SonicWALL SSL-VPN 管理者ガイド

(1)

C OM PR E H E N S I V E IN T E R NE T S E C UR I T Y™

ＳｏｎｉｃＷＡＬＬセキュリティ装置

SonicWALL SSL-VPN

管理者ガイド

(2)

本書について. . . v 本書の構成 . . . v 本書の表記について . . . vi ＳｏｎｉｃＷＡＬＬテクニカルサポート . . . vii 製品とサービスに関するお問い合わせ . . . vii ＳｏｎｉｃＷＡＬＬ管理インターフェース . . . .viii 管理インターフェースのナビゲート . . . ix 状況バー . . . ix 変更の適用 . . . ix テーブルのナビゲート . . . x 管理インターフェースの共通アイコン. . . xi ヘルプ . . . xi ログアウト . . . xi

ＳＳＬ-ＶＰＮの概要. . . 1

ＳＳＬ-ＶＰＮの概要. . . 2 暗号化の概要 . . . 2 ＳＳＬハンドシェークプロシージャ . . . 2 仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ. . . 3 ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮの主要な概念 . . . 4 ポータルの概要 . . . 4 レイアウトの概要 . . . 4 ドメインの概要 . . . 4 Ｏｎｅ－Ａｒｍアプローチ . . . 5 ＮｅｔＥｘｔｅｎｄｅｒの概要. . . 5 ＤＮＳの概要 . . . 6 ネットワークルートの概要 . . . 6 配備のガイドライン . . . 7 サポートするユーザ接続数. . . 7 リソースタイプのサポート . . . 7 ＳｏｎｉｃＷＡＬＬ製品との統合. . . 7 ３つのアプローチ. . . 8 ＮｅｔＥｘｔｅｎｄｅｒの概念. . . 8 ファイル共有 . . . 8 ネットワークリソース . . . 9 リモートデスクトッププロトコル . . . 10 アプリケーションプロトコル. . . 10

基本システムエンティティの設定. . . 11

ブラウザ要件. . . 12 ウェブ管理インターフェースの概要 . . . 13 ウェブインターフェースのレイアウト . . . 15 状況環境の概要 . . . 15 システム情報 . . . 17 最近の警告 . . . 17

(3)

イベントログの概要 . . . 19 ログ設定の概要 . . . 21 使用中のユーザ数の概要 . . . 23 時刻と日付の設定. . . 24 ソフトウェアとシステムの使用の設定. . . 25 バックアップ設定ファイルのエクスポート . . . 25 設定ファイルのインポート . . . 26 設定の保存. . . 27 変更後の設定の自動保存. . . 27 設定ファイルの暗号化. . . 27 証明書の管理 . . . 28 証明書署名リクエストの生成 . . . 28 証明書のインポート . . . 29 監視の概要. . . 30 個別ロゴの設定 . . . 32 診断の実行. . . 32

ネットワーク設定の構成 . . . .35

基本ネットワーク管理タスク . . . 36 ネットワークインターフェースの設定 . . . 36 ＤＮＳ設定の構成 . . . 38 装置のデフォルトルートの設定 . . . 39 装置の静的ルートの設定. . . 40 ホスト解決の設定 . . . 41 ネットワークオブジェクトの設定. . . 43 ＮｅｔＥｘｔｅｎｄｅｒの設定 . . . 46

ユーザアクセスポリシーとグループアクセスポリシーの設定 . . . .49

アクセスポリシーの概念. . . 50 グループの設定 . . . 50 新規グループの追加 . . . 50 グループの削除. . . 51 グループの編集. . . 51 グループポリシーの編集 . . . 52 グループブックマークの設定 . . . 54 ＬＤＡＰ認証ドメインのグループ設定 . . . 56 ＬＤＡＰ属性の例 . . . 59 ＬＤＡＰ属性情報. . . 59 ＬＤＡＰユーザおよび属性の例. . . 59 ＬＤＡＰサーバの問い合わせ . . . 60 アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設定 . . . 60 ユーザの設定 . . . 61 新規ユーザの追加 . . . 61 ユーザの削除 . . . 63 ユーザの編集 . . . 63 ユーザポリシーの編集 . . . 64 ユーザブックマークの編集 . . . 68 ログインポリシーの設定 . . . 70 グローバル設定 . . . 74 グローバル設定の編集 . . . 74 グローバルポリシーの編集 . . . 75

(4)

-ポータルレイアウトとドメインの設定. . . 79

ポータルレイアウト . . . 80 ポータルレイアウト環境の表示 . . . 81 ポータルレイアウトの設定 . . . 82 認証ドメインの概要 . . . 86 ローカルユーザデータベース認証の設定 . . . 87 ＲＡＤＩＵＳ認証の設定 . . . 88 ＮＴドメイン認証の設定 . . . 89 ＬＤＡＰ認証の設定 . . . 90 アクティブディレクトリ認証の設定 . . . 91 アクティブディレクトリのトラブルシューティング. . . 92 ドメイン設定テーブル . . . 92 ドメインの削除 . . . 92

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のサードパーティファイアウォール用設定 . . . . 93

ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と共に配備するための設定 . . . 93 準備 . . . 93 方法１　ＬＡＮインターフェース上にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を配備する. . . 94 方法２　ＤＭＺインターフェース上にＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を配備する . . . 96 Ｊｕｎｉｐｅｒ . . . 99 ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ . . . 99 ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ. . . 100 ＮｅｔｇｅａｒＦＶＳ３１８ . . . 101 ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬの設定 . . . 103 ＣｈｅｃｋｐｏｉｎｔＡＩＲ５５ . . . 104 ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮとＣｈｅｃｋＰｏｉｎｔＡＩＲ５５を連携させる . . . 104 静的ルート . . . 105 ＡＲＰ . . . 105

索引 . . . 107

(5)

(6)

本書の使い方

本書について

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイドをご利用いただき、ありがとうございます。本書では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に合わせてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮを正常に起動、設定、管理するために必要な情報について説明します。

補足　本書の最新バージョンと、その他のＳｏｎｉｃＷＡＬＬ製品、およびサービスのマニュアルについては、〈http://www.sonicwall.com/japan/products/documentation.html〉を参照してください。

本書の構成

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者ガイドは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮウェブ管理インターフェースの構造に従って以下の章から構成されています。

第１章、ＳＳＬ-ＶＰＮの概要

この章では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の機能と、ＳＳＬ-ＶＰＮ技術の概要について説明します。

第２章、基本システムエンティティの設定

この章では、以下のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の操作について説明します。 • システム状況情報の管理 • ＳｏｎｉｃＷＡＬＬ装置の登録 • ＳｏｎｉｃＷＡＬＬセキュリティサービスライセンスのアクティブ化と管理 • ＳｏｎｉｃＷＡＬＬ装置のローカル管理オプションとリモート管理オプションの設定 • ファームウェアバージョンとプリファレンスの管理 • 個別ロゴの設定 • 証明書のインポート • Ｐｉｎｇ診断

第３章、ＳＳＬ-ＶＰＮネットワークの設定

この章では、ネットワーク環境に合わせたＳｏｎｉｃＷＡＬＬ装置の設定について説明します。ＳｏｎｉｃＷＡＬＬ管理インターフェースのネットワークセクションに含まれている機能は、以下のとおりです。 • インターフェース－機器のネットワークインターフェースを設定する • ＤＮＳ－機器のホスト名、使用するＤＮＳ／ＷＩＮＳサーバを設定する • ルート－機器のデフォルトゲートウェイや、その他の静的ルートを設定する • ホスト解決－内部の名前解決のためのホスト名とＩＰアドレス情報を設定する • ネットワークオブジェクト－ＨＴＴＰサービス、ＦＴＰサービス、ＲＤＰサービス、ＳＳＨサービス、ファイル共有などのネットワークリソースを表す再利用可能なネットワークオブジェクトを作成する

(7)

第４章、ユーザアクセスポリシーとグループアクセスポリシーの設定

この章では、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のアクセスポリシーの設定について説明します。また、ユーザ／グループ／グローバルレベルのブックマークの作成について説明します。

第５章、ポータルレイアウトとドメインの設定

この章では、ポータルレイアウトとドメインの設定について説明します。

本書の表記について

本書の表記規則は以下のとおりです。

本書で使用されているアイコン

これらの専用メッセージは、注目すべき情報があることを示すものです。すぐに見分けられるように記号が付いています。

S

警告　装置のパフォーマンスに影響する機能、セキュリティ機能、または発生する可能性のあるＳｏｎｉｃＷＡＬＬの問題について警告する重要な情報

9

ヒント　ＳｏｎｉｃＷＡＬＬのセキュリティ機能と設定についての役立つ情報

補足　特に注意を必要とする機能についての重要な情報

Â

参照　付属ガイドやその他の資料に記載されている関連情報の参照アドバイス表記規則使い方太字ＳｏｎｉｃＷＡＬＬ装置管理インターフェースで選択できる項目を強調表示する斜体フィールドに入力する値を強調表示する。例えば、 "ＩＰアドレスフィールドに１９２.１６８.１６８.１６８と入力します"となるメニュー項目＞メニュー項目複数のステップからなる管理インターフェースのメニュー選択項目を示す。例えば、セキュリティサービス＞コンテンツフィルタは、セキュリティサービスを選択してから、コンテンツフィルタを選択することを意味する

(8)

ＳｏｎｉｃＷＡＬＬテクニカルサポート

テクニカルサポートへのご質問については、まずＳｏｎｉｃＷＡＬＬのウェブサイト〈http://www.sonicwall.com/support/support.html〉を参照してください。ウェブベースのリソースで、ほとんどの技術問題は解決することができます。解決できない場合は、ＳｏｎｉｃＷＡＬＬテクニカルサポートにお問い合わせください。お電話でのお問い合わせ先は、以下のとおりです。

北米電話サポート

米国 / カナダ－８８８.７７７.１４７６または＋１４０８.７５２.７８１９

国際電話サポート

オーストラリア－＋１８００.３５.１６４２オーストリア－＋４３（０）８２０.４００.１０５ＥＭＥＡ－＋３１（０）４１１.６１７.８１０フランス－＋３３（０）１.４９３３.７４１４ドイツ－＋４９（０）１８０５.０８００.２２香港－＋１.８００.９３.０９９７インド－＋８０２６５５６８２８イタリア－＋３９.０２.７５４１.９８０３日本－＋８１（０）３.５４６０.５３５６ニュージーランド－＋０８００.４４６４８９シンガポール－＋８００.１１０.１４４１スペイン－＋３４（０）９１３７.５３０３５スイス－＋４１.１.３０８.３.９７７英国－＋４４（０）１３４４.６６８.４８４

補足　テクニカルサポートの最新の電話番号については、〈http://www.sonicwall.com/support/ contact.html〉を参照してください。

製品とサービスに関するお問い合わせ

SonicWALL 製品とサービスの詳細については、 SonicWALL 販売代理店またはゴールドパートナー〈http:// www.sonicwall.com/japan/corporate_info/distributors.html〉までお問い合わせください。

(9)

ＳｏｎｉｃＷＡＬＬ管理インターフェース

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のウェブベース管理インターフェースは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を設定するための使いやすいグラフィックインターフェースです。以下に、管理インターフェースの主なオブジェクトについて説明します。

(10)

管理インターフェースのナビゲート

ＳｏｎｉｃＷＡＬＬ管理インターフェースのナビゲートには、ナビゲーションバー（ブラウザウィンドウの左側）のメニューボタンの階層が含まれます。メニューボタンを選択すると、関連する管理機能がナビゲーションバーにサブメニュー項目として表示されます。サブメニューページにナビゲートするには、リンクを選択します。メニューボタンを選択すると、最初のサブメニュー項目ページが表示されます。最初のサブメニューページは、メニューボタンを選択すると自動的に表示されます。例えば、ネットワークボタンを選択すると、ネットワーク＞設定ページが表示されます。

状況バー

管理インターフェースウィンドウの一番下の状況バーには、ＳｏｎｉｃＷＡＬＬ管理インターフェースで実行されたアクションの状況が表示されます。

変更の適用

ＳｏｎｉｃＷＡＬＬ管理インターフェースの右上角の適用ボタンを選択すると、そのページで行なった設定変更が保存されます。

(11)

設定が管理インターフェースの中の２次ウィンドウにある場合は、ＯＫボタンを選択します。これで、その設定はＳｏｎｉｃＷＡＬＬ装置に自動的に適用されます。

テーブルのナビゲート

エントリの数が多い管理インターフェースのテーブルをナビゲートするには、テーブル上部のナビゲーションボタンを使います。ナビゲーションボタンには以下のものがあります。検索フィールド範囲リスト検索ボタン除外ボタン リセットボタン 表示するページリスト ナビゲーションボタン説明検索範囲リストで選択した範囲に基づき、指定した設定を含むログを検索できる。範囲には、時間、優先順位、送信元、送信先、およびユーザがある。検索結果にリストされる結果の順序は、選択した範囲によって異なる除外検索条件に一致するログ以外のログエントリを表示できる表示するページエントリの数が多いために複数のページが表示される場合に、ページを

(12)

基準リストドロップダウンリストボックスで選択する範囲に基づいてテーブルページも検索できます。

管理インターフェースの共通アイコン

以下に、ＳｏｎｉｃＷＡＬＬ管理インターフェースで使用される共通アイコンの機能について説明します。編集アイコンを選択すると、設定を編集するためのウィンドウが表示されます。削除アイコンを選択すると、テーブルエントリが削除されます。コメントアイコンの上にポインタを移動すると、コメントフィールドエントリのテキストが表示されます。

ヘルプ

各ＳｏｎｉｃＷＡＬＬ装置では、管理インターフェースからウェブベースのオンラインヘルプを利用することができます。各ページの右上角の疑問符？ボタンを選択すると、そのページに対応する状況に応じたヘルプが表示されます。

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のオンラインヘルプにアクセスするには、インターネットとの接続が確立されている必要があります。

ログアウト

メニューバーの一番下のログアウトボタンを選択すると、管理インターフェースセッションが終了し、ブラウザセッションが縮小されます。

(13)

(14)

ＳＳＬ-ＶＰＮの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、リモート社員やモバイル社員のための単純、安全かつクライアント不要のリモートネットワークアクセスソリューションおよびリモートアプリケーションアクセスソリューションを実現します。クライアント不要のため、 " ファット " クライアントを事前にインストールしなくても接続を使用できます。ユーザはどこにいても、標準のウェブブラウザを通じて、会社のローカルエリアネットワーク（ＬＡＮ）上にある電子メールファイル、イントラネットサイト、アプリケーション、その他のリソースに簡単かつ安全にアクセスできます。この章には以下のセクションが含まれています。 • 2 ページ「ＳＳＬ-ＶＰＮの概要」 • 2 ページ「暗号化の概要」 • 2 ページ「ＳＳＬハンドシェークプロシージャ」 • 3 ページ「仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ」 • 4 ページ「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮの主要な概念」 • 7 ページ「配備のガイドライン」

(15)

ＳＳＬ-ＶＰＮの概要

仮想プライベートネットワーク（ＶＰＮ）を使用すると、公共のネットワークインフラストラクチャ上で安全なエンドツーエンドのプライベートネットワーク接続を確立することができ、通信費用を節減したり、組織内のユーザとサイトの間にプライベートで安全な接続を実現したりできます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置はセキュアソケットレイヤ（ＳＳＬ）ＶＰＮの機能を備えており、それを使用するための特別機能ライセンス費用も必要ないため、並列的なリモートアクセスインフラストラクチャを配備するための費用効果の高い代替法となります。

暗号化の概要

暗号化とは、データに符号化またはスクランブル処理を施して、不正なユーザがデータを読み取れないようにする機能です。暗号化は、インターネット経由でプライベートな通信を行うための保護された手段です。公開鍵暗号化（ＰＫＥ）と呼ばれる特殊な暗号化では、公開鍵と私有鍵を使用してデータを暗号化および復号化します。公開鍵暗号化では、ウェブサイトなどの当事者が公開鍵と私有鍵を生成します。保護されているウェブサーバは、ウェブサイトにアクセスするユーザに公開鍵を送信します。ユーザのウェブブラウザはこの公開鍵を使用して、対応する私有鍵によって暗号化されたデータを復号化します。さらに、ユーザのウェブブラウザはこの公開鍵を使用してデータを透過的に暗号化することができ、このデータは保護されたウェブサーバの私有鍵でのみ復号化できます。公開鍵暗号化により、ユーザはウェブサイトの身元をＳＳＬ証明書を通じて確認できます。

ＳＳＬハンドシェークプロシージャ

以下の例は、ユーザとＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアを使用するＳＳＬ-ＶＰＮゲートウェイとの間にＳＳＬセッションを確立するために必要な標準的手順を示しています。 1. ユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置に接続しようとするときには、ユーザのウェブブラウザが装置に対して暗号化情報（ブラウザがサポートしている暗号化の種類など）を送信します。 2. 装置はユーザに対して、自身の暗号化情報（公開暗号鍵を含んでいるＳＳＬ証明書など）を送信します。 3. ウェブブラウザはそのＳＳＬ証明書が示す認証局に基づいて、ＳＳＬ証明書の正当性を確認します。 4. その後、ウェブブラウザはプリマスタ暗号化鍵を生成し、そのプリマスタ鍵をＳＳＬ証明書内の公開鍵で暗号化し、暗号化済みのプリマスタ鍵をＳＳＬ-ＶＰＮゲートウェイに送信します。 5. ＳＳＬ-ＶＰＮゲートウェイはこのプリマスタ鍵を使用してマスタ鍵を作成し、新しいマスタ鍵をユーザのウェブブラウザに送信します。 6. ウェブブラウザとＳＳＬ-ＶＰＮゲートウェイは、このマスタ鍵と互いに同意した暗号化アルゴリズムを使用して、ＳＳＬ接続を確立します。この時点で、ユーザとＳＳＬ-ＶＰＮゲートウェイは同じ暗号化鍵を使用してデータの暗号化と復号化を行うようになります。これは対称暗号化と呼ばれます。 7. ＳＳＬ接続が確立されると、ＳＳＬ-ＶＰＮゲートウェイはウェブブラウザにＳＳＬ-ＶＰＮゲートウェイログインページを暗号化して送信します。 8. ユーザは自分のユーザ名、パスワード、ドメイン名を送信します。 9. ユーザのドメイン名をＲＡＤＩＵＳサーバ、ＬＤＡＰサーバ、ＮＴドメインサーバ、またはアクティブディレ

(16)

10. 認証された場合、ユーザはＳＳＬ-ＶＰＮポータルにアクセスできるようになります。

仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ

セキュアソケットレイヤベースの仮想プライベートネットワーク（ＳＳＬ-ＶＰＮ）では、安全なＳＳＬ接続を通じて、アプリケーションやプライベートなネットワークリソースにリモートからアクセスすることができます。ＳＳＬ-ＶＰＮを使用すると、モバイル社員やビジネスパートナーや顧客を会社のエクストラネットあるいはプライベートＬＡＮ上にあるファイルやアプリケーションにアクセスさせることができます。ＳＳＬ-ＶＰＮプロトコルはクライアント不要とされていますが、一般的なＳＳＬ-ＶＰＮポータルはＳＳＬ-ＶＰＮポータルから透過的にダウンロードされるウェブコンポーネント、Ｊａｖａコンポーネント、ＡｃｔｉｖｅＸコンポーネントを組み合わせたものなので、ユーザはＶＰＮクライアントアプリケーションを手動でインストールして設定しなくてもリモートネットワークに接続できます。さらにＳＳＬ-ＶＰＮでは、ユーザがウィンドウズ、Ｕｎｉｘ、Ｌｉｎｕｘなど多様なＰＣから接続できます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置ソフトウェアは、エンドツーエンドのＳＳＬ-ＶＰＮソリューションを実現します。このソフトウェアには、ＳＳＬ-ＶＰＮユーザー、アクセスポリシー、認証方式、ネットワークリソースに関するユーザブックマーク、システム設定などを設定するためのウェブベースの管理インターフェースが含まれています。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアにより、ユーザはファイルのアクセス、更新、アップロード、ダウンロードができるほか、デスクトップマシンにインストールされている（またはアプリケーションサーバ上でホストされている）リモートアプリケーションを使用できるようになります。さらにこのプラットフォームは、安全なウェブベースのＦＴＰアクセスや、ネットワークコンピュータに似たファイル共有インターフェース、ＳＳＨおよびＴｅｌｎｅｔのエミュレーション、ＶＮＣおよびＲＤＰのサポート、ＷｅｂおよびＨＴＴＰＳのプロキシ転送をサポートしています。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのＮｅｔＥｘｔｅｎｄｅｒ機能は、社内リソースへの完全なネットワークアクセスを実現します。このＡｃｔｉｖｅＸコントロールを使用すると、エンドユーザは複雑なソフトウェアのインストールや設定をせずにリモートネットワークに接続できます。このクライアントは、リモートネットワークのあらゆる種類のデータにアクセスするための保護された手段です。

(17)

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮの主要な概念

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を使用する際に関係してくる主要な概念を次に示します。 • 4 ページ「ポータルの概要」 • 4 ページ「レイアウトの概要」 • 4 ページ「ドメインの概要」 • 5 ページ「Ｏｎｅ－Ａｒｍアプローチ」 • 5 ページ「ＮｅｔＥｘｔｅｎｄｅｒの概要」 • 6 ページ「ＤＮＳの概要」 • 6 ページ「ネットワークルートの概要」

ポータルの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置には仮想オフィスというメカニズムがあります。これはシステムソフトウェア内のポータルであり、ここで組織の内部リソースへの一連のリンクを設定することができます（これにより、別の環境にアクセスしやすくなります）。ポータルとは、ＳＳＬ-ＶＰＮユーザが対話的に使用するインタフェースです。ＳＳＬ-ＶＰＮを通じてリモートアクセスを実現しようとするネットワークコンポーネント（たとえばＮｅｔＥｘｔｅｎｄｅｒ、ファイル共有、ネットワークリソースなど）は、ポータルを介して提供することになります。ポータルを介してユーザに提供されるコンポーネントは、ポータルのレイアウトを定義することでカスタマイズできます。ポータルをカスタマイズするには、レイアウトと呼ばれる特殊なテンプレートを使用します。ポータルの設定情報については、 82 ページ「ポータルレイアウトの設定」を参照してください。

レイアウトの概要

レイアウトとは、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮセッションサイト内での環境の表示方法を設定するためのテンプレートです。レイアウトでは、サイトタイトル、ポータルタイトル、バナータイトル、バナーメッセージを設定できます。また、仮想ホスト／ドメイン名を設定したり、既定ポータルのＵＲＬを作成したりすることもできます。レイアウトの設定情報については、 82 ページ「ポータルレイアウトの設定」を参照してください。さらに、レイアウトでは以下のことを設定できます。 • カスタマイズされたログインページを表示する • ログインページにバナーメッセージを表示する • キャッシュ制御のためのＨＴＴＰメタタグを有効にする • ＡｃｔｉｖｅＸキャッシュクリーナを有効にする • 自己署名証明書インポートのリンクを表示する

ドメインの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ環境のドメインとは、ＳＳＬ-ＶＰＮ装置のサービス下のネットワークにアクセスしようとするユーザを認証するためのメカニズムです。ドメインの種類としては、ＳＳＬ-ＶＰＮの内部にあるＬｏｃａｌＤｏｍａｉｎと、外部プラットフォームのＮＴ認証、ＬＤＡＰ、ＲＡＤＩＵＳがあります。多くの組織では、１つのドメインを使用するだけで認証機能を十分に実現できますが、大きな組織の場合は、ポータルを通じてアプリケーションにアクセスしようとするユーザの複数のノードやコレクションを扱うために、複数の分散ド

(18)

ば自宅オフィスや売店のようなリモートサイトから仕事をするときに手間がかからずに便利です。ドメインの設定情報については、 4 ページ「ドメインの概要」セクションを参照してください。

Ｏｎｅ－Ａｒｍアプローチ

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、一般的な配備方法では、付随するゲートウェイ機器（たとえばＳｏｎｉｃＷＡＬＬＰＲＯ２０４０）のＤＭＺまたはＯｐｔインターフェイス上で "ｏｎｅ－ａｒｍ" モードで連携しています。ＳＳＬ-ＶＰＮ上のプライマリインタフェース（Ｘ０）は、ゲートウェイデバイス上の使用可能なセグメントに接続されます。暗号化されたユーザセッションが、ゲートウェイを通じてＳＳＬ-ＶＰＮ装置に渡されます（ステップ１）。ＳＳＬ-ＶＰＮがセッションを復号化し、要求されたリソースを判別します。その後、このＳＳＬ-ＶＰＮセッショントラフィックがゲートウェイ装置を通過して（ステップ２）、内部ネットワークリソースに到達します。ゲートウェイを通過する際に、侵入防御、ゲートウェイアンチウィルス、アンチスパイウェア調査などのセキュリティサービスを適切に設定されたゲートウェイ装置によって適用することができます。その後、内部ネットワークリソースは要求されたコンテンツをゲートウェイ経由でＳＳＬ-ＶＰＮ装置に返します（ステップ３）。そこでコンテンツが復号化され、クライアントに返されます。図 1 初期接続のイベントの流れ

ＮｅｔＥｘｔｅｎｄｅｒの概要

ＮｅｔＥｘｔｅｎｄｅｒは、ウィンドウズユーザのための透過的なＳＳＬ-ＶＰＮクライアントであり、透過的にダウンロードされ、会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。このクライアントは、ＡｃｔｉｖｅＸコンポーネントとネゴシエートする仮想インターフェースによって提供されるＩＰレベルのメカニズムとして動作し、ポイントツーポイントプロトコル（ＰＰＰ）アダプタインスタンスを使用します。ＮｅｔＥｘｔｅｎｄｅｒは、このＡｃｔｉｖｅＸコンポーネントがインストールされているかどうかを調べます。ＡｃｔｉｖｅＸ 1. Ｘ０インターフェースがゲートウェイ上の使用可能なセグメントに接続する。暗号化されたセッションがＳＳＬ-ＶＰＮ装置に進む。 2. ＳＳＬ - ＶＰＮトラフィックがゲートウェイを通じて内部ネットワークリソース 3. 内部ネットワークリソースがゲートウェイを通じてＳＳＬ - ＶＰＮ装置にコンテンツを返す。

(19)

トワークへのＮｅｔＥｘｔｅｎｄｅｒトンネルを作成し、そのリモートネットワークを仮想的に結合することです。これにより、ユーザがドライブのマウント、ファイルのアップロードおよびダウンロード、リソースへのアクセスといった処理をローカルネットワークと同様の感覚で行えるようになります。ＮｅｔＥｘｔｅｎｄｅｒのウィンドウズクライアントに関する要件は次のとおりです。 • ウィンドウズ２０００プロフェッショナル、ウィンドウズＸＰホーム／プロフェッショナル、ウィンドウズ２０００サーバ、またはウィンドウズ２００３サーバ。 • インターネットエクスプローラ５.０.１以上。スクリプトを含むＡｃｔｉｖｅＸファイルをダウンロードして実行するにはインターネットエクスプローラが必要です。 • ＮｅｔＥｘｔｅｎｄｅｒをインストールするには管理権限が必要です。ＮｅｔＥｘｔｅｎｄｅｒへの接続の詳細については、『ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮユーザガイド』を参照してください。

ＤＮＳの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアのＤＮＳ設定部分を使用して、ホスト名、ＤＮＳサーバアドレス、ＷＩＮＳサーバアドレスを設定することができます。これにより、デバイスがホスト名をＩＰアドレスへと解決できるようになります。

ネットワークルートの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、データを既定で明示的な宛先（通常は付随するファイアウォールデバイスだが、デフォルトゲートウェイまたはその他のデバイスの場合もある）に送信するように設定できます。これが、その装置のデフォルトルートになります。更に、特定のホストやネットワークに対するルートを、デフォルトゲートウェイ以外に個別に設定することも可能です。

(20)

配備のガイドライン

以下のセクションでは、配備のガイドラインについて詳しく説明します。

サポートするユーザ接続数

一般的な使用シナリオ（たとえば大きなファイルを連続的にダウンロードする場合など）では、パフォーマンスを最適化するために、同時ユーザ接続の数を１００程度に制限することをお勧めします。これは社員数１,０００人までの組織に適した設定ですが、もっと多くの同時接続を扱うこともできます。その他に、使用するアプリケーションの複雑さや大きなファイルの共有なども、パフォーマンスに影響を与える要因になります。

リソースタイプのサポート

以下の表は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置にアクセスするさまざまな方法を詳しく示しています。

ＳｏｎｉｃＷＡＬＬ製品との統合

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置をその他のＳｏｎｉｃＷＡＬＬ製品と統合すると、ＳｏｎｉｃＷＡＬＬＰＲＯ／ＴＺシリーズ製品ラインを補完できます。着信ＨＴＴＰＳトラフィックは、ＳｏｎｉｃＷＡＬＬファイアウォール装置によってＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置へとリダイレクトされます。このトラフィックはＳＳＬ-ＶＰＮ装置で復号化されてファイアウォールに返され、そこで内部ネットワークリソースに到達するための道筋が検討されます。アクセスメカニズムアクセスタイプ標準のウェブブラウザ • ＦＴＰおよびウィンドウズネットワークファイル共有のサポートを備えたファイルおよびファイルシステム • ウェブベースのアプリケーション • マイクロソフトアウトルックウェブアクセスおよびその他のウェブ対応アプリケーション • ＨＴＴＰおよびＨＴＴＰＳのイントラネットＳｏｎｉｃＷＡＬＬＮｅｔＥｘｔｅｎｄｅｒ（ＡｃｔｉｖｅＸクライアント） • 以下のようなあらゆるＴＣＰ／ＩＰベースのアプリケーション • ユーザのラップトップ上のネイティブクライアントを通じた電子メールアクセス（マイクロソフトアウトルック、ロータスノーツなど） • 商用アプリケーションおよび自作アプリケーション • ネットワーク管理者によって許可された柔軟なネットワークアクセスダウンロード可能なＡｃｔｉｖｅＸクライアントまたはＪａｖａクライアント • リモートデスクトップまたはリモートサーバプラットフォームのリモート制御下にある、デスクトップマシン上にインストールされたアプリケーション（またはアプリケーションサーバ上でホストされているアプリケーション） • ターミナルサービス、ＶＮＣ、Ｔｅｌｎｅｔ、ＳＳＨ

(21)

３つのアプローチ

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、保護された内部ネットワークに対するクライアント不要のＩＤベースの安全なリモートアクセスを実現します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮでは、仮想オフィス環境を使用することで、ユーザがプライベートネットワーク全体または個々のコンポーネント（ファイル共有、ウェブサーバ、ＦＴＰサーバ、リモートデスクトップなどに加え、マイクロソフトターミナルサーバ上でホストされている個々のアプリケーションまで対応可能）に対して安全なリモートアクセスを行うことができます。これらの安全なリモートアクセスは、次のコンポーネントによって実現されています。 • ＮｅｔＥｘｔｅｎｄｅｒ • ファイル共有 • ネットワークリソース

ＮｅｔＥｘｔｅｎｄｅｒの概念

ＮｅｔＥｘｔｅｎｄｅｒにより、リモートユーザは保護された内部ネットワークに完全にアクセスできるようになります。これは、従来のＩＰＳｅｃＶＰＮクライアントで実現されていた機能と実質的に同じものですが、ＮｅｔＥｘｔｅｎｄｅｒの場合はクライアントを手動でインストールする必要がありません。その代わりに、ＮｅｔＥｘｔｅｎｄｅｒクライアントがＡｃｔｉｖｅＸコンポーネントとしてリモートユーザのＰＣに自動的にインストールされ、このＡｃｔｉｖｅＸコンポーネントが、内部ネットワーク上の許可されたホストおよびサブネットに対するＳＳＬベースの安全なポイントツーポイントアクセスを実現するための仮想アダプタをインスタンス化します。

ファイル共有

ファイル共有は、ＣＩＦＳ（ＣｏｍｍｏｎＩｎｔｅｒｎｅｔＦｉｌｅＳｙｓｔｅｍ）プロトコルまたはＳＭＢ（ＳｅｒｖｅｒＭｅｓｓａｇｅＢｌｏｃｋ）プロトコルを使用するマイクロソフトファイル共有への安全なウェブインターフェースをリモートユーザに提供します。ファイル共有では、マイクロソフトのネットワークコンピュータやマイネットワークによく似たスタイルのウェブインターフェースが採用されており、適切な権限を持つユーザがネットワーク共有を参照して、ファイルの名前変更、削除、取得、アップロードを行い、後で参照するためにブックマークを作成することができます。

(22)

ネットワークリソース

ネットワークリソースとは、ＳＳＬ-ＶＰＮを通じてアクセスできる信頼済みネットワークの、より細かいレベルのコンポーネントです。管理者がネットワークリソースを事前定義してユーザまたはグループにブックマークとして割り当てることもできますし、ユーザが自分用のネットワークリソースを定義してブックマークを作成することもできます。ネットワークリソースには以下のリモートアクセス機能が含まれています。属性設定ＨＴＴＰ（ウェブ）内部ネットワーク、またはＳＳＬ-ＶＰＮ装置が到達できるその他のネットワークセグメント（インターネットを含む）上のＨＴＴＰサーバに対するプロキシアクセス。リモートユーザがＨＴＴＰＳを使用してＳＳＬ-ＶＰＮ装置と通信し、ＵＲＬを要求すると、ＳＳＬ-ＶＰＮがそのＵＲＬをＨＴＴＰ経由で取得します。その後、ＵＲＬが必要に応じて変換され、復号化されてリモートユーザに返されます。ＨＴＴＰＳ（セキュアウェブ）内部ネットワーク、またはＳＳＬ-ＶＰＮ装置が到達できるその他のネットワークセグメント（インターネットを含む）上のＨＴＴＰＳサーバに対するプロキシアクセス。Ｔｅｌｎｅｔ（Ｊａｖａ）リモートユーザのウェブブラウザを通じて配信されるＪａｖａベースのＴｅｌｎｅｔクライアント。リモートユーザがアクセス可能なＴｅｌｎｅｔサーバのＩＰアドレスを指定すると、ＳＳＬ-ＶＰＮが目的のサーバへの接続を確立し、ネイティブなＴｅｌｎｅｔを使用して、ＳＳＬ上のユーザとサーバとの通信を代行します。ＳＳＨ（Ｊａｖａ）リモートユーザのウェブブラウザを通じて配信されるＪａｖａベースのＳＳＨクライアント。リモートユーザがアクセス可能なＳＳＨサーバのＩＰアドレスを指定すると、ＳＳＬ-ＶＰＮが目的のサーバへの接続を確立し、ネイティブに暗号化されたＳＳＨを使用して、ＳＳＬ上のユーザとサーバとの通信を代行します。ＦＴＰ（Ｗｅｂ）内部ネットワーク、またはＳＳＬ-ＶＰＮ装置が到達できるその他のネットワークセグメント（インターネットを含む）上のＦＴＰサーバに対するプロキシアクセス。リモートユーザがＨＴＴＰＳを使用してＳＳＬ-ＶＰＮ装置と通信し、ＵＲＬを要求すると、ＳＳＬ-ＶＰＮがそのＵＲＬをＨＴＴＰ経由で取得し、必要に応じて変換し、復号化してリモートユーザに返します。リモートデスクトップリモートデスクトップは、内部ネットワーク上のリモートデスクトッププロトコル（ＲＤＰ）および、仮想ネットワークコンピューティング（ＶＮＣ）対応のワークステーションとサーバに対するアクセスをリモートユーザに提供し、そのコンピュータを実際に操作しているに近い環境を実現します。各種のリモートデスクトッププロトコルの詳細については、以下のセクションを参照してください。アプリケーションアプリケーションとは、デスクトップ全体ではなく特定のアプリケーションに対するＲＤＰセッションのことを指します。これにより、管理者およびユーザがＣＲＭソフトウェアや財務会計ソフトウェアといった個別のアプリケーションへのアクセスを定義することができ、リモートユーザにデスクトップ全体のアクセス権を与えずに済みます。アプリケーションを閉じると、そのセッションも終了します。各種のアプリケーションプロトコルの詳細については、以下のセクションを参照してください。

(23)

リモートデスクトッププロトコル

最近のマイクロソフトのワークステーションやサーバにはリモートアクセスを簡単に実現できるＲＤＰサーバの機能が用意されていますし、簡単に入手してインストールできる無償のＶＮＣサーバオプションもほとんどのオペレーティングシステム用に数多く公開されています。ＲＤＰクライアントやＶＮＣクライアントは、許可されたリモートユーザのウェブブラウザを通じて次のような形式で自動的に配信されます。 • ＲＤＰ４（Ｊａｖａ） - ＲＤＰ４はマイクロソフトのリモートデスクトッププロトコルの初期バージョンであり、Ｊａｖａクライアントとして提供できるのでプラットフォーム互換性が広いという長所があります。ＲＤＰ４は、ＲＤＰ５とは異なり、全画面モードやＲＤＰセッション内の音声に対応していません。 • ＲＤＰ５（ＡｃｔｉｖｅＸ） - ＲＤＰ５はマイクロソフトが現在使用しているバージョンのリモートデスクトッププロトコルであり、セッション音声や全画面モードなど豊富な機能を備えているため、ＡｃｔｉｖｅＸクライアントの形式でしか使用できません。 • ＶＮＣ（Ｊａｖａ） - ＶＮＣはもともとＡＴ＆Ｔによって開発されたものですが、今日ではオープンソースソフトウェアとして広く使われています。さまざまなＶＮＣサーバがありますが、どのＶＮＣサーバもほとんどのワークステーションやサーバにインストールしてリモートアクセスを実現することができます。これらのサーバに接続するためのＶＮＣクライアントは、リモートユーザのウェブブラウザを通じてＪａｖａクライアントとして配信されます。

アプリケーションプロトコル

使用できるアプリケーションプロトコルを以下に示します。ＲＤＰ（Ｊａｖａ） - ＪａｖａベースのＲＤＰ４クライアントを使用してターミナルサーバに接続し、指定のパス（たとえばC:\programfiles\microsoft office\office11\winword.exe）にあるアプリケーションを自動的に呼び出します。ＲＤＰ５（ＡｃｔｉｖｅＸ） - ＡｃｔｉｖｅＸベースのＲＤＰ５クライアントを使用してターミナルサーバに接続し、指定のパス（たとえば C: \ programfiles \ ethereal \ ethereal.exe）にあるアプリケーションを自動的に呼び出します。

(24)

基本システムエンティティの設定

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の設定を始める前に、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理インターフェース環境の一部であるツールを確認することをお勧めします。この章の構成は以下のとおりです。 • 12 ページ「ブラウザ要件」 • 13 ページ「ウェブ管理インターフェースの概要」 • 15 ページ「状況環境の概要」 • 19 ページ「イベントログの概要」 • 23 ページ「使用中のユーザ数の概要」 • 25 ページ「ソフトウェアとシステムの使用の設定」 • 28 ページ「証明書の管理」

(25)

ブラウザ要件

ウェブ管理インターフェースとＳＳＬ-ＶＰＮポータルでは、以下のウェブブラウザがサポートされています。Ｊａｖａは、ＳＳＬ-ＶＰＮポータルの各種機能にのみ必要であり、ウェブ管理インターフェースには必要ありません。表 1 マイクロソフトウィンドウズの設定ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮソフトウェアを設定する場合、管理者は、ＪａｖａＳｃｒｉｐｔ、Ｃｏｏｋｉｅ、およびＳＳＬ対応のウェブブラウザを使う必要があります。ＳＳＬ-ＶＰＮユーザインターフェースには、システム状況、イベントログ、およびログ設定の設定ページが含まれます。属性設定ブラウザ • インターネットエクスプローラ５.０.１以上、Ｍｏｚｉｌｌａ１.ｘ、またはネットスケープ７.０以上 • オペラ７.０以上 • ＦｉｒｅＦｏｘ１.０以上Ｊａｖａ • ＳｕｎＪＲＥ１.３.１以上 • マイクロソフトＪＶＭ５以上アップルマックＯＳＸ • ブラウザ：サファリ１.２以上 • Ｊａｖａ：ＳｕｎＪＲＥ１.１以上Ｕｎｉｘ、Ｌｉｎｕｘ、またはＢＳＤブラウザ：Ｍｏｚｉｌｌａ 1.ｘまたはネットスケープ７.０以上サファリ１.２以上 • Ｊａｖａ：ＳｕｎＪＲＥ１.１以上

(26)

ウェブ管理インターフェースの概要

以下は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のウェブベース管理インターフェースに接続する場合の基本セッションの概要です。管理セッションと基本セットアップタスクの詳細については、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００導入ガイドを参照してください。ＳＳＬ-ＶＰＮのウェブベース管理インターフェースにアクセスするには、以下の手順に従います。 1. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００のＬＡＮ（Ｘ０）ポートにクロスケーブルの片端を接続します。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の管理に使っているコンピュータにケーブルのもう一方の端を接続します。図 2 クロスケーブルによるＸ０ポートと管理ステーションの接続 2. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の管理に使うコンピュータの静的ＩＰアドレスが、１９２.１６８.２００.２０など、１９２.１６８.２００.ｘ／２４サブネットに入るように設定します。コンピュータの静的ＩＰアドレスのセットアップについては、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ２０００導入ガイドを参照してください。

補足　インターネットエクスプローラ５.０.１以上、ネットスケープナビゲータ４.７以上、Ｍｏｚｉｌｌａ１.７以上、Ｆｉｒｅｆｏｘなど、ＪａｖａとＨＴＴＰのアップロードをサポートしているウェブブラウザの使用をお勧めします。 3. ウェブブラウザを開き、場所またはアドレスフィールドに〈https://192.168.200.1〉（既定のＬＡＮ管理ＩＰアドレス）を入力します。 4. セキュリティ警告が表示されます。はいボタンを選択して次に進みます。図 3 ＩＰアドレスのアクセス時に表示されるセキュリティ警告

補足　ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の設定では上記のブラウザの使用が認められていますが、アプリケーションの全スイートを利用するためには、ＪａｖａＳｃｒｉｐｔ、Ｊａｖａ、Ｃｏｏｋｉｅ、ＳＳＬ、およびＡｃｔｉｖｅＸをサポートしているＩＥ５.０.１以上を使う必要があります。

(27)

5. ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理インターフェースが表示されるので、指示に従ってユーザ名とパスワードを入力します。ユーザ名フィールドにａｄｍｉｎを入力し、パスワードフィールドにｐａｓｓｗｏｒｄを入力し、ドメインドロップダウンリストからＬｏｃａｌＤｏｍａｉｎを選び、ログインボタンを選択します。図 4 ログイン画面表示される既定のページは、システム＞状況ページです。このページの詳細については、 15 ページ「状況環境の概要」を参照してください。

補足　環境に最初に表示される既定のページとして仮想オフィスポータルのホームページを入力した場合は、ユーザ権限しかないドメインを選択したことになります。仮想オフィスポータルのホームページからは、管理者の環境にナビゲートできないことに注意してください。管理者の環境にナビゲートするには、ログインページに戻り、管理者権限が割り当てられているユーザ名とパスワードを入力し、再度ログインする必要があります。ドメインは権限に関してはユーザ名と無関係であることに注意してください。ブラウザウィンドウの左側にあるシステム、ネットワーク、ポータル、ＮｅｔＥｘｔｅｎｄｅｒ、ユーザ、ログ、および仮想オフィスの各メニューで、管理設定を構成します。ナビゲーションオプションのいずれかを選択すると、新しいナビゲーションリンクが表示されます。ナビゲーションリンクを選択すると、対応する管理ウィンドウが表示されます。ナビゲーションメニューのオンラインヘルプオプションには、状況に応じたオンラインヘルプが表示されます。管理情報と手順については、オンラインヘルプを参照してください。ナビゲーションメニューの一番下にあるログアウトオプションを選択すると、管理セッションが終了し、認証ウィンドウが再表示されます。ログアウトを選択した場合は、再認証しなければシステムを管理することはできません。

(28)

ウェブインターフェースのレイアウト

以下の表に、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのウェブインターフェースのレイアウトを詳しく説明します。表 2 ＳＳＬ-ＶＰＮ装置のウェブインターフェースのレイアウト

状況環境の概要

状況環境は、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ環境での作業の開始ポイントです。ここに表示される詳細情報から、ご使用のＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置で何が発生しているかを把握することができます。システム＞状況ページには、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置のライセンスとＳｏｎｉｃＷＡＬＬセキュリティサービスのライセンスの管理に役立つ幅広いさまざまな情報とリンクが提供されます。ＳｏｎｉｃＷＡＬＬ装置トップメニューメニューオプションシステム状況装置の状況を確認できる時間時間パラメータを設定できる設定設定のインポート、エクスポート、および保管を行える証明書証明書のインポートまたは生成を行える監視帯域使用、使用中のユーザ数、ＣＰＵ使用率（％）、およびメモリ使用率（％）のグラフを表示できる診断診断のためにＰｉｎｇセッションを実行できる再起動システムを再起動するネットワークインターフェース装置のインターフェースを設定できるＤＮＳドメイン名を解決するように装置を設定できるルートデフォルトルートと静的ルートを設定できるホスト解決ホスト名を解決できるネットワークオブジェクトＩＰアドレスをサービスにバインドするエンティティを作成できるポータルポータルレイアウト認証のためにユーザがＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮにリダイレクトされたときに表示する個別の待ち受けページを作成できるドメインアクセスポリシーを作成できる認証ドメインを作成できる個別ロゴポータルページに組織のロゴを作成できるＮｅｔＥｘｔｅｎｄｅｒクライアントルートＮｅｔＥｘｔｅｎｄｅｒアプリケーションで使うクライアントルートを作成できるクライアントアドレスＮｅｔＥｘｔｅｎｄｅｒアプリケーションで使うクライアントアドレスを作成できるユーザ状況ユーザとグループの状況を確認できるローカルユーザローカルユーザを設定できるローカルグループローカルグループを設定できるログ表示機器で生成済みのＳｙｓｌｏｇエントリを表示できる設定ログ環境の設定を構成できる仮想オフィス仮想オフィスポータルのホームページにアクセスできるオンラインヘルプオンラインヘルプにアクセスできるログアウト装置からログアウトできる

(29)

に関する状況情報が、システムメッセージ、システム情報、ライセンスと登録、最近の警告、およびネットワークインターフェースの６つのセクションに分けて表示されます。図 5 システム＞状況ページシステムメッセージライセンスと登録ネットワークインターフェースシステム情報最近の警告

(30)

システム情報

このセクションには、以下の情報が表示されます。表 3 システム情報

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の登録

インターネット接続を確立したら、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置を登録することをお勧めします。ＳｏｎｉｃＷＡＬＬ装置の登録には、以下のようなメリットがあります。 • ＳｏｎｉｃＯＳファームウェア更新にアクセスできる • ＳｏｎｉｃＷＡＬＬテクニカルサポートが得られる • （ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置と併用する目的で購入したＳｏｎｉｃＷＡＬＬファイアウォールがある場合）ＳｏｎｉｃＷＡＬＬ侵入防御サービス、ＳｏｎｉｃＷＡＬＬゲートウェイアンチウィルス、コンテンツフィルタサービス、およびネットワークアンチウィルスの３０日間無料トライアルを試用できる

登録する前に

SSL-VPN を登録する際、ＤＮＳと時間が正しく設定されていることを確認します。時間の設定は、システム＞時間ページで行いす。ＤＮＳの設定は、ネットワーク＞ＤＮＳページで行います。 SSL-VPN を登録するには、ｍｙＳｏｎｉｃＷＡＬＬアカウントが必要です。新しいｍｙＳｏｎｉｃＷＡＬＬアカウントは、ＳｏｎｉｃＷＡＬＬ管理インターフェースから直接作成できます。

補足　ｍｙＳｏｎｉｃＷＡＬＬ登録情報は、売却したり、他の会社と共有したりされません。

ｍｙＳｏｎｉｃＷＡＬＬでの登録

1. SSL-VPN 管理インターフェースにログインしていない場合は、ユーザ名ａｄｍｉｎと、セットアップウィザードで設定した管理者パスワードを使用してログインします。 2. 管理インターフェースにシステム＞状況ページが表示されない場合は、左側にあるナビゲーションメニューでシステムを選択し、次に状況を選択します。 3. 装置は、ライセンスと登録セクションに表示されるシリアル番号と認証コードを使うことによって〈https://www.mysonicwall.com〉サイトで登録できます。ＳｏｎｉｃＷＡＬＬウェブサイトリンクを選択すると、ｍｙＳｏｎｉｃＷＡＬＬアカウントにアクセスします。装置の登録完了後に認証コードが提供されます。取得した登録コードを下記に入力してください。という見出しの下のフィールドに登録コードを入力し、更新を選択します。図 6 ライセンスと登録

補足　ｍｙＳｏｎｉｃＷＡＬＬアカウントをお持ちでない場合は、〈https://www.mysonicwall.com〉サイトで、アカウントを新規に作成する必要があります。

(32)

イベントログの概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置は、失敗したログイン試行、ＮｅｔＥｘｔｅｎｄｅｒセッション、ログアウトイベントなどのシステムイベントを追跡するためのイベントログを保持します。このログは、ログ＞表示ページに表示したり、利便性やアーカイブのために電子メールアドレスに自動的に送信したりできます。図 7 ログ＞表示ページログはテーブル形式で表示され、列を基準に並べ替えることができます。ＳｏｎｉｃＷＡＬＬ装置は、成功したログインやエクスポートされた設定などのイベントを通知することができます。警告は、電子メールアドレスまたは電子メールページャのいずれかに即時に送信されます。ログエントリには、イベントの日時、およびイベントを説明する簡単なメッセージが含まれます。ログページには、ログメッセージが、並べ替え可能で検索可能なテーブルに表示されます。ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置には、２５０ＫＢのログデータまたは約１,０００個のログメッセージが保管されます。ログファイルがログサイズ制限に達すると、ログは消去され、必要に応じてＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ管理者の電子メールアドレスに送信されます。ログエントリに表示される情報は以下のとおりです。表 4 ログページの列列説明時間タイムスタンプには、ログイベントの日時がＹＹ／ＭＭ／ＤＤ／ＨＨ／ＭＭ／ＳＳ（年／月／日／時間／分／秒）の形式で表示される。時間は２４時間形式で表示される。日時は、システム＞時間ページで設定されたＳＳＬ-ＶＰＮゲートウェイのローカル時間に基づく優先順位イベントに関連付けられた重大度。重大度の有効な値は、緊急、警告、重大、エラー、警告、通告、情報、およびデバッグ送信元送信元のＩＰアドレスは、そのログイベントを生成したユーザまたは管理者のＩＰアドレスを示す。システムエラーなど、送信元のＩＰアドレスが表示されないイベントもある

(33)

送信先送信先のＩＰアドレスは、そのイベントに関連付けられたサーバまたはサービスの名前またはＩＰアドレスを示す。例えば、ユーザがＳＳＬ-ＶＰＮポータルを介してイントラネットのウェブサイトにアクセスした場合、対応するログエントリには、アクセスしたウェブサイトのＩＰアドレスまたは完全修飾ドメイン名（ＦＱＤＮ）が表示されるユーザメッセージが生成されたときに装置にログインしていたユーザの名前メッセージログメッセージのテキスト列説明

(34)

ログ設定の概要

ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、ウェブベースのログ、Ｓｙｓｌｏｇ、および電子メール警告メッセージをサポートしています。また、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮは、イベントログファイルを消去する前にＳＳＬ-ＶＰＮ管理者の電子メールアドレスに送信するように設定することもできます。Ｓｙｓｌｏｇは、システムアクティビティとネットワークアクティビティを記録する業界標準のログプロトコルです。Ｓｙｓｌｏｇメッセージは、ＷＥＬＦ（ＷｅｂＴｒｅｎｄｓＥｎｈａｎｃｅｄＬｏｇＦｏｒｍａｔ）で送信されるので、通常の標準的なファイアウォールやネットワークレポート製品はログファイルを受け取って解釈することができます。Ｓｙｓｌｏｇサービスは、ＵＤＰポート５１４で待機している外部のＳｙｓｌｏｇサーバにＳｙｓｌｏｇメッセージを転送します。図 8 ログ＞設定ページログと警告の設定を構成するには、以下の手順に従います。 1. イベントログの設定を始めるには、左側のナビゲーションメニューのログ＞設定にナビゲートします。 2. 主格Ｓｙｓｌｏｇサーバフィールドに、ＳｙｓｌｏｇサーバのＩＰアドレスまたは完全修飾ドメイン名（ＦＱＤＮ）を入力します。Ｓｙｓｌｏｇログが必要ない場合は、このフィールドを空白のままにしておきます。 3. 予備用または２つ目のＳｙｓｌｏｇサーバがある場合は、そのサーバのＩＰアドレスまたはドメイン名を副格Ｓｙｓｌｏｇサーバフィールドに入力します。 4. 電子メールでイベントログファイルを受け取るには、イベントログの電子メール送信先フィールドに完全な電子メールアドレス（ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ）を入力します。イベントログファイルは、イベントログが消去される前に、指定された電子メールアドレスに送信されます。このフィールドを空白のままにした場合、ログファイルは電子メールで送信されません。 5. 電子メールで警告メッセージを受け取るには、警告の電子メール送信先フィールドに完全な電子メールアドレス（ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ）または電子メールページャアドレスを入力します。警告イベントが発生すると、指定された電子メールアドレスに電子メールが送信されます。警告メッセージを生成するイベントのタイプを、ログ＞設定ページのログと警告の種別領域で定義します。このフィールドを空白のままにした場合、警告メッセージは電子メールで送信されません。

(35)

6. ログファイルまたは警告メッセージを電子メールアドレスに送信するには、メールサーバフィールドにメールサーバのＤＮＳ名またはＩＰアドレスを入力します。このフィールドを空白のままにした場合、ログファイルと警告メッセージは電子メールで送信されません。 7. ログファイルを消去して管理者の電子メールアドレスに送信する時期をイベントログの送信フィールドで指定します。オプション " 一杯のとき " を選択した場合、イベントログは、ログファイルが一杯になったときに電子メールアドレスに送信され、送信後に消去されます。 "１日ごと " または "１週間ごと " オプションを選択した場合、ログファイルは１日に１回または１週間に１回電子メールアドレスに送信されて削除されます。 "１日ごと " または "１週間ごと " を選択した場合は、時間前にログファイルが一杯になった場合もログファイルは消去されます。 8. ログ＞表示ページで、ログの消去ボタンを選択して、現在のイベントログを削除することができます。イベントログは電子メールで送信されません。 9. ログ＞設定ページのログと警告の種別領域でＳｙｓｌｏｇ、イベントログ、または警告メッセージとして識別されるログメッセージの重大度を定義します。ログのカテゴリは、重大度の高いものから低いものまで設定されています。特定のログサービスに対してカテゴリを選択すると、そのログカテゴリとそれより重大度の高いイベントがログに記録されます。例えば、イベントログサービスに対してエラーラジオボタンを選択すると、緊急、警告、重大、およびエラーのすべてのイベントが内部のログファイルに記録されます。 10. 適用を選択して構成の設定を更新します。

ログテーブルのエントリのナビゲートと並べ替え

ログドロップダウンリストでは、多数のログイベントを簡単に閲覧できるようにページ付けがされています。これらのログイベントにナビゲートするには、以下の表で説明するファシリティを使用します。表 5 ログテーブルのナビゲーションファシリティナビゲーションボタン説明検索範囲リストで選択した範囲に基づき、指定した設定を含むログを検索できます。範囲には、時間、優先順位、送信元、送信先、およびユーザがあります。検索結果にリストされる結果の順序は、選択した範囲のタイプによって異なります。除外検索条件に一致したログ以外のすべてのログエントリを表示します。表示するページエントリの数が多いために複数のページが表示される場合に、ページを指定してそのページのログエントリを表示できます。ログエントリのページが 1 ページだけの場合、このファシリティは表示されません。リセット検索結果をリセットして、すべてのログを表示します。

SonicWALL SSL-VPN 管理者ガイド

ＳｏｎｉｃＷＡＬＬセキュリティ装置