SonicOS の IPv6 実装の詳細については、IPv6 を参照してください。Firewall_ruleTable
このセクションでは、Dell SonicWALL ネットワーク セキュリティ装置の既定のアクセス ルールおよび個別アクセス ルールの概要を説明します。アクセス ルールは、着信および発信アクセス ポリシーの定義、ユーザ認証の設定、およびファイアウォールのリモート管理を可能にするネットワーク管理ツールです。このセクションでは、ビジネス要件に合わせてアクセス ルールをカスタマイズする設定例を示します。
アクセス ルールは、受信および送信アクセス ポリシーの定義、ユーザ認証の設定、および Dell SonicWALL セキュリティ装置のリモート管理を可能にするネットワーク管理ツールです。
SonicOS の「ファイアウォール > アクセス ルール」ページには、並べ替え可能なアクセス ルール管理インターフェースが用意されています。以下のセクションでは、ゾーンごとのアクセス ルールの設定およびアクセス ルールを使用した帯域幅管理の設定について、高レベルの概要を示します。
このセクションは、次のサブセクションで構成されています。
• ステートフル パケット検査の既定のアクセス ルールの概要
既定では、Dell SonicWALL ネットワーク セキュリティ装置のステートフル パケット検査によって、LAN からインターネットへの通信はすべて許可され、インターネットから LAN へのトラフィックはすべて遮断されます。Dell SonicWALL ネットワーク セキュリティ装置で有効になっている "既定の" ステートフル パケット検査のアクセス ルールでは、以下の動作が定義されています。
• LAN、WLAN から WAN または DMZ へのすべてのセッションを許可します (送信先 WAN IP アドレスがファイアウォール自体の WAN インターフェースの場合を除く)。
• DMZ から WAN へのすべてのセッションを許可します。
• WAN から DMZ へのすべてのセッションを禁止します。
• WAN および DMZ から LAN または WLAN へのすべてのセッションを禁止します。
既定のアクセス ルールを拡張または指定変更する、追加のネットワーク アクセス ルールを定義することもできます。例えば、アクセス ルールを作成することによって、LAN ゾーンからWAN プライマリIPアドレスへのアクセスを許可したり、特定の種類のトラフィック (LAN から WAN への IRC など) を遮断したり、特定の種類のトラフィック (インターネット上の特定のホストから LAN 上の特定のホストへの Lotus Notes データベースの同期など) を許可したり、特定のプロトコル (Telnet など) の使用を LAN 上の許可されたユーザのみに制限したりすることができます。
個別アクセス ルールは、ネットワーク トラフィックの送信元 IP アドレス、送信先 IP アドレス、IP プロトコル種別を評価し、その情報を Dell SonicWALL セキュリティ装置上に作成されているアクセス ルールと比較します。ネットワーク アクセス ルールは優先権を持ち、Dell SonicWALL セキュリティ装置のステートフル パケット検査よりも優先させることができます。例えば、IRC トラフィックを遮断するアクセス ルールは、このトラフィック種別を許可している、Dell SonicWALL セキュリティ装置の既定の設定よりも優先されます。
注意 ネットワーク アクセス ルールを定義する機能は、非常に強力なツールです。個別アクセス ルールを使用して、ファイアウォールの保護を無効にしたり、インターネットへのアクセスをすべて遮断したりすることができます。ネットワーク アクセス ルールを作成または削除するときには注意が必要です。
帯域幅管理 (BWM) によって、保証帯域幅と最大帯域幅をサービスに割り当ててトラフィックの優先順位を設定できます。アクセス ルールを使用すると、帯域幅管理を特定のネットワーク トラフィックに適用できます。帯域幅管理が有効になっているポリシーに属しているパケットは、送信される前に、対応する優先順位キューに入れられます。
帯域幅管理は、「ネットワーク > インターフェース」ページでそれぞれのインターフェースに対して個別に設定する必要があります。インターフェースの「設定」アイコンを選択し、「詳細」タブを選択します。利用可能な送信/受信帯域幅として指定する値を「利用可能な送信帯域幅 (Kbps)」フィールドと「利用可能な受信帯域幅 (Kbps)」フィールドにそれぞれ入力します。この手順は、「ファイアウォール サービス > 帯域幅管理」ページの帯域幅管理種別が「詳細」または「グローバル」のどちらかに設定されている場合に適用されます。
グローバル帯域幅管理のシナリオ
送信メール トラフィック (SMTP など) のアクセス ルールを作成する場合は、以下のパラメータで帯域幅管理を有効にします。
• 保証帯域幅は 20 パーセント
• 最大帯域幅は 40 パーセント
• 優先順位は 0 (ゼロ)
この送信 SMTP トラフィックでは、利用可能な帯域幅の 20% が保証され、最大で利用可能な帯域幅の 40% を使用できます。SMTP トラフィックのアクセス ルールが帯域幅管理が有効な唯一のルールである場合:
• SMTP トラフィックで設定された最大の帯域幅 (上記の最大値である 40%) を使用している場合、残り 60% の帯域幅をその他すべてのトラフィックで使用することになります。
• SMTP トラフィックで設定された最大の帯域幅を使い切っていない場合は、リンク帯域幅の 60% ~ 100% をその他すべてのトラフィックで使用することになります。
今度は、次に示す、帯域幅管理が有効な FTP のルールについて考えます。
• 60% の保証帯域幅
• 70% の最大帯域幅
• 優先順位 1
このルールを先ほどの SMTP ルールと一緒に設定した場合、トラフィックの動作は次のようになります。
• 常に合計帯域幅の 60% が FTP トラフィック用に確保されます (ルールの保証により)。常に合計帯域幅の 20% が SMTP トラフィック用に確保されます (ルールの保証により)。
• SMTP が合計帯域幅の 40% を、FTP が合計帯域幅の 60% を使用している場合、100% の帯域幅がより優先順位の高いトラフィックによって使用されているので、それ以外のトラフィックを送信できません。SMTP と FTP で使用している帯域幅が最大値に達していない場合は、利用可能な帯域幅のうちの残っている割合をその他のトラフィックで使用できます。
• SMTP トラフィックが減少して合計帯域幅の 10% しか使用していない場合、FTP は最大 70% の帯域幅を、その他すべてのトラフィックは残り 20% の帯域幅を使用できます。
• SMTP トラフィックが停止した場合、FTP は 70% の帯域幅を取得し、残り 30% はその他すべてのトラフィックによって取得されます。
• FTP トラフィックが停止した場合、SMTP は 40% の帯域幅を取得し、残り 60% はその他すべてのトラフィックによって取得されます。
SonicOS の IPv6 実装の詳細については、IPv6 を参照してください。
IPv6 のアクセス ルールは、「ファイアウォール > アクセス ルール」ページの右上隅にある「表示する IP バージョン」ラジオ ボタンで「IPv6」オプションを選択した後、IPv4 VPN と同様の方法で設定できます。
このセクションでは、以下の設定タスクについて説明します。
• 接続の制限の概要
SonicOS Enhanced を使用すると、複数の表示形式でアクセス ルールを表示できます。表示の種類は、「表示形式」セクションで選択できます。以下の「表示形式」が用意されています。
• すべてのルールを表示- 「すべてのルールを表示」を選択すると、Dell SonicWALL セキュリティ装置で設定されているすべてのアクセス ルールが表示されます。
• マトリックス - 「送信元/送信先」の形式で表示します。「送信元」の行には、「LAN」、「WAN」、「VPN」、またはその他のインターフェースが表示され、「送信先」の列には、「LAN」、「WAN」、「VPN」、またはその他のインターフェースが表示されます。テーブルのセルの編集アイコン 
を選択すると、アクセス ルールが表示されます。
• ドロップダウン ボックス - 「送信元ゾーン」と「送信先ゾーン」の 2 つのプルダウン メニューを表示します。「送信元ゾーン」メニューからインターフェースを選択し、「送信先ゾーン」メニューからもインターフェースを選択します。「OK」を選択すると、2 つのインターフェースについて定義されているアクセス ルールが表示されます。
ヒント ゾーンごとにアクセス ルールを表示することもできます。「送信元ゾーン」および「送信先ゾーン」列の「オプション」チェックボックスを使用します。「送信元ゾーン」列から「LAN」、「WAN」、「VPN」、「すべて」を選択します。次に、「送信先ゾーン」列から「LAN」、「WAN」、「VPN」、「すべて」のいずれかを選択します。「OK」を選択すると、アクセス ルールが表示されます。
各形式の表示では、定義済みのネットワーク アクセス ルールのテーブルが表示されます。例えば、「すべてのルールを表示」を選択すると、すべてのゾーンのすべてのネットワーク アクセス ルールが表示されます。
特定のゾーンのアクセス ルールを表示するには、「マトリックス」、「ドロップダウン ボックス」、または「すべてのルール」形式の表示でゾーンを選択します。
アクセス ルールは、最も限定的なものがテーブルの一番上に、最も限定的でないものが一番下になるように並べ替えられます。テーブルの一番下には「すべて」ルールが表示されます。既定のアクセス ルールは、「アクセス ルール」ページにリストされているもの以外のすべての IP サービスです。アクセス ルールでは、「すべて」ルールに優先するルールを作成することによって動作を変更できます。「すべて」ルールでは、例えば、LAN 上のユーザには NNTP ニュースを含むすべてのインターネット サービスへのアクセスが許可されています。
アクセス ルールの優先順位を変更するには、「優先順位」列の矢印アイコンを選択します。「優先順位の変更」ウィンドウが表示されます。「優先順位」フィールドに新しい優先順位の数値 (1-10) を入力し、「OK」を選択します。
ヒント 削除アイコンや編集アイコンが淡色表示されている (使用できない) 場合は、アクセス ルールを変更したり、リストから削除したりすることはできません。