SonicWALL SSL-VPN 4000 導入ガイド

(1)

C OM PR E H E N S I V E IN T E R NE T S E C UR I T Y™

ＳｏｎｉｃＷＡＬＬセキュリティ装置

SonicWALL SSL-VPN 4000

導入ガイド

(2)

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００装置

導入ガイド

この「導入ガイド」では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００装置を既存または新規のネットワークに配備するためのインストール手順と設定ガイドラインを説明します。このマニュアルでは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を配備可能な、最も一般的な使用例シナリオとネットワークトポロジを紹介します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００装置は、あらゆるサイズの組織に、シンプルで安全なリモートネットワークとアプリケーションアクセスソリューションを手ごろな価格で提供します。クライアントソフトウェアが事前にインストールされている必要はありません。標準のウェブブラウザを利用するだけでよいので、ユーザは簡単に、電子メール、ファイル、イントラネット、アプリケーションなど、社内ＬＡＮにあるリソースにどこからでも安全にアクセスできます。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の設定手順

4 ページ「ＳｏｎｉｃＷＡＬＬ推奨配備シナリオを選択する」 6 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の電源を入れる」 7 ページ「管理インターフェースにアクセスする」 8 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を設定する」 15 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続する」 18 ページ「ゲートウェイ機器を設定する」 47 ページ「ＳＳＬ-ＶＰＮ接続をテストする」 48 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を登録する」 54 ページ「設置ガイドライン」

補足詳細については、ＳｏｎｉｃＷＡＬＬリソースＣＤにある「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイド」を参照してください。このマニュアルは、以下の場所でも参照できます。〈http://www.sonicwall.com/japan/products/documentation.html〉 1 2 3 4 5 6 7 8 9

(3)

始める前に

パッケージの内容をお確かめください

• ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００装置 • 「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００導入ガイド」 • 「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮリリースノート」 • イーサネットストレートケーブル • イーサネットクロスケーブル（赤） • ラック取り付けキット • 電源コード*1 • ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮシリーズリソースＣＤ（以下のものが含まれています） • ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００製品マニュアル • ソフトウェアユーティリティパッケージ内容に不足がある場合は、お手数ですが、ご購入頂きましたＳｏｎｉｃＷＡＬＬ販売代理店〈http://www.sonicwall.com/japan/corporate_info/distributors.html〉までお問い合わせください。

始める際に必要なもの

• ネットワークのＳｏｎｉｃＷＡＬＬ統合脅威管理（ＵＴＭ）装置などのゲートウェイ機器または境界ファイアウォールへの管理者アクセス • ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の初期設定用管理ステーションとして使用するコンピュータ • Ｊａｖａ（バージョン１.３.１以上）およびＨＴＴＰアップロードをサポートするウェブブラウザ（インターネットエクスプローラ５.０１以上、ネットスケープナビゲータ４.７以上、Ｍｏｚｉｌｌａ１.７以上、Ｆｉｒｅｆｏｘなど）推奨*2 • インターネット接続 *1. 電源コードは北米向け製品にのみ同梱されています。 *2. これらのブラウザは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の設定作業に使用できますが、エンドユーザは、アプリケーション一式のあらゆる利点を活用するためには、ＪａｖａＳｃｒｉｐｔ、Ｊａｖａ、Ｃｏｏｋｉｅ、ＳＳＬおよびＡｃｔｉｖｅＸをサポートするＩＥ５.０１以上が必要になります。

(4)

ネットワーク設定情報

現在のネットワーク設定について、以下の情報を収集します。主格ＤＮＳ：副格ＤＮＳ（オプション）：ＤＮＳドメイン：ＷＩＮＳサーバ（オプション）：

その他の情報

以下は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理インターフェースにアクセスする既定の設定です。ユーザ名：ａｄｍｉｎパスワード：（既定：ｐａｓｓｗｏｒｄ）

(5)

ＳｏｎｉｃＷＡＬＬ推奨配備シナリオを選択する

以下のシナリオは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の最も一般的な配備を示すもので、ＳｏｎｉｃＷＡＬＬで推奨される最善の活用方法です。使用する配備方法に最も近いシナリオを選択します。使用する配備方法が、このマニュアルで示す３つのシナリオのいずれにも近くない場合は、「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイド」を参照し、また〈http:// www.sonicwall.com〉で配備に関する技術的注釈を確認してください。表１を参考に、使用する配備方法に最も近いシナリオを選択します。

1

表 1 ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００配備シナリオゲートウェイ機器ＳｏｎｉｃＷＡＬＬ推奨配備シナリオ条件または要件ＳｏｎｉｃＯＳＳｔａｎｄａｒｄ３.１以上：ＴＺ１７０ＰＲＯ１２６０ＰＲＯ２０４０ＰＲＯ３０６０シナリオＡ：新しいＤＭＺ上のＳＳＬ-ＶＰＮ • ＯＰＴまたはＸ２インターフェースが未使用 • ＮＡＴまたはトランスペアレントモード操作用に設定されている新しいＤＭＺ • （オプション）ＧＡＶ、ＩＰＳ、アンチスパイウェアなどのＳｏｎｉｃＷＡＬＬ精密パケット検査セキュリティサービスを提供するプランシナリオＢ：既存のＤＭＺ上のＳＳＬ-ＶＰＮ • ＯＰＴまたはＸ２インターフェースが既存のＤＭＺで使用中 • （オプション）ＧＡＶ、ＩＰＳ、アンチスパイウェアなどのＳｏｎｉｃＷＡＬＬ精密パケット検査セキュリティサービスを提供するプラン ࠥ࡯࠻࠙ࠚࠗ ⵝ⟎ ࠬࠗ࠶࠴ ࡂࡉ 6RQLF:$// 66/931 /$1 ࠗࡦ࠲࡯ࡀ࠶࠻਄ ࡝ࡕ࡯࠻࡙࡯ࠩ 6RQLF:$// 66/931 ᣢሽ'0= 6RQLF:$//870 ࠮ࠠࡘ࡝࠹ࠖⵝ⟎ /$1 ࡝࠰࡯ࠬ ࡞࡯࠲ ࠬࠗ࠶࠴ ࡂࡉ ࠬࠗ࠶࠴ ࡂࡉ ࠗࡦ࠲࡯ࡀ࠶࠻਄ ࡝ࡕ࡯࠻࡙࡯ࠩ 6RQLF:$//870 ࠮ࠠࡘ࡝࠹ࠖⵝ⟎ 6RQLF:$// 66/931 '0= _࡝࠰࡯ࠬ/$1 ࡞࡯࠲ ࠬࠗ࠶࠴ ࡂࡉ ࠗࡦ࠲࡯ࡀ࠶࠻਄ ࡝ࡕ࡯࠻࡙࡯ࠩ シナリオＡ新しいＤＭＺ上のＳＳＬ - ＶＰＮシナリオＢシナリオＣ既存のＤＭＺ上のＳＳＬ - ＶＰＮＬＡＮ上のＳＳＬ - ＶＰＮ

(6)

ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄ３.１以上：ＴＺ１７０シリーズＰＲＯシリーズＰＲＯ１２６０ＰＲＯ２０４０ＰＲＯ３０６０ＰＲＯ４０６０ＰＲＯ５０６０シナリオＡ：新しいＤＭＺ上のＳＳＬ-ＶＰＮ • ＯＰＴまたは未使用インターフェース • ＮＡＴまたはトランスペアレントモード操作用に設定されている新しいＤＭＺシナリオＢ：既存のＤＭＺ上のＳＳＬ-ＶＰＮ • 未使用インターフェースなし • 専用のインターフェースを既存のＤＭＺで使用シナリオＣ：ＬＡＮ上のＳＳＬ-ＶＰＮ • 未使用インターフェースなし • ＤＭＺ用専用インターフェースなしＳｏｎｉｃＯＳＳｔａｎｄａｒｄ３.１以上：ＴＺ１５０シリーズＴＺ１７０ＷｉｒｅｌｅｓｓＴＺ１７０ＳＰ古いファームウェアを実行しているＳｏｎｉｃＷＡＬＬ機器サードバーティ製ゲートウェイ機器シナリオＣ：ＬＡＮ上のＳＳＬ-ＶＰＮ • ＧＡＶ、ＩＰＳ、アンチスパイウェアなどのＳｏｎｉｃＷＡＬＬ精密パケット検査セキュリティサービスを利用するプランなし • サードバーティ製ゲートウェイ機器との相互運用性表 1 ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００配備シナリオゲートウェイ機器ＳｏｎｉｃＷＡＬＬ推奨配備シナリオ条件または要件

(7)

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の電源を入れる

1. 電源コードを、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００と適切な電源コンセントに入れます。 2. 装置背面の電源コードの横にある電源スイッチを入れます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の電源を入れると、前面パネルの電源ＬＥＤが緑色に点灯します。テストＬＥＤが黄色に点灯し、装置が一連の診断テストを行う間、１分間ほど点滅します。テストＬＥＤの点灯が消えたら、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の設定を行うことができます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の起動後に、テストＬＥＤまたは警告ＬＥＤが点灯したままになったり、テストＬＥＤが赤色に点滅したりする場合は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を再起動します。トラブルシューティングの詳細については、「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイド」を参照してください。ステップに進む

2

; ᣢቯߩ▤ℂࡐ࡯࠻ޕ 33, 60.ߣ ߩធ⛯ߦ૶↪ޕ ࠦࡦ࠰࡯࡞ࡐ࡯࠻ࠦࡑࡦ࠼ ࡜ࠗࡦࠗࡦ࠲࡯ࡈࠚ࡯ࠬ߳ߩ ࠕࠢ࠮ࠬߦ૶↪ޕ㧔੍ቯ㧕㔚Ḯ/(' ࠹ࠬ࠻/(' ࠕ࡜࡯ࡓ/(' ;; 㨼㨺㩅㩒㨹㩎㔚Ḯࠦ࡯࠼ Ꮕㄟญ 㔚Ḯࠬࠗ࠶࠴ ឃ᳇ࡈࠔࡦ 㔚Ḯࡈࠔࡦ 3

(8)

管理インターフェースにアクセスする

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のウェブベースの管理インターフェースにアクセスするには、以下手順に従います。 1. クロスケーブルの片方の端をＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０ポートに接続します。ケーブルのもう片方の端を、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を管理するのに使用するコンピュータに接続します。 2. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を管理するのに使用するコンピュータを、１９２.１６８.２００.ｘ／２４サブネットに静的ＩＰアドレスを持つように設定します。例えば、１９２.１６８.２００.２０などです。コンピュータに静的ＩＰアドレスを設定する方法については、 52 ページ「静的ＩＰアドレスの設定」を参照してください。警告Ｊａｖａ（バージョン１.３.１以上）およびＨＴＴＰアップロードをサポートするウェブブラウザ（インターネットエクスプローラ５.０１以上、ネットスケープナビゲータ４.７以上、Ｍｏｚｉｌｌａ１.７以上、Ｆｉｒｅｆｏｘなど）が推奨されます。 *3 3. ウェブブラウザを開き、場所フィールドまたはアドレスフィールドに、〈http:// 192.168.200.1〉（既定のＸ０管理ＩＰアドレス）と入力します。 4. セキュリティ警告が表示される場合があります。はいボタンまたはＯＫボタンを選択して進みます。 5. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理インターフェースが表示され、ユーザ名とパスワードの入力が求められます。ユーザ名フィールドに "admin"、パスワードフィールドに "password" と入

3

*3. これらのブラウザは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の設定作業に使用できますが、エンドユーザは、アプリケーション一式のあらゆる利点を活用するためには、ＪａｖａＳｃｒｉｐｔ、Ｊａｖａ、ｃｏｏｋｉｅ、ＳＳＬおよびＡｃｔｉｖｅＸをサポートするＩＥ５.０１以上が必要になります。 3ONIC7!,, ▤ℂࠬ࠹࡯࡚ࠪࡦ 8

(9)

力し、ドメインドロップダウンリストでＬｏｃａｌＤｏｍａｉｎを選択して、ログインボタンを選択します。ステップに進む

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮログイン画面が表示されない場合

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００に接続できない場合は、以下の設定を確認します。 • 管理ワークステーションをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のインターフェースＸ０につないでいるか。管理作業ができるのはＸ０のみです。 • 管理ステーションとＳＳＬ-ＶＰＮ装置両方のリンクライトが点灯しているか。 • ウェブブラウザでＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００管理ＩＰアドレスを正しく入力したか。 • コンピュータに静的ＩＰアドレス１９２.１６８.２００.２０が設定されているか。ＩＰアドレス設定方法の詳細については、 52 ページ「静的ＩＰアドレスの設定」を参照してください。 • ログイン画面のローカルドメインに正しいドメインが設定されているか。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を設定する

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００をコンピュータの管理ポート（Ｘ０）に接続したら、ウェブベースの管理インターフェースから設定できます。このセクションには以下のサブセクションがあります。 • 9 ページ「管理パスワードの設定」 • 9 ページ「ローカルユーザの追加」 4

4

(10)

• 10 ページ「タイムゾーンの選択」 • 10 ページ「ＳＳＬ-ＶＰＮネットワーク設定の構成」 • 10 ページ「ＤＮＳ／ＷＩＮＳの設定」 • 11 ページ「シナリオＢとシナリオＣのためのＸ０ポートのＩＰアドレスの設定」 • 12 ページ「ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの追加」

管理パスワードの設定

1. ユーザ＞ローカルユーザページを選択します。 2. "ａｄｍｉｎ" アカウントに対応する設定ボタンを選択します。補足工場出荷時のパスワードを変更することは任意ですが、変更することを強くお勧めします。パスワードを変更する場合は、新しいパスワードを安全な場所に保管してください。パスワードがわからなくなった場合には、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を工場出荷時の設定に戻す必要があり、それまでに行った設定は失われます。 3. パスワードフィールドに "ａｄｍｉｎ" アカウントのパスワードを入力します。パスワードの確認フィールドにパスワードをもう一度入力します。 4. ＯＫボタンを選択して変更を適用します。

ローカルユーザの追加

1. ユーザ＞ローカルユーザページを選択します。 2. ユーザの追加ボタンを選択します。 3. ユーザ名フィールドに、使用するユーザ名を入力します。 4. グループ／ドメインドロップダウンメニューからＬｏｃａｌＤｏｍａｉｎを選択します。 5. パスワードフィールドにユーザのパスワードを入力します。新しいパスワードを確認入力します。

(11)

6. ユーザ種別ドロップダウンメニューからユーザを選択します。 7. 追加ボタンを選択します。

タイムゾーンの選択

1. システム＞時間ページを選択します。 2. ドロップダウンメニューから適切なタイムゾーンを選択します。 3. 適用ボタンを選択します。

補足時間を正しく設定することは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の多くの操作にとって重要です。タイムゾーンは必ず正しく設定してください。正確性を確実にするため、ＮＴＰを使用して自動的に時刻を調整する（既定の設定）をお勧めします。

ＳＳＬ-ＶＰＮネットワーク設定の構成

ここで、ＳＳＬ-ＶＰＮ４０００ネットワーク設定を行います。このセクションの作業を完了するには、 3 ページ「ネットワーク設定情報」で記録した情報を使用します。

ＤＮＳ／ＷＩＮＳの設定

1. ネットワーク＞ＤＮＳページを選択します。 2. ＳＳＬＶＰＮゲートウェイホスト名フィールドに、使用するＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を示す固有の名前を入力します。 3. 主格ＤＮＳサーバフィールドに、主格ＤＮＳサーバの情報を入力します。

(12)

4. （オプション）副格ＤＮＳサーバフィールドに、副格ＤＮＳサーバを入力します。 5. （オプション）ＤＮＳドメインフィールドに、ＤＮＳドメインを入力します。 6. （オプション）主格ＷＩＮＳサーバフィールドおよび副格ＷＩＮＳサーバフィールドに、ＷＩＮＳサーバを入力します。 7. 適用ボタンを選択します。

シナリオＢとシナリオＣのためのＸ０ポートのＩＰアドレスの設定

ＳＳＬ-ＶＰＮを、シナリオＢ：既存のＤＭＺ上のＳＳＬ-ＶＰＮ、あるいはシナリオＣ：ＬＡＮ上のＳＳＬ-ＶＰＮのどちらかに配備する場合は、ＳＳＬ-ＶＰＮのＸ０インターフェースのＩＰアドレスを、既存のＤＭＺまたは既存のＬＡＮのアドレス範囲内に再設定する必要があります。 1. ネットワーク＞インターフェースページを選択します。 2. インターフェース表のＸ０インターフェースの設定アイコンを選択します。 3. インターフェース設定ダイアログボックスの IP アドレスとサブネットマスクを以下のように設定します。ＯＫを選択すると、ＳＳＬ-ＶＰＮへの接続が切れます。 4. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を管理するのに使用しているコンピュータを、１０．１．１．２０や１９２．１６８．２００．２０のようにＸ０インターフェースに設定したアドレス範囲使用するシナリオＸ０インターフェースの設定Ｂ − 既存のＤＭＺ上のＳＳＬ-ＶＰＮＩＰアドレス：ＤＭＺサブネット上の未使用のアドレス。例：１０．１．１．２４０サブネットマスク：ＤＭＺサブネットマスクと一致するもの。Ｃ − ＬＡＮ上のＳＳＬ-ＶＰＮＩＰアドレス：ＬＡＮサブネット上の未使用のアドレス。例：１９２．１６８．１６８．２００サブネットマスク：ＬＡＮサブネットマスクと一致するもの。

(13)

内の静的 IP アドレスを持つよう、再設定します。コンピュータへの静的 IP アドレスの設定に関しては、 52 ページ「静的ＩＰアドレスの設定」を参照してください。 5. Ｘ０インターフェースに設定した IP アドレスを使用して、ＳＳＬ-ＶＰＮ管理インターフェースに再ログインします。例えば、お使いのウェブブラウザの場所またはアドレスフィールドにｈｔｔｐ：／／１９２．１６８．１６８．２００と入力します。

デフォルトルートの設定

以下の表を参考に、デフォルトルートを正しく設定します。どのシナリオを使用するかわからない場合は、 4 ページ「ＳｏｎｉｃＷＡＬＬ推奨配備シナリオを選択する」を参照してください。 1. ネットワーク＞ルートページを選択します。 2. デフォルトゲートウェイフィールドに、アップストリームゲートウェイ機器のＩＰアドレスを入力します。 3. インターフェースドロップダウンメニューからＸ０を選択します。 4. 適用ボタンを選択します。

ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの追加

ＮｅｔＥｘｔｅｎｄｅｒによって、リモートクライアントもローカルネットワークのリソースにシームレスにアクセスできます。 1. ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルートページを選択します。 2. クライアントルートの追加ボタンを選択します。 3. 送信先ネットワークフィールドに、ＮｅｔＥｘｔｅｎｄｅｒでアクセスできるようにする信頼済みネットワークのＩＰアドレスを入力します（例えば、ネットワーク１９２.１６８.５０.０／２４の既存のＤＭＺに接続し、ＬＡＮネットワーク１９２.１６８.１６８.０／２４へのアクセスを可能にする場合、１９２.１６８.１６８.０と入力します）。

補足送信先ネットワークとサブネットマスクに０.０.０.０と入力して、強制トンネル方式ですべてのＳＳＬ-ＶＰＮクライアントトラフィックをＮｅｔＥｘｔｅｎｄｅｒ接続に通すこともできます。使用するシナリオアップストリームゲートウェイ機器Ａ − 新しいＤＭＺ上のＳＳＬ-ＶＰＮ作成するＤＭＺ（例、１９２.１６８.２００.２）Ｂ − 既存のＤＭＺ上のＳＳＬ-ＶＰＮ既存のＤＭＺインターフェースＣ − ＬＡＮ上のＳＳＬ-ＶＰＮ使用するＬＡＮゲートウェイ

(14)

オペレーティングシステムやシステム環境によっては、０.０.０.０既定ルートを正しく適用できない場合があります。そのような場合は、以下のようにさらに２つの特定ルートを使用することで、強制トンネル方式を指定できます。 4. サブネットマスクフィールドにサブネットマスクを入力します。 5. 追加ボタンを選択してこのクライアントルートを追加します。

ＮｅｔＥｘｔｅｎｄｅｒアドレス範囲の設定

ＮｅｔＥｘｔｅｎｄｅｒＩＰ範囲はＩＰアドレスの範囲を定義し、この中からＮｅｔＥｘｔｅｎｄｅｒセッション中にリモートユーザにアドレスを割り当てます。この範囲は、ＮｅｔＥｘｔｅｎｄｅｒでサポートする同時実行ユーザ数の最大値に１を足した数（例えば、ユーザが１５人の場合、１９２.１６８.２００.１００ ∼ １９２.１６８.２００.１１５のように１６個のアドレスが必要）に対応できるよう十分大きくする必要があります。この範囲には、ＳＳＬ-ＶＰＮ装置を接続するインターフェースと同じサブネット内の範囲を設定します。また、ＳＳＬ-ＶＰＮ装置と同じセグメントに他のホストがある場合は、割り当て済みのアドレスと重複したり競合したりしないようにする必要があります。選択したネットワークシナリオに基づいて、以下のように適切なサブネットを指定します。ＮｅｔＥｘｔｅｎｄｅｒアドレス範囲を設定するには、以下の手順を実行します。 1. ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレスページを選択します。ルート１送信先ネットワーク：０.０.０.０サブネットマスク：１２８.０.０.０ルート２送信先ネットワーク：１２８.０.０.０サブネットマスク：１２８.０.０.０シナリオＡ既定のＮｅｔＥｘｔｅｎｄｅｒを使用します。１９２.１６８.２００.１００ ∼ １９２.１６８.２００.２００シナリオＢ使用する既存のＤＭＺサブネット内の範囲を選択します。例えば、ＤＭＺで１９２.１６８.５０.０／２４サブネットを使用していて、最大３０のＮｅｔＥｘｔｅｎｄｅｒ同時セッションをサポートする場合、１９２.１６８.５０.２２０ ∼ １９２.１６８.５０.２５０（これらが未使用の場合）を使用できます。シナリオＣ使用する既存のＬＡＮサブネット内の範囲を選択します。例えば、ＬＡＮで１９２.１６８.１６８.０／２４サブネットを使用していて、最大１０のＮｅｔＥｘｔｅｎｄｅｒ同時セッションをサポートする場合、１９２.１６８.１６８.２４０ ∼ １９２.１６８.１６８.２５０（これらが未使用の場合）を使用できます。

(15)

2. クライアントアドレス範囲の開始フィールドとクライアントアドレス範囲の終了フィールドに、クライアントのアドレス範囲を入力します。

補足ＮｅｔＥｘｔｅｎｄｅｒでサポートする同時実行ユーザ数に十分なだけの使用可能アドレスがない場合は、ＮｅｔＥｘｔｅｎｄｅｒ用に新しいサブネットを使用できます。このような状況としては、既存のＤＭＺまたはＬＡＮが２５５.２５５.２５５.２２４のように小さなサブネット空間のＮＡＴモードに設定されている場合や、もっと一般的な場合として、ＤＭＺまたはＬＡＮがトランスペアレントモードに設定されていてＩＳＰからのパブリックアドレス数が限られている場合が考えられます。いずれの場合も、未使用の新しいＩＰ範囲をＮｅｔＥｘｔｅｎｄｅｒに割り当てて（例、１９２.１６８.１０.１００ ∼ １９２.１６８.１０.２００）、ゲートウェイ装置でこの範囲のルートを設定できます。例えば、現在のトランスペアレント範囲が６７.１１５.１１８.７５ ∼ ６７.１１５.１１８.８０で、ＮｅｔＥｘｔｅｎｄｅｒで５０の同時実行クライアントをサポートする場合、ＳＳＬ-ＶＰＮＸ０インターフェースをこのトランスペアレント範囲内の利用可能なＩＰアドレス（６７.１１５.１１８.８０など）に設定し、ＮｅｔＥｘｔｅｎｄｅｒ範囲を１９２.１６８.１０.１００ ∼ １９２.１６８.１０.２００などに設定します。次に、ゲートウェイ機器で、静的ルートを６７.１１５.１１８.８０を使用して１９２.１６８.１０.０／２５５.２５５.２５５.０に設定します。ステップに進むシナリオＡ１９２.１６８.２００.１００ ∼ １９２.１６８.２００.２００（既定の範囲）シナリオＢＤＭＺサブネット内で使用されていない範囲シナリオＣＬＡＮサブネット内で使用されていない範囲 5

(16)

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続する

この作業に進む前に、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のネットワークへの接続を示すこのセクションの各図を参照してください。 4 ページ「ＳｏｎｉｃＷＡＬＬ推奨配備シナリオを選択する」の表を参照し、使用するネットワーク設定に適したシナリオを確認してください。 • 15 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の接続 − シナリオＡ」 • 15 ページ「ネットワークインターフェースの設定 − シナリオＢ」 • 16 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の接続 − シナリオＢ」 • 17 ページ「ネットワークインターフェースの設定 − シナリオＣ」 • 17 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の接続 − シナリオＣ」

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の接続 − シナリオＡ

シナリオＡを使用してＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続するには、以下の手順を実行します。 1. イーサネットケーブルの片方の端を、既存のＳｏｎｉｃＷＡＬＬＵＴＭセキュリティ装置のＯＰＴ、Ｘ２、または他の未使用ポートに接続します。シナリオＡ：新しいＤＭＺ上のＳＳＬ-ＶＰＮ 2. イーサネットケーブルのもう片方の端をＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の前面のＸ０ポートに接続します。ポートの左上のＸ０ポートＬＥＤが、動作中の接続を示す緑色に点灯します。ステップに進む

ネットワークインターフェースの設定 − シナリオＢ

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を、シナリオＢのネットワーク設定におけるＳｏｎｉｃＷＡＬＬＵＴＭ装置に接続するように設定します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００で以下の手順を実行します。

5

3ONIC7!,, $-: 8 8 /04 3ONIC7!,, 8 ࡞࡯࠲ ࠬࠗ࠶࠴ࡂࡉ ࡝ࡕ࡯࠻࡙࡯ࠩ ࡀ࠶࠻ࡢ࡯ࠢࡁ࡯࠼ ࠗࡦ࠲࡯ࡀ࠶࠻࠱࡯ࡦ ,!. 6

(17)

1. ネットワーク＞インターフェースページを選択します。 2. Ｘ０ポートの設定ボタンを選択します。 3. シナリオＢ用に設定する場合は、ＩＰアドレスフィールドにＤＭＺサブネットの未使用ＩＰアドレスを入力します。シナリオＣ用に設定する場合は、ＩＰアドレスフィールドにＬＡＮの未使用ＩＰアドレスを入力します。 4. サブネットマスクフィールドにサブネットマスクを入力します。 5. ＯＫボタンを選択して変更を適用します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の接続 − シナリオＢ

シナリオＢを使用してＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続するには、以下の手順を実行します。 1. クロスケーブルの片方の端を、既存のＳｏｎｉｃＷＡＬＬＵＴＭ装置のＤＭＺに割り当てられているポート、通常はＯＰＴまたはＸ２に接続します。シナリオＢ：既存のＤＭＺ上のＳＳＬ-ＶＰＮ 2. イーサネットケーブルのもう片方の端をＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の前面のＸ０ポートに接続します。ポートの左上のＸ０ポートＬＥＤが、動作中の接続を示す緑色に点灯します。ステップに進む 3ONIC7!,, ᣢሽ$-: 8 8 8 3ONIC7!,, 8 ࡞࡯࠲ ࠬࠗ࠶࠴ ࡂࡉ ࡝ࡕ࡯࠻࡙࡯ࠩ ࡀ࠶࠻ࡢ࡯ࠢࡁ࡯࠼ ࡀ࠶࠻ࡢ࡯ࠢࡁ࡯࠼ ࠗࡦ࠲࡯ࡀ࠶࠻࠱࡯ࡦ ,!. ࠬࠗ࠶࠴ ࡂࡉ 6

(18)

ネットワークインターフェースの設定 − シナリオＣ

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を、シナリオＣのネットワーク設定におけるＳｏｎｉｃＷＡＬＬＵＴＭ装置に接続するように設定します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００で以下の手順を実行します。 1. ネットワーク＞インターフェースページを選択します。 2. Ｘ０ポートの設定ボタンを選択します。 3. ＩＰアドレスフィールドにＬＡＮの未使用ＩＰアドレスを入力します。 4. サブネットマスクフィールドにサブネットマスクを入力します。 5. ＯＫボタンを選択して変更を適用します。

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の接続 − シナリオＣ

シナリオＣを使用してＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続するには、以下の手順を実行します。 1. クロスケーブルの片方の端をＬＡＮハブまたはスイッチの未使用ポートに接続します。シナリオＣ：ＬＡＮ上のＳＳＬ-ＶＰＮ 2. クロスケーブルのもう片方の端をＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の前面のＸ０ポートに接続します。ポートの左上のＸ０ポートＬＥＤが、動作中の接続を示す緑色に点灯します。ステップに進む ࠥ࡯࠻࠙ࠚࠗⵝ⟎ ࠗࡦ࠲࡯ࡀ࠶࠻ធ⛯ ,!. 3ONIC7!,, 8 ࡝ࡕ࡯࠻࡙࡯ࠩ ࡀ࠶࠻ࡢ࡯ࠢࡁ࡯࠼ ࠗࡦ࠲࡯ࡀ࠶࠻࠱࡯ࡦ ,!. ࠬࠗ࠶࠴ ࡂࡉ 6

(19)

ゲートウェイ機器を設定する

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の設定が完了したら、ゲートウェイ機器をＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００と連携するように設定します。 4 ページ「ＳｏｎｉｃＷＡＬＬ推奨配備シナリオを選択する」の表を参照し、使用するネットワーク設定に適したシナリオを確認してください。このセクションには以下のサブセクションがあります。 • 18 ページ「シナリオＡ：新しいＤＭＺ上のＳＳＬ-ＶＰＮ」 • 32 ページ「シナリオＢ：既存のＤＭＺ上のＳＳＬ-ＶＰＮ」 • 44 ページ「シナリオＣ：ＬＡＮ上のＳＳＬ-ＶＰＮ」

シナリオＡ：新しいＤＭＺ上のＳＳＬ-ＶＰＮ

このセクションでは、シナリオＡに基づいてゲートウェイ装置を設定する手順を示します。このセクションには以下のサブセクションがあります。 • 18 ページ「シナリオＡ：ＳｏｎｉｃＷＡＬＬＵＴＭ装置への接続」 • 18 ページ「シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＤＭＺまたはＯＰＴポートの設定」 • 19 ページ「シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＷＡＮ −＞ＤＭＺ接続の許可」 • 21 ページ「シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＤＭＺ −＞ＬＡＮ接続の許可」 • 25 ページ「シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおける新しいＳＳＬ-ＶＰＮ個別ゾーンの追加」 • 26 ページ「シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＷＡＮ −＞ＳＳＬ-ＶＰＮ接続の許可」 • 29 ページ「シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＳＳＬ-ＶＰＮ −＞ＬＡＮ接続の許可」

シナリオＡ：ＳｏｎｉｃＷＡＬＬＵＴＭ装置への接続

1. ＬＡＮに接続しているコンピュータを使用してウェブブラウザを開き、場所フィールドまたはアドレスフィールドに、既存のＳｏｎｉｃＷＡＬＬＵＴＭ装置のＩＰアドレスを入力します。 2. 管理インターフェースが表示されたら、ユーザ名とパスワードをそれぞれのフィールドに入力し、ログインボタンを選択します。補足ここでは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００ではなく、ＳｏｎｉｃＷＡＬＬＵＴＭ装置にログインすることに注意してください。ここで使用するユーザ名とパスワードの組み合わせは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００用に記録したユーザ名とパスワードとは異なる場合があります。

シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＤＭＺまたはＯＰＴポートの設定

1. ネットワーク＞設定ページを選択します。

6

(20)

2. ＤＭＺまたはＯＰＴインターフェースの設定ボタンを選択します。ＮＡＴモードラジオボタンを選択します。 3. ＤＭＺプライベートアドレスフィールドに１９２.１６８.２００.２を入力します。 4. ＤＭＺサブネットマスクフィールドに２５５.２５５.２５５.０を入力します。 5. ＯＫボタンを選択します。

シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＷＡＮ −＞ＤＭＺ接続の許可

以下の手順は、ＳｏｎｉｃＯＳＳｔａｎｄａｒｄを実行しているＳｏｎｉｃＷＡＬＬＵＴＭ装置にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続する場合に実行します。ＳｏｎｉｃＷＡＬＬＵＴＭ装置でＳｏｎｉｃＯＳＥｎｈａｎｃｅｄを実行している場合は、 26 ページ「シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＷＡＮ −＞ＳＳＬ-ＶＰＮ接続の許可」を参照してください。

9

ヒントＷＡＮからＤＭＺへのアクセスを拒否する既定のルールはそのままにし、公開サーバルールウィザードを使用して、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へのＨＴＴＰトラフィックとＨＴＴＰＳトラフィックを限定的に許可するアクセスルールを作成します。ＤＭＺに別のサーバを追加する場合、ウィザードを使用して、他のすべてのトラフィックを制限したまま新しいサーバへのアクセスを作成できます。

補足ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へのＨＴＴＰアクセスとＨＴＴＰＳアクセスの両方を許可する場合、ウィザードを２回実行してＨＴＴＰとＨＴＴＰＳの両方について公開サーバアクセスルールを作成する必要があります。ＨＴＴＰＳトラフィックについて公開サーバアクセスルールを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページを選択します。 2. を選択します。 3. ＳｏｎｉｃＷＡＬＬネットワークアクセスルールウィザードにようこそページで、次へを選択します。

(21)

4. ステップ１アクセスルールタイプページで、公開サーバルールを選択し、次へを選択します。 5. ステップ２公開サーバページで、以下の項目を選択します。サービスＨＴＴＰＳサーバＩＰアドレスＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス、既定では１９２.１６８.２００.１送信先インターフェースＤＭＺ

(22)

次へを選択します。 6. 完了しましたページで適用を選択すると、ルールが作成され、ＷＡＮからＤＭＺ上のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へのアクセスが許可されます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へのＨＴＴＰアクセスを許可する場合、ＨＴＴＰに関する公開サーバアクセスルールを作成します。 1. ファイアウォール＞アクセスルールページで、を選択します。 2. ネットワークアクセスルールウィザードにようこそページで、次へを選択します。 3. ステップ１アクセスルールタイプページで、公開サーバルールを選択します。次へを選択します。 4. ステップ２公開サーバページで以下の項目を選択し、次へを選択します。 5. 完了しましたページで適用を選択すると、ルールが作成され、ＷＡＮからＤＭＺ上のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へのアクセスが許可されます。

シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＤＭＺ −＞ＬＡＮ接続の許可

ユーザがＳＳＬ-ＶＰＮに接続した場合に、そのユーザがＬＡＮ上のリソースに接続できることが必要です。２つのルールを作成する必要があります。１つはＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０インターフェースからＬＡＮへのトラフィックを許可するルール、もう１つはＮｅｔＥｘｔｅｎｄｅｒからＬＡＮへのトラフィックを許可するルールです。

補足この手順では、アクセスルールウィザードを使用してルールを作成します。ファイアウォール＞アクセスルールページの一番下にある追加を選択すると、ルールを手動で作成できます。ＳＳＬ-ＶＰＮＸ０インターフェースからＬＡＮへのアクセスを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページで、を選択します。 2. ＳｏｎｉｃＷＡＬＬネットワークアクセスルールウィザードにようこそページで、次へを選択します。 3. ステップ１アクセスルールタイプページで、一般的なルールを選択します。次へを選択します。 4. ステップ２アクセスルールサービスページで、Ａｎｙを選択します。次へを選択します。サービスＷｅｂ（ＨＴＴＰ）サーバＩＰアドレスＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス、既定では１９２.１６８.２００.１送信先インターフェースＤＭＺ

(23)

5. ステップ３アクセスルールアクションページで、以下のように設定します。次へを選択します。 6. ステップ４アクセスルール送信元インターフェースとアドレスページで以下の項目を選択し、次へを選択します。このルールのアクションを選択する許可ＴＣＰ接続無動作時タイムアウト３０分インターフェースＤＭＺ開始ＩＰアドレスＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス、既定では１９２.１６８.２００.１終了ＩＰアドレスＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス、既定では１９２.１６８.２００.１

(24)

7. ステップ５アクセスルール送信先インターフェースとアドレスページで以下の項目を選択し、次へを選択します。 8. ステップ６アクセスルールを適用する時間帯ページで、ＳＳＬ-ＶＰＮクライアントがＬＡＮにアクセスできる時間帯を制限する必要がある場合以外は、動作時間を常にルールを適用するのままにします。 9. 完了しましたページで適用を選択すると、アクセスルールが作成されます。ＮｅｔＥｘｔｅｎｄｅｒからＬＡＮへのアクセスを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページで、を選択します。 2. ＳｏｎｉｃＷＡＬＬネットワークアクセスルールウィザードにようこそページで、次へを選択します。 3. ステップ１アクセスルールタイプページで、一般的なルールを選択します。次へを選択します。 4. ステップ２アクセスルールサービスページで、Ａｎｙを選択します。次へを選択します。 5. ステップ３アクセスルールアクションページで、以下のように設定します。インターフェースＬＡＮ開始ＩＰアドレス * 終了ＩＰアドレス空白のままにします。このルールのアクションを選択する許可

(25)

次へを選択します。 6. ステップ４アクセスルール送信元インターフェースとアドレスページで、以下の項目を選択し、次へを選択します。次へを選択します。 7. ステップ５アクセスルール送信先インターフェースとアドレスページで以下の項目を選択し、次へを選択します。 8. ステップ６アクセスルールを適用する時間帯ページで、ＳＳＬ-ＶＰＮクライアントがＬＡＮにアクセスできる時間帯を制限する必要がある場合以外は、動作時間を常にルールを適用するのままにします。 9. 完了しましたページで適用を選択すると、アクセスルールが作成されます。ステップに進むＴＣＰ接続無動作時タイムアウト 30 分インターフェースＤＭＺ開始ＩＰアドレスＮｅｔＥｘｔｅｎｄｅｒ範囲の開始アドレス、既定では１９２.１６８.２００.１００終了ＩＰアドレスＮｅｔＥｘｔｅｎｄｅｒ範囲の終了アドレス、既定では１９２.１６８.２００.２００インターフェースＬＡＮ開始ＩＰアドレス * 終了ＩＰアドレス空白のままにします。 7

(26)

シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおける新しいＳＳＬ-ＶＰＮ個別ゾーンの追加

1. ネットワーク＞インターフェースページを選択します。 2. Ｘ２インターフェース（または利用可能な他のインターフェース）の設定ボタンを選択します。 3. ゾーンフィールドでゾーンの作成を選択します。ゾーンの追加ウィンドウが開きます。 4. 名前フィールドにＳＳＬ-ＶＰＮを入力します。 5. セキュリティタイプドロップダウンメニューから公開を選択します。 6. インターフェース間通信を許可するチェックボックスを非選択にします。 . 7. ゲートウェイアンチウィルスを執行する、侵入防御を執行する、およびアンチスパイウェアサービスを有効にするの各チェックボックスにチェックマークを付けます。 8. ＯＫボタンを選択します。 9. ＩＰアドレスフィールドにこのインターフェース用のＩＰアドレスを入力します（例えば、 "１９２.１６８.２００.２" です。これは、 11 ページ「シナリオＢとシナリオＣのためのＸ０ポートのＩＰアドレスの設定」で作成したのと同じアドレスにします）。 10. サブネットマスクフィールドにサブネットマスクを入力します。 11. 管理領域で、使用する管理オプションを有効にします。 12. ＯＫボタンを選択して変更を適用します。

(27)

シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＷＡＮ −＞ＳＳＬ-ＶＰＮ接続の許可

以下の手順は、ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄを実行しているＳｏｎｉｃＷＡＬＬＵＴＭ装置にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続する場合に実行します。ＳｏｎｉｃＷＡＬＬＵＴＭ装置でＳｏｎｉｃＯＳＳｔａｎｄａｒｄを実行している場合は、 19 ページ「シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＷＡＮ −＞ＤＭＺ接続の許可」を参照してください。ＨＴＴＰとＨＴＴＰＳのトラフィックについて公開サーバアクセスルールを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページで、すべてのルールを表示を選択します。 2. を選択します。 3. ＳｏｎｉｃＷＡＬＬ公開サーバウィザードにようこそページで、次へを選択します。 4. ステップ１公開サーバタイプページで、以下の項目を選択します。サービスグループの追加ダイアログボックスが表示されます。サーバタイプその他サービスグループの作成

(28)

5. サービスグループの追加ダイアログボックスで、ＨＴＴＰとＨＴＴＰＳ用のサービスグループを１つ作成します。 • サービスの名前を入力します。 • ＨＴＴＰとＨＴＴＰＳの両方を選択し、を選択します。 • ＨＴＴＰとＨＴＴＰＳの両方が右の列に表示されたら、ＯＫを選択します。 6. ステップ２サーバプライベートネットワーク設定ページで、以下の項目を入力します。次へを選択します。サーバ名ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の名前サーバプライベートＩＰアドレスＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス、既定では１９２.１６８.２００.１サーバコメントサーバの簡単な説明

(29)

7. ステップ３サーバパブリックネットワーク設定ページで、既定のＩＰアドレスをそのまま使用するか、利用可能なパブリックＩＰ範囲内のＩＰアドレスを入力します。

補足既定のＩＰアドレスは、ＳｏｎｉｃＷＡＬＬＵＴＭ装置のＷＡＮＩＰアドレスです。既定のＩＰアドレスを使用する場合、このＩＰアドレスへのＨＴＴＰトラフィックとＨＴＴＰＳトラフィックはすべてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を通るようになります。次へを選択します。 8. ステップ４公開サーバの設定概要ページに、公開サーバ作成のために実行するすべての設定アクションが表示されます。適用を選択すると、設定が作成され、ＷＡＮからＤＭＺ上のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００へのアクセスが許可されます。

(30)

シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＳＳＬ-ＶＰＮ −＞ＬＡＮ接続の許可

ユーザがＳＳＬ-ＶＰＮに接続した場合に、そのユーザがＬＡＮ上のリソースに接続できることが必要です。 1. 管理インターフェースで、ネットワーク＞アドレスオブジェクトページに移動します。 2. ページの一番下、アドレスオブジェクトテーブルの下にある、を選択します。 3. アドレスオブジェクトの追加ダイアログボックスで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレス用のアドレスオブジェクトを作成します。ＯＫを選択してオブジェクトを作成します。 4. 再度を選択してＮｅｔＥｘｔｅｎｄｅｒ範囲のアドレスオブジェクトを作成します。 5. アドレスオブジェクトの追加ダイアログボックスで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレス用のアドレスオブジェクトを作成します。名前ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の名前を入力します。ゾーンの割り当てＳＳＬ-ＶＰＮ種類ホストＩＰアドレスＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０ＩＰアドレス、既定では１９２.１６８.２００.１名前ＮｅｔＥｘｔｅｎｄｅｒの名前を入力します。ゾーンの割り当てＳＳＬ-ＶＰＮ種類範囲開始アドレスＮｅｔＥｘｔｅｎｄｅｒＩＰアドレス範囲の開始ＩＰアドレス、既定では１９２.１６８.２００.１００終了アドレスＮｅｔＥｘｔｅｎｄｅｒＩＰアドレス範囲の終了ＩＰアドレス、既定では１９２.１６８.２００.２００

(31)

ＯＫを選択してオブジェクトを作成します。 6. ネットワーク＞アドレスオブジェクトページの中ほど、アドレスグループテーブルの下にある、を選択します。 7. アドレスオブジェクトグループの追加ダイアログボックスで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレスとＮｅｔＥｘｔｅｎｄｅｒＩＰ範囲用のグループを１つ作成します。 • グループの名前を入力します。 • 左の列で、ステップ１ ∼ ５で作成した２つのグループを選択し、を選択します。 • 両方のオブジェクトが右の列に表示されたら、ＯＫを選択してグループを作成します。 8. 管理インターフェースで、ファイアウォール＞アクセスルールページに移動します。 9. ファイアウォール＞アクセスルールページの一番下にある、を選択します。

(32)

10. ルールの追加ウィンドウで、今回作成したアドレスグループがＬＡＮにアクセスするのを許可するルールを作成します。ＯＫを選択してルールを作成します。ステップに進む動作許可送信元ゾーンＳＳＬ-ＶＰＮ送信先ゾーンＬＡＮサービスすべて送信元今回作成したアドレスグループ（例、ＳｏｎｉｃＷＡＬＬ＿ＳＳＬ-ＶＰＮ＿ＧＲＯＵＰ）送信先すべて許可するユーザすべてスケジュール常に有効断片化パケットを許可するチェックする 7

(33)

シナリオＢ：既存のＤＭＺ上のＳＳＬ-ＶＰＮ

このセクションでは、シナリオＢに基づいてゲートウェイ装置を設定する手順を示します。このセクションには以下のサブセクションがあります。 • 32 ページ「シナリオＢ：ＳｏｎｉｃＷＡＬＬＵＴＭ装置への接続」 • 32 ページ「シナリオＢ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＷＡＮ −＞ＤＭＺ接続の許可」 • 34 ページ「シナリオＢ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＤＭＺ −＞ＬＡＮ接続の許可」 • 38 ページ「シナリオＢ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＷＡＮ −＞ＤＭＺ接続の許可」 • 40 ページ「シナリオＢ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＤＭＺ −＞ＬＡＮ接続の許可」

シナリオＢ：ＳｏｎｉｃＷＡＬＬＵＴＭ装置への接続

1. ＬＡＮに接続しているコンピュータを使用してウェブブラウザを開き、場所フィールドまたはアドレスフィールドに、既存のＳｏｎｉｃＷＡＬＬＵＴＭ装置のＩＰアドレスを入力します。 2. 管理インターフェースが表示されたら、ユーザ名とパスワードをそれぞれのフィールドに入力し、ログインボタンを選択します。補足ここでは、ＳＳＬ-ＶＰＮではなく、ＳｏｎｉｃＷＡＬＬＵＴＭ装置にログインすることに注意してください。ここで使用するユーザ名とパスワードの組み合わせは、ＳＳＬ-ＶＰＮ４０００用に記録したユーザ名とパスワードとは異なる場合があります。

シナリオＢ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＷＡＮ −＞ＤＭＺ接続の許可

以下の手順は、ＳｏｎｉｃＯＳＳｔａｎｄａｒｄを実行しているＳｏｎｉｃＷＡＬＬＵＴＭ装置にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続する場合に実行します。ＳｏｎｉｃＷＡＬＬＵＴＭ装置でＳｏｎｉｃＯＳＥｎｈａｎｃｅｄを実行している場合は、 26 ページ「シナリオＡ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＷＡＮ −＞ＳＳＬ-ＶＰＮ接続の許可」を参照してください。

補足ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へのＨＴＴＰアクセスとＨＴＴＰＳアクセスの両方を許可する場合、ウィザードを２回実行してＨＴＴＰとＨＴＴＰＳの両方について公開サーバアクセスルールを作成する必要があります。ＨＴＴＰＳトラフィックについて公開サーバアクセスルールを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページを選択します。 2. を選択します。 3. ＳｏｎｉｃＷＡＬＬ公開サーバウィザードにようこそページで、次へを選択します。

(34)

4. ステップ１アクセスルールページで、以下の項目を選択します。 5. ステップ２公開サーバタイプページで、以下の項目を選択します。「次へ」を選択します。サービスＨＴＴＰＳサーバＩＰアドレスＤＭＺ範囲内のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０ＩＰアドレス。例１０.１.１.２００送信先インターフェースＤＭＺ

(35)

6. 完了しましたページでＤＺＭ上のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へＷＡＮからアクセスするルールと許可を作成するために、適用を選択します。ＨＴＴＰがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へアクセスできるようする場合は、ＨＴＴＰのための公開サーバアクセスルールを作成します。 1. ファイアウォール＞アクセスルールページで、を選択します。 2. ＳｏｎｉｃＷＡＬＬネットワークアクセスルールウィザードにようこそページで、次へを選択します。 3. ステップ１アクセスルールページで、公開サーバルールを選択し、次へを選択します。 4. ステップ２公開サーバタイプページで、以下の項目を選択し、次へを選択します。 5. 完了しましたページでＤＺＭ上のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へＷＡＮからアクセスするルールと許可を作成するために、適用を選択します。

シナリオＢ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＤＭＺ −＞ＬＡＮ接続の許可

ユーザがＳＳＬ-ＶＰＮに接続した場合に、そのユーザがＬＡＮ上のリソースに接続できることが必要です。２つのルールを作成する必要があります。１つはＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０インターフェースからＬＡＮへのトラフィックを許可するルール、もう１つはＮｅｔＥｘｔｅｎｄｅｒからＬＡＮへのトラフィックを許可するルールです。

補足この手順では、アクセスルールウィザードを使用してルールを作成します。ファイアウォール＞アクセスルールページの一番下にある追加を選択すると、ルールを手動で作成できます。ＳＳＬ-ＶＰＮＸ０インターフェースからＬＡＮへのアクセスを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページで、を選択します。 2. ＳｏｎｉｃＷＡＬＬネットワークアクセスルールウィザードにようこそページで、次へを選択します。 3. ステップ１アクセスルールページで、公開サーバルールを選択します。次へを選択します。 4. ステップ２公開サーバページで、以下の項目を選択し、次へを選択します。サービスＷｅｂ（ＨＴＴＰ）サーバＩＰアドレスＤＭＺ範囲内のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０ＩＰアドレス、既定では１0.1.1.200 送信先インターフェースＤＭＺ

(36)

5. ステップ３アクセスルールアクションページで、以下のように設定します。「次へ」を選択します。 6. ステップ４アクセスルール送信元インターフェースとアドレスページで以下の項目を選択し、次へを選択します。このルールのアクションを選択する許可ＴＣＰ接続無動作時タイムアウト３０分インターフェースＤＭＺ開始ＩＰアドレスＤＭＺ範囲内のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス。例１０.１.１.２００終了ＩＰアドレスＤＭＺ範囲内のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス。例１０.１.１.２００

(37)

7. ステップ５アクセスルール送信先インターフェースとアドレスページで以下の項目を選択し、次へを選択します。 8. ステップ６アクセスルールを適用する時間帯ページで、ＳＳＬ-ＶＰＮクライアントがＬＡＮにアクセスできる時間帯を制限する必要がある場合以外は、動作時間を常にルールを適用するのままにします。 9. 完了しましたページで適用を選択すると、アクセスルールが作成されます。ＮｅｔＥｘｔｅｎｄｅｒからＬＡＮへのアクセスを作成するには、以下の手順を実行します。 1. ファイアウォール＞アクセスルールページで、を選択します。 2. ＳｏｎｉｃＷＡＬＬネットワークアクセスルールウィザードにようこそページで、次へを選択します。 3. ステップ１アクセスルールタイプページで、一般的なルールを選択します。次へを選択します。 4. ステップ２アクセスルールサービスページで、Ａｎｙを選択します。次へを選択します。 5. ステップ３アクセスルールアクションページで、以下のように設定します。インターフェースＬＡＮ開始ＩＰアドレス * 終了ＩＰアドレス空白のままにします。このルールのアクションを選択する許可

(38)

「次へ」を選択します。 6. ステップ４アクセスルール送信元インターフェースとアドレスページで、以下の項目を選択し、次へを選択します。「次へ」を選択します。 7. ステップ５アクセスルール送信先インターフェースとアドレスページで以下の項目を選択し、次へを選択します。 8. ステップ６アクセスルールを適用する時間帯ページで、ＳＳＬ-ＶＰＮクライアントがＬＡＮにアクセスできる時間帯を制限する必要がある場合以外は、動作時間を常にルールを適用するのままにします。 9. 完了しましたページで適用を選択すると、アクセスルールが作成されます。ステップに進むＴＣＰ接続無動作時タイムアウト 30 分インターフェースＤＭＺ開始ＩＰアドレスＤＭＺ範囲内のＮｅｔＥｘｔｅｎｄｅｒ範囲の開始アドレス。例１０.１.1.２２０終了ＩＰアドレスＤＭＺ範囲内のＮｅｔＥｘｔｅｎｄｅｒ範囲の終了アドレス。例１０.１.1.２５０インターフェースＬＡＮ開始ＩＰアドレス * 終了ＩＰアドレス空白のままにします。 7

(39)

シナリオＢ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＷＡＮ −＞ＤＭＺ接続の許可

以下の手順は、ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄを実行しているＳｏｎｉｃＷＡＬＬＵＴＭ装置にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を接続する場合に実行します。ＳｏｎｉｃＷＡＬＬＵＴＭ装置でＳｏｎｉｃＯＳＥｎｈａｎｃｅｄを実行している場合は、 19 ページ「シナリオＡ：ＳｏｎｉｃＯＳＳｔａｎｄａｒｄにおけるＷＡＮ −＞ＤＭＺ接続の許可」を参照してください。ＨＴＴＰＳトラフィックについて公開サーバアクセスルールを作成するには、以下の手順を実行します。

補足ＨＴＴＰまたはＨＴＴＰＳを内部サーバにフォーワーディングしていて、公開 IP アドレスが 1 つの場合は、既存のサーバまたはＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置が、同じ IP アドレスとポート番号の組み合わせを同時に使用することはできないので、どちらか一方には異なるポートを選択する必要があります。 1. ファイアウォール＞アクセスルールページを選択します。 2. を選択します。 3. ＳｏｎｉｃＷＡＬＬ公開サーバウィザードにようこそページで、次へを選択します。 4. ステップ１アクセスルールページで、以下の項目を選択します。サービスグループを追加ダイアログボックスが表示されます。サーバタイプその他サービス新しいグループを作成

(40)

5. サービスグループを追加ダイアログボックスで、ＨＴＴＰとＨＴＴＰＳ両方にサービスグループを作成します。 • サービス名を入力します。 • ＨＴＴＰとＨＴＴＰＳ両方を選択し、を選択します。 • ＨＴＴＰとＨＴＴＰＳ両方が右の欄にあるのを確認したら、ＯＫを選択します。 6. ステップ２プライベートネットワーク設定ページで、以下の設定をします。「次へ」を選択します。サーバ名ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の名前サーバプライベートＩＰアドレスＤＭＺ範囲内のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のＸ０ＩＰアドレス、既定では１0.１.1.200 サーバコメントサーバの簡単な説明

(41)

7. ステップ３サーバ公開情報ページで既定値のＩＰアドレスまたは許可された公開ＩＰ範囲のＩＰアドレスを入力します。

補足既定値のＩＰアドレスは、ＳｏｎｉｃＷＡＬＬＵＴＭ装置のＷＡＮ IＰアドレスです。既定のＩＰアドレスを使用する場合、このＩＰアドレスへのＨＴＴＰトラフィックとＨＴＴＰＳトラフィックはすべてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００を通るようになります。「次へ」を選択します。 8. ステップ４公開サーバ設定概要ページで公開サーバの作成を実行する全ての設定手順が表示されます。ＷＡＮからＤＭＺ上のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４000 にアクセスを許可する設定を作成するため適用を選択します。

シナリオＢ：ＳｏｎｉｃＯＳＥｎｈａｎｃｅｄにおけるＤＭＺ −＞ＬＡＮ接続の許可

ユーザがＳＳＬ-ＶＰＮに接続した場合に、そのユーザがＬＡＮ上のリソースに接続できることが必要です。 1. 管理インターフェースから、ネットワーク＞アドレスオブジェクトページを開きます。 2. そのページ下部、アドレスオブジェクトテーブルの下にあるを選択します。

(42)

3. オブジェクトの追加ダイアログボックスで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレスに対するアドレスオブジェクトを作成します。ＯＫを選択してオブジェクトを作成します。 4. 再度を選択してＮｅｔＥｘｔｅｎｄｅｒ範囲のアドレスオブジェクトを作成します。 5. アドレスオブジェクトの追加ダイアログボックスで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレス用のアドレスオブジェクトを作成します。ＯＫを選択してオブジェクトを作成します。 6. ネットワーク＞アドレスオブジェクトページの中ほど、アドレスグループテーブルの下にある、を選択します。名前ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００の名前を入力します。ゾーンの割り当てＤＭＺ種類ホストＩＰアドレスＤＭＺアドレス範囲のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレス。例１０.１.１.２００名前ＮｅｔＥｘｔｅｎｄｅｒの名前を入力します。ゾーンの割り当てＤＭＺ種類範囲開始ＩＰアドレス既存のＤＭＺＩＰアドレス範囲のＮｅｔＥｘｔｅｎｄｅｒ開始ＩＰアドレス。例１０.１.１.２２０。終了ＩＰアドレス既存のＤＭＺＩＰアドレス範囲のＮｅｔＥｘｔｅｎｄｅｒ終了ＩＰアドレス。例１０.１.１.２5０。

(43)

7. アドレスオブジェクトグループの追加ダイアログボックスで、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ４０００のＸ０インターフェースＩＰアドレスとＮｅｔＥｘｔｅｎｄｅｒＩＰ範囲用のグループを１つ作成します。 • グループの名前を入力します。 • 左の列で、ステップ１ ∼ ５で作成した２つのグループを選択し、を選択します。 • 両方のオブジェクトが右の列に表示されたら、ＯＫを選択してグループを作成します。 8. 管理インターフェースで、ファイアウォール＞アクセスルールページに移動します。 9. ファイアウォール＞アクセスルールページの一番下にある、を選択します。

SonicWALL SSL-VPN 4000 導入ガイド

ＳｏｎｉｃＷＡＬＬ セキュリティ装置