサイトにリダイレクトされたかの統計情報を制御または収集するのに便利です。	完全、部分、前方、後方	はい	なし
HTTP Request 個別ヘッダー	個別 HTTP Requestヘッダーを処理できます。	完全、部分、前方、後方	はい	個別ヘッダー名を指定する必要があります。
HTTP Response 個別ヘッダー	個別 HTTP Response ヘッダーを処理できます。	完全、部分、前方、後方	はい	個別ヘッダー名を指定する必要があります。
HTTP Set Cookieヘッダー	Set-Cookie ヘッダー。ブラウザに特定の Cookie を設定できないようにするための方法を提供します。	完全、部分、前方、後方	はい	なし
HTTP URI コンテンツ	HTTP 要求の URI 内のすべての内容。	完全、部分、前方、後方	いいえ	なし
HTTP User-Agentヘッダー	User-Agent ヘッダー内のすべての内容。以下に例を示します。User-Agent:Skype。	完全、部分、前方、後方	はい	なし
ウェブブラウザ	特定のウェブブラウザを選択できます (MSIE、Netscape、Firefox、Safari、Chrome)。	N/A	はい	なし
IPSシグネチャ種別リスト	1 つ以上の IPSシグネチャグループを選択できます。各グループに複数の定義済み IPSシグネチャが含まれます。	N/A	いいえ	なし
IPSシグネチャリスト	粒度を高めるために1 つ以上の特定のIPSシグネチャを選択できます。	N/A	いいえ	なし

使用できる一致オブジェクトの種別は、「一致オブジェクトの設定」画面のドロップダウンリストで確認できます。

「一致オブジェクト」画面では、複数のエントリを追加して、照合する内容要素のリストを作成できます。一致オブジェクトで指定したすべての内容は、照合の目的で大文字と小文字が区別されることはありません。バイナリ内容を照合するには 16 進形式を使用します。16 進エディタや、Wiresharkのようなネットワークプロトコルアナライザを使用すると、バイナリファイルの 16 進形式を取得できます。これらのツールの詳細については、次のセクションを参照してください。

• Wireshark

• 16 進エディタ

「ファイルからロード」ボタンを使用すると、照合する一致オブジェクトの複数のエントリを含む定義済みのテキストファイルから内容をインポートできます。ファイル内のエントリは、それぞれ 1 行に 1 つずつ記述されている必要があります。「ファイルからロード」機能を使用すると、SonicWALL セキュリティ装置間でアプリケーション制御の設定を容易に移行できます。

複数のエントリ (テキストファイルから読み込まれたエントリまたは手動で入力されたエントリ) は「リスト」領域に表示されます。リストされたエントリは論理和を使用して照合されるため、リスト内のいずれかのアイテムが一致すると、当該ポリシーの動作が実行されます。

1 つの一致オブジェクトには、合計で 8000 文字まで含めることができます。一致オブジェクト内の各要素に含まれる文字数が約 30 である場合、約 260 個の要素を入力できることになります。最大要素サイズは 8000 バイトです。

正規表現

アプリケーションルールポリシーで使用するため、特定の一致オブジェクト種別に正規表現を設定できます。「一致オブジェクトの設定」ページでは、個別正規表現を設定したり、あらかじめ定義された正規表現から選択したりできます。Dell SonicWALL セキュリティ装置は、ネットワークトラフィックに対して再組み立て不要の正規表現による照合をサポートしています。このため、入力ストリームのバッファリングが不要で、パターンはパケット境界をまたがって照合されます。

SonicOS には、以下の定義済み正規表現が用意されています。

VISA CC	VISA クレジットカード番号
US SSN	米国の社会保障番号
CANADIAN SIN	カナダの社会保険番号
ABA ROUTING NUMBER	米国銀行協会のルーティング番号
AMEX CC	American Express クレジットカード番号
MASTERCARD CC	Mastercard クレジットカード番号
DISCOVER CC	Discover クレジットカード番号

正規表現を使用するポリシーは、ネットワークトラフィックに最初に出現するパターンを照合します。そのため、一致に対して可能な限り速やかに動作できます。照合は、人間が読み取れるテキストだけではなくネットワークトラフィックに対しても実行されるので、照合可能な英字には ASCII 文字セット全体 (全 256 文字) が含まれます。

'.'、(任意の文字ワイルドカード)、'*'、'?'、'+'、繰り返しカウント、代替、および否定などの一般的な正規表現の基本命令がサポートされています。構文とセマンティクスは Perl や vim などの一般的な正規表現の実装と似ていますが、わずかな違いがあります。例えば、行頭演算子 (^) と行末演算子 ($) はサポートされていません。また、'\z' は、PERL のように文字列の終わりを指すのではなく、0 以外の数字、すなわち [1-9] を指します。詳細については、正規表現の構文を参照してください。

Perl 正規表現エンジンとの大きな違いの 1 つは、後方参照と置換がサポートされていないことです。これらの機能は実際には正規表現に無関係で、調べているデータについて線形時間では実行できません。したがって、最高のパフォーマンスを維持するため、これらの機能はサポートされていません。置換または変換機能がサポートされていないのは、ネットワークトラフィックを検査するだけで、変更はしないからです。

よく使用されるパターン (米国の社会保障番号や VISA のクレジットカード番号など) 向けにあらかじめ定義された正規表現は、一致オブジェクトの作成時に選択できます。ユーザは、同じ一致オブジェクト内に独自の表現を記述することもできます。ユーザが入力した表現は解析され、正しく解析されなかった表現があれば、「一致オブジェクトの設定」ウィンドウの下部に構文エラーが表示されます。解析が正しく完了した後、正規表現はコンパイラに渡され、ネットワークトラフィックをリアルタイムでスキャンするのに必要なデータ構造が作成されます。

決定性有限オートマトン (DFA) というデータ構造を作成することによって、正規表現が効率的に照合されます。DFA のサイズはユーザが入力した正規表現によって決定され、機器のメモリ容量によって制約を受けます。複雑な正規表現のコンパイル処理には長い時間がかかり、装置のメモリを大量に消費することがあります。含まれる表現によっては、DFA の作成に最大 2 分かかることもあります。

装置管理の応答性に対する影響が大きすぎるだけでなく、悪用やサービス拒否攻撃を防ぐため、コンパイラは処理を中止し、データ構造が機器に対して大きくなりすぎる正規表現を拒否できます。ウィンドウの下部に、"悪用を検出しました" というエラーメッセージが表示されます。

補足長時間のコンパイル中、装置管理セッションが一時的に反応しなくなることがありますが、ネットワークトラフィックは装置に送信され続けています。

大きなカウンタを含む表現の DFA を作成すると、多くの時間とメモリが消費されます。そのような表現は、'*' 演算子と '+' 演算子などの無制限のカウンタを使用する表現よりも拒否される可能性が高くなります。

同様に、拒否されるおそれがある表現としては、文字範囲や文字クラスよりも多数の文字を含む表現があります。つまり、すべて小文字のセットを指定する '(a|b|c|d|.。.|z)' という表現は、同等の文字クラス '\l' よりも拒否される可能性が高くなります。'[a-z]' という範囲を使用すると、内部的に '\l' に変換されます。ただし、'[d-y]' または '[0-Z]' という範囲は、文字クラスに変換できず、長いので、この断片を含む表現は拒否される可能性があります。

表現が拒否されたときはいつでも上記のヒントを利用して、拒否されないように、より効率的な方法で書き直すことができます。詳細については、正規表現の構文を参照してください。例えば、個別正規表現の記述方法については、一致オブジェクトでの正規表現の作成を参照してください。

正規表現の構文

以下の表に、正規表現の作成に使用する構文を示します。

表 1: 単一文字
表現	定義
。	'\n' 以外の任意の文字。'\n' も照合するには、/s (ストリームモード、または 1 行モードとも呼ばれる) 修飾子を使用します。
[xyz]	文字クラス。エスケープ文字も指定できます。かっこ ([ ]) で囲まれた特殊文字は特別な意味を持たないので、エスケープする必要はありません。
[^xyz]	文字クラスを打ち消します。
\xdd	16 進数入力。"dd" は文字の 16 進値です。2 つの数字が必須です。例えば、\r は \x0d で、\xd ではありません。
[a-z][0-9]	文字範囲。

表 2: 複合
表現	定義
xy	x に y が続く
x\|y	x または y
(x)	x と同等です。優先をオーバーライドするのに使用できます。

表 3: 繰り返し
表現	定義
x*	0 個以上の x
x?	0 または 1 個の x
x+	1 個以上の x
x{n, m}	最小 n 個、最大 m 個の連続した x。そのため、不当に大きい m を使用することは賢明ではありません。
x{n}	正確に n 個の x
x{n,}	最小 n 個の x
x{,n}	最大 n 個の x

表 4: エスケープシーケンス
表現	定義
\0、\a、\b、\f、\t、\n、\r、\v	C プログラミング言語のエスケープシーケンス (\0 は NULL 文字 (ASCII 文字のゼロ))
\x	16 進数入力。\x とそれに続く 2 つの 16 進数字は、対象の文字の 16 進値を示します。
\*、\?、\+、$, $、\[, \]、\{, \}、\\、\/、 \<スペース>、\#	特殊文字をエスケープします。注:処理されないコメントの前には、任意の数のスペースと 1 個のポンド記号 (#) が付きます。そのため、スペースまたはポンド記号 (#) を照合するには、エスケープシーケンス \ および \# を使用する必要があります。

表 5: Perl に似た文字クラス
表現	定義
\d、\D	数字、数字以外。
\z、\Z	0 以外の数字 ([1-9])、それ以外のすべての文字。
\s、\S	ホワイトスペース、ホワイトスペース以外。[\t\n\f\r] と同等です。\v は Perl のホワイトスペースには含まれません。
\w、\W	単語文字、単語文字以外。[0-9A-Za-z_] と同等です。

表 6: その他の ASCII 文字クラスの基本命令
文字クラス	表現
[:cntrl:]	\c、\C	制御文字。[\x00 - \x1F\x7F]
[:digit:]	\d、\D	数字、数字以外。Perl 文字クラスと同じです。
[:graph:]	\g、\G	スペース以外の任意の印刷可能文字。
[:xdigit:]	\h、\H	任意の 16 進数字。[a-fA-F0-9]。水平スペースを意味する Perl の \h とは異なります。
[:lower:]	\l、\L	任意の小文字。
[:ascii:]	\p、\P	正の ASCII 文字、負の ASCII 文字。[0x00 – 0x7F]、[0x80 – 0xFF]
[:upper:]	\u、\U	任意の大文字。

その他の一般的な文字クラスの一部は、上記の基本命令から作成できます。以下の文字クラスに関しては、使用できる残りの文字に適切なニーモニックがないため、独自の簡略表現はありません。

表 7: 複合文字クラス
文字クラス	表現
[:alnum:]	= [\l\u\d]	すべての文字と数字のセット。
[:alpha:]	= [\l\u]	すべての文字のセット。
[:blank:]	= [\t<space>]	空白文字のクラス: タブとスペース。
[:print:]	= [\g<space>]	すべての印刷可能文字のクラス: スペースを含むすべてのグラフィカル文字。
[:punct:]	= [^\P\c<space>\d\u\l]	すべての句読文字のクラス: 否定 ASCII 文字、制御文字、スペース、数字、大文字または小文字を含みません。
[:space:]	= [\s\v]	すべてのホワイトスペース文字。Perl のホワイトスペースと垂直タブ文字を含みます。

表 8: 修飾子
表現	定義
/i	大文字と小文字を区別する
/s	入力を 1 行として扱います。ストリームモードと考えることもできます。つまり、'.' は '\n' にも一致します。

表 9: 演算子の優先順位 (降順)
演算子	結合規則
[ ]、[^]	左から右
()	左から右
*、+、?	左から右
。(連結)	左から右
\|	左から右

SonicOS は、正規表現でコメントをサポートしています。コメントの前には、任意の数のスペースと 1 個のポンド記号 (#) を付けます。スペースとポンド記号の後のテキストはすべて、表現の終わりまで破棄されます。

不一致検索

不一致検索は、遮断するコンテンツを指定するための別の方法を提供します。不一致検索は、特定のコンテンツ種別を除くすべてのコンテンツを遮断する場合に、一致オブジェクト内で有効にできます。この一致オブジェクトをポリシー内で使用すると、そのポリシーは、一致オブジェクトに指定されているコンテンツの欠如に基づいて動作を実行します。不一致検索オブジェクト内にある複数のリスト登録が論理条件 AND を使用して照合されます。つまり、ポリシーの動作は、指定された不一致検索登録のすべてが一致した場合に限り実行されます。

すべてのアプリケーションルールポリシーは禁止ポリシーですが、不一致検索を使用することで許可ポリシーを再現できます。例えば、.txt 形式の電子メール添付ファイルは許可しつつ、その他すべてのファイル種別の添付ファイルを遮断できます。また、いくつかの種別を許可してその他すべてを遮断することもできます。

すべての一致オブジェクト種別で不一致検索を利用できるわけではありません。それができるものについては、「一致オブジェクトの設定」画面で「不一致検索を有効にする」チェックボックスが表示されます。

アプリケーションリストオブジェクト

「ファイアウォール > 一致オブジェクト」ページには、「アプリケーションリストオブジェクトの作成」ボタンもあり、これを使用すると「一致オブジェクトの作成」画面が開きます。この画面には、次の 2 つのタブがあります。

• アプリケーション - このタブではアプリケーションフィルタオブジェクトを作成できます。この画面では、アプリケーション種別、脅威度、技術の種類、属性を選択できます。選択が終わると、それらの条件に一致するアプリケーションのリストが表示されます。「アプリケーション」タブは、アプリケーションリストタイプの一致オブジェクトを作成する別の方法を提供します。

• 種別 - このタブでは種別フィルタオブジェクトを作成できます。アプリケーション種別のリストとそれぞれの説明が提供されます。「種別」ページは、アプリケーション種別タイプの一致オブジェクトを作成する別の方法を提供します。

アプリケーションフィルタ

「アプリケーション」タブは、選択するアプリケーションのリストを提供します。表示するアプリケーションは、1 つ以上のアプリケーション種別、脅威度、技術を選択することによって制御できます。また、あるキーワードをすべてのアプリケーション名から検索するには、画面の右上付近にある「検索」フィールドにそのキーワードを入力します。例えば、「検索」フィールドに“bittorrent"と入力して「検索」アイコンを選択すると、名前に“bittorrent" (大文字と小文字の区別なし) が含まれる複数のアプリケーションが見つかります。

アプリケーションリストが適切に絞り込まれたリストに縮小されると、アプリケーションの隣にあるプラス (+) アイコンによってフィルタ向けに個々のアプリケーションを選択して、選択結果をアプリケーションフィルタオブジェクトとして個別の名前または自動的に生成された名前で保存できます。以下の図に示す画面では、個々のアプリケーションを選択する前に、すべての種別、脅威度、技術が選択されています。

フィルタ向けに選択したアプリケーションは、右側の「アプリケーショングループ」フィールドに表示されます。このフィールド内のリストは、個々のアイテムを削除したり、イレイサーを選択してすべてのアイテムを削除したりして、編集できます。以下の図では、「アプリケーショングループ」フィールドにいくつかのアプリケーションが表示されています。また、左側のアプリケーションリストの選択されているアプリケーションには緑色のチェックマークが付いています。

対象として含めるアプリケーションの選択が終了すると、「一致オブジェクト名」フィールドにオブジェクトの名前を入力し (最初に「一致オブジェクト名を自動生成する」チェックボックスをオフにする)、「アプリケーション一致オブジェクトの保存」ボタンを選択できます。「ファイアウォール > 一致オブジェクト」ページには、オブジェクト種別が「アプリケーションリスト」であるオブジェクト名が表示されます。このオブジェクトは、その後のアプリケーションルールポリシーの作成時に選択できます。

「一致オブジェクト名を自動生成する」オプションを使用して作成された一致オブジェクトには、オブジェクト名の最初の文字としてチルダ (~) が表示されます。

種別フィルタ

「種別」タブは、選択するアプリケーション種別のリストを提供します。種別の任意の組み合わせを選択し、選択結果を種別フィルタオブジェクトとして個別の名前で保存できます。以下の図に示す画面には、IM 種別の説明が表示されています。

リスト内の各種別の上にマウスポインタを置くと、その説明を確認できます。個別の種別フィルタオブジェクトを作成するには、「一致オブジェクト名」フィールドにオブジェクトの名前を入力し (最初に「一致オブジェクト名を自動生成する」チェックボックスをオフにする)、1 つ以上の種別を選択して、「種別一致オブジェクトの保存」ボタンを選択します。「ファイアウォール > 一致オブジェクト」ページには、オブジェクト種別が「アプリケーション種別リスト」であるオブジェクト名が表示されます。このオブジェクトは、その後のアプリケーションルールポリシーの作成時に選択できます。

動作オブジェクト

動作オブジェクトは、一致イベントに対するアプリケーションルールポリシーの動作を定義します。カスタマイズ可能な動作を選択するか、あらかじめ定義されている既定の動作のうちの 1 つを選択できます。

あらかじめ定義されている動作は、アプリケーションルールページでポリシーを追加または編集する際にアプリケーション制御ポリシー設定ページに表示されます。

以下の表は、ポリシー追加時に利用可能なあらかじめ定義されている既定の動作を示します。

常時利用可

帯域幅管理種別 = グローバル

帯域幅管理種別 = 詳細

リセット / 破棄

動作なし

DPI をバイパスする

パケット監視

帯域幅管理グローバル-リアルタイム

帯域幅管理グローバル-最高

帯域幅管理グローバル-高

帯域幅管理グローバル-中高

帯域幅管理グローバル-中

帯域幅管理グローバル-中低

帯域幅管理グローバル-低

帯域幅管理グローバル-最低

高度な帯域幅管理 - 低

高度な帯域幅管理 - 中

高度な帯域幅管理 - 高

帯域幅管理動作の詳細については、帯域幅管理を用いた動作を参照してください。

以下のカスタマイズ可能な動作は、「ファイアウォール > 動作オブジェクト」ページで「動作オブジェクトの作成」を選択した際の「動作オブジェクトの追加/編集」ウィンドウ内に表示されます。

• SMTP 電子メールを遮断－エラー応答の送信

• 電子メール添付ファイルを無効化－テキストの追加

• 電子メール－テキストの追加

• FTP 通知の応答

• HTTP 遮断ページ

• HTTP リダイレクト

• 帯域幅管理

これらの動作種別の説明については、以下の表を参照してください。

「動作オブジェクトの設定」ウィンドウでの編集には、カスタマイズ可能な動作のみを使用できることに注意してください (以下の図を参照)。あらかじめ定義されている動作は編集も削除もできません。ポリシーを作成する場合、「ポリシー設定」画面では、あらかじめ定義されている動作や定義したカスタマイズ済み動作を選択できます。

次の表に、使用可能な動作種別を示します。

動作種別	説明	事前定義または個別
帯域幅管理グローバル-リアルタイム	受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 0 に設定されています。	事前定義
帯域幅管理グローバル-最高	受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 1 に設定されています。	事前定義
帯域幅管理グローバル-高	受信と送信帯域幅を管理し、変動可能な値 (既定は30%) で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 2 に設定されています。	事前定義
帯域幅管理グローバル-中高	受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 3 に設定されています。	事前定義
帯域幅管理グローバル-中	受信と送信帯域幅を管理し、変動可能な値 (既定は50%) で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 4 に設定されています。	事前定義
帯域幅管理グローバル-中低	受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 5 に設定されています。	事前定義
帯域幅管理グローバル-低	受信と送信帯域幅を管理し、変動可能な値 (既定は20%) で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 6 に設定されています。	事前定義
帯域幅管理グローバル-最低	受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 7 に設定されています。	事前定義
DPI をバイパスする	精密パケット検査コンポーネントの IPS、GAV、アンチスパイウェア、およびアプリケーション制御をバイパスします。この動作は、トリガーされた直後から接続期間全体にわたって維持されます。アプリケーション制御検査用にバイパスされることのない FTP 制御チャンネルに対しては特殊な操作が適用されます。この動作は、FTP データチャンネルの適切な処理をサポートします。DPI のバイパスでは、「ファイアウォール設定 > SSL 制御」ページで有効化されたフィルタの停止が行われません。	事前定義
動作なし	動作を指定しないでポリシーを指定することができます。これで“ログのみ"のポリシー種別を使用できます。	事前定義
パケット監視	SonicOS のパケット監視機能を使用して、セッション内の着信パケットと発信パケットをキャプチャするか、ミラーリングが設定されている場合はパケットを別のインターフェースにコピーします。キャプチャ結果は WireSharkで表示や分析ができます。	事前定義
WAN 帯域幅管理-高	受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能です。事前定義	事前定義
SMTP 電子メールを遮断－エラー応答の送信	SMTP 電子メールを遮断し、カスタマイズされたエラーメッセージを送信者に通知します。	個別
電子メール添付ファイルを無効化－テキストの追加	電子メールの添付ファイルを無効にし、カスタマイズされたテキストを追加します。	個別
電子メール－テキストの追加	電子メールの末尾に個別テキストを追加します。	個別
FTP 通知の応答	接続を終了せずに FTP 制御チャンネルを介してクライアントにテキストを返します。	個別
HTTP 遮断ページ	個別 HTTP 遮断ページを設定できます。色も選択できます。	個別
HTTP リダイレクト	HTTP リダイレクト機能を提供します。例えば、Googleウェブサイトにリダイレクトする場合は、カスタマイズ可能ﾈ部分を次のように設定します。〈http://www.google.com〉フォームが開いているブラウザにアプリケーション制御から HTTP リダイレクトが送信されると、フォーム内の情報は失われます。	個別
帯域幅管理	アクセスルール BWM ポリシー定義と同じセマンティクスを持つ帯域幅管理制限を定義できます。	個別

優先順位 0 の設定は、最高優先順位です。すべての帯域幅管理順位に対する保証された帯域幅の合計は、100%を超えることはできません。

電子メールアドレスオブジェクト

アプリケーション制御では、電子メールアドレスオブジェクトとして個別電子メールアドレスリストを作成できます。電子メールアドレスオブジェクトは、SMTP クライアントポリシー設定内でのみ使用できます。電子メールアドレスオブジェクトは、個別ユーザまたはドメイン全体を表すことができます。さらに、個別アドレスのリストをオブジェクトに追加することで、グループを表す電子メールアドレスオブジェクトを作成することもできます。これにより、SMTP クライアントポリシーを作成するときに、ユーザグループを容易に対象に含めたり対象から除外したりできます。

例えば、サポートグループを表す電子メールアドレスオブジェクトを作成できます。

電子メールアドレスオブジェクトにグループを定義した後、そのグループを対象として含める SMTP クライアントポリシーまたは対象から除外する SMTP クライアントポリシーを作成します。

以下のスクリーンショットでは、送信電子メールへの実行可能ファイルの添付を禁止するポリシーからサポートグループが除外されています。電子メールアドレスオブジェクトは、SMTP クライアントポリシーの「メール送信者」フィールドまたは「メール受信者」フィールドで使用できます。「メール送信者」フィールドは、電子メールの送信者を表します。「メール受信者」フィールドは、電子メールの受信者を表します。

アプリケーション制御では Outlook Exchange または類似のアプリケーションからグループメンバーを直接抽出することはできませんが、Outlook のメンバーリストを使用して、グループメンバーがリストされたテキストファイルを作成することはできます。次に、このグループの電子メールアドレスオブジェクトを作成するときに、「ファイルからロード」ボタンを使用してテキストファイルからリストをインポートできます。テキストファイル内で電子メールアドレスが 1 行に 1 つずつ記述されていることを確認してください。

アプリケーション制御のライセンス

アプリケーションインテリジェンスおよび制御には、次の 2 つのコンポーネントがあります。

• インテリジェンスコンポーネントは、アプリケーション可視化としてライセンスされ、「ダッシュボード > リアルタイム監視」ページと「ダッシュボード > AppFlow 監視」ページでアプリケーショントラフィックの識別およびレポートの機能を提供します。

• 制御コンポーネントは、アプリケーション制御としてライセンスされ、ネットワークで処理されるアプリケーショントラフィックのログ記録、遮断、帯域幅管理を行うための個別のアプリケーション制御ポリシーとアプリケーションルールポリシーの作成および執行を可能にします。

アプリケーション可視化とアプリケーション制御は、SonicWALL ゲートウェイアンチウイルス (GAV)、アンチスパイウェア、侵入防御サービス (IPS) を含むその他のセキュリティサービスと合わせたバンドル形式でライセンスされます。

補足 MySonicWALL での登録時や、登録済み SonicWALL 機器への SonicOS のロード時には、サポートされている SonicWALL 装置でアプリケーション可視化とアプリケーション制御の 30 日間トライアルライセンスが自動的に開始され、アプリケーションシグネチャが装置にダウンロードされます。

30 日間無料トライアルは、バンドルされている他のサービスでも使用できますが、アプリケーション可視化やアプリケーション制御の場合のように自動的に有効になることはありません。追加の無料トライアルは、SonicOS の個別のセキュリティサービスページまたは MySonicWALL で開始できます。

アプリケーション可視化機能を「ログ > フロー報告」ページ (以下のスクリーンショットを参照) で手動で有効にすると、「ダッシュボード > リアルタイム監視」ページでリアルタイムのアプリケーショントラフィックを、他のダッシュボードページではファイアウォールアプリケーションシグネチャデータベースの識別/分類されたフローに関するアプリケーション活動を表示できます。

アプリケーション制御の使用を開始するには、この機能を「ファイアウォール > アプリケーション制御詳細」ページで有効にする必要があります。次のスクリーンショットを参照してください。

アプリケーションルール (アプリケーション制御ライセンスに含まれる) を使ったポリシーを作成するには、「ファイアウォール > アプリケーションルール」ページの「アプリケーションルールを有効にする」を選択します。次のスクリーンショットを参照してください。

30 日間トライアルを開始する (登録時) か、セキュリティサービスライセンスバンドルを購入すると、Dell SonicWALL ライセンスサーバによってアプリケーション可視化とアプリケーション制御のライセンスキーが SonicWALL 機器に提供されます。

ライセンスは、〈www.mysonicwall.com〉の「ゲートウェイサービス」の下にある「サービス管理－関連付けられた製品」ページで入手できます。

セキュリティサービスライセンスバンドルには、次の購読サービスのライセンスが含まれます。

• アプリケーション可視化

• アプリケーション制御

• ゲートウェイアンチウイルス

• ゲートウェイアンチスパイウェア

• 侵入防御サービス

アプリケーションシグネチャの更新と他のセキュリティサービスのシグネチャの更新は、これらのサービスのライセンスされている限り、定期的に SonicWALL 装置にダウンロードされます。

補足 SonicOS 管理インターフェースで可視化を無効にしている場合は、その機能を再び有効にするまでアプリケーションシグネチャの更新が中断されます。

2 つの SonicWALL 装置間で高可用性が設定されていると、それらの装置はセキュリティサービスライセンスを共有できます。この機能を使用するには、MySonicWALL で SonicWALL 装置を関連付けられた製品として登録する必要があります。どちらの装置も同じ Dell SonicWALL ネットワークセキュリティ装置モデルでなければなりません。

補足高可用性ペアでは、MySonicWALL で初めて装置を登録する場合も、プライマリ装置とセカンダリ装置の双方を SonicOS 管理インターフェースから個別に登録して、各装置のそれぞれの管理 IP アドレスにログインする必要があります。これにより、セカンダリ装置は SonicWALL ライセンスサーバと同期され、関連付けられているプライマリ装置とライセンスを共有できるようになります。インターネットへのアクセスが制限されている場合は、共有するライセンスを手動で両方の装置に適用できます。