SonicWALL SRA SSL VPN 5.5 管理者ガイド

㪪㫆㫅㫀㪺㪮㪘㪣㪣㩷䉶䉨䊠䉝㩷䊥䊝䊷䊃㩷䉝䉪䉶䉴ⵝ⟎
㪪㫆㫅㫀㪺㪮㪘㪣㪣㩷㪪㪩㪘㩷㪪㪪㪣㩷㪭㪧㪥㩷㪌㪅㪌
▤ℂ⠪䉧䉟䊄
SonicWALL SRA SSL VPN 5.5 管理者ガイド
SonicWALL, Inc
2001 Logic Drive
San Jose, CA 95124-3452
電話： +1.408.745.9600
FAX ： +1.408.745.9300
電子メール： [email protected]
SonicWALL SRA 5.5 管理者ガイド
1
著作権表示
（ｃ）２０１２ＳｏｎｉｃＷＡＬＬ, Ｉｎｃ.
Ａｌｌｒｉｇｈｔｓｒｅｓｅｒｖｅｄ.
著作権法に基づき、本説明書及び本説明書内にて説明されているソフトウェアは、製造元の書面にお
ける許可がない限り全体及び部分的に複製することを禁じます。ただし、バックアップ用の複製につい
てはこの限りではありません。許可されたいかなる複製物にも、オリジナルに添付されているのと同じ
所有権と著作権の表示を添付しなければなりません。この例外によっても、売却かどうかにかかわら
ず、複製物を他者に渡すことは禁じられていますが、正規購入品全体（およびそのバックアップコ
ピーすべて）を他者に売却、譲渡、貸与することはできます。法律に基づき、複製には、他の言語
への翻訳または他の形式への変換も含まれます。
仕様および記述は、予告なしに変更される場合があります。
商標
ＳｏｎｉｃＷＡＬＬは、ＳｏｎｉｃＷＡＬＬ，Ｉｎｃ. の登録商標です。
ＭｉｃｒｏｓｏｆｔＷｉｎｄｏｗｓ７、ＷｉｎｄｏｗｓＶｉｓｔａ、ＷｉｎｄｏｗｓＸＰ、ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８、
ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００３、ＩｎｔｅｒｎｅｔＥｘｐｌｏｒｅｒ、ＡｃｔｉｖｅＤｉｒｅｃｔｏｒｙはＭｉｃｒｏｓｏｆｔＣｏｒｐｏｒａｔｉｏｎの商
標または登録商標です。
Ｆｉｒｅｆｏｘは、ＭｏｚｉｌｌａＦｏｕｎｄａｔｉｏｎの商標です。
ＮｅｔｓｃａｐｅはＮｅｔｓｃａｐｅＣｏｍｍｕｎｉｃａｔｉｏｎｓＣｏｒｐｏｒａｔｉｏｎの米国およびその他の国々における登録
商標です。ＮｅｔｓｃａｐｅＮａｖｉｇａｔｏｒおよびＮｅｔｓｃａｐｅＣｏｍｍｕｎｉｃａｔｏｒもＮｅｔｓｃａｐｅ
ＣｏｍｍｕｎｉｃａｔｉｏｎｓＣｏｒｐｏｒａｔｉｏｎの商標であり、米国以外の国で登録商標となっていることもありま
す。
Ａｄｏｂｅ、Ａｃｒｏｂａｔ、ＡｃｒｏｂａｔＲｅａｄｅｒはＡｄｏｂｅＳｙｓｔｅｍｓＩｎｃｏｒｐｏｒａｔｅｄの米国およびその他の
国々における登録商標または商標です。
ＣｉｓｃｏＳｙｓｔｅｍｓ、ＣｉｓｃｏＰＩＸ５１５ｅ、Ｌｉｎｋｓｙｓ、およびＬｉｎｋｓｙｓＰｌａｙｔｏｙ２３はＣｉｓｃｏＳｙｓｔｅｍｓ
の米国およびその他の国々における登録商標または商標です。
ＷａｔｃｈｇｕａｒｄおよびＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅは、米国およびその他の国における
ＷａｔｃｈｇｕａｒｄＴｅｃｈｎｏｌｏｇｉｅｓＣｏｒｐｏｒａｔｉｏｎの登録商標または商標です。
ＮｅｔＧｅａｒ、ＮｅｔＧｅａｒＦＶＳ３１８、およびＮｅｔＧｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬはＮｅｔＧｅａｒ,
Ｉｎｃ., の米国およびその他の国々における登録商標または商標です。
ＣｈｅｃｋＰｏｉｎｔおよびＣｈｅｃｋＰｏｉｎｔＡＩＲ５５は、米国およびその他の国におけるＣｈｅｃｋＰｏｉｎｔ
ＳｏｆｔｗａｒｅＴｅｃｈｎｏｌｏｇｉｅｓ, Ｌｔｄ., の登録商標または商標です。
本書に記載されている製品や会社名が、それぞれの会社の商標または登録商標であることがありま
す。これらはそれらの会社の所有物です。
2
SonicWALL SRA 5.5 管理者ガイド
ＳｏｎｉｃＷＡＬＬＧＰＬソースコード
ＧＮＵＧｅｎｅｒａｌＰｕｂｌｉｃＬｉｃｅｎｓｅ（ＧＰＬ）
ＳｏｎｉｃＷＡＬＬは、ＧＰＬオープンソースのコピーを、コンピュータで読むことができる形式でＣＤに収
録し、提供する予定です。コンピュータで読むことができる完全なコピーをご希望の場合は、
“ＳｏｎｉｃＷＡＬＬ, Ｉｎｃ.” 宛の２５米ドルの支払い保証小切手または為替を同封のうえ、下記の住所まで
書状によりご要望ください。
ＧｅｎｅｒａｌＰｕｂｌｉｃＬｉｃｅｎｓｅＳｏｕｒｃｅＣｏｄｅＲｅｑｕｅｓｔ
ＳｏｎｉｃＷＡＬＬ, Ｉｎｃ. Ａｔｔｎ：ＪｅｎｎｉｆｅｒＡｎｄｅｒｓｏｎ
２００１ Logic Drive
San Jose，ＣＡ９６１２４-３４５２
限定保証
ＳｏｎｉｃＷＡＬＬ，Ｉｎｃ. は、お客様への納品日（ただし、ＳｏｎｉｃＷＡＬＬから最初に出荷されて９０日を
超えない範囲とする）から１２ヶ月の期間にわたって、通常の使用下で製品に欠陥が生じないことを保
証します。この限定保証は、製品の原エンドユーザにのみ適用され、その権利を他に譲渡することは
できません。この限定保証のもとでＳｏｎｉｃＷＡＬＬおよびその製造業者の法的責任とお客様への唯一
限定的な賠償は、代替製品の出荷によって全うされるものとします。ＳｏｎｉｃＷＡＬＬの判断により、代
替製品は機能的に等価かそれより大きくなることがあります。また、品質的に新しいもの、あるいはや
や新しいものになることもあります。この保証のもとでのＳｏｎｉｃＷＡＬＬの責任は、ＳｏｎｉｃＷＡＬＬの当
時最新のサポートサービスポリシーの条項に従って欠陥製品を返却したとき生じます。
製品に異常な電気的ストレスを加えた場合、事故や誤用により製品を破損した場合、ＳｏｎｉｃＷＡＬＬに
正式の許可を受けずに製品に変更を加えた場合、この保証は適用されません。
保証に関する免責条項。この保証で指定されている行為、明示的または暗黙的に示したすべての条
件、表現、保証（暗黙的保証や販売条件を無制限に含む）を例外として、特定の目的、法遵守、
十分な品質、または取引、法律、利用、商習慣による要件を満たすための行為は、この条項に
よって該当する法律で最大限許容される程度に除外されます。暗黙の保証を超えない範囲で、保証は
当該保証期間の範囲に限定されます。関係国の法律や管轄裁判所が暗黙の保証への制限を認めてい
ない場合、上記の制限が適用されないこともあります。この保証は特定の法的権利を与えるもので
あって、管轄裁判所によってはそれ以外の権利が与えられることもあります。この権利放棄・免責条
項は上記に明示された保証がその本来の目的を果たせない場合にも適用されるものとします。
責任に関する免責条項。ＳｏｎｉｃＷＡＬＬでは、上記の有限保証に記載されているとおり、交換用製品
の発送についてのみ責任を負います。ＳｏｎｉｃＷＡＬＬおよびその製造業者は、本製品を使用したた
め、または使用できなかったために生じた損失、業務の中断、情報の消失、あるいはそれによって
直接または間接に生じた偶発的、懲罰的損害について、ＳｏｎｉｃＷＡＬＬまたはその製造業者が損害
の可能性を忠告したかどうかに関係なく、本製品の使用または不使用によって生じる一切の法的責任
を免れるものとします。ＳｏｎｉｃＷＡＬＬおよびその製造業者は、いかなる場合にもお客様に対して、契
約上の不法行為や、お客様が支払った価格を超える責任を負わないものとします。以上の制限は、
上記の保証書がその本来の目的を果たせない場合にも適用されるものとします。関係国の法律や管轄
裁判所が間接または偶発の損害に対する制限・免責を認めていない場合、上記の制限が適用されな
いこともあります。
SonicWALL SRA 5.5 管理者ガイド
3
ＳｏｎｉｃＷＡＬＬテクニカルサポート
テクニカルサポートへのご質問については、まずＳｏｎｉｃＷＡＬＬのウェブサイト〈http://
www.sonicwall.com/us/support.html〉を参照してください。ウェブベースの資料で技術的な問題を解決
できない場合は、ＳｏｎｉｃＷＡＬＬテクニカルサポートにご連絡ください。
ＳｏｎｉｃＷＡＬＬテクニカルサポートの連絡先電話番号は次のとおりです。
北米電話サポート
米国／カナダ－８８８.７７７.１４７６または＋１４０８.７５２.７８１９
国際電話サポート
オーストラリア－＋１８００.３５.１６４２
オーストリア－＋４３（０）８２０.４００.１０５
ＥＭＥＡ－＋３１（０）４１１.６１７.８１０
フランス－＋３３（０）１.４９３３.７４１４
ドイツ－＋４９（０）１８０５.０８００.２２
香港－＋１.８００.９３.０９９７
インド－＋８０２６５５６８２８
イタリア－＋３９.０２.７５４１.９８０３
日本－０１２０.５６９１２２
ニュージーランド－＋０８００.４４６４８９
シンガポール－＋８００.１１０.１４４１
スペイン－＋３４（０）９１３７.５３０３５
スイス－＋４１.１.３０８.３.９７７
英国－＋４４（０）１３４４.６６８.４８４
備考
テクニカルサポートの最新の連絡先電話番号については、〈http://www.sonicwall.com/japan/
support/support_customer.html〉でご確認ください。
ＳｏｎｉｃＷＡＬＬ製品に関するその他の情報
ＳｏｎｉｃＷＡＬＬの製品とサービスについては、ＳｏｎｉｃＷＡＬＬ販売代理店またはゴールドパートナー
〈http://www.sonicwall.com/japan/corporate_info/distributors.html〉までお問合せください：
4
SonicWALL SRA 5.5 管理者ガイド
ドキュメントの最新版
このマニュアルおよびその他のＳｏｎｉｃＷＡＬＬ製品ドキュメントの最新版については、ＳｏｎｉｃＷＡＬＬの
ウェブサイトをご確認ください。
http://www.sonicwall.com/japan/support/support_document.html
SonicWALL SRA 5.5 管理者ガイド
5
6
SonicWALL SRA 5.5 管理者ガイド
目次
SonicWALL SRA SSL VPN 5.5 管理者ガイド ..................................................................................................1
著作権表示 .......................................................................................................................................................................2
商標......................................................................................................................................................................................2
ＳｏｎｉｃＷＡＬＬＧＰＬソースコード ...................................................................................................3
ＧＮＵＧｅｎｅｒａｌＰｕｂｌｉｃＬｉｃｅｎｓｅ（ＧＰＬ） .........................................3
限定保証 ............................................................................................................................................................................3
ＳｏｎｉｃＷＡＬＬテクニカルサポート ....................................................................................................4
ＳｏｎｉｃＷＡＬＬ製品に関するその他の情報 .......................................................................................4
ドキュメントの最新版 ..............................................................................................................................................5
目次 .......................................................................................................................................................................... 7
第 1 章：このガイドについて...................................................................................................................13
表記上の規約 ...................................................................................................................................................... 13
このガイドの構成 ............................................................................................................................................ 14
第 1 章：ＳＳＬＶＰＮの概要................................................................................................................19
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの概要................................................................................................ 20
仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ .......................................................... 20
ＳＳＬＶＰＮソフトウェアコンポーネント .................................................................................. 20
ＳＲＡハードウェアコンポーネント .................................................................................................. 21
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの主要な概念 ................................................................................ 24
暗号化の概要 ...................................................................................................................................................... 24
ＳＳＬハンドシェイクの手順................................................................................................................... 24
ＩＰｖ６サポートの概要 ............................................................................................................................ 25
ＳＳＬＶＰＮ管理者のブラウザ要件 .................................................................................................. 27
ＳＳＬＶＰＮエンドユーザのブラウザ要件 .................................................................................. 28
ポータルの概要 ................................................................................................................................................. 28
ドメインの概要 ................................................................................................................................................. 29
アプリケーションオフロードと HTTP(S) ブックマークの概要 ............................................ 29
ネットワークリソースの概要 .................................................................................................................. 33
ＳＮＭＰの概要 ................................................................................................................................................ 39
ＤＮＳの概要 ..................................................................................................................................................... 39
ネットワークルートの概要 ....................................................................................................................... 39
ＮｅｔＥｘｔｅｎｄｅｒの概要.............................................................................................................. 39
２ファクタ認証の概要................................................................................................................................... 44
ワンタイムパスワードの概要 ................................................................................................................. 48
仮想アシストの概要........................................................................................................................................ 51
ウェブアプリケーションファイアウォールの概要 .................................................................... 62
ウェブアプリケーションファイアウォールとは ......................................................................... 62
ウェブアプリケーションファイアウォールの利点 .................................................................... 64
ウェブアプリケーションファイアウォールの仕組み................................................................ 65
ＳＳＬＶＰＮ管理インターフェースのナビゲート .............................................................................. 74
管理インターフェースの概要.................................................................................................................... 74
管理インターフェースのナビゲート ..................................................................................................... 76
ナビゲーションバー ...................................................................................................................................... 80
SonicWALL SRA 5.5 管理者ガイド
7
配備のガイドライン................................................................................................................................................. 81
サポートするユーザ接続数......................................................................................................................... 82
リソースタイプのサポート ....................................................................................................................... 82
ＳｏｎｉｃＷＡＬＬ製品との統合......................................................................................................... 82
一般的な配備 ...................................................................................................................................................... 83
Two Arm 配備 ...................................................................................................................................................... 83
第 2 章：システムの設定............................................................................................................................ 85
システム＞状況 ....................................................................................................................................................... 86
「システム＞状況」の概要 ........................................................................................................................ 86
システム状況からのＳｏｎｉｃＷＡＬＬ装置の登録 ................................................................ 88
ネットワークインターフェースの設定............................................................................................... 90
システム＞ライセンス......................................................................................................................................... 91
「システム＞ライセンス」の概要.......................................................................................................... 91
「システム＞ライセンス」からのＳＲＡ装置の登録................................................................ 93
ライセンスの有効化またはアップグレード ...................................................................................... 94
システム＞時間 ....................................................................................................................................................... 98
「システム＞時間」の概要 ........................................................................................................................ 98
時刻の設定 ........................................................................................................................................................... 98
ネットワークタイムプロトコルの有効化 ........................................................................................ 99
システム＞設定 .....................................................................................................................................................100
「システム＞設定」の概要 ......................................................................................................................100
設定ファイルの管理......................................................................................................................................101
ファームウェアの管理.................................................................................................................................103
システム＞管理 .....................................................................................................................................................105
「システム＞管理」の概要 ......................................................................................................................105
ログインセキュリティの設定 ................................................................................................................107
ウェブ管理設定の設定.................................................................................................................................107
SNMP 設定の構成 ...........................................................................................................................................108
ＧＭＳ管理の有効化 ....................................................................................................................................108
システム＞証明書 ................................................................................................................................................109
「システム＞証明書」の概要 .................................................................................................................109
証明書の管理 ....................................................................................................................................................110
証明書署名リクエストの生成..................................................................................................................110
証明書と発行者情報の表示と編集 ........................................................................................................111
証明書のインポート ......................................................................................................................................111
ＣＡ証明書の追加 .........................................................................................................................................112
システム＞監視 .....................................................................................................................................................113
「システム＞監視」の概要 ......................................................................................................................113
監視期間の設定................................................................................................................................................114
モニタの再表示................................................................................................................................................114
システム＞診断 .....................................................................................................................................................115
「システム＞診断」の概要 ......................................................................................................................115
テクニカルサポートレポートのダウンロード ............................................................................116
診断テストの実行...........................................................................................................................................116
システム＞再起動 ................................................................................................................................................117
「システム＞再起動」の概要 .................................................................................................................117
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の再起動.......................................................................................117
第 3 章：ネットワーク設定 .....................................................................................................................119
ネットワーク＞インターフェース ..............................................................................................................120
8
SonicWALL SRA 5.5 管理者ガイド
「ネットワーク＞インターフェース」の概要............................................................................... 120
ネットワークインターフェースの設定............................................................................................. 120
ネットワーク＞ＤＮＳ ...................................................................................................................................... 122
「ネットワーク＞ＤＮＳ」の概要 ....................................................................................................... 122
ホスト名の構成 ............................................................................................................................................... 123
ＤＮＳ設定の構成 ......................................................................................................................................... 123
ＷＩＮＳ設定の構成 .................................................................................................................................... 123
ネットワーク＞ルート ...................................................................................................................................... 124
「ネットワーク＞ルート」の概要 ....................................................................................................... 124
ＳＲＡ装置の既定ルートの設定............................................................................................................ 125
装置の静的ルートの設定............................................................................................................................ 125
ネットワーク＞ホスト解決............................................................................................................................. 127
「ネットワーク＞ホスト解決」の概要.............................................................................................. 127
ホスト解決の設定 .......................................................................................................................................... 127
ネットワーク＞ネットワークオブジェクト .........................................................................................129
「ネットワーク＞ネットワークオブジェクト」の概要.......................................................... 129
ネットワークオブジェクトの追加 ...................................................................................................... 130
ネットワークオブジェクトの編集 ...................................................................................................... 130
第 4 章：ポータルの設定 ......................................................................................................................... 135
ポータル＞ポータル ........................................................................................................................................... 136
ポータル＞ポータルの概要 .................................................................................................................. 136
ポータルの追加 ............................................................................................................................................... 137
一般ポータル設定の設定............................................................................................................................ 139
ホームページの設定...................................................................................................................................... 140
ポータルごとの仮想アシスト設定の設定 .........................................................................................144
仮想ホストの設定 .......................................................................................................................................... 145
個別ポータルロゴの追加 .......................................................................................................................... 146
ポータル＞アプリケーションオフロード .............................................................................................. 148
アプリケーションオフロードの概要.................................................................................................. 148
ＨＴＴＰ／ＨＴＴＰＳアプリケーションオフロードポータルの設定 ....................... 149
一般ＳＳＬオフローダの設定 ............................................................................................................... 152
ポータル＞ドメイン ........................................................................................................................................... 155
「ポータル＞ドメイン」の概要 ............................................................................................................ 155
ドメインテーブルの参照 .......................................................................................................................... 156
ドメインの削除 ............................................................................................................................................... 156
ドメインの追加と編集................................................................................................................................. 156
ローカルユーザ認証を使用するドメインの追加と編集 .......................................................... 157
アクティブディレクトリ認証を使用するドメインの追加と編集 ...................................... 159
ＬＤＡＰ認証を使用するドメインの追加と編集 ......................................................................... 161
ＮＴドメイン認証を使用するドメインの追加と編集 ............................................................... 164
ＲＡＤＩＵＳ認証を使用するドメインの追加と編集 ............................................................... 166
２ファクタ認証の設定................................................................................................................................. 168
ポータル＞個別ロゴ ........................................................................................................................................... 179
ポータル＞負荷分散 ........................................................................................................................................... 179
ポータル＞負荷分散の概要 .................................................................................................................. 179
負荷分散グループの設定............................................................................................................................ 180
第 5 章：サービスの設定 ......................................................................................................................... 185
サービス＞設定 ..................................................................................................................................................... 185
ＨＴＴＰ／ＨＴＴＰＳサービス設定 ............................................................................................... 186
SonicWALL SRA 5.5 管理者ガイド
9
Ｃｉｔｒｉｘサービス設定......................................................................................................................187
グローバルポータル設定 ..........................................................................................................................187
ワンタイムパスワード設定 .....................................................................................................................187
サービス＞ブックマーク ..................................................................................................................................188
サービス＞ポリシー............................................................................................................................................194
第 6 章：ＮｅｔＥｘｔｅｎｄｅｒの設定 ......................................................................................197
ＮｅｔＥｘｔｅｎｄｅｒ＞状況...................................................................................................................199
「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」の概要....................................................................................199
ＮｅｔＥｘｔｅｎｄｅｒの状況の表示 .............................................................................................199
ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定 .....................................................................................200
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」の概要 ......................................................200
ＮｅｔＥｘｔｅｎｄｅｒグローバルＩＰアドレス範囲の設定 .........................................200
ＮｅｔＥｘｔｅｎｄｅｒグローバル設定の構成 .........................................................................201
ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート ...............................................................................202
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」の概要................................................202
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの追加..............................................................202
ユーザおよびグループレベルのＮｅｔＥｘｔｅｎｄｅｒの設定.............................................203
第 7 章：仮想アシストの設定 ................................................................................................................209
仮想アシスト＞状況............................................................................................................................................210
仮想アシスト＞状況の概要....................................................................................................................210
仮想アシスト＞設定............................................................................................................................................211
一般設定 ..............................................................................................................................................................211
要求の設定 .........................................................................................................................................................212
通知の設定 .........................................................................................................................................................212
顧客ポータルの設定......................................................................................................................................214
制限の設定 .........................................................................................................................................................215
仮想アシスト＞ログ............................................................................................................................................216
仮想アシスト＞ライセンス.............................................................................................................................217
「仮想アシスト＞ライセンス」ページの概要...............................................................................217
仮想アシストの有効化.................................................................................................................................217
第 8 章：高可用性の設定..........................................................................................................................219
高可用性の概要 ........................................................................................................................................................220
サポートされるプラットフォーム ........................................................................................................220
高可用性の設定 ........................................................................................................................................................221
物理接続 ..............................................................................................................................................................222
高可用性の準備................................................................................................................................................222
高可用性の設定................................................................................................................................................222
インターフェース監視の有効化 .............................................................................................................223
ネットワーク監視アドレスの設定 ........................................................................................................223
ファームウェアの同期.................................................................................................................................224
技術 FAQ ......................................................................................................................................................................224
第 9 章：ウェブアプリケーション
ファイアウォールの設定 ..........................................................................................................................227
ウェブアプリケーションファイアウォールの
ライセンス ..................................................................................................................................................................228
ウェブアプリケーションファイアウォールの設定 ..........................................................................231
ウェブアプリケーションファイアウォールのステータス情報を表示および更新する 231
10
SonicWALL SRA 5.5 管理者ガイド
ウェブアプリケーションファイアウォールの設定を行う .................................................... 233
ウェブアプリケーションファイアウォールのシグネチャアクションの設定........... 241
除外されるホストエントリの確認 ...................................................................................................... 245
個別ルールとアプリケーションプロファイリングの設定 ..................................................... 247
ウェブアプリケーションファイアウォール監視の使用......................................................... 263
ウェブアプリケーションファイアウォールのログの使用.................................................... 271
ウェブアプリケーションファイアウォールの検証と
トラブルシューティング ................................................................................................................................... 274
第 10 章：ユーザの設定............................................................................................................................ 277
ユーザ＞状況 .......................................................................................................................................................... 278
アクセスポリシーの概念 .......................................................................................................................... 278
アクセスポリシー階層 ...............................................................................................................................279
ユーザ＞ローカルユーザ ................................................................................................................................ 280
「ユーザ＞ローカルユーザ」の概要 ................................................................................................. 280
ユーザの削除 ................................................................................................................................................... 280
ローカルユーザの追加 ...............................................................................................................................281
ユーザ設定の編集 .......................................................................................................................................... 282
ユーザ＞ローカルグループ ........................................................................................................................... 304
「ユーザ＞ローカルグループ」の概要 ............................................................................................ 304
グループの削除 ............................................................................................................................................... 305
新規グループの追加...................................................................................................................................... 305
グループ設定の編集...................................................................................................................................... 305
ＬＤＡＰ認証ドメインのグループ設定............................................................................................. 318
アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設定 . 323
ローカルグループのＣｉｔｒｉｘブックマークの作成........................................................ 325
グローバル設定 ........................................................................................................................................................ 326
グローバル設定の編集................................................................................................................................. 326
グローバルポリシーの編集 ..................................................................................................................... 328
グローバルブックマークの編集 ........................................................................................................... 330
第 11 章：ログの設定................................................................................................................................. 331
ログ＞表示 ............................................................................................................................................................... 332
「ログ＞表示」の概要 ................................................................................................................................ 332
ログの表示 ......................................................................................................................................................... 334
ログの電子メール送信................................................................................................................................. 334
ログ＞設定 ............................................................................................................................................................... 336
「ログ＞設定」の概要 ................................................................................................................................ 336
ログの設定の構成 .......................................................................................................................................... 337
メールサーバの設定 .................................................................................................................................... 338
ログ＞種別 ............................................................................................................................................................... 338
ログ＞ＶｉｅｗＰｏｉｎｔ ............................................................................................................................. 340
「ログ＞ＶｉｅｗＰｏｉｎｔ」の概要.............................................................................................. 340
ＶｉｅｗＰｏｉｎｔサーバの追加....................................................................................................... 340
第 12 章：仮想オフィスの設定 ............................................................................................................. 341
仮想オフィス ............................................................................................................................................................. 341
仮想オフィスの概要...................................................................................................................................... 342
仮想オフィスの使用...................................................................................................................................... 342
付録 A ：オンラインヘルプ................................................................................................................... 345
SonicWALL SRA 5.5 管理者ガイド
11
オンラインヘルプ ..................................................................................................................................................346
状況依存のヘルプの使用............................................................................................................................346
付録 B ：ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮを
サードパーティゲートウェイ用に設定する方法...................................................................... 347
ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＲＡ装置と共に配備するための設定........348
準備 ........................................................................................................................................................................348
方法１ - ＬＡＮインターフェース上にＳｏｎｉｃＷＡＬＬＳＲＡ装置を配備する349
方法２ - ＤＭＺインターフェース上にＳｏｎｉｃＷＡＬＬＳＲＡ装置を配備する352
ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ ..................................................................................................................356
ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ ..........................................................................357
ＮｅｔｇｅａｒＦＶＳ３１８ ........................................................................................................................359
ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬの設定.....................361
ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５ ............................................................................................................362
ＳｏｎｉｃＷＡＬＬＳＲＡとＣｈｅｃｋＰｏｉｎｔＡＩＲ５５を連携させるためのセットアップ362
静的ルート .........................................................................................................................................................363
ＡＲＰ ...................................................................................................................................................................363
マイクロソフトＩＳＡＳｅｒｖｅｒ .........................................................................................................364
ＳｏｎｉｃＷＡＬＬＳＲＡを
マイクロソフトＩＳＡＳｅｒｖｅｒの背後に配備する ........................................................364
ＩＳＡを設定する .........................................................................................................................................364
付録 C ：使用事例 ....................................................................................................................................... 367
ウィンドウズでのＣＡ証明書のインポート ...........................................................................................367
ウィンドウズでのｇｏＤａｄｄｙ証明書のインポート .........................................................367
ウィンドウズでのサーバ証明書のインポート ...............................................................................370
ＡＤグループの一意アクセスポリシーの作成......................................................................................371
アクティブディレクトリドメインの作成 ......................................................................................372
グローバルな「すべて拒否」ポリシーの追加 ...............................................................................373
ローカルグループの作成 ..........................................................................................................................374
ＳＳＨｖ２許可ポリシーの追加............................................................................................................376
ＯＷＡ許可ポリシーの追加......................................................................................................................377
アクセスポリシー設定の確認 ................................................................................................................379
付録 D ：ＮｅｔＥｘｔｅｎｄｅｒの
トラブルシューティング ........................................................................................................................ 385
付録 E ：よく寄せられる質問............................................................................................................... 389
ハードウェアに関してよく寄せられる質問 .............................................................................................393
デジタル証明書と認証局に関してよく寄せられる質問.....................................................................395
ＮｅｔＥｘｔｅｎｄｅｒに関してよく寄せられる質問 ...................................................................401
一般的によく寄せられる質問...........................................................................................................................404
付録 F ：コマンドラインインターフェース ................................................................................ 413
付録 G ：ＳＭＳ電子メール形式 ........................................................................................................ 417
付録 H ：用語集 ............................................................................................................................................ 423
12
SonicWALL SRA 5.5 管理者ガイド
このガイドについて
『ＳｏｎｉｃＷＡＬＬＳＲＡＳＳＬＶＰＮ管理者ガイド』はＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースや
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の有効化、設定、管理などを含むＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ技術をネット
ワーク管理者のために大所高所から説明するものです。
備考
このガイドを含め、ＳｏｎｉｃＷＡＬＬの製品やサービスに関するドキュメントについては、必ず
〈http://www.sonicwall.com/support/documentation.html〉で最新版の有無を確認するようにしてくだ
さい。
表記上の規約
このガイドの表記上の規約は次のとおりです。
表記
用例
太字
フィールド、ボタン、およびタブの名前を強調します。また、ウィンド
ウ、ダイアログボックス、および画面の名前も強調します。さらに、
ファイルの名前のほか、画面に入力すべきテキストや値を示すため
にも使われます。
斜体
技術マニュアルのタイトル、文中の特定の語、重要な用語や概念の
初出を強調するために使われます。
「メニュー項目＞メニュー項目」
管理インターフェースのメニュー選択階層を示すために使われます。
例えば、「システム＞状況」は「システム」メニューから「状況」
ページを選択することを意味します。
このマニュアルで使われているアイコン
注意を喚起するために以下の記号を使用しています。
ヒントＳｏｎｉｃＷＡＬＬのセキュリティ機能や設定に関して有用な情報を示します。
SonicWALL SRA 5.5 管理者ガイド
13
備考
特に注意すべき機能に関して重要な情報を示します。
マイクロソフトウィンドウズプラットフォームでのみサポートされるクライアント機能であることを示しま
す。
マイクロソフトウィンドウズ、アップルマックＯＳ、Ｌｉｎｕｘプラットフォームでサポートされるクライア
ント機能であることを示します。
このガイドの構成
『ＳｏｎｉｃＷＡＬＬＳＲＡＳＳＬＶＰＮ管理者ガイド』は、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブベース管理イン
ターフェースの構造に沿って以下の章で構成されています。
このセクションでは、以下の章と付録の内容について説明します。
･「ＳＳＬＶＰＮの概要」セクション（14 ページ）
･「システムの設定」セクション（15 ページ）
･「ネットワークの設定」セクション（15 ページ）
･「ポータルの設定」セクション（15 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒの設定」セクション（15 ページ）
･「仮想アシストの設定」セクション（15 ページ）
･「高可用性の設定」セクション（15 ページ）
･「ウェブアプリケーションファイアウォールの設定」セクション（16 ページ）
･「ユーザの設定」セクション（16 ページ）
･「ログの設定」セクション（16 ページ）
･「仮想オフィスの設定」セクション（16 ページ）
･「付録Ａ：オンラインヘルプの利用」セクション（16 ページ）
･「付録Ｂ：ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮをサードパーティゲートウェイ用に設定する方法」セクション
（16 ページ）
･「付録Ｃ：使用事例」セクション（17 ページ）
･「付録Ｄ：ＮｅｔＥｘｔｅｎｄｅｒのトラブルシューティング」セクション（17 ページ）
･「付録Ｅ：よく寄せられる質問」セクション（17 ページ）
･「付録Ｆ：コマンドラインインターフェース」セクション（17 ページ）
･「付録Ｇ：ＳＭＳ電子メール形式」セクション（17 ページ）
･「付録Ｈ：用語集」セクション（17 ページ）
ＳＳＬＶＰＮの概要
「ＳＳＬＶＰＮの概要」（19 ページ）では、ＳＳＬＶＰＮ技術の初歩と、ＳｏｎｉｃＷＡＬＬＳＲＡ装置および
ウェブベース管理インターフェース機能の概要を説明します。この章では、ＳＳＬＶＰＮの概念、ウェ
ブベース
管理インターフェースの概要、配備のガイドラインなどを知ることができます。
14
SonicWALL SRA 5.5 管理者ガイド
システムの設定
「システムの設定」（85 ページ）では、管理インターフェースのナビゲーションバーの「システム」で
使用できる以下のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプションの設定手順について説明します。
･ＳｏｎｉｃＷＡＬＬ装置の登録
･日付と時刻の設定
･設定ファイルの操作
･ファームウェアバージョンと設定情報の管理
･一般的な装置の管理
･証明書の管理
･ＳＳＬＶＰＮ管理レポートの表示
･診断ツールの使用
ネットワークの設定
「ネットワーク設定」（119 ページ）では、管理インターフェースのナビゲーションバーの「ネットワーク」
で使用できる以下のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプションの設定手順について説明します。
･ネットワークインターフェースの設定
･ＤＮＳ設定の構成
･ネットワークルートと静的ルートの設定
･内部の名前解決に使用されるホスト名およびＩＰアドレス情報の設定
･ＦＴＰ、ＨＴＴＰ、ＲＤＰ、ＳＳＨ、ファイル共有などのネットワークリソースを表す再利用可能なネット
ワークオブジェクトの作成
ポータルの設定
「ポータルの設定」（135 ページ）では、管理インターフェースのナビゲーションバーの「ポータル」で
使用できる、ポータル、ドメイン（ＲＡＤＩＵＳ、ＮＴ、ＬＤＡＰ、アクティブディレクトリ認証など）、個
別ロゴなどのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプションの設定手順について説明します。
ＮｅｔＥｘｔｅｎｄｅｒの設定
「ＮｅｔＥｘｔｅｎｄｅｒの設定」（197 ページ）では、管理インターフェースのナビゲーションバーの
「ＮｅｔＥｘｔｅｎｄｅｒ」で使用できる、ＮｅｔＥｘｔｅｎｄｅｒの状況、ＮｅｔＥｘｔｅｎｄｅｒアドレス範囲の設定、
ＮｅｔＥｘｔｅｎｄｅｒルートの設定などのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプションの設定手順について説明しま
す。
仮想アシストの設定
「仮想アシストの設定」（209 ページ）では、管理インターフェースのナビゲーションバーの「仮想アシ
スト」で使用できる、仮想アシストの状態、設定、ライセンスなどのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプ
ションの設定手順について説明します。
高可用性の設定
「高可用性の設定」（219 ページ）では、管理インターフェースのナビゲーションバーの「高可用性」
に関する情報と設定手順について説明します。
SonicWALL SRA 5.5 管理者ガイド
15
ウェブアプリケーションファイアウォールの設定
「ウェブアプリケーションファイアウォールの設定」（227 ページ）では、管理インターフェースのナビ
ゲーションバーの「ウェブアプリケーションファイアウォール」で使用できる、ウェブアプリケーション
ファイアウォールの状態、設定、署名、ログ、ライセンスなどのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプション
の設定手順について説明します。
ユーザの設定
「ユーザの設定」（277 ページ）では、管理インターフェースのナビゲーションバーの「ユーザ」で使
用できる以下のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプションの設定手順について説明します。
･アクセスポリシー階層の概要
･ローカルユーザおよびローカルユーザポリシーの設定
･ユーザグループおよびユーザグループポリシーの設定
･グローバル設定
ログの設定
「ログの設定」（331 ページ）では、管理インターフェースのナビゲーションバーの「ログ」で使用でき
る、ログの表示と設定、警告の種別の作成などのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮオプションの設定手順に
ついて説明します。
仮想オフィスの設定
「仮想オフィスの設定」（341 ページ）では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのユーザポータル機能である仮
想オフィスを簡単に説明します。管理者は、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブベース管理インターフェー
スのナビゲーションバーの「仮想オフィス」を使って、仮想オフィスのユーザポータルにアクセスでき
ます。ユーザは、ウェブブラウザを使って仮想オフィスにアクセスします。仮想オフィスの詳細は
『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザガイド』で説明します。
付録Ａ：オンラインヘルプの利用
「オンラインヘルプ」（345 ページ）では、管理インターフェースの右上隅にある「オンラインヘルプ」
ボタンで表示できるヘルプについて説明します。この付録では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理イン
ターフェースのほとんどのページに用意されている、状況に応じたヘルプの概要も説明します。
付録Ｂ：ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮをサードパーティゲートウェイ用に設定する方法
「ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮをサードパーティゲートウェイ用に設定する方法」（347 ページ）では、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置と以下のサードパーティゲートウェイの連携の設定について説明します。
･ＣｉｓｃｏＰＩＸ
･ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ
･ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ
･ＮｅｔｇｅａｒＦＶＳ３１８
･ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４
･ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５
･ Microsoft ISA Server ２０００
16
SonicWALL SRA 5.5 管理者ガイド
付録Ｃ：使用事例
「使用事例」（367 ページ）では、ＣＡ証明書をインポートするケースと、複数のアクティブディレクトリ
グループからアウトルックウェブアクセスやＳＳＨにアクセスするためにグループベースのアクセスポ
リシーを設定するケースについて具体的な事例を示します。
付録Ｄ：ＮｅｔＥｘｔｅｎｄｅｒのトラブルシューティング
「ＮｅｔＥｘｔｅｎｄｅｒのトラブルシューティング」（385 ページ）では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒ機能のトラブルシューティングに関する情報を提供します。
付録Ｅ：よく寄せられる質問
「よく寄せられる質問」（389 ページ）では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブベース管理インターフェー
スとＳｏｎｉｃＷＡＬＬＳＲＡ装置に関して、よく寄せられる質問を一覧で示します。
付録Ｆ：コマンドラインインターフェース
「コマンドラインインターフェース」（413 ページ）では、 SonicWALL SRA 4200、 1200、および Virtual
Appliance で利用可能な、簡素なコマンドラインインターフェースで使用できるコマンドの説明を提供し
ます。
付録Ｇ：ＳＭＳ電子メール形式
「ＳＭＳ電子メール形式」（417 ページ）では、世界各地の携帯電話事業者のＳＭＳ電子メール形式
のリストを示します。
付録Ｈ：用語集
「用語集」（423 ページ）は、『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理者ガイド』で使用される技術用語の用語
集です。
SonicWALL SRA 5.5 管理者ガイド
17
18
SonicWALL SRA 5.5 管理者ガイド
第1章
第1章
ＳＳＬＶＰＮの概要
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの技術、概念、基本ナビゲーション要素、および標準配備ガ
イドラインの概要を説明します。
この章は、次のセクションで構成されています。
･「ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの概要」セクション（20 ページ）
･「ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの主要な概念」セクション（24 ページ）
･「ＳＳＬＶＰＮ管理インターフェースのナビゲート」セクション（74 ページ）
･「配備のガイドライン」セクション（81 ページ）
SonicWALL SRA 5.5 管理者ガイド
19
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの概要
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、特にリモート社員やモバイル社員のための単純で安全なクライアント不要
のアプリケーションアクセスおよびネットワークリソースアクセスを実現します。ＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮ接続は、大規模なインストールホストを事前に設定することなく使用できます。ユーザはどこに
いても、標準のウェブブラウザを通じて、会社のローカルエリアネットワーク（ＬＡＮ）上にある電子
メールファイル、イントラネットサイト、アプリケーション、およびその他のリソースに簡単かつ安全に
アクセスできます。
このセクションは次のサブセクションから構成されています。
･「仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ」セクション（20 ページ）
･「ＳＳＬＶＰＮソフトウェアコンポーネント」セクション（20 ページ）
･「ＳＲＡハードウェアコンポーネント」セクション（21 ページ）
仮想プライベートネットワーク（ＶＰＮ）用のＳＳＬ
セキュアソケットレイヤベースの仮想プライベートネットワーク（ＳＳＬＶＰＮ）では、安全な接続を通
じて、アプリケーションやプライベートなネットワークリソースにリモートからアクセスすることができま
す。ＳＳＬＶＰＮを使用すると、モバイル社員、ビジネスパートナー、および顧客を会社のエクストラ
ネットまたはプライベートＬＡＮ上にあるファイルやアプリケーションにアクセスさせることができます。
仮想プライベートネットワーク（ＶＰＮ）を使用すると、公共のネットワークインフラストラクチャ上で安
全なエンドツーエンドのプライベートネットワーク接続を確立することができ、通信費用を節減したり、
組織内のユーザとサイトの間にプライベートで安全な接続を実現したりできます。ＳｏｎｉｃＷＡＬＬＳＲＡ
装置はセキュアソケットレイヤ（ＳＳＬ）ＶＰＮの機能を備えており、それを使用するための特別機能
ライセンス費用も必要ないため、並列的なリモートアクセスインフラストラクチャを配備するための費用
効果の高い代替法となります。
ＳＳＬＶＰＮソフトウェアコンポーネント
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、保護された内部ネットワークに対するクライアント不要のＩＤベースの安
全なリモートアクセスを実現します。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでは、仮想オフィス環境を使用すること
で、ユーザがプライベートネットワーク全体または個々のコンポーネント（ファイル共有、ウェブサー
バ、ＦＴＰサーバ、リモートデスクトップなどに加え、マイクロソフトターミナルサーバ上でホストされ
ている個々のアプリケーションまで対応可能）に対して安全なリモートアクセスを行うことができます。
ＳＳＬＶＰＮプロトコルはクライアント不要とされていますが、一般的なＳＳＬＶＰＮポータルはＳＳＬ
ＶＰＮポータルから透過的にダウンロードされるウェブコンポーネント、Ｊａｖａコンポーネント、および
ＡｃｔｉｖｅＸコンポーネントを組み合わせたものなので、ユーザはＶＰＮクライアントアプリケーションを手
動でインストールして設定しなくてもリモートネットワークに接続できます。さらにＳＳＬＶＰＮでは、
ユーザがウィンドウズ、Ｍａｃｉｎｔｏｓｈ、Ｌｉｎｕｘなど多様なＰＣから接続できます。ＡｃｔｉｖｅＸコンポーネ
ントは、ウィンドウズプラットフォームでのみサポートされます。
管理者は、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースを使って、エンドツーエン
ドのＳＳＬＶＰＮソリューションを提供できます。このインターフェースには、ＳＳＬＶＰＮユーザ、アク
セスポリシー、認証方式、ネットワークリソースに関するユーザブックマーク、システム設定などを設
定する機能があります。
クライアントは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベースのカスタマイズ可能なユーザポータルを使っ
て、ファイルのアクセス、更新、アップロード、ダウンロードを実行できるだけでなく、デスクトップマ
シンにインストールされている（またはアプリケーションサーバ上でホストされている）リモートアプリ
20
SonicWALL SRA 5.5 管理者ガイド
ケーションを使用できます。さらにこのプラットフォームは、安全なウェブベースのＦＴＰアクセス、ネッ
トワークコンピュータに似たファイル共有インターフェース、セキュアシェルバージョン１および２
（ＳＳＨｖ１およびＳＳＨｖ２）、Ｔｅｌｎｅｔエミュレーション、ＶＮＣ（仮想ネットワークコンピューティング）
およびＲＤＰ（リモートデスクトッププロトコル）のサポート、Ｃｉｔｒｉｘウェブアクセス、オフロードされた
ポータル（外部ウェブサイト）のブックマーク、ウェブおよびＨＴＴＰＳのプロキシ転送をサポートして
います。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮネットワーク拡張クライアントのＮｅｔＥｘｔｅｎｄｅｒは、ウィンドウズではＡｃｔｉｖｅＸ
コントロール経由でＳＳＬＶＰＮウェブポータルを通じて、ＭａｃＯＳまたはＬｉｎｕｘシステムではＪａｖａ
を使って利用できます。また、ウィンドウズ、Ｌｉｎｕｘ、およびＭａｃＯＳプラットフォーム用のスタンドア
ロンアプリケーションからも利用できます。
ＮｅｔＥｘｔｅｎｄｅｒスタンドアロンアプリケーションは、ユーザが仮想オフィスポータルで「ＮｅｔＥｘｔｅｎｄｅｒ」
リンクを初めて選択したときに、クライアントシステムに自動的にインストールされます。ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮＮｅｔＥｘｔｅｎｄｅｒを使用すると、エンドユーザは複雑なソフトウェアのインストールや設定をせ
ずにリモートネットワークに接続し、リモートネットワーク上のあらゆる種類のデータに、セキュリティで
保護されてアクセスできます。ＮｅｔＥｘｔｅｎｄｅｒは、Ｖｉｓｔａまたはそれ以降のウィンドウズシステムと
ＬｉｎｕｘクライアントからのＩＰｖ６接続をサポートします。
備考
ＳＳＨｖ２アプレットを使用するにはＳＵＮＪＲＥ１.６.０１０以上が必要であり、ＳＳＨｖ２をサポートす
るサーバにのみ接続できます。ＲＤＰ５Ｊａｖａアプレットを使用するには、ＳＵＮＪＲＥ１.６．０.１０
以上が必要です。Ｔｅｌｎｅｔ、ＳＳＨｖ１、およびＶＮＣアプレットはインターネットエクスプローラの
ＭＳＪＶＭをサポートしており、他のブラウザではＳＵＮＪＲＥ１.６.０１０以上を使用して実行されま
す。
ＳＲＡハードウェアコンポーネント
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のハードウェアコンポーネントについては、以下のセクションの説明を参照し
てください。
･「ＳＲＡ１２００の前面パネルの概要」（23 ページ）
･「ＳＲＡ１２００の前面パネルの概要」（23 ページ）
SonicWALL SRA 5.5 管理者ガイド
21
ＳＲＡ４２００の前面／背面パネルの概要
図 1 ＳｏｎｉｃＷＡＬＬＳＲＡ４２００の前面／背面パネル
表 1 ＳｏｎｉｃＷＡＬＬＳＲＡ４２００の前面パネル機能
22
前面パネル機能
説明
コンソールポート
ＲＪ-４５ポート。シリアル接続によるコンソールメッセージへのアクセスを
提供します（１１５２００ボー）。コマンドラインインターフェースへのアクセ
スを提供します（将来の使用）。
ＵＳＢポート
ＵＳＢインターフェースへのアクセスを提供します（将来の使用）。
リセットボタン
セーフモードへのアクセスを提供します。
電源ＬＥＤ
ＳｏｎｉｃＷＡＬＬＳＲＡ４２００装置の電源がオンかどうかを示します。
テストＬＥＤ
ＳｏｎｉｃＷＡＬＬＳＲＡ４２００装置がテストモードであることを示します。
警告ＬＥＤ
重大なエラーまたは障害が発生したことを示します。
Ｘ３
Ｘ３インターフェースおよびＳＳＬＶＰＮリソースへのアクセスを提供しま
す。
Ｘ２
Ｘ２インターフェースおよびＳＳＬＶＰＮリソースへのアクセスを提供しま
す。
Ｘ１
Ｘ１インターフェースおよびＳＳＬＶＰＮリソースへのアクセスを提供しま
す。
Ｘ０
既定の管理ポート。ＳｏｎｉｃＷＡＬＬＳＲＡ４２００とゲートウェイ間の接続を
提供します。
SonicWALL SRA 5.5 管理者ガイド
表 2 ＳｏｎｉｃＷＡＬＬＳＲＡ４２００の背面パネル機能
背面パネル機能
説明
排気ファン
ＳｏｎｉｃＷＡＬＬＳＲＡ４２００装置に対して最適な冷却を行います。
電源プラグ
付属の電源コードを使用して電源と接続します。
電源スイッチ
ＳｏｎｉｃＷＡＬＬＳＲＡ４２００装置の電源をオンまたはオフにします。
ＳＲＡ１２００の前面パネルの概要
図 2 ＳｏｎｉｃＷＡＬＬＳＲＡ１２００の前面パネル
表 3 ＳｏｎｉｃＷＡＬＬＳＲＡ１２００の前面パネル機能
前面パネル機能
説明
コンソールポート
ＲＪ-４５ポート。シリアル接続によるコンソールメッセージへのアクセスを
提供します（１１５２００ボー）。コマンドラインインターフェースへのアクセ
スを提供します（将来の使用）。
ＵＳＢポート
ＵＳＢインターフェースへのアクセスを提供します（将来の使用）。
リセットボタン
セーフモードへのアクセスを提供します。
電源ＬＥＤ
ＳｏｎｉｃＷＡＬＬＳＲＡ１２００装置の電源がオンかどうかを示します。
テストＬＥＤ
ＳｏｎｉｃＷＡＬＬＳＲＡ１２００装置がテストモードであることを示します。
警告ＬＥＤ
重大なエラーまたは障害が発生したことを示します。
Ｘ１
Ｘ１インターフェースおよびＳＳＬＶＰＮリソースへのアクセスを提供しま
す。
Ｘ０
既定の管理ポート。ＳｏｎｉｃＷＡＬＬＳＲＡ１２００とゲートウェイ間の接続を
提供します。
SonicWALL SRA 5.5 管理者ガイド
23
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの主要な概念
このセクションでは、管理者がＳｏｎｉｃＷＡＬＬＳＲＡ装置およびウェブベース管理インターフェースを使
用する上で理解しておく必要がある、主要な概念の概要を説明します。
･「暗号化の概要」セクション（24 ページ）
･「ＳＳＬハンドシェイクの手順」セクション（24 ページ）
･「ＩＰｖ６サポートの概要」セクション（25 ページ）
･「ＳＳＬＶＰＮ管理者のブラウザ要件」セクション（27 ページ）
･「ＳＳＬＶＰＮエンドユーザのブラウザ要件」セクション（28 ページ）
･「ポータルの概要」セクション（28 ページ）
･「ドメインの概要」セクション（29 ページ）
･「アプリケーションオフロードと HTTP(S) ブックマークの概要」セクション（29 ページ）
･「ネットワークリソースの概要」セクション（33 ページ）
･「ＳＮＭＰの概要」セクション（39 ページ）
･「ＤＮＳの概要」セクション（39 ページ）
･「ネットワークルートの概要」セクション（39 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒの概要」セクション（39 ページ）
･「２ファクタ認証の概要」セクション（44 ページ）
･「ワンタイムパスワードの概要」セクション（48 ページ）
･「仮想アシストの概要」セクション（51 ページ）
･「ウェブアプリケーションファイアウォールの概要」セクション（62 ページ）
暗号化の概要
暗号化とは、データを符号化することで、不正なユーザがデータを読み取れないようにする機能です。
暗号化は、インターネット経由でプライベートで安全な通信を行うための手段です。
公開鍵暗号化（ＰＫＥ）と呼ばれる特殊な暗号化では、公開鍵と秘密鍵を使用してデータを暗号化お
よび復号化します。公開鍵暗号化では、ウェブサイトなどの当事者が公開鍵と秘密鍵を生成します。
保護されているウェブサーバは、ウェブサイトにアクセスするユーザに公開鍵を送信します。ユーザ
のウェブブラウザはこの公開鍵を使用して、対応する秘密鍵によって暗号化されたデータを復号化しま
す。さらに、ユーザのウェブブラウザはこの公開鍵を使用してデータを透過的に暗号化することがで
き、このデータは保護されたウェブサーバの秘密鍵でのみ復号化できます。
公開鍵暗号化により、ユーザはウェブサイトの身元をＳＳＬ証明書を通じて確認できます。ユーザが
ＳＲＡ装置にアクセスした後、装置はユーザに対して、自身の暗号化情報（公開暗号鍵を含んでい
るＳＳＬ証明書など）を送信します。
ＳＳＬハンドシェイクの手順
以下の手順例は、ユーザと、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースを使用す
るＳＳＬＶＰＮゲートウェイとの間にＳＳＬセッションを確立するために必要な標準的手順を示していま
す。
手順 1 ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置への接続を試みると、ユーザのウェブブラウザは、そのブラウザがサ
ポートしている暗号化の種類に関する情報を装置に送信します。
手順 2 装置はユーザに対して、自身の暗号化情報（公開暗号鍵を含んでいるＳＳＬ証明書など）を送信します。
24
SonicWALL SRA 5.5 管理者ガイド
手順 3 ウェブブラウザはそのＳＳＬ証明書が示す認証局に基づいて、ＳＳＬ証明書の正当性を確認します。
手順 4 ウェブブラウザはプリマスタ暗号化鍵を生成し、そのプリマスタ鍵をＳＳＬ証明書内の公開鍵で暗号化し、
暗号化済みのプリマスタ鍵をＳＳＬＶＰＮゲートウェイに送信します。
手順 5 ＳＳＬＶＰＮゲートウェイはこのプリマスタ鍵を使用してマスタ鍵を作成し、新しいマスタ鍵をユーザのウェブ
ブラウザに送信します。
手順 6 ウェブブラウザとＳＳＬＶＰＮゲートウェイは、このマスタ鍵と互いに同意した暗号化アルゴリズムを使用し
て、ＳＳＬ接続を確立します。この時点で、ユーザとＳＳＬＶＰＮゲートウェイは同じ暗号化鍵を使用し
てデータの暗号化と復号化を行うようになります。これは対称暗号化と呼ばれます。
手順 7 ＳＳＬ接続が確立されると、ＳＳＬＶＰＮゲートウェイはウェブブラウザにＳＳＬＶＰＮゲートウェイログイン
ページを暗号化して送信します。
手順 8 ユーザは自分のユーザ名、パスワード、およびドメイン名を送信します。
手順 9 ユーザのドメイン名をＲＡＤＩＵＳサーバ、ＬＤＡＰサーバ、ＮＴドメインサーバ、またはアクティブディレクト
リサーバを通じて認証する必要がある場合、ＳＳＬＶＰＮゲートウェイはユーザの情報を適切な認証
サーバに転送します。
手順 10 認証されたユーザはＳＳＬＶＰＮポータルにアクセスできるようになります。
ＩＰｖ６サポートの概要
インターネットプロトコルバージョン６（ＩＰｖ６）は、ネットワーク機器でよく使われるようになってい
るＩＰｖ４の後継です。ＩＰｖ６は、インターネットエンジニアリングタスクフォース（ＩＥＴＦ）によって
開発された一群の標準とプロトコルから成り、ＩＰｖ４よりも大きなアドレス空間ならびに追加的な機
能とセキュリティを提供し、ＩＰｖ４の設計上の問題を解決します。ＩＰｖ４の通信に影響を与えずに
ＩＰｖ６を使用することができます。
ＩＰｖ６はステートフルアドレス設定とステートレスアドレス設定をサポートしています。ステートフルアド
レス設定はＤＨＣＰｖ６サーバで使用されます。ステートレスアドレス設定では、リンク上のホストがそ
のリンクのＩＰｖ６アドレスで自分自身を自動的に設定します。このアドレスはリンクローカルアドレスと
呼ばれます。
ＩＰｖ６では、送信元アドレスと送信先アドレスの長さが１２８ビット（１６バイト）です。なお、３２ビッ
トのＩＰｖ４アドレスは、８ビットずつピリオドで区切られたドット１０進表記で表現されます。１２８ビット
のＩＰｖ６アドレスは１６ビットずつコロンで区切られ、それぞれの１６ビットブロックは４桁の１６進数
として表現されます。これはコロン１６進表記と呼ばれます。
ＩＰｖ６アドレスの２００８：０ＡＢ１：００００：１Ｅ２Ａ：０１２３：００４５：ＥＥ３７：Ｃ９Ｂ４は、各１６ビッ
トブロックに少なくとも 1 つの数字がある限りにおいて、各ブロック内の先頭のゼロを取り除いて簡略化
することができます。先頭のゼロを取り除いた後のアドレス表現は、２００８：ＡＢ１：０：１Ｅ２Ａ：
１２３：４５：ＥＥ３７：Ｃ９Ｂ４となります。
アドレスにゼロの１６ビットブロックの連続シーケンスが含まれていれば、そのシーケンスを：：（２
つのコロン）として圧縮できます。例えば、リンクローカルアドレスの２００８：０：０：０：Ｂ６７：
８９：ＡＢＣＤ：１２３４は、２００８：：Ｂ６７：８９：ＡＢＣＤ：１２３４に圧縮できます。マルチキャスト
アドレスの２００８：０：０：０：０：０：０：２は、２００８：：２に圧縮できます。
ＩＰｖ６接頭辞はアドレスの中でサブネット接頭辞のビットを表す部分です。ＩＰｖ６サブネット、ルート、
およびアドレス範囲の接頭辞は、アドレス／接頭辞長またはＣＩＤＲ表記で記述されます。例えば、
２００８：ＡＡ：：／４８と２００７：ＢＢ：０：８９ＡＢ：：／６４はＩＰｖ６アドレス接頭辞です。
ＳｏｎｉｃＯＳＳＳＬＶＰＮは、次の部分でＩＰｖ６をサポートしています。
SonicWALL SRA 5.5 管理者ガイド
25
サービス
･ＦＴＰブックマーク－ＩＰｖ６アドレスを使ってＦＴＰブックマークを定義します。
･Ｔｅｌｎｅｔブックマーク－ＩＰｖ６アドレスを使ってＴｅｌｎｅｔブックマークを定義します。
･ＳＳＨｖ１／ＳＳＨｖ２ブックマーク－ＩＰｖ６アドレスを使ってＳＳＨｖ１ブックマークまたはＳＳＨｖ２
ブックマークを定義します。
･ＨＴＴＰ／ＨＴＴＰＳブックマークのリバースプロキシ－ＩＰｖ６アドレスを使ってＨＴＴＰブックマークま
たはＨＴＴＰＳブックマークを定義します。
･Ｃｉｔｒｉｘブックマーク－ＩＰｖ６アドレスを使ってＣｉｔｒｉｘブックマークを定義します。
･ＲＤＰブックマーク－ＩＰｖ６アドレスを使ってＲＤＰブックマークを定義します。
･ＶＮＣブックマーク－ＩＰｖ６アドレスを使ってＶＮＣブックマークを定義します。
備考
ファイル共有（ＣＩＦＳ）に対しては、ＩＰｖ６はサポートされていません。
設定
･インターフェース設定－インターフェースのＩＰｖ６アドレスを定義します。リンクローカルアドレス
は「インターフェース」ページのツールチップに表示されます。
･ルート設定－ＩＰｖ６の送信先ネットワークとゲートウェイで静的ルートを定義します。
･ネットワークオブジェクト－ＩＰｖ６を使ってネットワークオブジェクトを定義します。ＩＰｖ６アドレスと
ＩＰｖ６ネットワークを、このネットワークオブジェクトに結び付けることができます。
ＮｅｔＥｘｔｅｎｄｅｒ
クライアントがＮｅｔＥｘｔｅｎｄｅｒに接続すると、クライアントマシンがＩＰｖ６をサポートしていて、ＳＲＡで
ＩＰｖ６アドレスプールが設定されていれば、ＳＲＡ装置からＩＰｖ６アドレスを取得できます。
ＮｅｔＥｘｔｅｎｄｅｒは、Ｖｉｓｔａまたはそれよりも新しいウィンドウズシステムとＬｉｎｕｘクライアントからの
ＩＰｖ６クライアント接続をサポートしています。
26
SonicWALL SRA 5.5 管理者ガイド
仮想アシスト
ユーザと技術者はＩＰｖ６アドレスを使用するときにサポートを要求したり提供したりすることができます。
ルール
･ポリシールール－ユーザまたはグループのポリシー。「ポリシーの適用先」ドロップダウンリスト
には、次の３つのＩＰｖ６オプションがあります。
- ＩＰｖ６アドレス
- ＩＰｖ６アドレス範囲
- すべてのＩＰｖ６アドレス
･ログインルール－アドレスフィールドにＩＰｖ６を使用します。
- ＩＰｖ６を使って定義済みアドレスからのログインを定義
- 「送信元アドレス」ドロップダウンリストの２つのＩＰｖ６オプション：ＩＰｖ６アドレス／ＩＰｖ６ネッ
トワーク
仮想ホスト
管理者は仮想ホストにＩＰｖ６アドレスを割り当て、このアドレスを使ってその仮想ホストにアクセスする
ことができます。
アプリケーションオフロード
管理者はアプリケーションオフロード用のアプリケーションサーバにＩＰｖ６アドレスを割り当て、このア
ドレスを使ってそのサーバにアクセスすることができます。
ＳＳＬＶＰＮ管理者のブラウザ要件
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースおよびユーザポータルの仮想オフィスで
は、以下のウェブブラウザがサポートされています。Ｊａｖａは、ＳＳＬＶＰＮ仮想オフィスの各種要因
でのみ必要であり、管理インターフェースには必要ありません。
･
インターネットエクスプローラ８.０+、９.０+
･
Ｆｉｒｅｆｏｘ４.０+、５.０+
･
Ｓａｆａｒｉ５.０+
･
Ｃｈｒｏｍｅ１１.０+、１２.０+
以下の表にブラウザ固有の要件を示します。
㩷㪪㪪㪣㩷㪭㪧㪥㩷▤ℂ
䉟䊮䉺䊷䊐䉢䊷䉴
䊑䊤䉡䉱㩷䊋䊷䉳䊢䊮䈱
㩷㩷㩷㩷㩷㩷㩷㩷㩷ᦨዊⷐઙ
䊑䊤䉡䉱
7INDOWS80 7INDOWS 6ISTA
7INDOWS ,INUX
-AC/38
SonicWALL SRA 5.5 管理者ガイド
27
ウェブベース管理インターフェースを使用してＳｏｎｉｃＷＡＬＬＳＲＡ装置を設定する場合、管理者は、
Ｊａｖａ，ＪａｖａＳｃｒｉｐｔ、ＡｃｔｉｖｅＸ、Ｃｏｏｋｉｅ、ポップアップ、およびＳＳＬｖ３または対応のウェブブラウ
ザを使用する必要があります。
ＳＳＬＶＰＮエンドユーザのブラウザ要件
以下に、ＮｅｔＥｘｔｅｎｄｅｒなどのＳＳＬＶＰＮプロトコルとさまざまなアプリケーションプロキシ要素をサ
ポートするウェブブラウザとオペレーティングシステムのリストを示します。ウィンドウズ、ウィンドウズ
Ｖｉｓｔａ、ウィンドウズ７、Ｌｉｎｕｘ、およびＭａｃＯＳに関するブラウザの最低バージョン要件を示しま
す。
㩷㪪㪪㪣㩷㪭㪧㪥㩷▤ℂ
䉟䊮䉺䊷䊐䉢䊷䉴
䊑䊤䉡䉱㩷䊋䊷䉳䊢䊮䈱
㩷㩷㩷㩷㩷㩷㩷㩷㩷ᦨዊⷐઙ
䊑䊤䉡䉱
7INDOWS80 7INDOWS 6ISTA
7INDOWS ,INUX
-AC/38
ポータルの概要
ＳｏｎｉｃＷＡＬＬＳＲＡ装置が備えている仮想オフィスと呼ばれるメカニズムは、クライアントが組織の内
部リソースに簡単にアクセスできるようにするウェブベースのポータルインターフェースです。
ＮｅｔＥｘｔｅｎｄｅｒ、仮想アシスト、ファイル共有やその他のネットワークリソースへのブックマークなどの
コンポーネントは、仮想オフィスポータルを通してユーザに表示されます。ユーザを複数のタイプに分
けている組織では、ＳＲＡ装置で複数の個別化したポータルを作成して、それぞれに個別の共有リ
ソースブックマークを設定することができます。ポータルでは、個々のドメイン証明書やセキュリティ証
明書をポータル単位で許可することもできます。ポータルのコンポーネントは、ポータルを追加すると
きに個別化されます。
ファイル共有
ファイル共有は、ＣＩＦＳ（ＣｏｍｍｏｎＩｎｔｅｒｎｅｔＦｉｌｅＳｙｓｔｅｍ）プロトコルまたはＳＭＢ（Ｓｅｒｖｅｒ
ＭｅｓｓａｇｅＢｌｏｃｋ）プロトコルを使用して、マイクロソフトファイル共有への安全なウェブインター
フェースをリモートユーザに提供します。ファイル共有では、マイクロソフトのネットワークコン
ピュータやマイネットワークによく似たスタイルのウェブインターフェースが採用されており、適切な
権限を持つユーザがネットワーク共有を参照して、ファイルの名前変更、削除、取得、アップロー
ドを行ったり、ブックマークを作成して後で参照したりすることができます。ファイル共有を設定する
ことで、制限されたサーバパスアクセスを実現することもできます。
個別ポータル
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでは、複数のポータルを作成し、それぞれに個別のタイトル、バナー、
ログインメッセージ、ロゴ、および使用可能なリソースのセットを設定できます。また、個別の仮
想ホスト／ドメイン名を設定して、既定ポータルのＵＲＬを個別に作成することもできます。ユーザ
28
SonicWALL SRA 5.5 管理者ガイド
がポータルにログインすると、あらかじめ設定されたポータル固有のリンクとブックマークが表示され
ます。ＮｅｔＥｘｔｅｎｄｅｒを仮想オフィスポータルに表示するかどうか、およびユーザがポータルにロ
グインしたときにＮｅｔＥｘｔｅｎｄｅｒを自動的に起動するかどうかを設定できます。管理者は、「ポータ
ル設定」ウィンドウを使って、各ポータルに表示する要素を選択できます。ポータルの設定の詳細
については、「ポータル＞ポータル」セクション（136 ページ）を参照してください。
ドメインの概要
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ環境のドメインとは、ＳＲＡ装置のサービス下のネットワークにアクセスしよう
とするユーザを認証するためのメカニズムです。
ドメインの種類としては、ＳＳＬＶＰＮの内部にあるＬｏｃａｌＤｏｍａｉｎと、外部プラットフォームのマイクロ
ソフトアクティブディレクトリ、ＮＴ認証、ＬＤＡＰ、およびＲＡＤＩＵＳがあります。
多くの組織では、１つのドメインを使用するだけで認証機能を十分に実現できますが、大きな組織の
場合は、ポータルを通じてアプリケーションにアクセスしようとするユーザの複数のノードやコレクション
を扱うために、複数の分散ドメインが必要になることがあります。ドメインの設定の詳細については、
「ポータル＞ドメイン」セクション（155 ページ）を参照してください。
アプリケーションオフロードと HTTP(S) ブックマークの概要
SonicWALL は、イントラネット内のサーバで稼動しているウェブベースのアプリケーションへのアクセス
を提供するために、 SonicWALL SRA 装置上で HTTP(S) ブックマークとアプリケーションオフロードを使
用します。これは Sharepoint 2007 および、マイクロソフト OWA プレミアムや Domino ウェブアクセス 7
といった一般的に使用されるウェブメールインタフェースの拡張版を含みます。 Sharepoint 2010 はアプ
リケーションオフロードでサポートされますが、 HTTP(S) ブックマークでサポートされません。
アプリケーションオフロードと HTTP(S) ブックマークの両方が HTTP(S) リバースプロキシを使用しま
す。リバースプロキシは、イントラネット外のリモートユーザとイントラネット内の目標のウェブサーバの
間に配備されるプロキシサーバです。リバースプロキシは、イントラネット外から開始されるパケットを
途切して転送します。 HTTP(S) リバースプロキシは特に HTTP(S) 要求と応答を途切します。
アプリケーションオフロードは、内部および公開されているホストのウェブアプリケーションへの安全な
アクセスを提供します。アプリケーションオフロードホストは、バックエンドウェブアプリケーションの
プロキシとして機能する仮想ホストを持つ専用のポータルとして作成されます。
ＨＴＴＰ（Ｓ）ブックマークと異なり、オフロードされたアプリケーションへのアクセスはリモートユーザに
制限されません。管理者は特定のユーザやグループに対して強力な認証とアクセスポリシーを強制す
ることができます。例えば、組織では一定のゲストユーザはアウトルックウェブアクセス（ＯＷＡ）へ
のアクセスに２ファクタ認証やクライアント証明書認証が必要なこともありますが、ＯＷＡパブリック
フォルダへのアクセスは許されません。認証が有効なら、オフロードされたホストにはワンタイムパス
ワード、２ファクタ認証、クライアント証明書認証、シングルサインオンといったＳｏｎｉｃＷＡＬＬの高
度な認証機能を積層することができます。
このオフロードされたポータルは、適切なＳＳＬＶＰＮドメインを持つ仮想ホストとして設定しなければな
りません。このようなオフロードされたホストに対しては、認証とアクセスポリシーの強制を無効にする
ことが可能です。
ウェブトランザクションは、ログを確認することで集中監視することができます。さらに、ウェブアプリ
ケーションファイアウォールによって、クロスサイトスクリプティングやＳＱＬインジェクションなどの予期
せぬ侵入からオフロードされたアプリケーションホストを保護することができます。
SonicWALL SRA 5.5 管理者ガイド
29
設定情報については、「ポータル＞アプリケーションオフロード」セクション（148 ページ）および
「ユーザブックマークの追加または編集」セクション（293 ページ）を参照してください。
HTTP(S) ブックマークの利点
HTTP(S) ブックマークを使用することによって、ユーザは Sharepoint 2007、マイクロソフト OWA プレミ
アム、および Domino ウェブアクセス 7 ウェブメールインターフェースの完全機能版にアクセスできま
す。これらのインターフェースは基本提供されるものより使いやすく、より多くの拡張機能を提供しま
す。
アプリケーションオフロードの利点
ウェブアプリケーションをＳＳＬＶＰＮのＨＴＴＰ（Ｓ）ブックマークとして設定するのに比べて、オフロー
ドされたウェブアプリケーションには次の利点があります。
･ＵＲＬ書き換えが必要ないので、スループットが著しく向上する。
･元のウェブアプリケーションの機能がほぼ完全に維持される。それに対し、ＨＴＴＰ（Ｓ）ブックマー
クは最大努力型のソリューションである。
･アプリケーションオフロードはＳＳＬＶＰＮのセキュリティ機能を公開ホストのウェブサイトに拡張す
る。
アプリケーションオフロードは次のシナリオのいずれにも使用できます。
･ＳＳＬオフローダとして機能し、オフロードされたウェブアプリケーションにＨＴＴＰＳサポートを追加
する。これにはＳＲＡ装置の統合ＳＳＬアクセラレータハードウェアを使用する。
･ウェブアプリケーションファイアウォール購読サービスと共に、オフロードされたウェブアプリケー
ションに悪質なウェブ攻撃からの継続的な保護を提供する。
･２ファクタ認証、ワンタイムパスワード、クライアント証明書認証など、強力な認証や積層された
認証をオフロードされたウェブアプリケーションに追加する。
･グローバルなグループまたはユーザをベースにしたアクセスポリシーを使って、オフロードされた
ウェブアプリケーションへのアクセスをきめ細かに制御する。
･ＨＴＴＰ／ＨＴＴＰＳブックマークで現在サポートされていないウェブアプリケーションをサポートする。
アプリケーションオフロードではＵＲＬ書き換えが必要ないので、スループットに悪影響を与えずに
完全なアプリケーション機能を提供できる。
サポートされるプラットフォーム
装置プラットフォーム
SonicWALL SSL VPN 5.5 では、アプリケーションオフロードと HTTP(S) ブックマークは以下の
SonicWALL SRA 装置でサポートされます。
･ SRA 4200
･ SRA 1200
･ SRA Virtual Appliance
HTTP バージョン
HTTP(S) ブックマークとアプリケーションオフロードポータルは HTTP/1.0 および HTTP/1.1 の両方をサ
ポートします。
キャッシング、圧縮、 SSL ハードウェアアクセラレーション、 HTTP 接続持続性、 TCP 接続多重化、
およびプロキシに対する転送チャンクエンコードといった、特定のパフォーマンス最適化機能は、使い
方に応じて自動的に有効にされます。
30
SonicWALL SRA 5.5 管理者ガイド
アプリケーション
SSL VPN 5.5 では、 Sharepoint 2010 はアプリケーションオフロードでサポートされますが、 HTTP(S)
ブックマークでサポートされません。以下の機能が記載されたブラウザ上で試験され、動作確認されま
した。
Sharepoint 機能
ブラウザ
アナウンスメント追加
アナウンスメント削除
ドキュメントダウンロード
ドキュメント追加
ドキュメント削除
アイテム追加
アイテム削除
インターネットエクスプローラ 8
Firefox 5
Chrome 12
以下のウェブアプリケーションは HTTP(S) ブックマークで動作し、かつ、オフロードされたアプリケー
ションとして動作することが試験され、確認されました。
･マイクロソフトアウトルックウェブアクセス 2010
マイクロソフトアウトルックウェブアクセス 2007
マイクロソフトアウトルックウェブアクセス 2003
アウトルックウェブアクセスは、 SonicWALL SRA 1200/4200 および SRA Virtual Appliance プラット
フォームでのみサポートされます。
･ Windows Sharepoint 2007
Windows Sharepoint Services 3.0
Windows Sharepoint Services 2.0
Sharepoint の統合クライアント機能はサポートされません。
･ Lotus Domino ウェブアクセス 7.0
Domino ウェブアクセスは、 SonicWALL SRA 1200/4200 および SRA Virtual Appliance プラット
フォームでのみサポートされます。
･ Novell Groupwise ウェブアクセス 7.0
･マイクロソフト Exchange 2010 ActiveSync
マイクロソフト Exchange 2007 ActiveSync
マイクロソフト Exchange 2003 ActiveSync
Exchange ActiveSync は以下でサポートされます。
- Apple iPhone
- Apple iPad
- Android 2.3 (Gingerbread) ベースの電話機
- Windows Mobile 6.5 ベースの電話機
- Windows Mobile 6.0 ベースの電話機
認証スキーマ
以下の認証スキーマが、アプリケーションオフロードおよび HTTP(S) ブックマークでの使用をサポート
します。
･基本 - ユーザ名とパスワードの形式で資格情報を収集します。
･ NTLM (Microsoft NT LAN Manager) - アクティブディレクトリ対応アプリケーション間で自動認証を提
供します。
･フォームベースの認証 - 資格情報の収集にウェブフォームを使います。
SonicWALL SRA 5.5 管理者ガイド
31
ソフトウェア要件
アプリケーションオフロードおよび HTTP(S) ブックマーク機能の完全セットにアクセスするためには、以
下のエンドユーザ要件を満たしている必要があります。
･インターネットエクスプローラ 6.0 以降
･ Windows 2000、 Windows XP、または Windows Server 2003、またはそれ以降
サポートされるアプリケーション
アプリケーションオフロードまたは HTTP(S) ブックマークを使ってウェブベースのクライアントに対するア
プリケーションにアクセスする際に、完全な機能セットにユーザがアクセス可能です。 SonicWALL SSL
VPN 5.5 アプリケーションオフロードおよび HTTP(S) ブックマークは、以下のソフトウェアアプリケー
ションに対して拡張アプリケーションサポートを提供します。
･ Sharepoint Server 2007
･マイクロソフトアウトルックウェブアクセスプレミアム
･ Lotus Domino ウェブアクセス 7
備考
機能サポートは、ハードウェアおよびインストールに基づいて変化します。特定のアプリケーション
サポートに関する詳細情報については、それぞれのセクションを参照してください。
ヒント正しいウェブブラウザとオペレーティングシステムを使っていてもサポートされるアプリケーションが
動作しない場合は、ブラウザセッションクッキーを削除して、ブラウザのすべてのインスタンスを閉
じて再度開き、ブラウザキャッシュを消去してから、再度試行してください。
サポートされるアプリケーションの配備要件
アプリケーションオフロードと HTTP(S) ブックマークを以下のソフトウェアアプリケーションで使う場合に
は、これらのインストールと全体的な機能の警告を考慮してください。
･ Sharepoint
- Windows Sharepoint サービス互換のクライアントプログラムに依存する機能に対しては、 SSL
VPN 5.5 のアプリケーションオフロードと HTTP(S) ブックマークはインターネットエクスプローラ上
のクライアント統合機能をサポートしません。
- フォームベースの認証と基本認証スキーマのみサポートされます。
- シングルサインオンは、基本認証に対してのみサポートされます。
- Sharepoint 2010 はアプリケーションオフロードでサポートされますが、 HTTP(S) ブックマークで
はサポートされません。
･マイクロソフト OWA
- マイクロソフト OWA プレミアムでのアラビア語とヘブライ語に対する S/MIME サポートと双方向レ
イアウトサポートは、インターネットエクスプローラ 6 SP1 以降を使用する場合にのみ利用可能
です。マイクロソフト OWA プレミアムでサポートされる Gzip 圧縮は、リバースプロキシを通して
はサポートされません。
･ Domino ウェブアクセス
- この記述はインターネットエクスプローラ 5.0 以降を使ったアクセスに、 ActiveX コントロールを
使用します。シングルサインオンはリバースプロキシを通した Domino ウェブアクセス 7 ではサ
ポートされません。
32
SonicWALL SRA 5.5 管理者ガイド
ネットワークリソースの概要
ネットワークリソースとは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮを使用してアクセスできる信頼済みネットワーク
の、細かいレベルのコンポーネントです。管理者がネットワークリソースを事前定義してユーザまたは
グループにブックマークとして割り当てることもできれば、ユーザが自分用のネットワークリソースを定
義してブックマークを作成することもできます。
以下のセクションでは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでサポートされる各種のネットワークリソースについ
て説明します。
･「ＨＴＴＰ（ウェブ）およびセキュアＨＴＴＰＳ（ウェブ）」セクション（33 ページ）
･「Ｔｅｌｎｅｔ（Ｊａｖａ）」セクション（34 ページ）
･「ＳＳＨｖ１およびＳＳＨｖ２（Ｊａｖａ）」セクション（34 ページ）
･「ＦＴＰ（ウェブ）」セクション（34 ページ）
･「ファイル共有（ＣＩＦＳ／ＳＭＢ）」セクション（34 ページ）
･「リモートデスクトッププロトコルと仮想ネットワークコンピューティング」セクション（35 ページ）
･「ＲＤＰを使用したアプリケーションプロトコル」セクション（36 ページ）
･「マイクロソフトアウトルックウェブアクセス」セクション（36 ページ）
･「ウィンドウズＳｈａｒｅｐｏｉｎｔＳｅｒｖｉｃｅｓ」セクション（38 ページ）
･「ロータスドミノウェブアクセス７」セクション（38 ページ）
･「Ｃｉｔｒｉｘポータル」セクション（39 ページ）
ＨＴＴＰ（ウェブ）およびセキュアＨＴＴＰＳ（ウェブ）
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、内部ネットワーク、インターネット、または装置から到達できるその
他のネットワークセグメント上のＨＴＴＰまたはＨＴＴＰＳサーバに対するプロキシアクセスを提供し
ます。リモートユーザはＨＴＴＰＳを使用してＳｏｎｉｃＷＡＬＬＳＲＡ装置と通信し、ＵＲＬを要求しま
す。ＳｏｎｉｃＷＡＬＬＳＲＡはＨＴＴＰ経由でそのＵＲＬを取得します。ＵＲＬは必要に応じて変換さ
れ、暗号化されてリモートユーザに返されます。
ＳＳＬＶＰＮ管理者は、ユーザがＨＴＴＰ（Ｓ）リバースプロキシサポートを使ってマイクロソフトＯＷＡ
プレミアム、ウィンドウズＳｈａｒｅｐｏｉｎｔ２００７、ＮｏｖｅｌｌＧｒｏｕｐｗｉｓｅＷｅｂＡｃｃｅｓｓ７.０やドミノウェブ
アクセス７などのウェブベースのリソースとアプリケーションにアクセスできるように、ウェブ（ＨＴＴＰ）
またはセキュアウェブ（ＨＴＴＰＳ）ブックマークを設定できます。リバースプロキシブックマークはま
た、ＨＴＴＰ１.１プロトコルと接続持続性をサポートします。
ＳＲＡ４２００装置のＨＴＴＰＳブックマークでは、最大２０４８ビットの鍵がサポートされます。
ＳＲＡ装置では、ＨＴＴＰ（Ｓ）キャッシュがサポートされています。キャッシュは、ＳＲＡ装置がリモー
トユーザとローカルウェブサーバの間に配備されるプロキシウェブサーバとして機能しているときに使
用されます。プロキシは、内部ウェブサーバがＨＴＴＰ（Ｓ）プロトコルの仕様に基づいてキャッシュ
可能と見なすＨＴＴＰ（Ｓ）コンテンツをＳＲＡ装置上にキャッシュすることができます。それ以降の要
求に関しては、ユーザがＳＲＡ機器で認証されており、アクセスポリシーによってアクセスが許可され
ていることが確認された場合に限り、キャッシュされたコンテンツが返されます。しかしながら、ＳＳＬ
ＶＰＮはバックエンドウェブサーバへのトラフィックを、同一ウェブサーバに対する複数のユーザのセッ
ションで単一のＴＣＰ接続が使用されるように、ＴＣＰ接続の多重性を用いて最適化します。キャッシュ
は主に、ＪａｖａＳｃｒｉｐｔファイル、スタイルシート、イメージなどの静的ウェブコンテンツに使用されま
す。プロキシは無限の長さのＨＴＭＬ／ＪａｖａＳｃｒｉｐｔ／ＣＳＳドキュメントを解析できます。管理者
は、キャッシュの有効と無効の切り替え、キャッシュされたコンテンツのフラッシュ、およびキャッシュ
の最大サイズの設定を行うことができます。
SonicWALL SRA 5.5 管理者ガイド
33
ＳｏｎｉｃＷＡＬＬＳＲＡ装置がローカルウェブサーバから受け取ったコンテンツは、ｇｚｉｐを使って圧縮さ
れてから、インターネット経由でリモートクライアントに送信されます。装置から送信されるコンテンツを
圧縮することで、帯域幅が節約され、それによってスループットが向上します。しかも、圧縮されたコ
ンテンツのみがキャッシュされるので、必要なメモリのほぼ４０～５０％が節約されます。ｇｚｉｐ圧縮
は、ＳＲＡ装置のローカル（クリアテキスト側）、またはリモートクライアントからのＨＴＴＰＳ要求に
は利用できないことに注意してください。
Ｔｅｌｎｅｔ（Ｊａｖａ）
これは、リモートユーザのウェブブラウザを通じて配信されるＪａｖａベースのＴｅｌｎｅｔクライアント
です。リモートユーザがアクセス可能なＴｅｌｎｅｔサーバのＩＰアドレスを指定すると、ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮがそのサーバへの接続を確立します。ＳＳＬ経由のユーザとサーバの通信は、ネイ
ティブＴｅｌｎｅｔを使用してプロキシ接続されます。Ｔｅｌｎｅｔアプレットは、インターネットエクスプロー
ラのＭＳＪＶＭ（マイクロソフトＪａｖａ仮想マシン）をサポートしており、他のブラウザの場合は
ＳｕｎＪａｖａランタイム環境（ＪＲＥ）１.１以降が必要です。
ＳＳＨｖ１およびＳＳＨｖ２（Ｊａｖａ）
これは、リモートユーザのウェブブラウザを通じて配信されるＪａｖａベースのＳＳＨクライアントで
す。リモートユーザがアクセス可能なＳＳＨサーバのＩＰアドレスを指定すると、ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮがそのサーバへの接続を確立します。ＳＳＬ上のユーザとサーバ間の通信は、ネイ
ティブに暗号化されたＳＳＨを使用してプロキシが行われます。ＳＳＨｖ１アプレットは、インター
ネットエクスプローラのＭＳＪＶＭをサポートしており、他のブラウザの場合はＳＵＮＪＲＥ１.１が
必要です。ＳＳＨｖ２の暗号化はＳＳＨｖ１よりも強力であり、それ以外にも高度な機能を備えてい
ますが、ＳＳＨｖ２をサポートするサーバにしか接続できません。ＳＳＨｖ２サポートによって、ターミ
ナルタイプはＶＴ１００に設定されます。ＳＳＨｖ２を使用するには、ＪＲＥ１.４.２以上が必要です。
これは〈http://java.sun.com〉で入手できます。
ＦＴＰ（ウェブ）
これは、内部ネットワーク、インターネット、またはＳＲＡ装置が到達できるその他のネットワーク
セグメント上のＦＴＰサーバに対するプロキシアクセスです。リモートユーザがＨＴＴＰＳを使用して
ＳＲＡ装置と通信し、ＵＲＬを要求すると、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮがそのＵＲＬをＨＴＴＰ経由で
取得し、必要に応じて変換し、暗号化してリモートユーザに返します。ＦＴＰは、４種類の日本語
セット、２種類の中国語セット、および２種類の韓国語セットを含めて、２５種類の文字セットを
サポートします。クライアントのブラウザとオペレーティングシステムは目的の文字セットをサポート
する必要があり、場合によっては言語パックが必要です。
ファイル共有（ＣＩＦＳ／ＳＭＢ）
ファイル共有は、ＣＩＦＳ（ＣｏｍｍｏｎＩｎｔｅｒｎｅｔＦｉｌｅＳｙｓｔｅｍ）プロトコルまたはＳＭＢ（Ｓｅｒｖｅｒ
ＭｅｓｓａｇｅＢｌｏｃｋ）プロトコルを使用して、マイクロソフトファイル共有への安全なウェブインター
フェースをリモートユーザに提供します。ファイル共有では、マイクロソフトのネットワークコン
ピュータやマイネットワークによく似たスタイルのウェブインターフェースが採用されており、適切な
権限を持つユーザがネットワーク共有を参照して、ファイルの名前変更、削除、取得、アップロー
34
SonicWALL SRA 5.5 管理者ガイド
ドを行ったり、ブックマークを作成して後で参照したりすることができます。ファイル共有を設定する
ことで、制限されたサーバパスアクセスを実現することもできます。
リモートデスクトッププロトコルと仮想ネットワークコンピューティング
ＲＤＰＪａｖａとＶＮＣはウィンドウズ、Ｌｉｎｕｘ、およびＭａｃオペレーティングシステムでサポートさ
れますが、ＲＤＰＡｃｔｉｖｅＸはウィンドウズのみでサポートされます。マイクロソフトの多くのワークス
テーションやサーバにはリモートアクセスを実現できるＲＤＰサーバの機能が用意されており、ダウ
ンロードしてインストールできる無償のＶＮＣサーバもほとんどのオペレーティングシステム用に数
多く公開されています。ＲＤＰクライアントやＶＮＣクライアントは、許可されたリモートユーザの
ウェブブラウザを通じて次のような形式で自動的に配信されます。
･ＲＤＰＪａｖａ－ＲＤＰＪａｖａはマイクロソフトのリモートデスクトッププロトコルであり、Ｊａｖａクライア
ントとして提供されるのでプラットフォーム互換性が広いという長所があります。ＲＤＰＪａｖａクライア
ントは、ウィンドウズ、Ｌｉｎｕｘ、およびＭａｃコンピュータで動作し、全画面モードをサポートしてい
ます。ウィンドウズクライアントでは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは多くの詳細設定オプションをサ
ポートしています。ＭａｃＯＳＸ１０.５以上では、ＲＤＰＪａｖａはＭａｃ固有のＲＤＰクライアントをサ
ポートします。
･ＲＤＰＡｃｔｉｖｅＸ－ＲＤＰＡｃｔｉｖｅＸもマイクロソフトのリモートデスクトッププロトコルです。ＲＤＰ
ＡｃｔｉｖｅＸクライアントはウィンドウズのみで動作し、ＭａｃおよびＬｉｎｕｘコンピュータではサポートさ
れません。ＲＤＰＡｃｔｉｖｅＸでは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは４つの詳細設定オプションをサポー
トしています。
･ＶＮＣ（Ｊａｖａ）－ＶＮＣはもともとＡＴ＆Ｔによって開発されたものですが、今日ではオープン
ソースソフトウェアとして広く使われています。さまざまなＶＮＣサーバがありますが、どのＶＮＣ
サーバもほとんどのワークステーションやサーバにインストールしてリモートアクセスを実現すること
ができます。これらのサーバに接続するためのＶＮＣクライアントは、リモートユーザのウェブブラ
ウザを通じてＪａｖａクライアントとして配信されます。
ＲＤＰ６サポート
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＲＤＰ６クライアントとの接続をサポートしており、ＲＤＰ５の機能セット
に加えてＲＤＰ６の４つの機能に対応しています。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＲＤＰ６.１クライアントとの接続をサポートしています。ＲＤＰ６.１は、以
下のオペレーティングシステムに含まれています。
･ウィンドウズＳｅｒｖｅｒ２００８
･ウィンドウズＶｉｓｔａサービスパック１（ＳＰ１）
･ウィンドウズＸＰサービスパック３（ＳＰ３）
ＲＤＰ６.１は、ウィンドウズＳｅｒｖｅｒ２００８の以下の機能性を組み入れています。
･ＴｅｒｍｉｎａｌＳｅｒｖｉｃｅｓＲｅｍｏｔｅＡｐｐ
･ＴｅｒｍｉｎａｌＳｅｒｖｉｃｅｓＥａｓｙＰｒｉｎｔｄｒｉｖｅｒ
･シングルサインオン
詳細については、「ユーザブックマークの追加または編集」セクション（293 ページ）を参照してくださ
い。
ＲＤＰ７サポート
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＲＤＰ７クライアントとの接続をサポートしており、ＲＤＰ７の機能セット
に対応しています。ＲＤＰ７は、以下のオペレーティングシステムで利用可能です。
SonicWALL SRA 5.5 管理者ガイド
35
･ウィンドウズＸＰＳＰ３
･ウィンドウズＶｉｓｔａＳＰ１
･ウィンドウズＶｉｓｔａＳＰ２
ＲＤＰを使用したアプリケーションプロトコル
アプリケーションプロトコルとは、デスクトップ全体ではなく特定のアプリケーションへのアクセスを提
供するＲＤＰセッションのことを指します。これによって、ＣＲＭソフトウェアや財務会計ソフトウェア
といった個別のアプリケーションへのアクセスを定義できます。アプリケーションを閉じると、その
セッションも終了します。アプリケーションプロトコルとして以下のＲＤＰ形式を使用できます。
ＲＤＰＪａｖａ－ＪａｖａベースのＲＤＰクライアントを使用してターミナルサーバに接続し、指定のパス
（例えば C ：￥ｐｒｏｇｒａｍｆｉｌｅｓ￥ｍｉｃｒｏｓｏｆｔｏｆｆｉｃｅ￥ｏｆｆｉｃｅ１１￥ｗｉｎｗｏｒｄ.ｅｘｅ）にあるアプリケーション
を自動的に呼び出します。
ＲＤＰＡｃｔｉｖｅＸ－ＡｃｔｉｖｅＸベースのＲＤＰクライアントを使用してターミナルサーバに接続し、指定の
パス（例えばＣ：￥ｐｒｏｇｒａｍｆｉｌｅｓ￥ｗｉｒｅｓｈａｒｋ￥ｗｉｒｅｓｈａｒｋ.ｅｘｅ）にあるアプリケーションを自動的
に呼び出します。
ＳＳＯ、ユーザポリシー、ブックマークのアプリケーションサポート
表 4 は、シングルサインオン（ＳＳＯ）、グローバル／グループ／ユーザの各ポリシー、およびブッ
クマークシングルサインオン制御ポリシーに関するアプリケーション固有サポートのリストです。
表 4 アプリケーションサポート
アプリケーション
ＳＳＯのサポート
グローバル／グ
ループ／ユーザの
各ポリシー
ターミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）
はい
はい
はい
ターミナルサービス（ＲＤＰ－Ｊａｖａ）
はい
はい
はい
仮想ネットワークコンピューティング（ＶＮＣ）
いいえ
はい
はい
ファイル転送プロトコル（ＦＴＰ）
はい
はい
はい
Ｔｅｌｎｅｔ
いいえ
はい
はい
セキュアシェル（ＳＳＨ）
いいえ
はい
はい
ウェブ（ＨＴＴＰ）
はい
はい
はい
セキュアウェブ（ＨＴＴＰＳ）
はい
はい
はい
ファイル共有（ＣＩＦＳ／ＳＭＢ）
はい
はい
はい
Ｃｉｔｒｉｘポータル（Ｃｉｔｒｉｘ）
いいえ
はい
はい
ブックマークポリ
シー
マイクロソフトアウトルックウェブアクセス
ＳｏｎｉｃＷＡＬＬＳＲＡ５.５は、すべてのバージョンのＯＷＡ２０１０、２００７、および２００３のリ
バースプロキシアプリケーションをサポートしています。
マイクロソフトＯＷＡプレミアムモードは、マイクロソフトアウトルック２００３／２００７／２０１０用の
ウェブクライアントで、マイクロソフトアウトルックのインターフェースをシミュレートし、基本的なＯＷＡ
よりも多くの機能を提供します。マイクロソフトＯＷＡプレミアムには、スペルチェック、サーバ側の
ルールの作成と変更、ウェブビーコンのブロック、仕事のサポート、自動署名のサポート、アドレス
36
SonicWALL SRA 5.5 管理者ガイド
帳の拡張などの機能が備わっています。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのＨＴＴＰ（Ｓ）リバースプロキシ
機能は、マイクロソフトＯＷＡプレミアムをサポートしています。
マイクロソフトＯＷＡプレミアムには、次の機能があります。
･電子メール、予定表、および仕事へのアクセス
･右クリック機能を含む、新しいアウトルックの外観と操作性
･電子メールを未開封に設定する機能
･サーバ側のスペルチェック（６つの言語のみ）
･フォームベースの認証（セッションタイムアウト）
･Ｓ／ＭＩＭＥのサポート
備考
マイクロソフトＯＷＡプレミアムのＳ／ＭＩＭＥのサポートは、インターネットエクスプローラ６ＳＰ１
以降でのみ利用できます。
･２行ビュー
･ショートカットメニュー
･強化されたキーボードショートカット
･会議出席依頼を転送する機能
･ナビゲーションウィンドウでの通知
･連絡先に追加する機能
･アドレス帳から名前を選択する機能
･ビューに表示されるメッセージの最大数を設定する機能
･アラビア語とヘブライ語の双方向レイアウトのサポート
備考
マイクロソフトＯＷＡプレミアムのアラビア語とヘブライ語の双方向レイアウトのサポートは、イン
ターネットエクスプローラ６ＳＰ１以降でのみ利用できます。
･閲覧ウィンドウの使用時にメッセージの状態を “開封済み” に設定するオプション
･独立したブラウザウィンドウに表示されるパブリックフォルダ
･電子メールメッセージまたは会議出席依頼内でのＧＡＬプロパティシートへのアクセス
･情報バーでのメッセージの秘密度の設定
･会議出席依頼の出席者アラームオプション
･独立したウィンドウで予定表を起動する機能
･共通のサーバ側のルールを設定するユーザインターフェース
･アウトルックスタイルのクイックフラグ
･メッセージの署名のサポート
･検索フォルダ（アウトルックオンラインモードで作成する必要がある）
･削除後の新着メッセージの遅延検索
･添付ファイルのブロック
･スパム送信者による電子メールアドレスの確認を困難にするウェブビーコンのブロック
･ユーザが電子メールメッセージの本文でハイパーリンクを選択したときのプライベート情報の保護
アウトルックウェブアクセスにアクセスする必要がある複数のアクティブディレクトリグループに対する
グループベースのアクセスポリシーの設定を含むユースケースについては、「ＡＤグループの一意ア
クセスポリシーの作成」セクション（371 ページ）を参照してください。
SonicWALL SRA 5.5 管理者ガイド
37
ウィンドウズＳｈａｒｅｐｏｉｎｔＳｅｒｖｉｃｅｓ
ウィンドウズＳｈａｒｅｐｏｉｎｔ２００７、ウィンドウズＳｈａｒｅｐｏｉｎｔＳｅｒｖｉｃｅｓ３.０、およびウィンドウズ
ＳｈａｒｅｐｏｉｎｔＳｅｒｖｉｃｅｓ２.０対応のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮリバースプロキシアプリケーションサ
ポートには、以下の機能があります。
･サイトテンプレート
･Ｗｉｋｉサイト
･ブログ
･ＲＳＳフィード
･ＰｒｏｊｅｃｔＭａｎａｇｅｒ
･コンテンツへのモバイルアクセス
･個人用サイト
･検索センター
･ドキュメントセンター
･文書翻訳管理
･ウェブコンテンツ管理
･ワークフロー
･レポートセンター
備考
ウィンドウズＳｈａｒｅｐｏｉｎｔＳｅｒｖｉｃｅｓ対応クライアントプログラムに依存する機能については、ＳＳＬ
ＶＰＮ５.５リバースプロキシはＳｈａｒｅｐｏｉｎｔのクライアント統合をサポートしません。
シングルサインオンは基本認証の場合のみサポートされます。
フォームベース認証と基本認証のスキームのみがサポートされます。
ロータスドミノウェブアクセス７
ドミノウェブアクセス７対応のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮリバースプロキシアプリケーションサポー
トには、以下の機能があります。
･電子メール
･ナビゲーション
･予定表
･フォルダとストレージ
･連絡先
･仕事とメモ
･ルール
･オプションと環境設定
･ヘルプ
･フォローアップリマインダ
38
SonicWALL SRA 5.5 管理者ガイド
Ｃｉｔｒｉｘポータル
Ｃｉｔｒｉｘは、ＲＤＰと似たリモートアクセスのアプリケーション共有サービスです。これにより、ユー
ザはセキュアな接続を通して、中央のコンピュータにあるファイルやアプリケーションにリモートアク
セスすることができます。Ｃｉｔｒｉｘアプレットを使用するには、ＳＵＮＪＲＥ１.６.０_１０以降が必要で
す。
ＡｃｔｉｖｅＸおよびＪａｖａ版ＣｉｔｒｉｘＲｅｃｅｉｖｅｒクライアントに加え、以前のＸｅｎＡｐｐおよびＩＣＡクライアン
トがサポートされます。以前のバージョンのＣｉｔｒｉｘでは、ＣｉｔｒｉｘＩＣＡクライアントは、ＣｉｔｒｉｘＸｅｎＡｐｐ
プラグインに名称が変更されました。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、Ｃｉｔｒｉｘ ” ＲｅｃｅｉｖｅｒｆｏｒＷｉｎｄｏｗｓ３.０” ＡｃｔｉｖｅＸクライアント、Ｃｉｔｒｉｘ ”
ＲｅｃｅｉｖｅｒｆｏｒＪａｖａ１０.１” Ｊａｖａクライアント、ＣｉｔｒｉｘＸｅｎＡｐｐプラグイン１２.０.３以前（以前のバー
ジョンのＩＣＡクライアントを含む）とＣｉｔｒｉｘＪａｖａクライアント１０.０以前を実行するクライアントコン
ピュータをサポートしています。Ｖｉｓｔａで動作するＣｉｔｒｉｘＩＣＡクライアントの最も古いバージョンは、
１０.０です。
ＳｏｎｉｃＯＳＳＳＬＶＰＮ５.５は、ＸｅｎＡｐｐＳｅｒｖｅｒ６.０、ＸｅｎＡｐｐＳｅｒｖｅｒ５.０、ＸｅｎＡｐｐＳｅｒｖｅｒ
４.５、ＰｒｅｓｅｎｔａｔｉｏｎＳｅｒｖｅｒ４.０、およびＭｅｔａｆｒａｍｅＸＰＦＲ３をサポートします。
ＳＮＭＰの概要
ＳＳＬＶＰＮ５.０以降を実行するＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＳｉｍｐｌｅＮｅｔｗｏｒｋＭａｎａｇｅｍｅｎｔ
Ｐｒｏｔｏｃｏｌ（ＳＮＭＰ）をサポートしています。ＳＮＭＰは、リモートアクセスに関する統計情報を提供
します。ＳＮＭＰがサポートされたことにより、管理者は標準的なレポート作成ツールを利用できること
になり、ネットワークの管理が楽になります。
ＤＮＳの概要
管理者は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置でＤＮＳを設定することによって、ホスト名をＩＰアドレスで解決で
きるようになります。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースで、管理者は、ホ
スト名、ＤＮＳサーバアドレス、およびＷＩＮＳサーバアドレスを設定できます。
ネットワークルートの概要
既定のネットワークルートを設定することによって、ＳＲＡ装置は、指定のデフォルトゲートウェイ
を経由してリモートＩＰネットワークに到達できます。ゲートウェイは、通常、ＳＲＡ装置が接続され
るアップストリームのファイアウォールです。既定のルートに加えて、優先パスとして、デフォルト
ゲートウェイを使用しない、ホストおよびネットワークへの具体的な静的パスを設定することも可能で
す。
ＮｅｔＥｘｔｅｎｄｅｒの概要
このセクションでは、ＮｅｔＥｘｔｅｎｄｅｒ機能の概要を説明します。このセクションは次のサブセクション
から構成されています。
･「ＮｅｔＥｘｔｅｎｄｅｒとは」セクション（40 ページ）
SonicWALL SRA 5.5 管理者ガイド
39
･「メリット」セクション（40 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒの概念」セクション（40 ページ）
ＮｅｔＥｘｔｅｎｄｅｒの使用の詳細については、「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」セクション（199 ページ）または
『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザガイド』を参照してください。
ＮｅｔＥｘｔｅｎｄｅｒとは
ＳｏｎｉｃＷＡＬＬＮｅｔＥｘｔｅｎｄｅｒは、ウィンドウズ、Ｍａｃ、およびＬｉｎｕｘユーザがリモートネットワークに
セキュアな方法で接続できるようにする、透過的なソフトウェアアプリケーションです。ＮｅｔＥｘｔｅｎｄｅｒ
によって、リモートユーザはリモートネットワーク上でセキュリティで守られてアプリケーションを実行で
きます。ファイルをアップロード／ダウンロードする、ネットワークドライブをマウントする、リソースに
アクセスするなどの作業をローカルネットワークに接続しているような感覚で実行することができます。
ＮｅｔＥｘｔｅｎｄｅｒの接続では、ポイントツーポイントプロトコル（ＰＰＰ）接続を使用します。
ＳｏｎｉｃＷＡＬＬＳＲＡＳＳＬＶＰＮ５.５以降では、ＳｏｎｉｃＷＡＬＬはＮｅｔＥｘｔｅｎｄｅｒの能力をＡｐｐｌｅ
ｉＰｈｏｎｅ、ｉＰａｄ、およびｉＰｏｄＴｏｕｃｈ用のＳｏｎｉｃＷＡＬＬＭｏｂｉｌｅＣｏｎｎｅｃｔアプリケーションによって
拡張しました。ＳｏｎｉｃＷＡＬＬＭｏｂｉｌｅＣｏｎｎｅｃｔはＳｏｎｉｃＷＡＬＬセキュリティ装置によって保護された
プライベートネットワークへの保護されたモバイル接続を可能にします。 SonicWALL Mobile Connect の
インストールと使用に関する情報は、 http://www.sonicwall.com/app/projects/file_downloader/
document_lib.php?t=PG&id=482 から入手可能な、『SonicWALL Mobile Connect User Guide 』を参照し
てください。
メリット
ＮｅｔＥｘｔｅｎｄｅｒにより、リモートユーザは保護された内部ネットワークに完全にアクセスできるようにな
ります。これは、従来のＩＰＳｅｃＶＰＮクライアントで実現されていた機能を踏襲したものですが、
ＮｅｔＥｘｔｅｎｄｅｒの場合はクライアントを手動でインストールする必要がありません。代わりに、
ＮｅｔＥｘｔｅｎｄｅｒウィンドウズクライアントはＡｃｔｉｖｅＸコントロールによって（インターネットエクスプロー
ラブラウザを使用している場合）、またはＸＰＣＯＭプラグインを使用して（Ｆｉｒｅｆｏｘを使用している場
合）、リモートユーザのコンピュータに自動的にインストールされます。ＬｉｎｕｘまたはＭａｃＯＳシステ
ムでは、サポートされるブラウザがＪａｖａコントロールを使用して、仮想オフィスポータルから
ＮｅｔＥｘｔｅｎｄｅｒを自動的にインストールします。
ＮｅｔＥｘｔｅｎｄｅｒウィンドウズクライアントにはまた、ウィンドウズネットワーク接続メニューから起動でき
る個別ダイアラがあります。この個別ダイアラにより、ＮｅｔＥｘｔｅｎｄｅｒはウィンドウズドメインログインの
前に接続することが可能になります。ＮｅｔＥｘｔｅｎｄｅｒウィンドウズクライアントはまた、単一アクティブ接
続ををサポートし、そしてクライアント内にリアルタイムスループットとデータ圧縮率を表示ます。
インストール後に、ＮｅｔＥｘｔｅｎｄｅｒが自動的に起動して仮想アダプタに接続し、内部ネットワーク上の
許可されたホストおよびサブネットに対するＳＳＬベースの安全なポイントツーポイントアクセスを提供
します。
ＮｅｔＥｘｔｅｎｄｅｒの概念
以下のセクションではＮｅｔＥｘｔｅｎｄｅｒの概念について詳細に説明します。
･「スタンドアロンクライアント」（41 ページ）
･「複数の範囲とルート」（41 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒと外部認証方法」（42 ページ）
･「ポイントツーポイントサーバのＩＰアドレス」（42 ページ）
･「接続スクリプト」（43 ページ）
･「トンネルオールモード」（43 ページ）
40
SonicWALL SRA 5.5 管理者ガイド
･「プロキシの設定」（43 ページ）
スタンドアロンクライアント
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮには、スタンドアロンのＮｅｔＥｘｔｅｎｄｅｒアプリケーションが用意されていま
す。ＮｅｔＥｘｔｅｎｄｅｒはブラウザによってインストールされる軽量のアプリケーションで、包括的なリ
モートアクセスを提供します。ユーザが手動でダウンロードしてインストールする必要はありません。
ＮｅｔＥｘｔｅｎｄｅｒを初めて起動するときに、ＮｅｔＥｘｔｅｎｄｅｒスタンドアロンクライアントがユーザのＰＣ
またはＭａｃに自動的にインストールされます。インストーラでは、ユーザのログイン情報に基づい
てプロファイルが作成されます。その後、インストーラのウィンドウが閉じ、ＮｅｔＥｘｔｅｎｄｅｒが自動
的に起動します。ユーザのコンピュータに以前のバージョンのＮｅｔＥｘｔｅｎｄｅｒがインストールされて
いる場合は、古いバージョンが最初にアンインストールされてから新しいバージョンがインストールさ
れます。
ＮｅｔＥｘｔｅｎｄｅｒスタンドアロンクライアントがインストールされた後で、ウィンドウズユーザは「スタート
＞プログラム」メニューを使用してＮｅｔＥｘｔｅｎｄｅｒを起動し、ウィンドウズの起動時にＮｅｔＥｘｔｅｎｄｅｒ
が起動されるように設定できます。
NetExtender はユーザが Windows ドメインにログインする前に VPN セッションを確立できます。
Windows XP 以前のバージョンを使っているユーザは、 Windows ログイン画面上で「ダイヤルアップ接
続を使用してログオン」を使ったログオンを選択して、ダイヤルアップ接続のリストから NetExtender を
選択できます。 Windows Vista 以降では、ユーザは Windows ログイン画面上で「ユーザーの切り替
え」を選択して、画面右下隅に現れる青いコンピュータアイコンを選択してから、 NetExtender で接続
するように選択できます。
Ｍａｃユーザは、「アプリケーション」フォルダからＮｅｔＥｘｔｅｎｄｅｒを起動するか、Ｄｏｃｋにアイコンをド
ラッグしてＮｅｔＥｘｔｅｎｄｅｒにすばやくアクセスすることができます。Ｌｉｎｕｘシステムでは、インストーラ
によって／ｕｓｒ／ｓｈａｒｅ／ＮｅｔＥｘｔｅｎｄｅｒにデスクトップショートカットが作成されます。Ｇｎｏｍｅや
ＫＤＥなどの環境では、このショートカットをショートカットバーにドラッグすることができます。
NetExtender は以下の SonicWALL 装置と互換性がいあります。
･ SonicWALL SRA 4200/1200
･ SonicWALL SRA Virtual Appliance
･ SonicWALL NSA および TZ シリーズ ( 要 SSL VPN ライセンス )
NetExtender は以下のクライアントプラットフォーム上で公式にサポートされています。
･ Fedora 8+
･ Ubuntu 7+
･ OpenSUSE 10.3+
･ Mac OS X 10.4+
･ Android 1.6+
NetExtender はその他の Linux ディストリビューション上でも正しく動作することがありますが、それらは
SonicWALL によって公式にサポートされていません。
複数の範囲とルート
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＮｅｔＥｘｔｅｎｄｅｒの複数の範囲とルートのサポートでは、ネットワーク管
理者がグループとユーザを簡単にセグメント分割できます。アクセスを制御するファイアウォールの
ルールを設定する必要はありません。このユーザのセグメント化によって、ネットワークへのアクセ
SonicWALL SRA 5.5 管理者ガイド
41
スを細かく制御できます。ユーザに対しては必要なリソースへのアクセスを許可し、機密性の高いリ
ソースへのアクセスは必要最小限のユーザのみに制限できます。
セグメント分割を必要としないネットワークでは、クライアントのアドレスとルートをＳＳＬＶＰＮ１.０バー
ジョンのＮｅｔＥｘｔｅｎｄｅｒと同じようにグローバルに設定できます。以下のセクションでは、新しい複数
の範囲とルートの改良点について説明します。
･「ＩＰアドレスユーザセグメント分割」（42 ページ）
･「クライアントルート」（42 ページ）
ＩＰアドレスユーザセグメント分割
管理者は、複数のＮｅｔＥｘｔｅｎｄｅｒＩＰアドレス範囲をユーザとグループに設定できます。これらの範囲
は、「ユーザの編集」ウィンドウおよび「グループの編集」ウィンドウの「ＮｅｔＥｘｔｅｎｄｅｒ」タブを使用
して、「ユーザ＞ローカルユーザ」ページと「ユーザ＞ローカルグループ」ページで設定します。
複数のＮｅｔＥｘｔｅｎｄｅｒＩＰアドレス範囲をユーザとグループに設定する際には、ＳｏｎｉｃＷＡＬＬＳＲＡ装
置の IP アドレス割り当て方法を理解している必要があります。ＳｏｎｉｃＷＡＬＬＳＲＡ装置では、以下の
優先順位でＩＰアドレスをＮｅｔＥｘｔｅｎｄｅｒクライアントに割り当てます。
1. ユーザのローカルプロファイルに定義された範囲にあるＩＰアドレス。
2. ユーザが所属するグループプロファイルに定義された範囲にあるＩＰアドレス。
3. グローバルＮｅｔＥｘｔｅｎｄｅｒ範囲にあるＩＰアドレス。
個々のユーザに常に同じＩＰアドレスを割り当てるには、「グループの編集」ウィンドウの
「ＮｅｔＥｘｔｅｎｄｅｒ」タブで、「クライアントアドレス範囲の開始」フィールドと「クライアントアドレス範囲
の終了」フィールドに同じＩＰアドレスを入力します。
クライアントルート
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートは、さまざまなネットワークリソースへのアクセスを許可または拒否
するために使用されます。クライアントルートは、ユーザレベルまたはグループレベルでも設定でき
ます。ＮｅｔＥｘｔｅｎｄｅｒクライアントルートは、「ユーザの編集」ウィンドウと「グループの編集」ウィン
ドウでも設定できます。クライアントルートのセグメント分割は完全なカスタマイズが可能であり、あら
ゆる組み合わせでユーザルート、グループルート、およびグローバルルートを指定できます ( 例えば
グループルートのみ、ユーザルートのみ、グループルートとグローバルルート、これらのすべての
ルートなどの指定が可能です )。このセグメント分割は、「ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルー
トを追加する」チェックボックスと「ＮｅｔＥｘｔｅｎｄｅｒグループクライアントルートを追加する」チェック
ボックスを使って制御します。
ＮｅｔＥｘｔｅｎｄｅｒと外部認証方法
外部認証サーバを使用するネットワークでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置にローカルユーザ名が設
定されません。その場合、「ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを追加する」および
「ＮｅｔＥｘｔｅｎｄｅｒグループクライアントルートを追加する」の設定が有効になっていれば、ユーザの
認証が正常に完了したときにローカルユーザアカウントが作成されます。
ポイントツーポイントサーバのＩＰアドレス
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでは、ＰＰＰサーバのＩＰアドレスは接続中のすべてのクライアントに対し
て１９２.０.２.１になります。このＩＰアドレスは、内部ネットワークに接続中のリモートユーザと、リ
モートＮｅｔＥｘｔｅｎｄｅｒクライアントと通信する内部ネットワークホストに接続中のリモートユーザの両
方にとって意識せずに使用できます。ＰＰＰサーバのＩＰアドレスは、ＮｅｔＥｘｔｅｎｄｅｒアドレスプー
42
SonicWALL SRA 5.5 管理者ガイド
ルから独立しているため、グローバルＮｅｔＥｘｔｅｎｄｅｒアドレスプールのすべてのＩＰアドレスが
ＮｅｔＥｘｔｅｎｄｅｒクライアントに使用されます。
接続スクリプト
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、ＮｅｔＥｘｔｅｎｄｅｒの接続が確立されたときと切断されたときにバッチ
ファイルスクリプトを実行する機能を提供しています。これらのスクリプトを使えば、ネットワークド
ライブやプリンタのマッピングと切断、アプリケーションの起動、ファイルやウェブサイトの表示など
を行うことができます。ＮｅｔＥｘｔｅｎｄｅｒの接続スクリプトでは任意の有効なバッチファイルコマンドを
使用できます。
トンネルオールモード
トンネルオールモードでは、リモートユーザとやり取りされるすべてのトラフィックが ( リモートユー
ザのローカルネットワークへのトラフィックを含め) ＳＳＬＶＰＮＮｅｔＥｘｔｅｎｄｅｒトンネルを経由します。
これは、次のルートをリモートクライアントのルートテーブルに追加することで実現されます。
ＩＰアドレス
サブネットマスク
0.0.0.0
0.0.0.0
0.0.0.0
128.0.0.0
128.0.0.0
128.0.0.0
ＮｅｔＥｘｔｅｎｄｅｒは、接続中のすべてのネットワーク接続のローカルネットワークルートも追加します。
これらのルートは既存のどのルートよりも高いメトリックで設定されるため、ローカルネットワークへのト
ラフィックが強制的にＳＳＬＶＰＮトンネル経由に切り替わります。例えば、リモートユーザが１０.０.
＊ . ＊ネットワークのＩＰアドレス１０.０.６７.６４を使用している場合、ルート１０.０.０.０／
２５５.２５５.０.０が追加され、トラフィックがＳＳＬＶＰＮトンネルを経由するようになります。
トンネルオールモードは、グローバル、グループ、ユーザの各レベルで設定できます。
プロキシの設定
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでは、プロキシ設定を使用するＮｅｔＥｘｔｅｎｄｅｒセッションがサポートされ
ます。現在はＨＴＴＰＳプロキシのみがサポートされています。ブラウザに既にプロキシアクセス
が設定されている場合にウェブポータルでＮｅｔＥｘｔｅｎｄｅｒを起動すると、このプロキシ設定は
ＮｅｔＥｘｔｅｎｄｅｒに自動的に引き継がれます。プロキシ設定は、ＮｅｔＥｘｔｅｎｄｅｒのクライアント設定で
手動で設定することもできます。ＮｅｔＥｘｔｅｎｄｅｒは、ＷｅｂＰｒｏｘｙＡｕｔｏＤｉｓｃｏｖｅｒｙ (ＷＰＡＤ) プロト
コルに対応したプロキシサーバ用のプロキシ設定を自動的に検出できます。
ＮｅｔＥｘｔｅｎｄｅｒでは、プロキシ設定として、次の３つのオプションのいずれかを選択できます。
･設定を自動的に検知する－この設定を使用するには、プロキシサーバがウェブプロキシ自動検
出（ＷＰＡＤ）プロトコルをサポートしていて、プロキシ設定スクリプトをクライアントに自動送信でき
る必要があります。
･自動設定スクリプトを使用する－プロキシ設定スクリプトの場所がわかっている場合は、このオプ
ションを選択し、スクリプトのＵＲＬを入力します。
･プロキシサーバを使用する－このオプションを使用すると、プロキシサーバのＩＰアドレスとポート
を指定できます。オプションで、「プロキシをバイパスする」フィールドにＩＰアドレスまたはドメイン
を入力し、それらのアドレスにはプロキシサーバをバイパスして直接接続できるようにすることもで
きます。必要に応じて、プロキシサーバ用のユーザ名とパスワードを入力することもできます。
ユーザ名とパスワードが必要なプロキシサーバを指定したにもかかわらず、ユーザ名とパスワード
SonicWALL SRA 5.5 管理者ガイド
43
を指定しなかった場合は、初めて接続するときにＮｅｔＥｘｔｅｎｄｅｒのポップアップウィンドウが表示さ
れ、入力を求められます。
プロキシ設定を使用して接続する場合、ＮｅｔＥｘｔｅｎｄｅｒは、ＳＳＬＶＰＮサーバに直接接続するのでは
なく、プロキシサーバに対してＨＴＴＰＳ接続を確立します。次に、プロキシサーバがトラフィックを
ＳＳＬＶＰＮサーバに転送します。すべてのトラフィックは、ＮｅｔＥｘｔｅｎｄｅｒとネゴシエートされた証明書
を使ってＳＳＬによって暗号化されます。これについては、プロキシサーバは関与しません。プロキ
シを使用してもしなくても、接続のプロセスに違いはありません。
２ファクタ認証の概要
２ファクタ認証とは、２つの個別の情報を要求してＩＤと権限を確立する認証方式です。２ファクタ
認証は、１つのファクタ（ユーザのパスワード）だけを要求する従来のパスワード認証より強力
で、厳密です。
ＳｏｎｉｃＷＡＬＬが実装している２ファクタ認証は、高度なユーザ認証で業界の先端をゆくＲＳＡおよび
ＶＡＳＣＯと提携しています。
SonicWALL SSL VPN 5.5 からは、 2 ファクタ認証に対して 2 台の RADIUS サーバが使用可能で、ユー
ザをウェブポータルを通して、または NetExtender や仮想アシストといった SSL VPN クライアントを
使って認証できます。
備考
SonicWALL SSL VPN のシングルサインオン (SSO) は、 2 ファクタ認証をサポートしていません。
以下のセクションを参照してください。
･「２ファクタ認証のメリット」（44 ページ）
･「２ファクタ認証の動作方法」（44 ページ）
･「サポートされている２ファクタ認証プロバイダ」（45 ページ）
２ファクタ認証のメリット
２ファクタ認証には、以下のメリットがあります。
･２つの個別の認証情報を要求することで、セキュリティが大きく強化されます。
･簡単に破られてしまうような脆弱なユーザパスワードが招くリスクを軽減できます。
･簡単で直感的に使用でき、自動化されている強力な認証プロセスを提供することで、管理者が
ユーザのトレーニングとサポートに費やす時間を最小化できます。
２ファクタ認証の動作方法
２ファクタ認証では、サードパーティの認証サービス、または、 2 台の別々の RADIUS 認証サーバを
使用する必要があります。
２ファクタ認証では、ユーザは正しい一時パスコードを入力してアクセスを取得する必要があります。
パスコードは以下のもので構成されています。
･ユーザの個人識別番号（ＰＩＮ）
･一時トークンコード
44
SonicWALL SRA 5.5 管理者ガイド
２台のＲＡＤＩＵＳサーバを使う場合は、２番目のステージのＰＩＮまたはパスワードを、ＳＭＳか電子
メールでユーザに送ることができます。ＮｅｔＥｘｔｅｎｄｅｒログインと仮想アシストの両方が、それの入力
のためのエクストラチャレンジを提供します。
サードパーティの認証サービスを使う場合は、それは２つのコンポーネントで構成されています。
･管理者がユーザ名の設定、トークンの割り当て、および認証関連タスクの管理を行うための認証
サーバ。
･管理者がユーザに与える物理トークン。トークンには、一時トークンコードが表示されます。
ユーザは、自分のＲＳＡトークンカードまたはＶＡＳＣＯトークンカードから一時トークンコードを受け
取ります。トークンカードには、毎分、新しい一時トークンコードが表示されます。ＲＳＡサーバまた
はＶＡＳＣＯサーバがユーザを認証する場合は、トークンコードのタイムスタンプが最新であることを確
認します。ＰＩＮが正しく、かつ、トークンコードが正しくて最新の場合に、ユーザは認証されます。
ユーザ認証ではこの２つのファクタが要求されるため、二元ＲＡＤＩＵＳサーバソリューション、ＲＳＡ
ＳｅｃｕｒｅＩＤソリューション、およびＶＡＳＣＯＤＩＧＰＡＳＳソリューションは、従来のパスワード（１ファ
クタ認証）より強力なセキュリティを実現します。
サポートされている２ファクタ認証プロバイダ
ＲＳＡ
ＲＳＡは、公開鍵暗号化のアルゴリズムです。ＲＳＡでは、ＲＳＡＳｅｃｕｒＩＤトークンを使って、
ＲＳＡ認証マネージャサーバ経由で認証を行います。ＲＳＡはすべてのプラットフォームでサポート
されず、ＲＡＤＩＵＳ経由でのみサポートされます。
ＶＡＳＣＯ
ＶＡＳＣＯはユーザ認証製品を提供する株式会社です。ＶＡＳＣＯでは、Ｄｉｇｉｐａｓｓトークンを使っ
て、ＶＡＣＭＡＮＩｄｅｎｔｉＫｅｙサーバ経由で認証を行います。ＶＡＳＣＯは、すべてのＳｏｎｉｃＷＡＬＬ
ＳＲＡプラットフォームでサポートされています。
VASCO DATA Security は、ワンタイムパスワード技術の使用を通して信頼できる認証を提供します。
SonicWALL SRA と SonicWALL ファイアウォール VPN 装置と組み合わせた VASCO IdentiKey は、
VASCO IdentiKey 技術を通じて提供される公開市場アプローチを作成します。 VASCO IdentiKey によ
り、ユーザは簡単で保護された SSL VPN リモートアクセスを提供する時間区分のために割り当てられ
るワンタイムパスワードを使用する VASCO DIGIPASS の概念を利用できます。認証要求内のワンタイ
ムパスワードは、 VASCO IdentiKey 上で検証されます。検証の後で、 RADIUS アクセス受諾メッセー
ジが認証のために SonicWALL SRA サーバに送信されます。
２ファクタ認証のログインプロセス
このセクションでは、ウェブログインおよび NetExtender を使用する場合の 2 ファクタ認証ログインプロ
ンプトの例を提供します。
SonicWALL SRA 5.5 管理者ガイド
45
ウェブログインでは、 1 番目のステージの資格情報を入力するために「ユーザ名」と「パスワード」
フィールドが使われます。
この例では、ユーザにチャレンジコードを入力するように要求する際のメッセージ "M.ID PIN を入力し
てください " が RADIUS サーバからの応答メッセージですが、異なる RADIUS サーバでは応答メッセー
ジの形式は異なります。
RADIUS サーバによっては、認証を完了するためにユーザにいくつかのチャレンジへの応答を要求する
ことがあります。この例では、 M.ID サーバはユーザに 2 つのチャレンジを提示するように要求していま
す。以下のパスコードは電子メールか携帯電話 (SMS が設定されている場合 ) を通して受け取ることが
できます。
46
SonicWALL SRA 5.5 管理者ガイド
NetExtender ウィンドウズクライアントで 2 ファクタ認証を使う場合は、クライアントを通したログインプ
ロセスは、ウェブページを通したログインとよく似ています。最初に、 1 番目のステージの資格情報を
入力するために「ユーザ名」と「パスワード」フィールドが使われます。
引き続き、 PIN チャレンジが要求されます。
SonicWALL SRA 5.5 管理者ガイド
47
最後に、パスコードチャレンジが要求されます。
ワンタイムパスワードの概要
このセクションでは、ワンタイムパスワード機能の概要を説明します。このセクションには次の内容
が含まれています。
･「ワンタイムパスワードとは」（48 ページ）
･「ワンタイムパスワードのメリット」（48 ページ）
･「ＳＳＬＶＰＮワンタイムパスワード機能の仕組み」（49 ページ）
･「ＳＭＳ対応電話でのワンタイムパスワードの設定」（49 ページ）
･「ワンタイムパスワードの設定の確認」（50 ページ）
ワンタイムパスワードとは
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮワンタイムパスワード機能は、標準のユーザ名とパスワードのログインセ
キュリティにもう一段階のセキュリティ階層を追加します。ワンタイムパスワードとは、ランダムに生成
される使い捨てのパスワードのことです。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮワンタイムパスワード機能は、ワ
ンタイムパスワードを標準のユーザ名とパスワードの資格情報ととも利用する２ファクタ認証方式に
なっており、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザに追加のセキュリティを提供します。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮワンタイムパスワード機能では、ユーザは最初に正しいＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮログイン資格情報を提示する必要があります。標準ログイン手順を実行した後、ＳＳＬＶＰＮは
ワンタイムパスワードを生成し、ユーザの事前定義された電子メールアドレスに送信します。ユーザ
は、ワンタイムパスワードの期限内にその電子メールアドレスにログインし、ワンタイムパスワードを
取得して、ＳＳＬＶＰＮのログイン画面に入力する必要があります。
ワンタイムパスワードのメリット
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮワンタイムパスワード機能を使うと、単一の静的なパスワードのみを使う場
合よりもセキュリティが向上します。ワンタイムパスワードを通常のログイン資格情報と組み合わせて
使うことで、事実上、認証の層がもう１段追加されます。ユーザはＳＳＬＶＰＮワンタイムパスワード
のログインプロセスを実行する前に、ＳＳＬＶＰＮの管理者が定義した電子メールアドレスにアクセス
48
SonicWALL SRA 5.5 管理者ガイド
する必要があります。個々のワンタイムパスワードは使い捨てで、一定期間を過ぎると無効になりま
す。このため、ログイン要求の成功、キャンセル、失敗、またはタイムアウトが発生するたびに、新
しいワンタイムパスワードを生成する必要があります。こうすることで、ワンタイムパスワードが悪用さ
れる可能性を減らしています。
ＳＳＬＶＰＮワンタイムパスワード機能の仕組み
ＳＳＬＶＰＮの管理者は、ワンタイムパスワード機能をユーザごとまたはドメインごとに有効にすること
ができます。ワンタイムパスワード機能をユーザごとに有効にするには、ＳＳＬＶＰＮ管理インター
フェースでユーザ設定を編集する必要があります。また、ワンタイムパスワード機能を有効にする各
ユーザの外部電子メールアドレスも入力する必要があります。アクティブディレクトリとＬＤＡＰのユー
ザに関しては、ワンタイムパスワード機能をドメインごとに有効にすることができます。
備考
ドメインごとに有効にしたワンタイムパスワード機能は、個別に “有効” または “無効” にしたワ
ンタイムパスワードの設定よりも優先されます。ドメインのワンタイムパスワード機能を有効にして
も、手動で入力された電子メールアドレスは無効にならず、ドメインポリシーによって自動的に設
定された電子メールアドレスや、ＡＤ／ＬＤＡＰの設定よりも優先されます。
ＳＳＬＶＰＮワンタイムパスワード機能を使用するには、ＳＳＬＶＰＮ管理インターフェースの「ログ＞
設定」ページで有効なメールサーバの設定を構成する必要があります。ワンタイムパスワード機能を
ユーザごとまたはドメインごとに設定し、ユーザのタイムアウトポリシーを設定します。
ＳＳＬＶＰＮワンタイムパスワードの配信先の電子メールアドレスが外部ドメイン（ＳＭＳアドレスや外
部ウェブメールアドレスなど）にある場合は、ＳＲＡ装置から外部ドメインへの中継を行うようにＳＭＴＰ
サーバを設定する必要があります。
ＳＳＬＶＰＮワンタイムパスワードをサポートするようにマイクロソフトＥｘｃｈａｎｇｅを設定する方法につい
ては、次のアドレスからオンラインで入手できる『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮＯｎｅＴｉｍｅＰａｓｓｗｏｒｄ
ＦｅａｔｕｒｅＭｏｄｕｌｅ』を参照してください。
http://www.sonicwall.com/us/Support.html.
ユーザごとまたはドメインごとの設定でワンタイムパスワード機能が有効になったユーザは、ＳＳＬ
ＶＰＮインターフェースで標準のユーザ名とパスワードの資格情報を入力してログインプロセスを開始し
ます。ログインすると、ユーザの事前定義された電子メールアカウントに一時的なパスワードが送信さ
れるというメッセージが表示されます。ユーザは外部電子メールアカウントにログインし、ワンタイム
パスワードを取得して、それをＳＳＬＶＰＮログインインターフェースの該当フィールドに入力するか、
貼り付ける必要があります。正しいワンタイムパスワードを入力するまでは、ユーザが何を要求しても
ログインページが再表示されます。
ワンタイムパスワードは、ログインが成功すると自動的に削除されます。ユーザがＳＳＬＶＰＮイン
ターフェースで「キャンセル」ボタンを選択して削除することもできます。また、ユーザがタイムアウト
ポリシーの期間内に正しくログインできなかった場合も、パスワードは自動的に削除されます。
ＳＭＳ対応電話でのワンタイムパスワードの設定
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮワンタイムパスワードは、電子メールでＳＭＳ対応の電話に直接送信され
るように設定することができます。ＳＭＳ（ショートメッセージサービス）を有効にする方法の詳細につ
いては、携帯電話サービス会社にお問い合わせください。
以下に、主な電話会社のＳＭＳ電子メールフォーマットを示します。ここで、４０８５５５１２１２は１０
桁の電話番号と局番を表します。
･Ｖｅｒｉｚｏｎ：４０８５５５１２１２＠ｖｔｅｘｔ.ｃｏｍ
SonicWALL SRA 5.5 管理者ガイド
49
･Ｓｐｒｉｎｔ：４０８５５５１２１２＠ｍｅｓｓａｇｉｎｇ.ｓｐｒｉｎｔｐｃｓ.ｃｏｍ
･ＡＴ＆ＴＰＣＳ：４０８５５５１２１２＠ｔｅｘｔ.ａｔｔ.ｎｅｔ
･Ｃｉｎｇｕｌａｒ：４０８５５５１２１２＠ｍｏｂｉｌｅ.ｍｙｃｉｎｇｕｌａｒ.ｃｏｍ
･Ｔ-Ｍｏｂｉｌｅ：４０８５５５１２１２＠ｔｍｏｍａｉｌ.ｎｅｔ
･Ｎｅｘｔｅｌ：４０８５５５１２１２＠ｍｅｓｓａｇｉｎｇ.ｎｅｘｔｅｌ.ｃｏｍ
･ＶｉｒｇｉｎＭｏｂｉｌｅ：４０８５５５１２１２＠ｖｍｏｂｌ.ｃｏｍ
･Ｑｗｅｓｔ：４０８５５５１２１２＠ｑｗｅｓｔｍｐ.ｃｏｍ
ヒントＳＭＳ電子メール形式の詳細なリストについては、「ＳＭＳ電子メール形式」セクション（417 ペー
ジ）を参照してください。
備考
これらのＳＭＳ電子メールフォーマットは参考用です。これらの電子メールフォーマットは変更され
る可能性があります。ＳＭＳを使用する前に、サービス会社から追加的なサービスまたは情報を
入手しなければならないこともあります。これらのフォーマットと、ＳＭＳのサービス、オプション、
機能の詳細については、ＳＭＳを提供する会社に直接問い合わせてください。
ＳＭＳ電子メールアドレスにワンタイムパスワードを送信するようにＳｏｎｉｃＷＡＬＬＳＲＡ装置を設定す
るには、「ユーザ設定の編集」セクション（282 ページ）で説明している手順に従って操作を行い、
「電子メールアドレス」フィールドにユーザのＳＭＳアドレスを入力します。
ワンタイムパスワードの設定の確認
個々のユーザアカウントでワンタイムパスワード機能が有効になっているかどうかを確認するには、そ
のアカウントの資格情報を使ってＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ仮想オフィスユーザインターフェースにログ
インします。
仮想オフィスに正常にログインできれば、ワンタイムパスワード機能を正しく使用できています。
ワンタイムパスワードを使ってログインできない場合は、以下の点を確認します。
- 電子メールでワンタイムパスワードを取得するように求めるメッセージが表示されずにログインで
きましたか？そのユーザアカウントはワンタイムパスワード機能を使うように設定されていませ
ん。
- 電子メールアドレスは正しく設定されていますか？ユーザアカウントの電子メールアドレスが
正しく設定されていない場合は、管理インターフェースにログインして電子メールアドレスを修正
します。
- ワンタイムパスワードの記載された電子メールを確実に受信しましたか？電子メールが届いて
いない場合は、数分待ってから受信ボックスを更新してください。スパムフィルタも確認してくだ
さい。数分待っても電子メールが届かない場合は、再度ログインして新しいワンタイムパス
ワードを生成してみてください。
- ワンタイムパスワードを所定のフィールドに正確に入力しましたか？「ログ＞設定」ページで
設定されているユーザのタイムアウトポリシーで指定された期間内に、ワンタイムパスワードを
再度入力するかコピーして貼り付けてください。
50
SonicWALL SRA 5.5 管理者ガイド
仮想アシストの概要
このセクションでは、仮想アシスト機能の概要を説明します。このセクションには次の内容が含まれ
ています。
･「仮想アシストとは」（51 ページ）
･「仮想アシストのメリット」（51 ページ）
･「仮想アシストの仕組み」（51 ページ）
･「仮想アシストの技術者側のセッションを開始する」（53 ページ）
･「仮想アシストの技術者タスクを実行する」（55 ページ）
･「仮想アクセスの有効化」（60 ページ）
仮想アシストとは
SonicWALL SSL VPN ユーザがリモートの場所から顧客をサポートするために顧客の使用しているコン
ピュータの制御を取得できる、使いやすいツールが仮想アシストです。顧客サポートは、昔から費用
と時間がかかるビジネス分野でした。仮想アシストは、簡単に展開できる、使いやすいリモートサ
ポートソリューションを実現します。
仮想アシストのメリット
仮想アシストには、次のようなメリットがあります。
･顧客サポートの簡略化と効率化－サポートスタッフは、仮想アシストを使って顧客のコンピュータ
に直接アクセスし、問題のトラブルシュートと解決を行うことができます。顧客が問題やコンピュー
タの動作について電話で説明する必要はありません。
･時間とコストの節減－仮想アシストを使うことにより、サポートスタッフが顧客を訪問して問題をトラ
ブルシュートする必要はなくなり、サポート要求の平均解決時間が短縮されます。
･教育用ツール－トレーナーとサポートスタッフは、仮想アシストを使ってリモートから顧客にプログ
ラムやツールの使い方を示すことができます。
･既存の認証システムとのシームレスな統合－顧客の身元が本物かどうかを確認することができま
す。また、ＳＲＡ装置のローカルデータベースおよびトークンなしの２ファクタ認証を利用すること
もできます。
･安全な接続－ＳＲＡ装置によるデータの２５６ビットＡＥＳＳＳＬ暗号化は、データを保護する安全
な環境をもたらし、Ｓａｒｂａｎｅｓ-Ｏｘｌｅｙ法やＨＩＰＡＡ法などの法令の遵守に役立ちます。
･リモートアクセスに対する卓越した柔軟性－仮想アクセス機能を使って、サポートスタッフは
ＳＲＡ装置のＬＡＮの外側にある個人のシステムにアクセスできます。
仮想アシストの仕組み
以下のセクションでは、仮想アシスト機能の動作について説明します。
･「基本的な操作」（52 ページ）
･「リモートファイル転送」（52 ページ）
･「チャット機能」（52 ページ）
･「電子メール招待」（53 ページ）
SonicWALL SRA 5.5 管理者ガイド
51
基本的な操作
仮想アシストはＪａｖａを使用してＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ仮想オフィスから自動的にインストールされ
る軽量なシンクライアントであり、外部ソフトウェアのインストールは一切必要としません。Ｊａｖａ未対
応のコンピュータでは、仮想オフィスから仮想アシストの実行可能ファイルをダウンロードして、手動で
インストールできます。
基本的な画面共有サポートに対しては、仮想アシストを実行するために管理権限は不要です。クライ
アントの完全インストールに対しては、管理権限が必要になることもありますが、サービスを使うため
に完全インストールする必要はありません。
備考
ユーザが顧客としてサービスを要求した際に、ウィンドウズ７またはウィンドウズＶｉｓｔａプラット
フォームのＲＤＰを介してシステムに接続している間は、仮想アシストは動作しません。仮想アシス
トは顧客のシステムに適切にアクセスするためにサービスとして動作するので、ＲＤＰ接続から動作
している場合は、正しいアクセス権が設定できません。
1. 技術者が、仮想アシストをＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ仮想オフィスから起動します。
2. 技術者は、顧客からのアシスト要求を受けるアシストキューを監視します。
3. 顧客が、次のいずれかの方法でアシストを要求します。
- ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ仮想オフィスにログインして、仮想アシストのリンクを選択する
- 技術者からの電子メール招待を受信して、仮想アシストを起動するためのリンクを選択する
- 技術者から示されたＵＲＬを使用して、仮想アシストのホームページに直接アクセスする
4. 顧客のブラウザに仮想アシストアプリケーションがインストールされ、実行されます。
5. 顧客の情報が仮想アシストのアシストキューに表示されます。
6. 技術者が顧客の名前を選択して、仮想アシストのセッションを開始します。
7. 顧客のコンピュータにポップアップの警告ウィンドウが表示され、顧客が許可すると、技術者が顧
客のコンピュータを制御できる状態になります。
8. 技術者の仮想アシストウィンドウに、顧客のコンピュータの画面全体が表示されます。技術者は顧
客のコンピュータのマウスとキーボードを完全に制御できます。顧客は、技術者が実行する操作を
すべて見ることができます。
9. 顧客は、どの時点でも、セッションを終了することが必要になった場合には、制御を取り戻して、
画面右下隅の「仮想アシストの終了」ボタンを選択することができます。
10. セッションが終了すると、顧客が自分のコンピュータを単独で制御できる状態に戻ります。
リモートファイル転送
技術者は、仮想アシストのリモートファイル転送機能を使って、顧客のコンピュータを相手にファイル
の送受信を行えます。ファイル転送プロセスを起動するには、仮想アシストウィンドウの左上隅にある
仮想アシストタスクバーでボタンを選択します。ファイル転送機能は、複数のファイルのアップロードと
ダウンロードをサポートしています。
チャット機能
仮想アシストのチャット機能により、技術者と顧客はインスタントメッセージ形式のチャット機能で会話
することができます。技術者または顧客は、仮想アシストタスクバーの「チャット」ボタンを選択して
チャットを開始できます。
52
SonicWALL SRA 5.5 管理者ガイド
電子メール招待
仮想アシストの技術者側では、 Virtual Assist セッションを開始するための直接ＵＲＬリンクが含まれる
電子メール勧誘を顧客に送信できます。技術者は、顧客向けに任意のメッセージを付け加えることも
できます。顧客が Virtual Assist への電子メールリンクを選択すると、勧誘を送信した技術者のみが
顧客にサポートを提供できます。
仮想アクセス
仮想アシストの多くの機能の１つである仮想アクセスにより、技術者は個人のシステムのような、
ＳＲＡ装置のＬＡＮの外側にあるシステムへのアクセスを得ることができます。仮想アクセスモードのた
めのクライアントをポータルページからダウンロードしてインストールした後に、その個人システムは
ＳＲＡ装置の管理インターフェース上で、その技術者の仮想アシストサポート待ち行列にのみ表示され
ます。仮想アクセスはポータル毎に有効にする必要があるので、この機能はサポート技術者に対して
卓越したリモートアクセスの柔軟性を提供します。
仮想アシストの技術者側のセッションを開始する
アシストを提供する技術者として仮想アシストを起動するには、以下の手順に従います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＲＡ装置の仮想オフィスにログインします。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの顧客インターフェー
スにログイン済みの場合は、「仮想オフィス」ボタンを選択します。
手順 2
「仮想アシスト」ボタンを選択します。
手順 3
「ファイルのダウンロード」ウィンドウが表示され、仮想アシストの自動インストールが可能な場合はインス
トールが開始されます。「実行」を選択してプログラムを直接起動するか、「保存」を選択してインス
トーラファイルをコンピュータに保存した後、手動で起動します。
ＩＰｖ６経由でダウンロードする場合には、「ファイルのダウンロード」ウィンドウにＩＰｖ６情報が表示され
ます。
SonicWALL SRA 5.5 管理者ガイド
53
手順 4 インストーラを起動すると、警告メッセージが表示されることがあります。「実行」を選択します。
手順 5 仮想アシストをスタンドアロンクライアントとしてインストールするか問い合わせるポップアップウィンドウが表
示されます。アプリケーションを保存する場合は「はい」を選択します。ショートカットがデスクトップに
追加され、アプリケーションへのリンクが「スタート」メニューのプログラムリストに追加されます。「い
いえ」を選択すると仮想アシストが起動されます。この場合、アプリケーションは保存されないため、
後で再び実行することはできません。
手順 6 アプリケーションを保存する「はい」を選択すると、ファイルの保存先を指定するダイアログボックスが表示
されます。Ｃ：￥ＰｒｏｇｒａｍＦｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬなど、適切な場所を選択します。
54
SonicWALL SRA 5.5 管理者ガイド
手順 7 仮想アシストを最初に起動したときに、セキュリティ警告ポップアップウィンドウが表示されます。「この種類
のファイルであれば常に警告する」チェックボックスをオフにすると、このウィンドウは次回から表示さ
れません。「実行」を選択します。
手順 8 仮想アシストのスタンドアロンアプリケーションが起動します。
手順 9 これで、技術者が顧客のアシストを開始する準備が整いました。
仮想アシストの技術者タスクを実行する
最初に技術者はＳｏｎｉｃＷＡＬＬＳＲＡ装置にログインし、仮想アシストアプリケーションを起動します。
備考
各技術者が同時にアシストを提供できる顧客は１人だけです。
技術者は、仮想アシストアプリケーションの起動後、以下のタスクを実行することによって顧客にアシ
ストを提供できます。
･「電子メールで顧客を招待する」（56 ページ）
SonicWALL SRA 5.5 管理者ガイド
55
･「顧客をアシストする」（56 ページ）
･「仮想アシストタスクバーの使用」（58 ページ）
･「仮想アシストの表示の制御」（58 ページ）
･「仮想アシストファイル転送の使用」（59 ページ）
電子メールで顧客を招待する
電子メールで顧客を仮想アシストセッションに招待するには、以下の手順に従います。
手順 1 顧客に仮想アシストの利用を勧めるには、仮想アシストウィンドウの左側に表示される電子メール招待
フォームを使用します。
備考
招待の電子メールに記述されているリンクを使用して仮想アシストを起動した顧客にアシストを提供
できるのは、その電子メールを送信した技術者のみです。仮想アシストを手動で起動した顧客は、
任意の技術者からアシストを受けられます。
手順 2 顧客の電子メールアドレスを「顧客電子メール」フィールドに入力します。
手順 3 オプションで、「技術者電子メール」に、既定の技術者電子メールとは別の返信用電子メールアドレスを入
力できます。
手順 4 オプションで、顧客に伝える「追加メッセージ」を入力します。
手順 5
「招待」を選択します。指定した顧客に対して、仮想アシストを起動するためのＨＴＭＬリンクが記述され
た電子メールが送信されます。
手順 6 アシストを要求している顧客がいる場合は、その顧客の名前と、それまでに経過した待機時間がアシスト
キューに表示されます。
顧客をアシストする
手順 1 顧客がアシストキューに登録されると、システムトレイのポップアップウィンドウによって技術者に通知され
ます。
56
SonicWALL SRA 5.5 管理者ガイド
手順 2 顧客のユーザ名をダブルクリックして、その顧客のアシストを開始します。
手順 3 顧客のデスクトップ全体が、仮想アシストアプリケーションの右ウィンドウの下部に表示されます。
この時点で、技術者は顧客のコンピュータのキーボードとマウスを完全に制御できる状態になります。
顧客は、技術者が実行する操作をすべて見ることができます。
仮想アシストセッションの実行中、顧客は自分のコンピュータからロックアウトされるわけではありませ
ん。技術者と顧客はどちらも顧客のコンピュータを制御できますが、両者が同時に操作を実行しようと
すると混乱や困惑を招くおそれがあります。
顧客側の画面の下部に、３つのオプションがある小さなツールバーが表示されます。
仮想アシストセッション中に顧客は次のオプションを使用できます。それぞれ対応するボタンを選択する
と実行されます。
･状態 [ 稼動 ] －選択すると表示のみモードに切り替わります。このモードでは、技術者は顧客の
コンピュータを見ることはできますが、制御はできません。
･チャットを開く－技術者とのチャットウィンドウを開きます。
SonicWALL SRA 5.5 管理者ガイド
57
･アシストの終了－セッションを終了します。
仮想アシストタスクバーの使用
技術者側の仮想アシストビューには、複数のオプションがあるタスクバーが表示されます。
･更新－顧客コンピュータの表示を更新します。
･ファイル転送－顧客のコンピュータとの間でファイルを転送するウィンドウを開きます。詳細につい
ては、「仮想アシストファイル転送の使用」セクション（59 ページ）を参照してください。
･チャット－顧客と通信するためのチャットウィンドウを開きます。技術者は、仮想アシストアプリ
ケーションの左下ウィンドウにある専用チャットウィンドウを使うこともできます。
･システム情報－顧客のコンピュータに関する詳細な情報を表示します。
･顧客を再起動－顧客のコンピュータを再起動します。完全な制御を要求した場合を除き、顧客は
再起動が要求されたことを警告され、この要求を拒否する機会が与えられます。
･表示画面－顧客のコンピュータに複数のモニタが設定されている場合に第２のモニタに切り替え
ます。
仮想アシストの表示の制御
･全画面－すべての仮想アシストツールバーを非表示にし、顧客のデスクトップを技術者側の画面
全体に表示し、仮想アシストタスクバーを左上隅に配置します。
仮想アシストタスクバーが表示されない場合は、マウスポインタを画面最上部の中央に移動しま
す。タスクバーを右クリックし、「戻る」を選択して全画面モードを終了します。
･自動スケール－表示を仮想アシストウィンドウ全体にズームします。
･拡大－設定済みの値の１つを選択するか、特定の値を入力して表示をズームします。
･元のサイズ－１００％にズームします。
･サイドバー－サイドバーの表示を電子メール招待ウィンドウとチャットウィンドウに交互に切り替え
ます。
･トップバー－トップバーの表示を顧客キューとツールバーに交互に切り替えます。
･すべてのバー－サイドバーとトップバーの両方を表示します。
･バーなし－サイドバーとトップバーの両方を表示しません。
58
SonicWALL SRA 5.5 管理者ガイド
備考
これらのオプションの多くは、仮想アシストアプリケーションの上部にあるプルダウンメニューを使っ
て設定できます。
完全操作の要求
技術者は、顧客のデスクトップの完全な制御を要求できます。完全な制御とは、システムの再起動、
顧客のコンピュータにあるファイルの削除や上書きを、顧客の同意を得ずに行えることです。「コマン
ド」メニューの「完全操作の要求」を選択すると、要求が発行され、顧客のデスクトップに表示されま
す。
仮想アシストファイル転送の使用
「ＦｉｌｅＴｒａｎｓｆｅｒ」ウィンドウは、顧客のコンピュータとの間でファイルを転送するために使用します。技
術者コンピュータのディレクトリが左側に、顧客コンピュータのディレクトリが右側に表示されます。
「ＦｉｌｅＴｒａｎｓｆｅｒ」ウィンドウは、ウィンドウズエクスプローラや一般的なＦＴＰプログラムとほぼ同様に
機能します。「ＦｉｌｅＴｒａｎｓｆｅｒ」ウィンドウでは、フォルダをダブルクリックすることやファイルを選択する
ことによって、操作対象を変更できます。「ＦｉｌｅＴｒａｎｓｆｅｒ」ウィンドウには以下のコントロールがありま
す。
･デスクトップ
･上へ
－技術者のコンピュータまたは顧客のコンピュータのデスクトップに移動します。
－技術者または顧客のコンピュータの１階層上のディレクトリに移動します。
･ダウンロード
－選択されている１つまたは複数のファイルを技術者のコンピュータから顧客の
コンピュータに転送します。
SonicWALL SRA 5.5 管理者ガイド
59
･アップロード
－選択されている１つまたは複数のファイルを顧客のコンピュータから技術者のコ
ンピュータに転送します。
･削除
備考
－選択されている１つまたは複数のファイルを削除します。
技術者が「完全操作の要求」を選択し、顧客がこれを承認した場合を除き、ファイルを削除また
は上書きしようとすると顧客に警告が送信され、顧客がこの確認に同意しない限り削除や上書きは
行われません。
･新しいフォルダ
･名前の変更
－選択されているディレクトリ内に新規フォルダを作成します。
－選択されているファイルまたはディレクトリの名前を変更します。
ファイルの転送中は、転送の進行状況が「ＦｉｌｅＴｒａｎｓｆｅｒ」ウィンドウの下部に表示されます。進行
中の転送を中止するには、「終了」ボタンを選択します。
備考
ファイル転送では、１つまたは複数のファイルを転送することができます。現時点では、ディレクト
リの転送はサポートされていません。複数のファイルを選択するには、Ｃｔｒｌキーを押しながらファイ
ルを選択します。
仮想アクセスの有効化
管理インターフェースの「ポータル > ポータル」ページの「仮想アシスト」タブで、仮想アクセスを有
効にすると、システムを仮想アクセス向けにセットアップするためのリンクがポータル上に表示されま
す。ＳＲＡ管理インターフェースで仮想アクセスを有効にするには、「ポータルごとの仮想アシスト設定
の設定」（144 ページ）を参照してください。次の手順を実行すると、仮想アクセスをシステムにセット
アップできます。
システム上で仮想アクセスを設定するには、以下の手順に従います。
手順 1 仮想アクセスを設定するシステムからポータルにログインし、「仮想アクセス」リンクを選択します。
手順 2 ＶＡＳＡＣ.ｅｘｅファイルをインストールするようにパラメータが設定されたファイルがダウンロードされます。
ＶＡＳＡＣ.ｅｘｅは、仮想アクセスモードに必要なクライアントを提供するファイルです。ダウンロードされ
たファイルを保存し、実行します。
60
SonicWALL SRA 5.5 管理者ガイド
備考
システムによっては、このダイアログボックスからファイルを直接実行できないことがあります。そ
の場合は、ファイルをシステムに保存してから、アプリケーションを実行します。
手順 3 表示されるフィールドに、システムを仮想アクセスモードに設定するために必要な情報を入力してから、
「ＯＫ」を選択します。
･サーバ：技術者が、管理インターフェースの外部から仮想オフィスにアクセスするときに使用する装
置の名前またはＩＰアドレスを指定します（"ｈｔｔｐｓ：／／ " は省きます）。
･ポータル：技術者が通常ログインするポータルの名前を指定します。
･コンピュータ名：これは、サポートされるのをキューで待機している他のシステムから目的のシステ
ムを区別するための識別子となります。
･パスワード：これは、技術者がサポートキューを通してシステムにアクセスする前に入力する必要
があるパスワードです。
手順 4 インストールが完了すると、ＶＡＳＡＣクライアントは、デスクトップトレイ内に常駐します。
このシステムの識別名が、技術者の管理インターフェース内の「仮想アシスト > 状況」ページに表示
されるサポートキューに追加されているはずです。システムの一覧をダブルクリックすると、システム
への仮想アクセスをセットアップする作業で指定したパスワードを入力するように求められます。
仮想アクセスモードを終了する
仮想アクセスセッションから切断すると、システムはサポートキューに戻されます。技術者は、あとで
ここから再びシステムにアクセスできます。個人システムの側からは、ユーザ／技術者がトレイオプ
ションのアイコンを使用してアプリケーションをアンインストールしたり、終了したりすることができます。
管理者は、キューからシステムを強制的に削除できます。これが行われた場合、仮想アクセスシス
テムは、サポートキューに接続しようとはしなくなり、エラーメッセージを表示します。
備考
仮想アシストをエンドユーザとして使用する方法およびそのタスクについては、『ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮユーザガイド』を参照してください。
SonicWALL SRA 5.5 管理者ガイド
61
ウェブアプリケーションファイアウォールの概要
（ウィンドウズのみサポート）このセクションでは、ウェブアプリケーションファイアウォール機能の
概要を説明します。このセクションには次の内容が含まれています。
･「ウェブアプリケーションファイアウォールとは」セクション（62 ページ）
･「ウェブアプリケーションファイアウォールの利点」セクション（64 ページ）
･「ウェブアプリケーションファイアウォールの仕組み」セクション（65 ページ）
ウェブアプリケーションファイアウォールとは
ウェブアプリケーションファイアウォールは購読ベースのソフトウェアであり、ＳｏｎｉｃＷＡＬＬＳＲＡ装置
で実行され、ＳＲＡの背後にあるウェブアプリケーションを保護します。また、ウェブアプリケーション
ファイアウォールは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置本体で実行されるＨＴＴＰ（Ｓ）ブックマーク、Ｃｉｔｒｉｘ
ブックマーク、オフロードされたウェブアプリケーション、ＳＲＡ管理インターフェースやユーザポータル
などのリソースをリアルタイムで保護します。
ウェブアプリケーションファイアウォールは、クロスサイトスクリプティング、ＳＱＬインジェクション、
ＯＳコマンドインジェクションなどさまざまなウェブ攻撃からリアルタイムで防御します。ウェブアプリ
ケーションに発見される脆弱性のトップ１０が、ＯＷＡＳＰによって追跡されています。ＯＷＡＳＰは、
ウェブアプリケーションのセキュリティ強化に専門に取り組むオープンソースコミュニティの組織です。
ＳｏｎｉｃＷＡＬＬＳＲＡウェブアプリケーションファイアウォールは、これらの脆弱性トップ１０（２００７
年の調査）からシステムを保護するため、次の対策をとります。
表 5 ＯＷＡＳＰの脆弱性トップ１０
名前
説明
Ａ１－クロスサイトスクリプティング（ＸＳＳ）ＸＳＳによって攻撃されるのは、ユーザから入力されたデータを
アプリケーションがウェブブラウザに送信するときに、その内容
が事前に検証もエンコーディングもされない場合です。攻撃者
は、ＸＳＳを利用してターゲットのブラウザでスクリプトを実行する
ことにより、ユーザのセッションを乗っ取ったり、ウェブサイトを
改ざんしたり、ワームを侵入させたりすることができます。
62
Ａ２－インジェクションフロー
インジェクションフロー、特にＳＱＬインジェクションは、ウェブ
アプリケーションに対して一般的に試みられる手口です。インジェ
クションは、ユーザから提供されたデータが、コマンドまたは問
い合わせの一部としてインタプリタに送信される場合に起こりま
す。攻撃者は、悪意のあるデータトリックにより、インタプリタが
意図しないコマンドを実行したり、データを変更したりするように
仕向けます。
Ａ３－悪意のあるファイルの実行
ＲＦＩ（ＲｅｍｏｔｅＦｉｌｅＩｎｃｌｕｓｉｏｎ）に脆弱なコードは、攻撃者が用
意した悪意のあるコードやデータを取り込んでしまい、サーバ全
体の侵害など、破壊的な攻撃を招きます。 " 悪意のあるファイル
の実行 " 攻撃は、ＰＨＰ、ＸＭＬ、またはユーザからファイル名
またはファイルを受け取るすべてのフレームワークで起こり得ま
す。
Ａ４－危険な直接的オブジェクト参照
直接的オブジェクト参照は、開発者がファイル、ディレクトリ、
データベースレコード、キーなどの内部実装オブジェクトをＵＲＬ
またはフォームパラメータとして公開した場合に起こります。攻撃
者は、これらの参照を操作して、承認を得ずに他のオブジェクト
にアクセスできます。
SonicWALL SRA 5.5 管理者ガイド
名前
説明
Ａ５－クロスサイトリクエストフォージェリ
（ＣＳＲＦ）
ＣＳＲＦ攻撃は、ユーザがログオン中のブラウザに対して、認証
済みの要求を脆弱性のあるウェブアプリケーションに送信するこ
とを強制し、そのウェブアプリケーションを通じて、攻撃者の利
益になる不正な操作をブラウザに実行させることを指します。
ＣＳＲＦを利用すると、攻撃対象のウェブアプリケーションが持つ
機能を自由に悪用できます。
Ａ６－情報の漏洩および脆弱なエラー処理
アプリケーション側のさまざまな問題により、アプリケーションの
設定や内部処理に関する情報が予期せずに漏洩したり、プライ
バシーが侵害されることがあります。この脆弱性は、機密データ
を盗むための手段となったり、さらに深刻な攻撃の足がかりと
なったりします。
Ａ７－不適切な認証およびセッション管理
アカウント資格情報やセッショントークンが適切に保護されないこ
とがあります。パスワード、キー、または認証トークンを不正に
入手し、他人に成りすますことができます。
Ａ８－安全でない暗号での保存
ウェブアプリケーションでは、データや資格情報を保護するため
に暗号機能が適切に使用されることはめったにありません。十分
に保護されていないデータを不正に入手し、成りすましや、クレ
ジットカード詐欺などの他の犯罪に悪用できます。
Ａ９－安全でない通信
秘匿すべき通信を保護するためにネットワークトラフィックを暗号
化する必要がある場合でも、それを怠るアプリケーションがよく見
られます。
Ａ１０－ＵＲＬアクセスの制限の欠陥
未認証のユーザに対してリンクまたはＵＲＬを表示しないだけで
重要な機能を保護できると考えて設計されたアプリケーションがよ
く見られます。この脆弱性を悪用すると、このようなＵＲＬに直接
アクセスすることにより、不正に操作を実行できます。
Ｓｌｏｗｌｏｒｉｓ防御
上記にリストされたトップ１０脅威に加えて、ウェブアプリケーションファイアウォールはＳｌｏｗｌｏｒｉｓ
ＨＴＴＰＤｏＳ攻撃に対して保護します。これは、ウェブアプリケーションファイアウォールがすべての
バックエンドウェブサーバをこの攻撃から保護することを意味します。Ａｐａｃｈｅを含む多くのウェブ
サーバは、Ｓｌｏｗｌｏｒｉｓに対して弱点があります。Ｓｌｏｗｌｏｒｉｓは特に、スレッド化プロセスを使い、許
可されるスレッド数を制限するウェブサーバに対して影響を与えます。
Ｓｌｏｗｌｏｒｉｓは密かにゆっくりと動作する攻撃で、不完全なＨＴＴＰ要求を通常の間隔で送信してウェブ
サーバとの間に開いた接続を保持します。これは、他の接続が閉じてソケットが開いたときにソケットを
消費して、徐々にすべてのソケットを拘束します。Ｓｌｏｗｌｏｒｉｓは異なるホストヘッダを送信可能で、
ＧＥＴ、ＨＥＡＤ、そしてＰＯＳＴ要求を送信可能です。不完全な要求の文字列は、ＴＣＰではなく
ＨＴＴＰを使うということを除いて、ＳｌｏｗｌｏｒｉｓをＳＹＮフラッドに匹敵するものにします。対象のウェブ
サーバのみが影響を受ける一方、同サーバ上の他のサービスやポートは利用可能のままです。攻撃
が中断された際、ウェブサーバは５秒程度で通常の状態に戻ることができるので、Ｓｌｏｗｌｏｒｉｓは他
の攻撃が開始される間の短時間のダウンタイムや混乱を引き起こすために効果的です。一旦攻撃が停
止されるかセッションが閉じられると、ウェブサーバは数百の４００エラーを表示します。
ウェブアプリケーションファイアウォールがＯＷＡＳＰトップ１０およびＳｌｏｗｌｏｒｉｓ種別の攻撃にどのよ
うに対抗するかは、「ウェブアプリケーションファイアウォールの仕組み」セクション（65 ページ）を参
照してください。
オフロードされたウェブアプリケーション防御
ウェブアプリケーションファイアウォールは、ＳＲＡ装置の背後のサーバで実行されるウェブアプリ
ケーションにシームレスにアクセスする専用ポータルとして作成された、オフロードのウェブアプリケー
ションを保護することもできます。このポータルは仮想ホストとして設定します。このようなオフロードさ
れたホストに対しては、認証とアクセスポリシー適用を無効にすることが可能です。認証を有効にする
場合、このポータルに適切なドメインを関連付ける必要があり、オフロードされたホストには、ワンタイ
SonicWALL SRA 5.5 管理者ガイド
63
ムパスワード、２ファクタ認証、シングルサインオンといったＳｏｎｉｃＷａｌｌの高度な認証機能すべて
が適用されます。
アプリケーションプロファイリング
SSL VPN 5.5 では、アプリケーションプロファイリング ( フェーズ 1) により、管理者は入力の信頼され
るセットに基づいて自動化された方法で個別ルールを生成できます。これは、どの入力がアプリケー
ションによって受諾しうるかのプロファイルを展開するので、ウェブアプリケーションにセキュリティを提
供する非常に効果的な手法です。その他すべてが拒否され、肯定的セキュリティ拡張が提供されま
す。これは否定的セキュリティモデルを採用する一般的なシグネチャに比べて、少ない誤検知の結果
が出ます。管理者が機器を学習モードで計画した環境に配備すると、 SonicWALL SRA は信頼された
ユーザによってアクセスされた各 URL に対する正しい入力を学習します。学習プロセス中または後のど
のタイミングでも、 " 学習した " プロファイルに基づいてユーザ定義ルールを生成できます。
ユーザ定義ルールに対する速度制限
SSL VPN 5.5 では、個別ルールまたは連鎖ルールに一致している速度を監視できます。これは辞書攻
撃やブルートフォース攻撃を遮断するために、きわめて有用です。連鎖ルールに対する動作は、連鎖
ルールが設定された回数と同じだけ一致した場合にのみ起動されます。
Cookie 改竄防御
Cookie 改竄防御は Payment Card Industry Data Security Standard (PCI DSS) セクション 6.6 要件内で
重要な項目で、バックエンドウェブサーバによって Cookie セットに対して厳格なセキュリティを提供す
るウェブアプリケーションファイアウォール評価基準の部分です。暗号化およびメッセージダイジェスト
といった様々なテクニックが Cookie 改竄を防ぐために使われます。
クレジットカードおよび社会保障番号 (SSN) 保護
クレジットカードおよび社会保障番号 (SSN) 保護は、クレジットカード番号や社会保障番号といった取
り扱いに慎重を要する情報がウェブページ内に漏洩しないように保護する、データ損失保護技術で
す。そういった漏洩が検知されると、管理者はこれらの番号を部分的または全体的に隠す、設定可能
なエラーページを表示する、または単にイベントをログする選択ができます。
WAF 監視用 PDF レポートおよび PCI DSS 6.5 と 6.6 準拠
SSL VPN 5.5 では、ウェブアプリケーションファイアウォール監視、および、 PCI DSS 6.5 と 6.6 準拠
に対して PDF レポートが提供されます。「ウェブアプリケーションファイアウォール＞状況」ページ上
でレポートを生成できます。レポート内に記載されるデータを生成するためのタイムラインは、「ウェブ
アプリケーションファイアウォール＞監視」ページで設定可能です。
ウェブアプリケーションファイアウォールの利点
ウェブアプリケーションファイアウォールは高い安全性を備えており、金融サービス、ヘルスケア、ア
プリケーションサービスプロバイダ、電子商取引など、さまざまな分野で利用できます。
ＳｏｎｉｃＷＡＬＬＳＲＡは、ＳＳＬ暗号化を使って、ウェブアプリケーションファイアウォールとクライアン
ト間のデータを暗号化します。または、ＳｏｎｉｃＷＡＬＬＳＲＡは、必要に応じてキーとパスワードを暗号
化することにより、ＯＷＡＳＰが定めたデータ暗号化保存の要件を満たします。
ウェブアプリケーションファイアウォールを導入した企業は、安全性の高いアプリケーションの作成に
必要な開発コストを削減できるだけでなく、サインアップしてウェブアプリケーションファイアウォールの
シグネチャの更新を行うことで、新しく見つかった脆弱性への対処をすべてのウェブアプリケーションに
ついて行うための膨大な作業時間を省くことができます。
64
SonicWALL SRA 5.5 管理者ガイド
オフロードアプリケーションのポータルやＨＴＴＰ（Ｓ）ブックマークからアクセスされるリソース
は、手法の不備やプログラミングエラーなどさまざまな理由で攻撃を受けやすくなります。ウェブアプ
リケーションファイアウォールは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の背後のウェブアプリケーションをリアルタ
イムに保護することによって、このような脆弱性に対するハッカーの攻撃を効果的に防ぎます。
ウェブアプリケーションファイアウォールをＳＲＡ装置に配備すると、セキュリティを必要とするウェブ
アプリケーションが内部ユーザとリモートユーザに公開されることになる場合でも、ネットワーク管理者
はアプリケーションオフロードを使用できます。アプリケーションオフロードではＵＲＬ書き換えを回避
できるので、プロキシのパフォーマンスと機能性が向上します。
ウェブアプリケーションファイアウォールをＳｏｎｉｃＷＡＬＬＳＲＡ装置に統合することにはさまざまな利点
があります。第１に、ＩＤベースのポリシー制御がウェブアプリケーションファイアウォールの中核で
あり、ＳＳＬＶＰＮテクノロジを使って容易にこれが実現可能になります。第２に、既存のハードウェ
アベースのＳＳＬオフロードにより、待ち時間が短くなります。最も重要なのは、ウェブアプリケー
ションを実行するＳＲＡ装置をこうした攻撃から保護する必要があるということです。
中小企業が仕入先との提携、在庫管理、オンライン販売、顧客アカウント管理にホストサービスを採
用する場合も、大企業と同じような厳しい順守要件に直面します。ＳｏｎｉｃＷＡＬＬＳＲＡのウェブアプリ
ケーションファイアウォールは、便利で費用効果の高いソリューションを提供します。
ウェブアプリケーションファイアウォールは、ＳｏｎｉｃＷＡＬＬＳＲＡ管理インターフェースで容易に設定で
きます。管理者はウェブアプリケーションファイアウォールを、グローバルにも、攻撃危険度ごとに
も、シグネチャごとにも設定できます。個別の設定または除外項目を指定した後は、ウェブアプリ
ケーションファイアウォールを無効にしてもそれらの設定は維持されるので、保守作業やテストを行っ
てから容易にまた有効に戻すことができます。
ウェブアプリケーションファイアウォールの仕組み
ウェブアプリケーションファイアウォール機能を使用するには、管理者はまずこのソフト
ウェアのライセンスを取得するか、無料トライアルを開始する必要があります。次に、
ＳｏｎｉｃＷＡＬＬＳＲＡ管理インターフェースの「ウェブアプリケーションファイアウォール > 設
定」ページでウェブアプリケーションファイアウォールを有効にします。検出されたインター
ネット経由攻撃を記録するか遮断することをウェブアプリケーションファイアウォールに設
定できます。
次の各セクションでは、Ｓｌｏｗｌｏｒｉｓまたは、ＯＷＡＳＰのトップ１０に挙げられるような攻撃を阻止する
ためのウェブアプリケーションファイアウォールとＳｏｎｉｃＷＡＬＬＳＲＡの仕組み、ウェブアプリケーショ
ンファイアウォールが情報暴露に対して保護する仕組みと、その他の機能が動作する仕組みについて
説明します。
･「シグネチャに基づいて攻撃を阻止する方法」（66 ページ）
･「クロスサイトリクエストフォージェリを阻止する方法」（67 ページ）
･「情報の暴露を阻止する方法」（68 ページ）
･「不適切な認証への攻撃を阻止する方法」（69 ページ）
･「安全でない保存と通信への攻撃を阻止する方法」（69 ページ）
･「ＵＲＬアクセスの制限の欠陥への攻撃を阻止する方法」（69 ページ）
･「Ｓｌｏｗｌｏｒｉｓ攻撃を阻止する方法」（69 ページ）
･「利用可能な PCI 準拠レポートの種別」（69 ページ）
･「Cookie 改竄防御の動作」（70 ページ）
･「アプリケーションプロファイリングの動作」（72 ページ）
･「ユーザ定義ルールに対する速度制限の動作」（73 ページ）
SonicWALL SRA 5.5 管理者ガイド
65
シグネチャに基づいて攻撃を阻止する方法
クロスサイトスクリプティング、インジェクションフロー、悪意のあるファイルの実行、危険な直接的オ
ブジェクト参照の脆弱性について、ウェブアプリケーションファイアウォール機能では、ウェブアプリ
ケーション攻撃の既知のシグネチャのブラックリストが使用されます。ＳｏｎｉｃＷＡＬＬシグネチャデータ
ベースサーバから定期的に新しいシグネチャ情報更新をダウンロードすることによって、新しい攻撃か
らの保護に対応します。
インターネットからの入力があると、ウェブアプリケーションファイアウォールは、
ＨＴＴＰ／ＨＴＴＰＳ要求ヘッダー、Ｃｏｏｋｉｅ、ＰＯＳＴデータ、問い合わせ文字列、
応答ヘッダー、コンテンツを検出します。この入力は、シグネチャのブラックリストとホワイ
トリストの両方と照合されます。いずれかのシグネチャとパターンが一致すると、設定に応じ
て、そのイベントが記録され、その入力が遮断されます。遮断された場合は、クライアントに
エラーページが返され、リソースへのアクセスは拒否されます。遮断された場合は、クライア
ントにエラーページが返され、リソースへのアクセスは拒否されます。脅威の詳細は、エラー
ページのＵＲＬには示されません。検出のみを設定していた場合は、攻撃は記録されますが、
クライアントはリソースにアクセスできます。どのシグネチャとも一致しなかった場合は、要
求はウェブサーバに転送されて処理されます。
66
SonicWALL SRA 5.5 管理者ガイド
ウェブアプリケーションファイアウォールのプロセスの概要を以下のフローチャートに示します。
要求が遮断された場合、以下のエラーページがクライアントに返されます。
このページは、ＳＲＡ管理インターフェースの「ウェブアプリケーションファイアウォール＞設定」で
カスタマイズできます。管理者によっては、このページのＨＴＭＬコンテンツをカスタマイズしたいという
場合があります。セキュリティ上の理由から、ユーザにわかりやすいページを表示しないようにしたい
場合もあります。この場合、４０４（Ｎｏｔｆｏｕｎｄ）や４０３（ＡｃｃｅｓｓＤｅｎｉｅｄ）などのＨＴＴＰエラー
コードを表示するという方法もあります。
クロスサイトリクエストフォージェリを阻止する方法
ＣＳＲＦ攻撃は、シグネチャを照合する方法では検出されません。この脆弱性を使ってユーザに成りす
ましたハッカーは、ユーザセッションのＣｏｏｋｉｅを盗まなくても、アプリケーションに不正にアクセスで
きます。被害にあったユーザは攻撃対象のウェブサイトで認証されますが、同じブラウザプロセスの
コンテキスト内に別のサイトから悪意のあるウェブページが知らない間に読み込まれます。これは、同
じブラウザウィンドウの新しいタブにページを読み込む、などの方法で行われます。この悪意のある
ページから密かに要求が攻撃対象のウェブサーバに送信されると、ブラウザメモリ内のセッション
Ｃｏｏｋｉｅがこの要求の一部として使われ、要求は認証されたものとして扱われます。ウェブサーバ
は、ユーザがサイトで行った操作の結果として要求が送信されたと見なし、要求元のウェブページに
応答します。通常、ハッカーはこの脆弱性を最大限に利用するために、データの更新など、アクショ
ンを伴う要求を攻撃実行に使用します。
ＣＳＲＦ攻撃を阻止するには、ブラウザセッション内の各ＨＴＴP 要求に、ユーザセッションに基づく
トークンを添付する必要があります。ウェブアプリケーションファイアウォールでは、各要求にこのトー
クンを添付するために、ＨＴＴＰ（Ｓ）ブックマークのリバースプロキシ機能によるＵＲＬの書き換えと
SonicWALL SRA 5.5 管理者ガイド
67
似た方法で、ウェブページ内のすべてのＵＲＬを書き換えます。ＣＳＲＦ保護を有効にすると、この
措置がアプリケーションオフロードについても実行されます。
ＣＳＲＦ防御は、ａｎｏｎｙｍｏｕｓモードでも提供されます。ＣＳＲＦ防御が有効の場合、グローバルアイ
ドルタイムアウトにセットされたアイドルタイムアウトが、ａｎｏｎｙｍｏｕｓアクセスに対して強制されます。
セッションがタイムアウトすると、エラーメッセージが表示され、ユーザは新しいウィンドウでサイトを再
訪問させられます。ポータルで認証が強制されている場合は、ユーザはポータルのログインページに
リダイレクトされます。
情報の暴露を阻止する方法
ウェブアプリケーションファイアウォールでは、情報の暴露と脆弱なエラー処理を狙う攻撃を阻止する
ために、機密情報や取り扱いに注意を要する情報が含まれるテキストを設定して、ウェブサイトから
ウェブアプリケーションファイアウォールを通してそのようなテキストにアクセスできないようにすることが
できます。このようなテキストは、「ウェブアプリケーションファイアウォール > 設定」ページで入力し
ます。
個別テキストのパターン一致を検出する機能に加え、情報の暴露に関するシグネチャもこのタイプの攻
撃を阻止するために使用できます。
SonicWALL SSL VPN 5.5 からは、ウェブアプリケーションファイアウォールは、 HTML ウェブページ内
でのクレジットカードまたは社会保障番号 (SSN) の不慮の暴露に対して保護します。
備考
クレジットカードまたは SSN の暴露に対しては、テキストまたは HTML ページのみで、最初の 512
キロバイトのみ検査されます。
ウェブアプリケーションファイアウォールは様々な形式でクレジットカードと SSN 番号を特定できます。
例えば、 XXX XX XXXX か XXX-XX-XXXX のような SSN を特定できます。ウェブアプリケーションファ
イアウォールは、クレジットカードや SSN 仕様に従わない形式を除外することで、誤検知を排除する
ように試みます。例えば、クレジットカードは、 n 桁の数がクレジットカード番号であるかどうかを決定
するために Luhn アルゴリズムに従います。
68
SonicWALL SRA 5.5 管理者ガイド
管理者はユーザの身元を明らかにできる桁を、検出 ( ログ ) する、防御する、または単にマスクする
といった、適切な動作を設定できます。マスクは全体的または部分的にできます、そして、マスクを
かけるために次の文字のいずれも選ぶことができます： # * - x X . ! $ ? 。このマスクされた番号は、送
り状に印刷されたクレジットカード番号の外観と同様になります。
不適切な認証への攻撃を阻止する方法
不適切な認証とセッション管理への攻撃に対抗するために、ウェブアプリケーションファイアウォール
では、強いセッション管理をサポートしてウェブサイトで必要とされる認証レベルを強化する必要があり
ます。ＳｏｎｉｃＷＡＬＬＳＲＡには、既に強い認証機能としてワンタイムパスワード、２ファクタ認証、シ
ングルサインオン、およびクライアント証明書認証がサポートされています。
不適切なセッション管理の脆弱性については、ユーザポータルが起動するときやユーザがアプリケー
ションオフロードポータルにログインするときに、ウェブアプリケーションファイアウォールはセッション
ログアウトのダイアログボックスをポップアップ表示します。この機能は、ウェブアプリケーションファ
イアウォールがライセンスされると既定で有効になります。無効にするには、「ウェブアプリケーション
ファイアウォール＞設定」ページを使用します。
安全でない保存と通信への攻撃を阻止する方法
安全でない暗号での保存および安全ではない通信の脆弱性を狙う攻撃を阻止するために、必要に応じ
てキーとパスワードを暗号化し、さらにＳＳＬ暗号化を使ってウェブアプリケーションファイアウォール
とクライアント間のデータを暗号化します。また、ＳｏｎｉｃＷＡＬＬＳＲＡではバックエンドウェブサーバで
ＨＴＴＰＳもサポートされます。
ＵＲＬアクセスの制限の欠陥への攻撃を阻止する方法
ＳｏｎｉｃＷＡＬＬＳＲＡは、ホスト、サブネット、プロトコル、ＵＲＬパス、およびポートに基づいてウェブ
サイトへのアクセスを許可または拒否するアクセスポリシーをサポートしています。このポリシーは、
グローバルに設定することも、ユーザやグループ単位で設定することもできます。
Ｓｌｏｗｌｏｒｉｓ攻撃を阻止する方法
Ｓｌｏｗｌｏｒｉｓ攻撃はＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮセキュリティ装置のような、ＨＴＴＰ要求を制限、バッ
ファ、またはプロキシするアップストリームの機器がある場合には阻止できます。ウェブアプリケーショ
ンファイアウォールは、速度制限を使ってＳｌｏｗｌｏｒｉｓＨＴＴＰＤｏＳ攻撃を阻止します。
利用可能な PCI 準拠レポートの種別
PCI レポートでは、 Payment Card Industry Data Security Standard (PCI DSS) 6.5 ( バージョン 2.0) and
PCI DSS 6.6 ( バージョン 1.2) がカバーされています。管理者は、これらの PCI 要求を満たすように
ウェブアプリケーションファイアウォールを構成できます。
「ウェブアプリケーションファイアウォール＞状況」ページから PCI レポートの生成とダウンロードが可
能です。
備考
これは公式な PCI 準拠レポートではありません。自己評価のためだけに使用してください。
レポートの表紙には、以下の情報が表示されます。
･装置のモデル、シリアル番号、ファームウェアバージョン
SonicWALL SRA 5.5 管理者ガイド
69
･レポートの著者として、レポートをダウンロードした人のユーザ名
･レポートが生成された日時
以下に例を示します。
PCI 準拠レポート内に、それぞれの PCI 要件の状況を表示するための 2 つの表が動的に生成されま
す。表の形式は以下の例のとおりです。
1 列目は、 PCI 要件を説明します。
2 列目は、現在のウェブアプリケーションファイアウォール設定下での、それぞれの PCI 要件の状況
を示します。この列に対して可能な値は 4 つあり、色で区別されています。
･適合 ( 緑 )
･一部適合 ( オレンジ )
･不適合 ( 赤 )
･判断不能 ( 黒 )
3 列目は、コメントと状況評価を説明する詳細を提供します。状況が「適合」の場合はコメントは提供
されません。
Cookie 改竄防御の動作
Sonicwall SSL VPN は、重要なサーバ側 Cookie を改竄から保護します。
Cookie には 2 種類あります。
サーバ側 Cookie - これらの Cookie はバックエンドウェブサーバによって生成されます。これらは重要
で保護される必要があります。これらは Path、 Domain、 Secure、および HttpOnly のような、オプ
ションの属性を持ちます。
クライアント側 Cookies - これらの Cookie はユーザのブラウザ内のクライアント側スクリプトによって生
成されます。これらは安全ではなく、容易に改竄可能です。
70
SonicWALL SRA 5.5 管理者ガイド
この機能は、「ウェブアプリケーションファイアウォール＞設定」ページにあります。
このページには以下のオプションがあります。
ポータル - すべてのアプリケーションオフロードポータルのリストです。各ポータルには自身の設定が
あります。「グローバル」は、すべてのポータルに対する既定の設定です。
改竄防御モード - 3 つのモードが利用可能です。
･防御 - すべての改竄された Cookie を除去して、それらをログします。
･検知のみ - 改竄された Cookie をログだけします。
･グローバルを継承 - このポータルでグローバル設定を使います。
サーバ Cookies の暗号化 - 名前と値の暗号化を別々に選択します。これは Cookie 名または値を読め
なくするので、クライアント側スクリプトの振舞いに影響します。これらのオプションによって、サーバ側
Cookie のみが暗号化されます。
Cookie 属性 - 有効の場合、 HttpOnly および Secure 属性がサーバ側 Cookie に追加されます。
HttpOnly 属性は、クライアント側スクリプトが Cookie にアクセスすることを防ぎ、これはクロスサイトス
クリプティングやセッションハイジャックといった攻撃を軽減するときに重要です。 Secure 属性は、
Cookie が HTTPS 接続のみで送信されることを確かにします。両方協力して、サーバ側 Cookie に対し
て強固なレイヤのセキュリティを追加します。
備考
既定では、 Secure 属性は Cookie 改竄防御が無効になっていたとしても、常に HTTP 接続に付加
されます。この振舞いは設定可能なオプションで、無効にできます。
クライアント Cookie - クライアント Cookie は、既定で許可されています。厳しいモードでは、クライア
ント Cookie は許可されません。許可しない場合、クライアント側 Cookie はバックエンドシステムに送
信されることが許可されません。このオプションはサーバ側 Cookie には影響しません。
除外リスト - 除外リストが有効で Cookie を含む場合、その Cookie は通常通り通過されて、保護され
ません。サーバ側 Cookie とクライアント側 Cookie を除外することができます。
除外リストのアイテムは、大文字と小文字を区別し、 "CookieName@CookiePath" の形式です。同じ名
前で異なるパスを持つ Cookie は、異なる Cookie として扱われます。 "CookiePath" はすべてのパスを
表すために、空白のままにできます。
SonicWALL SRA 5.5 管理者ガイド
71
グローバルのインポート - アプリケーションオフロードポータルが、グローバル除外リストをインポート
できます。
アプリケーションプロファイリングの動作
管理者は、アプリケーションプロファイリングを「ウェブアプリケーションファイアウォール＞ルール」
ページで設定できます。アプリケーションプロファイリングは、それぞれのポータルで独立して実行され
ます。
ポータルを選択した後で、プロファイルしたいアプリケーションのコンテンツ種別を選択できます。
「HTML/XML」、「Javascript」、「CSS」、または画像、 HTML、 CSS といったすべてのコンテンツ種別
を含む「すべて」を選択できます。 HTML/XML コンテンツは一般的により取り扱いに慎重を要する
ウェブトランザクションをカバーするため、セキュリティの観点から最重要です。このコンテンツ種別は
既定で選択されています。
それから「プロファイリングの開始」ボタンを選択（するとボタンは「プロファイリングの終了」に変わ
ります）して、 SonicWALL SRA を学習モードで設置します。プロファイリングは、信頼されたユーザが
適切な方法でアプリケーションを使用している間に完了するべきです。 SRA は入力を記録してそれらを
URL プロファイルとして保存します。 URL プロファイルは、「ウェブアプリケーションファイアショール＞
ルール」ページの「アプリケーションプロファイリング」セクションにツリー構造でリストされます。
ハイパーリンクとして表示されている URL のみが、バックエンドサーバ上でアクセス可能な URL です。
. ハイパーリンクを選択して、 URL に対する “学習済み” の値が適切でない場合に編集できます。そ
の後、編集された URL プロファイルを使うルールを生成できます。
SRA は以下の HTTP パラメータを学習します。
･レスポンスステータスコード
･ポストデータ長 - ポストデータ長は、 Content-Length ヘッダ内の値を学習することによって見積も
られます。最大値はこの値より大きくもっとも近い 2 のべき乗に設定されます。これはバックエンド
アプリケーションによって割り当てられるであろうメモリ量に順応します。例えば、 Content Length 65
に対しては、 65 より大きい次の 2 のべき乗は 128 です。これは URL プロファイル内で設定される
制限です。管理者がこれを的確でないと判断する場合は、この値を適切に編集できます。
･要求パラメータ - これらは特定の URL が受諾できるパラメータのリストです。
72
SonicWALL SRA 5.5 管理者ガイド
適切な量の入力が学習されてから、「プロファイリングの終了」ボタンを選択して、学習された入力か
らルールを生成するための準備を完了します。生成された連鎖ルールに対する既定の動作として、以
下の 1 つを設定できます :
･無効 - 生成されたルールがアクティブではなく無効になります。
･検知のみ - 生成されたルールを始動するコンテンツが検知されログされます。
･防御 - 生成されたルールを始動するコンテンツが防御されログされます。
これまでに連鎖ルールが既に URL プロファイルから生成されている場合は、「URL プロファイルに対す
る既存の連鎖ルールを上書きする」チェックボックスが選択されている場合にのみ連鎖ルールは上書き
されます。「ルールの生成」ボタンを選択すると、 URL プロファイルからルールが生成されます。 URL
プロファイルが編集されている場合は、それらの変更が組み入れられます。
ユーザ定義ルールに対する速度制限の動作
「ウェブアプリケーションファイアウォール＞ルール」ページから連鎖ルールを追加または編集する際
に、管理者は速度制限を設定できます。連鎖ルールに対して速度制限が有効な場合、その連鎖ルー
ルに対する動作は、設定期間内の一致数が設定されたしきい値を超えたときにだけ開始されます。
この種別の防御は、ブルートフォースや辞書攻撃を防ぐために有用です。管理インターフェース内で
管理者が参考として使える連鎖ルール ID が 15002 の連鎖ルール例が利用可能です。
「新規連鎖ルール」または「連鎖ルールの編集」画面の「ヒットカウンタを有効にする」チェックボッ
クスを選択すると、関連するフィールドが表示されます。
連鎖ルールが一致すると、ウェブアプリケーションファイアウォールは連鎖ルールが何回一致したかを
内部カウンタに監視させ続けます。「最大許可ヒット数」フィールドは、連鎖ルールの動作が始動する
までに発生しなくてはならない一致回数を含みます。連鎖ルールが「ヒットカウンタのリセット周期」
フィールドに設定された秒数の間一致しない場合、このカウンタは 0 にリセットされます。
速度制限はリモート IP アドレス毎、または、ユーザセッション毎、またはその両方に対して強制でき
ます。「リモートアドレス毎に監視する」チェックボックスは、攻撃者のリモート IP アドレスに基づいた
速度制限を有効にします。
「セッション毎に監視する」チェックボックスは、攻撃者のブラウザセッションに基づいた速度制限を有
効にします。この方式は各ブラウザセッションに対して Cookie を設定します。攻撃者が攻撃毎に新し
いユーザセッションを開始する場合には、ユーザセッションによる監視はリモート IP による監視ほど効
果的ではありません。
「リモートアドレス毎に監視する」オプションは、 SonicWALL SRA 装置が確認したものと同じリモートア
ドレスを使います。攻撃が NAT が設定されている 1 台のファイアウォールの背後にある複数のクライア
ントを使う場合は、異なるクライアントが実質的には同じ送信元 IP アドレスを持つパケットを送信し、
一緒に数えられます。
SonicWALL SRA 5.5 管理者ガイド
73
ＳＳＬＶＰＮ管理インターフェースのナビゲート
以降のセクションでは、ＳＳＬＶＰＮ管理インターフェースのナビゲート方法について説明します。
･「管理インターフェースの概要」セクション（74 ページ）
･「管理インターフェースのナビゲート」セクション（76 ページ）
･「ナビゲーションバー」セクション（80 ページ）
管理インターフェースの概要
ここでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のウェブベース管理インターフェースに接続するための基本セット
アップタスクの概要を説明します。管理セッションの確立と基本セットアップタスクの詳細については、
『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ導入ガイド』を参照してください。ＳｏｎｉｃＷＡＬＬＳＲＡのウェブベース管理
インターフェースにアクセスするには、以下の手順に従います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＸ０ポートにカテゴリ５のケーブルの片端を接続します。ＳｏｎｉｃＷＡＬＬＳＲＡ装
置の管理に使用しているコンピュータにケーブルのもう一方の端を接続します。
3ONIC7!,,32!ⵝ⟎
#/.3/,%
3ECURE2EMOTE!CCESS
32! 072 4%34 !,!2-
8
,!.
▤ℂࠦࡦࡇࡘ࡯࠲
手順 2 ＳｏｎｉｃＷＡＬＬＳＲＡ装置の管理に使用するコンピュータの静的ＩＰアドレスが、１９２.１６８.２００.２０など、
１９２.１６８.２００.ｘ／ 24 サブネットに入るように設定します。コンピュータの静的ＩＰアドレスのセットアッ
プについては、ご使用のモデルに対応する『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ導入ガイド』を参照してくださ
い。
備考
ウェブベース管理インターフェースを使用してＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮを設定する場合は、イン
ターネットエクスプローラ５.５以上、ネットスケープナビゲータ４.７以上、Ｍｏｚｉｌｌａ１.７以上、
Ｆｉｒｅｆｏｘなど、ＪａｖａとＨＴＴＰのアップロードをサポートしているウェブブラウザの使用をお勧めし
ます。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮアプリケーションの全スイートを利用するためには、ＪａｖａＳｃｒｉｐｔ、
Ｊａｖａ、Ｃｏｏｋｉｅ、ＳＳＬ、およびＡｃｔｉｖｅＸをサポートしているＩＥ５.０.１以上を使用する必要があり
ます。
手順 3 ウェブブラウザを開き、「場所」または「アドレス」フィールドに〈https://192.168.200.1〉（既定のＬＡＮ
管理ＩＰアドレス）を入力します。
手順 4 セキュリティ警告が表示されるかもしれません。その場合は、「はい」を選択して次に進みます。
手順 5
74
「ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェース」が表示され、ユーザ名とパスワードの入力を求められま
す。「ユーザ名」フィールドに「ａｄｍｉｎ」を入力し、「パスワード」フィールドに「ｐａｓｓｗｏｒｄ」を入
力し、「ドメイン」ドロップダウンリストから「ＬｏｃａｌＤｏｍａｉｎ」を選択し、「ログイン」ボタンを選択しま
す。
SonicWALL SRA 5.5 管理者ガイド
備考
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの自動ロックアウト機能を使用すると、ログイン試行の回数と期間を制御
できます。自動ロックアウト機能の設定の詳細については、「ログインセキュリティの設定」セク
ション（107 ページ）を参照してください。
ログインに成功すると、既定では「システム＞状況」ページが表示されます。
備考
ログイン後の既定のページが仮想オフィスユーザポータルになっている場合は、ユーザ権限しか
ないドメインが選択されています。管理は、ＬｏｃａｌＤｏｍａｉｎ認証ドメインからのみ実行できます。
管理者としてログインするには、「ログイン」画面の「ドメイン」ドロップダウンリストから
「ＬｏｃａｌＤｏｍａｉｎ」を選択してください。
ブラウザウィンドウの左側にある「システム」、「ネットワーク」、「ポータル」、「ＮｅｔＥｘｔｅｎｄｅｒ」、「仮
想アシスト」、「ウェブアプリケーションファイアウォール」、「ユーザ」、「ログ」の各メニューヘッダー
で、管理設定を構成します。メニューヘッダーの１つを選択すると、その下にサブメニューオプショ
ンが表示されます。サブメニューリンクを選択すると、対応する管理ページが表示されます。
ナビゲーションメニューの「仮想オフィス」オプションを選択すると別のブラウザウィンドウが開き、
ユーザポータルの仮想オフィスのログインページが表示されます。
管理インターフェースの右上隅にある「ヘルプ」ボタンを選択すると別のブラウザウィンドウが開き、
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮヘルプが表示されます。
管理インターフェースの右上隅にある「ログアウト」ボタンを選択すると、管理セッションが終了し、ブ
ラウザウィンドウが閉じます。
SonicWALL SRA 5.5 管理者ガイド
75
管理インターフェースのナビゲート
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースで、管理者は、ＳｏｎｉｃＷＡＬＬＳＲＡ装
置を設定できます。管理インターフェースには、トップレベル、読み取り専用、および設定画面があ
ります。
･ウィンドウ－読み取り専用の形式で情報を表示します。
･設定ウィンドウ－オブジェクトに影響を及ぼす値の追加および変更を管理者が行うことができます。
ＩＰアドレス、名前、認証タイプなどがその例です。
図 3 に示すのはウェブベース管理インターフェースのサンプルウィンドウです。標準的なＳｏｎｉｃＷＡＬＬ
インターフェースウィンドウの各種要素に注意してください。
図3
「システム＞状況」ページ
႐ᚲ
࠽ࡆࠥ࡯࡚ࠪࡦࡃ࡯
⁁ᴫࡃ࡯
ࡔࠗࡦ࠙ࠖࡦ࠼࠙
76
SonicWALL SRA 5.5 管理者ガイド
次は設定ウィンドウのサンプルです。
䊮㩷䉺䉟䊃䊦㩷
䉺䉟䊃䊦㩷
䉶䉪䉲䊢䊮㩷䉺䉟䊃䊦㩷
ฬ㩷
ฬ㩷
䊐䉞䊷䊦䊄ฬ㩷
䊗䉺䊮㩷
䊗䉺䊮㩷
䊒䊦䉻䉡䊮㩷䊜䊆䊠䊷㩷
䊒䊦䉻䉡䊮㩷䊜䊆䊠䊷㩷
౉ജ䊐䉞䊷䊦䊄㩷
౉ജ䊐䉞䊷䊦䊄㩷䊗䉺䊮㩷
䊒䊦䉻䉡䊮㩷䊜䊆䊠䊷㩷
ㆬᛯ䊐䉞䊷䊦䊄㩷
ㆬᛯ䊐䉞䊷䊦䊄㩷
౉ജ䊐䉞䊷䊦䊄㩷
ㆬᛯ䊐䉞䊷䊦䊄㩷
䊗䉾䉪䉴㩷
䉾䉪䉴㩷
䉼䉢䉾䉪㩷䊗䉾䉪䉴㩷
管理インターフェースの各要素の詳細については、以下のセクションを参照してください。
･「状況バー」セクション（77 ページ）
･「変更の適用」セクション（77 ページ）
･「テーブルのナビゲート」セクション（78 ページ）
･「再起動」セクション（79 ページ）
･「管理インターフェースのよく使用するアイコン」セクション（79 ページ）
･「管理インターフェースのツールチップ」セクション（79 ページ）
･「ヘルプの表示」セクション（79 ページ）
･「ログアウト」セクション（79 ページ）
状況バー
管理インターフェースウィンドウ下部の「状況」バーには、ＳｏｎｉｃＷＡＬＬ管理インターフェースで実行
されるアクションの状況が表示されます。
変更の適用
ページ上で行った設定の変更を保存するには、メインウィンドウの右上隅にある「適用」ボタンを選択
します。
SonicWALL SRA 5.5 管理者ガイド
77
設定が管理インターフェース内の２次ウィンドウにある場合は、ウィンドウの右上隅の「適用」ボタン
が利用可能なままです。
テーブルのナビゲート
テーブル上部にある各ナビゲーションボタンを使用すると、多数のエントリが含まれるテーブル内のナ
ビゲーションが容易になります。たとえば、「ログ＞表示」ページには、さまざまなナビゲーションボ
タンがあります。
図 4 ログ＞表示
表 6 ログ＞表示ページのナビゲーションボタン
ナビゲーショ
ンボタン
78
説明
検索
「検索」フィールドで指定した内容を含むログエントリを検索できます。ドロップダウンリ
ストの選択項目で指定したログエントリの要素が検索対象になります。ドロップダウンリ
ストの選択項目は、「ログ＞表示」テーブルの列見出しで示されるログエントリの要素
に対応しています。ログエントリの時間、優先順位、送信元、送信先、ユーザ、メッ
セージの各要素を検索対象にすることができます。
除外
ドロップダウンリストで指定したタイプ以外のすべてのログエントリを表示できます。
リセット
ログエントリのリストを既定の順序にリセットします。
ログのエクス
ポート
ログをエクスポートできます。
ログの消去
ログエントリを消去できます。
SonicWALL SRA 5.5 管理者ガイド
再起動
「システム＞再起動」ページには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置を再起動するための「再起動」ボタン
があります。
備考
再起動は約２分間を必要とし、すべてのユーザが切断されます。
管理インターフェースのよく使用するアイコン
次のアイコンは、ＳｏｎｉｃＷＡＬＬ管理インターフェース全体で使用されます。
･設定
アイコンを選択すると、設定を編集するためのウィンドウが表示されます。
･削除
アイコンを選択すると、テーブルエントリが削除されます。
･コメント
ます。
アイコンにポインタを合わせると、「コメント」フィールドエントリのテキストが表示され
管理インターフェースのツールチップ
管理インターフェースの多くのページでは、チェックボックス、テキストフィールド、またはラジオボタ
ンの上にマウスカーソルを移動すると、設定情報を示すツールチップが表示されます。フィールドに
よっては、関連する要件を述べるツールチップを提供する、疑問符
アイコンを持つものがありま
す。
ヘルプの表示
管理インターフェースの右上隅にある「ヘルプ」ボタンを選択すると別のウェブブラウザが開き、メイ
ンのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮヘルプが表示されます。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮには、状況に応じたオンラインヘルプも用意されており、各ページの右上隅
の疑問符
ボタンを選択すると表示されます。疑問符ボタンを選択すると新しいブラウザウィンドウ
が開き、管理ページまたは機能に応じたヘルプが表示されます。
備考
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のオンラインヘルプにアクセスするには、インターネットとの接続が確立さ
れている必要があります。
ログアウト
管理インターフェースの右上隅の「ログアウト」ボタンを選択すると、管理セッションが終了します。
「ログアウト」ボタンを選択すると、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースが終了してウェブブ
ラウザが閉じます。
SonicWALL SRA 5.5 管理者ガイド
79
ナビゲーションバー
ＳｏｎｉｃＷＡＬＬナビゲーションバーは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースの左側にあり、
メニューヘッダーの階層で構成されています。メニューヘッダーを展開すると、関連する管理機能が
サブメニュー項目として表示され、最初のサブメニュー項目のページが自動的に表示されます。例え
ば、「システム」ヘッダーを選択すると、「システム＞状況」ページが表示されます。ナビゲーション
メニューヘッダーは、「システム」、「ネットワーク」、「ポータル」、「ＮｅｔＥｘｔｅｎｄｅｒ」、「仮想アシス
ト」、「ウェブアプリケーションファイアウォール」、「ユーザ」、「ログ」、および「仮想オフィス」で構
成されています。
ナビゲーションバーの各ヘッダーのサブメニューの概要については、表 7 を参照してください。
表 7 ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮナビゲーションバーのレイアウト
タブ
サブメニュー
動作
システム
状況
装置の状況を表示します。
ライセンス
ノード／ユーザ、 Virtual Assist, 、ＶｉｅｗＰｏｉｎｔのライセンスの表示、有
効化、ＳｏｎｉｃＷＡＬＬライセンスサーバとの同期を行います。
時間
時間パラメータを設定します。
設定
設定をインポート、エクスポート、および保管します。
管理
ログインセキュリティおよびＧＭＳ設定を構成します。
証明書
証明書をインポートまたは生成します。
監視
使用帯域幅、使用中のユーザ数、ＣＰＵ使用率、およびメモリ使用率
のグラフを表示します。
診断
診断セッションを実行します。
再起動
システムを再起動します。
インターフェース
装置のインターフェースを設定します。
ＤＮＳ
ドメイン名を解決するように装置を設定します。
ルート
既定ルートと静的ルートを設定します。
ホスト解決
ネットワークホスト名設定を設定します。
ネットワーク
ネットワークオブジェＩＰアドレスをサービスにバインドする再利用可能なエンティティを作成し
クト数
ます。
ポータル
ポータル
認証のためにユーザがＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮにリダイレクトされたと
きに表示する個別の待ち受けページを作成します。
アプリケーションオフこのページは、ウェブアプリケーションのオフロードに関する情報を提
ロード
供します。
サービス
ＮｅｔＥｘｔｅｎｄｅｒ
仮想アシスト
80
ドメイン
アクセスポリシーを作成できる認証ドメインを作成します。
個別ロゴ
このページは、ポータルの編集と「ロゴ」タブの選択によって、「ポー
タル＞ポータル」ページでポータルごとに個別ロゴをアップロードできる
ようになったことを示します。
設定
ＨＴＴＰ／ＨＴＴＰＳ、Ｃｉｔｒｉｘ、グローバルポータル文字セット、および
ワンタイムパスワードに対する設定の有効化と構成をします。
ブックマーク
ブックマークを追加します。
ポリシー
ポリシーを追加します。
状況
アクティブなＮｅｔＥｘｔｅｎｄｅｒセッションを表示します。
クライアント設定
ＮｅｔＥｘｔｅｎｄｅｒアプリケーションで使用するクライアントアドレスを作成し
ます。
クライアントルート
ＮｅｔＥｘｔｅｎｄｅｒアプリケーションで使用するクライアントルートを作成しま
す。
状況
アクティブな仮想アシスト顧客要求を表示します。
SonicWALL SRA 5.5 管理者ガイド
タブ
サブメニュー
動作
設定
仮想アシストの電子メール、チケット、キューの各オプションと、アシス
トコード設定を設定します。
ログ
技術者と顧客の操作のログエントリの表示、およびそのログのエクス
ポート、電子メール送信、消去を行います。
ライセンス
現在の仮想アシストライセンス情報を表示および設定します。
状況
ウェブアプリケーションファイアウォールのライセンスおよびシグネチャ
データベースの状況を表示します。シグネチャデータベースに更新を適
用します。ＰＣＩ準拠レポートをダウンロードします。
設定
ウェブアプリケーションファイアウォールを有効にし、自動シグネチャ更
新を有効にし、攻撃危険度ごと、グローバル除外ごとに、グローバル
設定を設定します。侵入防御エラーページの設定、ＣＳＲＦ防御、
Ｃｏｏｋｉｅ改竄防御、ウェブサイトクローキング、情報暴露防御、およ
びセッション管理設定の構成をします。
シグネチャ
パフォーマンスの最適化を有効にし、シグネチャ毎の動作とシグネチャ
毎の除外を設定します。
ルール
ユーザ定義ルールを有効にします。アプリケーションプロファイリングの
設定と実行をします。連鎖ルールの追加と設定をします。
監視
指定した期間に対するローカルウェブサーバ要求とトラフィックグラフを
参照します。指定した期間に検知または防御されたローカルＷＡＦ脅威
のグラフまたはリストを参照します。上位１０位の脅威をシグネチャ毎、
危険度毎、またはサーバ毎に参照します。指定した期間に検知または
防御されたグローバルＷＡＦ脅威のグラフを参照します。グローバル上
位１０位の脅威のグラフを参照します。
ログ
検出または遮断された攻撃のログエントリを表示します。各ログをク
リックすると、シグネチャの一致、シグネチャＩＤ、脅威名などの詳細
情報を表示できます。
ライセンス
現在のウェブアプリケーションライセンス情報の表示と設定を行いま
す。
高可用性
設定
ＨＡ状況を参照します。ＨＡを有効にします。ＨＡ設定を構成します。イ
ンターフェース監視を有効にします。ＬＡＮおよびＷＡＮに対するネット
ワーク監視アドレスを設定します。ＨＡペア内の装置間でファームウェア
を同期します。
ユーザ
状況
ユーザとグループの状況を表示します。
ローカルユーザ
ローカルユーザを設定します。
ローカルグループ
ローカルグループを設定します。
表示
装置によって生成されたＳｙｓｌｏｇエントリを表示します。ログのエクス
ポート、電子メール送信、消去も行います。
設定
ログ環境の設定を構成します。
種別
ログされるイベント種別を選択します。
ＶｉｅｗＰｏｉｎｔ
レポート用にＳｏｎｉｃＷＡＬＬＶｉｅｗＰｏｉｎｔサーバを設定します。
Ｎ／Ａ
仮想オフィスポータルのホームページにアクセスします。
ウェブ
アプリケーショ
ン
ファイアウォー
ル
ログ
仮想オフィス
配備のガイドライン
このセクションでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の配備のガイドラインについて説明します。このセクショ
ンは、次のサブセクションから構成されています。
･「サポートするユーザ接続数」セクション（82 ページ）
･「リソースタイプのサポート」セクション（82 ページ）
･「ＳｏｎｉｃＷＡＬＬ製品との統合」セクション（82 ページ）
SonicWALL SRA 5.5 管理者ガイド
81
･「一般的な配備」セクション（83 ページ）
･「Two Arm 配備」セクション（83 ページ）
サポートするユーザ接続数
装置ごとにサポートされる同時トンネルの最大数と推奨数を次の表に示します。
装置モデル
サポートされる最大同時トンネ
ル数
推奨同時トンネル数
SRA 1200
50
20
SRA 4200
500
50
SRA Virtual Appliance
500
50
使用するアプリケーションの複雑さや大きなファイルの共有などは、パフォーマンスに影響を与える要
因になります。
リソースタイプのサポート
以下の表は、アクセスできるアプリケーションまたはリソースのタイプをＳｏｎｉｃＷＡＬＬＳＲＡ装置への
接続方法別に示しています。
アクセスメカニズム
標準のウェブブラウザ
アクセスタイプ
･ＦＴＰおよびウィンドウズネットワークファイル共有のサポートを備えた
ファイルおよびファイルシステム
･ウェブベースのアプリケーション
･マイクロソフトアウトルックウェブアクセスおよびその他のウェブ対応ア
プリケーション
･ＨＴＴＰおよびＨＴＴＰＳのイントラネット
ＳｏｎｉｃＷＡＬＬＮｅｔＥｘｔｅｎｄｅｒ
･以下のようなあらゆるＴＣＰ／ＩＰベースのアプリケーション
- ユーザのラップトップ上のネイティブクライアントを通じた電子メール
アクセス（マイクロソフトアウトルック、ロータスノーツなど）
- 商用アプリケーションおよび自作アプリケーション
･ネットワーク管理者によって許可された柔軟なネットワークアクセス
ダウンロード可能なＡｃｔｉｖｅＸクライ
アントまたはＪａｖａクライアント
･リモートデスクトップまたはリモートサーバプラットフォームのリモート制
御下にある、デスクトップマシン上にインストールされたアプリケーショ
ン（またはアプリケーションサーバ上でホストされているアプリケーショ
ン）
･ターミナルサービス、ＲＤＰ、ＶＮＣ、Ｔｅｌｎｅｔ、ＳＳＨ、Ｃｉｔｒｉｘ
ＳｏｎｉｃＷＡＬＬ製品との統合
ＳｏｎｉｃＷＡＬＬＳＲＡ装置をその他のＳｏｎｉｃＷＡＬＬ製品と統合すると、ＳｏｎｉｃＷＡＬＬＮＳＡ、ＰＲＯ、
ＴＺシリーズ製品ラインを補完できます。着信ＨＴＴＰＳトラフィックは、ＳｏｎｉｃＷＡＬＬファイアウォール
装置によってＳｏｎｉｃＷＡＬＬＳＲＡ装置へとリダイレクトされます。このトラフィックはＳＲＡ装置で復号
化されてファイアウォールに返され、そこで内部ネットワークリソースに到達するための道筋が検討さ
れます。
82
SonicWALL SRA 5.5 管理者ガイド
一般的な配備
通常、ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、付随するゲートウェイ装置、例えばＳｏｎｉｃＷＡＬＬＮＳＡ４５００
などのＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置のＤＭＺまたはＯｐｔインターフェースを介した
“Ｏｎｅ-Ａｒｍ” モードで直列に接続されて配備されます。
この配備方法によって、新たなセキュリティ制御の階層に加えて、ゲートウェイアンチウィルス、アン
チスパイウェア、コンテンツフィルタ、侵入防御など、ＳｏｎｉｃＷＡＬＬ統合脅威管理（ＵＴＭ）サービ
スを使用して、すべての送受信ＮｅｔＥｘｔｅｎｄｅｒトラフィックを走査できます。ＳｏｎｉｃＷＡＬＬは配備の容
易さと清潔ＶＰＮのためのＵＴＭＧＡＶ／ＩＰＳとの一緒の使用のために、Ｔｗｏ-Ａｒｍモードよりも
Ｏｎｅ-Ａｒｍモード配備を推奨します。
図 5 で示されるように、Ｏｎｅ-ＡｒｍモードでＳｏｎｉｃＷＡＬＬＳＲＡ装置上のプライマリインタフェース
（Ｘ０）は、ゲートウェイ機器上の使用可能なセグメントに接続されます。暗号化されたユーザセッショ
ンが、ゲートウェイを通じてＳｏｎｉｃＷＡＬＬＳＲＡ装置に渡されます（ステップ１）。ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮがセッションを復号化し、要求されたリソースを判別します。その後、このＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮセッショントラフィックがゲートウェイ装置を通過して（ステップ２）、内部ネットワークリ
ソースに到達します。ゲートウェイを通過する際に、侵入防御、ゲートウェイアンチウィルス、アンチ
スパイウェア調査などのセキュリティサービスを適切に設定されたゲートウェイ装置によって適用するこ
とができます。その後、内部ネットワークリソースは要求されたコンテンツをゲートウェイ経由で
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に返します（ステップ３）。そこでコンテンツが復号化され、クライアントに返
されます。
図 5 初期接続のイベントの流れ
䉟䊮䉺䊷䊈䉾䊃
㪥㪪㪘㩷ⵝ⟎
㪪㪪㪣㩷㪭㪧㪥㩷䉪䊤䉟䉝䊮䊃
3ECURE2EMOTE!CCESS
32! %8
33,60.
㪪㪩㪘㩷ⵝ⟎
8
#/.3/,%
3ECURE2EMOTE!CCESS
072 4%34 !,!2-
8
32! ౝㇱ䊈䉾䊃䊪䊷䉪
䊥䉸䊷䉴
$-:
,!.
㪯㪇㩷䉟䊮䉺䊷䊐䉢䊷䉴䈏䉭䊷䊃䉡䉢䉟਄䈱૶↪น⢻䈭䉶䉫䊜䊮䊃䈮ធ⛯䈜䉎䇯
ᥧภൻ䈘䉏䈢䉶䉾䉲䊢䊮䈏㩷㪪㪩㪘㩷ⵝ⟎䈮ㅴ䉃䇯㩷
㪪㪩㪘㩷䊃䊤䊐䉞䉾䉪䈏䉭䊷䊃䉡䉢䉟䉕ㅢ䈛䈩ౝㇱ䊈䉾䊃䊪䊷䉪㩷䊥䉸䊷䉴䈮೔㆐䈜䉎䇯
ౝㇱ䊈䉾䊃䊪䊷䉪㩷䊥䉸䊷䉴䈏䉭䊷䊃䉡䉢䉟䉕ㅢ䈛䈩㩷㪪㪩㪘㩷ⵝ⟎䈮䉮䊮䊁䊮䉿䉕㄰䈜䇯
ＳｏｎｉｃＷＡＬＬＳＲＡ装置とサードパーティゲートウェイの連携の設定については、「ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮをサードパーティゲートウェイ用に設定する方法」（347 ページ）を参照してください。
Two Arm 配備
SonicWALL SRA 装置は、 1 つの外部 (DMZ または WAN 側 ) インターフェースと 1 つの内部 (LAN) イン
ターフェースを使う Two Arm 配備シナリオもサポートします。しかしながら、 Two Arm モードには配備
の前に考慮する必要があるルーティングの問題があります。 SonicWALL SRA 装置はインターフェースを
SonicWALL SRA 5.5 管理者ガイド
83
横断してパケットをルートしません ( それを妨げる IP テーブルルールがあり、その結果ルータやデフォ
ルトゲートウェイとして使用できないため )。 Two Arm モードの SRA 装置の内部インターフェースに接続
した別のどのような機器も、異なるゲートウェイを通してインターネットや他のネットワークリソース
(DNS、 NTP 等 ) にアクセスする必要があります。
内部ルータに加えてインターネットルータがある場合は、内部リソースにアクセスする手段として内部
ルータを使うように Two Arm 配備を使うことができます。
サンプルシナリオ - A 社には内部ネットワーク上にリソースと多くのサブネットがあり、すでに強固な
ルーティングシステムが機能しています。 SRA 装置の Two Arm 配備を用いて、社内ネットワーク上の
内部リソースへ向かうクライアント要求を、内部ルータに届けることが可能です。
84
SonicWALL SRA 5.5 管理者ガイド
第2章
第2章
システムの設定
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブベース管理インターフェースの「システム」ページで行
う、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の登録、日付と時刻の設定、システム設定、システム管理、およびシ
ステム証明書の構成などの設定タスクについて説明します。
この章は、次のセクションから構成されています。
･「システム＞状況」セクション（86 ページ）
･「システム＞ライセンス」セクション（91 ページ）
･「システム＞時間」セクション（98 ページ）
･「システム＞設定」セクション（100 ページ）
･「システム＞管理」セクション（105 ページ）
･「システム＞証明書」セクション（109 ページ）
･「システム＞監視」セクション（113 ページ）
･「システム＞診断」セクション（115 ページ）
･「システム＞再起動」セクション（117 ページ）
admin_sysStatus
SonicWALL SRA 5.5 管理者ガイド
85
システム＞状況
このセクションでは、「システム＞状況」ページの概要と、このページで実行できる設定タスクについ
て説明します。
･「「システム＞状況」の概要」セクション（86 ページ）
･「システム状況からのＳｏｎｉｃＷＡＬＬ装置の登録」セクション（88 ページ）
･「ネットワークインターフェースの設定」セクション（90 ページ）
「システム＞状況」の概要
「システム＞状況」ページには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の現在のシステム状況に加え、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置およびＳｏｎｉｃＷＡＬＬセキュリティサービスライセンスを管理するために役立
つリンクが用意されています。このセクションでは、「システム＞状況」ページの表示内容と、この
ページでの設定タスクの実行方法について説明します。
図 1 システム＞状況ページ
以下のセクションでは、「システム＞状況」ページの各領域の概要を説明します。
･「システムメッセージ」（87 ページ）
･「システム情報」（87 ページ）
･「最新の警告」（87 ページ）
･「ライセンスと登録」（87 ページ）
･「ネットワークインターフェース」（88 ページ）
86
SonicWALL SRA 5.5 管理者ガイド
システムメッセージ
「システムメッセージ」セクションには、システム設定の変更など、最近のイベントおよび重要なシステ
ムメッセージが表示されます。たとえば、発信用のＳＭＴＰサーバが設定されていない場合は、「発
信用のＳＭＴＰサーバアドレスが指定されていないため、ログメッセージとワンタイムパスワードを送
信できません。」というメッセージが表示されます。
システム情報
「システム情報」セクションには、特定のＳｏｎｉｃＷＡＬＬＳＲＡ装置の詳細情報が表示されます。この
セクションには、以下の情報が表示されます。
表 1 システム情報
フィールド
説明
モデル
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のタイプ
シリアル番号
ＳｏｎｉｃＷＡＬＬ装置のシリアル番号またはＭＡＣアドレス
認証コード
https://www.mysonicwall.com の登録データベースでＳｏｎｉｃＷＡＬＬ装置を
認証する場合に使用する英数字コード
ファームウェアバージョン
ＳｏｎｉｃＷＡＬＬ装置にロードされているファームウェアバージョン
ＲＯＭバージョン
ＲＯＭバージョン。ＲＯＭコードは装置の低レベル機能を制御する
ＣＰＵ（使用率）
ＳｏｎｉｃＷＡＬＬ装置プロセッサのタイプと直前の５分間のＣＰＵ平均使用
率
搭載メモリ
装置上のＲＡＭとフラッシュメモリの容量
システム時間
現在の日付と時刻
アップタイム
最後に再起動したときから現時点まででＳｏｎｉｃＷＡＬＬＳＲＡ装置がアク
ティブであった日数、時間数、分数、および秒数
使用中のユーザ数
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の管理インターフェースに現在ログインしている
ユーザの数
最新の警告
「最新の警告」セクションには、最近の侵入イベント、変則的なシステムの動作やエラーに関するテキ
ストが表示されます。最新の警告には、イベントの日時、イベントを発生したユーザのホスト、および
イベントに関する簡単な説明が表示されます。
このセクションには、システムイベントやシステムエラーに関連するメッセージが表示されます。この
セクションの右上隅にある矢印ボタンを選択すると、「ログ＞表示」ページが表示されます。
最新の警告セクションのフィールドは、以下のとおりです。
･「日付／時間」－メッセージが生成された日時
･「ユーザ」－メッセージを生成したユーザの名前
･「メッセージ」－エラーを表すメッセージ
ライセンスと登録
「ライセンスと登録」セクションには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のユーザライセンスの許可および登録
状況が表示されます。ＶｉｅｗＰｏｉｎｔ、仮想アシスト、およびウェブアプリケーションファイアウォールの
ライセンスの状況もここに表示されます。
SonicWALL SRA 5.5 管理者ガイド
87
ＭｙＳｏｎｉｃＷＡＬＬで装置を登録する方法、およびこのセクションの下部にあるフィールドに登録コードを
手動で入力する方法については、「システム状況からのＳｏｎｉｃＷＡＬＬ装置の登録」セクション（88
ページ）を参照してください。
「システム＞ライセンス」ページからＭｙＳｏｎｉｃＷＡＬＬに装置を登録する方法、および装置と
ＳｏｎｉｃＷＡＬＬサーバの間で登録状況とライセンス状況を自動的に同期する方法については、「「システ
ム＞ライセンス」からのＳＲＡ装置の登録」セクション（93 ページ）を参照してください。
ネットワークインターフェース
「ネットワークインターフェース」セクションには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のインターフェースのリスト
が名前順に表示されます。「ネットワークインターフェース」タブには、インターフェースごとに、設
定されているＩＰアドレスと現在のリンク状況が表示されます。
ネットワークインターフェースセクションに関連する設定タスクの詳細については、「ネットワークイン
ターフェースの設定」セクション（90 ページ）を参照してください。
システム状況からのＳｏｎｉｃＷＡＬＬ装置の登録
ＭｙＳｏｎｉｃＷＡＬＬで登録を行って、ＳｏｎｉｃＷＡＬＬＳＲＡ装置を最大限に活用します。登録は以下のセ
クションに示す手順に従って行います。
ご登録の前に
ＳｏｎｉｃＷＡＬＬＳＲＡを登録する前に、時間、ＤＮＳ、およびデフォルトルートが正しく設定されている
ことを確認します。通常これらの設定は、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの初期セットアッププロセスで行
います。時間の設定を確認するには、「システム＞時間」ページにナビゲートします。ＤＮＳの設定
を確認するには、「ネットワーク＞ＤＮＳ」ページにナビゲートします。デフォルトルートを確認または
設定するには、「ネットワーク＞ルート」ページにナビゲートします。「時刻の設定」セクション（98
ページ）時間とＤＮＳの設定の詳細については、「ＤＮＳ設定の構成」セクション（123 ページ）、お
よび「ＳＲＡ装置の既定ルートの設定」セクション（125 ページ）を参照してください。
備考
ＳｏｎｉｃＷＡＬＬＳＲＡを登録するには、ＭｙＳｏｎｉｃＷＡＬＬアカウントが必要です。
「システム＞ライセンス」からの MySonicWALL アカウント作成
手順 1
「システム＞ライセンス」ページで、「サービスの購読、アップグレード、及び更新。」を選択します。ライ
センス管理のページが表示されます。
手順 2 MySonicWALL アカウントを持っていない、または、ユーザ名やパスワードを忘れた場合は、ページ下部の
https://www.mysonicwall.com リンクを選択します。 MySonicWALL のユーザログインページが表示さ
れます。
以下から 1 つ実行します。
･ユーザ名を忘れた場合は、「ユーザ名を忘れてしまった方は」リンクを選択します。
･パスワードを忘れた場合は、「パスワードを忘れてしまった方は」リンクを選択します。
･ MySonicWALL アカウントを持っていない場合は、「ユーザ登録されていない方は」リンクを選択しま
す。
手順 3 画面の指示にしたがって MySonicWALL アカウントを有効化します。
88
SonicWALL SRA 5.5 管理者ガイド
ＭｙＳｏｎｉｃＷＡＬＬを使った登録
ＳｏｎｉｃＷＡＬＬＳＲＡ装置を登録する方法には次の２つがあります。
･ＭｙＳｏｎｉｃＷＡＬＬアカウントにブラウザから直接ログインするか、または「システム＞状況」ペー
ジで「ＳｏｎｉｃＷＡＬＬ」リンクを選択して、ＭｙＳｏｎｉｃＷＡＬＬにアクセスします。次に、装置のシリア
ル番号やその他の情報を入力し、得られた登録コードを「システム＞状況」ページのフィールド
に入力します。この手動登録の手順については、このセクションで説明します。
･「システム＞ライセンス」ページのリンクを使用してＭｙＳｏｎｉｃＷＡＬＬにアクセスし、シリアル番号
やその他の情報をＭｙＳｏｎｉｃＷＡＬＬに入力します。処理が完了すると、ＭｙＳｏｎｉｃＷＡＬＬで有効
化されたライセンスに装置が自動的に同期されたことが「システム＞ライセンス」ページに表示さ
れます。この手順については、「「システム＞ライセンス」からのＳＲＡ装置の登録」セクション
（93 ページ）を参照してください。
SonicWALL SRA 装置を登録するには、以下の手順に従います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＲＡ管理インターフェースにログインしていない場合は、ユーザ名ａｄｍｉｎと、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の初期セットアップの過程で設定した管理者パスワード（既定でｐａｓｓｗｏｒｄ）
を使用してログインします。管理者パスワードの設定方法の詳細については、『ＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮ導入ガイド』を参照してください。
手順 2 管理インターフェースに「システム＞状況」ページが自動的に表示されない場合は、左ナビゲーションメ
ニューで、「システム」を選択し、「状況」を選択します。
手順 3
「ライセンスと登録」ボックスに表示される「シリアル番号」と「認証コード」をメモします。
手順 4 次のいずれかの操作を行って、ＭｙＳｏｎｉｃＷＡＬＬのウェブページにアクセスします。
- 「ライセンスと登録」セクションの「ＳｏｎｉｃＷＡＬＬ」リンクを選択します。
- ウェブブラウザの「アドレス」フィールドに〈http://www.mysonicwall.com〉と入力します。
「ＭｙＳｏｎｉｃＷＡＬＬのログイン」ページが表示されます。
手順 5 ＭｙＳｏｎｉｃＷＡＬＬアカウントのユーザ名とパスワードを入力します。
備考
ＭｙＳｏｎｉｃＷＡＬＬに未登録の場合は、アカウントを作成してからＳｏｎｉｃＷＡＬＬ製品を登録してくだ
さい。ページの下部にある「ユーザ登録されていない方は」リンクを選択して、無料の
ＭｙＳｏｎｉｃＷＡＬＬアカウントを作成します。
手順 6 左側のナビゲーションバーで、「製品」を開きます。
手順 7
「シリアル番号」フィールドと「認証コード」フィールドに適切な値を入力します。
SonicWALL SRA 5.5 管理者ガイド
89
手順 8
「ニックネーム」フィールドに、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のニックネームを入力します。
手順 9 この装置が属する製品グループがある場合は、「製品グループ」ドロップダウンリストから選択します。
手順 10
「登録」ボタンを選択します。
手順 11 ＭｙＳｏｎｉｃＷＡＬＬサーバで登録手続きが終了すると、装置が登録されたことを示すメッセージと共に登録
コードが表示されます。「次へ」を選択します。
手順 12 ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースの「システム＞状況」ページで、「ライセンスと登録」セ
クションの下部のフィールドに登録コードを入力し、「更新」を選択します。
ネットワークインターフェースの設定
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＩＰ設定およびインターフェース設定は、「システム＞状況」ページのネッ
トワークインターフェースセクションの隅にある青色の矢印を選択して指定します。このリンクによって
「ネットワーク＞インターフェース」ページにリダイレクトされます。このページは、ナビゲーションバー
からも表示できます。ＳｏｎｉｃＷＡＬＬＳＲＡ装置の管理者は、「ネットワーク＞インターフェース」ペー
ジから、プライマリ（Ｘ０）インターフェースのＩＰアドレスを設定できます。また、必要に応じて、追
加インターフェースを設定することもできます。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のポートが同じネットワーク上のファイアウォールまたはターゲット機器と通信
する場合は、インターフェースにＩＰアドレスとサブネットマスクを割り当てる必要があります。
インターフェースの設定方法の詳細については、「ネットワーク＞インターフェース」セクション（120
ページ）を参照してください。
admin_licensing
admin_sysLicensing
90
SonicWALL SRA 5.5 管理者ガイド
システム＞ライセンス
このセクションでは、「システム＞ライセンス」ページの概要と、このページで実行できる設定タスク
について説明します。以下のセクションを参照してください。
･「「システム＞ライセンス」の概要」セクション（91 ページ）
･「「システム＞ライセンス」からのＳＲＡ装置の登録」セクション（93 ページ）
･「ライセンスの有効化またはアップグレード」セクション（94 ページ）
「システム＞ライセンス」の概要
ライセンスをアップグレードするサービスおよび関連機能は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置で動作する
ＳｏｎｉｃＷＡＬＬライセンスマネージャによって提供されます。ライセンスマネージャはＳｏｎｉｃＷＡＬＬラ
イセンスサーバと定期的に（１時間おきに）通信を行い、ライセンスが有効かどうかを確認します。
管理者がライセンスマネージャでライセンスを直接購入したり、無料トライアルを有効にして購入前の
製品を試用したりすることもできます。
備考
ライセンスマネージャを動作させるためには、装置の初期登録が必要です。
「システム＞ライセンス」ページには、ＳｏｎｉｃＷＡＬＬセキュリティサービスライセンスの有効化、
アップグレード、および更新のためのリンクがあります。ＳｏｎｉｃＷＡＬＬ管理インターフェースのこのペー
ジから、ＳｏｎｉｃＷＡＬＬＳＲＡ装置用のＳｏｎｉｃＷＡＬＬセキュリティサービスライセンスをすべて管理で
きます。
「システム＞ライセンス」ページの「セキュリティサービスの概要」テーブルに表示される情報は、
ＭｙＳｏｎｉｃＷＡＬＬアカウントの情報をもとに更新されます。
図2
「システム＞ライセンス」ページ
SonicWALL SRA 5.5 管理者ガイド
91
セキュリティサービスの概要
「セキュリティサービスの概要」テーブルには、ノード／ユーザライセンス数、およびＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置で使用可能および有効化されたセキュリティサービスが表示されます。
「セキュリティサービス」列には、ＳｏｎｉｃＷＡＬＬセキュリティ装置で利用できるすべてのＳｏｎｉｃＷＡＬＬ
セキュリティサービスおよびアップグレードが表示されます。「ステータス」列は、セキュリティサービ
スが有効であるか（「購読済」）、今後有効にできるか（「未購読」、「臨時追加ライセンス」、「無
効」）、すでに有効でなくなっているか（「失効済」）を示しています。ＶｉｅｗＰｏｉｎｔと仮想アシスト臨時
追加ライセンス、およびウェブアプリケーションファイアウォールは、更新として別個にライセンスされ
ます。
「ユーザ」列には、ライセンスで許可されたノード／ユーザの数が表示されます。ノードとは、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続された、ＩＰアドレスを持つコンピュータまたはその他の機器です。こ
の数は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置に同時接続できる最大数を示します。
「失効期日」列には、期限付きでライセンスされたサービスの失効期日が表示されます。臨時追加ラ
イセンスに対しては、この失効期日列は、失効するまでの臨時追加ライセンスがアクティブな日数を表
示します。この日数は連続的でないことがあります。
「セキュリティサービスの概要」テーブルに示される情報は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置が１時間おき
にＳｏｎｉｃＷＡＬＬライセンスサーバと自動で同期するときに更新されます。また、「同期」ボタンを選
択して直ちに同期することもできます。
備考
同期の後でライセンスが更新されない場合、ＳＲＡ装置の再起動が必要な場合があります。ＤＮＳ
が正しく設定されていることと、装置からｓｏｎｉｃｗａｌｌ.ｃｏｍドメインに到達できることが必要です。
セキュリティサービスのオンライン管理
「システム＞ライセンス」ページからＭｙＳｏｎｉｃＷＡＬＬに直接ログインできます。それには、「サービ
スの購読、アップグレード、および更新」リンクを選択します。このリンクを選択することで、装置の
登録、サービスのアップグレードや更新のための追加ライセンスの購入、無料トライアルの有効化を
行うことができます。
92
SonicWALL SRA 5.5 管理者ガイド
「システム＞ライセンス」からのＳＲＡ装置の登録
新しいＳｏｎｉｃＷＡＬＬＳＲＡ装置の場合、または以前のリリースからＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ５.５
ファームウェアにアップグレードした場合は、「システム＞ライセンス」ページから装置を登録できま
す。
「システム＞ライセンス」ページから装置を登録するには、次の操作を行います。
手順 1
「システム＞ライセンス」ページで、「サービスの購読、アップグレード、および更新」を選択します。
「ライセンス管理」ページが表示されます。
手順 2 ＭｙＳｏｎｉｃＷＡＬＬのユーザ名とパスワードをフィールドに入力し、「適用」を選択します。表示が変更されま
す。
手順 3
「ニックネーム」フィールドに、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のニックネームを入力します。
SonicWALL SRA 5.5 管理者ガイド
93
手順 4
「製品のアンケート」で、必要な情報を入力し、「適用」を選択します。表示が変更され、
ＳｏｎｉｃＷＡＬＬＳＲＡが登録された旨が表示されます。
手順 5
「次へ」を選択します。
手順 6
「ライセンス管理」ページに最新のライセンス情報が表示されます。
備考
ネットワーク環境によっては、登録後にＳＲＡ装置をオフラインにすることが必要な場合があり、
ＳｏｎｉｃＷＡＬＬライセンスサーバに接続できなくなります。このモードでも装置には有効なライセンス
が適用されますが、期限付きのライセンスは無効となる場合があります。
ライセンスの有効化またはアップグレード
ＳｏｎｉｃＷＡＬＬＳＲＡ装置を登録した後で、「システム＞ライセンス」ページから、仮想アシスト、
ＶｉｅｗＰｏｉｎｔ、臨時追加ライセンス、およびウェブアプリケーションファイアウォールのライセンスを有
効化できます。仮想アシスト、 ViewPoint、およびウェブアプリケーションファイアウォールには、無料
トライアルも提供されています。また、このページからライセンスをアップグレードすることもできます。
たとえば、装置のライセンスが、仮想アシストの単一の技術者向けの場合、複数の技術者向けのラ
イセンスにアップグレードできます。
有効化またはアップグレードの前に、ＭｙＳｏｎｉｃＷＡＬＬまたは再販業者からライセンス購読を購入する
必要があります。「ライセンスマネージャ」ページに入力する有効化キーが発行されます。
装置のライセンスまたは無料トライアルを有効化またはアップグレードするには、次の操作を行います。
94
SonicWALL SRA 5.5 管理者ガイド
手順 1
「システム＞ライセンス」ページで、「サービスの購読、アップグレード、および更新」を選択します。
「ライセンス管理」ページが表示されます。
手順 2 ＭｙＳｏｎｉｃＷＡＬＬのユーザ名とパスワードをフィールドに入力し、「適用」を選択します。表示が変更され、
ライセンスの状況が示されます。サービスには、「試用」リンク、「購読」リンク、または「アップグ
レード」リンクが表示されます。
手順 3 無料トライアルを有効化するには、目的のサービスの横の「試用」を選択します。このページでは、サー
ビスのセットアップの手順が示されることと、試用中または試用後にいつでもＳｏｎｉｃＷＡＬＬ製品の購
読を申し込めることが説明されています。「次へ」を選択してセットアップ手順に従います。
手順 4 ＭｙＳｏｎｉｃＷＡＬＬまたは再販業者で購入済みの新規ライセンスを有効化するには、目的のサービスの横の
「購読」を選択します。「< 製品 > の有効化キーフィールドにライセンスの有効化キーを入力し、「適
用」を選択します。
手順 5 既に購入済みの新しいライセンスを使って既存のライセンスをアップグレードするには、目的のサービスの横
の「アップグレード」を選択します。「新しいライセンスキー＃」フィールドに１つまたは複数の有効
化キーを入力または貼り付けて、「適用」を選択します。
手順 6 有効化またはアップグレードの手順を完了した後で「同期」を選択して、ＳｏｎｉｃＷＡＬＬライセンスサーバと
同期して装置のライセンス状況を更新します。装置を再起動した場合もライセンス状況が更新されま
す。
臨時追加ライセンスの使用
臨時追加ライセンスにより、厳しい気象状況やリモートの関係者に対する仕事上のイベントの期間のよ
うな、突然リモートアクセスの必要数の増加が生じた場合に、一時的に装置または Virtual Appliance
がサポートできるリモートユーザ数を増やすことができます。個別にライセンスされるこの機能は、予
定された、または予定していないイベントの間、リモートアクセストラフィックの増加に対応する手助け
をします。
臨時追加ライセンスを購入すると、与えられたユーザ数と日数有効です。 ( これは臨時追加ライセンス
が有効化された際にサポートされるユーザの総数であり、基本ライセンス数に追加された数ではありま
せん )。必要に応じてライセンスの使用を一時停止して再開できます。
SonicWALL SRA 5.5 管理者ガイド
95
装置に 2 つ以上の臨時追加ライセンスをアップロードできますが、同時に 2 つ以上有効にできません。
ユーザの接続数に応じて自動的にライセンスを有効および無効にするオプションが利用可能です。これ
を有効にするには、「臨時追加ライセンスを自動的に開始する」チェックボックスを選択します。このオ
プションが有効の場合は、接続ユーザ数が通常ユーザライセンス数を超過すると、臨時追加ライセン
スが自動的に有効化されます。この臨時追加ライセンスは、ユーザ数が通常ライセンス数まで減る
か、臨時追加ライセンスが失効するまで有効であり続けます。
臨時追加ライセンスを有効化または停止するには、以下の手順に従います。
手順 1
「ライセンスの有効化またはアップグレード」（94 ページ）で説明されているように、 MySonicWALL から臨
時追加ライセンスを購入して、それを装置にインポートします。ライセンシングの後で、状況が購読済
に変わり、臨時追加ライセンスでサポートされる合計ユーザ数と利用可能な残り日数が「システム＞
ライセンス」ページに表示されます。
手順 2 ページを再表示すると、臨時追加ライセンスは停止中として「システム＞ライセンス」ページにリストされ
ます。
手順 3 より多くのユーザに対応する必要があるときに、「開始」を選択します。状況が動作中に変わります。
手順 4 動作中の臨時追加ライセンスを停止するには、「停止」を選択します。状況が停止中に戻り、残り日数が
更新されます。
96
SonicWALL SRA 5.5 管理者ガイド
備考
臨時追加ライセンスを動作させて停止させるといつでも、たとえ 24 時間経過していなくても有効な
残り日数は 1 日ずつ減ります。複数日動作させたままの場合は、 24 時間毎に 1 日引かれます。
admin_sysSupportServices
admin_sysTime
SonicWALL SRA 5.5 管理者ガイド
97
システム＞時間
このセクションでは、「システム＞時間」ページの概要と、このページで実行できる設定タスクについ
て説明します。
･「「システム＞時間」の概要」セクション（98 ページ）
･「時刻の設定」セクション（98 ページ）
･「ネットワークタイムプロトコルの有効化」セクション（99 ページ）
「システム＞時間」の概要
管理者は、「システム＞時間」ページで、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のシステム時間、日付、タイム
ゾーンの設定、およびＳｏｎｉｃＷＡＬＬＳＲＡ装置とＮＴＰサーバとの同期を制御できます。
図3
「システム＞時間」ページ
システム時間
システム時間セクションでは、時間（ｈｈ：ｍｍ：ｓｓ）、日付（ｍｍ：ｄｄ：ｙｙｙｙ）、およびタイム
ゾーンを設定できます。また、ＮＴＰ（ネットワークタイムプロトコル）サーバとの自動同期を選択した
り、ローカル時間ではなくＵＴＣ（協定世界時）をログに表示することもできます。
ＮＴＰの設定
ＮＴＰの設定セクションでは、更新間隔（秒単位）、ＮＴＰサーバ、および２つの追加の（オプショ
ン）ＮＴＰサーバを設定できます。
時刻の設定
時間と日付を設定するには、「システム＞時間」ページにナビゲートします。時刻と日付の設定は、
ログイベントのタイムスタンプやその他の内部の目的に使用されます。最適なパフォーマンスと適切な
登録を実現するには、システム時間を正確に設定することが不可欠です。
98
SonicWALL SRA 5.5 管理者ガイド
備考
最適なパフォーマンスを得るためには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の時刻と日付を正確に設定する必
要があります。
時刻と日付を設定するには、以下の手順に従います。
手順 1
「タイムゾーン」ドロップダウンリストで、タイムゾーンを選択します。
手順 2 現在の時刻が２４時間形式で「時刻（ｈｈ：ｍｍ：ｓｓ）」フィールドに表示され、現在の日付が「日付
（ｍｍ：ｄｄ：ｙｙｙｙ）」フィールドに表示されます。
手順 3 または、現在の時刻を「時刻（ｈｈ：ｍｍ：ｓｓ）」フィールドに手動で入力したり、現在の日付を「日付
（ｍｍ：ｄｄ：ｙｙｙｙ）」フィールドに入力することもできます。
備考
手順 4
「ＮＴＰを使用して自動的に時刻を調整する」の横にあるチェックボックスがオンになっている場合
は、時刻と日付を手動で入力できません。時刻と日付を手動で入力するには、このチェックボック
スをオフにしてください。
「適用」を選択して設定を更新します。
ネットワークタイムプロトコルの有効化
ネットワークタイムプロトコル（ＮＴＰ）に対応している場合は、ＮＴＰの時刻設定が手動の時刻設定
に優先します。ＮＴＰの時刻設定は、ＮＴＰサーバと、「タイムゾーン」ドロップダウンリストで選択し
たタイムゾーンによって決まります。
ネットワークタイムプロトコル（ＮＴＰ）を使って装置の時刻と日付を設定するには、以下の手順に従
います。
手順 1
「システム＞時間」ページにナビゲートします。
手順 2
「ＮＴＰを使用して自動的に時刻を調整する」チェックボックスをオンにします。
手順 3 ＮＴＰの設定セクションの「更新間隔」フィールドに、時刻設定をＮＴＰサーバと同期する間隔を秒単位で
入力します。間隔を定義しないと、既定の更新間隔である３６００秒が自動的に選択されます。
手順 4
「ＮＴＰサーバ１」フィールドに、ＮＴＰサーバのＩＰアドレスまたは完全修飾ドメイン名（ＦＱＤＮ）を入力し
ます。
手順 5 冗長性を提供する場合は、「ＮＴＰサーバ２（オプション）」フィールドと「ＮＴＰサーバ３（オプション）」
フィールドに、バックアップ用ＮＴＰサーバのアドレスを入力します。
手順 6
「適用」を選択して設定を更新します。
admin_sysSettings
SonicWALL SRA 5.5 管理者ガイド
99
システム＞設定
このセクションでは、「システム＞設定」ページの概要と、このページで実行できる設定タスクについ
て説明します。
･「「システム＞設定」の概要」セクション（100 ページ）
･「設定ファイルの管理」セクション（101 ページ）
･「ファームウェアの管理」セクション（103 ページ）
「システム＞設定」の概要
「システム＞設定」ページでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の設定のインポートとエクスポートができま
す。
物理装置上では、「システム＞設定」ページは新しいファームウェアをアップロードする方法と、現在
のファームウェア、新たにアップロードされたファームウェア、またはバックアップされたファームウェア
のどれかを起動する方法が提供されます。
図 4 システム＞設定ページ - 物理装置
仮想装置上では、「システム＞設定」ページで設定管理は可能ですが、 SonicWALL SRA Virtual
Appliance はそれ自身がソフトウェアイメージであるため、ファームウェア管理は提供されません。
100
SonicWALL SRA 5.5 管理者ガイド
図 5 システム＞設定ページ - 仮想装置
設定
設定セクションでは、設定のインポート、設定のエクスポートのボタンが提供され、また管理者が設定
ファイルを暗号化できます。
ファームウェアの管理
「ファームウェアの管理」セクションでは、ＳＲＡ装置で動作するファームウェアを制御できます。この
セクションにはさまざまなボタンがあります。新しいファームウェアのアップロード、現在のファームウェ
アのバックアップ作成、管理用コンピュータへの既存のファームウェアのダウンロード、現在のファーム
ウェアまたは最近アップロードしたファームウェアでの装置の再起動、工場出荷時の設定での装置の再
起動などのボタンです。新しいファームウェアが使用可能になったときに通知するオプションもありま
す。
設定ファイルの管理
ＳｏｎｉｃＷＡＬＬでは、ＳＳＬＶＰＮの構成設定を保持するファイルを保存およびインポートすることができ
ます。これらのファイルの保存およびアップロードには、ＳＳＬＶＰＮ管理インターフェースの「システ
ム＞設定」ページを使用します。
以下ではこれらの方法について説明します。
･「バックアップ設定ファイルのエクスポート」（102 ページ）
･「設定ファイルのインポート」（103 ページ）
･「設定ファイルの暗号化」（103 ページ）
SonicWALL SRA 5.5 管理者ガイド
101
バックアップ設定ファイルのエクスポート
バックアップ設定ファイルをエクスポートすると、設定情報のコピーをローカルコンピュータに保存でき
ます。設定情報をバックアップファイルに保存またはエクスポートし、必要に応じてこの保存した設定
ファイルを後でインポートすることができます。既定のバックアップファイル名は
ｓｓｌｖｐｎＳｅｔｔｉｎｇｓ－ｓｅｒｉａｌｎｕｍｂｅｒ.ｚｉｐです。ファイルの内容をに示します。
図 6 Ｚｉｐファイルのバックアップ設定のディレクトリ構造
バックアップディレクトリ構造には以下の要素が含まれています。
･ｃａフォルダ（非表示）ー認証局から提供されたＣＡ証明書が含まれます。
･ｃｅｒｔフォルダー既定のキー／証明書ペアを格納するｄｅｆａｕｌｔフォルダが含まれます。また、「シ
ステム＞証明書」ページで指定された証明書署名リクエスト（ＣＳＲ）から生成されたキー／証明
書ペアがある場合、それも含まれます。
･ｕｉａｄｄｏｎフォルダー各ポータル用のフォルダが含まれます。各フォルダには、ポータルログイン
メッセージ、ポータルホームページメッセージ、およびポータルの既定のロゴまたは個別ロゴ
（アップロードされている場合）が含まれます。既定ポータルは「ＶｉｒｔｕａｌＯｆｆｉｃｅ」です。
･ｆｉｒｅｂａｓｅ.ｃｏｎｆファイルーネットワーク、ＤＮＳ、およびログの設定が含まれます。
･ｓｍｍ.ｃｏｎｆファイルーユーザ、グループ、ドメイン、およびポータルの設定が含まれます。
バックアップ設定ファイルをエクスポートするには、以下の手順に従います。
手順 1
「システム＞設定」ページにナビゲートします。
手順 2 設定のバックアップファイルを保存するには、「設定のエクスポート」を選択します。使っているブラウザか
ら、設定ファイルを開くかどうかを尋ねるポップアップウィンドウが表示されます。
手順 3 ファイルの「保存」のオプションを選択します。
手順 4 設定ファイルを保存する場所を選択します。既定のファイル名はｓｓｌｖｐｎＳｅｔｔｉｎｇｓ－ｓｅｒｉａｌｎｕｍｂｅｒ.ｚｉｐで
すが、変更できます。
手順 5
「保存」を選択して設定ファイルを保存します。
admin_importSettings
102
SonicWALL SRA 5.5 管理者ガイド
設定ファイルのインポート
以前にバックアップ設定ファイルにエクスポートした設定をインポートできます。設定ファイルをインポー
トするには、以下の手順に従います。
手順 1
「システム＞設定」ページにナビゲートします。
手順 2 設定のバックアップファイルをインポートするには、「設定のインポート」を選択します。
ト」ダイアログボックスが表示されます。
「設定のインポー
手順 3
「Ｂｒｏｗｓｅ」を選択して、インポートしたい（設定が含まれている）ファイルが置かれている場所にナビ
ゲートします。既定のファイル名はｓｓｌｖｐｎＳｅｔｔｉｎｇｓ－ｓｅｒｉａｌｎｕｍｂｅｒ.ｚｉｐですが、どのような名前で
も構いません。
手順 4
「アップロード」を選択します。ＳｏｎｉｃＯＳＳＳＬＶＰＮによってファイルから設定がインポートされ、その設
定が装置に適用されます。
備考
システムを再設定する準備が整っていることを確認します。ファイルをインポートすると、直ちに既
存の設定が上書きされます。
手順 5 ファイルのインポートが終了したら、装置を再起動して変更を永続化します。
設定ファイルの暗号化
セキュリティのために、「システム＞設定」ページで設定ファイルを暗号化することができます。ただ
し、設定ファイルを暗号化すると、トラブルシューティングの目的で編集したり確認したりできなくなりま
す。
設定ファイルを暗号化するには、「システム＞設定」ページの「設定ファイルを暗号化する」チェック
ボックスをオンにします。
ファームウェアの管理
管理者は、「システム＞設定」のファームウェアの管理セクションで、新しいファームウェアが使用可
能になった時に通知するオプションを指定できます。新しいファームウェアのアップロード、バックアッ
プの作成などのファームウェアイメージに関する設定オプションが含まれます。
以下ではこれらの方法について説明します。
･「ファームウェア通知の設定」（103 ページ）
･「ファームウェアのダウンロード」（104 ページ）
･「ファームウェアイメージの起動」（104 ページ）
･「新しいファームウェアのアップロード」（104 ページ）
･「バックアップの作成」（104 ページ）
ファームウェア通知の設定
新しいファームウェアビルドが使用可能になった時に電子メールで管理者に通知が送られるように設定
できます。
新しいファームウェアが使用可能になった時に通知するには、「新しいファームウェアが利用可能となっ
た時に通知する」チェックボックスをオンにします。
SonicWALL SRA 5.5 管理者ガイド
103
バックアップの作成
現在のファームウェアおよび設定のシステムバックアップを作成するには、「バックアップの作成」ボタ
ンを選択します。バックアップには、約２分かかります。バックアップが完了すると、画面の下部の
「状況」に「システムバックアップが正常に作成されました」というメッセージが表示されます。
ファームウェアのダウンロード
ファームウェアをダウンロードするには、ダウンロードするファームウェアイメージバージョンの横にあ
るダウンロードアイコン
を選択します。
ファームウェアイメージの起動
ファームウェアイメージを起動するには、次の手順に従います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＲＡ装置で起動するファームウェアイメージバージョンの横にある起動アイコン
します。
手順 2
を選択
「このファームウェアで起動しますか？」というポップアップメッセージが表示されます。「ＯＫ」を選択しま
す。
admin_uploadNewFirmware
新しいファームウェアのアップロード
新しいファームウェアをアップロードするには、次の手順に従います。
手順 1 ＭｙＳｏｎｉｃＷＡＬＬにログインします。
手順 2 最新のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮファームウェアバージョンをダウンロードします。
手順 3 ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースの「システム＞設定」ページにナビゲートします。
手順 4 ファームウェアの管理セクションの「ファームウェアのアップロード」ボタンを選択します。
手順 5
「参照」を選択します。
手順 6 ダウンロードしたＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮファームウェアを選択します。ファイルの拡張子は .ｓｉｇです。
手順 7
「開く」を選択します。
手順 8
「適用」を選択します。ファームウェアがアップロードされて書き込まれるまで待ちます。
手順 9
「システム＞設定」ページにファームウェアテーブルが、アップロードされたファームウェアがリストされた
状態で表示されます。「アップロードされたファームウェア」行の起動アイコンを選択すると、既存の設
定で新しいファームウェアを起動します。
admin_sysGMSManage
104
SonicWALL SRA 5.5 管理者ガイド
システム＞管理
このセクションでは、「システム＞管理」ページの概要と、このページで実行できる設定タスクについ
て説明します。
･「「システム＞管理」の概要」セクション（105 ページ）
･「ログインセキュリティの設定」セクション（107 ページ）
･「ＧＭＳ管理の有効化」セクション（108 ページ）
･「ウェブ管理設定の設定」セクション（107 ページ）
･「SNMP 設定の構成」セクション（108 ページ）
「システム＞管理」の概要
このセクションでは、「システム＞管理」ページの設定タスクに関する情報と実行手順を説明します。
「システム＞管理」ページでは、ｶﾝﾘｼｬﾊログインセキュリティ、ウェブ管理設定、 SNMP 設定、お
よび GMS　設定を構成できます。
以下のセクションを参照してください。
･「ログインセキュリティ」（106 ページ）
･「ウェブ管理設定」（106 ページ）
･「SNMP 設定」（107 ページ）
･「ＧＭＳの設定」（107 ページ）
SonicWALL SRA 5.5 管理者ガイド
105
図7
「システム＞管理」ページ
ログインセキュリティ
「ログインセキュリティ」セクションでは、設定されている１分あたりの最大ログイン試行回数の後に行
われる、一定時間（分単位）の管理者／ユーザのロックアウトを設定できます。
ウェブ管理設定
「ウェブ管理設定」セクションでは、ページ分けされるテーブルの既定のページサイズと、管理イン
ターフェース内の自動的に更新されるテーブルのストリーミング更新間隔を設定できます。
ページ分けされるテーブルで、既定のページサイズによって影響を受けるものは次のとおりです。
･仮想アシスト＞ログ
･ウェブアプリケーションファイアウォール＞ログ
･ログ＞表示
「既定のテーブルサイズ」フィールドの最小値は１０（行）で、既定値は１００で、最大値は
９９,９９９です。
自動的に更新されるテーブルで、ストリーミング更新間隔設定によって影響を受けるものは次のとおり
です。
･システム＞監視
106
SonicWALL SRA 5.5 管理者ガイド
･ネットワーク＞インターフェース
･ＮｅｔＥｘｔｅｎｄｅｒ＞状況
･ユーザ＞状況
「ストリーミング更新間隔」フィールドの最小値は１（秒）で、既定値は１０で、最大値は９９,９９９で
す。
SNMP 設定
SNMP 設定セクションでは、管理者は SNMP を有効にして、装置に対する SNMP 設定を指定できま
す。ダウンロードされた MIB のリストがフィールドの右側に表示されます。 MIB は MySonicWALL からダ
ウンロードできます。
ＧＭＳの設定
ＧＭＳの設定セクションでは、ＧＭＳ管理を有効にでき、ＧＭＳホスト名またはＩＰアドレス、ＧＭＳ
Ｓｙｓｌｏｇサーバポート、ハートビート間隔（秒単位）を指定できます。
備考
ＳＲＡ装置をリモートで管理するには、ＧＭＳ５.０以降が必要です。
ログインセキュリティの設定
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのログインセキュリティは、未許可のログインの試みからユーザポータルを
保護する自動ロックアウト機能を備えています。自動ロックアウト機能を有効にするには、以下の手順
に従います。
手順 1
「システム＞管理」にナビゲートします。
手順 2
「管理者／ユーザのロックアウトを有効にする」チェックボックスをオンにします。
手順 3 ユーザをロックアウトするまでに許可するログインの試みの最大数を「１分間でのログイン最高試行回数」
フィールドに入力します。既定値は５回です。最大数は９９回です。
手順 4 ログインの最高試行回数を超えたユーザをロックアウトする時間を分単位で「ロックアウト時間（分）」
フィールドに入力します。既定値は５５分です。最大数は９９９９分です。
手順 5
「適用」ボタンを選択して、変更内容を保存します。
ウェブ管理設定の設定
「ウェブ管理設定」セクションでは、ページ分けされるテーブルの既定のページサイズと、管理イン
ターフェース内の自動的に更新されるテーブルのストリーミング更新間隔を設定できます。
テーブルのページサイズとストリーミング更新間隔を設定するには、以下の手順に従います。
手順 1
「既定のテーブルサイズ」フィールドに、管理インターフェース内のページ分けされるテーブルのページあ
たりの行数を入力します。既定値は１００で、最小値は１０で、最大値は９９,９９９です。
手順 2
「ストリーミング更新間隔」フィールドに、管理インターフェース内の動的に更新されるテーブルの更新間隔
秒数を入力します。既定値は１０で、最小値は１で、最大値は９９,９９９です。
手順 3
「適用」ボタンを選択して、変更内容を保存します。
SonicWALL SRA 5.5 管理者ガイド
107
SNMP 設定の構成
SNMP 設定のフィールドを構成するには、以下の手順に従います。
手順 1
「システム＞管理」にナビゲートします。
手順 2
「SNMP を有効にする」チェックボックスをオンにします。
手順 3 システムの名前 (FQDN) を「システム名」フィールドに入力します。
手順 4 システムの連絡先の電子メールアドレスを「システムの連絡先」フィールドに入力します。
手順 5 システムの都市や他の識別場所を「システムの場所」フィールドに入力します。
手順 6 システムの資産番号を「資産番号」フィールドに入力します。この資産番号は管理者により定義されます。
手順 7 パブリックコミュニティ名を「Get コミュニティ名」フィールドに入力します。この名前は SNMP GET 要求内で
使われます。
手順 8
「適用」ボタンを選択して、変更内容を保存します。
ＧＭＳ管理の有効化
ＳｏｎｉｃＷＡＬＬグローバル管理システム（ＳｏｎｉｃＷＡＬＬＧＭＳ）は、複数のサイト間ＶＰＮのグローバ
ル管理を一元的に行うなど、何千台ものＳｏｎｉｃＷＡＬＬインターネットセキュリティ機器を設定および管
理できるウェブベースのアプリケーションです。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＳｏｎｉｃＷＡＬＬＧＭＳ管理を有効にするには、以下の手順に従います。
手順 1
「システム＞管理」にナビゲートします。
手順 2
「ＧＭＳ管理を有効にする」チェックボックスをオンにします。
手順 3 ＧＭＳサーバのホスト名またはＩＰアドレスを「ＧＭＳホスト名またはＩＰアドレス」フィールドに入力します。
手順 4 ＧＭＳサーバのポート番号を「ＧＭＳＳｙｓｌｏｇサーバポート」フィールドに入力します。ＧＭＳサーバとの
通信で使用する既定のポートは５１４です。
手順 5 ＧＭＳサーバへのハートビートの送信間隔を「ハートビート間隔（秒）」フィールドに入力します。最大ハー
トビートは８６,４００秒（２４時間）です。
手順 6
「適用」ボタンを選択して、変更内容を保存します。
admin_sysCertificates
108
SonicWALL SRA 5.5 管理者ガイド
システム＞証明書
このセクションでは、「システム＞証明書」ページの概要と、このページで実行できる設定タスクにつ
いて説明します。
･「「システム＞証明書」の概要」セクション（109 ページ）
･「証明書の管理」セクション（110 ページ）
･「証明書署名リクエストの生成」セクション（110 ページ）
･「証明書と発行者情報の表示と編集」セクション（111 ページ）
･「証明書のインポート」セクション（111 ページ）
･「ＣＡ証明書の追加」セクション（112 ページ）
「システム＞証明書」の概要
管理者は、「システム＞証明書」ページで、サーバ証明書や追加のＣＡ（認証局）証明書をイン
ポートできます。
図8
「システム＞証明書」ページ
サーバ証明書
サーバ証明書セクションでは、サーバ証明書のインポートと設定、およびＣＳＲ（証明書署名リクエス
ト）の生成を行うことができます。
サーバ証明書は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の身元確認に使用します。ユーザがログインページにア
クセスすると、装置からユーザのブラウザに対してサーバ証明書が提示されます。各サーバ証明書
には、その証明書が属するサーバの名前が示されています。
証明書には、自己署名証明書が必ず１つあります。自己署名とは、実際のＣＡではなく
ＳｏｎｉｃＷＡＬＬＳＲＡ装置によって生成されたという意味です。また、管理者が複数の証明書をイン
ポートしている場合もあります。管理者が複数のポータルを設定している場合、各ポータルに別個の
証明書を関連付けていることがあります。たとえば、ブラウザでｖｉｒｔｕａｌａｓｓｉｓｔ.ｔｅｓｔ.ｓｏｎｉｃｗａｌｌ.ｃｏｍ
にアクセスすると、ｓｓｌｖｐｎ.ｔｅｓｔ.ｓｏｎｉｃｗａｌｌ.ｃｏｍにもアクセスできるとします。これらのポータル名そ
れぞれに対し、別個の証明書を持たせることができます。このようにすると、「このサーバはａｂｃで
SonicWALL SRA 5.5 管理者ガイド
109
すが、証明書はｘｙｚのものです。続行しますか？」といった証明書の不一致の警告がブラウザから
表示されないようにするうえで役立ちます。
ＣＳＲとは、証明書署名リクエストのことです。ＣＡから証明書を取得するための準備では、証明書
の詳細を記したＣＳＲをまず作成します。そして、そのＣＳＲをＣＡに送り、所定の料金を支払うと、
有効な署名が付いた証明書がＣＡから返送されます。
追加のＣＡ証明書
「追加のＣＡ証明書」セクションでは、ローカルネットワーク内部または外部の認証局サーバから追加
のＣＡ証明書をインポートできます。証明書は、鎖状の証明書とともに、例えば発行したＣＡが中間
（鎖状）署名証明書を使っている場合に使用できるように、ＰＥＭ暗号化形式になっています。
インポートした追加の証明書が有効になるのは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置を再起動した後です。
証明書の管理
ＳｏｎｉｃＷＡＬＬＳＲＡ装置には、事前インストール済みのＳＳＬ機能対応自己署名Ｘ５０９証明書が添
付されています。自己署名証明書の機能はすべて、有名な認証局（ＣＡ）から発行される証明書と
同じですが、信頼できるルートストアにインポートするまでセキュリティ警告「信頼できないルートＣＡ
証明書です」が発行されます。このインポート手順を実行するには、認証後にポータルで「証明書の
インポート」ボタンを選択します。
自己署名証明書の使用に代わるもう１つの方法は、証明書署名リクエスト（ＣＳＲ）を生成し、有名
なＣＡに提出して有効な証明書を発行してもらうことです。有名なＣＡには、ＲａｐｉｄＳＳＬ
（www.rapidssl.com)、Ｖｅｒｉｓｉｇｎ〈www.verisign.com〉、Ｔｈａｗｔｅ〈www.thawte.com〉などがあります。
admin_generateCSR
証明書署名リクエストの生成
ＲａｐｉｄＳＳＬ、Ｖｅｒｉｓｉｇｎ、Ｔｈａｗｔｅなどの広く認められている認証局から有効な証明書を入手するに
は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の証明書署名リクエスト（ＣＳＲ）を生成しなければなりません。証明書
署名リクエストを生成するには、以下の手順に従います。
手順 1
「システム＞証明書」ページにナビゲートします。
手順 2
「ＣＳＲの生成」を選択してＣＳＲと証明書鍵を生成します。
ボックスが表示されます。
「証明書署名リクエストの生成」ダイアログ
手順 3 ダイアログボックスのフィールドに値を入力し、「適用」を選択します。
110
SonicWALL SRA 5.5 管理者ガイド
手順 4 すべての情報が正しく入力されると、ｃｓｒ.ｚｉｐファイルが作成されます。この .ｚｉｐファイルをディスクに保存
します。このｚｉｐファイルに含まれているｓｅｒｖｅｒ.ｃｓｒファイルの内容を認証局に提供する必要がありま
す。
admin_editCaCertificate
admin_editCertificate
証明書と発行者情報の表示と編集
現在ロードされているＳＳＬ証明書は、「システム＞証明書」の現在の証明書テーブルにリストされま
す。
証明書と発行者情報を表示して証明書のコモンネームを編集するには、以下の手順に従います。
手順 1 証明書に対応する設定アイコンを選択します。
のサブジェクト情報が表示されます。
手順 2
「証明書の編集」ウィンドウが開き、発行者情報や証明書
「証明書の編集」ウィンドウでは、発行者情報や証明書のサブジェクト情報を確認することができます。
手順 3 自己署名証明書の「コモンネーム」フィールドにウェブサーバのホスト名またはＩＰアドレスを入力します。
手順 4
「適用」を選択して変更を適用します。
また、期限切れの証明書や不正な証明書を削除することもできます。証明書を削除するには、「シス
テム＞証明書」ページで、目的の証明書の行の「削除」ボタンを選択します。
備考
現在アクティブな証明書は削除できません。証明書を削除するには、別のＳＳＬ証明書をアップ
ロードして有効にします。次に、「システム＞証明書」ページから、アクティブでない証明書を削
除します。
admin_importCertificate
証明書のインポート
証明書をインポートする場合は、秘密鍵と証明書が含まれるＰＫＣＳ＃１２（.ｐ１２または .ｐｆｘ）ファ
イルをアップロードするか、ＰＥＭ形式の秘密鍵ファイル "ｓｅｒｖｅｒ.ｋｅｙ" とＰＥＭ形式の証明書ファイル
"ｓｅｒｖｅｒ.ｃｒｔ" が含まれる .ｚｉｐファイルをアップロードしてください。この .ｚｉｐファイルはディレクトリを持
たないフラットなファイル構造で、 "ｓｅｒｖｅｒ.ｋｅｙ" ファイルと "ｓｅｒｖｅｒ.ｃｒｔ" ファイルだけを含まなければな
りません。
手順 1
「システム＞証明書」ページにナビゲートします。
手順 2
「証明書のインポート」を選択します。
手順 3
「参照」を選択します。
「証明書のインポート」ダイアログボックスが表示されます。
SonicWALL SRA 5.5 管理者ガイド
111
手順 4 秘密鍵と証明書が含まれるｚｉｐファイルをローカルディスクまたはネットワークドライブ上に探し、選択しま
す。どのようなファイル名でも受け入れられますが、拡張子は “.ｚｉｐ” でなければなりません。この
ｚｉｐファイルには、証明書ファイルｓｅｒｖｅｒ.ｃｒｔと証明書鍵ファイルｓｅｒｖｅｒ.ｋｅｙが入っています。鍵と
証明書はｚｉｐのルートに位置する必要があります。この位置にない場合、ファイルはアップロードされ
ません。
手順 5
「アップロード」を選択します。
証明書のアップロードが終了すると、その証明書は「システム＞証明書」ページの証明書リストに表
示されます。
備考
秘密鍵がパスワードを要求する場合があります。
admin_importCaCertificate
ＣＡ証明書の追加
例えば発行元認証局が中間（連鎖）署名証明書を使用する場合に、連鎖証明書で使用される認証
局証明書を追加でインポートできます。ＣＡ証明書ファイルをインポートするには、ＰＥＭエンコード、
ＤＥＲエンコード、またはＰＫＣＳ＃７（.ｐ７ｂ）ファイルをアップロードします。
ＰＥＭ形式の証明書を追加するには、次の手順を実行します。
手順 1
「システム＞証明書」ページにナビゲートします。
手順 2
「追加の認証局証明書」セクションの「ＣＡ証明書のインポート」を選択します。
ダイアログボックスが表示されます。
手順 3
「Ｂｒｏｗｓｅ」を選択します。
「証明書のインポート」
手順 4 ローカルディスクまたはネットワークドライブ上で、ＰＥＭエンコード、ＤＥＲエンコード、またはＰＫＣＳ＃
７のＣＡ証明書ファイルを探し、選択します。どのようなファイル名でも受け入れられます。
手順 5
「アップロード」を選択します。
証明書のアップロードが終了すると、そのＣＡ証明書は「システム＞証明書」ページの追加された
証明書リストに表示されます。
手順 6 この新しいＣＡ証明書をウェブサーバのアクティブＣＡ証明書リストに追加するには、ウェブサーバを再起
動する必要があります。ＳｏｎｉｃＷＡＬＬＳＲＡ装置を再起動することでウェブサーバを再起動します。
admin_sysMonitoring
112
SonicWALL SRA 5.5 管理者ガイド
システム＞監視
このセクションでは、「システム＞監視」ページの概要と、このページで実行できる設定タスクについ
て説明します。
･「「システム＞監視」の概要」セクション（113 ページ）
･「監視期間の設定」セクション（114 ページ）
･「モニタの再表示」セクション（114 ページ）
「システム＞監視」の概要
ＳｏｎｉｃＷＡＬＬＳＲＡ装置には、装置の使用状況と処理能力データを表示できる、設定可能な監視
ツールが用意されています。「システム＞監視」ページでは、次の４種類の監視グラフを表示でき
ます。
･使用中のユーザ数
･使用帯域幅
･ＣＰＵ使用率（％）
･メモリ使用率（％）
管理者は監視期間を、最新の３０秒、３０分、２４時間、３０日の中から設定できます。たとえば、
「最新２４時間」は直近の２４時間を表します。
図 9 は「システム＞監視」ページです。
図9
「システム＞監視」ページ
SonicWALL SRA 5.5 管理者ガイド
113
監視グラフ
次の４種類の監視グラフは、最新の１時間から１ヶ月の範囲で、対応するデータを表示するように
設定できます。
表 2 監視グラフのタイプ
グラフ
説明
使用中のユーザ数
秒、分、時間、または日の単位で測定した、同時に装置にログインして
いるユーザの数。この数値は、２、３、５などの整数で表される
使用帯域幅（Ｋｂｐｓ）
秒、分、時間、または日の単位で測定した、装置が送受信する１秒あ
たりのデータ量（Ｋｂｐｓ）を示す
ＣＰＵ使用率（％）
秒、分、時間、または日の単位で測定した、使用中の装置プロセッサに
おける処理能力使用量。この数値は、ＣＰＵの全処理能力に対するパー
セントで表される
メモリ使用率（％）
秒、分、時間、または日の単位で測定した、装置で使用された利用可
能メモリの容量。この数値は、利用可能メモリの全容量に対するパーセン
トで表される
監視期間の設定
監視期間を設定するには、「システム＞監視」ページの「監視期間」ドロップダウンリストから次の
オプションのいずれかを選択します。
- 最新３０秒間
- 最新３０分間
- 最新２４時間
- 最新３０日間
モニタの再表示
モニタを再表示するには、「システム＞監視」ページの右上隅にある「再表示」ボタンを選択しま
す。
admin_sysDiagnostics
114
SonicWALL SRA 5.5 管理者ガイド
システム＞診断
このセクションでは、「システム＞診断」ページの概要と、このページで実行できる設定タスクについ
て説明します。
･「「システム＞診断」の概要」セクション（115 ページ）
･「テクニカルサポートレポートのダウンロード」セクション（116 ページ）
･「診断テストの実行」セクション（116 ページ）
「システム＞診断」の概要
「システム＞診断」ページでは、テクニカルサポートレポートをダウンロードし、診断を実行できま
す。
図 10
「システム＞診断」ページ
テクニカルサポートレポート
テクニカルサポートレポートのダウンロードでは、ＳｏｎｉｃＷＡＬＬテクニカルサポートがシステムの動作
を分析するうえで役立つシステム情報や設定が記録されます。テクニカルサポートレポートをダウン
ロードするには、テクニカルサポートレポートの下にある「レポートのダウンロード」を選択します。
テクニカルサポートレポートセクションに関連する設定タスクの詳細については、「テクニカルサポー
トレポートのダウンロード」セクション（116 ページ）を参照してください。
診断ツール
診断ツールを使用すると、特定のＩＰアドレスまたはウェブサイトに対してＰｉｎｇ、ＴＣＰ接続試験、
ＤＮＳ検索、またはｔｒａｃｅｒｏｕｔｅを実行することによって、ＳＳＬＶＰＮ接続をテストできます。また、
ＳＲＡ装置とローカルコンピュータ間の帯域幅試験もも実行でき、ＳＮＭＰクエリを実行して装置に関す
る情報を表示することもできます。診断ツールセクションに関連する設定タスクの詳細については、
「診断テストの実行」セクション（116 ページ）を参照してください。
SonicWALL SRA 5.5 管理者ガイド
115
テクニカルサポートレポートのダウンロード
テクニカルサポートレポートをダウンロードするには、「システム＞診断」ページの「レポートのダウ
ンロード」ボタンを選択します。ダウンロードの実行を確認するポップアップウィンドウが表示されま
す。「保存」を選択してレポートを保存します。テクニカルサポートレポートは .ｚｉｐファイルとして保
存されます。このファイルには、グラフ、イベントログ、およびＳＲＡ装置に関する他のテクニカル情
報が入っています。
診断テストの実行
「システム＞診断」ページで、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の標準ネットワーク診断テストを実行できま
す。診断テストを実行するには、以下の手順に従います。
手順 1
「システム＞診断」ページにナビゲートします。
手順 2
「診断ツール」ドロップダウンリストから「帯域幅試験」、「ＴＣＰ接続試験」、「ＤＮＳルックアップ」、
「Ｐｉｎｇ」、「Ｐｉｎｇ６」、「Ｔｒａｃｅｒｏｕｔｅ」、「Ｔｒａｃｅｒｏｕｔｅ６」、または「ＳＮＭＰクエリ」を選択します。
「帯域幅試験」は、コンピュータとＳＲＡ装置間のネットワーク接続のアップロードとダウンロード速度を
測ります
「ＳＮＭＰクエリ」に対しては、「ＳＮＭＰクエリ」ドロップダウンリストで値を表示するＭＩＢを選択しま
す。ＳＮＷＬ-ＳＳＬＶＰＮ-ＭＩＢはＳＲＡ特有のＭＩＢで、機器の統計とライセンス情報を表示します。
ＳＮＷＬ-ＣＯＭＭＯＮ-ＭＩＢはすべてのＳｏｎｉｃＷＡＬＬ製品共通のファイルで、製品名、シリアル、
ファームウェア、ＲＯＭバージョン、および資産番号（ユーザ定義）を表示します。残りのＭＩＢは
ＳＮＭＰｖ２-ＭＩＢとすべてのＳＮＭＰＭＩＢ-２を含む標準ＳＮＭＰＭＩＢまたは、すべてのＭＩＢを選択
できます。
「Ｐｉｎｇ６」と「Ｔｒａｃｅｒｏｕｔｅ６」は、ＩＰｖ６アドレスとＩＰｖ６ネットワークで使用するためのものです。
手順 3
「対象先のＩＰアドレス／名前」フィールドが表示された場合は、宛先のＩＰアドレスまたはドメイン名を入
力します。「Ｐｉｎｇ６」または「トレースルート６」を使用する場合は、ＩＰｖ６アドレスまたはドメインを
入力してください。
手順 4
「実行」を選択します。
手順 5 結果がページの下部に表示されます。
admin_sysRestart
116
SonicWALL SRA 5.5 管理者ガイド
システム＞再起動
このセクションでは、「システム＞再起動」ページの概要と、このページで実行できる設定タスクにつ
いて説明します。
･「「システム＞再起動」の概要」セクション（117 ページ）
･「ＳｏｎｉｃＷＡＬＬＳＲＡ装置の再起動」セクション（117 ページ）
「システム＞再起動」の概要
「システム＞再起動」ページでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置を再起動できます。
再起動には 1 から 2 分程度かかり、現在のユーザ接続がすべて切断されることを示す警告が表示さ
れます。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の再起動
ＳＲＡ装置を再起動するには、次の操作を行います。
手順 1
「システム＞再起動」にナビゲートします。
手順 2
「再起動」ボタンを選択します。
手順 3 確認のダイアログボックスで「ＯＫ」を選択します。
備考
再起動は約２分間を必要とし、すべてのユーザが切断されます。
SonicWALL SRA 5.5 管理者ガイド
117
118
SonicWALL SRA 5.5 管理者ガイド
第3章
第3章
ネットワーク設定
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースの「ネットワーク」ページ
と、このページで行う設定タスクについて説明します。ＳｏｎｉｃＷＡＬＬＳＲＡ装置のネットワークタスクと
して、ネットワークインターフェース、ＤＮＳ設定、ルート、ホスト解決の設定などがあります。
この章は、次のセクションから構成されています。
･「ネットワーク＞インターフェース」セクション（120 ページ）
･「ネットワーク＞ＤＮＳ」セクション（122 ページ）
･「ネットワーク＞ルート」セクション（124 ページ）
･「ネットワーク＞ホスト解決」セクション（127 ページ）
･「ネットワーク＞ネットワークオブジェクト」セクション（129 ページ）
admin_netInterfaces
SonicWALL SRA 5.5 管理者ガイド
119
ネットワーク＞インターフェース
このセクションでは、「ネットワーク＞インターフェース」ページの概要と、このページで行う設定タス
クについて説明します。
･「「ネットワーク＞インターフェース」の概要」セクション（120 ページ）
･「ネットワークインターフェースの設定」セクション（120 ページ）
「ネットワーク＞インターフェース」の概要
「ネットワーク＞インターフェース」ページでは、ＩＰアドレスとサブネットマスクを表示し、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の物理ネットワークインターフェースポートの速接続度を表示できます。
図1
「ネットワーク＞インターフェース」ページ
ネットワークインターフェースの設定
管理者は「ネットワーク＞インターフェース」ページで、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＸ０、Ｘ１、Ｘ２、
Ｘ３、そして利用可能な場合Ｘ４、およびＸ５インターフェースのＩＰアドレス、サブネットマスク、速
度、および管理設定を表示、設定できます。ＳｏｎｉｃＷＡＬＬＳＲＡ装置のポートが同じネットワーク上
のファイアウォールまたはターゲット機器と通信する場合は、インターフェースにＩＰアドレスとサブネット
マスクを割り当てる必要があります。
備考
管理インターフェースのＩＰアドレスが変更されると、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮサービスは自動的に
再起動されます。これによって既存のユーザセッションはすべて切断されるので、ＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置を引き続き使用するには再接続する必要があります。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置でインターフェースのこれらの設定を構成するには、次の手順に従います。
手順 1
120
「ネットワーク＞インターフェース」ページにナビゲートして、設定するインターフェースの横にある設定ア
イコンを選択します。
SonicWALL SRA 5.5 管理者ガイド
手順 2 ＳｏｎｉｃＷＡＬＬＳＲＡ装置の「インターフェース編集」ダイアログボックスで、未使用のスタティックＩＰアドレ
スを「ＩＰアドレス」フィールドに入力します。このＩＰアドレスは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の接続先
ローカルサブネット内のアドレスでなければなりません。
手順 3 対応するフィールドにサブネットマスクを入力します。
手順 4 グローバルスコープに対するＩＰｖ６アドレスを「ＩＰｖ６アドレス / 接頭辞」フィールドに入力します。この
フィールドを空のままにしても、ＩＰｖ６利用可能な機器はリンクローカルアドレスをしようして自動的に
接続できます。このスコープは「ネットワーク＞インターフェース」ページのツールチップ内に表示され
ます。
手順 5
「速度」ドロップダウンリストでは「自動ネゴシエーション」が既定で選択され、ＳＲＡ機器は接続されてい
るスイッチや他のネットワーキング機器との間で速度と通信方式を自動的にネゴシエートします。通常、
イーサネット接続は自動的にネゴシエートされます。特定のリンク速度と通信方式を強制的に指定する
場合は、以下のいずれかのオプションを選択します。
- １００Ｍｂｐｓ－全二重
- 100Ｍｂｐｓ－半二重
- １０Ｍｂｐｓ－全二重
- １０Ｍｂｐｓ－半二重
備考
特定のリンク速度と通信方式を選択した場合は、接続されているネットワーキング機器から
ＳｏｎｉｃＷＡＬＬセキュリティ装置への接続の速度と通信方式も強制的に変更する必要があります。
手順 6
「管理」オプションでは、このインターフェースを介したＳｏｎｉｃＷＡＬＬＳＲＡ装置のリモート管理を有効にす
るには、サポートされている管理プロトコルを選択します。「ＨＴＴＰ」、「ＨＴＴＰＳ」、「Ｐｉｎｇ」から１
つ以上を選択できます。
手順 7
「適用」を選択します。
admin_netDNS
admin_editHostName
SonicWALL SRA 5.5 管理者ガイド
121
ネットワーク＞ＤＮＳ
このセクションでは、「ネットワーク＞ＤＮＳ」ページの概要と、このページで行う設定タスクについて
説明します。
･「「ネットワーク＞ＤＮＳ」の概要」セクション（122 ページ）
･「ホスト名の構成」セクション（123 ページ）
･「ＤＮＳ設定の構成」セクション（123 ページ）
･「ＷＩＮＳ設定の構成」セクション（123 ページ）
「ネットワーク＞ＤＮＳ」の概要
管理者は、「ネットワーク＞ＤＮＳ」ページでＳｏｎｉｃＷＡＬＬＳＲＡ装置のホスト名、ＤＮＳ設定、およ
びＷＩＮＳ設定を設定できます。
図2
「ネットワーク＞ＤＮＳ」ページ
ホスト名
「ホスト名」セクションでは、ＳＳＬＶＰＮゲートウェイのホスト名を指定できます。
ＤＮＳ設定
「ＤＮＳ設定」セクションでは、「プライマリＤＮＳサーバ」、「セカンダリＤＮＳサーバ」（オプション）、
および「ＤＮＳドメイン」（オプション）を指定できます。プライマリＤＮＳサーバは必ず指定します。
ＡｐｐｌｅｉＰｈｏｎｅ、ｉＰａｄ、その他のｉＯＳ機器からのＳｏｎｉｃＷＡＬＬＭｏｂｉｌｅＣｏｎｎｅｃｔを使った接続を
サポートするＳｏｎｉｃＷＡＬＬＳＲＡ装置に対しては、「ＤＮＳドメイン」は必須フィールドです。このＤＮＳ
ドメインは、ｉＰｈｏｎｅ/ｉＰａｄのＶＰＮインターフェース上に、機器が装置との接続を確立した後で設定さ
れます。モバイル機器のユーザがあるＵＲＬにアクセスする際に、ｉＯＳはこのドメインがＶＰＮイン
ターフェースのドメインと一致しているかどうかを判断し、一致している場合はＶＰＮインターフェースの
ＤＮＳサーバを使ってホスト名検索を解決します。そうでない場合は、組織のイントラネット内のホスト
を解決できないであろうＷｉ－Ｆｉまたは３ＧのＤＮＳサーバが使われます。
122
SonicWALL SRA 5.5 管理者ガイド
ＷＩＮＳ設定
「ＷＩＮＳ（ＷｉｎｄｏｗｓＩｎｔｅｒｎｅｔＮａｍｅＳｅｒｖｉｃｅ）設定」セクションでは、プライマリＷＩＮＳサーバおよ
びセカンダリＷＩＮＳサーバ（両方ともオプション）を指定できます。
ホスト名の構成
ホスト名を設定するには、以下の手順に従います。
手順 1
「ネットワーク＞ＤＮＳ」ページにナビゲートします。
手順 2
「ホスト名」領域の「ＳＳＬＶＰＮゲートウェイホスト名」フィールドに、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のホスト名
を入力します。
手順 3
「適用」を選択します。
ＤＮＳ設定の構成
ＳｏｎｉｃＷＡＬＬＳＲＡ装置で、対応するＩＰアドレスからホスト名とＵＲＬ名を解決するには、ドメイン
ネームサーバ（ＤＮＳ）が必要です。これによってＳｏｎｉｃＷＡＬＬＳＲＡ装置は、完全修飾ドメイン名
（ＦＱＤＮ）を使ってホストやサイトに接続できるようになります。
ＤＮＳサーバを設定するには、以下の手順に従います。
手順 1
「ネットワーク＞ＤＮＳ」ページにナビゲートします。
手順 2
「ＤＮＳ設定」領域の「プライマリＤＮＳサーバ」フィールドに、プライマリＤＮＳサーバのアドレスを入力
します。
手順 3 オプションのセカンダリＤＮＳサーバアドレスを「セカンダリＤＮＳサーバ（オプション）」フィールドに入力
できます。
手順 4 オプションのＤＮＳドメインサフィックスを「ＤＮＳドメイン（オプション）」フィールドに入力できます。
手順 5
「適用」を選択します。
ＷＩＮＳ設定の構成
ＷＩＮＳ設定はオプションです。ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＮｅｔＢＩＯＳクライアントとＷＩＮＳ
（ＷｉｎｄｏｗｓＩｎｔｅｒｎｅｔＮａｍｉｎｇＳｅｒｖｉｃｅ）クライアントの両方として機能し、ローカルネットワークのホ
スト名と、対応するＩＰアドレスを認識することができます。
ＷＩＮＳを設定するには、以下のタスクを実行します。
手順 1
「ネットワーク＞ＤＮＳ」ページにナビゲートします。
手順 2
「ＷＩＮＳ設定」領域の「プライマリＷＩＮＳサーバ（オプション）」フィールドに、プライマリＷＩＮＳのアド
レスを入力します。
手順 3
「ＷＩＮＳ設定」領域の「セカンダリＷＩＮＳサーバ（オプション）」フィールドに、セカンダリＷＩＮＳのアド
レスを入力します。
手順 4
「適用」を選択します。
admin_netRoutes
SonicWALL SRA 5.5 管理者ガイド
123
ネットワーク＞ルート
このセクションでは、「ネットワーク＞ルート」ページの概要と、このページで行う設定タスクについて
説明します。
･「「ネットワーク＞ルート」の概要」セクション（124 ページ）
･「ＳＲＡ装置の既定ルートの設定」セクション（125 ページ）
･「装置の静的ルートの設定」セクション（125 ページ）
「ネットワーク＞ルート」の概要
「ネットワーク＞ルート」ページでは、デフォルトゲートウェイとインターフェースの割り当て、および
静的ルートの追加と設定を行うことができます。既定ルートや静的ルートの詳細については、お使い
の装置のモデルの『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ導入ガイド』を参照してください。
図3
「ネットワーク＞ルート」ページ
デフォルトルート
「デフォルトルート」セクションでは、デフォルトＩＰｖ４ゲートウェイとインターフェース、かつ／または
デフォルトＩｐｖ６ゲートウェイとインターフェースを設定して、既定のネットワークルートを定義できます。
既定のネットワークルートはインターネットアクセスに必須です。
静的ルート
「静的ルート」セクションでは、送信先ネットワーク、サブネットマスク、オプションのデフォルトゲート
ウェイ、およびインターフェースを指定することによって、静的ルートを追加および設定できます。
124
SonicWALL SRA 5.5 管理者ガイド
ＳＲＡ装置の既定ルートの設定
リモートネットワークと通信できるように、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のデフォルトゲートウェイを設定す
る必要があります。リモートネットワークとは、装置独自のネットワークとは異なる任意のＩＰサブネッ
トです。一般に、デフォルトゲートウェイは、ＳｏｎｉｃＷＡＬＬＳＲＡの接続先のＳｏｎｉｃＷＡＬＬファイア
ウォールインターフェースのＬＡＮＩＰアドレスになります。これがこの装置の既定ルートです。
既定ルートを設定するには、以下の手順に従います。
手順 1
「ネットワーク＞ルート」ページにナビゲートします。
手順 2
「デフォルトＩＰｖ４ゲートウェイまたはデフォルトゲートウェイ」フィールドに、ＳｏｎｉｃＷＡＬＬＳＲＡがネット
ワークに接続するときに経由するファイアウォールやその他のゲートウェイ機器のＩＰアドレスを入力しま
す。このアドレスが装置の既定ルートとして機能します。
手順 3
「インターフェース」ドロップダウンリストから、ネットワークへのＩＰｖ４接続インターフェースの役割を果た
すインターフェースを選択します。一般に、このインターフェースはＸ０になります。
手順 4
「デフォルトＩＰｖ６ゲートウェイ」フィールドに、ＳｏｎｉｃＷＡＬＬＳＲＡがネットワークに接続するときに経由す
るファイアウォールやその他のゲートウェイ機器のＩＰｖ６アドレスを入力します。このアドレスが装置の
既定ＩＰｖ６ルートとして機能します。
手順 5
「インターフェース」ドロップダウンリストから、ネットワークへのＩＰｖ６接続インターフェースの役割を果た
すインターフェースを選択します。
手順 6
「承諾」を選択します。
admin_addStaticRoute
装置の静的ルートの設定
ネットワークのトポロジーに基づき、デフォルトゲートウェイを通って特定のサブネットにアクセスするよ
りも、特定のサブネットへの静的ルートを設定することが必要になる、またはそのほうが好ましい場合
があります。
既定ルートは機器のデフォルトゲートウェイですが、ＳｏｎｉｃＷＡＬＬＳＲＡ装置が他のネットワークにも
アクセスできるようにする必要がある場合は、静的ルートを追加することができます。ルーティングや
静的ルートの詳細については、標準的なＬｉｎｕｘの参考書を参照してください。
装置の明示的な宛先への静的ルートを設定するには、以下の手順に従います。
手順 1
「ネットワーク＞ルート」ページにナビゲートして、「静的ルートの追加」ボタンを選択します。
手順 2
「静的ルートの追加」ダイアログボックスで、「送信先ネットワーク」フィールドに、静的ルートの送信先と
なるサブネットまたはホストを入力します（たとえば、１９２.１６８.２２０.０は１９２.１６８.２２０.Ｘ／２４
サブネットへのルートを提供します）。ＩＰｖ６サブネットの入力もできます（たとえば、２００７:１:２:: ）。
手順 3
「サブネットマスク／接頭辞」フィールドに、サブネットマスク値または接頭辞に使用するビット数を入力し
ます。
手順 4
「デフォルトゲートウェイ」フィールドに、装置をネットワークに接続するゲートウェイ機器のＩＰアドレスを入
力します。ＩＰｖ６アドレスの入力もできます。
SonicWALL SRA 5.5 管理者ガイド
125
手順 5
「インターフェース」ドロップダウンリストで、装置を希望の宛先ネットワークに接続するインターフェースを
選択します。
手順 6
「適用」を選択します。
admin_netHostResolution
126
SonicWALL SRA 5.5 管理者ガイド
ネットワーク＞ホスト解決
このセクションでは、「ネットワーク＞ホスト解決」ページの概要と、このページで行う設定タスクにつ
いて説明します。
･「「ネットワーク＞ホスト解決」の概要」セクション（127 ページ）
･「ホスト解決の設定」セクション（127 ページ）
「ネットワーク＞ホスト解決」の概要
管理者は、「ネットワーク＞ホスト解決」ページを使ってホスト名を設定できます。
図4
「ネットワーク＞ホスト解決」ページ
ホスト名設定
「ホスト名設定」セクションでは、ＩＰアドレス、ホスト名（ホストまたはＦＱＤＮ）、およびオプションの
エイリアスを指定することによって、ホスト名を追加および設定できます。
admin_addHostName
ホスト解決の設定
「ホスト解決」ページで、ネットワーク管理者は、ホスト名または完全修飾ドメイン名（ＦＱＤＮ）をＩＰ
アドレスに設定つまりマップすることができます。
備考
ホスト解決エントリは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置自体で自動的に作成されます。削除しないでくださ
い。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＮｅｔＢＩＯＳクライアントとＷＩＮＳ（ＷｉｎｄｏｗｓＩｎｔｅｒｎｅｔＮａｍｅＳｅｒｖｉｃｅ）
クライアントの両方として機能し、ローカルネットワークのホスト名と、対応するＩＰアドレスを認識する
ことができます。
ホスト名をＩＰアドレスに解決するには、以下の手順に従います。
手順 1
「ネットワーク＞ホスト解決」ページにナビゲートします。
れます。
手順 2
「ホスト名の追加」を選択します。
「ネットワーク＞ホスト解決」ページが表示さ
SonicWALL SRA 5.5 管理者ガイド
127
手順 3
「ホスト名の追加」ウィンドウの「ＩＰアドレス」フィールドに、ホスト名にマップするＩＰアドレスを入力しま
す。
手順 4
「ホスト名」フィールドに、指定したＩＰアドレスにマップするホスト名を入力します。
手順 5 必要に応じて、「エイリアス」フィールドに、ホスト名のエイリアスである文字列を入力します。
手順 6
「追加」を選択します。これで、「ホスト解決」ページに、新しいホスト名が表示されます。
手順 7 オプションで、「ネットワーク＞ホスト解決」ページの「自動的に追加されたホストの設定」チェックボック
スを選択できます。このオプションを選択すると、ＩＰｖ６のような自動的に追加されたホストエントリの
編集や削除が可能になります。ホストの設定ミスにより期待しない結果になることがあるため、このオ
プションは推奨されません。
admin_netObjects
128
SonicWALL SRA 5.5 管理者ガイド
ネットワーク＞ネットワークオブジェクト
このセクションでは、「ネットワーク＞ネットワークオブジェクト」ページの概要と、このページで行う設
定タスクについて説明します。
･「「ネットワーク＞ネットワークオブジェクト」の概要」セクション（129 ページ）
･「ネットワークオブジェクトの追加」セクション（130 ページ）
「ネットワーク＞ネットワークオブジェクト」の概要
「ネットワーク＞ネットワークオブジェクト」ページでは、オブジェクトと呼ばれるネットワークリソース
を追加および設定することができます。便宜上、サービスとそのサービスにマップされているＩＰアドレ
スの両方を含むエンティティを作成することができます。このエンティティをネットワークオブジェクトとい
います。これを使えば、ポリシーを適用するときにサービスを明示的な宛先（ネットワークオブジェク
ト）に指定することが簡単になります。サービスとＩＰアドレスの両方を指定する必要はありません。
ＩＰｖ６オブジェクト種別とアドレスを使用することで、ＩＰｖ６ネットワークオブジェクトが作成できます。
図5
「ネットワーク＞ネットワークオブジェクト」ページ
ネットワークオブジェクトを設定するには、名前を指定し、以下のいずれかのサービスを選択します。
･ウェブ（ＨＴＴＰ）
･セキュアウェブ（ＨＴＴＰＳ）
･ＮｅｔＥｘｔｅｎｄｅｒ
･ターミナルサービス（ＲＤＰ - ＡｃｔｉｖｅＸ）
･ターミナルサービス（ＲＤＰ - Ｊａｖａ）
･仮想ネットワークコンピューティング（ＶＮＣ）
･ファイル転送プロトコル（ＦＴＰ）
･Ｔｅｌｎｅｔ、セキュアシェルバージョン１ (ＳＳＨｖ１) ／セキュアシェルバージョン２ (ＳＳＨｖ２)
･ファイル共有（ＣＩＦＳ）
･ＣｉｔｒｉｘＰｏｒｔａｌ（ウェブアクセス）
どのサービスについてもポートやポート範囲を使用できるため、ネットワークオブジェクトにポート範囲
（たとえば、８０-４４３）やポート番号（たとえば、８０）を設定できます。この機能を使用すると、
SonicWALL SRA 5.5 管理者ガイド
129
ポートベースのポリシーを作成できます。たとえば、すべて遮断するポリシーを作成し、ウェブサーバ
のポート８０でＨＴＴＰトラフィックのみを受信することができます。
admin_addNetObject
ネットワークオブジェクトの追加
ネットワークオブジェクトを追加するには、以下の手順に従います。
手順 1
「ネットワーク＞ネットワークオブジェクト」ページにナビゲートします。
手順 2
「ネットワークオブジェクトの追加」ボタンを選択します。
されます。
手順 3
「名前」フィールドに、作成するネットワークオブジェクトの名前にする文字列を入力します。
備考
「ネットワークオブジェクトの追加」画面が表示
既存のネットワークオブジェクトを編集するには、編集するオブジェクトの横にある設定ボタンを選
択します。既存のネットワークオブジェクトと同じ名前で新しいネットワークオブジェクトを作成して
も、既存のネットワークオブジェクトが置き換えられることや変更されることはありません。
手順 4
「サービス」リストを選択し、サービスのタイプを選択します。選択できるサービスは、ウェブ（ＨＴＴＰ）、
セキュアウェブ（ＨＴＴＰＳ）、ＮｅｔＥｘｔｅｎｄｅｒ、ターミナルサービス（ＲＤＰ - Ｊａｖａ）、ターミナル
サービス (ＲＤＰ - ＡｃｔｉｖｅＸ)、仮想ネットワークコンピューティング、ファイル転送プロトコル、
Ｔｅｌｎｅｔ、セキュアシェルバージョン１（ＳＳＨｖ１）、セキュアシェルバージョン２（ＳＳＨｖ２は
ＳＳＨｖ１より強い暗号化を提供し、ＳＳＨｖ２対応サーバにのみ接続できる）、ファイル共有（ＣＩＦＳ）、
Ｃｉｔｒｉｘです。
手順 5
「適用」を選択します。「ネットワークオブジェクトの編集」画面が表示され、ネットワークオブジェクトの
名前とそれに関連付けられたサービスが示されます。ネットワークオブジェクトにマップさせるアドレスを
追加することでオブジェクトを完成するには、「ネットワークオブジェクトの編集」（130 ページ）を参照
してください。
admin_editNetInterface
admin_editNetObject
ネットワークオブジェクトの編集
ネットワークオブジェクトを編集するには、以下の手順に従います。
手順 1 既存のネットワークオブジェクトを編集するには、「ネットワーク＞ネットワークオブジェクト」ページにナビ
ゲートして、設定アイコンを選択するか、「未完了」リンクを選択します。「ネットワークオブジェクトの
編集」画面が表示されます。
ネットワークオブジェクトを作成した直後の場合は、「適用」の選択後すぐに「ネットワークオブジェク
トの編集」画面が表示されます。
130
SonicWALL SRA 5.5 管理者ガイド
「ネットワークオブジェクトの編集」には、ネットワークオブジェクト名とそれに関連付けられたサービス
が示されます。また、ネットワークオブジェクトにマップされた既存のアドレスを示すアドレスリストも表
示されます。
手順 2 サービスを変更するには、「サービス」ドロップダウンリストからサービスを選択し、「サービスの更新」を
選択します。「ネットワークオブジェクト」テーブルの「サービス」カラムに新しいサービスが表示さ
れます。「ネットワークオブジェクトの編集」ダイアログボックスは開いたままです。編集を終了する
場合は、「完了」を選択します。
手順 3 このネットワークオブジェクトの種別とアドレスを追加または編集するには、「追加」を選択します。「オブ
ジェクトアドレスの定義」ページが表示されます。「オブジェクトアドレスの定義」（132 ページ）を参
照してください。
手順 4 アドレスの追加が終了したら、オブジェクトアドレスの定義ページで「完了」を選択します。
手順 5
「ネットワーク＞ネットワークオブジェクト」ページが表示され、「ネットワークオブジェクト」のリストに新し
いオブジェクトが表示されます。
手順 6 オブジェクトが最低でも１つのＩＰアドレスかネットワーク範囲を用いて完全に定義されていない場合、「未
完了」ステータスが表示されます。このネットワークオブジェクトを再度編集するには、「未完了」リン
クを選択するか、設定アイコンを選択してから、このネットワークオブジェクトに対する種別とアドレス
の値を追加するために「追加」を選択します。「オブジェクトアドレスの定義」ページが表示されま
す。「オブジェクトアドレスの定義」（132 ページ）を参照してください。
備考
未完了なネットワークオブジェクトにはポリシーを作成できません。
SonicWALL SRA 5.5 管理者ガイド
131
admin_defObjAddress
オブジェクトアドレスの定義
手順 1
「オブジェクトアドレスの定義」ページで、「オブジェクト種別」ドロップダウンリストを選択し、オブジェクト
のタイプを選択します。オブジェクトには次の４つのタイプがあります。
- 「ＩＰアドレス」－単一のＩＰアドレス
- 「ＩＰネットワーク」－開始アドレスとサブネットマスクで定義されるＩＰアドレスの範囲
- 「ＩＰｖ６アドレス」－単一のＩＰｖ６アドレス
- 「ＩＰｖ６ネットワーク」－ＩＰｖ６アドレスの範囲
手順 2 選択したオブジェクトのタイプに関する適切な情報を入力します。
- オブジェクトのタイプがＩＰアドレスの場合は、「ＩＰアドレス」フィールドにＩＰアドレスを入力しま
す。
- オブジェクトのタイプがＩＰネットワークの場合、「ネットワークアドレス」フィールドに希望のネッ
トワークサブネットに存在するＩＰアドレスを入力し、「サブネットマスク」フィールドにサブネット
マスクを入力します。
- オブジェクトのタイプがＩＰｖ６アドレスの場合、「ＩＰｖ６アドレス」フィールドにＩＰアドレスを入力
します。
- オブジェクトのタイプがＩＰｖ６ネットワークの場合、「ＩＰｖ６ネットワークアドレス」フィールドに希
望のネットワークサブネットに存在するＩＰｖ６アドレスを入力し、「接頭辞」フィールドに接頭辞
として使用するビット数を入力します
手順 3
132
「適用」を選択します。
SonicWALL SRA 5.5 管理者ガイド
手順 4 アドレスを追加する操作が完了したら、「ネットワークオブジェクトの編集」ダイアログボックスの「完了」を
選択します。
SonicWALL SRA 5.5 管理者ガイド
133
134
SonicWALL SRA 5.5 管理者ガイド
第4章
第4章
ポータルの設定
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブベース管理インターフェースの「ポータル」ページで行
う、ポータルの設定、ポータルの割り当て、認証ドメイン（ＲＡＤＩＵＳ、ＮＴドメイン、ＬＤＡＰ、アク
ティブディレクトリなど）の定義などの設定タスクについて説明します。
この章は、次のセクションから構成されています。
･「ポータル＞ポータル」セクション（136 ページ）
･「ポータル＞アプリケーションオフロード」セクション（148 ページ）
･「ポータル＞ドメイン」セクション（155 ページ）
･「ポータル＞個別ロゴ」セクション（179 ページ）
･「ポータル＞負荷分散」セクション（179 ページ）
admin_portalLayouts
SonicWALL SRA 5.5 管理者ガイド
135
ポータル＞ポータル
このセクションでは、「ポータル＞ポータル」ページの概要と、このページで実行できる設定タスクに
ついて説明します。
･「ポータル＞ポータルの概要」セクション（136 ページ）
･「ポータルの追加」セクション（137 ページ）
･「一般ポータル設定の設定」セクション（139 ページ）
･「ホームページの設定」セクション（140 ページ）
･「ポータルごとの仮想アシスト設定の設定」セクション（144 ページ）
･「仮想ホストの設定」セクション（145 ページ）
･「個別ポータルロゴの追加」セクション（146 ページ）
アプリケーションのオフロードと「ウェブアプリケーションのオフロード」ボタンについての情報は、
「ポータル＞アプリケーションオフロード」セクション（148 ページ）を参照してください。
ポータル＞ポータルの概要
「ポータル＞ポータル」ページでは、ＳＳＬＶＰＮポータルのログインページとホームページに個別の
ポータルを設定できます。
図1
「ポータル＞ポータル」ページ
ポータル設定
ポータル設定セクションでは、ポータル名、ポータルサイトタイトル、ポータルバナータイトル、ログ
インメッセージ、仮想ホスト／ドメイン名、およびポータルＵＲＬを指定することによって、個別のポー
タルを設定できます。また、ログイン時およびログアウト時に表示／ロードする項目を制御する個別ロ
グインオプション、キャッシュ制御用のＨＴＴＰメタタグ、ＡｃｔｉｖｅＸウェブキャッシュクリーナ、および
ログインの一意性を設定することもできます。
従来のポータルは「説明」列で示してあります。これらのポータルは３.５より前のＳｏｎｉｃＯＳＳＳＬ
ＶＰＮリリースからのクラシックなインターフェースを維持しています。管理者は、従来のポータルが個
別化されているなどの理由で、それをアップグレードせずに引き続き使用することを選択することもでき
ます。
136
SonicWALL SRA 5.5 管理者ガイド
ポータルのホームページに関するその他の情報
通常のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理者の場合は、プレーンテキストのホームページメッセージとネッ
トワークリソースへのリンクのリストがあれば十分です。ユーザポータルに他のコンテンツを表示する
必要がある場合は、以下の情報を参照してください。
新形式のポータル
･ヒント／ヘルプのサイドバーを有効にすると、ワークスペース幅は５６１ピクセル
･ヒント／ヘルプのサイドバーを無効にすると、ワークスペース幅は７１２ピクセル
･ＩＦＲＡＭＥは使っていない
･ホームページの一番下に表示する個別ＨＴＭＬファイルをアップロードできる。
セージ」フィールドにＨＴＭＬタグとＪａｖａＳｃｒｉｐｔを追加することもできる
「ホームページメッ
･アップロードしたＨＴＭＬファイルは他のコンテンツの後ろに表示されるので、このファイルに＜
ｈｅａｄ＞タグや＜ｂｏｄｙ＞タグを入れてはならない
従来のポータル
･ホームページはＩＦＲＡＭＥ（内部ＨＴＭＬフレーム）で表示される
･ｉｆｒａｍｅの幅は５４２ピクセルだが、ナビゲーションメニューとコンテンツ間のバッファは２９ピクセ
ルなので、利用可能なワークスペースは５１３ピクセルである
･ホームページの一番下に表示する個別ＨＴＭＬファイルをアップロードできる。
セージ」フィールドにＨＴＭＬタグとＪａｖａＳｃｒｉｐｔを追加することもできる
「ホームページメッ
･アップロードしたＨＴＭＬファイルは他のコンテンツの後ろに表示されるので、このファイルに＜
ｈｅａｄ＞タグや＜ｂｏｄｙ＞タグを入れてはならない
ポータルの追加
管理者は、ポータルを個別化することで、ユーザが認証のためにＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮにリダイ
レクトされたときにユーザごとに個別の待ち受けページを表示できます。
ネットワーク管理者は、ポータルに個別のレイアウトを定義することができます。レイアウトの設定に
は、メニューレイアウト、表示するポータルページ、表示するポータルアプリケーションのアイコン、
およびウェブキャッシュ制御オプションが含まれます。
既定ポータルはＶｉｒｔｕａｌＯｆｆｉｃｅポータルです。別のポータルを追加したり、修正したりすることもでき
ます。ポータルを追加するには、以下の手順に従います。
SonicWALL SRA 5.5 管理者ガイド
137
手順 1
「ポータル＞ポータル」ウィンドウにナビゲートし、「ポータルの追加」ボタンを選択します。
設定」ウィンドウが表示されます。
「ポータル
表 1 に、「一般」タブで設定できるフィールドの説明を示します。独自のポータルを設定するために必
要な手順については、「一般ポータル設定の設定」セクション（139 ページ）を参照してください。
表1
「一般」タブのフィールド
フィールド
説明
ポータル名
このポータルを参照する場合に使うタイトル。内部参照専用で、ユーザに
は表示されない
ポータルサイトタイトル
ユーザがこのポータルにアクセスしたときにウェブブラウザのタイトルバー
に表示されるタイトル
ポータルバナータイトル
ポータル画面の一番上に表示されるウェルカムテキスト
ログインメッセージ
ポータルログインページで認証エリアの上に表示されるオプションテキスト
仮想ホスト／ドメイン名
複数のポータルが提供される環境では、仮想ホストを使うことでポータル
ＵＲＬに簡単にリダイレクトできる。
ポータルＵＲＬ
この特定のポータルにアクセスする場合に使うＵＲＬ
個別ログインページを表示する
このポータルの既定（ＳｏｎｉｃＷＡＬＬ）ログインページではなく個別のログ
インページを表示する
個別ログインページにログインメッ
セージを表示する
ログインメッセージテキストボックスに指定されたメッセージを表示する
キャッシュ制御のためのＨＴＴＰメタ
タグを有効にする
すべてのＨＴＴＰ／ＨＴＴＰＳページにＨＴＴＰメタタグを埋め込み、リモー
トユーザのブラウザのキャッシュにコンテンツが保管されないようにする
ＡｃｔｉｖｅＸウェブキャッシュクリーナ
を有効にする
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮセッションの終了後にすべてのセッションのコンテ
ンツを消去するＡｃｔｉｖｅＸコントロール（ブラウザのサポートが必要）を
ロードする
多重ログインを禁止する
多重ログインを禁止すると、アカウントは一度に１つのセッションにしか使
用できない。禁止しないと、アカウントは同時に複数のセッションで使用で
きる
admin_portalNewPortal
138
SonicWALL SRA 5.5 管理者ガイド
一般ポータル設定の設定
ポータルの主な設定オプションは、次の２つです。
･既存のレイアウトを変更する
･新しいポータルを設定する
新しいポータルについて「一般」タグの設定を設定するには、以下の手順に従います。
手順 1
「ポータル＞ポータル」ページにナビゲートします。
手順 2
「ポータルの追加」ボタンを選択するか、設定するポータルの横にある設定ボタンを選択します。「ポータ
ルの追加」または「ポータルの編集」画面が表示されます。
手順 3
「一般」タブの「ポータル名」フィールドに、そのポータルを表すわかりやすい名前を入力します。この名
前は、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮポータルＵＲＬのパスの一部になります。例えば、ＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮポータルが〈https://vpn.company.com〉にホストされていて、ポータル名をｓａｌｅｓにした
場合、ユーザはサブサイト〈https://vpn.company.com/portal/sales〉にアクセスできます。
備考
手順 4
「ポータル名」フィールドには、英数字、ハイフン（-）、および下線（_）しか使用できません。
これ以外の文字やスペースを入力すると、ポータル名は最初の英数字以外の文字の前で切り捨て
られます。
「ポータルサイトタイトル」フィールドに、ウェブブラウザウィンドウのタイトルを入力します。
手順 5 ユーザがポータルにログインする前にバナーメッセージを表示するには、「ポータルバナータイトル」フィー
ルドにバナータイトルのテキストを入力します。
手順 6
「ログインメッセージ」フィールドにＨＴＭＬ準拠メッセージを入力するか、既定で入力されているメッセージ
を編集します。このメッセージは、個別のログインページに表示されます。
手順 7
「ポータルＵＲＬ」フィールドには、ＳＲＡ装置のネットワークアドレスとポータル名に基づいて値が自動的
に設定されます。
手順 8 個別のロゴ、メッセージ、およびタイトル情報をログインページに表示するには、「個別ログインページを
表示する」チェックボックスをオンにします。
備考
手順 9
個別のロゴは、既存のポータルにのみ追加できます。個別のロゴを新しいポータルに追加するに
は、最初に一般ポータル設定を完了してから、「個別ポータルロゴの追加」セクション（146 ペー
ジ）の手順に従ってロゴを追加します。
「キャッシュ制御のためのＨＴＴＰメタタグを有効にする」チェックボックスをオンにして、このポータルに
ＨＴＴＰメタタグキャッシュ制御ディレクティブを適用します。キャッシュ制御ディレクティブには、次のも
のが含まれます。
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="cache-control" content="must-revalidate">
これらのディレクティブを適用することで、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮポータルページとその他のウェブ
コンテンツのキャッシングを防ぐことができます。
備考
手順 10
セキュリティ上の理由に加え、古いウェブページやデータがユーザのウェブブラウザのキャッシュ
に保管されることを防ぐために、ＨＴＴＰメタタグを有効にすることを強くお勧めします。
「ＡｃｔｉｖｅＸウェブキャッシュクリーナを有効にする」チェックボックスをオンにして、ユーザが
ＳｏｎｉｃＷＡＬＬＳＲＡ装置にログインしたときに、ＡｃｔｉｖｅＸキャッシュコントロールがロードされるようにし
ます。ウェブキャッシュクリーナにより、ユーザがログアウトしたとき、またはウェブブラウザウィンド
SonicWALL SRA 5.5 管理者ガイド
139
ウを閉じたときに、すべてのセッションの一時インターネットファイル、Ｃｏｏｋｉｅ、およびブラウザ履歴
を削除することを求めるプロンプトが表示されます。ＡｃｔｉｖｅＸをサポートしていないウェブブラウザで
は、ＡｃｔｉｖｅＸウェブキャッシュコントロールは無視されます。
手順 11
「多重ログインの禁止」（140 ページ）を参照
手順 12
「ホームページの設定」（140 ページ）を参照
多重ログインの禁止
多重ログインを禁止すると、アカウントは一度に１つのセッションにしか使用できません。禁止しない
場合は、アカウントは同時に複数のセッションで使用できます。多重ログインを禁止するには、次の
手順に従います。
手順 1
「ポータル＞ポータル」にナビゲートします。
手順 2 既存のポータルの場合は、設定するポータルの横にある設定アイコンを選択します。新しいポータルの場
合は、「ポータルの追加」ボタンを選択します。
手順 3
「多重ログインを禁止する」チェックボックスをオンにします。
手順 4
「適用」を選択します。
ホームページの設定
ホームページは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置ポータルのオプションの開始ページです。ホームページを
設定することで、モバイルユーザがポータルにログインしたときに表示する個別ページを作成できま
す。ホームページは個別化できるので、リモートアクセス手順、サポート情報、技術に関する問い
合わせ先情報、ＳＳＬＶＰＮ関連の更新などをリモートユーザに伝える理想的な方法となります。
ホームページは、アクセスに制限があるユーザの開始ページとして最適です。モバイルユーザやビジ
ネスパートナがアクセスを許可されているファイルやウェブＵＲＬが限られている場合、ホームページ
を設定すれば、対象ユーザにはそれらの関連リンクしか表示されません。
ページのタイトルを編集したり、ページの一番上に表示するホームページメッセージを作成したり、
ユーザごとに該当するすべてのブックマーク（ユーザ、グループ、およびグローバル）を表示したり、
必要に応じてＨＴＭＬファイルをアップロードしたりできます。
ホームページを設定するには、以下の手順に従います。
手順 1
「ポータル＞ポータル」ページを開きます。
手順 2
「ポータルの追加」ボタンを選択するか、設定するポータルの横にある設定アイコンを選択します。
タルの追加」または「ポータルの編集」ページが表示されます。
140
SonicWALL SRA 5.5 管理者ガイド
「ポー
手順 3
「ホームページ」タブを選択します。
手順 4 表 2 に、「ホームページ」タブで設定できるオプションの説明を示します。
表2
「ホームページ」タブのフィールド
フィールド
説明
ホームページメッセージを表
示する
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置に対する認証に成功した後で個別のホーム
ページメッセージを表示します。
このポータルへの
NetExtender 接続を許可する
選択した場合は、配下の 2 つのチェックボックスオプションが利用できます。選
択しないと、 NetExtender はこのポータルで利用できません。
ＮｅｔＥｘｔｅｎｄｅｒアイコンを表示
する
ＮｅｔＥｘｔｅｎｄｅｒのリンクを表示し、ユーザがクライアントレスのＮｅｔＥｘｔｅｎｄｅｒ仮
想アダプタをインストールして起動できるようにします。
ログインした後、
ＮｅｔＥｘｔｅｎｄｅｒを起動する
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置に対する認証に成功した後でＮｅｔＥｘｔｅｎｄｅｒ
を自動的に起動します。「ユーザポータルでのＮｅｔＥｘｔｅｎｄｅｒの自動起動」セ
クション（142 ページ）を参照してください。
このポータルでファイル共有を選択した場合は、配下の 2 つのチェックボックスオプションが利用できます。選
許可する
択しないと、ファイル共有はこのポータルで利用できません。
「ファイル共有」ポータルボタ
ンを表示する
ファイル共有（ウィンドウズＣＩＦＳ／ＳＭＢ）ウェブインターフェースへリンクする
ボタンを提供して、認証されたＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザがドメイン許可
に従ってＮＴファイル共有を使用できるようにします。「“既定でアプレットを使
用” するファイル共有」セクション（143 ページ）を参照してください。
ポータルボタンにアプレットを
使用する
Ｊａｖａファイル共有アプレットを有効にして、ドラッグアンドドロップ、複数ファイ
ル選択、および状況依存のクリック操作などの簡単で強力なファイル操作イン
ターフェースを利用できるようにします。
ブックマークテーブルを表示
する
選択した場合は、配下の 2 つのチェックボックスオプションが利用できます。選
択しないと、ブックマークはこのポータルで利用できません。
「すべてのブックマーク」タブを管理者によって提供されたブックマークを含むタブを表示し、ユーザがネットワー
表示する
クリソースへの自身のブックマークを定義できるようにします。
既定のタブ ( デスクトップ、
既定のブックマークタブを表示します。
ウェブ、ファイル、ターミナル
) を表示する
SonicWALL SRA 5.5 管理者ガイド
141
フィールド
説明
証明書のインポートボタンを
表示する
ＳＳＬセキュリティ証明書を永続的にインポートできるボタンを表示します。証明
書のインポートは、ウィンドウズ２０００およびＸＰでインターネットエクスプロー
ラでのみ使用できます。
ＳｏｎｉｃＷＡＬＬ著作権フッター
を表示する
ポータルにＳｏｎｉｃＷＡＬＬ著作権フッターを表示します。オフにすると、フッター
は表示されません。
ヒント／ヘルプサイドバーを表ポータルにヒントとヘルプのリンクを持つサイドバーを表示します。「一般」タブ
示する
で「従来の外観と操作性」チェックボックスをオンにした場合、このオプションは
使用できません。
ホームページメッセージ
ユーザ認証の成功後にホームページ上に表示できるオプションテキストです。
備考
ファイル共有を作成するときは、ウィンドウズのドメインルートシステム上に分散ファイルシステム
（ＤＦＳ）サーバを設定しないでください。ドメインルートではドメイン内のウィンドウズコンピュータへ
のアクセスしか許可されないので、このような設定を行うと、他のドメインからのＤＦＳファイル共有
へのアクセスが無効化されます。ＳｏｎｉｃＷＡＬＬＳＲＡ装置はドメインメンバではないので、ＤＦＳ
共有に接続できなくなります。
スタンドアロンルート上のＤＦＳファイル共有は、マイクロソフトのこの制約を受けません。
備考
ＡｃｔｉｖｅＸアプリケーションの中には、ＡｃｔｉｖｅＸターミナルサービスＲＤＰクライアントなど、信頼で
きるルートＣＡからの証明書でサーバに接続しなければ機能しないものもあります。ＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置に付属のテスト用ＳＳＬ証明書を使っている場合、「自己署名証明書インポートのリンク
を表示する」チェックボックスをオンにすると、ウィンドウズユーザが自己署名証明書を簡単にイン
ポートできるようになります。
Ｖｅｒｉｓｉｇｎ、Ｔｈａｗｔｅなどの信頼できるルートＣＡからの有効なＳＳＬ証明書をアップロードすること
を強くお勧めします。有効なＳＳＬ証明書がある場合は、「自己署名証明書インポートのリンクを表
示する」チェックボックスをオンにしないでください。
手順 5
「適用」を選択してホームページのコンテンツを更新します。
ユーザポータルでのＮｅｔＥｘｔｅｎｄｅｒの自動起動
ユーザがユーザポータルにログインしたときに自動的に起動されるようにＮｅｔＥｘｔｅｎｄｅｒを設定できま
す。また、ＶｉｒｔｕａｌＯｆｆｉｃｅポータルにＮｅｔＥｘｔｅｎｄｅｒを表示するかどうかも設定できます。
ＮｅｔＥｘｔｅｎｄｅｒのポータルオプションを設定するには、以下の手順を実行します。
手順 1
「ポータル＞ポータル」にナビゲートします
手順 2
「ポータルの追加」ボタンを選択するか、設定するポータルの横にある設定アイコンを選択します。
タルの追加」または「ポータルの編集」ページが表示されます。
手順 3
「ホームページ」タブを選択します。
「ポー
手順 4 ユーザがこのポータルからＮｅｔＥｘｔｅｎｄｅｒにアクセスできないようにするには、「このポータルへの
NetExtender 接続を許可する」チェックボックスをオフにします。ＭｏｂｉｌｅＣｏｎｎｅｃｔは接続時に
ＮｅｔＥｘｔｅｎｄｅｒクライアントとして動作するため、このチェックボックスをオフにすると、このポータル上
のＭｏｂｉｌｅＣｏｎｎｅｃｔユーザもアクセスできなくなります。
手順 5 ユーザがポータルにログインしたときにＮｅｔＥｘｔｅｎｄｅｒを自動的に起動するには、「ログインした後、
ＮｅｔＥｘｔｅｎｄｅｒを起動する」チェックボックスをオンにします。
手順 6
142
「適用」を選択します。
SonicWALL SRA 5.5 管理者ガイド
“既定でアプレットを使用” するファイル共有
ファイル共有Ｊａｖａアプレットオプションを使うと、標準のＨＴＭＬベースのファイル共有では利用でき
ない以下の機能がユーザに提供されます。
･既存のファイルの上書き
･ディレクトリのアップロード
･ドラッグアンドドロップ機能
･複数ファイル選択
･状況に依存するクリック機能
･並べ替え可能なファイルリスト
･パス入力による直接フォルダ移動機能
･ドロップダウン履歴メニューと進む／戻るボタン
･フォルダサイズを表示するプロパティウィンドウ
このポータルでファイル共有Ｊａｖａアプレットを使用するには、以下の手順に従います。
手順 1
「ポータル＞ポータル」にナビゲートします。
手順 2
「ポータルの追加」ボタンを選択するか、設定するポータルの横にある設定アイコンを選択します。
タルの追加」または「ポータルの編集」ページが表示されます。
手順 3
「ホームページ」タブを選択します。
手順 4
「このポータルでファイル共有を許可する」チェックボックスをオンにします。
手順 5
「ポータルボタンにアプレットを使用する」チェックボックスをオンにします。
手順 6
「適用」ボタンを選択して、変更を保存します。
「ポー
admin_portalVaAdminAddr
SonicWALL SRA 5.5 管理者ガイド
143
ポータルごとの仮想アシスト設定の設定
管理者はポータルごとに仮想アシストを有効にできます。
「ポータルの追加」画面の「仮想アシスト」タブには、このポータルについて、グローバルな「仮想
アシスト＞設定」ページのものとほとんど同じ設定オプションがあります。
このポータルについて仮想アシスト設定を設定するには、以下の手順に従います。
手順 1
「ポータル＞ポータル」にナビゲートします。
手順 2
「ポータルの追加」ボタンを選択するか、設定するポータルの横にある設定ボタンを選択します。「ポータ
ルの追加」または「ポータルの編集」画面が表示されます。
手順 3
「仮想アシスト」タブを選択します。
手順 4 このポータルで仮想アシストを有効にするには、「このポータルで仮想アシストを有効にする」チェックボック
スをオンにします。
手順 5
「技術者ボタンを表示する」チェックボックスを選択します。これが選択されていないと、仮想アシストボタ
ンは表示されず、技術者はダウンロードしたクライアントを通して直接ログインする必要があります。
手順 6
「支援の要求ボタンを表示する」チェックボックスを選択して、ユーザがポータルから支援を要求することを
可能にします。
手順 7
「仮想アクセスモードを有効にする」チェックボックスを選択して、このポータルでの仮想アクセス接続を許
可します。これは、仮想アクセスを実行するポータル単位で有効にする必要があります。これが選択さ
れると、ポータル上に対応するリンクを表示するための「仮想アクセスセットアップリンク」チェックボッ
クスの選択が可能になります。仮想アクセスの機能性の詳細情報については、「仮想アクセスの有効
化」（60 ページ）を参照してください。
手順 8
「サポートセッション数の制限」フィールドに、このポータルで許可するアクティブなサポートセッションの数
を入力します。制限を設けない場合は、０を入力します。
手順 9
「仮想アシスト」タブでの他の設定については、「仮想アシスト＞設定」（211 ページ）を参照してくださ
い。
144
SonicWALL SRA 5.5 管理者ガイド
手順 10 ドロップダウンリストのあるフィールドについては、以下のいずれかの手順を実行します。
･このポータルにグローバル設定を適用するには、「グローバル設定を使用」を選択します。
･グローバル設定に関係なく、このポータルに関してこのオプションを有効にするには、「有効」を選
択します。
･グローバル設定に関係なく、このポータルに関してこのオプションを無効にするには、「無効」を選
択します。
手順 11 ドロップダウンリストのないフィールドについては、フィールドを空白のままにしておけば、このポータルに
グローバル設定を適用することができます。
手順 12 ページの各セクションを展開して、関連するオプションを設定します。
手順 13
「適用」ボタンを選択して、変更内容を保存します。
仮想ホストの設定
仮想ホストを作成すると、ユーザは既定ＵＲＬとは異なる別のホスト名を使ってログインできるよう
になります。例えば、販売担当者は、管理用の既定ドメイン〈https://vpn.company.com〉ではな
く、〈https://sales.company.com〉にアクセスできます。仮想ホスト名を定義しても、ポータルＵＲＬ
（例えば、〈https://vpn.company.com/portal/sales〉）は存在します。仮想ホスト名を作成すること
で、管理者はユーザグループごとに別個のログインＵＲＬを提供できます。
仮想ホストドメイン名を作成するには、以下の手順に従います。
手順 1
「ポータル＞ポータル」にナビゲートします。
手順 2
「ポータルの追加」ボタンを選択するか、設定するポータルの横にある設定ボタンを選択します。「ポータ
ルの追加」または「ポータルの編集」画面が表示されます。
手順 3
「仮想ホスト」タブを選択します。
手順 4 ホスト名を「仮想ホストドメイン名」フィールドに入力します。例えば、 sales.company.com と入力します。
このフィールドはオプションです。
備考
「仮想ホストドメイン名」フィールドには、英数字、ハイフン（-）、および下線（_）しか使用でき
ません。
手順 5 ＩＰベースの仮想ホスティングを使う場合は、ポータルに固有の「仮想ホストインターフェース」を選択しま
す。
SonicWALL SRA 5.5 管理者ガイド
145
備考
名前ベースの仮想ホスト（１つのＩＰアドレスに対して複数のホスト名が存在する仮想ホスト形式）
を使用している場合は、「仮想ホストインターフェース」から「すべてのインターフェース」を選択し
ます。
手順 6 ポータルに固有の仮想ホストインターフェースを選択した場合は、使用するＩＰアドレスを「仮想ホストＩＰア
ドレス」フィールドに入力します。ユーザは、このＩＰアドレスを使って仮想オフィスポータルにアクセ
スすることになります。
備考
仮想ホスト名とドメイン名をＳｏｎｉｃＷＡＬＬＳＲＡ装置の外部ＩＰアドレスに解決できるように、外部
ＤＮＳサーバにエントリを追加してください。
手順 7 ポータルに固有の仮想ホストインターフェースを選択した場合は、ＩＰｖ６アドレスを「仮想ホストＩＰｖ６アド
ス」フィールドに指定できます。このアドレスを使って仮想ホストにアクセスできます。ＩＰｖ６アドレスは
１０進数または１６進数を使って次の形式で入力します
２００１::Ａ９８７:２:３:４３２１
手順 8 このサブドメインに個別のセキュリティ証明書を使用する予定であれば、それに対応するポートインター
フェースアドレスを「仮想ホスト証明書」リストから選択します。
備考
仮想ホストドメイン名ごとに証明書を用意しない場合（つまり＊ .ｄｏｍａｉｎＳＳＬ証明書を購入した
場合）は、ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置ポータルにログインしたときに証明書ホスト名の不一
致警告が表示されます。証明書ホスト名の不一致の影響を受けるのはログインページのみです。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮクライアントアプリケーションはホスト名不一致の影響を受けません。
個別ポータルロゴの追加
個別ロゴ設定セクションでは、個別ロゴをアップロードし、これを既定のＳｏｎｉｃＷＡＬＬロゴと切り替え
ることができます。個別ロゴをアップロードするためには、ポータルを追加しておかなければなりませ
ん。「ポータルの追加」画面の「ロゴ」タブには、個別ロゴをアップロードするためのオプションがあり
ません。
個別ポータルロゴを追加するには、以下の手順に従います。
手順 1
146
「ポータル＞ポータル」にナビゲートし、個別ロゴを追加したい既存のポータルの横にある設定ボタンを選
択します。「ポータルの編集」画面が表示されます。
SonicWALL SRA 5.5 管理者ガイド
手順 2
「ロゴ」タブを選択します。
手順 3
「ロゴのアップロード」フィールドの横にある「参照」ボタンを選択します。ファイルブラウザのウィンドウが
表示されます。
手順 4 適切なサイズで作成されたＧＩＦ形式のロゴをファイルブラウザで選択し、「開く」ボタンを選択します。
備考
個別のロゴはＧＩＦ形式でなければなりません。新式のポータルでは、１５５ｘ６８ピクセルというサ
イズ制限があります。これより大きいものは、ページ上のロゴスペースに収まるように切り詰めら
れます。従来のポータルでは、最適な表示結果を得るため、背景が透明か薄い色になっているロ
ゴをインポートしてください。推奨サイズ（必須ではない）は１５５ｘ３６ピクセルです。
手順 5
「背景」ドロップダウンリストから「暗い」または「明るい」を選択します。ポータルページの中でロゴが
目立つように、うまく濃淡を選んでください。
手順 6
「ロゴの更新」ボタンを選択すると、そのロゴがＳＲＡ装置に転送されます。
手順 7
「既定のロゴ」ボタンを選択すると、既定のＳｏｎｉｃＷＡＬＬロゴに戻ります。
手順 8
「適用」ボタンを選択して、変更内容を保存します。
admin_portalAppOffloading
SonicWALL SRA 5.5 管理者ガイド
147
ポータル＞アプリケーションオフロード
管理インターフェースの「ポータル＞アプリケーションオフロード」ページでは、「ポータル＞
ポータル」ページから利用できるアプリケーションオフロード機能の概要が説明されています。設
定はこのページでは行えません。
このページのスクリーンショットのいずれかを選択すると、「ポータル＞ポータル」ページに移動しま
す。この移動先のページでは、「ウェブアプリケーションのオフロード」ボタンを選択して、オフロード
されたアプリケーションを設定できます。
以下のセクションを参照してください。
･「アプリケーションオフロードの概要」（148 ページ）
･「ＨＴＴＰ／ＨＴＴＰＳアプリケーションオフロードポータルの設定」（149 ページ）
アプリケーションオフロードの概要
アプリケーションオフロードは、内部および公開されているホストのウェブアプリケーションへの安全な
アクセスを提供します。アプリケーションオフロードホストは、バックエンドウェブアプリケーションの
プロキシとして機能する仮想ホストを持つ専用のポータルとして作成されます。
ＨＴＴＰ（Ｓ）ブックマークと異なり、オフロードされたアプリケーションへのアクセスはリモートユーザに
制限されません。管理者は特定のユーザやグループに対して強力な認証とアクセスポリシーを強制す
ることができます。例えば、組織では一定のゲストユーザはアウトルックウェブアクセス（ＯＷＡ）へ
のアクセスに２ファクタ認証やクライアント証明書認証が必要なこともありますが、ＯＷＡパブリック
フォルダへのアクセスは許されません。認証が有効なら、オフロードされたホストにはワンタイムパス
ワード、２ファクタ認証、クライアント証明書認証、シングルサインオンといったＳｏｎｉｃＷＡＬＬの高
度な認証機能を積層することができます。
このポータルは、適切なＳＳＬＶＰＮドメインを持つ仮想ホストとして設定しなければなりません。この
ようなオフロードされたホストに対しては、認証とアクセスポリシーの強制を無効にすることが可能で
す。
ウェブトランザクションは、ログを確認することで集中監視することができます。さらに、ウェブアプリ
ケーションファイアウォールによって、クロスサイトスクリプティングやＳＱＬインジェクションなどの予期
せぬ侵入からこれらのホストを保護することができます。
プロキシされたページ内のＵＲＬはＨＴＴＰブックマークやＨＴＴＰＳブックマークで使われる方法で書き
換えられないので、オフロードされたウェブアプリケーションへのアクセスはシームレスに行われます。
ウェブアプリケーションをＳＳＬＶＰＮのＨＴＴＰ（Ｓ）ブックマークとして設定するのに比べて、オフロー
ドされたウェブアプリケーションには次の利点があります。
･ＵＲＬ書き換えが必要ないので、スループットが著しく向上する。
･元のウェブアプリケーションの機能がほぼ完全に維持される。それに対し、ＨＴＴＰ（Ｓ）ブックマー
クは最大努力型のソリューションにすぎない。
･アプリケーションオフロードはＳＳＬＶＰＮのセキュリティ機能を公開ホストのウェブサイトに拡張す
る。
アプリケーションオフロードは次のシナリオのいずれにも使用できます。
･ＳＳＬオフローダとして機能し、オフロードされたウェブアプリケーションにＨＴＴＰＳサポートを追加
する。これにはＳＲＡ装置の統合ＳＳＬアクセラレータハードウェアを使用する。
148
SonicWALL SRA 5.5 管理者ガイド
･ウェブアプリケーションファイアウォール購読サービスと共に、オフロードされたウェブアプリケー
ションに悪質なウェブ攻撃からの継続的な保護を提供する。
･２ファクタ認証、ワンタイムパスワード、クライアント証明書認証など、強力な認証や積層された
認証をオフロードされたウェブアプリケーションに追加する。
･グローバルなグループまたはユーザをベースにしたアクセスポリシーを使って、オフロードされた
ウェブアプリケーションへのアクセスをきめ細かに制御する。
･ＨＴＴＰ／ＨＴＴＰＳブックマークで現在サポートされていないウェブアプリケーションをサポートする。
アプリケーションオフロードではＵＲＬ書き換えが必要ないので、スループットに悪影響を与えずに
完全なアプリケーション機能を提供できる。
備考
アプリケーションが絶対ＵＲＬを使って同じホスト内のリソースを参照していると、アプリケーション
オフロード機能は正常に働きません。その場合、絶対ＵＲＬ参照を相対参照形式に変換する必要
があるかもしれません。
備考
ＮＴＬＭ（マイクロソフトＮＴＬａｎＭａｎａｇｅｒ）認証と、ダイジェスト認証スキーマはＨＴＴＰ（Ｓ）ブッ
クマークおよびアプリケーションオフロードではサポートされません。
特定のバックエンドウェブアプリケーションの設定についての詳細情報は、 www.sonicwall.com の
Support にある『SonicWALL SSL VPN Application Offloading and HTTP(S) Bookmarks』機能モジュー
ル内で参照可能です。
ＨＴＴＰ／ＨＴＴＰＳアプリケーションオフロードポータルの設定
ウェブアプリケーションをオフロードして、そのためのポータルを作成するには、以下の手順に従いま
す。
手順 1
「ポータル＞ポータル」にナビゲートし、「ウェブアプリケーションのオフロード」ボタンを選択します。
「ポータルの追加」画面が表示されます。この画面には、アプリケーションオフロード設定用の「オフ
ロード」タブが含まれています。
SonicWALL SRA 5.5 管理者ガイド
149
手順 2
「一般」タブの「ポータル名」フィールドに、わかりやすい名前を入力します。このタブに含まれている
フィールドの設定の詳細については、「一般ポータル設定の設定」セクション（139 ページ）を参照して
ください。
手順 3
「オフロード」タブで、オフロードされたアプリケーションサーバ間で負荷分散するための「負荷分散を有
効にする」チェックボックスを選択します。
手順 4
「仕組み」ドロップダウンリストから次のいずれかを選択します。
･ウェブ（ＨＴＴＰ）－ＨＴＴＰを使ってウェブアプリケーションにアクセスします。
･セキュアウェブ（ＨＴＴＰＳ）－ＨＴＴＰＳを使ってウェブアプリケーションにアクセスします。
･一般 (SSL オフローダ ) - ＳＳＬオフローだを使って個別のＳＳＬアプリケーション（非ＨＴＴＰ（Ｓ）
アプリケーション）にアクセスします。
手順 5
「アプリケーションサーバホスト」フィールドに、バックエンドホストのホスト名またはプライベートＩＰアドレ
スを入力します。
手順 6
「アプリケーションサーバＩＰｖ６アドレス」フィールドに、バックエンドホストのＩＰｖ６アドレスを入力します
（オプション）。
手順 7
「ポート番号（オプション）」フィールドに、アプリケーションへのアクセスに使用する個別ポート番号を入力
します（オプション）。
手順 8
「ホームページＵＲＬ（オプション）」フィールドに、ユーザがこのアプリケーションオフロードポータルに最
初にアクセスを試みたときに、ユーザがログイン後に転送されるウェブサーバ上の特定のリソースの
ＵＲＬを入力します（オプション）。これは次の形式の文字列です。
／ｅｘｃｈ／ｔｅｓｔ．ｃｇｉ？ｋｅｙ１＝ｖａｌｕｅ１＆ｋｅｙ２＝ｖａｌｕｅ２
このフィールドが設定されていると、ユーザがこのポータルに最初にアクセスしたときに、ユーザをウェ
ブサイトのホームページにリダイレクトします。これは、ユーザがＵＲＬパス無しでサイトにアクセスし
たとき（例えば https://www/google.com/ のようなルートフォルダにアクセスしたとき）のみ動作しま
す。これはルートフォルダに対するエリアスではありません。ユーザはＵＲＬを編集してルートフォル
ダに戻ることができます。
このＫｅｙ＝値の組により、ＵＲＬ内のＵＲＬクエリパラメータを指定できます。ルートフォルダから
ホームページＵＲＬへの既定のリダイレクトを持たない、どのようなウェブサイトに対しても、これらを
使用できます。ＯｕｔｌｏｏｋＷｅｂＡｃｃｅｓｓは一つの例ですが、ほとんどの公開サイトに既定のリダイレク
トがあります。
手順 9 このアプリケーションサーバをＨＴＭＬ、Ｊａｖａｓｃｒｉｐｔ、またはＣＳＳコンテンツ内で参照する絶対ＵＲＬを書
き換える場合は「自己参照ＵＲＬのＵＲＬ書き換えを有効にする」チェックボックスをオンにします。
手順 10 認証、アクセスポリシー、ＣＳＲＦ保護のいずれも強制する必要がなければ、「セキュリティ設定」の下に
ある「認証制御とアクセスポリシーを無効にする」チェックボックスをオンにします。これは公開ホスト
のウェブサイトに便利です。
手順 11 シングルサインオンを設定するには、「自動的にログインする」チェックボックスをオンにします。
手順 12 自動ログインに対して、次のラジオボタンのいずれかを選択します。
･ＳＳＬＶＰＮアカウント認証情報を使用する－ＳＲＡ装置上で設定された認証情報による、オフロー
ドされたアプリケーションへのログインを許可します。
150
SonicWALL SRA 5.5 管理者ガイド
･個別認証情報を使用する－「ユーザ名」、「パスワード」、「ドメイン」の各フィールドを表示しま
す。これらのフィールドにアプリケーションの個別認証情報を入力するか、以下の動的な変数を使
用できます。
手順 13
認証情報
変数
使用例
ログイン名
％ＵＳＥＲＮＡＭＥ％
ＵＳ￥％ＵＳＥＲＮＡＭＥ％
ドメイン名
％ＵＳＥＲＤＯＭＡＩＮ％
％ＵＳＥＲＤＯＭＡＩＮ％￥％ＵＳＥＲＮＡＭＥ％
グループ名
％ＵＳＥＲＧＲＯＵＰ％
％ＵＳＥＲＧＲＯＵＰ％￥％ＵＳＥＲＮＡＭＥ％
パスワード
％ＰＡＳＳＷＯＲＤ％
％ＰＡＳＳＷＯＲＤ％または空白フィールド
「自動的にログインする」を選択している場合は、「フォームベースの認証」チェックボックスをオンにして
シングルサインオンをフォームベース認証用に設定します。
･「ユーザフォームフィールド」は、ログインフォームでユーザ名を表すＨＴＭＬ要素の ‘ｎａｍｅ’
または ‘ｉｄ’ 属性と同じになるように設定します。例えば、次のようにします。
<ｉｎｐｕｔｔｙｐｅ＝ｔｅｘｔｎａｍｅ＝’ ｕｓｅｒｉｄ’ >
･「パスワードフォームフィールド」は、ログインフォームでパスワードを表すＨＴＭＬ要素の
‘ｎａｍｅ’ および ‘ｉｄ’ 属性と同じになるように設定します。例えば、次のようにします。
<ｉｎｐｕｔｔｙｐｅ＝ｐａｓｓｗｏｒｄｎａｍｅ＝’ ＰＡＳＳＷＯＲＤ’ ｉｄ＝’ ＰＡＳＳＷＯＲＤ’ ｍａｘｌｅｎｇｔｈ＝
１２８>
手順 14
「仮想ホスト」タブの「仮想ホストドメイン名」フィールドでアプリケーションのホスト名を設定し、「仮想ホ
ストエイリアス」フィールドにオプションでわかりやすいエイリアスを入力します。
このホストに証明書を関連付ける必要がある場合は、さらに仮想インターフェースを設定し、該当する
ＳＳＬ証明書をインポートしてください。ＳＲＡ装置のすべての仮想ホストに使用できるワイルドカードの
証明書をインポートすれば、仮想インターフェースを作成せずに済みます。
このタブに含まれているフィールドの設定の詳細については、「仮想ホストの設定」セクション（145
ページ）を参照してください。
手順 15 このポータルで認証が無効の場合、このアプリケーションオフロードポータルで「ＨＴＴＰアクセスを有効に
する」オプションが利用できます。を選択します。この機能は試験用環境内でのオフロード設定に有用
です。
SonicWALL SRA 5.5 管理者ガイド
151
手順 16
「適用」を選択します。これで「ポータル＞ポータル」ページに戻ります。ウェブアプリケーションが
「説明」の下に「オフロードされたウェブアプリケーション」として表示されるのが確認できます。
手順 17 認証を無効にしていなければ、「ポータル＞ドメイン」ページにナビゲートし、このポータルのドメインを作
成します。ドメインの作成については、「ポータル＞ドメイン」セクション（155 ページ）を参照してくだ
さい。
手順 18 この仮想ホストのドメイン名とエイリアス（もしあれば）に関してＤＮＳサーバを更新します。
一般ＳＳＬオフローダの設定
ＳＳＬオフローダポータルは、ＳＳＬ要求に依存しないプロトコルをサポートしてバックエンドサーバに
要求を転送する、アプリケーションオフローダ機能を拡張します。この機能はセキュリティのために
ＳＳＬを使用する顧客のクライアント／サーバアプリケーションに必要です。
” 一般（ＳＳＬオフローダ） ” スキームは、例えば非ＨＴＴＰ（Ｓ）のような、カスタムＳＳＬアプリ
ケーションに対するＳＳＬオフローダが必要な配備を意図しています。このオフロード方式の使用には、
負荷分散、ウェブアプリケーションファイアウォール、ＵＲＬ書き換え、認証制御、そしてアクセスポ
リシーなどのレイヤ７制御は適用されません。
備考
152
この機能はＳｏｎｉｃＷＡＬＬＳＲＡ４２００のみで利用できます。
SonicWALL SRA 5.5 管理者ガイド
手順 1
「ポータル＞ポータル」ページにナビゲートし、「ウェブアプリケーションのオフロード」ボタンを選択しま
す。ポータルの追加画面が開きます。この画面には、アプリケーションオフロードの設定のためだけに
使われる、「オフロード」タブがあります。
手順 2
「オフロード」タブで、「仕組み」として、一般（ＳＳＬオフローダ）を選択します。
手順 3
「ローカルＩＰアドレス」フィールドに、着信ＳＳＬ要求を待ち受ける、ポータルのＩＰアドレスを入力し
手順 4
「ローカルポート」フィールドに、着信ＳＳＬ要求を待ち受けるポートを入力します。多くの場合は４４３を
セットします。
手順 5
「アプリケーションサーバＩＰアドレス」フィールドに、ＳＳＬのオフロードされた要求のプロキシ先のバックエ
ンドサーバのＩＰアドレスを入力します。
手順 6
「アプリケーションサーバポート」フィールドに、ＳＳＬのオフロードされた要求のプロキシ先のバックエンド
サーバのポートを入力します。内部ＨＴＴＰ通信に対しては、多くの場合は８０をセットします。
手順 7 バックエンドアプリケーションサーバへ向けたすべてのトラフィックのＳＳＬカプセリングを有効にするには、
「バックエンド接続でＳＳＬを有効にする」チェックボックスを選択します。
手順 8 ポータルへのＳＳＬ接続のために使う「ＳＳＬ証明書」を選択します。この証明書のリストは、「システム＞
証明書」ページのサーバ証明書のリストが反映されています。
手順 9
備考
手順 10
「一般」タブで、このポータルを説明する名前を、「ポータル名」に入力します。
一般（ＳＳＬオフローダ）スキームの使用時には、仮想ホストやロゴといったその他のポータルオ
プションは利用できません。
「適用」ボタンを選択して、このポータルを追加します。
SonicWALL SRA 5.5 管理者ガイド
153
完了すると、ＳＳＬオフローダポータルは、「ポータル＞ポータル」ページのポータルのリストに表示
されます。仮想ホスト設定の列には、ローカルＩＰ：ポート --> アプリケーションサーバＩＰ：ポートが
表示され、「バックエンド接続でＳＳＬを有効にする」が有効の場合には（ＳＳＬ）も表示されます。
一般ＳＳＬオフローダの確認と注意点
ＳＳＬオフローダポータルの活動を確認するには、バックエンドウェブサーバに向けて、＜ローカル
ＩＰ：ポート＞の形式を使って、現在のインターネットブラウザを使ってＳＳＬオフロードされたサイトを
見ます。
一般（ＳＳＬオフローダ）スキームは、ＨＴＴＰ／ＨＴＴＰＳを意味せず、そのような配備に使用するべ
きではありません。レイヤ７分析が無いため、安全でないＨＴＴＰ３０Ｘリダイレクトのような問題が発
生する可能性があるために推奨されません。
admin_portalDomains
154
SonicWALL SRA 5.5 管理者ガイド
ポータル＞ドメイン
このセクションでは、「ポータル＞ドメイン」ページの概要と、このページで実行できる設定タスクにつ
いて説明します。
･「「ポータル＞ドメイン」の概要」セクション（155 ページ）
･「ドメインテーブルの参照」セクション（156 ページ）
･「ドメインの削除」セクション（156 ページ）
･「ドメインの追加と編集」セクション（156 ページ）
･「ローカルユーザ認証を使用するドメインの追加と編集」セクション（157 ページ）
･「アクティブディレクトリ認証を使用するドメインの追加と編集」セクション（159 ページ）
･「ＬＤＡＰ認証を使用するドメインの追加と編集」セクション（161 ページ）
･「ＮＴドメイン認証を使用するドメインの追加と編集」セクション（164 ページ）
･「ＲＡＤＩＵＳ認証を使用するドメインの追加と編集」セクション（166 ページ）
･「２ファクタ認証の設定」セクション（168 ページ）
「ポータル＞ドメイン」の概要
「ポータル＞ドメイン」ページでは、以下の設定を含み、ドメインの追加および設定ができます。
･認証種別 ( ローカルユーザデータベース、アクティブディレクトリ、ＬＤＡＰ、ＮＴドメイン、または
ＲＡＤＩＵＳ)
･ドメイン名
･ポータル名
･グループ ( アクティブディレクトリ、ＲＡＤＩＵＳ) または組織単位 (ＬＤＡＰ) のサポート ( オプション )
･クライアントデジタル証明書の要求 ( オプション )
･ワンタイムパスワード ( オプション )
図2
「ポータル＞ドメイン」ページ
SonicWALL SRA 5.5 管理者ガイド
155
ドメインテーブルの参照
設定されたすべてのドメインは、「ポータル＞ドメイン」ウィンドウ内のテーブルにリストされます。ドメ
インは、作成された順番でリストされます。「ドメイン名」列ヘッダの隣の上／下の矢印を選択すること
により、順番を逆にできます。
ドメインの削除
ドメインを削除するには、以下の手順に従います。
手順 1
「ポータル＞ドメイン」にナビゲートします。
手順 2 テーブル内で、削除したいドメインと同じ行の削除アイコンを選択します。
手順 3 確認のダイアログボックスで、「ＯＫ」を選択します。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置が更新されると、削除されたドメインはこのテーブルに表示されなくなります。
備考
既定の「ＬｏｃａｌＤｏｍａｉｎ」ドメインは削除できません。
admin_addDomain
admin_editDomain
ドメインの追加と編集
「ポータル＞ドメイン」ページから、新しいドメインの追加と既存のドメインの編集ができます。ドメイン
を追加するには、「ドメインの追加」ボタンを選択してドメインの追加ウィンドウを表示します。
既存のドメインを編集するには、編集したいドメインの右側の「設定」アイコンを選択します。
156
SonicWALL SRA 5.5 管理者ガイド
インターフェースには、ドメインの追加と編集の両方で、同じフィールドがありますが、既存のドメイン
の編集時には、「認証種別」と「ドメイン名」フィールドは変更できません。
備考
新しいポータルドメインを追加した後で、そのドメインのグループ設定を「ユーザ＞ローカルグ
ループ」ページで設定します。グループを設定する手順については、「ユーザ＞ローカルグルー
プ」セクション（304 ページ）を参照してください。
アクセスポリシーを作成するには、まず認証ドメインを作成しなければなりません。既定で、
ＬｏｃａｌＤｏｍａｉｎ認証ドメインがすでに定義されています。ＬｏｃａｌＤｏｍａｉｎドメインは内部ユーザデータ
ベースです。リモート認証サーバに対する認証を要求する追加ドメインを作成することもできます。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、内部ユーザデータベース認証のほかに、ＲＡＤＩＵＳ、ＬＤＡＰ、ＮＴドメ
イン、およびアクティブディレクトリの認証をサポートしています。
備考
ドメインにポータルを適用するには、新しいドメインを追加し、「ドメインの追加」ウィンドウの「ポー
タル名」ドロップダウンリストからポータルを選択します。選択したポータルは、新しいドメインのす
べてのユーザに適用されます。ドメインの選択は、選択したポータルのログインページにのみ表示
されます。ログイン時に、ドメインは大文字と小文字を区別します。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に保管されているユーザ名とパスワードを使ってユーザを認証する複数のドメ
インを作成することができます。こうすることで、ユーザごとに異なるポータル（ＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮポータルページなど）を表示できます。
SRA 装置の管理者アカウントの都合の良い設定のために、ドメインにログインしたすべてのユーザに
管理者アクセスを提供するドメインを作成できます。この種のドメインに対しては LDAP またはアクティブ
ディレクトリ認証のどちらかを使います。
ローカルユーザ認証を使用するドメインの追加と編集
ローカルデータベース認証用のドメインを追加または編集するには、以下の手順に従います。
SonicWALL SRA 5.5 管理者ガイド
157
手順 1
「ポータル＞ドメイン」ウィンドウにナビゲートし、「ドメインの追加」ボタンを選択、または編集するドメイ
ンの編集アイコンを選択します。「ドメインの追加」または、「ドメインの編集」ウィンドウが表示され
ます。
手順 2 ドメインを追加する場合は、「認証種別」ドロップダウンリストから「ローカルユーザデータベース」を選
択します。
手順 3 ドメインを追加する場合は、「ドメイン名」フィールドに認証ドメインの説明的な名前を入力します。これは、
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮポータルにログインするためにユーザが選択するドメイン名です。
手順 4
「ポータル名」フィールドでレイアウトの名前を選択します。他のレイアウトを「ポータル＞ポータル」
ページで追加定義することもできます。
手順 5 必要に応じて、「パスワード変更を許可する」チェックボックスをオンにします。これにより、ユーザはアカ
ウントを設定した後でパスワードを任意に変更できます。
手順 6 オプションで「クライアント証明書の強制を有効にする」チェックボックスをオンにして、ログインに際してクラ
イアント証明書を要求するようにします。このチェックボックスをオンにすることによって、強力な相互認
証のためにクライアント証明書を提示することをクライアントに要求します。さらに次の２つのフィールド
が表示されます。
･ユーザ名がクライアント証明書の一般名（ＣＮ）と一致していることを確認する－ユーザのアカウ
ント名がクライアント証明書と一致することを要件とする場合は、このチェックボックスをオンにしま
す。
･サブジェクト内の部分ＤＮを確認する－次の変数を使ってクライアント証明書と一致する部分ＤＮ
を設定します。
- ユーザ名：％ＵＳＥＲＮＡＭＥ％
- ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
- アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
- ワイルドカード：％ＷＩＬＤＣＡＲＤ％
手順 7 ワンタイムパスワード機能を有効にするには、「ワンタイムパスワード」チェックボックスをオンにします。
表示されるドロップダウンリストから「設定する場合」、「全てのユーザに必要」、または「ドメイン名を
使用」を選択できます。これらは次のように定義されています。
･設定する場合－ワンタイムパスワード電子メールアドレスが設定されているユーザだけがワンタイ
ムパスワード機能を使用します。
･全てのユーザに必要－すべてのユーザがワンタイムパスワード機能を使わなければなりません。
ワンタイムパスワード電子メールアドレスが設定されていないユーザはログインを許可されません。
･ドメイン名を使用－ドメインに所属するユーザはワンタイムパスワード機能を使用します。ドメイン
内のすべてのユーザのワンタイムパスワード電子メールがｕｓｅｒｎａｍｅ＠ｄｏｍａｉｎ.ｃｏｍに送信さ
れます。
手順 8
158
「ドメイン名を使用」を選択すると、ドロップダウンリストの下に「電子メールドメイン」フィールドが表示さ
れます。ワンタイムパスワードの電子メールを送信するドメイン名（たとえばａｂｃ.ｃｏｍ）を入力しま
す。
SonicWALL SRA 5.5 管理者ガイド
手順 9
「適用」を選択して設定を更新します。ドメインが追加されると、「ポータル＞ドメイン」ページのテーブル
にそのドメインが追加されます。
アクティブディレクトリ認証を使用するドメインの追加と編集
ウィンドウズアクティブディレクトリ認証を設定するには、以下の手順に従います。
手順 1
備考
「ドメインの追加」ボタンを選択、または編集するドメインの編集アイコンを選択します。
または、「ドメインの編集」ウィンドウが表示されます。
「ドメインの追加」
あらゆる認証方法の中でも、アクティブディレクトリ認証が、クロックスキュー、つまり
ＳｏｎｉｃＷＡＬＬＳＲＡ装置とアクティブディレクトリサーバとの時間のずれに最も敏感です。アクティ
ブディレクトリを使って認証できない場合は、「アクティブディレクトリのトラブルシューティング」セク
ション（161 ページ）を参照してください。
手順 2 ドメインを追加する場合は、「認証種別」ドロップダウンリストから「アクティブディレクトリ」を選択します。
アクティブディレクトリ設定フィールドが表示されます。
手順 3 ドメインを追加する場合は、「ドメイン名」フィールドに認証ドメインの説明的な名前を入力します。これは、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置ポータルにログインするためにユーザが選択するドメイン名です。これは、
ネットワーク設定に応じて、「サーバアドレス」フィールドまたは「アクティブディレクトリドメイン」
フィールドと同じ値でも構いません。
手順 4
「アクティブディレクトリドメイン」フィールドにアクティブディレクトリドメイン名を入力します。
手順 5
「サーバアドレス」フィールドにアクティブディレクトリサーバのＩＰアドレスまたはホストとドメイン名を入力
します。
手順 6
「ポータル名」フィールドにレイアウトの名前を入力します。他のレイアウトを「ポータル＞ポータル」
ページで追加定義することもできます。
手順 7 必要に応じて、「パスワード変更を許可する」チェックボックスをオンにします。この機能を有効にすると、
ユーザが「仮想オフィス」ポータルの上部にある「オプション」ボタンを選択することで自らのパスワー
ドを変更できるようになります。ユーザは新しいパスワードと共に古いパスワードを入力し、新しく選択
したパスワードの再確認を行う必要があります。
手順 8 必要に応じて、「ＳＳＬ／ＴＬＳを使用する」チェックボックスをオンにします。このオプションを選択すると、
アクティブディレクトリのパスワード交換で必要なＳＳＬ／ＴＬＳ暗号化を使用できます。このチェック
ボックスは、アクティブディレクトリ認証を使用したドメインの設定時に有効にする必要があります。
SonicWALL SRA 5.5 管理者ガイド
159
手順 9 オプションで「クライアント証明書の強制を有効にする」チェックボックスをオンにして、ログインに際してクラ
イアント証明書を要求するようにします。このチェックボックスをオンにすることによって、強力な相互認
証のためにクライアント証明書を提示することをクライアントに要求します。さらに次の２つのフィールド
が表示されます。
･ユーザ名がクライアント証明書の一般名（ＣＮ）と一致していることを確認する－ユーザのアカウ
ント名がクライアント証明書と一致することを要件とする場合は、このチェックボックスをオンにしま
す。
･サブジェクト内の部分ＤＮを確認する－次の変数を使ってクライアント証明書と一致する部分ＤＮ
を設定します。
- ユーザ名：％ＵＳＥＲＮＡＭＥ％
- ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
- アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
- ワイルドカード：％ＷＩＬＤＣＡＲＤ％
手順 10
「ログアウト時に外部ユーザアカウントを削除する」チェックボックスをオンにして、ログアウト後にドメイン
アカウントにログインしていないユーザを削除するようにします。
手順 11
「ログイン時にグループを自動的に割り当てる」チェックボックスをオンにして、ユーザをログイン時にグ
ループに割り当てるようにします。
アクティブディレクトリドメインにログインするユーザは、リアルタイムでＳＳＬＶＰＮグループに彼らの
外部ＡＤグループメンバーシップに基づいて自動的に割り当てられます。ユーザの外部グループメン
バーシップが変更された場合は、彼らのＳＳＬＶＰＮグループメンバーシップは外部グループメンバー
シップに一致するように自動的に変更されます。
手順 12 ワンタイムパスワード機能を有効にするには、「ワンタイムパスワード」チェックボックスをオンにします。
表示されるドロップダウンリストから「設定する場合」、「全てのユーザに必要」、または「ドメイン名を
使用」を選択できます。これらは次のように定義されています。
･設定する場合－ワンタイムパスワード電子メールアドレスが設定されているユーザだけがワンタイ
ムパスワード機能を使用します。
･全てのユーザに必要－すべてのユーザがワンタイムパスワード機能を使わなければなりません。
ワンタイムパスワード電子メールアドレスが設定されていないユーザはログインを許可されません。
･ドメイン名を使用－ドメインに所属するユーザはワンタイムパスワード機能を使用します。ドメイン
内のすべてのユーザのワンタイムパスワード電子メールがｕｓｅｒｎａｍｅ＠ｄｏｍａｉｎ.ｃｏｍに送信さ
れます。
手順 13
「ワンタイムパスワード」ドロップダウンリストで「設定する場合」または「全てのユーザに必要」を選択
した場合は、アクティブディレクトリの「ＡＤ電子メール属性」ドロップダウンリストが表示され、そこ
で「ｍａｉｌ」、「ｍｏｂｉｌｅ」、「ｐａｇｅｒ」、「ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ」、または「個別」を選択できます。こ
れらの意味は次のとおりです。
･ｍａｉｌ－ＡＤサーバがｍａｉｌ属性を使って電子メールアドレスを保存するように設定されている場合
は、「ｍａｉｌ」を選択します。
･ｍｏｂｉｌｅまたはｐａｇｅｒ－ＡＤサーバがｍｏｂｉｌｅ属性またはｐａｇｅｒ属性を使ってそれらの番号を保
存するように設定されている場合は、それぞれ「ｍｏｂｉｌｅ」、「ｐａｇｅｒ」を選択します。処理されて
いない番号は使えませんが、ＳＭＳアドレスは使えます。
･ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ－ＡＤサーバがｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ属性を使って電子メールアドレスを
保存するように設定されている場合は、「ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ」を選択します。
･個別－ＡＤサーバが個別属性を使って電子メールアドレスを保存するように設定されている場合
は、「個別」を選択します。ユーザに指定された属性が見つからない場合は、個別のユーザポリ
シーの設定で割り当てられた電子メールアドレスが使われます。「個別」を選択すると、「個別属
性」フィールドが表示されます。ＡＤサーバで電子メールアドレスの保存に使用される個別属性を
入力します。ユーザに指定された属性が見つからない場合は、個別のポリシーの設定で割り当て
られた電子メールアドレスが使われます。
160
SonicWALL SRA 5.5 管理者ガイド
「ドメイン名を使用」を選択すると、ドロップダウンリストの下に「電子メールドメイン」フィールドが表
示されます。ワンタイムパスワードの電子メールを送信するドメイン名（たとえばａｂｃ.ｃｏｍ）を入力し
ます。
手順 14
「ユーザ種別」ドロップダウンリストからユーザの種別を選択します。このドメインを通してログインするす
べてのユーザは、このユーザ種別として扱われます。選択肢は既に定義されたユーザ種別に依存しま
す。いくつかの利用可能な選択肢は、以下の通りです。
･外部ユーザ - このドメインにログインするユーザは、管理権限の無い一般ユーザとして扱われま
す。
･外部管理者 - このドメインにログインするユーザは、ローカルＳＳＬＶＰＮ管理資格のある管理者と
して扱われます。これらのユーザには、管理者ログインページが表示されます。
このオプションによりＳＳＬＶＰＮ管理者は、ドメインにログインするすべてのユーザにＳＳＬＶＰＮ
管理権限を許可するドメインを設定することが可能です。
ＳｏｎｉｃＷＡＬＬは、正しいグループ内のユーザにのみ管理アクセスを許可するフィルタを追加するこ
とを推奨します。これは、「ユーザ＞ローカルグループ」ページ上でドメインを編集することで可能
です。
･読み込み専用管理者 - このドメインにログインするユーザは、読み込み専用管理者として扱われ、
すべての情報と設定を参照できますが、設定の変更は一切適用できません。これらのユーザに
は、管理者ログインページが表示されます。
手順 15
「適用」を選択して設定を更新します。ドメインが追加されると、「ポータル＞ドメイン」ページのテーブ
ルにそのドメインが追加されます。
アクティブディレクトリのトラブルシューティング
アクティブディレクトリを使って接続できない場合は、以下の設定を確認してください。
･アクティブディレクトリサーバの時間設定とＳｏｎｉｃＷＡＬＬＳＲＡ装置の時間設定は同期していなけ
ればなりません。アクティブディレクトリがクライアントを認証する場合に使うＫｅｒｂｅｒｏｓ認証では、
ウィンドウズサーバとクライアント（ＳｏｎｉｃＷＡＬＬＳＲＡ装置）との時間のずれが最大１５分まで
認められています。この問題を解決する一番簡単な方法は、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブ
ベース管理インターフェースの「システム＞時間」ページでネットワークタイムプロトコルを設定
し、さらにアクティブディレクトリサーバの時間設定が正しいかどうかを確認することです。
･ウィンドウズサーバがアクティブディレクトリ認証に対応していることを確認します。ウィンドウズ
ＮＴ４.０サーバを使っている場合は、ＮＴドメイン認証しかサポートされていません。一般に、ウィ
ンドウズ２０００サーバとウィンドウズ２００３サーバは、従来のウィンドウズクライアントをサポート
するためにＮＴドメイン認証にも対応しています。
ＬＤＡＰ認証を使用するドメインの追加と編集
ＬＤＡＰ認証を使用するドメインを設定するには、以下の手順に従います。
手順 1
「ドメインの追加」ボタンを選択、または編集するドメインの編集アイコンを選択します。
または、「ドメインの編集」ウィンドウが表示されます。
「ドメインの追加」
SonicWALL SRA 5.5 管理者ガイド
161
手順 2 ドメインを追加する場合は、「認証種別」メニューから「ＬＤＡＰ」を選択します。ＬＤＡＰドメイン設定フィー
ルドが表示されます。
手順 3 ドメインを追加する場合は、「ドメイン名」フィールドに認証ドメインの説明的な名前を入力します。これは、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置ユーザポータルにログインするためにユーザが選択するドメイン名です。
「サーバアドレス」フィールドと同じ値でも構いません。
手順 4
「サーバアドレス」フィールドにサーバのＩＰアドレスまたはドメイン名を入力します。
手順 5
「ＬＤＡＰＢａｓｅＤＮ」フィールドにＬＤＡＰ問い合わせの検索ベースを入力します。検索ベースの文字列とし
ては、例えばＣＮ＝Ｕｓｅｒｓ，ＤＣ＝ｙｏｕｒｄｏｍａｉｎ，ＤＣ＝ｃｏｍなどがあります。
ヒント単一のドメインに対して複数のＯＵを設定することが可能です。それには、「ＬＤＡＰＢａｓｅＤＮ」
フィールドで各ＯＵを別個の行に入力します。また、ＯＵをこのフィールドに追加すると、そのサ
ブＯＵも自動的に追加されます。
備考
手順 6
「ログインユーザ名」フィールドと「ログインパスワード」フィールドに、格納先となるコンテナの制御を委
譲されたユーザの共通名と、対応するパスワードを入力します。
備考
162
「ＬＤＡＰＢａｓｅＤＮ」フィールドに入力する場合は、引用符（“”）を省いてください。
「ログインユーザ名」と「ログインパスワード」を入力すると、ＳＲＡ装置とＬＤＡＰツリーはこれら
の資格情報でバインドされ、ユーザはｓＡＭＡｃｃｏｕｎｔＮａｍｅを使ってログインできます。
SonicWALL SRA 5.5 管理者ガイド
手順 7
「ポータル名」フィールドにレイアウトの名前を入力します。他のレイアウトを「ポータル＞ポータル」
ページで追加定義することもできます。
手順 8 必要に応じて、「パスワード変更を許可する」チェックボックスをオンにします（ＬＤＡＰサーバ側でパスワー
ドの変更が許可されている場合）。このオプションは (ＬＤＡＰサーバ側で許可されていれば )、ＳＳＬ
ＶＰＮセッション中にユーザがＬＤＡＰパスワードを変更できるようにします。
手順 9 オプションで「ＳＳＬ／ＴＬＳを使用する」チェックボックスを選択します。このオプションは、ＬＤＡＰパス
ワード交換でＳＳＬ／ＴＬＳ暗号化を使うことを許可します。すべてのＬＤＡＰサーバでＳＳＬ／ＴＬＳ
の設定がされているわけではないので、このオプションは既定で無効です。
手順 10 オプションで「クライアント証明書の強制を有効にする」チェックボックスをオンにして、ログインに際してク
ライアント証明書を要求するようにします。このチェックボックスをオンにすることによって、強力な相互
認証のためにクライアント証明書を提示することをクライアントに要求します。さらに次の２つのフィー
ルドが表示されます。
･ユーザ名がクライアント証明書の一般名（ＣＮ）と一致していることを確認する－ユーザのアカウ
ント名がクライアント証明書と一致することを要件とする場合は、このチェックボックスをオンにしま
す。
･サブジェクト内の部分ＤＮを確認する－次の変数を使ってクライアント証明書と一致する部分ＤＮ
を設定します。
- ユーザ名：％ＵＳＥＲＮＡＭＥ％
- ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
- アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
- ワイルドカード：％ＷＩＬＤＣＡＲＤ％
手順 11
「ログイン時にグループを自動的に割り当てる」チェックボックスをオンにして、ユーザをログイン時にグ
ループに割り当てるようにします。
ＬＤＡＰドメインにログインするユーザは、リアルタイムでＳＳＬＶＰＮグループに彼らの外部ＬＤＡＰ属
性に基づいて自動的に割り当てられます。ユーザの外部グループメンバーシップが変更された場合
は、彼らのＳＳＬＶＰＮグループメンバーシップは外部グループメンバーシップに一致するように自動
的に変更されます。
手順 12 ワンタイムパスワード機能を有効にするには、「ワンタイムパスワード」チェックボックスをオンにします。
表示されるドロップダウンリストから「設定する場合」、「全てのユーザに必要」、または「ドメイン名を
使用」を選択できます。これらは次のように定義されています。
･設定する場合－ワンタイムパスワード電子メールアドレスが設定されているユーザだけがワンタイ
ムパスワード機能を使用します。
･全てのユーザに必要－すべてのユーザがワンタイムパスワード機能を使わなければなりません。
ワンタイムパスワード電子メールアドレスが設定されていないユーザはログインを許可されません。
･ドメイン名を使用－ドメインに所属するユーザはワンタイムパスワード機能を使用します。ドメイン
内のすべてのユーザのワンタイムパスワード電子メールがｕｓｅｒｎａｍｅ＠ｄｏｍａｉｎ.ｃｏｍに送信さ
れます。
「ワンタイムパスワード」ドロップダウンリストで「設定する場合」または「全てのユーザに必要」を
選択すると、「ＬＤＡＰ電子メール属性」ドロップダウンリストが表示され、「ｍａｉｌ」、
「ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ」、または「個別」を選択できます。これらは次のように定義されています。
･ｍａｉｌ－ＬＤＡＰサーバが “ｍａｉｌ” 属性を使って電子メールアドレスを保存するように設定されてい
る場合は、「ｍａｉｌ」を選択します。
･モバイルまたはページャ－ＡＤサーバがこれらどちらかの属性を使ってモバイルまたはページャ番
号をストアするように設定されている場合は、それぞれモバイルまたはページャを選択します。素の
ままの番号は使えませんが、ＳＭＳアドレスは使えます。
･ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ－ＬＤＡＰサーバが “ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ” 属性を使って電子メールアド
レスを保存するように設定されている場合は、「ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ」を選択します。
SonicWALL SRA 5.5 管理者ガイド
163
･個別－ＬＤＡＰサーバが個別属性を使って電子メールアドレスを保存するように設定されている場
合は、「個別」を選択します。ユーザに指定された属性が見つからない場合は、個別のユーザ
ポリシーの設定で割り当てられた電子メールアドレスが使われます。「個別」を選択すると、「個
別属性」フィールドが表示されます。ＬＤＡＰサーバで電子メールアドレスの保存に使用される個別
属性を入力します。ユーザに指定された属性が見つからない場合は、個別のポリシーの設定で割
り当てられた電子メールアドレスが使われます。
「ワンタイムパスワード」ドロップダウンリストで「ドメイン名を使用」を選択すると、「ＬＤＡＰ電子メー
ル属性」ドロップダウンリストではなく「電子メールドメイン」フィールドが表示されます。ワンタイム
パスワードの電子メールを送信するドメイン名（たとえばａｂｃ.ｃｏｍ）を入力します。
手順 13
「ユーザ種別」ドロップダウンリストからユーザの種別を選択します。このドメインを通してログインするす
べてのユーザは、このユーザ種別として扱われます。選択肢は既に定義されたユーザ種別に依存しま
す。いくつかの利用可能な選択肢は、以下の通りです。
･外部ユーザ - このドメインにログインするユーザは、管理権限の無い一般ユーザとして扱われま
す。
･外部管理者 - このドメインにログインするユーザは、ローカルＳＳＬＶＰＮ管理資格のある管理者と
して扱われます。これらのユーザには、管理者ログインページが表示されます。
このオプションによりＳＳＬＶＰＮ管理者は、ドメインにログインするすべてのユーザにＳＳＬＶＰＮ
管理権限を許可するドメインを設定することが可能です。
ＳｏｎｉｃＷＡＬＬは、正しいグループ内のユーザにのみ管理アクセスを許可するフィルタを追加するこ
とを推奨します。これは、「ユーザ＞ローカルグループ」ページ上でドメインを編集することで可能
です。
･読み込み専用管理者 - このドメインにログインするユーザは、読み込み専用管理者として扱われ、
すべての情報と設定を参照できますが、設定の変更は一切適用できません。これらのユーザに
は、管理者ログインページが表示されます。
手順 14
「適用」を選択して設定を更新します。ドメインが追加されると、「ポータル＞ドメイン」ページのテーブ
ルにそのドメインが追加されます。
ＮＴドメイン認証を使用するドメインの追加と編集
ＮＴドメイン認証を使用するドメインを設定するには、以下の手順に従います。
手順 1
「ドメインの追加」ボタンを選択、または編集するドメインの編集アイコンを選択します。
または、「ドメインの編集」ウィンドウが表示されます。
「ドメインの追加」
手順 2 ドメインを追加する場合は、「認証種別」メニューから「ＮＴドメイン」を選択します。ＮＴドメイン設定フィー
ルドが表示されます。
164
SonicWALL SRA 5.5 管理者ガイド
手順 3 ドメインを追加する場合は、「ドメイン名」フィールドに認証ドメインの説明的な名前を入力します。これは、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置ポータルに対して認証するときにユーザが選択するドメイン名です。「ＮＴドメ
イン名」と同じ値でも構いません。
手順 4
「ＮＴサーバアドレス」フィールドに、サーバのＩＰアドレスまたはホストとドメイン名を入力します。
手順 5
「ＮＴドメイン名」フィールドにＮＴ認証ドメインを入力します。これは、ネットワーク認証のためにウィンド
ウズ認証サーバで設定されるドメイン名です。
手順 6
「ポータル名」フィールドにレイアウトの名前を入力します。他のレイアウトを「ポータル＞ポータル」
ページで追加定義することもできます。
手順 7 オプションで「クライアント証明書の強制を有効にする」チェックボックスをオンにして、ログインに際してクラ
イアント証明書を要求するようにします。このチェックボックスをオンにすることによって、強力な相互認
証のためにクライアント証明書を提示することをクライアントに要求します。さらに次の２つのフィールド
が表示されます。
･ユーザ名がクライアント証明書の一般名（ＣＮ）と一致していることを確認する－ユーザのアカウ
ント名がクライアント証明書と一致することを要件とする場合は、このチェックボックスをオンにしま
す。
･サブジェクト内の部分ＤＮを確認する－次の変数を使ってクライアント証明書と一致する部分ＤＮ
を設定します。
- ユーザ名：％ＵＳＥＲＮＡＭＥ％
- ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
- アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
- ワイルドカード：％ＷＩＬＤＣＡＲＤ％
手順 8
「ログアウト時に外部ユーザアカウントを削除する」チェックボックスをオンにして、ログアウト後にドメイン
アカウントにログインしていないユーザを削除するようにします。
手順 9
「ログイン時にグループを自動的に割り当てる」チェックボックスをオンにして、ユーザをログイン時にグ
ループに割り当てるようにします。
ＮＴドメインにログインするユーザは、リアルタイムでＳＳＬＶＰＮグループに彼らの外部ＮＴグループ
メンバーシップに基づいて自動的に割り当てられます。ユーザの外部グループメンバーシップが変更さ
れた場合は、彼らのＳＳＬＶＰＮグループメンバーシップは外部グループメンバーシップに一致するよ
うに自動的に変更されます。
手順 10 オプションで「ワンタイムパスワード」チェックボックスをオンにして、ワンタイムパスワード機能を有効に
します。ドロップダウンリストが表示されるので、そこから「設定する場合」、「全てのユーザに必
要」、または「ドメイン名を使用」を選択できます。これらの意味は次のとおりです。
･設定する場合－ワンタイムパスワード電子メールアドレスが設定されているユーザだけがワンタイ
ムパスワード機能を使用します。
･全てのユーザに必要－すべてのユーザがワンタイムパスワード機能を使わなければなりません。
ワンタイムパスワード電子メールアドレスが設定されていないユーザはログインを許可されません。
･ドメイン名を使用－ドメインに所属するユーザがワンタイムパスワード機能を使用します。ドメイン
内のすべてのユーザのワンタイムパスワード電子メールがｕｓｅｒｎａｍｅ＠ｄｏｍａｉｎ.ｃｏｍに送信さ
れます。
手順 11
「ドメイン名を使用」を選択すると、ドロップダウンリストの下に「電子メールドメイン」フィールドが表示
されます。ワンタイムパスワード電子メールの送信先となるドメイン名（例えば、ａｂｃ．ｃｏｍ）を入
力してください。
手順 12
「適用」を選択して設定を更新します。ドメインが追加されると、「ポータル＞ドメイン」ページのテーブ
ルにそのドメインが追加されます。
SonicWALL SRA 5.5 管理者ガイド
165
ＲＡＤＩＵＳ認証を使用するドメインの追加と編集
ＲＡＤＩＵＳ認証を使用するドメインを設定するには、以下の手順に従います。
手順 1
「ポータル＞ドメイン」ページで、「ドメインの追加」ボタンを選択、または編集するドメインの編集アイコ
ンを選択します。「ドメインの追加」または、「ドメインの編集」ウィンドウが表示されます。
手順 2 ドメインを追加する場合は、「認証種別」メニューから「ＲＡＤＩＵＳ」を選択します。
フィールドが表示されます。
「ＲＡＤＩＵＳの設定」
手順 3 ドメインを追加する場合は、「ドメイン名」フィールドに認証ドメインの説明的な名前を入力します。これは、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置ポータルにログインするためにユーザが選択するドメイン名です。
手順 4 ＲＡＤＩＵＳサーバの認証プロトコルを適切に選択します。ＰＡＰ、ＣＨＡＰ、ＭＳＣＨＡＰ、または
ＭＳＣＨＡＰＶ２のいずれかを選択できます。
手順 5
「プライマリＲＡＤＩＵＳサーバ」の「ＲＡＤＩＵＳサーバアドレス」フィールドに、ＲＡＤＩＵＳサーバのＩＰアド
レスまたはドメイン名を入力します。
手順 6
「ＲＡＤＩＵＳサーバポート」フィールドに、ＲＡＤＩＵＳサーバポートを入力します。
手順 7 ＲＡＤＩＵＳ設定で要求される場合は、「秘密パスワード」フィールドに認証の秘密パスワードを入力します。
手順 8 ＲＡＤＩＵＳタイムアウトの数値（秒）を「ＲＡＤＩＵＳタイムアウト（秒）」フィールドに入力します。
手順 9
「最大再試行回数」フィールドに再試行の最大数を入力します。
手順 10
「ＲＡＤＩＵＳバックアップサーバ」の「ＲＡＤＩＵＳサーバアドレス」フィールドに、バックアップＲＡＤＩＵＳ
サーバのＩＰアドレスまたはドメイン名を入力します。
手順 11
「ＲＡＤＩＵＳサーバポート」フィールドに、バックアップＲＡＤＩＵＳサーバポートを入力します。
手順 12 バックアップＲＡＤＩＵＳサーバで要求される場合は、「秘密パスワード」フィールドにバックアップＲＡＤＩＵＳ
サーバの認証の秘密パスワードを入力します。
手順 13 ＲＡＤＩＵＳをグループベースのアクセスに使用する場合は、「ＲＡＤＩＵＳグループにフィルタＩＤを使う」
チェックボックスをオンにします。
166
SonicWALL SRA 5.5 管理者ガイド
手順 14
「ポータル名」ドロップダウンリストでレイアウトの名前を選択します。
手順 15 オプションで「クライアント証明書の強制を有効にする」チェックボックスをオンにして、ログインに際してク
ライアント証明書を要求するようにします。このチェックボックスをオンにすることによって、強力な相互
認証のためにクライアント証明書を提示することをクライアントに要求します。さらに次の２つのフィー
ルドが表示されます。
･ユーザ名がクライアント証明書の一般名（ＣＮ）と一致していることを確認する－ユーザのアカウ
ント名がクライアント証明書と一致することを要件とする場合は、このチェックボックスをオンにしま
す。
･サブジェクト内の部分ＤＮを確認する－次の変数を使ってクライアント証明書と一致する部分ＤＮ
を設定します。
- ユーザ名：％ＵＳＥＲＮＡＭＥ％
- ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
- アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
- ワイルドカード：％ＷＩＬＤＣＡＲＤ％
手順 16
「ログアウト時に外部ユーザアカウントを削除する」チェックボックスをオンにして、ログアウト後にドメイン
アカウントにログインしていないユーザを削除するようにします。
手順 17
「ログイン時にグループを自動的に割り当てる」チェックボックスをオンにして、ユーザをログイン時にグ
ループに割り当てるようにします。
ＲＡＤＩＵＳドメインにログインするユーザは、リアルタイムでＳＳＬＶＰＮグループに彼らの外部
ＲＡＤＩＵＳフィルタＩＤに基づいて自動的に割り当てられます。ユーザの外部グループメンバーシップが
変更された場合は、彼らのＳＳＬＶＰＮグループメンバーシップは外部グループメンバーシップに一致
するように自動的に変更されます。
手順 18 ワンタイムパスワード機能を有効にするには、「ワンタイムパスワード」チェックボックスをオンにします。
表示されるドロップダウンリストから「設定する場合」、「全てのユーザに必要」、または「ドメイン名を
使用」を選択できます。これらは次のように定義されています。
･設定する場合－ワンタイムパスワード電子メールアドレスが設定されているユーザだけがワンタイ
ムパスワード機能を使用します。
･全てのユーザに必要－すべてのユーザがワンタイムパスワード機能を使わなければなりません。
ワンタイムパスワード電子メールアドレスが設定されていないユーザはログインを許可されません。
･ドメイン名を使用－ドメインに所属するユーザはワンタイムパスワード機能を使用します。ドメイン
内のすべてのユーザのワンタイムパスワード電子メールがｕｓｅｒｎａｍｅ＠ｄｏｍａｉｎ.ｃｏｍに送信さ
れます。
手順 19
「ドメイン名を使用」を選択すると、ドロップダウンリストの下に「電子メールドメイン」フィールドが表示
されます。ワンタイムパスワードの電子メールを送信するドメイン名（たとえばａｂｃ.ｃｏｍ）を入力しま
す。
手順 20
「適用」を選択して設定を更新します。ドメインが追加されると、「ポータル＞ドメイン」ページのテーブ
ルにそのドメインが追加されます。
SonicWALL SRA 5.5 管理者ガイド
167
手順 21 追加したＲＡＤＩＵＳドメインの横にある設定アイコンを選択します。
タブが表示されます。
「ドメインの編集」ページの「テスト」
手順 22
「ユーザＩＤ」フィールドにＲＡＤＩＵＳユーザ名を入力し、「パスワード」フィールドにＲＡＤＩＵＳパスワード
を入力します。
手順 23
「テスト」を選択します。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮがＲＡＤＩＵＳサーバに接続します。
手順 24
「サーバが応答しません」というメッセージを受け取った場合は、ユーザＩＤとパスワードをチェックし、
「一般」タブを選択してＲＡＤＩＵＳ設定を確認してください。テストを再度実行します。
備考
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ＰＡＰ認証を使って、指定されたＲＡＤＩＵＳサーバに対する認証を試
みます。通常、ＲＡＤＩＵＳサーバは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置からのＲＡＤＩＵＳクライアント接続
を受け入れるように設定する必要があります。一般に、この接続の発信元はＳｏｎｉｃＷＡＬＬＳＲＡ
のＸ０インターフェースのＩＰアドレスに見えます。設定の手順については、ご使用のＲＡＤＩＵＳ
サーバのマニュアルを参照してください。
２ファクタ認証の設定
２ファクタ認証とは、２つの個別の情報を要求してＩＤと権限を確立する認証方式です。２ファクタ認
証は、１つのファクタ（ユーザのパスワード）だけを要求する従来のパスワード認証より強力で、厳
密です。
２ファクタ認証の仕組みの詳細については、「２ファクタ認証の概要」セクション（44 ページ）を参照し
てください。
ＳｏｎｉｃＷＡＬＬが実装している２ファクタ認証は、２台の別々のＲＡＤＩＵＳ認証サーバを使う、また
は、高度なユーザ認証で業界の先端をいくＲＳＡおよびＶＡＳＣＯと提携ます。ＲＳＡを使用する場合
は、ＲＳＡ認証マネージャトークンとＲＳＡＳｅｃｕｒＩＤトークンが必要です。ＶＡＳＣＯを使用する場合
は、ＶＡＳＣＯＩｄｅｎｔｉＫｅｙとＤｉｇｉｐａｓｓトークンが必要です。
２ファクタ認証を設定するには、最初にＲＡＤＩＵＳドメインを設定する必要があります。詳しくは、
「ＲＡＤＩＵＳ認証を使用するドメインの追加と編集」セクション（166 ページ）を参照してください。
以下のセクションでは、サポートされているサードパーティ認証サーバの設定方法を説明します。
･「ＲＳＡ認証マネージャの設定」（169 ページ）
･「VASCO IdentiKey ソリューションの設定」（173 ページ）
168
SonicWALL SRA 5.5 管理者ガイド
ＲＳＡ認証マネージャの設定
以下のセクションでは、ＲＳＡ認証マネージャバージョン６.１を設定して、ＳｏｎｉｃＷＡＬＬＳＲＡ装置で
２ファクタ認証を実行する手順を説明します。
･「ＳｏｎｉｃＷＡＬＬＳＲＡ装置のエージェントホストレコードを追加する」（169 ページ）
･「ＳｏｎｉｃＷＡＬＬＳＲＡをＲＡＤＩＵＳクライアントとして追加する」（170 ページ）
･「時刻と日付を設定する」（170 ページ）
･「トークンのインポートとユーザの追加」（171 ページ）
備考
この設定手順は、ＲＳＡ認証マネージャバージョン６.１に固有のものです。別のバージョンの
ＲＳＡ認証マネージャを使用している場合は、やや手順が異なります。
ＲＳＡではなくＶＡＳＣＯを使用する場合は、「VASCO IdentiKey ソリューションの設定」（173 ページ）
を参照してください。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のエージェントホストレコードを追加する
ＳＲＡ装置とＲＳＡ認証マネージャの接続を確立するには、エージェントホストレコードをＲＳＡ認証マ
ネージャデータベースに追加する必要があります。レコードは、データベース内でＳＲＡ装置を識別
するための手段であり、通信と暗号に関する情報が含まれます。
ＳＲＡ装置のエージェントホストレコードを作成するには、次の手順に従います。
手順 1 ＲＳＡ認証マネージャを起動します。
手順 2
「エージェントホスト」メニューから「エージェントホストの追加」を選択します。
手順 3 ＳＲＡ装置のホスト名を「名前」フィールドに入力します。
SonicWALL SRA 5.5 管理者ガイド
169
手順 4 ＳＲＡ装置のＩＰアドレスを「ネットワークアドレス」フィールドに入力します。
手順 5
「エージェントタイプ」ウィンドウで「通信サーバ」を選択します。
手順 6 既定で、「オフライン認証を有効にする」オプションと「ウィンドウズパスワード統合を有効にする」オプショ
ンが有効になります。ＳｏｎｉｃＷＡＬＬは、「すべてのローカルの既知ユーザに開く」以外のすべてのオ
プションを無効にすることを推奨します。
手順 7
「ＯＫ」を選択します。
ＳｏｎｉｃＷＡＬＬＳＲＡをＲＡＤＩＵＳクライアントとして追加する
エージェントホストレコードを作成した後で、ＳｏｎｉｃＷＡＬＬＳＲＡをＲＡＤＩＵＳクライアントとしてＲＳＡ
認証マネージャに追加する必要があります。次の手順を実行します。
手順 1 ＲＳＡ認証マネージャで、「ＲＡＤＩＵＳ」メニューから「ＲＡＤＩＵＳサーバの管理」を選択します。ＲＳＡ
ＲＡＤＩＵＳマネージャが表示されます。
手順 2
「ＲＳＡＲＡＤＩＵＳサーバ管理」ツリーを展開し、「ＲＡＤＩＵＳクライアント」を選択します。
手順 3
「追加」を選択します。「ＲＡＤＩＵＳクライアントの追加」ウィンドウが表示されます。
手順 4 ＳＲＡ装置の説明的な名前を入力します。
手順 5 ＳＲＡのＩＰアドレスを「ＩＰアドレス」フィールドに入力します。
手順 6 ＳＲＡで設定した事前共有鍵を「事前共有鍵」フィールドに入力します。
手順 7
「ＯＫ」を選択し、ＲＳＡＲＡＤＩＵＳマネージャを閉じます。
時刻と日付を設定する
２ファクタ認証は時間の同期に基づいて機能するので、ＲＳＡ認証マネージャとＳＲＡ装置の内部ク
ロックを正しく設定する必要があります。
170
SonicWALL SRA 5.5 管理者ガイド
トークンのインポートとユーザの追加
ＳｏｎｉｃＷＡＬＬＳＲＡ装置と通信するための設定をＲＳＡ認証マネージャで行った後で、トークンをイン
ポートし、ユーザをＲＳＡ認証マネージャに追加する必要があります。次の手順を実行します。
手順 1 トークンファイルをインポートするには、「トークン＞トークンのインポート」を選択します。
手順 2 ＲＳＡＳｅｃｕｒＩＤトークンを購入すると、トークンに関する情報が含まれるＸＭＬファイルも提供されます。
トークンＸＭＬファイルにナビゲートし、「開く」を選択します。トークンファイルがインポートされます。
手順 3
「インポートの状況」ウィンドウに、ＲＳＡ認証マネージャにインポートされたトークンの数に関する情報が表
示されます。
SonicWALL SRA 5.5 管理者ガイド
171
手順 4 ＲＳＡ認証マネージャにユーザを作成するには、「ユーザ＞ユーザの追加」を選択します。
手順 5 ユーザのファーストネームとラストネームを入力します。
手順 6 ユーザのユーザ名を「既定のログイン」フィールドに入力します。
手順 7
172
「ＰＩＮの作成を許可する」または「ＰＩＮの作成を要求する」を選択します。「ＰＩＮの作成を許可する」を
選択すると、ユーザはＰＩＮを独自に作成するか、無作為なＰＩＮの生成をシステムに任せるかを選択
できます。「ＰＩＮの作成を要求する」を選択すると、ユーザはＰＩＮの作成を要求されます。
SonicWALL SRA 5.5 管理者ガイド
手順 8 トークンをユーザに割り当てるには、「トークンの割り当て」ボタンを選択します。表示される確認用ウィンド
ウで「はい」を選択します。「トークンの選択」ウィンドウが表示されます。
手順 9 トークンは手動で選択するか、自動的に割り当てることができます。
- ユーザのトークンを手動で選択するには、「リストからトークンを選択する」を選択します。表示
されるウィンドウで、トークンのシリアル番号を選択し、「ＯＫ」を選択します。
- トークンを自動的に割り当てるには、トークンを並べ替えるオプションとしてトークンのインポート
日付、シリアル番号、または失効日を選択できます。その後で「未割り当てトークン」ボタン
を選択すると、ＲＳＡ認証マネージャによってトークンがユーザに割り当てられます。「ＯＫ」を
選択します。
手順 10
「ユーザの編集」ウィンドウの「ＯＫ」を選択します。ユーザがＲＳＡ認証マネージャに追加されます。
手順 11 ユーザにＲＳＡＳｅｃｕｒＩＤＡｕｔｈｅｎｔｉｃａｔｏｒを渡し、ログイン方法、ＰＩＮ作成方法、ＲＳＡＳｅｃｕｒＩＤ
Ａｕｔｈｅｎｔｉｃａｔｏｒの使用方法を伝えます。詳細については、『ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザガイド』
を参照してください。
VASCO IdentiKey ソリューションの設定
VASCO IdentiKey ソリューションは、 SonicWALL SSL VPN 5.0 以上で動作し、 SonicOS 5.0 以上で稼動
している SonicWALL NSA または TZ シリーズが必要です。以下のセクションでは、 VASCO の
IdentiKey バージョン 3.2 を使った 2 ファクタ認証の設定方法を説明します。
･「時刻を設定する」（174 ページ）
･「DNS とデフォルトルートを設定する」（174 ページ）
･「NetExtender クライアントアドレス範囲とルートを設定する」（174 ページ）
･「RADIUS 認証を使うポータルドメインを作成する」（175 ページ）
･「ファイアウォール上でアドレスオブジェクトを作成する」（175 ページ）
･「ファイアウォール上で HTTPS に対する受信許可ルールを作成する」（175 ページ）
･「ファイアウォール上で NAT ポリシーを作成する」（176 ページ）
SonicWALL SRA 5.5 管理者ガイド
173
･「ファイアウォール上で VASCO IdentiKey に対する許可ルールを作成する」（176 ページ）
･「VASCO IdentiKey 上でポリシーを設定する」（176 ページ）
･「SRA をクライアントとして登録する」（177 ページ）
･「VASCO IdentiKey ユーザを設定する」（177 ページ）
･「DIGIPASS をインポートする」（177 ページ）
･「DIGIPASS をユーザに割り当てる」（178 ページ）
･「2 ファクタ認証を検証する」（178 ページ）
備考
この設定手順は、VASCO IdentiKey バージョン 3.2 に特化しています。異なるバージョンの VASCO
IdentiKey を使う場合は、手順は若干異なります。
VASCO の代わりに RSA を使う場合は、「ＲＳＡ認証マネージャの設定」（169 ページ）を参照してくだ
さい。
時刻を設定する
DIGIPASS トークンは時刻同期に基づいています。 2 ファクタ認証は時刻同期に依存しているので、
SonicWALL SRA 装置の内部時計と VASCO IdentiKey の内部時計が正しく設定されていることが重要で
す。
SonicWALL SRA 装置で「システム＞時間」に移動して、正しいタイムゾーンを設定します。
DNS とデフォルトルートを設定する
SonicWALL SRA 装置のデフォルトルートは、 DMZ ゾーンに相当するファイアウォール上のインター
フェースです。このファイアウォール DMZ インターフェースの IP アドレスが、 SRA 装置のデフォルト
ルートとして設定されている必要があります。
DNS とデフォルトルートを設定するには、以下の手順に従います。
手順 1 SonicWALL SRA 管理インターフェース上で、「ネットワーク＞ DNS」に移動して、 DNS 設定および / また
は WINS 設定を構成します。
手順 2
「ネットワーク＞ルート」に移動して、 SRA X0 インターフェースに対して正しい「デフォルトルート」を設
定します。
NetExtender クライアントアドレス範囲とルートを設定する
SonicWALL SRA 装置で NetExtender クライアントアドレス範囲とルートを設定するには、以下の手順
に従います。
手順 1
「NetExtender ＞クライアント設定」に移動して、「NetExtender クライアントアドレス範囲」を設定します。
クライアントアドレスは、 SRA X0 インターフェースと同じサブネット内に割り当てられます。 SonicWALL
SRA X0 インターフェースとファイアウォール DMZ インターフェース IP アドレスは除外します。
手順 2
「NetExtender ＞クライアントルート」に移動します。
「クライアントルートの追加」ボタンを選択して、 SonicWALL SRA 接続を通してプライベートネットワー
クにアクセスする認証されたリモートユーザに対する正しいクライアントルートを選択します。
クライアントルートは SonicWALL NSA または TZ ファイアウォールの X0 (LAN) インターフェースに接続
されたサブネットに対応します。
174
SonicWALL SRA 5.5 管理者ガイド
RADIUS 認証を使うポータルドメインを作成する
SonicWALL SRA 装置上に RADIUS 認証を使うドメインを作成するには、以下の手順に従います。
手順 1
「ポータル＞ドメイン」に移動して、「ドメインの追加」を選択します。
手順 2
「認証種別」ドロップダウンリストから「RADIUS」を選択します。
手順 3 ユーザが SonicWALL SRA 装置のポータルにログインするために使用する「ドメイン名」を入力します。
ファイアウォール上でアドレスオブジェクトを作成する
SonicWALL ファイアウォール上で VASCO IdentiKey および SonicWALL SRA 装置に対応するアドレス
オブジェクトを作成するには、以下の手順に従います。
手順 1
「ネットワーク＞アドレスオブジェクト」に移動して「追加」ボタンを選択します。
手順 2
「アドレスオブジェクトの追加」ウィンドウで、「名前」フィールドに "VASCO IdentiKey" と入力します。
手順 3
「ゾーンの割り当て」に「LAN」を選択します。
手順 4
「タイプ」に「ホスト」を選択します。
手順 5
「IP アドレス」に LAN (X0) サブネット内の未使用 IP アドレスを入力します。
手順 6
「追加」を選択します。
手順 7 SonicWALL SRA に対するアドレスオブジェクトを追加するために、「ネットワーク＞アドレスオブジェクト」
ページで再度「追加」ボタンを選択します。
手順 8
「アドレスオブジェクトの追加」ウィンドウで、「名前」フィールドに SRA 装置の名前を入力します。
手順 9
「ゾーンの割り当て」に「DMZ」を選択します。
手順 10
「タイプ」に「ホスト」を選択します。
手順 11
「IP アドレス」に DMZ サブネット内の未使用 IP アドレスを入力します。
手順 12
「追加」を選択します。
ファイアウォール上で HTTPS に対する受信許可ルールを作成する
SonicWALL ファイアウォールの WAN プライマリ IP アドレスオブジェクト上で HTTPS に対する許可アク
セスルールを作成するには、以下の手順に従います。
手順 1
「ファイアウォール＞アクセスルール」に移動します。
手順 2
「マトリックス」表示で、送信元が「WAN」で、送信先が「DMZ」のアイコンを選択します。
手順 3
「追加」ボタンを選択します。
手順 4
「ルールの追加」ウィンドウの「一般」タブで、「送信元ゾーン」に「WAN」を設定します。
手順 5
「送信先ゾーン」に「DMZ」を設定します。
手順 6
「サービス」に「HTTPS」を設定します。
手順 7
「送信元」に「すべて」を設定します。
手順 8
「送信先」に WAN Interface IP といった、 WAN プライマリ IP アドレスオブジェクトを設定します。
手順 9
「許可するユーザ」に「すべて」を設定します。
手順 10
「スケジュール」に「常に有効」を設定します。
手順 11
「ログを有効にする」チェックボックスを選択します。
手順 12
「断片化パケットを許可する」チェックボックスを選択します。
手順 13
「追加」を選択します。
SonicWALL SRA 5.5 管理者ガイド
175
ファイアウォール上で NAT ポリシーを作成する
SonicWALL ファイアウォール上でファイアウォール WAN IP アドレスを SonicWALL SRA 装置に変換する
NAT ポリシーを作成するには、以下の手順に従います。
手順 1
「ネットワーク＞ NAT ポリシー」に移動して、「追加」を選択します。
手順 2
「NAT ポリシーの追加」ウィンドウの「一般」タブで、「返還前の送信元」に「すべて」を設定します。
手順 3
「変換後の送信元」に「オリジナル」を設定します。
手順 4
「変換前の送信先」に WAN Interface IP といった、 WAN プライマリ IP アドレスオブジェクトを設定します。
手順 5
「変換後の送信先」に SRA 装置のアドレスオブジェクトを設定します。
手順 6
「変換前サービス」に「HTTPS」を設定します。
手順 7
「変換後サービス」に「オリジナル」を設定します。
手順 8
「受信インターフェース」に「X1」を設定します。
手順 9
「発信インターフェース」に「すべて」を設定します。
手順 10
「NAT ポリシーを有効にする」チェックボックスを選択します。
手順 11
「追加」を選択します。
ファイアウォール上で VASCO IdentiKey に対する許可ルールを作成する
VASCO IdentiKey 以外の宛先に対して DMZ から LAN へのアクセスが必要な場合、状況に応じてここ
でそれらを追加します。
VASCO IdentiKey オブジェクト用に DMZ ゾーンから　LAN ゾーンへの許可ルールを作成するには、以
下の手順に従います。
手順 1 SonicOS 管理インターフェースで、「ファイアウォール＞アクセスルール」に移動します。
手順 2
「マトリックス」表示で、送信元が「DMZ」で、送信先が「LAN」のアイコンを選択します。
手順 3
「追加」ボタンを選択します。
手順 4
「ルールの追加」ウィンドウの「一般」タブで、「送信元ゾーン」に「DMZ」を設定します。
手順 5
「送信先ゾーン」に「LAN」を設定します。
手順 6
「サービス」に「すべて」を設定します。
手順 7
「送信元」に「すべて」を設定します。
手順 8
「送信先」に VASCO IdentiKey のアドレスオブジェクトを設定します。
手順 9
「許可するユーザ」に「すべて」を設定します。
手順 10
「スケジュール」に「常に有効」を設定します。
手順 11
「ログを有効にする」チェックボックスを選択します。
手順 12
「断片化パケットを許可する」チェックボックスを選択します。
手順 13
「追加」を選択します。
VASCO IdentiKey 上でポリシーを設定する
VASCO Identikey Web Administration インターフェースで新しいポリシーを追加するには、以下の手順
に従います。
手順 1 Vasco Identikey Web Administration ウィンドウにログインします。
手順 2
「Policies」タブを選択して、「Create」を選択します。
備考
176
既定で利用可能なポリシーがあり、必要に応じて新しいポリシーを作成することもできます。
SonicWALL SRA 5.5 管理者ガイド
手順 3 ポリシー名を入力して、あなたの状況にもっとも適切なオプションを選択します。ポリシーに別のポリシーか
ら設定を引き継ぎたい場合は、引継ぎのオプションを選択します。既存のポリシーを複製したい場合
は、複製のオプションを選択し、また新しいポリシーを作成したい場合は、作成のオプションを選択し
ます。
備考
適切なバックエンドサーバを使うためにポリシープロパティを設定します。これは、 SonicWALL
SRA 装置で先程しようした認証サービスと同じになるでしょう。
SonicWALL ポリシーに対して以下の設定をしようします。
Local Auth
Default (DIGIPASS/Password)
Back-End Auth
Default (None)
Dynamic User Registration
Default (No)
Password Autolearn
Default (No)
Stored Password Proxy
Default (No)
Windows Group Check
Default (No Check)
SRA をクライアントとして登録する
SonicWALL SRA 装置を VASCO クライアントとして登録するには、以下の手順に従います。
手順 1 Vasco Identikey Web Administration ウィンドウで、「Clients」タブを選択して「Register」を選択します。
手順 2
「Client Type」に「RADIUS Client」を選択します。
手順 3 SonicWALL SRA 装置の IP アドレスを入力します。
手順 4
「Policy ID」フィールドで、あなたの新しいポリシーを選択します。
手順 5 SonicWALL SRA 装置上で RADIUS サーバプロパティに対して入力した「Shared Secret」を入力します。
手順 6
「Create」を選択します。
VASCO IdentiKey ユーザを設定する
新しいユーザを作成するには、以下の手順に従います。
手順 1 Vasco Identikey Web Administration ウィンドウで、「Users」タブを選択して「Create」を選択します。
手順 2
「User ID」フィールドを入力します。
手順 3
「Domain」を選択します。
手順 4
「Organization Unit」を選択します。
手順 5
「Create」を選択します。
作成したユーザが、 Vasco Identikey Web Administration 管理インターフェースのユーザリストに表示さ
れます。
DIGIPASS をインポートする
DIGIPASS をインポートするには、以下の手順に従います。
手順 1 Vasco Identikey Web Administration ウィンドウで、「DIGIPASS」タブを選択して「Import」を選択します。
手順 2
「*.DPX」ファイルをブラウズします。
手順 3
「Transport Key」を入力します。
手順 4
「UPLOAD」を選択します。
SonicWALL SRA 5.5 管理者ガイド
177
DIGIPASS が正しくインポートされると、確認のメッセージがポップアップします。
DIGIPASS をユーザに割り当てる
DIGIPASS をユーザに割り当てる方法は 2 通りあります。 DIGIPASS を検索してからそれをユーザに割
り当てるか、ユーザを検索してからそれを DIGIPASS に割り当てます。
手順 1 以下のうち 1 つを実行します。
･「Users」タブでユーザの隣のチェックボックスを選択してから、「Assign DIGIPASS」を選択します。
･「DIGIPASS」タブで DIGIPASS の隣のチェックボックスを選択してから、「NEXT」を選択します。
備考
「User ID」が空欄のままの場合は、「Find」ボタンを選択すると同一ドメイン内の利用可能なすべて
のユーザが表示されます。ユーザが表示されない場合は、 DIGIPASS のドメインとユーザが一致し
ていることを確認します。
ユーザが DIGIPASS に割り当てられると、確認のメッセージがポップアップします。
2 ファクタ認証を検証する
VASCO IdentiKey を用いた 2 ファクタ認証の SRA 接続性を試験するには、以下の手順に従います。
手順 1 PC を SonicWALL ファイアウォールの WAN (X1) インターフェースに、ブラウザで IP アドレスを指定すること
で接続します。
手順 2 管理者として LocalDomain にログインします。
手順 3
「ポータル＞ドメイン」に移動して、 RADIUS から VASCO IdentiKey への接続性を試験するドメインの「設
定」を選択します。
手順 4 RADIUS 認証が成功した場合は、管理者アカウントからログアウトして、 SonicWALL ファイアウォールの
WAN (X1) インターフェースに作成したユーザ名でログインします。
admin_portalCustomLogo
178
SonicWALL SRA 5.5 管理者ガイド
ポータル＞個別ロゴ
ＳＳＬＶＰＮ２.５以降では、ポータルロゴは「ポータル＞個別ロゴ」ページでグローバルに設定され
なくなりました。個別ロゴは、「ポータルロゴ設定」ダイアログの「ロゴ」タブでポータル別にアップ
ロードされます。個別ポータルロゴの詳細については、「個別ポータルロゴの追加」セクション（146
ページ）を参照してください。
admin_lbMain
ポータル＞負荷分散
このセクションでは、「ポータル＞負荷分散」ページの概要と、このページで利用可能な設定タスクの
説明を提供します。
･「ポータル＞負荷分散の概要」セクション（179 ページ）
･「負荷分散グループの設定」セクション（180 ページ）
ポータル＞負荷分散の概要
「ポータル＞負荷分散」ページでは、管理者はバックエンドウェブサーバを負荷分散配備するための
設定ができます。負荷分散機能に対するこの既定の開始ページでは、管理者は負荷分散グループの
設定と、既存の負荷分散グループすべてのプロパティ概要の一覧ができます。
備考
この機能にはまた、「ポータル＞負荷分散」ページで設定される仮想ホストを持つ負荷分散ポータ
ルが必要です。
図3
「ポータル＞負荷分散」ページ
設定シナリオ
ＳＳＬＶＰＮＳＲＡのための負荷分散は、多様な用途を持つ強固な機能で、以下を含みます。
･ウェブサーバファームの分散 - 高パワーのＳＲＡ装置が、防御および比較的低パワーのウェブ
サーバファームの負荷の分散を提供している場合に有用です。この場合、ウェブアプリケーション
ファイアウォール、ＵＲＬ書き換え、およびその他のＣＰＵ負荷の高い作業が、負荷分散装置上
で利用可能です。
SonicWALL SRA 5.5 管理者ガイド
179
･低パワークラスタの分散 - 比較的低パワーのＳＲＡクラスタを、能力拡張のために分散できます。
この場合、ウェブアプリケーションファイアウォール、ＵＲＬ書き換え、およびその他の可変機能
が、低パワーのＳＲＡ装置群で利用可能です。
･負荷分散ペア - このシナリオでは、負荷分散装置はフロントエンドに対して設定されたポータル１
つと、もう１つ仮想バックエンドサーバとして動作するように設定されたアプリケーションオフロード
ポータルを持ちます。この仮想バックエンドサーバおよび２台目のＳＲＡ装置は、負荷分散メンバ
として設定され、またセキュリティサービスの負荷も請け負います。前の２つのシナリオ内の負荷
分散装置は、本質的にはセキュリティサービスの負荷を負わないダミープロキシです。
負荷分散の設定
以下のテーブルは、「ポータル＞負荷分散」の設定オプションの一覧です。追加のグループ毎設定オ
プションは、「負荷分散グループの設定」セクション（180 ページ）で説明します。
オプション
説明
負荷分散を有効にする
現在アクティブなすべてのグループに渡って、負荷分散機能を有効にする。
フェイルオーバーを有効にす
る
すべてのプローブ、監視、およびフェイルオーバー機能を有効／無効にする。
プローブ間隔
負荷分散機能がバックエンドノードの状況を確認する頻度（秒）を決定します。
負荷分散グループの設定
このセクションは、新しい負荷分散グループの作成の設定詳細を提供し、以下のセクションから構成さ
れます。
･「新しい負荷分散グループの追加」セクション（181 ページ）
･「プローブ設定の構成」セクション（182 ページ）
･「負荷分散グループへの新メンバの追加」セクション（182 ページ）
admin_lbGroup
180
SonicWALL SRA 5.5 管理者ガイド
新しい負荷分散グループの追加
手順 1
「ポータル＞負荷分散」ページで、「グループの追加」を選択します。新規負荷分散グループの設定情報
が表示されます。
手順 2 この負荷分散グループに対して、わかりやすい「負荷分散グループ名」を入力します。
手順 3
「負荷分散方式」ドロップダウンリストから、負荷分散方式を選択します。オプションは以下を含みます。
･重み付き要求数 - 着信要求（正しく完了した要求を含む）の数を追跡することで、どのメンバが次
の着信要求を処理するかを決定します。負荷分散率が分配パーセンテージを決定します。
･重み付きトラフィック量 - 着信／発信データのバイト数を追跡することで、どのメンバが次の着信要
求を処理するかを決定します。
･最小要求数 - 現在サービスされている着信要求（正しく完了した要求を除く）の数を追跡すること
で、どのメンバが次の着信要求を処理するかを決定します。
手順 4
「負荷分散を有効にする」を選択して、このグループで負荷分散を有効にします。
手順 5 グループを有効にした際に「セッションの恒久化を有効にする」オプションは、自動的に選択されます。こ
のオプションにより、管理者は同一セッションの ” 要求” 部分を同一バックエンドサーバへ転送するこ
とによる、継続的なユーザセッションを有効にすることができます。
手順 6 プローブ、監視、およびフェイルオーバー機能を有効にするには、「フェイルオーバーを有効にする」を選
択します。
SonicWALL SRA 5.5 管理者ガイド
181
備考
認証されたユーザを保持するために、同じメンバがすべてのクッキーを受け取ることを確実にするこ
とが重要です。しかしながら、特定の状況下でのパフォーマンス向上のためには、すべてのバック
エンドメンバがすべてのユーザのセッションクッキーを受諾できるようにできます。この場合、管理
者はセッション恒久化を止める決定ができます。そうすると負荷分散装置は、負荷を分散するため
の負荷分散方式と負荷分散要因を厳密に固守します。
プローブ設定の構成
この負荷分散グループに対して「ポータル＞負荷分散」画面の「プローブ設定」セクションでプロー
ブ設定を構成するには、以下の手順に従います。
手順 1
「プローブ方式」をドロップダウンリストから選択します。以下のオプションがあります。
･ＨＴＴＰ／ＨＴＴＰＳＧＥＴ - 負荷分散装置は、ＨＴＴＰ応答ステータスコードが５００以上ではないか
どうかを見て、ウェブサーバエラーが無いことを確かにするために、ＨＴＴＰ（Ｓ）ＧＥＴ要求を定
期的に（設定したプローブ間隔に基づいて）送信します。これは、ウェブサーバが活動しているか
どうかを判断する、最も確実な方式です。この方式は、プローブ中のＳＳＬ証明書警告を無視しま
す。
･ＴＣＰＣｏｎｎｅｃｔ - 負荷分散装置は、バックエンドノードの健康状態を監視するために、定期的に
３ウェイＴＣＰハンドシェークを完了します。
･ＩＣＭＰＰｉｎｇ - 負荷分散装置は、バックエンドノードが活動しているかどうかを監視するために、単
純なＩＣＭＰＰｉｎｇ要求を送信します。
手順 2
「メンバを停止するまでの無応答回数」フィールドに、ノードを停止するまでに必要な無応答回数を入力しま
す。既定値は２です。
手順 3
「停止したメンバを再度有効にするまでの応答回数」フィールドに、停止ノードを動作中として復帰させるま
でに必要な成功応答回数を入力します。既定値は２です。
手順 4
「フェイルオーバーするリソースが存在しない場合にエラーページを表示する」テキストボックスに、設定し
たすべてのバックエンドノードが失敗した場合に表示する個別メッセージやウェブページを入力します。
admin_lbGroupMember
負荷分散グループへの新メンバの追加
新しい、または既存の負荷分散グループにメンバを追加するには、以下の手順に従います。
手順 1
「ポータル＞負荷分散」ページからグループの編集や追加を行う場合は、「メンバの追加」を選択します。
負荷分散メンバの追加画面が表示されます。
手順 2 負荷分散グループ内でこのメンバを一意に識別するための「メンバ名」を入力します。
手順 3 グループのページでマウスオーバーすることによりこのグループを判別するための、わかりやすい名前や説
明を「コメント」フィールドに入力します。
182
SonicWALL SRA 5.5 管理者ガイド
手順 4 ＨＴＴＰまたはＨＴＴＰアクセスを決定する「仕組み」を選択します。既定値はＨＴＴＰＳです。
手順 5 バックエンドＨＴＴＰ（Ｓ）サーバのＩＰアドレスを、「ＩＰｖ４／ＩＰｖ６アドレス」フィールドに入力します。
手順 6 バックエンドサーバの「ポート」を入力します。ＨＴＴＰＳ接続の既定値は４４３です。
手順 7
「適用」を選択して、このメンバをグループに追加します。
SonicWALL SRA 5.5 管理者ガイド
183
184
SonicWALL SRA 5.5 管理者ガイド
第5章
第5章
サービスの設定
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベースの管理インターフェースの「サービス」ページ
についての、ＨＴＴＰ／ＨＴＴＰＳ、Ｃｉｔｒｉｘ、ＲＤＰ、ＶＮＣといった多種のアプリケーションレイヤの
サービスに対する設定、ブックマーク、およびポリシーの設定を含む情報と設定タスクを提供します。
この章は以下のセクションを含みます。
･「サービス＞設定」セクション（185 ページ）
･「サービス＞ブックマーク」セクション（188 ページ）
･「サービス＞ポリシー」セクション（194 ページ）
admin_serviceSettings
サービス＞設定
このセクションでは、「サービス＞設定」ページの概要と、このページで利用できる設定タスクについ
て説明します。
･「ＨＴＴＰ／ＨＴＴＰＳサービス設定」セクション（186 ページ）
･「Ｃｉｔｒｉｘサービス設定」セクション（187 ページ）
･「グローバルポータル設定」セクション（187 ページ）
･「ワンタイムパスワード設定」セクション（187 ページ）
SonicWALL SRA 5.5 管理者ガイド
185
「サービス＞設定」ページで、管理者はＨＴＴＰ／ＨＴＴＰＳ、Ｃｉｔｒｉｘ、グローバルポータル文字セッ
ト、およびワンタイムパスワードに関するさまざまな設定を行うことができます。
ＨＴＴＰ／ＨＴＴＰＳサービス設定
管理者は、以下の手順に従ってＨＴＴＰ／ＨＴＴＰＳサービスを設定できます。
手順 1 既定では、「コンテンツキャッシュを有効にする」が選択されています。管理者はこのチェックボックスをオ
フにすることでこの設定を無効にできます。ただし、「コンテンツキャッシュを有効にする」の設定を変
更すると、ウェブサーバを含むＳＳＬＶＰＮサービスが再起動されます。
「キャッシュサイズ」フィールドで、必要なコンテンツキャッシュのサイズを定義します。５ＭＢが既定
の設定ですが、管理者は２～２０ＭＢの範囲で任意のサイズを設定できます。ボタンを選択すると、
コンテンツキャッシュがされます。
手順 2 応答バッファを設定する場合は、「個別ＨＴＴＰ／ＨＴＴＰＳ応答バッファサイズを有効にする」チェックボッ
クスをオンにします。このチェックボックスをオンにする際には、「バッファサイズ」ドロップダウンメ
ニューを使用して適切なバッファサイズを設定します。この制限は、プレーンテキスト、Ｆｌａｓｈ、およ
びＪａｖａアプレットを対象としたバックエンドウェブサーバからのＨＴＴＰおよびＨＴＴＰＳ応答に適用さ
れます。バッファの既定のサイズは１０２４ＫＢです。
手順 3 これらの種類のヘッダーをバックエンドウェブサーバに対するＨＴＴＰ／ＨＴＴＰＳ要求に挿入するには、「プ
ロキシ要求ヘッダの挿入」チェックボックスをオンにします。以下のヘッダーが挿入されます。
･Ｘ-Ｆｏｒｗａｒｄｅｄ-Ｆｏｒ：元のＨＴＴＰ／ＨＴＴＰＳ要求のクライアントＩＰアドレスを指定します。
･Ｘ-Ｆｏｒｗａｒｄｅｄ-Ｈｏｓｔ：クライアントからのＨＴＴＰ／ＨＴＴＰＳ要求で “ホスト” を指定します。
･Ｘ-Ｆｏｒｗａｒｄｅｄ-Ｓｅｒｖｅｒ：ＳＳＬＶＰＮプロキシサーバのホスト名を指定します。
186
SonicWALL SRA 5.5 管理者ガイド
Ｃｉｔｒｉｘサービス設定
管理者はローカルウェブサーバ上にＣｉｔｒｉｘクライアントをホストして、そこからＳＲＡにこれらのクライ
アントをダウンロードさせる必要があります。例えば、以下のＣｉｔｒｉｘＲｅｃｅｉｖｅｒクライアントをウェブ
サーバ上に配置します。
･ＡｃｔｉｖｅＸに対して：ＲｅｃｅｉｖｅｒｆｏｒＷｉｎｄｏｗｓ３.０ - ＣｉｔｒｉｘＲｅｃｅｉｖｅｒ.ｅｘｅ
･Ｊａｖａに対して：ＲｅｃｅｉｖｅｒｆｏｒＪａｖａ１０.１ - ＪＩＣＡＣｏｍｐｏｎｅｎｔｓ.ｚｉｐ
以下の手順を実行してＣｉｔｒｉｘサービスを設定します。
手順 1 独自のＨＴＴＰＵＲＬを使用してＣｉｔｒｉｘＪａｖａクライアントをダウンロードする場合は、「ＣｉｔｒｉｘＪａｖａクライア
ントダウンロード用の個別ＵＲＬを有効にする」チェックボックスをオンにします。「ＵＲＬ」フィールド
に個別ＵＲＬを入力します。このオプションを有効にしない場合は、既定のＵＲＬが使用されます。
手順 2 独自のＨＴＴＰＵＲＬを使用してＣｉｔｒｉｘＡｃｔｉｖｅＸクライアントをダウンロードする場合は、「ＣｉｔｒｉｘＡｃｔｉｖｅＸク
ライアントダウンロード用の個別ＵＲＬを有効にする」チェックボックスをオンにします。「ＵＲＬ」
フィールドに個別ＵＲＬを入力します。このオプションを有効にしない場合は、既定のＵＲＬが使用さ
れます。
グローバルポータル設定
手順 1 標準および非標準のＦＴＰサーバで言語互換性文字セットが使用されるように設定するには、「既定の文字
セット」ドロップダウンメニューを使用します。この文字セットはＦＴＰセッションとブックマークだけに適
用されます。ほとんどのＦＴＰサーバは、既定の設定である標準のエンコード（ＵＴＦ-８）に対応して
います。
ワンタイムパスワード設定
「ワンタイムパスワード設定」セクションでは、管理者がワンタイムパスワードの作成と通信に関する
設定を行うことができます。ワンタイムパスワードは、文字、数字、またはその両方を組み合わせて
動的に生成される文字列です。電子メールの件名の文字数を制限できるメールサービス（ＳＭＳな
ど）との互換性のために、管理者は電子メールの件名をカスタマイズして、ワンタイムパスワードを含
めるか除外することができます。電子メールメッセージの本文についても同様の設定ができます。ま
た、管理者はパスワードの形式（文字や番号など）を選択できます。
ワンタイムパスワード電子メールの件名の形式と本文の形式を設定し、ワンタイムパスワードの生成
で使用する既定の文字タイプを変更するには、以下のタスクを実行します。
手順 1
「電子メールの件名」フィールドに、適切なテキストをワンタイムパスワード電子メールの件名として入力し
ます。既定の件名は、ＯＴＰに実際のワンタイムパスワード（ここではパラメータプレースホルダ％
ＯｎｅＴｉｍｅＰａｓｓｗｏｒｄ％として表示）が付加された文字列です。
手順 2
「電子メールの本文」フィールドに、適切なテキストをワンタイムパスワード電子メールメッセージの本文と
して入力します。既定のメッセージは、ワンタイムパスワードそのもの（ここでは％
ＯｎｅＴｉｍｅＰａｓｓｗｏｒｄ％として表示）です。
ワンタイムパスワード電子メールの件名や本文では変数が使えます。
･ %ＯｎｅＴｉｍｅＰａｓｓｗｏｒｄ％－ユーザのワンタイムパスワードです。電子メールの件名または本文
のどちらかで少なくとも１回は現れるはずです。
･ %ＡＤ：ｍｏｂｉｌｅ％－アクティブディレクトリ（ＡＤ）で設定されているユーザの携帯電話です。
･ %ＡＤ： ________％－その他の任意のアクティブディレクトリ（ＡＤ）ユーザ属性です。その他の属性
については、「電子メールの本文」フィールドの下にあるマイクロソフトドキュメントリンクを参照し
てください。
手順 3
「ワンタイムパスワードの形式」ドロップダウンリストで、次の３つのオプションのいずれかを選択します。
SonicWALL SRA 5.5 管理者ガイド
187
･文字－ワンタイムパスワードの生成時にアルファベットのみを使用します。
･文字と数字－ワンタイムパスワードの生成時にアルファベットと数字を使用します。
･数字－ワンタイムパスワードの生成時に数字のみを使用します。
手順 4
「ワンタイムパスワードの長さ」フィールドを使用して、ワンタイムパスワードで使用できる文字数の範囲を
調整します。
手順 5
「サービス＞設定」ページの右上にある「適用」ボタンを選択して、変更内容を保存します。
ワンタイムパスワード機能の詳細については、「ワンタイムパスワードの概要」セクション（48 ペー
ジ）を参照してください。
admin_editBookmark
admin_serviceBookmarks
サービス＞ブックマーク
ウェブベース管理インターフェース内の「サービス＞ブックマーク」ページは、ブックマークを表示す
るための単一のインターフェースであり、ユーザおよびグループのブックマークを設定できます。
ブックマークの追加または編集
ブックマークを追加するには、管理インターフェース内の「サービス＞ブックマーク」画面に移動し、
「ブックマークの追加」ボタンを選択します。「ブックマークの追加」ウィンドウが開きます。
188
SonicWALL SRA 5.5 管理者ガイド
サービスブックマークを追加するには、以下の手順を実行します。
手順 1
「ブックマーク所有者」ドロップダウンメニューを使って、ブックマークが「グローバルブックマーク」、
「ローカルドメイン」グループブックマーク、または個々の「ユーザ」に割り当てられたブックマークの
いずれの形で所有されるかを選択します。
手順 2
「ブックマーク名」フィールドに、サービスブックマークのわかりやすい名前を入力します。
手順 3
「名前またはＩＰアドレス」フィールドに、設定するブックマークのホスト名、ＩＰアドレス、またはＩＰｖ６アド
レスを入力します。ＩＰｖ６アドレスは “［“と “］” で囲む必要があります。
備考
ＩＰｖ６はファイル共有ではサポートされません。
サービスによっては、非標準ポートで動作し、接続時にパスを要求することがあります。「サービス」
フィールドで選択したオプションによって、次の表に示す例のいずれかの形式で「名前またはＩＰアドレ
ス」フィールドに入力します。
サービス種別
形式
「名前またはＩＰアドレス」フィールドの入力例
ＲＤＰ－ＡｃｔｉｖｅＸ
ＲＤＰ－Ｊａｖａ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
ＶＮＣ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（セッションへ割り当
て済み）
完全修飾名
ホスト名
注：ポートの代わりにセッション番
号または表示番号を使用しないで
ください。
10.20.30.4
2008::1:2:3:4
10.20.30.4:5901 （セッション１へ割り当て済み）
ＦＴＰ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818 または [2008::1:2:3:4]:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
Ｔｅｌｎｅｔ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818 または [2008::1:2:3:4]:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
ＳＳＨｖ１
ＳＳＨｖ２
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818 または [2008::1:2:3:4]:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
ＨＴＴＰ
ＨＴＴＰＳ
ＵＲＬ
ＵＲＬのＩＰアドレス
ＩＰｖ６アドレス
ＵＲＬ：パスまたはファイル
ＩＰ：パスまたはファイル
ＵＲＬ：ポート
ＩＰ：ポート
ＵＲＬ：ポート：パスまたはファイ
ル
ＩＰ：ポート：パスまたはファイル
www.sonicwall.com
204.212.170.11
2008::1:2:3:4
www.sonicwall.com/index.html
204.212.170.11/ フォルダ /
www.sonicwall.com:8080
204.212.170.11:8080 または [2008::1:2:3:4]:8080
www.sonicwall.com:8080/ フォルダ /index.html
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
注： 10.20.30.4:1 形式を使用しないでください。
ヒント：Ｌｉｎｕｘサーバへのブックマークについては、こ
の表の下にヒントがあります。
204.212.170.11:8080/index.html
SonicWALL SRA 5.5 管理者ガイド
189
サービス種別
形式
「名前またはＩＰアドレス」フィールドの入力例
ファイル共有
ホスト￥フォルダ￥
ホスト￥フォルダ
完全修飾名￥フォルダ
完全修飾名￥ファイル
ＩＰ￥フォルダ￥
ＩＰ￥ファイル
server-3\ 共有フォルダ \
server-3\inventory.xls
server-3.company.net\ 共有フォルダ \
server-3.company.net\inventory.xls
10.20.30.4\ 共有フォルダ \
10.20.30.4\status.doc
注：ＬｉｎｕｘやＭａｃコンピュータでもファイル共有にウィ
ンドウズＡＰＩが使用されるため、￥記号を使用してく
ださい。
Ｃｉｔｒｉｘ
（Ｃｉｔｒｉｘウェブイン
ターフェース）
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート
ＩＰ：パスまたはファイル
ＩＰ：ポート：パスまたはファイル
完全修飾名
ＵＲＬ：パスまたはファイル
ＵＲＬ：ポート
ＵＲＬ：ポート：パスまたはファイ
ル
注：ポートは、Ｃｉｔｒｉｘクライアン
トポートではなく、Ｃｉｔｒｉｘウェブ
インターフェースのＨＴＴＰ（Ｓ）
ポートです。
172.55.44.3
2008::1:2:3:4
172.55.44.3:8080 または [2008::1:2:3:4]:8080
172.55.44.3/ フォルダ /file.html
172.55.44.3:8080/report.pdf
www.citrixhost.company.net
www.citrixhost.net/ フォルダ /
www.citrixhost.company.net:8080
www.citrixhost.com:8080/ フォルダ /index.html
ヒントＬｉｎｕｘサーバへのＶｉｒｔｕａｌＮｅｔｗｏｒｋＣｏｍｐｕｔｉｎｇ（ＶＮＣ）ブックマークを作成するときは、「名前
またはＩＰアドレス」フィールドで、ＬｉｎｕｘサーバのＩＰアドレスとともにポート番号とサーバ番号を
ｉｐａｄｄｒｅｓｓ：ｐｏｒｔ：ｓｅｒｖｅｒの形式で指定する必要があります。例えば、ＬｉｎｕｘサーバのＩＰアド
レスが１９２.１６８.２.２、ポート番号が５９０１、サーバ番号が１の場合は、「名前またはＩＰアドレ
ス」フィールドに１９２.１６８.２.２：５９０１：１を指定します。
手順 4
「サービス」ドロップダウンメニューを使って、適切なブックマークサービスを選択します。ブックマークの
作成を完了するには、選択したサービスに関する次の情報を使います。
ターミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）またはターミナルサービス（ＲＤＰ－Ｊａｖａ）
備考
インターネットエクスプローラ以外のブラウザを使用しているときに「ターミナルサービス（ＲＤＰ－
ＡｃｔｉｖｅＸ）」を選択すると、自動的に「ターミナルサービス（ＲＤＰ－Ｊａｖａ）」に変更されます。
サービスタイプの変更が、ポップアップダイアログボックスで通知されます。
- 「画面サイズ」ドロップダウンリストで、このブックマークの実行時に使用される既定のターミナ
ルサービス画面サイズを選択します。
画面サイズはコンピュータによって異なるので、リモートデスクトップアプリケーションを使用す
るときは、リモートデスクトップセッションの実行元のコンピュータ画面のサイズを選択する必要
があります。さらに、リモートコンピュータ上のアプリケーションの場所を示すパスを、「アプリ
ケーションパス」フィールドにパスを入力することで提供できます。
- 「画面の色」ドロップダウンリストで、このブックマークの実行時に使用されるターミナルサービ
ス画面の既定の色深度を選択します。
- オプションで、このアプリケーションへのローカルパスを「アプリケーションおよびパス」フィー
ルドに入力します。
- 「次のフォルダから開始」フィールドに、アプリケーションコマンドを実行するローカルフォルダ
をオプションで入力します。
190
SonicWALL SRA 5.5 管理者ガイド
- 「コンソール／管理者セッションとしてログイン」チェックボックスをオンにすると、コンソール
セッションまたはａｄｍｉｎセッションにログインできます。ＲＤＣ６.１以降では、ａｄｍｉｎセッション
へのログインは、コンソールセッションへのログインに置き換わります。
- 「ＷａｋｅｏｎＬＡＮを有効にする」チェックボックスをオンにすると、ネットワーク接続を介してコン
ピュータの電源を投入できます。このチェックボックスをオンにした場合、以下の新しいフィール
ドが表示されます。
･ＭＡＣ／イーサネットアドレス－電源を投入するホストの１つ以上のＭＡＣアドレスをス
ペースで区切って入力します。
･起動待ち時間（秒）－ＷＯＬ操作を中止するまでターゲットホストの起動完了を待機する時
間を秒単位で入力します。
･ＷＯＬパケットをホスト名またはＩＰアドレスに送信する－ＷＯＬパケットをこのブックマーク
のホスト名またはＩＰアドレスに送信するには、「ＷｏＬパケットをホスト名またはＩＰアドレス
に送信する」チェックボックスをオンにします。この設定は、ＷＯＬで電源を投入する別のコ
ンピュータのＭＡＣアドレスと併用して適用できます。
- ウィンドウズクライアントのＲＤＰ - ＡｃｔｉｖｅＸでは、このブックマークセッションでローカルネット
ワーク上の各種機器をリダイレクトする場合に、「詳細なウィンドウズオプションを表示」を展開
し、「プリンタをリダイレクトする」、「ドライブをリダイレクトする」、「ポートをリダイレクトする」、
「スマートカードをリダイレクトする」の各チェックボックスを必要に応じてオンにします。各オプ
ションの上にマウスポインタを移動すると、特定のアクションに必要な条件がツールチップに表
示されます。
リモートコンピュータにローカルプリンタを表示するには（「スタート＞設定＞コントロールパ
ネル＞プリンタとＦＡＸ」で表示）、「ポートをリダイレクトする」と「プリンタをリダイレクトする」
をオンにします。
- ウィンドウズクライアント、またはＲＤＣインストール済みのＭａｃＯＳＸ１０.５以降のＲＤＰ－
Ｊａｖａでは、「詳細なウィンドウズオプションを表示」を展開し、リダイレクトオプションの各
チェックボックス「プリンタをリダイレクトする」、「ドライブをリダイレクトする」、「ポートをリダイ
レクトする」、「スマートカードをリダイレクトする」、「クリップボードをリダイレクトする」、「プラグ
アンドプレイ機器をリダイレクトする」を必要に応じてオンにして、このブックマークセッションで
使用するローカルネットワーク上の各種機器や機能をリダイレクトします。各オプションの横に
あるヘルプアイコン
の上にマウスポインタを移動すると、要求事項がツールチップに表示
されます。
リモートコンピュータにローカルプリンタを表示するには（「スタート＞設定＞コントロールパ
ネル＞プリンタとＦＡＸ」で表示）、「ポートをリダイレクトする」と「プリンタをリダイレクトする」
をオンにします。
このブックマークセッションでその他の機能を使用する場合は、「接続バーを表示する」、「自
動再接続」、「デスクトップ背景」、「ドラッグ / リサイズの際にウィンドウの内容を表示する」、
「メニューとウィンドウアニメーション」、「テーマ」、「ビットマップのキャッシュ」の各チェックボッ
クスをオンにします。
クライアントアプリケーションがＲＤＰ６（Ｊａｖａ）の場合、さらにオプションとして「デュアルモ
ニタ」、「フォント補正」、「デスクトップ構成」、「リモートアプリケーション」も必要に応じて選択
できます。「リモートアプリケーション」を選択すると、サーバおよびクライアント接続の活動が
監視されます。この機能を使用するには、リモートコンピュータをウィンドウズ２００８
ＲｅｍｏｔｅＡｐｐリストに登録する必要があります。「リモートアプリケーション」をオンにすると、
ターミナルサーバとの接続に関するメッセージがＪａｖａコンソールに表示されます。
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＲＤＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
仮想ネットワークコンピューティング（ＶＮＣ）
SonicWALL SRA 5.5 管理者ガイド
191
- 「エンコード」ドロップダウンメニューで、適切なエンコード転送形式を選択します。
- 利用できる場合は必要に応じて、「圧縮レベル」ドロップダウンメニューを使ってデータの適切
な圧縮レベルを選択します。
- 利用できる場合は必要に応じて、「ＪＰＥＧイメージ品質」ドロップダウンメニューを使って
ＪＰＥＧ画像ファイルの品質レベルを選択します。
- 「カーソル状態更新」ドロップダウンメニューで、これらの更新の有効化、無効化、または無
視を選択します。
- 対応するチェックボックスを使って「ＣｏｐｙＲｅｃｔ使用」機能を有効または無効にします。
- 対応するチェックボックスを使って「制限された色数（２５６色）」のみの使用を有効または無効
にします。
- 対応するチェックボックスを使って「マウスボタン２と３を逆にする」機能を有効または無効に
します。
- ＶＮＣによる制御を防ぐには、「表示のみ」チェックボックスをオンにします。
- ＶＮＣによってデスクトップ表示を共有するには、「デスクトップ共有」チェックボックスをオンにし
ます。
Ｃｉｔｒｉｘポータル（Ｃｉｔｒｉｘ）
- ＨＴＴＰＳを使用してＣｉｔｒｉｘポータルに安全にアクセスするには、オプションで「ＨＴＴＰＳモード」
を選択します。ＨＴＴＰＳモードは、ＳＳＬプロトコルを使ってＳＳＬＶＰＮ機器とＣｉｔｒｉｘサーバと
の間の通信を暗号化するために使用されます。
- インターネットエクスプローラを使用している場合に、ＣｉｔｒｉｘポータルへのアクセスにＪａｖａを使
用するには、オプションで「常にインターネットエクスプローラでＪａｖａを使用する」チェックボッ
クスをオンにします。この設定を行わないと、インターネットエクスプローラでＣｉｔｒｉｘＡｃｔｉｖｅＸク
ライアントまたはプラグインを使用する必要があります。この設定を使用すると、インターネット
エクスプローラ専用のＣｉｔｒｉｘクライアントまたはプラグインをインストールしなくて済みます。
Ｊａｖａは、他のブラウザでＣｉｔｒｉｘを使用する際に既定で使用され、インターネットエクスプロー
ラでも動作します。このチェックボックスをオンにすれば、この移植性を活用できます。
- オプションで「指定した Citrix ICA サーバを常に使用する」を選択して、表示される「Citrix
ICA サーバアドレス」フィールドに IP アドレスを指定します。この設定により、この Citrix ICA
セッションに対する Citrix ICA サーバを指定することが可能です。既定では、ブックマークは
Citrix サーバ上の ICA 設定内で提供される情報を使います。
ウェブ（ＨＴＴＰ）
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからウェブサーバに転
送されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場
合は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
セキュアウェブ（ＨＴＴＰＳ）
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからセキュアウェブサー
バに転送されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力
する場合は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、
「個別ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してくださ
い。
ファイル共有（ＣＩＦＳ）
- ウィンドウズの機能を模したファイル共有用のＪａｖａアプレットをユーザが使用できるようにする
には、「ファイル共有Ｊａｖａアプレットを使用する」チェックボックスをオンにします。
192
SonicWALL SRA 5.5 管理者ガイド
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＲＤＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
ファイル共有を作成するときは、ＤＦＳ（ＤｉｓｔｒｉｂｕｔｅｄＦｉｌｅＳｙｓｔｅｍ）サーバをウィンドウズドメイン
ルートシステムに設定しないでください。ドメインルートではドメイン内のウィンドウズコンピュータ
へのアクセスしか許可されないので、このような設定を行うと、他のドメインからのＤＦＳファイル共
有へのアクセスが無効化されます。ＳｏｎｉｃＷＡＬＬＳＲＡはドメインメンバーではないので、ＤＦＳ
共有に接続できなくなります。
スタンドアロンルート上のＤＦＳファイル共有は、マイクロソフトのこの制約を受けません。
ファイル転送プロトコル（ＦＴＰ）
- 「詳細なサーバ設定を表示」を展開して、「文字のエンコード」ドロップダウンリストで別の値を
選択します。既定値は「Ｓｔａｎｄａｒｄ（ＵＴＦ-８）」です。
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＦＴＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
Ｔｅｌｎｅｔ
- 追加フィールドなし
セキュアシェルバージョン１（ＳＳＨｖ１）
- 追加フィールドなし
セキュアシェルバージョン２（ＳＳＨｖ２）
- 必要に応じて、「自動的にホストキーを受け入れる」チェックボックスをオンにします。
- ＳＳＨｖ２サーバを認証なしで使用している場合（ＳｏｎｉｃＷＡＬＬファイアウォールなど）、オプ
ションで「ユーザ名をバイパスする」チェックボックスをオンにできます。
手順 5
「ＯＫ」を選択して、設定を更新します。設定を更新すると、新しいユーザブックマークが「サービス >
ブックマーク」ウィンドウに表示されます。
ブックマークの編集
サービスブックマークを編集するには、「サービス＞ブックマーク」画面に移動します。「設定」カラ
ムにある鉛筆アイコンを選択します。新しい「ブックマークの編集」ウィンドウが開き、ブックマークの
現在の設定が表示されます。必要な調整をすべて行い、「ＯＫ」を選択します。編集されたブック
マークが「サービス＞ブックマーク」ウィンドウに表示されます。
ブックマークの削除
設定済みのブックマークを削除するには、「サービス＞ブックマーク」画面に移動します。「設定」
カラムにある “Ｘ” アイコンを選択します。ダイアログボックスが開き、指定したブックマークを本当に
削除するかどうかを尋ねられます。「ＯＫ」を選択すると、ブックマークが削除されます。削除した
ブックマークは「サービス＞ブックマーク」画面に表示されなくなります。
admin_addPolicy
admin_editPolicy
admin_servicePolicies
SonicWALL SRA 5.5 管理者ガイド
193
サービス＞ポリシー
ウェブベース管理インターフェース内の「サービス＞ポリシー」ページは、サービスポリシーを表示
するための単一のインターフェースであり、ユーザおよびグループのポリシーを設定できます。
ポリシーの追加
ポリシーを追加するには、管理インターフェース内の「サービス＞ポリシー」画面に移動し、「ポリ
シーの追加」ボタンを選択します。「ポリシーの追加」ウィンドウが開きます。
管理者は、以下の手順に従ってサービスポリシーを追加できます。
手順 1
「ポリシーオーナ」ドロップダウンメニューを使って、ポリシーが「グローバルポリシー」、
「ＬｏｃａｌＤｏｍａｉｎ」グループポリシー、または個々の「ユーザ」に割り当てられたポリシーのいずれの
形で所有されるかを選択します。
手順 2
「ポリシーの適用先」ドロップダウンメニューで、ポリシーの適用先として、ＩＰアドレス、ＩＰアドレス範
囲、すべてのアドレス、ネットワークオブジェクト、サーバパス、ＵＲＬオブジェクトのいずれかを選
択します。ＩＰｖ６アドレス、ＩＰｖ６アドレス範囲、すべてのＩＰｖ６アドレスのいずれかも選択できます。
「ポリシーの追加」ダイアログボックスの内容は、「ポリシーの適用先」ドロップダウンリストで選択し
たオブジェクトの種別に応じて変化します。
備考
手順 3
これらのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮポリシーはＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続の送信元アドレスでは
なく送信先アドレスに適用されます。インターネット上の特定のＩＰアドレスが「ポリシー」タブで作
成されたポリシーによってＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮゲートウェイの認証を受けることを許可または
阻止することはできません。ただし、ユーザの「ログインポリシー」タブで作成されたログインポ
リシーを使ってＩＰアドレスで送信元のログインを制御することは可能です。詳細については、「ロ
グインポリシーの設定」セクション（301 ページ）を参照してください。
「ポリシーの適用先」メニューでの選択に応じた適切な手順に従ってください。
･ＩＰアドレス－特定のホストにポリシーを適用する場合は、ローカルホストコンピュータのＩＰアドレ
スを「ＩＰアドレス」フィールドに入力します。または、ポート範囲（例えば４１００－４２００）や
単独のポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰアドレスのポリシー
の追加」セクション（289 ページ）を参照してください。
194
SonicWALL SRA 5.5 管理者ガイド
･ＩＰアドレス範囲－アドレス範囲にポリシーを適用する場合は、ＩＰアドレス範囲の開始アドレスを
「ＩＰネットワークアドレス」フィールドに入力し、ＩＰアドレス範囲を表すサブネットマスク値を「サブ
ネットマスク」フィールドに入力します。または、ポート範囲（例えば４１００－４２００）や単独
のポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰアドレス範囲のポリシー
の追加」セクション（289 ページ）を参照してください。
･すべてのアドレス－ポリシーをすべてのＩＰｖ４アドレスに適用する場合は、ＩＰアドレス情報を入力
する必要はありません。「すべてのアドレスのポリシーの追加」セクション（289 ページ）を参照し
てください。
･ネットワークオブジェクト－定義済みネットワークオブジェクトにポリシーを適用する場合は、「ネッ
トワークオブジェクト」ドロップダウンリストでオブジェクトの名前を選択します。ネットワークオブ
ジェクトを定義するときはポートまたはポート範囲を指定できます。「ネットワークオブジェクトの追
加」セクション（130 ページ）を参照してください。
･サーバパス－サーバパスにポリシーを適用する場合は、「リソース」フィールドで以下のラジオボ
タンの１つを選択します。
- 共有（サーバパス）－このオプションを選択する場合は、パスを「サーバパス」フィールド
に入力します。
- ネットワーク（ドメインリスト）
- サーバ（コンピュータリスト）
「ファイル共有アクセスポリシーの設定」セクション（289 ページ）を参照してください。
･ＵＲＬオブジェクト－定義済みＵＲＬオブジェクトにポリシーを適用する場合は、ＵＲＬを「ＵＲＬ」
フィールドに入力します。「ＵＲＬオブジェクトのポリシーの追加」セクション（290 ページ）を参照し
てください。
･ＩＰｖ６アドレス－特定のホストにポリシーを適用する場合は、ローカルホストコンピュータのＩＰｖ６
アドレスを「ＩＰｖ６アドレス」フィールドに入力します。または、ポート範囲（例えば４１００－
４２００）や単独のポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰｖ６アドレ
スに対するポリシーの追加」セクション（292 ページ）を参照してください。
･ＩＰｖ６アドレス範囲 - アドレス範囲にポリシーを適用する場合は、ＩＰｖ６アドレス範囲の開始アドレス
を「ＩＰｖ６ネットワークアドレス」フィールドに入力し、ＩＰｖ６アドレス範囲を表すプレフィックスを
「ＩＰｖ６接頭辞」フィールドに入力します。または、ポート範囲（例えば４１００－４２００）や単独
のポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰｖ６アドレス範囲に対する
ポリシーの追加」セクション（292 ページ）を参照してください。
･すべてのＩＰｖ６アドレス－ポリシーをすべてのＩＰｖ６アドレスに適用する場合は、ＩＰアドレス情報
を入力する必要はありません。「すべてのＩＰｖ６アドレスのポリシーの追加」セクション（292 ペー
ジ）を参照してください。
手順 4 サービス種別を「サービス」ドロップダウンリストで選択します。ポリシーの適用先がネットワークオブジェ
クトの場合、サービス種別はそのネットワークオブジェクトで定義されています。
手順 5
「状況」ドロップダウンリストから「許可」または「拒否」を選択し、指定したサービスおよびホストコン
ピュータのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続を許可または拒否します。
ヒントＣｉｔｒｉｘブックマークを使用するときには、ホストへのプロキシアクセスを制限するために、Ｃｉｔｒｉｘ
サービスとＨＴＴＰサービスの両方に対して拒否ルールを設定する必要があります。
手順 6
「適用」を選択して、設定を更新します。設定を更新すると、新しいポリシーが「サービス > ポリシー」
ウィンドウに表示されます。
ポリシーの編集
サービス関連のポリシーを編集するには、「サービス＞ポリシー」画面に移動します。「設定」カラ
ムにある鉛筆アイコンを選択します。新しい「ポリシーの編集」ウィンドウが開き、ブックマークの現
SonicWALL SRA 5.5 管理者ガイド
195
在の設定が表示されます。必要な調整をすべて行い、「適用」を選択します。編集されたブックマー
クが「サービス＞ポリシー」ウィンドウに表示されます。
ポリシーの削除
設定済みのポリシーを削除するには、「サービス＞ポリシー」画面に移動します。「設定」カラムに
ある “Ｘ” アイコンを選択します。ダイアログボックスが開き、指定したポリシーを本当に削除するか
どうかを尋ねられます。「ＯＫ」を選択すると、ポリシーが削除されます。削除したポリシーは「サー
ビス＞ポリシー」画面に表示されなくなります。
196
SonicWALL SRA 5.5 管理者ガイド
第6章
第6章
ＮｅｔＥｘｔｅｎｄｅｒの設定
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースのＮｅｔＥｘｔｅｎｄｅｒページに
関する情報と設定タスクについて説明します。
ＮｅｔＥｘｔｅｎｄｅｒは、ウィンドウズ、Ｍａｃ、Ｌｉｎｕｘ、Ａｎｄｒｏｉｄスマートフォンユーザ用のＳＳＬＶＰＮク
ライアントであり、透過的にダウンロードされ、会社のネットワーク上で任意のアプリケーションを安全
に実行できるようにします。接続にはポイントツーポイントプロトコル（ＰＰＰ）が使用されます。
ＮｅｔＥｘｔｅｎｄｅｒによって、リモートクライアントはローカルネットワーク上のリソースにシームレスにアク
セスできます。
ユーザは、次の２通りの方法でＮｅｔＥｘｔｅｎｄｅｒにアクセスできます。１つは、ＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮユーザポータルのＮｅｔＥｘｔｅｎｄｅｒボタンを使用する方法です。もう１つは、ＮｅｔＥｘｔｅｎｄｅｒスタ
ンドアロンクライアントを使用する方法です。これは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理イ
ンターフェースのＮｅｔＥｘｔｅｎｄｅｒボタンを選択することによってインストールされます。ＮｅｔＥｘｔｅｎｄｅｒス
タンドアロンクライアントは、ウィンドウズシステムでは「スタート」メニューから、Ｍａｃシステムでは
アプリケーションフォルダまたはドックから、Ｌｉｎｕｘシステムではパス名によって、あるいはショートカッ
トバーから、Ａｎｄｒｏｉｄスマートフォンではアイコンから直接アクセスできます。
ウィンドウズシステム上では、 NetExtender はウィンドウズにログインする前のＶＰＮセッション確立を
サポートします。
スタンドアロンのＮｅｔＥｘｔｅｎｄｅｒモバイルクライアントは、ウィンドウズモバイル５ポケットＰＣまたは
ウィンドウズモバイル６プロフェッショナル／クラシックが動作する機器に使用できます。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、スタンドアロンのウィンドウズＮｅｔＥｘｔｅｎｄｅｒクライアントと
ＮｅｔＥｘｔｅｎｄｅｒモバイルクライアントの両方でクライアント証明書をサポートしています。
ＮｅｔＥｘｔｅｎｄｅｒは、Ｖｉｓｔａまたはそれよりも新しいウィンドウズシステムとＬｉｎｕｘクライアントからの
ＩＰｖ６クライアント接続をサポートしています。ＮｅｔＥｘｔｅｎｄｅｒ用のＩＰｖ６アドレスプールはオプションで
すが、ＩＰｖ４アドレスプールは必須です。
SonicWALL SRA 5.5 管理者ガイド
197
ＮｅｔＥｘｔｅｎｄｅｒの概念の詳細については、「ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの概要」セクション（20 ページ）
を参照してください。ＮｅｔＥｘｔｅｎｄｅｒ、ＮｅｔＥｘｔｅｎｄｅｒモバイル、ＮｅｔＥｘｔｅｎｄｅｒＡｎｄｒｏｉｄクライアント
の使い方やインストール方法については、最新の『ＳｏｎｉｃＷＡＬＬＳＲＡユーザガイド』を参照してくだ
さい。このドキュメントは次の場所にあるＳｏｎｉｃＷＡＬＬサポートウェブサイトのセキュアリモートアク
セスページで参照できます。
〈http://www.sonicwall.com/us/Support.html〉
この章は、次のセクションから構成されています。
･「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」セクション（199 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」セクション（200 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」セクション（202 ページ）
admin_netExStatus
198
SonicWALL SRA 5.5 管理者ガイド
ＮｅｔＥｘｔｅｎｄｅｒ＞状況
このセクションでは、「NetExtender ＞状況」ページの概要と、このページで実行できる設定タスクに
ついて説明します。
･「「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」の概要」セクション（199 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒの状況の表示」セクション（199 ページ）
「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」の概要
「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」ページでは、名前、ＩＰアドレス、ログイン時間、ログインしてからの経過
時間、ログアウト時間を含めて、アクティブなＮｅｔＥｘｔｅｎｄｅｒセッションを表示できます。
図 1 ＮｅｔＥｘｔｅｎｄｅｒ＞状況
ＮｅｔＥｘｔｅｎｄｅｒの状況の表示
「ＮｅｔＥｘｔｅｎｄｅｒ＞状況」ページでは、アクティブなＮｅｔＥｘｔｅｎｄｅｒセッションの名前、ＩＰアドレス、ロ
グイン時間、ログイン経過時間、管理者によるログアウト制御などを表示できます。表 1 に、状況の
各項目の説明を示します。
表 1 ＮｅｔＥｘｔｅｎｄｅｒの状況
状況の項目
説明
名前
ユーザ名
NetExtender クライアント
IP アドレス
NetExtender によってクライアントマシンに割り当てられた IP アドレス
ユーザの送信元 IP アド
レス
ユーザがログインしているワークステーションの IP アドレス
接続開始時間
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置との接続を最初に確立した時間（曜日、日付、
および時刻（ＨＨ：ＭＭ：ＳＳ）の形式）
接続継続時間
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置との接続を最初に確立してからの経過時間が、日
数と時間、分、秒（ＨＨ：ＭＭ：ＳＳ）で表される
統計
セッション中に転送された送信、受信、および合計のパケット数とバイト、そして現
在、最大、および平均スループットを表すツールチップが表示される
切断
ＮｅｔＥｘｔｅｎｄｅｒセッションを切断するために管理者が使用できる
admin_netExClientAddresses
SonicWALL SRA 5.5 管理者ガイド
199
ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定
このセクションでは、「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」ページの概要、およびこのページで行う設
定タスクについて説明します。
･「「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」の概要」セクション（200 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒグローバルＩＰアドレス範囲の設定」セクション（200 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒグローバル設定の構成」セクション（201 ページ）
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」の概要
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレス」ページでは、クライアントアドレスの範囲を指定できます。
図 2 ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定
ＮｅｔＥｘｔｅｎｄｅｒグローバルＩＰアドレス範囲の設定
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」ページでは、グローバルクライアントアドレス範囲を指定できま
す。ＩＰｖ４とＩＰｖ６の両方についてアドレス範囲を指定できます。ＮｅｔＥｘｔｅｎｄｅｒのＩＰｖ６アドレスプー
ルはオプションですが、ＩＰｖ４アドレスプールは必須です。ＮｅｔＥｘｔｅｎｄｅｒグローバルＩＰ範囲は、ＩＰ
アドレスプールを定義します。ＮｅｔＥｘｔｅｎｄｅｒセッション中に、このプールからリモートユーザにアドレ
スが割り当てられます。この範囲には、ＮｅｔＥｘｔｅｎｄｅｒでサポートする同時実行ユーザ数の最大値に
１を加えた大きさが必要です（例えば１５人のユーザの場合には、１９２.１６８.２００.１００～
１９２.１６８.２００.１１５のように１６個のアドレスが必要です）。
この範囲は、ＳＲＡ装置の接続先インターフェースと同じサブネットに含まれる必要があります。ＳＲＡ
装置と同じセグメント上に他のホストが存在する場合は、アドレス範囲が割り当て済みのアドレスと部分
的に重なったり、衝突したりしないようにしてください。適切なサブネットを決定するには、次の方法の
いずれかを使用します。
･既定のＮｅｔＥｘｔｅｎｄｅｒ範囲（１９２.１６８.２００.１００～１９２.１６８.２００.２００）をそのまま使用しま
す。
･使用する既存のＤＭＺサブネット内の範囲を選択します。例えば、ＤＭＺで１９２.１６８.５０.０／
２４サブネットを使用していて、最大３０のＮｅｔＥｘｔｅｎｄｅｒ同時セッションをサポートする場合、
１９２.１６８.５０.２２０～１９２.１６８.５０.２５０（これらが未使用の場合）を使用できます。
200
SonicWALL SRA 5.5 管理者ガイド
･使用する既存のＬＡＮサブネット内の範囲を選択します。例えば、ＬＡＮで１９２.１６８.１６８.０／
２４サブネットを使用していて、最大１０のＮｅｔＥｘｔｅｎｄｅｒ同時セッションをサポートする場合、
１９２.１６８.１６８.２４０～１９２.１６８.１６８.２５０（これらが未使用の場合）を使用できます。
ＮｅｔＥｘｔｅｎｄｅｒグローバルアドレス範囲を指定するには、以下の手順に従います。
手順 1
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」ページにナビゲートします。
手順 2
「ＮｅｔＥｘｔｅｎｄｅｒクライアントアドレス範囲」の下の「クライアントアドレス範囲の開始」フィールドに、クラ
イアントＩＰｖ４アドレス範囲の開始アドレスを入力します。
手順 3
「クライアントアドレス範囲の終了」フィールドに、クライアントＩＰｖ４アドレス範囲の終了アドレスを入力し
ます。
手順 4
「ＮｅｔＥｘｔｅｎｄｅｒクライアントＩＰｖ６アドレス範囲」の下の「クライアントアドレス範囲の開始」フィールドに、
オプションでクライアントＩＰｖ６アドレス範囲の開始アドレスを入力します。
手順 5 ＩＰｖ６を使用する場合は、「クライアントアドレス範囲の終了」フィールドに、クライアントＩＰｖ６アドレス範囲
の終了アドレスを入力します。
手順 6
「承諾」を選択します。
手順 7
「状況」メッセージに「更新成功」と表示されます。再起動すると現在のクライアントが新しいアドレスを取
得します。
ＮｅｔＥｘｔｅｎｄｅｒグローバル設定の構成
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮには、ユーザが接続および切断するときのＮｅｔＥｘｔｅｎｄｅｒの動作を指定する
さまざまな設定が用意されています。ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアント設定を構成するには、以
下の手順を実行します。
手順 1
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント設定」ページにナビゲートします。
手順 2 すべてのユーザに対して、以下のオプションを有効または無効にできます。
･切断後にクライアントを終了－ＳＲＡサーバから切断されたときに、ＮｅｔＥｘｔｅｎｄｅｒクライアントを終
了します。再接続するには、ＳＲＡポータルに戻るか、「プログラム」メニューからＮｅｔＥｘｔｅｎｄｅｒ
を起動する必要があります。このオプションはＡｎｄｒｏｉｄスマートフォンを除くすべてのサポートされ
るプラットフォームに当てはまります。
･クライアント終了後にアンインストール－ユーザがクライアントユーザインターフェースを終了した
際に、ＮｅｔＥｘｔｅｎｄｅｒクライアントが自動的にアンインストールされます。これは、ユーザが
ＮｅｔＥｘｔｅｎｄｅｒトレイアイコンを右クリックして終了を選択した場合に発生します。再接続するには、
ＳＲＡポータルに戻ってＮｅｔＥｘｔｅｎｄｅｒを選択して再インストールする必要があります。このオプショ
ンはウィンドウズクライアントのみに当てはまり、ウィンドウズモバイル、Ａｎｄｒｏｉｄ、Ｍａｃ、Ｌｉｎｕｘ
には当てはまりません。
･クライアント接続プロファイルを作成－ＮｅｔＥｘｔｅｎｄｅｒクライアントは、ＳＳＬＶＰＮサーバ名、ドメ
イン名、およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します。
手順 3
「ユーザ名とパスワードの保存」オプションでは、ユーザがＮｅｔＥｘｔｅｎｄｅｒクライアントにユーザ名とパス
ワードをキャッシュできるようにするかどうかを設定できます。選択できるオプションは、「ユーザ名だけ
保存を許可」、「ユーザ名とパスワードの保存を許可」、「ユーザ名とパスワードの保存は不可」の３
つです。これらのオプションによって、セキュリティの必要性とユーザの使い勝手の両方に配慮した設
定を実現できます。
手順 4
「適用」を選択します。
admin_netExClientRoutes
SonicWALL SRA 5.5 管理者ガイド
201
ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート
このセクションでは、「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」ページの概要、およびこのページで行う
設定タスクについて説明します。
･「「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」の概要」セクション（202 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの追加」セクション（202 ページ）
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」の概要
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」ページでは、クライアントルートを追加および設定できます。
図 3 ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの追加
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートは、すべてのＮｅｔＥｘｔｅｎｄｅｒクライアントに渡され、ＳＳＬＶＰＮ接続
経由でリモートユーザがアクセスできるプライベートネットワークおよびリソースの決定に使用されま
す。
グループレベルのＮｅｔＥｘｔｅｎｄｅｒルートは、ユーザレベルのオプション ” ＮｅｔＥｘｔｅｎｄｅｒグループク
ライアントルートを追加する” が有効の場合は、プライマリと追加グループの両方から割り当てる必要
があります。ユーザレベルのＮＸルートは常にＮＸクライアントにプッシュされている必要があり、グ
ローバルルートは ” ＮｅｔＥｘｔｅｎｄｅｒグループクライアントルートを追加する” オプションに以前にされ
ていたように依存し続けます。ＩＰｖ４とＩＰｖ６ルートの両方がこれらのルールに従います。
備考
グループアクセスポリシーでは、すべてのトラフィックが既定で許可されます。この動作は、すべ
ての受信トラフィックが既定で拒否されるＳｏｎｉｃＷＡＬＬＵＴＭ（統合脅威管理）装置の既定の動作
とは正反対です。ＳＲＡ装置用のポリシーを作成しない場合、すべてのＮｅｔＥｘｔｅｎｄｅｒユーザが内
部ネットワーク上のすべてのリソースにアクセスできるようになります。
追加の許可および拒否ポリシーを、送信先アドレスまたはアドレス範囲か、サービス種別ごとに作成
することができます。
備考
202
ポリシーは限定的な方が優先されます。例えば、特定のＩＰアドレスに適用されるポリシーはＩＰア
ドレス範囲に適用されるポリシーよりも優先されます。特定のＩＰアドレスに適用されるポリシーが２
つあるときは、特定のサービス（ＲＤＰなど）に関するポリシーがすべてのサービスに関するポリ
シーよりも優先されます。
ユーザポリシーはグループポリシーよりも優先され、グループポリシーはグローバルポリシーより
SonicWALL SRA 5.5 管理者ガイド
も優先されます。これはポリシーの定義と関係ありません。すべてのＩＰアドレスへのアクセスを許
可するユーザポリシーは、特定のＩＰアドレスへのアクセスを拒否するグループポリシーよりも優
先されます。
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートを追加するには、次の手順に従います。
手順 1
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」ページにナビゲートします。
手順 2
「強制トンネル方式」ドロップダウンリストで「有効」を選択します。こうすると、このユーザへのすべての
トラフィック（リモートユーザのローカルネットワーク宛てのトラフィックも含む）でＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒトンネルが使用されます。
手順 3
「クライアントルートの追加」ボタンを選択します。
示されます。
手順 4
「クライアントルートの追加」ダイアログボックスの「送信先ネットワーク」フィールドに、ＮｅｔＥｘｔｅｎｄｅｒで
アクセスできるようにする信頼済みネットワークのＩＰアドレスを入力します。例えば、ネットワーク
１９２.１６８.５０.０／２４の既存のＤＭＺに接続し、ＬＡＮネットワーク１９２.１６８.１６８.０／２４へのア
クセスを可能にする場合、１９２.１６８.１６８.０と入力します。
「クライアントルートの追加」ダイアログボックスが表
「送信先ネットワーク」フィールドに、ＩＰｖ６ルートを、２００７::１:２:３:０の形式で入力できます。
手順 5 ＩＰｖ４の送信先ネットワークに対しては、「サブネットマスク／接頭辞」フィールドに、サブネットマスクを
１０進形式（２５５.０.０.０、２５５.２５５.０.０、または２５５.２５５.２５５.０）で入力します。ＩＰｖ６の送信先
ネットワークに対しては、１１２のように接頭辞を入力します。
手順 6
「追加」を選択します。
手順 7 必要なすべてのルートについて、この手順を繰り返します。
ユーザおよびグループレベルのＮｅｔＥｘｔｅｎｄｅｒの設
ＮｅｔＥｘｔｅｎｄｅｒの複数範囲およびルートのサポートでは、ネットワーク管理者がグループとユーザを簡
単にセグメント分割できます。アクセスを制御するファイアウォールのルールを設定する必要はありませ
ん。このユーザのセグメント化によって、ネットワークへのアクセスを細かく制御できます。ユーザに対
しては必要なリソースへのアクセスを認め、機密性の高いリソースへのアクセスは必要最小限のユー
ザのみに制限できます。このセクションは次のサブセクションから構成されています。
･「ユーザレベルのＮｅｔＥｘｔｅｎｄｅｒ設定の構成」セクション（203 ページ）
･「グループレベルのＮｅｔＥｘｔｅｎｄｅｒ設定の構成」セクション（206 ページ）
ユーザレベルのＮｅｔＥｘｔｅｎｄｅｒ設定の構成
ＮｅｔＥｘｔｅｎｄｅｒのすべてのグローバル設定（ＩＰアドレス範囲、ＤＮＳ設定、クライアントルート、お
よびクライアント接続設定）はユーザおよびグループレベルで構成できます。ＮｅｔＥｘｔｅｎｄｅｒの複数範
囲およびルートのサポートでは、ネットワーク管理者がグループとユーザを簡単にセグメント分割できま
す。アクセスを制御するファイアウォールのルールを設定する必要はありません。このユーザのセグメ
ント化によって、ネットワークへのアクセスを細かく制御できます。ユーザに対しては必要なリソースへ
のアクセスを認め、機密性の高いリソースへのアクセスは必要最小限のユーザのみに制限できます。
個別のユーザのカスタム設定を構成するには、以下の手順に従います。
手順 1
「ユーザ＞ローカルユーザ」ページを開きます。
手順 2 編集するユーザの設定アイコン
を選択します。「ユーザの編集」ウィンドウが表示されます。
SonicWALL SRA 5.5 管理者ガイド
203
手順 3
「ＮＸ設定」タブを選択します。
ユーザのクライアントＩＰアドレス範囲の設定
クライアントＩＰアドレス範囲を設定するには、以下の手順に従います。
手順 1 このユーザのＩＰｖ４アドレス範囲を設定するには、「クライアントアドレス範囲の開始」フィールドに範囲の
開始アドレスを入力し、「クライアントアドレス範囲の終了」フィールドに範囲の終了アドレスを入力しま
す。
手順 2 このユーザに毎回同じＩＰアドレスを付与するには、そのＩＰアドレスを両方のフィールドに入力します。
手順 3 このユーザのＩＰｖ６アドレス範囲を設定するには、「クライアントＩＰｖ６アドレス範囲の開始」フィールドに範
囲の開始アドレスを入力し、「クライアントＩＰｖ６アドレス範囲の終了」フィールドに範囲の終了アドレス
を入力します。ＩＰｖ６設定はオプションです。
手順 4 このユーザに毎回同じＩＰアドレスを付与するには、そのＩＰアドレスを両方のフィールドに入力します。
ヒント複数のユーザが同じユーザ名を共用するという方法（推奨されない方法）を使っていない場合は、
ユーザのクライアントＩＰアドレス範囲に複数のＩＰアドレスを設定する必要はありません。
手順 5
「適用」を選択します。
ユーザ DNS 設定の構成
ユーザに対する個別 NetExtender DNS 設定を設定するには、以下の手順に従います。
手順 1
「プライマリ DNS サーバ」フィールドに、プライマリ DNS サーバの IP アドレスを入力します。
手順 2 オプションで、「セカンダリ DNS サーバ」フィールドに、セカンダリ DNS サーバの IP アドレスを入力します。
手順 3
「DNS ドメイン」フィールドに、 DNS サーバのドメイン名を入力します。
手順 4
「適用」を選択します。
ユーザＮｅｔＥｘｔｅｎｄｅｒ設定の構成
ユーザに対し、次のＮｅｔＥｘｔｅｎｄｅｒ設定を構成できます。
･切断後にクライアントを終了－ＳＳＬＶＰＮサーバから切断されたＮｅｔＥｘｔｅｎｄｅｒクライアントは終了
されます。再接続するには、ＳＳＬＶＰＮポータルに戻ってＮｅｔＥｘｔｅｎｄｅｒを選択するか、「プログ
ラム」メニューからＮｅｔＥｘｔｅｎｄｅｒを起動する必要があります。
204
SonicWALL SRA 5.5 管理者ガイド
･クライアント終了後にアンインストール－終了される、またはユーザが終了を選択 ( 単に切断する
のとは対照的に ) した際にＮｅｔＥｘｔｅｎｄｅｒクライアントが自動的にアンインストールされます。再接
続するには、ＳＲＡポータルに戻ってＮｅｔＥｘｔｅｎｄｅｒを選択する必要があります。このオプションは
ウィンドウズクライアントのみに当てはまり、ウィンドウズモバイル、Ａｎｄｒｏｉｄ、Ｍａｃ、Ｌｉｎｕｘに
は当てはまりません。
･クライアント接続プロファイルを作成－ＮｅｔＥｘｔｅｎｄｅｒクライアントは、ＳＳＬＶＰＮサーバ名、ドメ
イン名、およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します。
･「ユーザ名とパスワードの保存」オプションでは、ユーザがＮｅｔＥｘｔｅｎｄｅｒクライアントにユーザ名
とパスワードをキャッシュできるようにするかどうかを設定できます。選択できるオプションは、
「ユーザ名だけ保存を許可」、「ユーザ名とパスワードの保存を許可」、「ユーザ名とパスワードの保
存は不可」の３つです。これらのオプションによって、セキュリティの必要性とユーザの使い勝手
の両方に配慮した設定を実現できます。
ユーザの所属グループのＮｅｔＥｘｔｅｎｄｅｒ設定（ユーザがグループに属していない場合はグローバル
ＮｅｔＥｘｔｅｎｄｅｒ設定）を適用するには、上記の各オプションで「グループ設定を使用」を選択します。
ユーザＮｅｔＥｘｔｅｎｄｅｒルートの構成
ＮｅｔＥｘｔｅｎｄｅｒルートを設定するには、以下の手順に従います。
手順 1 このユーザのみに対してＮｅｔＥｘｔｅｎｄｅｒクライアントルートを追加するには、「ユーザ設定の編集」ウィンド
ウの「ＮＸルート」タブを選択します。
手順 2
「クライアントルートの追加」ボタンを選択します。
手順 3
「送信先ネットワーク」に、ＮｅｔＥｘｔｅｎｄｅｒでアクセスできるようにする信頼済みネットワークのＩＰｖ４または
ＩＰｖ６アドレスを入力します。
手順 4 ＩＰｖ４の送信先ネットワークに対しては、「サブネットマスク／接頭辞」フィールドに、サブネットマスクを
１０進形式（２５５.０.０.０、２５５.２５５.０.０、または２５５.２５５.２５５.０）で入力します。ＩＰｖ６の送信先
ネットワークに対しては、１１２のように接頭辞を入力します。
手順 5
「追加」を選択します。
手順 6 必要なルートすべてに対して、ステップ１～５を繰り返します。
手順 7
「強制トンネル方式」プルダウンメニューで「有効」を選択します。こうすると、このユーザへのすべての
トラフィック（リモートユーザのローカルネットワーク宛てのトラフィックも含む）でＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒトンネルが使用されます。
手順 8 このユーザに対して、グローバルＮｅｔＥｘｔｅｎｄｅｒクライアントルート（「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルー
ト」ページで設定）も追加するには、「ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを追加する」チェッ
クボックスをオンにします。
手順 9 ユーザが属するグループのグループＮｅｔＥｘｔｅｎｄｅｒクライアントルートも追加するには、「グループ
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの追加」チェックボックスをオンにします。グループＮｅｔＥｘｔｅｎｄｅｒ
SonicWALL SRA 5.5 管理者ガイド
205
ルートは、「グループの編集」ウィンドウの「ＮｅｔＥｘｔｅｎｄｅｒ」タブで設定します。このウィンドウは、
「ユーザ＞ローカルグループ」ページから表示します。
手順 10
備考
「適用」を選択します。
外部認証サーバを使用するときには、通常はＳｏｎｉｃＷＡＬＬＳＲＡ装置にローカルユーザ名は設
定されていません。その場合、「ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを追加する」および
「ＮｅｔＥｘｔｅｎｄｅｒグループクライアントルートを追加する」がオンに設定されているときには、ユーザ
の認証が正常に完了すると、ローカルユーザアカウントが作成されます。
グループレベルのＮｅｔＥｘｔｅｎｄｅｒ設定の構成
ＮｅｔＥｘｔｅｎｄｅｒの複数範囲およびルートのサポートでは、ネットワーク管理者がグループとユーザを簡
単にセグメント分割できます。アクセスを制御するファイアウォールのルールを設定する必要はありませ
ん。このユーザのセグメント化によって、ネットワークへのアクセスを細かく制御できます。ユーザに対
しては必要なリソースへのアクセスを認め、機密性の高いリソースへのアクセスは必要最小限のユー
ザのみに制限できます。
グループのカスタム設定を構成するには、以下の手順に従います。
手順 1
「ユーザ＞ローカルグループ」ページを開きます。
手順 2 編集するグループの設定アイコン
手順 3
を選択します。「グループの編集」ウィンドウが表示されます。
「ＮＸ設定」タブを選択します。
グループのクライアントＩＰアドレス範囲の構成
グループレベルのＮｅｔＥｘｔｅｎｄｅｒアドレス範囲を設定するには、以下の手順に従います。
手順 1 このグループのＩＰｖ４アドレス範囲を設定するには、「クライアントアドレス範囲の開始」フィールドに範囲
の開始アドレスを入力し、「クライアントアドレス範囲の終了」フィールドに範囲の終了アドレスを入力し
ます。
206
SonicWALL SRA 5.5 管理者ガイド
手順 2 このグループのＩＰｖ６アドレス範囲を設定するには、「クライアントＩＰｖ６アドレス範囲の開始」フィールドに
範囲の開始アドレスを入力し、「クライアントＩＰｖ６アドレス範囲の終了」フィールドに範囲の終了アドレ
スを入力します。ＩＰｖ６設定はオプションです。
手順 3
「適用」を選択します。
グループ DNS 設定の構成
グループに対する個別 NetExtender DNS 設定を設定するには、以下の手順に従います。
手順 1
「プライマリ DNS サーバ」フィールドに、プライマリ DNS サーバの IP アドレスを入力します。
手順 2 オプションで、「セカンダリ DNS サーバ」フィールドに、セカンダリ DNS サーバの IP アドレスを入力します。
手順 3
「DNS ドメイン」フィールドに、 DNS サーバのドメイン名を入力します。
手順 4
「適用」を選択します。
グループＮｅｔＥｘｔｅｎｄｅｒ設定の構成
グループに対し、次のＮｅｔＥｘｔｅｎｄｅｒ設定を構成できます。
･切断後にクライアントを終了－ＳＳＬＶＰＮサーバから切断されたＮｅｔＥｘｔｅｎｄｅｒクライアントは終了
されます。再接続するには、グループ内のユーザはＳＳＬＶＰＮポータルに戻ってＮｅｔＥｘｔｅｎｄｅｒ
を選択するか、「プログラム」メニューからＮｅｔＥｘｔｅｎｄｅｒを起動する必要があります。
･クライアント終了後にアンインストール－終了される、またはユーザが終了を選択 ( 単に切断する
のとは対照的に ) した際にＮｅｔＥｘｔｅｎｄｅｒクライアントが自動的にアンインストールされます。再接
続するには、グループ内のユーザはＳＲＡポータルに戻ってＮｅｔＥｘｔｅｎｄｅｒを選択する必要があり
ます。このオプションはウィンドウズクライアントのみに当てはまり、ウィンドウズモバイル、
Ａｎｄｒｏｉｄ、Ｍａｃ、Ｌｉｎｕｘには当てはまりません。
･クライアント接続プロファイルを作成－ＮｅｔＥｘｔｅｎｄｅｒクライアントは、ＳＳＬＶＰＮサーバ名、ドメ
イン名、およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します。
･「ユーザ名とパスワードの保存」オプションでは、ユーザがＮｅｔＥｘｔｅｎｄｅｒクライアントにユーザ名
とパスワードをキャッシュできるようにするかどうかを設定できます。選択できるオプションは、
「ユーザ名だけ保存を許可」、「ユーザ名とパスワードの保存を許可」、「ユーザ名とパスワードの保
存は不可」の３つです。これらのオプションによって、セキュリティの必要性とユーザの使い勝手
の両方に配慮した設定を実現できます。
グローバルＮｅｔＥｘｔｅｎｄｅｒ設定をユーザに適用するには、上記の各オプションで「グループ設定を使
用する」を選択します。
グループＮｅｔＥｘｔｅｎｄｅｒルートの構成
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートを設定するには、以下の手順に従います。
手順 1 このユーザのみに対してＮｅｔＥｘｔｅｎｄｅｒクライアントルートを追加するには、「ユーザ設定の編集」ウィンド
ウの「ＮＸルート」タブを選択します。
手順 2 このグループのユーザにのみ追加されるＮｅｔＥｘｔｅｎｄｅｒクライアントルートを追加するには、「クライアント
ルートの追加」ボタンを選択します。
手順 3
「送信先ネットワーク」に、ＮｅｔＥｘｔｅｎｄｅｒでアクセスできるようにする信頼済みネットワークのＩＰｖ４または
ＩＰｖ６アドレスを入力します。
手順 4 ＩＰｖ４のルートに対しては、「サブネットマスク／接頭辞」フィールドに、サブネットマスクを入力します。
ＩＰｖ６のルートに対しては、「サブネットマスク／接頭辞」フィールドに接頭辞を入力します。
手順 5
「追加」を選択します。必要なルートすべてに対して、ステップ１～５を繰り返します。
手順 6
「強制トンネル方式」プルダウンメニューで「有効」を選択します。こうすると、このユーザへのすべての
トラフィック（リモートユーザのローカルネットワーク宛てのトラフィックも含む）でＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒトンネルが使用されます。
SonicWALL SRA 5.5 管理者ガイド
207
手順 7 このグループのユーザに対して、グローバルＮｅｔＥｘｔｅｎｄｅｒクライアントルート（「ＮｅｔＥｘｔｅｎｄｅｒ＞クライ
アントルート」ページで設定）も追加するには、「ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを追加
する」チェックボックスをオンにします。
手順 8
208
「適用」を選択します。
SonicWALL SRA 5.5 管理者ガイド
第7章
第7章
仮想アシストの設定
この章ではＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースの「仮想アシスト」ペー
ジに関する情報とそのタスク操作について説明します。
仮想アシストは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのユーザが顧客のコンピュータをリモート制御して、動作を
顧客に見せながら顧客をサポートすることを可能にする使いやすいツールです。顧客サポートは、昔
から費用と時間がかかるビジネス分野でした。仮想アシストは、簡単に展開できる、使いやすいリ
モートサポートソリューションを実現します。
仮想アシストの概念の詳細については、「仮想アシストの概要」セクション（51 ページ）を参照してく
ださい。
この章は、次のセクションから構成されています。
･「仮想アシスト＞状況」セクション（210 ページ）
･「仮想アシスト＞設定」セクション（211 ページ）
･「仮想アシスト＞ログ」セクション（216 ページ）
･「仮想アシスト＞ライセンス」セクション（217 ページ）
admin_remoteSupportStatus
SonicWALL SRA 5.5 管理者ガイド
209
仮想アシスト＞状況
このセクションでは、「仮想アシスト＞状況」ページの概要と、このページで行える設定タスクについ
て説明します。
･「仮想アシスト＞状況の概要」セクション（210 ページ）
仮想アシスト＞状況の概要
「仮想アシスト＞状況」ページには、現在アクティブな要求の要約（顧客の名前、顧客から提供さ
れた問題の要約、仮想アシストセッションの状況、顧客をアシストしている技術者）が表示されます。
技術者に対しては、このページにポータル、ドメイン、状況が表示されます。
画面右側の「ストリーミング更新」は、顧客の状況に対する変更が動的に更新されることを示します。
「ON」「OFF」ボタンを選択すると、ストリーミング更新の有効、無効が切り替わります。
「ログアウト」ボタンを選択すると、顧客がキューから削除されます。現在セッション中の顧客の場合
は顧客と技術者の両方が切断されます。
技術者の立場から仮想アシストを使うときの情報については、次のセクションを参照してください。
･「仮想アシストの技術者側のセッションを開始する」セクション（53 ページ）
･「仮想アシストの技術者タスクを実行する」セクション（55 ページ）
admin_remoteSupportSettings
admin_vaAdminAddr
210
SonicWALL SRA 5.5 管理者ガイド
仮想アシスト＞設定
このセクションでは、「仮想アシスト＞設定」ページと、このページで使用できる設定タスクについて
説明します。仮想アシストのオプションは次のタブに分かれています。
･「一般設定」（211 ページ）
･「要求の設定」（212 ページ）
･「通知の設定」（212 ページ）
･「顧客ポータルの設定」（214 ページ）
･「制限の設定」（215 ページ）
一般設定
仮想アシストの一般設定を行うには、以下のタスクを実行します。
手順 1
「仮想アシスト＞設定」ページを表示します。
手順 2 仮想アシストへのアクセスを許可する前に顧客にパスワードの入力を求める場合は、「アシストコード」ウィ
ンドウにパスワードを入力します。
手順 3
（オプション）「招待なしでのサポートを有効にする」がオンのとき、顧客は招待の電子メールを受け取って
いなくてもアシストを要求できます。これがオフのときは、技術者によって明示的に招待された顧客だ
けがアシストを受けることができます。
手順 4
（オプション）標準のユーザログインページではなく、顧客ログイン画面を既定の開始ページにするには、
「顧客ログインを既定で表示する」を選択します。
手順 5
（オプション）仮想アシストを受ける顧客に法的な免責事項、指示、またはその他の追加情報を示すには、
「免責事項」フィールドにその内容を入力します。このフィールドではＨＴＭＬコードを使用できます。
免責事項が表示されたら、顧客は仮想アシストセッションを開始する前に「承諾」を選択する必要が
あります。
手順 6
（オプション）仮想アシストにアクセスするためのＵＲＬを変更するには、「顧客アクセスリンク」フィールド
にＵＲＬを入力します。ＳｏｎｉｃＷＡＬＬＳＲＡ装置がネットワークの外側に設置されており、アクセス先
として別のＵＲＬを使用しなければならない場合は、この操作が必要となることがあります。
SonicWALL SRA 5.5 管理者ガイド
211
既定のＵＲＬは〈https://server-name/cgi-bin/supportLogin〉です。ＵＲＬを入力する際、先頭の
ｈｔｔｐｓ：／／と末尾の／ｃｇｉ-ｂｉｎ／ｓｕｐｐｏｒｔＬｏｇｉｎは自動的に入力されます。
たとえば、「顧客アクセスリンク」フィールドにｔｅｓｔ.ｃｏｍ／ｖｉｒｔｕａｌ_ａｓｓｉｓｔと入力すると、自動的に
ｈｔｔｐｓ：／／ｔｅｓｔ.ｃｏｍ／ｖｉｒｔｕａｌ_ａｓｓｉｓｔ／ｃｇｉ-ｂｉｎ／ｓｕｐｐｏｒｔＬｏｇｉｎになります。
手順 7 ポータルログインページに仮想アシストへのリンクを表示するには、「ポータルログインページに仮想アシ
ストリンクを表示」チェックボックスをオンします。顧客はリンクを選択すると、仮想アシストポータル
ログインページに直接移動でき、仮想オフィスにログオンする必要はありません。
要求の設定
仮想アシスト要求の設定を行うには、以下のタスクを実行します。
手順 1
「仮想アシスト＞設定」ページの下部にある「要求の設定」タブを選択します。
手順 2 一定の時間が経過したとき仮想アシスト要求をタイムアウトさせるには、「期限切れチケット」フィールドに値
を入力します。既定値は０で、期限が終了しないことを意味します。タイムアウト時間が経過すると、
顧客は仮想アシスト要求を再び出す必要があります。
手順 3 仮想アシストキューに含めることができる顧客の数を制限するには、「最大リクエスト」フィールドに値を入
力します。
手順 4
「制限メッセージ」フィールドでは、必要に応じて、キューが一杯になったとき顧客に表示するメッセージを
カスタマイズできます。メッセージは最大２５６文字です。
手順 5
「Ｍ１つのＩＰからの最大要求数」フィールドに値を入力すると、特定の顧客が繰り返し支援を求めるよう
な状況で制限を課すことができます。ただし、これは顧客が単一の IP アドレスの背後で DHCP を使用
している場合に問題を起こすことがあります。既定値の０は、特定の IP アドレスの要求を制限しない
ことを意味します。
手順 6
「未解決要求の期限切れ」フィールドに値を入力すると、所定の時間（分単位）内にアシストされなかっ
た顧客がキューから自動的に削除されます。既定値の０は、アシストされなかった顧客を削除しない
ことを意味します。
通知の設定
仮想アシスト通知の設定を行うには、以下のタスクを実行します。
212
SonicWALL SRA 5.5 管理者ガイド
手順 1
「仮想アシスト＞設定」ページの下部にある「通知設定」タブを選択します。
手順 2 顧客が仮想アシストキューにログインしたときサポート技術者に自動的に電子メールが送信されるようにする
には、技術者の電子メールアドレスを「技術者電子メールリスト」に入力します。複数のメールアド
レスを入力する場合は、セミコロン（；）で区切って入力します。
手順 3 次の３つのフィールドで招待の電子メールをカスタマイズできます。
･「招待の件名」－電子メールの件名
･「招待のサポートリンクテキスト」－仮想アシストにアクセスするＵＲＬへのリンクの説明文
･「招待メッセージ」 - 招待の電子メールの本文
･「招待の既定送信元電子メールアドレス」 - 既定の電子メールの送信元
これらの３つのフィールドでは次の変数を使用して招待をカスタマイズしたり特定の個人に合わせたり
することができます。
･％ＥＸＰＥＲＴＮＡＭＥ％－招待の電子メールを送信する技術者の名前
･％ＣＵＳＴＯＭＥＲＭＳＧ％－「一般設定」タブで設定した免責事項
･％ＳＵＰＰＯＲＴＬＩＮＫ％－仮想アシストにアクセスするためのＵＲＬ
･％ＡＣＣＥＳＳＬＩＮＫ％－ＳＳＬＶＰＮ仮想オフィスにアクセスするためのＵＲＬ
備考
現在設定されているメールサーバと電子メール返信先アドレスが「仮想アシスト＞設定」ページ
の下部にリストされます。技術者が通知の電子メールを受け取ったり、仮想アシストの招待を顧客
にメールしたりできるようにするには、「ログ＞設定」ページでメールサーバを設定する必要があ
ります。技術者の電子メールアドレスが正確なら、顧客に送信された電子メールがサードパーティ
SonicWALL SRA 5.5 管理者ガイド
213
の電子メールフィルタで遮断された場合に仮想アシストクライアントにエラーを返さず、遮断された
電子メール通知をシステム内の技術者に送ることもできます。
顧客ポータルの設定
仮想アシスト顧客ポータルの体裁をカスタマイズするには、以下のタスクを実行します。
手順 1
「仮想アシスト＞設定」ページの下部にある「顧客ポータル設定」タブを選択します。
手順 2 以下のオプションを設定して顧客ポータルの体裁をカスタマイズします。
･「会社ロゴの表示」－「ポータルの編集」ウィンドウの「ロゴ」タブで設定した会社ロゴを表示しま
す。
･「会社著作権の表示」－ページ下部に著作権情報を表示します。
･「よくある質問と回答とツアーの表示」－仮想アシストのＦＡＱとツアーへのリンクを顧客要求ペー
ジに表示します。
･「上部のヒントメッセージ」－仮想アシストリンクの上側に表示されるテキストをカスタマイズしま
す。
214
SonicWALL SRA 5.5 管理者ガイド
･「下部のヒントメッセージ」－仮想アシストリンクの下側に表示されるテキストをカスタマイズしま
す。
･「ツアーヘルプテキスト」－仮想アシストツアーのリンクの上に表示されるテキストをカスタマイズ
します。
･「顧客ヘルプテキスト」－顧客が仮想アシストリンクを選択したときに表示されるテキストをカスタマ
イズします。
制限の設定
仮想アシスト制限の設定を行うには、以下のタスクを実行します。
手順 1
「仮想アシスト＞設定」ページの下部にある「制限の設定」タブを選択します。
手順 2 特定のＩＰアドレスまたはネットワークの仮想アシスト要求を拒否するには、「定義済みアドレスからの要求」
プルダウンメニューから「拒否」を選択します。
手順 3 特定のＩＰアドレスまたはネットワークの仮想アシスト要求だけを許可するには、「定義済みアドレスからの要
求」プルダウンメニューから「許可」を選択します。
手順 4 ＩＰアドレスまたはネットワークを拒否または許可リストに追加するには、「追加 ... 」ボタンを選択します。
「管理者のアドレス」ウィンドウが表示されます。
手順 5 設定済みの制限を削除するには、「アドレス」フィールド内の削除したいアドレスを選択して、「削除」を選
択します。フィールドからアドレスが削除されます。
制限の設定にアドレスを追加する
手順 1
「仮想アシスト＞設定」ページの下部にある「制限の設定」タブを選択します。
手順 2
「追加」を選択します。「アドレス管理」ウィンドウが表示されます。
手順 3
「送信元アドレス種別」プルダウンメニューで以下の中から指定したいものを選択します。
･ＩＰアドレス
･ＩＰネットワーク
･ＩＰｖ６アドレス
･ＩＰｖ６ネットワーク
手順 4 アドレスまたはネットワークを定義する情報を入力し、「適用」を選択します。
admin_remoteSupportLog
SonicWALL SRA 5.5 管理者ガイド
215
仮想アシスト＞ログ
「仮想アシスト＞ログ」ページでは、以前の仮想アシストセッションに関する詳細な情報にアクセスで
きます。「ログ」ページには、最近のセッションの要約が表示されます。
顧客に対応する技術者の活動（技術者のＩＤ、接客時間、顧客と技術者のコンピュータに関する情
報、チャットダイアログ、顧客要求の登録情報、サービス作業に先立って顧客が終了したかどうか、
セッション終了後の技術者の意見など）がログに詳細に記録されるようになりました。
「チケット」を選択すると、セッション（チケットとも呼ばれる）の詳細が表示されます。「仮想アシスト
＞ログ＞ < チケット番号 >」ページが表示されます。「ログの保存」を選択してページ上の情報を保
存します。「仮想アシスト＞ログ」要約ページに戻るには、「戻る」を選択します。
「エクスポート」を選択して、すべてのログセッションのすべてのテキストを含むｚｉｐファイルを保存しま
す。このログは要約ファイルと各セッションの詳細ファイルで構成されます。これらのファイルの内容
は、ＭｉｃｒｏｓｏｆｔＷｏｒｄで表示できます。
「ログの消去」を選択して、すべてのログメッセージを消去します。
「電子メールログ」を選択して、「ログ＞設定」ページで設定した電子メールアドレスにログを送信し
ます。
「検索」オプションを使用して、ログメッセージをフィルタリングすることができます。この検索では大文
字と小文字が区別されることに注意してください。プルダウンメニューで、検索に使用するフィールドを
選択します。「検索」を選択すると、検索文字列に一致するメッセージだけが表示されます。検索文
字列に一致するメッセージが表示されないようにするには、「除外」を選択します。「リセット」を選択
すると、すべてのメッセージが再び表示されます。
「１ページあたりの項目」フィールドの値を変更して、表示されるログメッセージの数を増やしたり減ら
したりできます。ログメッセージのページ内では、前向きまたは後ろ向き矢印を使用して表示をスク
ロールします。
見出しを選択すると、ログメッセージは見出しのアルファベット順に並べ替えられます。
admin_remoteSupportLicense
216
SonicWALL SRA 5.5 管理者ガイド
仮想アシスト＞ライセンス
このセクションでは、「仮想アシスト＞ライセンス」ページの概要と、このページで行える設定タスクに
ついて説明します。
･「「仮想アシスト＞ライセンス」ページの概要」セクション（217 ページ）
･「仮想アシストの有効化」セクション（217 ページ）
「仮想アシスト＞ライセンス」ページの概要
仮想アシストは、ライセンスサービスです。「仮想アシスト＞ライセンス」ページでは、仮想アシス
トのライセンスの状況を表示できます。ライセンスは、サポート担当者の人数分を購入できます。
「仮想アシスト＞ライセンス」ページの下部に、仮想アシストのライセンスが購入されているかどうか、
および購入されている場合はライセンスされた人数が表示されます。
このページで仮想アシストのライセンスを有効にするかアップグレードする場合、「システム＞ライセン
ス」が表示されます。
「仮想アシスト＞ライセンス」ページの同じ内容は、仮想アシストの有効なライセンスがない
ＳｏｎｉｃＷＡＬＬＳＲＡ装置で「仮想アシスト＞状況」ページに移動したときも表示されます。
仮想アシストの有効化
仮想アシストがライセンスされた後で作成されたポータル上では、既定で仮想アシストが有効になって
います。仮想アシストライセンスが購入される前に作成されたすべてのポータル上では、既定で仮想
アシストが無効になっています。
基本的な画面共有サポートのためには、ユーザは管理者権限が不要です。クライアントの完全インス
トールのためには、管理者権限が必要になる場合がありますが、サービスを使うために完全インス
トールは必須ではありません。仮想アクセスおよび不在モードは管理者権限を必要とします。
仮想アシストを設定するには、次の手順に従います。
手順 1 仮想アシストのライセンスを購入して有効化するには、「システム＞ライセンス」に移動し、「サービスの購
読、アップグレード、および更新」へのリンクを選択します。
詳細については、「システム＞ライセンス」セクション（91 ページ）を参照してください。
SonicWALL SRA 5.5 管理者ガイド
217
手順 2 仮想アシストは、仮想アシストライセンスを購入する前に作成されたポータルに対しては、既定ですべて無
効になります。仮想アシストライセンスの購入後に作成されたポータルに対しては、既定ですべて有
効になります。ポータルに対して仮想アシストを有効にするには、「ポータル＞ポータル」ページに進
み、必要なポータルの「設定」アイコンを選択します。新しいポータルを作成するには、「ポータル
＞ポータル」ページに進み、「ポータルの追加」ボタンを選択します。「ポータル＞ポータル」セク
ション（136 ページ）を参照してください。
手順 3
「ポータルの編集」ウィンドウの「仮想アシスト」タブを選択します。
手順 4
「このポータルで仮想アシストを有効にする」チェックボックスをオンにし、「適用」を選択します。これで、
仮想アシストが有効になり、すぐに使用できます。ＳＳＬＶＰＮユーザの「仮想オフィス」ページに仮
想アシストアイコンが表示されます。
手順 5 仮想オフィスウィンドウ上の技術者ボタンを隠して、技術者にクライアントを通した直接ログインを要求する
には、「技術者ボタンを表示する」チェックボックスをオフにします。
手順 6 仮想オフィス上に、ユーザが仮想アシストを起動するための支援ボタンを表示するには、「支援の要求ボタ
ンを表示する」チェックボックスをオンにします。
手順 7 このポータルへの仮想アクセス接続の作成を許可するには、「仮想アクセスモードを有効にする」チェック
ボックスをオンにします。このポータル上で仮想アシストを機能させるためには、これは必須です。
手順 8 仮想オフィス上に、仮想アクセス設定リンクを表示するには、「仮想アクセス設定リンクを表示する」チェッ
クボックスをオンにします。
手順 9 必要に応じて、このウィンドウのタブを使用し、この個別のポータルの仮想アシストのすべての設定をカスタ
マイズできます。
これで、仮想アシストが有効になり、すぐに使用できます。ＳＳＬＶＰＮユーザの「仮想オフィス」
ページに「仮想アシスト」アイコンが表示されます。
218
SonicWALL SRA 5.5 管理者ガイド
第8章
第8章
高可用性の設定
この章では SonicWALL SSL VPN 管理インターフェースの「高可用性」ページに関する情報とその
設定タスクについて説明します。
高可用性は、同等の 2 台の SonicWALL SRA 4200 装置がパブリックインターネットに対する信頼性が
高く、連続した接続を提供できるようにします。この 2 台の SonicWALL SRA 4200 装置は、同時に配
備され、互いに接続されており、高可用性ペア（HA ペア）と呼ばれます。
この章は、次のセクションを含みます。
･「高可用性の概要」セクション（220 ページ）
･「高可用性の設定」セクション（221 ページ）
･「技術 FAQ」セクション（224 ページ）
admin_haConfig
SonicWALL SRA 5.5 管理者ガイド
219
高可用性の概要
高可用性には、 1 台のプライマリ装置として設定された SRA 4200 と、バックアップ装置として設定され
た同等の SRA 4200 が必要です。
通常運転中は、プライマリ装置がアクティブ状態で、すべての接続を提供します。バックアップ装置は
アイドル状態です。プライマリ装置が接続性を失うと、バックアップがアクティブ状態に移行して、外部
接続の提供を開始します。設定データとセッションデータを含む、必要なデータはプライマリとバック
アップの間で同期されます。
フェイルオーバーは、プライマリ装置上の機能性やネットワークレイヤの接続の障害に適用されます。
バックアップ装置へのフェイルオーバーは、重要なサービスが影響を受けた、物理（または論理）リ
ンクの障害が検知された、またはプライマリ装置への電源供給が失われた際に発生します。
サポートされるプラットフォーム
高可用性は、 SonicWALL SSL VPN 5.0 以降が動作している SonicWALL SRA 4200 でサポートされま
す。
220
SonicWALL SRA 5.5 管理者ガイド
高可用性の設定
高可用性 (HA) には、 1 台のプライマリ装置として設定された SRA 4200 と、バックアップ装置として設
定された同等の SRA 4200 が必要です。 2 台の SRA 4200 装置間の HA 接続は、アクティブ / パッシ
ブ状態です。「高可用性＞設定」ページには、高可用性を構成するための設定が提供されます。
設定に関する情報については、以下のセクションを参照してください。
･「物理接続」セクション（222 ページ）
･「高可用性の準備」セクション（222 ページ）
･「高可用性の設定」セクション（222 ページ）
･「インターフェース監視の有効化」セクション（223 ページ）
･「ネットワーク監視アドレスの設定」セクション（223 ページ）
･「ファームウェアの同期」セクション（224 ページ）
SonicWALL SRA 5.5 管理者ガイド
221
物理接続
X3 インターフェースは、 HA 制御トラフィックのために使われる既定のポートです。 HA リンクは、 SRA
4200 HA ペアの X3 ポートを繋ぐ必要があります。
通常運転中は、プライマリ装置がアクティブ状態で、すべての接続を提供する一方、バックアップ装
置はアイドル状態です。プライマリ装置が接続性を失うと、バックアップがアクティブ状態に移行して、
外部接続の提供を開始します。
高可用性の準備
「高可用性＞設定」ページでオプションを構成する前に、高可用性のために機器を以下の手順で準備
します。
手順 1 あなたのサブネットに依存しない IP アドレスを使って、両方の SRA 4200 装置を独立した機器として設定しま
す。
手順 2 両方の機器に最新の SRA 4200 ファームウェアをアップロードします。 HA は、両方の機器に同じファーム
ウェアバージョンがインストールされていないと、正しく機能しません。
手順 3 両方の機器の X3 インターフェースを、ギガビットの接続を確保するためにカテゴリ 5E またはより高性能な
ケーブルを使って接続します。
備考
SonicWALL は、両方の SRA 機器の設定をバックアップしてダウンロードしておくことを推奨します。
手順 4 ブラウザでプライマリ装置にログインして、、「ネットワーク＞インターフェース」ページに移動します。「状
況」を見ることで、 X3 ポートがアクティブであることを確認します。「1000 Mbps - 全二重」と表示され
ているはずです。
高可用性の設定
高可用性設定セクションで高可用性を有効にしてオプションを設定するには、以下の手順を実行しま
す。
手順 1 ブラウザでプライマリ装置にログインして、「高可用性＞設定」ページに移動します。
手順 2
「高可用性設定を有効にする」チェックボックスを選択します。
手順 3
「ハートビート間隔」をミリ秒で入力します。ハートビートは、プライマリとバックアップ装置の間の接続性の
試験に使用されます。ハートビート間隔は、どのくらいの頻度で 2 台の装置が通信するかを制御しま
す。最小値は 500 ミリ秒（0.5 秒）で、最大値は 300,000 ミリ秒（5 分）です。
手順 4
「フェイルオーバートリガーレベル」の値を入力します。これは、フェイルオーバーが発生するまでに取りこ
ぼすハートビートの数です。最小値は 4 で、最大値は 99 です。
手順 5
「プライマリシリアル番号」フィールドに、プライマリ装置のシリアル番号を入力します。最長 12 文字で
す。
手順 6
「バックアップシリアル番号」フィールドに、バックアップ装置のシリアル番号を入力します。最長 12 文字
です。
手順 7
「適用」ボタンを選択します。
手順 8 ブラウザで、新しいタブを開いてバックアップ装置の IP アドレスをポイントします。バックアップ装置にログイ
ンします。
手順 9 バックアップ装置で手順 1 から手順 7 を繰り返します。
「適用」ボタンを選択すると、バックアップ装置はアイドルになり、その IP アドレスを使ってアクセスで
きなくなります。このときプライマリ装置が HA 設定の前と同じ設定でアクティブになります。
222
SonicWALL SRA 5.5 管理者ガイド
HA ペアの装置は、すぐにプライマリからバックアップ装置へのデータの同期を開始します。フェイル
オーバーが発生してプライマリがダウンした場合、バックアップ装置がプライマリと同じ設定でアクティブ
になります。
インターフェース監視の有効化
「高可用性＞設定」ページの「インターフェース監視」セクションで、インターフェースの監視を有効
にして監視するインターフェースを選択できます。
選択可能な監視対象のインターフェースは、 X0、 X1、および X2 です。インターフェース監視が有効に
されて設定されると、監視されているインターフェースのどれかがアクティブ装置で接続性を失い、か
つアイドル装置で到達可能のままだった場合は、フェイルオーバーが発生します。
インターフェース監視を有効にするには、以下の手順に従います。
手順 1
「高可用性＞設定」ページの「インターフェース監視」の下で、「インターフェース監視を有効にする」
チェックボックスを選択します。
手順 2
「監視するインターフェース」リストから、監視したいインターフェースを選択します。
手順 3
「適用」を選択します。
ネットワーク監視アドレスの設定
「ネットワーク監視アドレス」セクションで、 LAN および WAN IP Adoresu の監視を設定できます。ネット
ワーク監視が設定されると、 LAN または WAN 接続がアクティブ装置で失われ、しかしアイドル装置で
到達可能の場合は、フェイルオーバーが発生します。
設定されると、 LAN と WAN の接続状態が検出され、画面最上部の「高可用性状況」セクションに表
示されます。
SonicWALL SRA 5.5 管理者ガイド
223
ネットワーク監視を設定するには、以下の手順に従います。
手順 1
「高可用性＞設定」ページの「ネットワーク監視アドレス」の下で、「LAN 監視アドレス」フィールドに
LAN IP アドレスを入力します。
手順 2
「WAN 監視アドレス」フィールドに WAN IP アドレスを入力します。
手順 3
「適用」を選択します。
ファームウェアの同期
「ファームウェアの同期」ボタンを選択することで、 HA ペアのアクティブ装置からアイドル装置にファー
ムウェアを同期できます。
これにより、アクティブ装置を異なるバージョンにアップグレードした後で、装置間でファームウェアを同
期できます。
「適用」ボタンを選択してもファームウェアは同期されませんが、アクティブからアイドル装置に設定は
同期されます。
技術 FAQ
1. HA が有効になりました。同時にアイドル装置を使うことができますか ?
いいえ。 HA が一旦設定されると、同時に 1 台の装置のみ使用可能です。フェイルオーバーの間
は、アイド装置がアクティブになります。 HA モードの 2 台の機器は、別々の SRA として使用でき
ません。
2. HA から X3 インターフェースのケーブルを抜くと何が起こりますか ?
もし X3 (HA) ケーブルを抜くと、アイドル装置はスタンドアロンで動作するように再設定できます。し
かしながら、これはプライマリとバックアップ装置が同じ IP 設定を有するために IP 競合を起こすこと
があります。
3. HA が有効になってから X3 インターフェースの設定を修正できますか ?
HA が設定されると、 X3 インターフェースの ‘編集’ ボタンはグレーアウトされて無効になります。こ
のように、一旦装置が HA モードになると、 X3 のインターフェース設定は編集できなくなります。
4. HA モードが設定されてから X0、 X1、 X2 インターフェースの設定を修正できますか ?
X0、 X1、 X2 インターフェースの設定はアクティブ装置上で修正可能で、これらの新しい設定は
バックアップ装置にコピーされます。
5. 装置間の同期状態はどこかで確認できますか ?
はい。これらは、アクティブ SRA の「ログ > 表示」ページで確認できます。すべてのデータの同
期が終了したことを告げるログメッセージが表示されます。
6. バックアップ装置が正しく動作していることを確認するための準備がありますか ?
はい。「ログ > 表示」ページに、アクティブおよびアイドル装置の移行に関する多くのメッセージが
表示されます。
224
SonicWALL SRA 5.5 管理者ガイド
高可用性ページで、装置の状況が、下図のように 1 台がアクティブでもう 1 台がアイドルになって
いることを確認できます。
「ネットワーク監視アドレス」セクションで LAN および WAN 監視 IP アドレスが設定されている場合、
それらのインターフェースの状況が表示されます。
「ネットワーク > インターフェース」ページで、 X3 インターフェースの状況が、 “HA Link-Connected”
になっていることを確認できます。
7. ファームウェアと設定はアイドル装置に同期されますか ?
はい。アクティブとアイドルノードの間では、ファームウェアと設定の両方が同期されます。
「ファームウェアの同期」ボタンにより、アクティブからアイドル装置にファームウェアを同期できま
す。設定が変更された場合は、「適用」ボタンを選択すると設定が同期されます。
8. SRA 4200 機器の HA 設定は、 SonicWALL のファイアウォール機器の HA 設定と異なりますか ?
はい。ファイアウォールの HA 設定は大きく異なります。他の HA 機能と協調して、ファイアウォー
ルの HA はアクティブ／アクティブ状態が利用可能で、仮想 IP アドレスを割り当てることができま
す。 SRA 4200 機器の HA は、現状はアクティブ／パッシブモードのみ利用可能です。
9. アイドル装置に設定を適用するには、どうすれば良いですか ?
HA 設定が完了するとすぐに、設定はアクティブ装置からアイドル装置にコピーされます。これの成
功は、アクティブ機器のイベントログメッセージで確認できます。
10. バックアップ装置の設定では、何が起こりますか ?
アイドル装置の設定は削除され、アクティブ機器の設定に置き換わります。バックアップ装置の設
定を保持したい場合は、 HA に切り替える前に設定のバックアップをダウンロードしておくことを推奨
します。
SonicWALL SRA 5.5 管理者ガイド
225
226
SonicWALL SRA 5.5 管理者ガイド
第9章
ウェブアプリケーション
ファイアウォールの設定
第9章
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースで行われる、「ウェブ
アプリケーションファイアウォール」ページでの設定タスクについて説明します。
ウェブアプリケーションファイアウォールは購読ベースのソフトウェアであり、ＳｏｎｉｃＷＡＬＬＳＲＡ装置
で実行され、ＳＲＡの背後にあるウェブアプリケーションを保護します。また、ウェブアプリケーション
ファイアウォールは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置本体で実行されるＨＴＴＰ（Ｓ）ブックマーク、Ｃｉｔｒｉｘ
ブックマーク、オフロードウェブアプリケーション、ＳＲＡ管理インターフェースやユーザポータルなど
のリソースをリアルタイムで保護します。
ウェブアプリケーションファイアウォールの概念の詳細については、「ウェブアプリケーションファイア
ウォールの概要」セクション（62 ページ）を参照してください。
この章は、次のセクションから構成されています。
･「ウェブアプリケーションファイアウォールのライセンス」セクション（228 ページ）
･「ウェブアプリケーションファイアウォールの設定」セクション（231 ページ）
･「ウェブアプリケーションファイアウォールの検証とトラブルシューティング」セクション（274 ペー
ジ）
admin_wafSupportLicense
SonicWALL SRA 5.5 管理者ガイド
227
ウェブアプリケーションファイアウォールの
ライセンス
ＳｏｎｉｃＷＡＬＬＳＲＡウェブアプリケーションファイアウォールを使用するには、ライセンスが必要です。
ＳＲＡ管理インターフェースから mｙＳｏｎｉｃＷＡＬＬウェブサイトに直接アクセスしてライセンスを取得でき
ます。
ＳｏｎｉｃＷＡＬＬＳＲＡ管理インターフェースの「ウェブアプリケーションファイアウォール＞ライセンス」
ページには、「システム＞ライセンス」ページへのリンクがあります。このページから
mｙＳｏｎｉｃＷＡＬＬに接続してライセンスを購入するか、無料トライアルを開始できます。管理インター
フェースの「システム＞ライセンス」ページでは、すべてのシステムライセンスを表示できます。
mｙＳｏｎｉｃＷＡＬＬでウェブアプリケーションファイアウォールのライセンス情報を表示するには、以下の
手順に従います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＲＡ装置にログインし、「ウェブアプリケーションファイアウォール＞ライセンス」を開きま
す。
手順 2 ウェブアプリケーションファイアウォールのライセンスが未取得の場合は、「システム > ライセンス」リンクを
選択します。「システム＞ライセンス」ページが表示されます。
228
SonicWALL SRA 5.5 管理者ガイド
手順 3
「セキュリティサービスのオンライン管理」で「サービスの購読、アップグレード、および更新」を選択し
ます。「ｍｙＳｏｎｉｃＷＡＬＬログイン」ページが表示されます。
手順 4 ｍｙＳｏｎｉｃＷＡＬＬ資格情報を各フィールドに入力し、「送信」を選択します。「製品調査」ページが表示さ
れます。
SonicWALL SRA 5.5 管理者ガイド
229
手順 5 調査項目に回答を記入し、「送信」を選択します。「システム＞ライセンス」ページが表示されます。
手順 6
「試用」を選択して１８０日間の無料トライアルを開始するか、「有効化」を選択して１年間のサービスを
購読します。無料トライアルを選択すると、以下の画面が表示されます。
手順 7
「同期」を選択して「システム＞ライセンス」ページにライセンスを表示します。
230
SonicWALL SRA 5.5 管理者ガイド
ウェブアプリケーションファイアウォールのライセンスがＳｏｎｉｃＷＡＬＬＳＲＡ装置に取得されました。
「ウェブアプリケーションファイアウォール＞設定」を開いてファイアウォールを有効化してから、装置
を再起動してウェブアプリケーションファイアウォールを完全に有効化します。
admin_wafStatus
ウェブアプリケーションファイアウォールの設定
備考
ウェブアプリケーションファイアウォールを使用するには、ライセンスを追加で購入する必要があり
ます。
ウェブアプリケーションファイアウォール機能を設定するには、次のセクションを参照してください。
･「ウェブアプリケーションファイアウォールのステータス情報を表示および更新する」（231 ページ）
･「ウェブアプリケーションファイアウォールの設定を行う」（233 ページ）
･「ウェブアプリケーションファイアウォールのシグネチャアクションの設定」（241 ページ）
･「除外されるホストエントリの確認」（245 ページ）
･「個別ルールとアプリケーションプロファイリングの設定」（247 ページ）
･「ウェブアプリケーションファイアウォール監視の使用」（263 ページ）
･「ウェブアプリケーションファイアウォールのログの使用」（271 ページ）
ウェブアプリケーションファイアウォールのステータス情報を表示およ
び更新する
「ウェブアプリケーションファイアウォール＞状況」ページには、ウェブアプリケーションファイア
ウォールサービスとシグネチャデータベースのステータス情報が提供され、ライセンス状況と有効期限
が表示されます。「同期」ボタンを選択すると、最新のシグネチャ情報をＳｏｎｉｃＷＡＬＬオンライン
データベースからダウンロードできます。「ダウンロード」ボタンを使ってＰＣＩ準拠レポートを生成して
ダウンロードできます。
SonicWALL SRA 5.5 管理者ガイド
231
状況の表示とシグネチャの同期
シグネチャデータベースのステータスやウェブアプリケーションファイアウォールサービスライセンスを
表示したり、シグネチャデータベースを同期するには、装置の管理インターフェースで以下の手順に
従います。
手順 1
「ウェブアプリケーションファイアウォール＞状況」を開きます。「ＷＡＦ状況」セクションには、以下の
情報が表示されます。
･シグネチャデータベースの更新ステータス
･シグネチャデータベースのタイムスタンプ
･シグネチャデータベースの最新の更新を前回チェックした時刻
･ウェブアプリケーションファイアウォールサービス購読の有効期限
･ウェブアプリケーションファイアウォールライセンスのステータス
手順 2 シグネチャデータベースの更新があれば、「適用」ボタンが表示されます。「適用」を選択して更新をダウ
ンロードします。
「ウェブアプリケーションファイアウォール＞設定」ページ上で、新しいシグネチャを自動的に更新し
て適用するようオプションを選択できます。この自動更新オプションが有効の場合、新しいシグネチャ
が自動的に適用されるとすぐに「ウェブアプリケーションファイアウォール＞状況」ページから「適
用」ボタンは消えます。
手順 3 シグネチャデータベースをＳｏｎｉｃＷＡＬＬオンラインデータベースサーバーに同期するには、
「Ｓｙｎｃｈｒｏｎｉｚｅ」を選択します。タイムスタンプが更新されます。
PCI 準拠レポートのダウンロード
PCI DSS 6.5/6.6 準拠レポートをダウンロードするには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞状況」ページに移動します。
手順 2
「ダウンロード」ボタンを選択します。
232
SonicWALL SRA 5.5 管理者ガイド
手順 3 ダウンロードのダイアログボックスで、 PCI レポートを生成して一時ファイルとして開いて Adobe Acrobat で
参照するか、レポートを PDF ファイルとして保存します。
admin_wafSettings
ウェブアプリケーションファイアウォールの設定を行う
「ウェブアプリケーションファイアウォール＞設定」ページでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のウェブア
プリケーションファイアウォールをグローバルおよび攻撃危険度ごとに有効化／無効化できます。検知
または阻止を、高、中、低の３つの攻撃クラスについて個別に指定できます。また、このページに
は特定のホストをウェブアプリケーションファイアウォールの検査対象から除外する設定オプションもあ
ります。
このページではまた、その他のウェブアプリケーションファイアウォール設定も提供します。以下のセ
クションでは、ウェブアプリケーションファイアウォールを有効化し、設定する手順を説明します。
･「ウェブアプリケーションファイアウォールを有効化して一般設定をする」（234 ページ）
･「グローバル除外の設定」（235 ページ）
SonicWALL SRA 5.5 管理者ガイド
233
･「侵入防御エラーページの設定」（236 ページ）
･「Cookie 改竄防御の設定」（237 ページ）
･「ウェブサイト隠蔽の設定」（239 ページ）
･「情報暴露防御の設定」（239 ページ）
･「セッション管理の設定」（241 ページ）
ウェブアプリケーションファイアウォールを有効化して一般設定をする
ウェブアプリケーションファイアウォールを有効化するには、チェックボックスを選択してグローバルに
有効化し、少なくとも１つのチェックボックスを「シグネチャグループ」テーブルで選択します。この
ページの「一般設定」セクションでは、高、中、低のいずれかの危険度の攻撃に対する保護レベル
を選択して、ネットワーク保護をグローバルに管理できます。グローバルな「ウェブアプリケーション
ファイアウォールを有効にする」チェックボックスをオフにすると、選択済みの設定を維持したまま、一
時的にウェブアプリケーションファイアウォールを無効化できます。
このページの「一般設定」セクションで自動的なシグネチャの更新を有効にしておくと、新しいシグネ
チャが利用可能になったときにそのダウンロードと適用が自動的に行われます。自動的なシグネチャの
更新のそれぞれについてログエントリが生成されます。シグネチャが自動更新時に削除された場合
は、関連する除外リストも削除されます。その削除を記録するためにログエントリが生成されます。
ログエントリは「ウェブアプリケーションファイアウォール＞ログ」ページで表示できます。
このページでは、クロスサイト要求偽装（ＣＳＲＦ）に対する保護の設定も行えます。ＣＳＲＦ攻撃が
検知されると、「ＷＡＦ＞ログ」と「ログ＞表示」の両方のページでログエントリが作成されます。
ＣＳＲＦ／ＸＳＲＦ攻撃の詳細については、「クロスサイトリクエストフォージェリを阻止する方法」（67
ページ）を参照してください。
ウェブアプリケーションファイアウォールのグローバル設定を構成するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞設定」ページで、「一般設定」セクションを展開します。
手順 2
「ウェブアプリケーションファイアウォールを有効にする」チェックボックスをオンにします。
手順 3
「すべて防御」が選択されたシグネチャグループが１つもない場合は、警告ダイアログボックスが表示さ
れます。ダイアログボックスの「ＯＫ」を選択してすべてのシグネチャグループを「すべて防御」に
設定します。または、「キャンセル」を選択して、設定を元のままにするか手動で設定を続行します。
手順 4 新しいシグネチャが利用可能になった場合にそのダウンロードと適用を自動的に行うには、「シグネチャの更
新を自動的に適用する」チェックボックスをオンにします。そうすると、「ウェブアプリケーションファイ
アウォール＞状況」ページの「適用」ボタンを選択しなくても新しいシグネチャを適用できます。
手順 5
234
「シグネチャグループ」テーブルの「高危険度の攻撃」で、必要な保護レベルを選択します。次のいず
れかのオプションを選択します。
SonicWALL SRA 5.5 管理者ガイド
･攻撃が検知されたときにリソースへのアクセスを遮断するには、「すべて防御」チェックボックスをオ
ンにします。「すべて防御」をオンにすると、自動的に「すべて検知」がオンになり、ログ機能が
有効になります。
･「すべて防御」チェックボックスをオフにし、「すべて検知」チェックボックスをオンにすると、攻撃が
ログに記録されますが、リソースへのアクセスは許可されます。
･特定の攻撃危険度のログと阻止をグローバルに無効化するには、両方のチェックボックスをオフに
します。
手順 6
「シグネチャグループ」テーブルの「中危険度の攻撃」で、必要な保護レベルを選択します。
手順 7
「シグネチャグループ」テーブルの「低危険度の攻撃」で、必要な保護レベルを選択します。
手順 8
「適用」を選択して完了します。
admin_editWafGlobalExcl
グローバル除外の設定
現在のグローバルなウェブアプリケーションファイアウォール設定から特定のホストを除外する方法が
３つあります。特定のホストについてウェブアプリケーションファイアウォールを完全に無効化するか、
特定のホストへのアクションレベルを「禁止」から「検知」に下げるか、ウェブアプリケーションファ
イアウォールがアクションを起こさないように設定することができます。
対象となるホストは、ＨＴＴＰ（Ｓ）ブックマークやＣｉｔｒｉｘブックマークで使用されるホスト名と同一であ
り、オフロードウェブアプリケーション用に設定された仮想ホストドメイン名である必要があります。
グローバル除外を設定するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞設定」ページで、「一般設定」セクションを展開します。
手順 2
「グローバル除外」ボタンを選択します。
手順 3
「グローバル除外の編集」ページで、これらのホストページ上で設定されたリソースに対するシグネチャグ
ループ設定に優先する動作を設定します。「動作」ドロップダウンリストから以下のいずれか１つを
選択します。
･無効－このホストのウェブアプリケーションファイアウォール検査を無効にする
･検知－ホストのアクションレベルを「禁止」から「検知」および「ログのみ」に下げる
･動作なし－ウェブアプリケーションファイアウォールはホストトラフィックを検査するが、アクション
を起こさない
手順 4
「ホスト」フィールドに、ホストエントリをブックマークまたはオフロードアプリケーションに表示される表記形
式で入力します。この表記形式は、ホスト名またはＩＰアドレスです。最大３２文字まで許可されま
SonicWALL SRA 5.5 管理者ガイド
235
す。除外されるホストエントリを正確に確認する方法については、「除外されるホストエントリの確認」
（245 ページ）を参照してください。
特定のフォルダまたはファイルへのパスをホストと共に設定できます。ＵＲＬに含まれるプロトコル、
ポート、および要求パラメータは無視されます。パスを設定すると、除外の設定はすべてのサブフォ
ルダとファイルにも適用されます。例えば、「ホスト」に webmail.sonicwall.com/exchange と入力した場
合は、 exchange 下のすべてのファイルとフォルダも除外されます。
手順 5
「追加」を選択してホスト名をリストボックスに移動します。
手順 6 手順 4 と手順 5 を繰り返して、別のホストを除外対象に追加します。
手順 7
「適用」を選択して完了します。
侵入防御エラーページの設定
侵入が検知されたときにしようするエラーページを設定するには、以下の手順に従います。
手順 1
「侵入防御エラーページの設定」セクションを展開します。
手順 2
「ＷＡＦ侵入防御応答」ドロップダウンリストから、侵入試行の遮断時に表示されるエラーページの種類を
選択します。
手順 3 個別ページを作成するには、「ユーザ定義の侵入防御ページ」を選択して、テキストボックスのサンプル
ＨＴＭＬを変更します。
手順 4 結果のページを表示するには、「画面の確認」ボタンを選択します。
手順 5 現在のカスタマイズされたエラーページをリセットして既定のＳｏｎｉｃＷＡＬＬエラーページに戻すには、「既
定の遮断時ページ」ボタンを選択し、確認用ダイアログボックスで「ＯＫ」を選択します。
手順 6 個別のエラーページを使わない場合は、エラーページに対して以下から 1 つ選択します。
･ HTTP エラーコード 400 不正な要求
･ HTTP エラーコード 403 禁止
･ HTTP エラーコード 404 未検出
･ HTTP エラーコード 500 サーバ内部エラー
手順 7
236
「適用」を選択して完了します。
SonicWALL SRA 5.5 管理者ガイド
クロスサイトリクエストフォージェリ防御の設定
クロスサイトリクエストフォージェリ防御は、各アプリケーションオフロードポータルに対して独立して
設定されます。 CSRF 攻撃が検知されると、「ウェブアプリケーションファイアウォール＞ログ」と
「ログ＞表示」ページの両方にログエントリが作成されます。 CSRF/XSRF 攻撃の詳細については、
「クロスサイトリクエストフォージェリを阻止する方法」（67 ページ）を参照してください。
CSRF 防御を設定するには、以下の手順に従います。
手順 1
「クロスサイトリクエストフォージェリ ( サイト横断要求の偽装 /CSRF/XSRF) 防御」セクションを展開しま
す。
手順 2
「ポータル」ドロップダウンリストから、これらの CSRF 防御設定を適用するアプリケーションオフロード
ポータルを選択します。これらの CSRF 防御設定をすべてのポータルに対する既定にする場合は、
「Global」を選択します。
手順 3
「防御モード」から、 CSRF 攻撃に対する防御に望むレベルを選択します。これらの攻撃をログするには
「検知のみ」を、ログして遮断するには「防御」を、グローバル設定を敬称するには「グローバル」
を選択します。ポータルでの CSRF 防御を無効にするには、「無効」を選択します。
手順 4
「適用」を選択して完了します。
Cookie 改竄防御の設定
Cookie 改竄防御は、各アプリケーションオフロードポータルに対して独立して設定されます。 Cookie
改竄防御を設定するには、以下の手順に従います。
SonicWALL SRA 5.5 管理者ガイド
237
手順 1
「Cookie 改竄防御」セクションを展開します。
手順 2
「ポータル」ドロップダウンリストから、これらの Cookie 改竄防御設定を適用するアプリケーションオフロー
ドポータルを選択します。これらの Cookie 改竄防御設定をすべてのポータルに対する既定にする場合
は、「Global」を選択します。
手順 3
「改竄防御モード」から、 Cookie 改竄に対する防御に望むレベルを選択します。これらの攻撃をログするに
は「検知のみ」を、ログして遮断するには「防御」を選択します。ポータルでの Cookie 改竄防御を
無効にするには、「無効」を選択します。
手順 4
「サーバ Cookies の暗号化」に対して、 Cookie 名を暗号化するには「無効」チェックボックスを選択し、
および / または、 Cookie 値を暗号化するには「無効」チェックボックスを選択します。これは Cookie
名または値を読めなくするので、クライアント側スクリプトの振舞いに影響します。これらのオプションに
よって、サーバ側 Cookie のみが暗号化されます
手順 5
「Cookie 属性」に対して、サーバ側 Cookie に HttpOnly 属性を追加するには「HTTP のみ」チェックボック
スを選択し、および / または、 Secure 属性をサーバ側 Cookie に追加するには「保護」チェックボッ
クスを選択します。 HttpOnly 属性は、クライアント側スクリプトが Cookie にアクセスすることを防ぎ、こ
れはクロスサイトスクリプティングやセッションハイジャックといった攻撃を軽減するときに重要です。
Secure 属性は、 Cookie が HTTPS 接続のみで送信されることを確かにします。両方協力して、サー
バ側 Cookie に対して強固なレイヤのセキュリティを追加します。
手順 6
「クライアント Cookie」に対して、ポータル上のアプリケーションがクライアント Cookie すべてを必要とする
場合は「許可」チェックボックスを選択します。無効の場合、クライアント側 Cookie はバックエンドシ
ステムに送信されることが許可されません。このオプションはサーバ側 Cookie には影響しません。
手順 7
「除外リスト」に対して、「有効」チェックボックスを選択すると、設定するための追加のフィールドが表示さ
れます。
手順 8
「除外リスト」に個別の Cookie 名とパスを入力するには、「Cookie 名」フィールドに Cookie の名前を入力し
て、「Cookie パス」フィールドにパスを入力してから、「追加 -->」ボタンを選択します。
手順 9 1 つ以上の検知済み Cookie を「除外リスト」に追加するには、「検知された Cookie」リストから追加したい
Cookie を、複数の Cookie を選択するときは Ctrl キーを押したまま選択してから、「<-- 削除」ボタン
を選択してそれらを「除外リスト」に追加します。
手順 10
「除外リスト」から Cookie を削除するには、削除したい Cookie を選択して「削除」ボタンを選択します。
手順 11
「検知された Cookie」リストをクリアするには、「消去」ボタンを選択します。
手順 12
「適用」を選択して完了します。
238
SonicWALL SRA 5.5 管理者ガイド
ウェブサイト隠蔽の設定
「ウェブサイト隠蔽」セクションで、クライアントにバックエンドウェブサーバに関する情報を提供して場
合によっては脆弱性の発見に使われる可能性のある、応答メッセージ内のヘッダをフィルタ除去できま
す。
ウェブサイト隠蔽を設定するには、以下の手順に従います。
手順 1
「ウェブサイト隠蔽」セクションを展開します。
手順 2
「応答ヘッダの遮断」の１つ目のフィールドにホスト名を入力し、２つ目のフィールドにヘッダ名を入力して
から、「追加」を選択します。
例えば、ホスト名に ” webmail.xyz.com” 、そしてヘッダ名に ” X-OWA-Version” を設定した場合は、
ホスト ” webmail.xyz.com” からの ” X-OWA-Version” の名前を持つヘッダは遮断されます。通常、
ＨＴＴＰ／ＨＴＴＰＳブックマークまたはオフロードされたアプリケーションが、リストされたウェブサーバ
へのアクセスに使われている場合は、リストされたヘッダーはクライアントに送信されません。
すべてのホストからのあるヘッダを遮断するには、ホスト名にアスタリスク（*）を設定します。最大
６４組のホスト／ヘッダを追加できます。ＨＴＴＰプロトコルでは、応答ヘッダは大文字小文字を判別し
ません。
備考
HTTP プロトコルで重要な Content-Type といったヘッダに対しては遮断は発生しません。
手順 3 ホスト / ヘッダのペアを遮断リストから削除するには、テキストボックス内のペアを選択してから「削除」ボ
タンを選択します。
手順 4
「適用」を選択して完了します。
情報暴露防御の設定
「情報暴露防御」セクションで、 HTML ウェブページ内でのクレジットカードまたは社会保障番号 (SSN)
の不慮の開示に対して保護できます。ウェブアプリケーションファイアウォールによって保護されている
どのようなウェブサイト上でも見られるべきでない、機密性の高いテキスト文字列を入力することもでき
ます。
情報暴露防御を設定するには、以下の手順に従います。
SonicWALL SRA 5.5 管理者ガイド
239
手順 1
「情報暴露防御」セクションを展開します。テーブルには、ウェブアプリケーションファイアウォールが
HTML 応答内で検知可能な社会保障番号やクレジットカード番号の起こりうるパターンや形式それぞれ
に対する行があります。
手順 2
「クレジットカード /SSN 防御を有効にする」チェックボックスを選択します。
手順 3
「隠蔽文字」ドロップダウンリストから、 SSN またはクレジットカード番号を隠蔽する際に代用する文字を選
択します。
手順 4 テーブル内で、 SSN またはクレジットカード番号の各表現に対して希望する防御レベルを選択します。それ
ぞれの行に対して、以下のうち 1 つを選択できます。
･無効 - この形式の番号は照合をしません。ログや隠蔽は実行されません。
･検知 - この形式の番号を検知して、検知した場合はログエントリを作成します。
･部分的に隠蔽 - 番号の秘密性を維持できるように最後の数桁を除いたすべての桁を隠蔽文字に置
換します。
･完全に隠蔽 - 番号のすべての桁を隠蔽文字に置換します。
･遮断 - 完全に ( 隠蔽された形式であっても ) 番号の送信や表示をしません。
手順 5 テーブルの下で、「HTML ページ内の機密性の高い情報を遮断します」テキストボックスに、ウェブアプリ
ケーションファイアウォールによって保護されているどのようなウェブサイト上でも見られるべきでない、
機密性の高いテキスト文字列を入力することもできます。このテキストは大文字と小文字を区別せず、
単語間に任意の数の空白を含めることができますが、ワイルドカード文字を含めることはできません。
新しい語句は別の行に追加します。 HTML 応答内では行ごとにパターンマッチングが行われます。
手順 6
240
「適用」を選択して完了します。
SonicWALL SRA 5.5 管理者ガイド
セッション管理の設定
「セッション管理」セクションで、ユーザがユーザポータルやアプリケーションオフロードポータルにロ
グインした際に、ログアウトダイアログウィンドウを表示するかどうかを制御できます。ユーザに対する
無動作タイムアウトもこのセクションで設定できます。
手順 1
「セッション管理」セクションを展開します。
手順 2 ユーザポータルの起動時やユーザがアプリケーションオフロードポータルにログインした際に、セッション
ログアウトポップアップダイアログボックスを表示するには、「ログイン後にログアウトダイアログウィ
ンドウを起動する」チェックボックスを選択します。
手順 3
備考
手順 4
「グローバル無動作タイムアウト」フィールドに、ユーザをログアウトさせるまでの無動作時間を分単位で入
力します。この設定は、グループまたはユーザ設定により優先されます。
ＣＳＲＦ攻撃を緩和するには、ユーザセッションの無動作時タイムアウト値を小さくしておく（例えば
１０分）ことが重要です。
「適用」を選択し手完了します。
admin_wafSignatures
ウェブアプリケーションファイアウォールのシグネチャアクションの設
定
「ウェブアプリケーションファイアウォール＞シグネチャ」ページでは、特定のホストにのみ適用する
処理や除外をシグネチャごとに設定できます。シグネチャベースの除外を使用して、すべてのホストを
対象とした除外をシグネチャごとに適用できます。
SonicWALL SRA 5.5 管理者ガイド
241
また、指定済みの既存の除外設定を維持したままで、そのシグネチャが属するシグネチャグループの
グローバル設定に戻すこともできます。
「ウェブアプリケーションファイアウォール＞設定」ページでは、当該のシグネチャが属するシグネ
チャグループのグローバル設定が「すべて防御」または「すべて検知」に設定されている必要があり
ます。いずれにも設定されていない場合、シグネチャグループはグローバルに無効であり、シグネ
チャごとに設定を変更することはできません。「ウェブアプリケーションファイアウォールを有効化して
一般設定をする」（234 ページ）を参照してください。
以下のセクションを参照してください。
･「パフォーマンス最適化を有効にする」（242 ページ）
･「シグネチャベースの個別処理および除外の設定」（243 ページ）
･「シグネチャをグローバル設定に戻す」（245 ページ）
･「シグネチャごとの除外対象からホストを削除する」（245 ページ）
パフォーマンス最適化を有効にする
パフォーマンス最適化オプションにより、比較的危険度が低く、多くのウェブアプリケーションのパ
フォーマンスに著しく影響するシグネチャを無効にできます。これらのシグネチャはＳｏｎｉｃＷＡＬＬシグ
ネチャチームによって確認され、そのリストはＳｏｎｉｃＷＡＬＬＳＲＡ装置に配信されます。「パフォーマ
242
SonicWALL SRA 5.5 管理者ガイド
ンス最適化を有効にする」を選択すると、これらのシグネチャはウェブアプリケーションファイアウォー
ルに対して無効になります。
「ウェブアプリケーションファイアウォール＞シグネチャ」ページでは、図 1 のように灰色で表示するこ
とによって無効化されたシグネチャを指し示します。
図 1 パフォーマンス最適化を有効にする
admin_editWafSignatureExcl
シグネチャベースの個別処理および除外の設定
個々のホストまたはすべてのホストへのトラフィックについてシグネチャの検査を無効にできます。ま
た、個々のホストまたはすべてのホストについて検知された脅威の処理を変更できます。シグネチャ
が属するシグネチャグループがグローバルに「すべて検知」に設定されている場合は、特定のホスト
の保護レベルを「禁止」に上げることができます。ホストが一切設定されていない場合は、動作がシ
グネチャそのものに適用され、すべてのホストに対するグローバル設定として機能します。こうした変
更は、その攻撃シグネチャが検知されたときにホストへのアクセスを遮断します。同様に、所属先の
シグネチャグループがグローバルに「すべて禁止」に設定されている場合は、保護レベルを「検知」
に下げることもできます。
備考
シグネチャベースのカスタマイズを適用するには、変更されたシグネチャが属するシグネチャグ
ループが「ウェブアプリケーションファイアウォール＞設定」ページで禁止または検知のどちらか
についてグローバルに有効化されている必要があります。
１つまたは複数のホストをシグネチャ検査から除外するか、ウェブアプリケーションファイアウォールに
よって１つまたは複数のホストに特定のシグネチャが検知されたときに固有の処理を行うには、以下
の手順に従います。
SonicWALL SRA 5.5 管理者ガイド
243
手順 1
「ウェブアプリケーションファイアウォール＞シグネチャ」ページで、設定を変更するシグネチャの「設
定」ボタン
を選択します。「ＷＡＦ署名ベースの除外の編集」画面が表示されます。
手順 2
「ＷＡＦ署名ベースの除外の編集」画面で、「動作」ドロップダウンリストから以下のいずれか１つを選択
します。
･無効－このシグネチャに対するウェブアプリケーションファイアウォールの検査を、この除外対象
に含まれるホストからのトラフィックに行いません
･検知－この除外対象に含まれるホストからのトラフィックについて、このシグネチャに一致する脅威
を検知し、ログに記録しますが、ホストへのアクセスは遮断しません
･禁止－この除外対象に含まれるホストからのトラフィックについて、このシグネチャに一致する脅威
をログに記録し、ホストアクセスを遮断します
手順 3 この動作をすべてのホストに対してグローバルに適用するには、「ホスト」フィールドを空白にしておきます。
この動作を個々のホストに適用するには、ホストエントリをブックマークまたはオフロードアプリケーショ
ンでの表記形式で「ホスト」フィールドに入力します。この表記形式は、ホスト名またはＩＰアドレスで
す。除外されるホストエントリを正確に確認する方法については、「除外されるホストエントリの確認」
（245 ページ）を参照してください。
特定のフォルダまたはファイルへのパスをホストと共に設定できます。ＵＲＬに含まれるプロトコル、
ポート、および要求パラメータは無視されます。パスを設定すると、除外の設定はすべてのサブフォ
ルダとファイルにも適用されます。例えば、「ホスト」に webmail.sonicwall.com/exchange と入力した場
合は、 exchange 下のすべてのファイルとフォルダも除外されます。
手順 4 ホストを指定した場合は、「追加」を選択してホスト名をリストボックスに移動します。
手順 5 この動作を別のホストにも適用する場合は、ホストごとに手順 3 と手順 4 を繰り返して、除外対象に追加し
ます。
手順 6
「適用」を選択します。ホストのリストにホストエントリが含まれている場合、ＳｏｎｉｃＯＳＳＳＬＶＰＮはそれ
ぞれのホストエントリが有効であることを確認します。ホストが指定されなかった場合は、この動作が
グローバル設定としてシグネチャそのものに適用されることを確認するダイアログボックスが表示されま
す。
手順 7 確認のダイアログボックスで「ＯＫ」を選択します。
手順 8
244
「ウェブアプリケーションファイアウォール＞シグネチャ」ページで「適用」を選択して、更新された設定
を適用します。新しい設定が新しいＨＴＴＰ接続および要求のすべてに適用されます。既存のＨＴＴＰ
接続および要求では、それらが終了するまで古い設定が引き続き使用されます。
SonicWALL SRA 5.5 管理者ガイド
シグネチャをグローバル設定に戻す
除外の設定が行われたシグネチャについて、その設定を維持したままで、シグネチャグループのグ
ローバル設定に戻すことができます。除外を再度有効にするときのために、ホスト名を残しておくこと
ができます。
シグネチャをシグネチャグループのグローバル設定に戻すには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞シグネチャ」ページで、設定を変更するシグネチャの「設
定」ボタン
を選択します。
手順 2
「ＷＡＦ署名ベースの除外の編集」画面で、「動作」ドロップダウンリストから「グローバルを継承」を選
択します。
手順 3 グローバル設定が以前にこのシグネチャに適用されていた場合、「ホスト」フィールドは空白になっている可
能性があります。すべてのホストを対象としたグローバルなシグネチャの設定に戻すには、「ホスト」
フィールドを空白のままにしておきます。この動作を１つ以上の個々のホストに適用するには、それら
のホストエントリを「ホスト」フィールド内に残し、設定を戻さないホストのエントリはすべて削除しま
す。
手順 4
「適用」を選択します。ＳｏｎｉｃＯＳＳＳＬＶＰＮによって、各ホストエントリが有効であることが確認されま
す。
手順 5 確認のダイアログボックスで「ＯＫ」を選択します。
手順 6
「ウェブアプリケーションファイアウォール＞シグネチャ」ページで「適用」を選択して、更新された設定
を適用します。新しい設定が新しいＨＴＴＰ接続および要求のすべてに適用されます。既存のＨＴＴＰ
接続および要求では、それらが終了するまで古い設定が引き続き使用されます。
シグネチャごとの除外対象からホストを削除する
シグネチャに設定した除外対象からホストを削除するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞シグネチャ」ページで、設定を変更するシグネチャの「設
定」ボタン
を選択します。
手順 2
「ホスト」フィールドの下にあるリストボックスでホストエントリを選択し、「除去」を選択します。
手順 3 必要に応じて、手順 2 を繰り返してリスト内のホストをさらに削除します。
手順 4
「適用」を選択します。ＳｏｎｉｃＯＳＳＳＬＶＰＮによって、各ホストエントリが有効であることが確認されま
す。
手順 5 確認のダイアログボックスで「ＯＫ」を選択します。
手順 6
「ウェブアプリケーションファイアウォール＞シグネチャ」ページで「適用」を選択して、更新された設定
を適用します。新しい設定が新しいＨＴＴＰ接続および要求のすべてに適用されます。既存のＨＴＴＰ
接続および要求では、それらが終了するまで古い設定が引き続き使用されます。
除外されるホストエントリの確認
グローバルまたはシグネチャごとに除外設定を行う際には、ホスト名またはＩＰアドレスを指定する必要
があります。対象となるホストは、ＨＴＴＰ（Ｓ）ブックマークやＣｉｔｒｉｘブックマークで使用されるホスト
名と同一であり、オフロードウェブアプリケーション用に設定された仮想ホストドメイン名である必要が
あります。
正確なホスト名を確認する方法については、以下のセクションを参照してください。
･「ブックマーク内のホストエントリを表示する」（246 ページ）
･「オフロードアプリケーション内のホストエントリを表示する」（246 ページ）
SonicWALL SRA 5.5 管理者ガイド
245
ブックマーク内のホストエントリを表示する
除外するホストの正確な名前は、ブックマークの詳細な設定情報を参照すると確認できます。
ブックマーク内のホストエントリを表示するには、以下の手順に従います。
手順 1
「仮想オフィス」ページを開き、ブックマークのリストの上にある「編集コントロールの表示」を選択します。
手順 2 ブックマークの「編集」ボタン
を選択します。
手順 3
「ブックマークの編集」画面で、「名前またはＩＰアドレス」フィールドに表示されるホストエントリを確認し
ます。
手順 4
「キャンセル」を選択します。
オフロードアプリケーション内のホストエントリを表示する
除外するホストの正確な名前は、オフロードアプリケーションの詳細な設定情報を参照すると確認でき
ます。オフロードアプリケーションでは、仮想ホストドメイン名を確認できます。
オフロードアプリケーション内の仮想ホストドメイン名を表示するには、以下の手順に従います。
246
SonicWALL SRA 5.5 管理者ガイド
手順 1
「ポータル＞ポータル」ページを開き、オフロードアプリケーションの横にある「設定」ボタン
します。
手順 2
「ポータルの編集」画面で、「仮想ホスト」タブを選択します。
を選択
手順 3 除外するホストエントリを「仮想ホストドメイン名」フィールドで確認します。
手順 4
「キャンセル」を選択します。
admin_wafRule
admin_wafRuleChainList
個別ルールとアプリケーションプロファイリングの設定
「ウェブアプリケーションファイアウォール＞ルール」ページでは、個別ルールとアプリケーションプロ
ファイリング
アプリケーションプロファイリングにより、どの入力がアプリケーションによって受諾しうるかのプロファイ
ルを展開するために使われる、入力の信頼されるセットに基づいて自動化された方法で個別ルールを
生成できます。その他の入力は拒否され、肯定的セキュリティ拡張が提供されます。 SonicWALL SRA
を学習モードで計画した環境に配備すると、 SonicWALL SRA は信頼されたユーザによってアクセスさ
れた各 URL に対する正しい入力を学習します。学習プロセス中または後のどのタイミングでも、 " 学習
した " プロファイルに基づいてユーザ定義ルールを生成できます。アプリケーションプロファイリングの
詳細については、「アプリケーションプロファイリングの動作」セクション（72 ページ）を参照してくださ
い。
備考
アプリケーションプロファイリングは SonicWALL SRA 4200 と Virtual Appliance 上でのみサポートさ
れます。
SonicWALL SRA 5.5 管理者ガイド
247
このページ上で作成した個別ルールは、ＳｏｎｉｃＷＡＬＬがウェブアプリケーションが有効な装置に向け
て配信するシグネチャと同じプロパティをすべて持ちます。図 2 は、ルールのページです。
図2
「ウェブアプリケーションファイアウォール＞ルール」ページ
ルールを手動で追加するには、「連鎖ルール」を作成して、そこにルールを追加します。連鎖ルール
はルールの集合であり、深刻度の評価、名前、説明、速度制限に対するヒットカウンタ、およびトラ
フィックに連鎖ルールが一致した場合に取る動作といった追加の属性を持ちます。
図 3 は、連鎖ルールのすべてのフィールドを表示しています。
図 3 連鎖ルール
248
SonicWALL SRA 5.5 管理者ガイド
例えば、個別ルールと連鎖ルールは、あるＵＲＩを使う、または、あるポータル上で動作するウェブ
アプリケーションによる定義に従って、トラフィックの正当と不正を区別することに使うことができます。
連鎖内の１つのルールは、ＵＲＬまたはポータルホスト名に一致するように設定され、一方もう１つ
のルールはＨＴＴＰ（Ｓ）トラフィックの別の要素に対する望ましくない値に一致するように作成されま
す。この連鎖ルール（両方のルール）がトラフィックに一致した際には、そのＵＲＩまたはポータルか
らの不正なトラフィックを遮断またはログするように、設定した動作が実行されます。要求が遮断された
際には、ユーザに図 4 のような個別遮断ページが表示されます。
図 4 遮断ページ
「ウェブアプリケーションファイアウォール＞監視」ページにはまた、アクティビティがグラフで表示さ
れます。図 5 は、１２時間の間に検知して防御したいくつかの脅威を示しています。監視ページの詳
細については、「ウェブアプリケーションファイアウォール監視の使用」（263 ページ）を参照してくだ
さい。
図 5 遮断後の監視ページ
ルールは、着信と発信両方のＨＴＴＰ（Ｓ）トラフィックに対して照合されます。連鎖ルール内のすべて
のルールが一致した場合、連鎖ルールに定義された動作が実行されます。連鎖ルール内で速度制限
を有効にして、ある期間内に一致した攻撃数がしきい値を超過した後でのみ動作を開始することもでき
ます。トラフィックを遮断して一致をログするか、単にログするように動作を設定できます。動作を「無
効」に設定して、連鎖ルールを動作状態から外して、それらのルールとトラフィックの比較を停止する
こともできます。
個別ルール機能は、「ユーザ定義ルールを有効にする」グローバル設定を使って有効または無効にで
きます。
SonicWALL SRA 5.5 管理者ガイド
249
備考
連鎖ルールは、連鎖ルールが追加された順序で強制されます。この順序は、連鎖ルールを削除
して再作成することで変更できます。
同様に、連鎖ルール内のルールは、ルールが追加された順序で強制されます。この順序は、
ルールを削除して再作成することで変更できます。
admin_wafURLProfile
アプリケーションプロファイリングの設定
信頼されたユーザによってアプリケーションが使用されている間に SonicWALL SRA を学習モードにする
ことで、 URL プロファイルを作成して、それらの URL プロファイルを使用して、そのアプリケーションの
故意の悪用を防ぐ連鎖ルールを生成できます。
備考
アプリケーションプロファイリングは SonicWALL SRA 4200 および Virtual Appliance のみでサポート
されます。
アプリケーションプロファイリングを設定してルールを自動生成するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ルール」ページに移動します。
手順 2
「アプリケーションプロファイリング」の下で、アプリケーションをプロファイルするポータルを「ポータル」ド
ロップダウンリストから選択します。
手順 3
「コンテンツ種別」に対して、プロファイルするコンテンツの種別を選択します。
･すべて - 画像、 HTML、 CSS といったすべてのコンテンツ種別を含みます。
･ HTML/XML - 既定で選択されていて、一般的により繊細なウェブトランザクションをカバーしている
ために、セキュリティの見地から最も重要です。
･ Javascript - Javascript で記述されたアプリケーションに対して使用します。
･ CSS - HTML、 XHTML、または XML の変形で記述されたウェブページのフォーマットを制御する
ために使用されるカスケードスタイルシートコンテンツをプロファイルするには、 CSS を選択しま
す。
手順 4
250
「プロファイリングの開始」ボタンを選択すると “学習” プロセスが開始されます。アクティブプロファイリン
グ期間中に、信頼されたユーザは適切なアプリケーションを選択されたポータル上で使用する必要が
SonicWALL SRA 5.5 管理者ガイド
あります。「プロファイリングの開始」ボタンのラベルが「プロファイリングの停止」に変わり、「プロ
ファイリングの停止」を選択するまでそのままです。
プロファイリングの間、 SRA は入力を記録してそれらを URL プロファイルとして保存します。 URL プロ
ファイルは、「ウェブアプリケーションファイアショール＞ルール」ページの「アプリケーションプロ
ファイリング」セクションにツリー構造でリストされます。
手順 5 通常のアプリケーション使用から入力を記録するために十分な期間を取った後で、「プロファイリングの停止」
を選択してプロファイリングプロセスを停止します。
手順 6 オプションで、 URL プロファイルツリー内のリンクを選択して、学習済みの値を編集できます。選択した
URL に対する編集ページが表示されます。「展開」を選択すると、該当レベルの URL を展開します。
手順 7 値を追加するには、パラメータの隣にあるフィールド内に値を入力してから、プラスボタンを選択します。
値を削除するには、リスト内の値を選択してから、マイナスボタンを選択します。
SonicWALL SRA 5.5 管理者ガイド
251
手順 8 編集が終了したら「適用」を選択します。その他の URL に対して必要に応じて繰り返します。
手順 9 URL プロファイルからルールを生成する前に、「生成された連鎖ルールに対する既定の動作」ドロップダウン
リストから、以下の動作の 1 つを選択します。
･無効 - 生成されたルールは、アクティブではなく無効になります。
･検知のみ - 生成されたルールを起動するコンテンツは、検知されてログされます。
･防御 - 生成されたルールを起動するコンテンツは、遮断されてログされます。
手順 10 既に URL プロファイルから生成済みの連鎖ルールを上書きするには、「URL プロファイルに対する既存の
連鎖ルールを上書きする」を選択します。
手順 11
「ルールの生成」ボタンを選択して、 URL プロファイルからルールを生成します。 URL プロファイルが編集
された場合は、それらの変更は組み入れられます。
連鎖ルールが正しく生成されると、ステータスバーが何個の連鎖ルールが生成されたかを、上書きさ
れたものも含めて表示します。
手順 12 生成された連鎖ルールを受け入れたくない場合は、連鎖ルールリストの下にある「選択した連鎖ルール
の削除」ボタンを選択します。グループの容易な削除のために、生成後すぐに自動的に追加された連
鎖ルールすべてが事前に選択されています。
手順 13
「適用」を選択して SRA 構成に生成された連鎖ルールを適用します。
連鎖ルールの設定
連鎖ルールは追加、編集、削除、そして複製が可能です。管理者が参照用として使うための、連鎖
ルールの例（連鎖ルールＩＤが１５０００より大きい）管理インターフェースで利用できます。これらは
編集または削除できません。連鎖ルールに関連付けられているルールを、設定列の連鎖ルールの編
集アイコンを選択することにより参照できます。
設定の簡略化のために、連鎖ルール例は通常の連鎖ルールを複製できます。連鎖ルールの複製は、
その連鎖に関連付けられているルールをすべて複製します。連鎖ルールの複製後は、設定列の連鎖
ルールの編集アイコンを選択することにより編集できます。
admin_wafRuleChain
連鎖ルールの追加と編集
連鎖ルールを追加または編集するには、以下の手順に従います。
手順 1 新しい連鎖ルールを追加するには、「ウェブアプリケーションファイアウォール＞ルール」ページで、「連
鎖ルールの追加」ボタンを選択します。
既存の連鎖ルールを編集するには、「設定」列の連鎖ルールの編集アイコン
を選択します。
252
SonicWALL SRA 5.5 管理者ガイド
新規連鎖ルールの画面または、既存の連鎖ルールの画面が表示されます。どちらの画面にも「連鎖
ルール」セクション内に同じ設定可能フィールドがあります。
手順 2 新規連鎖ルールの画面で、「名前」フィールドにこの連鎖ルールを説明する名前を入力します。
手順 3
「深刻度」ドロップダウンリストから、脅威のレベルを選択します。「高」、「中」、「低」が選択できます。
手順 4
「動作」ドロップダウンリストから、「防御」、「検知のみ」、または、「無効」を選択します。
･防御 - ルールと一致したトラフィックを遮断してログします。
･検知のみ - トラフィックを許可しますが、ログします。
･無効 - 連鎖ルールは、効果を現しません。
この「無効」オプションにより、連鎖ルールの設定を削除せずに一時的に連鎖ルールを無効にす
ることが可能です。
手順 5
「説明」フィールドに、この連鎖ルールが何を照合するのか、またはその他の情報などの短い説明を入力
します。
手順 6
「種別」ドロップダウンリストから、この脅威の種別を選択します。このフィールドは情報目的であり、連鎖
ルールが適用される方法は変更しません。
手順 7
「カウンタの設定」下で、連鎖ルールに一致している速度の追跡を有効にして、速度制限を設定するに
は、「ヒットカウンタを有効にする」チェックボックスを選択します。追加のフィールドが表示されます。
手順 8
「最大許可ヒット数」フィールドに、この連鎖ルールに対する、選択された動作が起動されるまでに発生す
る必要がある一致数を入力します。
手順 9
「ヒットカウンタのリセット周期」フィールドに、「最大許可ヒット数」への到達を許可する秒数を入力します。
この時間内に「最大許可ヒット数」に到達しない場合は、選択された動作は起動されずに、ヒットカ
ウンタはゼロにリセットされます。
手順 10 同じ IP アドレスから来ている連鎖ルールの一致に対して速度制限を強制するには、「リモートアドレス毎に
監視する」チェックボックスを選択します。リモートアドレス毎の監視は、 SRA 装置によって確認された
ようにリモートアドレスを使います。これは、 NAT が有効なファイアウォールの背後に複数のクライアン
トがある場合をカバーし、それらが実質的には同じ送信元 IP を持つパケットを送信しているようにしま
す。
手順 11 攻撃者のブラウザセッションに基づいて速度制限を有効にするには、「セッション毎に監視する」チェック
ボックスを選択します。この方式は各ブラウザセッションに対して Cookie を設定します。攻撃者が各攻
SonicWALL SRA 5.5 管理者ガイド
253
撃に対して新しいユーザセッションを開始する場合は、ユーザセッションによる追跡はリモート IP によ
る追跡ほど効果的ではありません。
手順 12
「適用」を選択して、連鎖ルールを保存します。「連鎖ルールＩＤ」が自動的に生成されます。
手順 13 次は、連鎖ルールに１つ以上のルールを追加します。詳細については、「連鎖ルールの追加と編集」
（252 ページ）を参照してください。
連鎖ルールの複製
連鎖ルールを複製するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ルール」ページで、複製する連鎖ルールの「設定」列の連
鎖ルールの複製アイコン
を選択します。
手順 2 確認のダイアログボックスで、「ＯＫ」を選択します。
これで、連鎖ルールを編集してカスタマイズできるようになりました。「連鎖ルールの追加と編集」
（252 ページ）を参照してください。
連鎖ルールの削除
備考
連鎖ルールを削除すると、関連付けられているルールもすべて削除されます。
連鎖ルールを削除するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ルール」ページで、削除したい連鎖ルールの「設定」列の
連鎖ルールの削除アイコン
を選択します。
手順 2 確認のダイアログボックスで、「ＯＫ」を選択します。
手順 3
「適用」を選択します。
誤設定された連鎖ルールの修正
誤設定された連鎖ルールは、設定時に自動検出されません。誤設定してしまった場合は、管理者が
ログインして不正なルールを修正するか、削除する必要があります。
備考
ルールや連鎖ルールが誤設定されている場合は、装置はどの個別ルールや連鎖ルールも強制し
ません。
誤設定された連鎖ルールから誤検知を見つけることは、ユーザがそれに遭遇して管理者に報告しない
限り、困難です。連鎖ルールが「防御」するように設定されている場合は、ユーザにウェブアプリ
ケーションファイアウォールの遮断ページが表示（「ウェブアプリケーションファイアウォール＞設定
ページ」で設定したように表示）されます。そうでない場合は、 ” 脅威” が検知されたことを示すログ
メッセージが発生します。
管理者が不注意で、ＳＲＡ装置のすべてのポータルへのアクセスを遮断する個別連鎖ルールを作成し
たシナリオを考えます。例えば、管理者はアプリケーションオフロードされたポータルに対してルール
の強制を望んでいました。しかし、そのポータル、ホストまたはＵＲＬに対する要求と照合させる基準
を絞るための別のルールを追加することを忘れました。もし１番目のルールが広範ならば、これは装
置に対するサービス停止を意味します。具体的には、管理者が特定のＵＲＬに対してＰＯＳＴ要求の
つもりで、ＧＥＴＨＴＴＰメソッドの使用を拒否する連鎖ルールを作成します。
このためには、管理者は２つのルールを作成する必要があります。
1. １番目のルールは、ＧＥＴ要求と一致させるため。
2. ２番目のルールは、特定のＵＲＬと一致させるため。
254
SonicWALL SRA 5.5 管理者ガイド
管理者が２番目のルールの作成を忘れた場合は、ウェブ管理インターフェースはＧＥＴメソッドに依存
しているために、ＳＲＡ装置へのアクセスが拒否されます。
誤設定した連鎖ルールを修正するには、以下の手順を実行します。
手順 1 ブラウザで、 https://<SSL-VPN IP>/cgi-bin/welcome をポイントします。 https://<SSL-VPN IP>/ のＵＲＬ
を使って簡単にウェルカムページに到達するようにする場合は、通常のリダイレクト先の https://<SSLVPN IP>/cgi-bin/welcome は動作しません。誤設定した連鎖ルールを修理するためには、 https://
<SSL-VPN IP>/cgi-bin/welcome に明示的に移動する必要があります。ここでの <SSL-VPN IP> は、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のホスト名またはＩＰアドレスです。
手順 2 ａｄｍｉｎとしてログインします。
手順 3
「ウェブアプリケーションファイアウォール＞ルール」ページに移動します。
手順 4 不正なルールを編集または削除します。
手順 5
「適用」を選択します。
連鎖ルール内のルールの設定
鎖ルールは追加、編集、削除、そして複製が可能です。ルールとは、着信または発信ＨＴＴＰ（Ｓ）
トラフィックに対して確認される条件です。それぞれの連鎖ルールは、１つ以上の設定されたルールを
持つことができ、使用する前に最低１つのルールを持つ必要があります。
図 6 ルールの追加ページ
ルールにより、管理者は肯定セキュリティモデルと否定セキュリティモデルの両方を利用できます。肯
定セキュリティモデルでは、ポリシーは許可する既知のトラフィックのみで記述され、それ以外すべて
を遮断します。
ルールには、いくつかの構成要素があります。
･変数 - これらは、正当または不正なトラフィックを区別する支援をする、ウェブアプリケーション
ファイアウォールによって走査されるＨＴＴＰプロトコルのエンティティです。複数の変数を「値」
フィールド内に設定された値に対して照合することができます。 ’ ＋’ と’ －’ ボタンにより、「変
数」ドロップダウンリストから変数を追加する、また、それらを選択済み変数のリストから削除する
ことができます。指定した値と照合することを要求するために、複数の変数を結合させることができ
ます。複数の変数が設定された場合は、ルールは設定した変数のうちのどれか１つが対象の値
SonicWALL SRA 5.5 管理者ガイド
255
に一致するかどうか照合されます。変数の詳細情報については、「変数について」セクション（256
ページ）を参照してください。
･演算子 - これらは、計算および文字列演算子です。「否定」チェックボックスは、設定した条件を
除いたどんな値にも一致させるために使われる、逆演算子です。演算子の詳細情報については、
「演算子について」セクション（258 ページ）を参照してください。
･値 - このエンティティには数字、そのままの文字、または正規表現が使用可能で、走査される対
象と比較されます。これは、指定された演算子に従って、設定された変数の値と比較されます。
２つ以上の値と変数を比較するために、複数の値を「値」フィールドに空白で区切って入力して、
「キーワード一致」演算子を選択できます。「キーワード一致」演算子を選択した場合は、空白区
切りのみ動作します。
･詳細操作 - このフィールドにより、特にアンチイベイシブ防御を強制するために、「演算子」フィー
ルドによってサポートされる以上の演算を適用することができます。詳細操作の詳細情報について
は、「詳細操作について」セクション（258 ページ）を参照してください。
以下のセクションで、ルールについての詳細情報を提供します。
･「ヒント／ヘルプサイドバーについて」（256 ページ）
･「変数について」（256 ページ）
･「演算子について」（258 ページ）
･「詳細操作について」（258 ページ）
･「ルールのユースケース例」（260 ページ）
･「ルールの削除」（262 ページ）
･「ルールの複製」（262 ページ）
･「ルールの追加と編集」（262 ページ）
ヒント／ヘルプサイドバーについて
「変数」ドロップダウンリストで変数を選択することで、その変数に関する詳細情報を、「ヒント／ヘル
プ」サイドバーに表示することができます。このサイドバーは、それぞれの変数がいつ使用されて、
ＨＴＴＰプロトコルのどこで見つけられるかを説明します。
「詳細操作」ドロップダウンリストでエンティティを選択することで、それに関する詳細情報を、「ヒント
／ヘルプ」サイドバーに表示することができます。
このサイドバーはまた、状況感知検索を提供します。変数を選択してから、特定のキーワードを検索
すると、検索結果は変数に関連するものだけになります。
変数について
変数は、正当または不正なトラフィックを区別する支援をする、ウェブアプリケーションファイアウォー
ルによって走査されるＨＴＴＰプロトコルのエンティティです。複数の変数を「値」フィールド内に設定さ
れた値に対して照合することができます。 ’ ＋’ と’ －’ ボタンにより、「変数」ドロップダウンリストか
ら変数を追加する、また、それらを選択済み変数のリストから削除することができます。
指定した値と照合することを要求するために、複数の変数を結合させることができます。複数の変数が
設定された場合は、ルールは設定した変数のうちのどれか１つが対象の値に一致するかどうか照合
されます。
変数は、単一の値または集合で表現できます。変数を「パラメータ値」のような集合で表現した場合
は、集合内の特定の変数を、その名前を選択用テキストボックスに入力してコロン（：）の右側に付
加することによって設定できます。例えば、「ＵＲＩ」または「ホスト」変数に対する値は各ＨＴＴＰ（Ｓ）
256
SonicWALL SRA 5.5 管理者ガイド
要求内で一意です。そのような変数に対しては、選択用テキストボックスは表示されません。「要求
ヘッダ値」や「応答ヘッダ名」といったその他の変数は、集合を表現します。
集合自身を入力に対して試験する必要がある場合は、選択用テキストボックスを空のままにします。し
かしながら、集合内の特定項目の値を検索する必要がある場合は、選択用テキストボックスにその項
目を指定します。例えば、ＨＴＴＰ（Ｓ）要求内にｐａｓｓｗｏｒｄパラメータが存在するかどうかを試験す
る必要がある場合は、「パラメータ名」変数を設定して、選択用テキストボックスを空のままにします。
「演算子」を「文字列一致」に、そして「値」をｐａｓｓｗｏｒｄに設定します。しかし、このｐａｓｓｗｏｒｄ
パラメータの値が特定の文字列（例えば” ｆｏｏ”）と一致しているかどうかを確認したい場合は、「パラ
メータ値」変数を選択して、選択用テキストボックスにｐａｓｓｗｏｒｄを設定します。そして「値」フィール
ドにｆｏｏを設定します。
表 1 ルール内で使用される変数
変数名
集合
説明
ホスト
いいえ
HTTP 要求のホストヘッダ内のホスト名または IP アドレスを指します。一
般的に、これはブラウザのアドレスバー内の URL のホスト部分を指しま
す。
URI
いいえ
URL 内のパスと照会引数の組み合わせを指します。
HTTP メソッド
いいえ
ブラウザがウェブサーバのリソースを要求するために使用する GET や
POST などの HTTP メソッドを指します。
HTTP 状況コード
いいえ
ウェブサーバからの応答の状況を指します。ウェブサーバからの様々
なエラーコードに対する動作を設定するために、これを使用できます。
パラメータ値
はい
すべての照会引数と現在の要求の一部であるフォームパラメータの値を
含む、すべての要求パラメータの値の集合を指します。
パラメータ値の個数のような、パラメータ値の全体リストの状況に対して
照合するには、選択用フィールドを空のままにします。
特定のパラメータの値に対して照合するには、パラメータの名前を選択
用テキストボックスに指定してコロンの右側に付加します。
パラメータ名
はい
すべての照会引数と現在の要求の一部であるフォームパラメータの名前
を含む、すべての要求パラメータの集合を指します。
パラメータ名の全体リストの状況に対して照合するには、選択用フィー
ルドを空のままにします。
特定のパラメータの名前に対して照合するには、パラメータの名前を選
択用テキストボックスに指定してコロンの右側に付加します。
リモートアドレス
いいえ
クライアントの IP アドレスを指します。この値により、特定の IP アドレス
からのアクセスを許可または遮断することができます。
要求ヘッダ値
はい
現在の要求に対するすべての HTTP(S) 要求ヘッダ値の集合を指しま
す。
要求ヘッダ値の全体リストの状況に対して照合するには、選択用フィー
ルドを空のままにします。
特定のヘッダ値に対して照合するには、ヘッダの名前を選択用テキス
要求ヘッダ名
はい
現在の要求に対するすべての HTTP(S) 要求ヘッダ名の集合を指しま
す。
要求ヘッダ名の全体リストの状況に対して照合するには、選択用フィー
ルドを空のままにします。
特定のヘッダ名に対して照合するには、ヘッダの名前を選択用テキス
トボックスに指定してコロンの右側に付加します。
トボックスに指定してコロンの右側に付加します。
例えば、信頼されたホストから参照されたものではない要求を遮断する
には、「要求ヘッダ名」を「変数」として選択、選択用テキストボックス
に Rererer を指定、「値」フィールドに信頼されたホストのホスト名または
IP アドレスを入力、「否定」チェックボックスを選択して、「キーワード一
致」演算子を選択します。
SonicWALL SRA 5.5 管理者ガイド
257
変数名
集合
説明
応答ヘッダ値
はい
現在の要求に対するすべての HTTP(S) 応答ヘッダ値の集合を指しま
す。
応答ヘッダ値の全体リストの状況に対して照合するには、選択用フィー
ルドを空のままにします。
特定のヘッダ値に対して照合するには、ヘッダの名前を選択用テキス
トボックスに指定してコロンの右側に付加します。
応答ヘッダ名
はい
現在の要求に対するすべての HTTP(S) 応答ヘッダ名の集合を指しま
す。
応答ヘッダ名の全体リストの状況に対して照合するには、選択用フィー
ルドを空のままにします。
特定のヘッダ名に対して照合するには、ヘッダの名前を選択用テキス
トボックスに指定してコロンの右側に付加します。
応答コンテンツ長
いいえ
応答ペイロードのサイズを指します。
応答ペイロード
いいえ
ユーザに表示されるウェブページの内容を指します。
ポータルホスト名
いいえ
クライアントからの要求を受け付ける SonicWALL SSL VPN ポータルの仮
想ホスト名を指します。
特定の仮想ホストに適用する連鎖ルールを作成するには、 1 つのルー
ルはホストと一致するようにして、もう 1 つに照合するための別の条件を
指定します。
ポータルアドレス
いいえ
クライアントからの要求を受け付ける SonicWALL SSL VPN ポータルの IP
アドレスまたは仮想 IP アドレスを指します。
演算子について
多くの計算および文字列演算子があります。「否定」チェックボックスは、設定した条件を除いたどん
な値にも一致させるために使われる、逆演算子です。
これらの演算子は、「詳細操作」と共に使うことができます。例えば、「文字列一致」演算子を、「詳
細操作」内の「小文字変換」または「URI パスの正規化」と共に使うことができます。
表 2 で、ルールで使用することができる演算子を説明します。
表 2 ルールの演算子
演算子
種別
説明
部分一致
文字列
走査した変数の 1 つ以上が「値」フィールドの内容を含みます。
文字列一致
文字列
走査した変数が「値」フィールド内の英数字文字列と完全一致します。
=
計算
走査した変数が「値」フィールドの内容と同値です。
>
計算
走査した変数が「値」フィールドの内容を超えます。
>=
計算
走査した変数が「値」フィールドの内容以上です。
<
計算
走査した変数が「値」フィールドの内容未満です。
<=
計算
走査した変数が「値」フィールドの内容以下です。
キーワード一致
文字列
走査した変数の 1 つ以上が「値」フィールド内のキーワードの 1 つに一
致します。複数のキーワードを指定する場合は、空白で区切る必要が
あります。
正規表現一致
文字列
走査した変数の 1 つ以上が「値」フィールド内の正規表現に一致しま
す。例えば、 4 文字の十進数を照合する正規表現は、 \d{4} です。
詳細操作について
詳細操作は、入力が指定された値に対して照合される前に、選択された変数によって確認された入力
に適用されます。例えば、「文字列長」操作は、一致した入力の長さを計算して、それを比較に使うために
258
SonicWALL SRA 5.5 管理者ガイド
使用されます。いくつかの詳細操作は、ウェブアプリケーションファイアウォールのルールをバイパスするために
入力を符号化する、ハッカーの試行を阻止するために使われます。リスト内の詳細操作の 1 つを選択すると、「ヒ
ント／ヘルプ」サイドバーで、それについての詳しい情報を読むことができます。
詳細操作は、通常の演算子と共に使うことができます。「詳細操作」フィールドからは、入力だけを残す
「なし」操作を含む、 10 種類の操作が選択できます。
複数の詳細操作は一緒に選択して個々に強制できます。「Ctrl」キーを押しながら追加の操作を選択する
ことで、複数の操作が選べます。ルール内で「なし」操作がその他の操作と一緒に選択された場合は、入力は
そのまま比較され、また、その他の操作で複合化や変換された後に比較されます。表 3 で、ルールで使用す
ることができる詳細操作を説明します。
表 3 ルールの詳細操作
操作
説明
なし
走査された入力を変更せずに、設定した変数と値と比較したい場合に、「なし」
操作を使います。
文字列長
選択した変数が文字列で、かつ選択した演算子の適用前に文字列の長さを計算
したい場合に、「文字列長」操作を使います。
小文字変換
比較の前にすべての入力を小文字に変換することにより、大文字小文字を区別
しない比較をしたい場合に、「なし」を使います。
URI パスの正規化
URI の後方参照 (URI の先頭は除く )、連続したスラッシュや自己参照といった、
不正な参照を削除する場合に、「URI パスの正規化」操作を使います。例えば、
www.eshop.com/././//login.aspx の URI は、 www.eshop.com/login.aspx に変換
されます。
これは、ハッカーが URI に不正な参照を追加することでルールを回避することを
防ぐアンチイベイシブ操作です。
空白の削除
比較の前に入力文字列内の空白を削除する場合に、「空白の削除」操作を使い
ます。余分な空白により、入力がルールに一致しなくなることがありますが、
バックエンドのウェブアプリケーションによって解釈されます。
これは、ハッカーが文字列に空白を追加することでルールを回避することを防ぐ
アンチイベイシブ操作です。
Base 64 デコード
比較の前に base64 エンコードされたデータをデコードする場合に、「Base 64 デ
コード」操作を使います。
いくつかのアプリケーションは、バイナリデータを URL とフォーム欄の包摂に都
合の良い手法でエンコードします。 Base64 エンコードは、このようなデータをコン
パクトにするために使用されます。バックエンドアプリケーションがこのデータをデ
コードします。
これは、ハッカーが入力に base64 エンコードを使うことでルールを回避することを
防ぐアンチイベイシブ操作です。
16 進数デコード
比較の前に 16 進数エンコードされたデータをデコードする場合に、「16 進数デ
コード」操作を使います。
これは、ハッカーが入力に 16 進数エンコードを使うことでルールを回避することを
防ぐアンチイベイシブ操作です。
SonicWALL SRA 5.5 管理者ガイド
259
操作
説明
URL デコード
入力内の URL エンコードされた文字列をデコードする場合に、「URL デコード」
URL デコード（ユニコード）操作を使います。 %uXXXX エンコーディングを処理するには、「URL デコード（ユ
ニコード）」操作を使います。 URL に ASCII 文字セット以外の文字が含まれている
場合に、インターネットにデータを安全に送信するために URL エンコードが使用さ
れます。
注：すでにデコードされている入力に対しては、この操作を使用しないで
ください。
これは、ハッカーが URL エンコードを使うことでルールを回避する（バックエンド
ウェブサーバがそれらの悪意のある入力をデコード後に実行する可能性があるこ
とで知られている）ことを防ぐアンチイベイシブ操作です。
例えば、 www.eshop.com/hack+URL%3B の URI は、比較が行われる前にこ
の操作によって、 www.eshop.com/hack URL に変換されます。
両端空白の除去
比較の前に入力データの前後の空白を削除する場合に、「両端空白の除去」操
作を使います。余分な空白により、入力がルールに一致しなくなることがあります
が、バックエンドのウェブアプリケーションによって解釈されます。
これは、ハッカーが入力データの前後に空白を追加することでルールを回避する
ことを防ぐアンチイベイシブ操作です。
ルールのユースケース例
このセクションでは肯定および否定セキュリティモデルの例を、アンチイベイシブの手法のより深い理
解を提供するための詳細操作の使用を紹介するいくつかの例とともに提供します。
例 - 肯定セキュリティモデル：不正ログインの遮断
パスワードの長さが 8 文字未満だった場合に、アプリケーションオフロードされたウェブサイトへのロ
グインを防ぐには、以下の 2 つのルールを持つ連鎖ルールを作成します。
1. 「変数」として「ホスト」を選択し、「+」を選択してこれを追加します。「演算子」として「文字列一
致」を設定し、「値」にポータルの仮想ホスト名を設定します。これは、ログイン要求のホストヘッ
ダが防御しようとしているサイトに一致することを確認します。この場合、連鎖ルールは 1 サイトに
のみ適用されます。
2. 「変数」として「パラメータ値」を選択し、選択用フィールドに password を入力して、「+」を選択し
てこの変数と選択した項目をルールに追加します。「演算子」として「< （未満）」を設定し、「値」
に 8 を設定します。パスワードフォームパラメータの長さを計算するために、「詳細操作」リストか
ら「文字列長」を選択します。
この連鎖ルールの動作は「防御」に設定します。図 7 は、この例の連鎖ルールを示します。
260
SonicWALL SRA 5.5 管理者ガイド
図 7 連鎖ルールの例 - 不正ログインの遮断
例 - 肯定セキュリティモデル：好ましくないパラメータを持つフォーム提出の遮断
この連鎖ルールは、フォームが formId 以外の要求パラメータを持つ場合と、 formId の値が 4 文字を
超える数字を含む場合にフォーム提出を遮断します。これを完了するには、以下の 2 つの連鎖ルール
を作成する必要があります。
1. 1 つ目の連鎖ルールは、以下の 2 つのルールを持ちます。
- 1 つ目のルールは、フォームが提出された URL を確認します。
- 2 つ目のルールは、「パラメータ名」が正しいパラメータの名前である formId と一致していない
かを確認します。これは、「文字列一致」演算子を、逆転の「否定」チェックボックスを選択し
て使います。
2. 2 つ目の連鎖ルールは、以下の 2 つのルールを持ちます。
- 1 つ目のルールは、フォームが提出された URL を確認します。
- 2 つ目のルールは、「パラメータ値： formId」変数に含まれる値が、 1 文字から 4 文字の数字
のどれかを含むものと照合するため、正規表現の ^\d{1,4}$ と一致するかどうかを確認します。
ルールが 1 文字から 4 文字の数字を含まないものすべてに一致するように、逆転の「否定」
チェックボックスを選択して使います
SonicWALL SRA 5.5 管理者ガイド
261
例 - 否定セキュリティモデル：フォームへの悪意のある入力の遮断
フォームへの悪意のある入力を遮断するには、以下の 2 つのルールを持つ連鎖ルールを作成します。
1. 1 つ目のルールは、フォームの URL を確認します。
2. 2 つ目のルールは、フォームパラメータの shell_cmd と、不正な入力の traceroute を確認します。
例 - URL デコードとなしの使用
もしもハッカーが、要求 URI が CR と LF 文字（キャリッジリターンとラインフィード）に対して走査さ
れていることを知ると、このハッカーはそれらの文字を、要求に追加する前に URL エンコードを実行す
ることで、要求内に巧妙に挿入しようと試行するかもしれません。そうすると、この URI は HTTP 応答
スプリッティング攻撃の開始に使われる可能性がある、 %0D と %0A 文字を含みます。「URL デコード」
および／または「URL デコード（ユニコード）」操作は、走査された入力を一致を確認するために設定
した値と比較する前にデコードすることで、この種の攻撃を阻止するために使用できます。
具体的には、要求が http://www.host.com/foo%20bar/ の URI に対して行われ、そして「URL デ
コード」操作が選択された場合、デコード後に走査される URI は http://www.host.com/foo bar/ にな
り、安全に照合できます。エンコードしていない要求に加えてエンコードした要求を送信するハッカーを
阻止するために、管理者はルールに「なし」と「URL デコード」オプションを選択できます。
例 - パラメータ値で小文字変換と URL デコードの使用
管理者が、「パラメータ値」変数の内容が、値 foo bar と一致しているかどうかの確認を、そのような
要求を遮断するために望んでいます。バックエンドアプリケーションが大文字小文字を区別する入力
（foo bar と FOO BAR）を受け入れるので、ハッカーは要求内の foo BAR を通過させ、ルールを回避
することができます。この回避策を防ぐために、管理者はアンチイベイシブ操作として「小文字変換」
を指定して、値として foo bar をすべて小文字で設定します。これにより、すべての要求パラメータ値
は小文字に変換されて、大文字小文字の区別が無い確認のために、値と比較されます。
同様に、ハッカーは一般的にブラウザにより使用される URL エンコードされた形である、 foo%20BAR
を通過させることができます。この回避策を防ぐために、管理者はアンチイベイシブ操作として「URL
デコード」を指定して要求エンティティに適用します。入力の foo%20BAR は、 foo BAR に URL デコード
されます。入力が既に foo BAR の場合は、 URL デコードは適用されません。
例 - パラメータ値： ID で文字列長と URL デコードの使用
デコードされた入力に対して比較することで、管理者は一致した変数に対する入力の長さを確認するた
めに、「文字列長」操作を使用できます。例えば、ウェブアプリケーション ID パラメータが 4 文字を
超えるべきではない場合に、管理者は「変数」フィールドに「パラメータ値」を選択し、選択用フィー
ルド内に「文字列長」を入力して、「+」を選択してこの変数と選択した項目をルールに追加してから、
「値」フィールドに 4 を設定し、「演算子」リストから「>」を選択して、「詳細操作」リストから「URL
デコード」と「文字列長」の両方を選択します。
ルールの削除
連鎖ルールからルールを削除するには、以下の手順に従います。
262
SonicWALL SRA 5.5 管理者ガイド
手順 1
「ウェブアプリケーションファイアウォール＞ルール」ページで、削除したいルールがある連鎖ルールの
「設定」列の連鎖ルールの編集アイコン
を選択します。連鎖ルールのページが開きます。
手順 2 削除したいルールの「設定」列の削除アイコン
を選択します。
手順 3 確認のダイアログボックスで、「ＯＫ」を選択します。
手順 4
「適用」を選択します。
ルールの複製
ルールを複製するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ルール」ページで、複製したいルールがある連鎖ルールの
「設定」列の連鎖ルールの編集アイコン
を選択します。連鎖ルールのページが開きます。
手順 2 複製したいルールの「設定」列の複製アイコン
を選択します。
手順 3 確認のダイアログボックスで、「ＯＫ」を選択します。
これで、ルールを編集してカスタマイズできるようになりました。「ルールの追加と編集」（262 ペー
ジ）を参照してください。
ルールの追加と編集
連鎖ルールのルールを追加または編集するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ルール」ページで、ルールを追加または編集したい連鎖
ルールの「設定」列の連鎖ルールの編集アイコン
を選択します。連鎖ルールのページが開きま
す。
手順 2 新しいルールを追加するには「ルールの追加」ボタンを選択、ルールを編集するには、編集したいルー
ルの「設定」列の編集アイコンを選択します。
手順 3 ルールの追加ページまたは、ルールを編集するためのページで、「変数」ドロップダウンリストから変数を
選択します。利用可能な変数の情報については、「変数について」（256 ページ）を参照してくださ
い。
手順 4 選択した変数が変数の集合の場合は、「変数」フィールドの右側に選択用フィールドが表示されます。集合
の特定のメンバに対して比較したい場合は、その項目の名前を選択用フィールドに入力します。
集合自身を入力に対して試験する必要がある場合は、選択用テキストボックスを空のままにします。例
えば、要求内に特定のパラメータが存在するかどうか試験するには、「パラメータ名」変数を選択し
て、「値」フィールド（変数の選択用フィールドではない）にその特定のパラメータ名を入力します。
手順 5 プラスボタン
を選択して、変数をルールに追加します。さらに変数を追加するには、手順 2 から手
順 5 を繰り返します。
また、変数を削除するには、大きいテキストボックス内で対象を選択してから、マイナスボタン
を選択します。
手順 6
「演算子」ドロップダウンリストから、文字列または計算の演算子を選択します。逆演算を行うには、「否
定」チェックボックスを選択します。
手順 7
「値」フィールドに、走査される HTTP(S) 入力内の選択した変数と比較する値を入力します。「キーワード
一致」演算子を選択する場合は、複数の値それぞれを空白で区切って入力することで、入力を複数の値
と比較することができます。
手順 8
「詳細操作」リストから、 1 つ以上の操作を選択します。複数の操作を選択するには、キーボードの
「Ctrl」ボタンを押しながら選択します。
手順 9 終了後に「適用」を選択します。
admin_wafMonitoring
SonicWALL SRA 5.5 管理者ガイド
263
ウェブアプリケーションファイアウォール監視の使用
「ウェブアプリケーションファイアウォール＞監視」ページには「ローカル」と「グローバル」の 2 つ
のタブがあります。両方のタブのページには、単位時間あたりに検知 / 防御された脅威および上位 10
位の脅威に関する統計とグラフが表示されます。ローカルタブにはまた、ウェブサーバの状況統計と
選択した監視期間の要求数とトラフィック量のグラフも表示されます。
それぞれのタブに対する監視機能は、以下のセクションで説明されています。
･「ローカルタブでの監視」（263 ページ）
･「グローバルタブでの監視」（268 ページ）
グローバル制御、ウェブサーバ状況グラフ、および検知と防御された脅威のグラフまたは詳細リストを
提供します。
ローカルタブでの監視
「ローカル」タブにはローカル装置に対する統計とグラフが表示されます。グラフは「ウェブサーバ状
況」と「WAF で検知または防御された脅威」に対して表示されます。後者に対しては、「観点」オプ
ションを使用して、シグネチャ、深刻度、サーバの中から表示を変更可能で、グラフではなくリスト形
式で統計を表示可能です。
制御ボタンの使用
制御ボタンはページ上部に表示されます。それらは、このページ上に表示される統計を制御します。
ローカルタブ上で制御ボタンを使って、ストリーミング更新のオンとオフ、ページ上のデータの再表示、
グラフのクリア、およびレポートのダウンロードができます。ストリーミングがオンになっている場合、
ウェブアプリケーションファイアウォールの統計情報は定期的に収集されて、グラフと脅威リストに表
示されます。ストリーミングがオフになっていると、新しい情報は表示できません。
制御ボタンを使うには、以下の手順に従います。
手順 1
「ローカル」タブを選択します。アクティブなタブの名前は赤色またはピンク色で表示され、非アクティブなタ
ブの名前は青色で表示されます。
手順 2 ストリーミングのオン・オフを切り替えるには、「ストリーミング更新」の隣の「ON」または「OFF」インジ
ケータを選択します。
手順 3 表示を更新するには、「再表示」ボタンを選択します。
手順 4 グラフとリストから、ウェブアプリケーションファイアウォールの統計すべてをクリアするには、「グラフのクリ
ア」ボタンを選択します。
手順 5 ウェブアプリケーションファイアウォールの統計を含む PDF レポートを生成するには、「レポートのダウン
ロード」ボタンを選択します。
備考
264
インターネットエクスプローラは、レポートを生成するために Adobe Flash Player バージョン 10 以上
が必要です。
SonicWALL SRA 5.5 管理者ガイド
手順 6 Adobe Flash Player のインストールが要求された場合は、「Flash の入手」を選択して、インストール後に
「再試行」を選択して、インターネットエクスプローラから PDF レポートを生成します。
ウェブサーバ状況の監視
「ローカル」タブの制御ボタンの下には、ウェブサーバ状況のグラフが表示されます。グラフの 1 つ
は、時間内に検知されたウェブ要求の数を表示し、もう 1 つのグラフはトラフィック量をキロバイト
（KB) で表示します。
トラックされるウェブサーバは、 HTTP/HTTPS ブックマーク、オフロードされたアプリケーション、およ
びその他のウェブサービスを提供する SonicWALL SRA 装置のローカルネットワーク内のサーバです。
トラフィックグラフは、クライアントのブラウザに送信された HTTP/HTTPS ペイロードデータを示しま
す。
「監視期間」ドロップダウンリストから、以下のオプションの 1 つを選択することで、異なる期間のウェ
ブサーバアクティビティを「ローカル」タブ上で参照できます。
･最新 60 秒間
･最新 60 分間
･最新 24 時間
･最新 30 日間
図 8 は 24 時間のウェブサーバアクティビティを示します。
図 8 最新 24 時間のウェブサーバ状況
図 9 は 60 分間のウェブサーバアクティビティを示します。
SonicWALL SRA 5.5 管理者ガイド
265
図 9 最新 60 分のウェブサーバ状況
検知および防御された脅威の監視
「ローカル」タブのウェブサーバ状況グラフの下には、検知および防御された脅威の数を示すグラフが
表示されます。グラフは 2 つあり、 1 つは、時間内の脅威数を表示し、もう 1 つは時間内に検知およ
び防御された上位 10 位までの脅威を表示します。
「監視期間」ドロップダウンリストから、以下のオプションの 1 つを選択することで、両方のグラフに表
示される期間を変更する、またはリスト形式ですべての脅威を表示するように表示を変更することがで
きます。
･最新 12 時間
･最新 14 日間
･最新 21 日間
･最新 6 か月間
･すべてを一覧表示
図 10 は、最新 21 日間で検知および防御された脅威の数と深刻度を示します。
図 10 最新 21 日間の脅威
「観点」を「シグネチャ」に設定して上位 10 位の脅威グラフを表示する場合、マウスポインタをシグ
ネチャ ID にあわせると、その脅威に関する詳細を持つツールチップが表示されます。
266
SonicWALL SRA 5.5 管理者ガイド
図 11 脅威の詳細ツールチップ
脅威をリスト形式で参照する
脅威をグラフとしてではなく、リスト形式で参照するには、「監視期間」ドロップダウンリストから「す
べてを一覧表示」を選択します。図 12 は、このリスト形式を示します。
この脅威リストの深刻度は、素早く参照するために以下のように色分けされています。
･高深刻度の脅威 - 赤
･中深刻度の脅威 - オレンジ
･低深刻度の脅威 - 黒
はじめは、既定の並び順では深刻度が高く頻度が一番高いものからリストされます。列の見出しを選
択することでリストされた脅威の並びを ID、シグネチャの名前、脅威分類、または頻度順に変更でき
ます。再度選択すると、昇順と降順を変更します。アクティブな並び順の列は、昇順に対しては上向
きの矢じり、降順に対しては下向きの矢じりによってマークされます。
図 12 リスト形式の脅威
脅威の詳細を表示または隠すには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞監視」ページで、「監視期間」ドロップダウンリストから「す
べてを一覧表示」を選択します。「WAF で検知または防御された脅威」テーブルに、検知または防御
された脅威のリストが表示されます。
手順 2 脅威についての詳細を表示するには、脅威を選択します。詳細は、以下を含みます。
･ URL - この脅威に対する SonicWALL ナレッジベースの URL です。
･種別 - この脅威の種別です。
･深刻度 - この脅威の深刻度で、高、中、または、低です。
SonicWALL SRA 5.5 管理者ガイド
267
･概要 - この脅威がどのように動作するかの、短い説明です。
手順 3 脅威の詳細を隠すには、脅威のリンクを再度選択します。
観点を変更する
上位 10 位までの脅威のグラフに対しては、「観点」ドロップダウンリストから、以下の表示オプション
が選択できます。
･シグネチャ - グラフの左側に、表示された各脅威の名前がリストされます。
･深刻度 - 高、中、低の深刻度の脅威が色分けされて表示されます。
268
SonicWALL SRA 5.5 管理者ガイド
･サーバ - グラフの左側に、サーバ名がリストされます。
グローバルタブでの監視
「グローバル」タブにはウェブアプリケーションファイアウォールが有効になっているすべての
SonicWALL SRA 装置によって報告された脅威に対する統計とグラフが表示されます。グラフは「WAF
で検知または防御された脅威」に対して表示されます。
制御ボタンの使用
制御ボタンはページ上部に表示されます。それらは、このページ上に表示される統計を制御します。
グローバルタブ上で制御ボタンを使って、ストリーミング更新のオンとオフ、ページ上のデータの再表
示、およびレポートのダウンロードができます。ストリーミングがオンになっている場合、ウェブアプリ
ケーションファイアウォールの統計情報は定期的に収集されて、グラフと脅威リストに表示されます。
ストリーミングがオフになっていると、新しい情報は表示できません。
制御ボタンを使うには、以下の手順に従います。
手順 1
「グローバル」タブを選択します。アクティブなタブの名前は赤色またはピンク色で表示され、非アクティブ
なタブの名前は青色で表示されます。
手順 2 ストリーミングのオン・オフを切り替えるには、「ストリーミング更新」の隣の「ON」または「OFF」インジ
ケータを選択します。
手順 3 表示を更新するには、「再表示」ボタンを選択します。
手順 4 ウェブアプリケーションファイアウォールの統計を含む PDF レポートを生成するには、「レポートのダウン
ロード」ボタンを選択します。
備考
インターネットエクスプローラは、レポートを生成するために Adobe Flash Player バージョン 10 以上
が必要です。
SonicWALL SRA 5.5 管理者ガイド
269
手順 5 Adobe Flash Player のインストールが要求された場合は、「Flash の入手」を選択して、インストール後に
「再試行」を選択して、インターネットエクスプローラから PDF レポートを生成します。
検知および防御された脅威の監視
「グローバル」タブの最上部では、検知および防御された脅威の数を示すグラフが表示されます。グラ
フは 2 つあり、 1 つは、時間内の脅威数を表示し、もう 1 つは時間内に検知および防御された上位
10 位までの脅威を表示します。
「監視期間」ドロップダウンリストから、以下のオプションの 1 つを選択することで、両方のグラフに表
示される期間を変更することができます。
･最新 12 時間
･最新 14 日間
･最新 21 日間
･最新 6 か月間
図 13 は、最新 21 日間で検知および防御された脅威の数と深刻度を示します。
図 13 最新 21 日間の脅威
マウスポインタをシグネチャ ID にあわせると、その脅威に関する詳細を持つツールチップが表示され
ます。
270
SonicWALL SRA 5.5 管理者ガイド
図 14 脅威の詳細ツールチップ
詳細な脅威情報を得るために、装置上のローカルシグネチャデータベースにアクセスしますが、デー
タベースが最新でない場合は、上位 10 位の脅威に対するいくつかの詳細情報は利用できません。こ
の場合、グラフ内のその脅威の色は明るい灰色で表示され、その脅威のためのツールチップ内に
「深刻度」が「不明」として表示されます。グラフの下に以下のメッセージも表示されます。
" 警告 : この装置用のウェブアプリケーションファイアウォールシグネチャデータベースは現在利用で
きません。ウェブアプリケーションファイアウォール＞状況ページでデータベースを同期してください。
"
admin_wafLog
SonicWALL SRA 5.5 管理者ガイド
271
ウェブアプリケーションファイアウォールのログの使用
「ウェブアプリケーションファイアウォール＞ログ」ページでは、便利なログ検索機能やログをファイ
ルにエクスポートする機能、メールで送信する機能など、さまざまなログ機能を利用できます。また、
ログを消去することもできます。ログエントリを選択すると、イベントの詳細な情報が表示されます。
以下のセクションを参照してください。
･「ログを検索する」（271 ページ）
･「ログのページ付けを調整する」（271 ページ）
･「ログエントリの詳細な情報を表示する」（272 ページ）
･「ログファイルのエクスポートとメール送信」（272 ページ）
･「ログを消去する」（273 ページ）
ログを検索する
ログテーブルの特定の列に含まれる値を検索したり、指定の値を含まないログエントリを検索できま
す。
ウェブアプリケーションファイアウォールのログを表示、検索するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ログ」ページで、検索する値を「検索」フィールドに入力し
ます。
手順 2
「検索」フィールドの右側にあるドロップダウンリストから検索の対象とする列を選択します。
手順 3 以下のいずれかを実行します。
･検索値を含むログエントリの検索を開始するには、「検索」ボタンを選択します。
･検索値を含まないログエントリの検索を開始するには、「除外」ボタンを選択します。
･「検索」フィールドの内容を消去し、ドロップダウンリストを既定値（時刻）に設定し、ログエント
リの最初のページを表示するには、「リセット」ボタンを選択します。
ログのページ付けを調整する
１ページに表示するログエントリ数を調整し、エントリの表示範囲を変更するには、以下の手順に従
います。
手順 1
「ウェブアプリケーションファイアウォール＞ログ」ページで、１ページに表示するログエントリ数を「１
ページあたりの項目」フィールドに入力します。「ログ」ページの表示が新しいエントリ数に変更されま
す。
手順 2 特定の番号以降のログエントリを表示するには、開始番号を「項目」フィールドに入力し、Ｅｎｔｅｒキーを
押します。
手順 3 ログエントリの１ページ目を表示するには、矢印コントロールパッドの左端のボタン
272
SonicWALL SRA 5.5 管理者ガイド
を選択します。
手順 4 ログエントリの前のページを表示するには、矢印コントロールパッドの左向き矢印
を選択します。
手順 5 ログエントリの次のページを表示するには、矢印コントロールパッドの右向き矢印
を選択します。
手順 6 ログエントリの最後のページを表示するには、矢印コントロールパッドの右端のボタン
を選択します。
ログエントリの詳細な情報を表示する
ログエントリの詳細な情報は、ログの種類によって異なります。ＵＲＩ（ＵｎｉｆｏｒｍＲｅｓｏｕｒｃｅ
Ｉｎｄｉｃａｔｏｒ）が、脅威が検知されたコマンドと共に表示されます。また、イベントの原因となったエー
ジェントに関する情報も表示されます。暗号のようなエージェント文字列の意味については、次の
Ｗｉｋｉｐｅｄｉａページを参照してください。ユーザエージェントに関する説明と、ユーザエージェント文字
列を解析できる外部サイトへのリンクがあります。〈http://en.wikipedia.org/wiki/User_agent〉
個別のログの詳細情報を表示するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ログ」ページで、詳細情報を表示するログエントリを選択し
ます。そのエントリの直後に詳細情報が表示されます。
手順 2 詳細情報を非表示にするには、ログエントリをもう一度選択します。
ログファイルのエクスポートとメール送信
「ウェブアプリケーションファイアウォール＞ログ」ページの右上隅にあるボタンを使って、現在の
ウェブアプリケーションファイアウォールログの内容をファイルにエクスポートしたり、メールで送信す
ることができます。
エクスポートしたファイルは .ｗｒｉファイル名拡張子を付けて保存され、既定でワードパッドで開かれま
す。
メールでファイルを送信すると、ＳＲＡ管理インターフェースの「ログ＞設定」ページで設定されたア
ドレスに宛てて送信されます。アドレスが未設定のときは、「ウェブアプリケーションファイアウォール
＞ログ」ページで「ログの送信」ボタンを選択した後でエラーメッセージがブラウザ下部のステータス
行に表示されます。
ログをエクスポートまたは送信するには、次の手順を実行します。
SonicWALL SRA 5.5 管理者ガイド
273
手順 1 ログの内容をエクスポートするには、「ウェブアプリケーションファイアウォール＞ログ」ページの右上隅に
ある「エクスポート」ボタンを選択します。「ファイルのダウンロード」ダイアログボックスが表示され
ます。
手順 2
「ファイルのダウンロード」ダイアログボックスで、以下のいずれかの操作を行います。
･ファイルを開くには、「プログラムで開く」を選択します。
･ファイルを保存するには、「ファイルを保存する」を選択してからファイルを保存するフォルダに移動
し、「保存」を選択します。
手順 3 ログの内容をメールで送信するには、「ウェブアプリケーションファイアウォール＞ログ」ページの右上隅
にある「ログの送信」ボタンを選択します。ログの内容が、「ログ＞設定」ページで指定されたアド
レスにメールで送信されます。
ログを消去する
「ウェブアプリケーションファイアウォール＞ログ」ページでは、ウェブアプリケーションファイア
ウォールログからすべてのエントリを削除できます。ページに表示されていたエントリが削除され、そ
の後でログエントリがまだ追加されない状態でログファイルのエクスポートや送信を行おうとすると、確
認のダイアログボックスが表示されます。
ウェブアプリケーションファイアウォールログを消去するには、以下の手順に従います。
手順 1
「ウェブアプリケーションファイアウォール＞ログ」ページの右上隅にある「ログの消去」ボタンを選択し
ます。
手順 2 確認のダイアログボックスで「OK」を選択します。
274
SonicWALL SRA 5.5 管理者ガイド
ウェブアプリケーションファイアウォールの検証と
トラブルシューティング
ウェブアプリケーションファイアウォールの正しい設定を確認する一つの方法は、「ウェブアプリケー
ションファイアウォール＞状況」ページを参照することです。このページには、検知 / 防御された脅
威に対する期間あたりの、および、上位１０脅威の統計とグラフが表示されます。ローカルタブに
は、ウェブサーバの状況統計と要求数のグラフ、選択された監視期間中のトラフィック量も表示されま
す。インターネットを通常どおりに使っていれば、１日以内に統計の表示が開始されます。
また、「ログ＞表示」ページと「ウェブアプリケーションファイアウォール＞ログ」ページにも役に立
つ情報があります。このセクションでは、主なログメッセージについて説明し、それが表示された場合
の対処方法を示します。
「ログ＞表示」のメッセージ
次のメッセージが「ログ＞表示」ページに表示されることがあります。
･ライセンスマネージャＳＳＬ接続障害－装置の再起動が必要です
「システム＞診断」ページでＰｉｎｇやＤＮＳルックアップ診断ユーティリティを使って
licensemanager.sonicwall.com への接続をテストし、バックエンドサーバに接続できることを確認して
ください。
･ライセンスマネージャはホストを解決できませんでした。ＤＮＳをチェックしてください。
「システム＞診断」ページでＰｉｎｇやＤＮＳルックアップ診断ユーティリティを使って
licensemanager.sonicwall.com への接続をテストし、バックエンドサーバに接続できることを確認して
ください。
･ライセンスマネージャピア識別障害－証明書と時刻をチェックしてください。
ライセンスマネージャサーバまたはシグネチャデータベースサーバが有効なＳＳＬ証明書を保持し
ていません。
･ライセンスマネージャのリセットが呼び出されました
デバイスライセンスがリセットされました。「システム＞ライセンス」ページを開いて、ライセンス
の有効化、アップグレード、または更新を行ってください。
「ウェブアプリケーションファイアウォール＞ログ」および「ログ＞表示」のメッセージ
次のメッセージが「ウェブアプリケーションファイアウォール＞ログ」ページや「ログ＞表示」ペー
ジに表示されることがあります。
･ＷＡＦシグネチャデータベースの更新障害：シグネチャが更新に見つかりませんでした
データベース更新のダウンロードは完了しましたが、適切なシグネチャがデータベースに見つかりま
せんでした。
･ＷＡＦシグネチャデータベースの更新障害：更新内のシグネチャのタイムスタンプが新しくありませ
ん
ライセンスマネージャから取得したデータベース更新内のタイムスタンプは、更新のダウンロードを
開始する前に通知されたタイムスタンプよりも古い値です。
･ＷＡＦシグネチャデータベースの更新障害：更新の処理中にエラーが発生しました
データベース更新のダウンロードと処理を行っているときに一般的なエラーが発生しました。更新内
のデータがシグネチャ解析スキーマに従っていない可能性があります。
･ＷＡＦシグネチャデータベースの更新障害：ＷＡＦシグネチャデータベース更新のダウンロード中
にエラーが発生しました
SonicWALL SRA 5.5 管理者ガイド
275
データベース更新のダウンロードと処理を行っているときに一般的なエラーが発生しました。更新内
のデータがシグネチャ解析スキーマに従っていない可能性があります。
･ＷＡＦシグネチャデータベースの更新がダウンロードされました。新しいデータベースには < 数字 >
件のルールが含まれます
シグネチャデータベースがダウンロードされました。新しいデータベースには < 数字 > 件のルール
が含まれます。ルールとは、ダウンロードされたシグネチャの数を確認するためにＳｏｎｉｃＷＡＬＬ
で使われる内部プロパティです。
備考
「ウェブアプリケーションファイアウォール＞設定」ページの「シグネチャの更新を自動的に適用
する」オプションを選択して、新しいシグネチャを自動的に適用できます。このオプションが選択さ
れていない場合は、ダウンロードが正常に完了した後で、「ウェブアプリケーションファイアウォー
ル＞状況」ページの「適用」ボタンを選択する必要があります。データベースが正常に適用され
た後で、新しいデータベースに含まれるすべてのシグネチャが「ウェブアプリケーションファイア
ウォール＞シグネチャ」ページに表示されます。
･ＷＡＦシグネチャデータベースが更新されました
管理者が「ウェブアプリケーションファイアウォール＞状況」ページの「適用」ボタンを選択した
後で、シグネチャデータベースの更新が適用されました。
･ＷＡＦエンジンが出荷時の既定のシグネチャデータベースで起動されました
ウェブアプリケーションファイアウォールエンジンは、出荷時の既定のシグネチャデータベースを
使ってトラフィックを検査します。これは、ファームウェアが更新されてから新しいシグネチャが見つ
かっていないことを意味します。過去にダウンロードを試みたことがログからわかる場合、このメッ
セージは、データベースエラーが原因で更新が正しく処理されず、対処として出荷時の既定の
データベースが使用されていることも意味します。
276
SonicWALL SRA 5.5 管理者ガイド
第 10 章
第 10 章
ユーザの設定
この章では、ユーザとグループのアクセスポリシーやブックマークなど、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの
ウェブベース管理インターフェースの「ユーザ」ページに関する情報や固有の設定タスクについて説明
します。ポリシーは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置で定義されているオブジェクトに、さまざまなレベルで
アクセスできるようにするものです。この章は以下のセクションで構成されます。
･「ユーザ＞状況」セクション（278 ページ）
･「ユーザ＞ローカルユーザ」セクション（280 ページ）
･「ユーザ＞ローカルグループ」セクション（304 ページ）
･「グローバル設定」セクション（326 ページ）
admin_usersStatus
SonicWALL SRA 5.5 管理者ガイド
277
ユーザ＞状況
「ユーザ＞状況」ページには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置にログインしているユーザと管理者に関する
情報が表示されます。このセクションでは、一連の階層型のポリシーを使ってＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮでユーザを管理する方法について、概要を説明します。
このセクションは、次のサブセクションから構成されています。
･「アクセスポリシーの概念」セクション（278 ページ）
･「アクセスポリシー階層」セクション（279 ページ）
図1
「ユーザ＞状況」ページ
「ストリーミング更新」が「ＯＮ」の場合、「ユーザ＞状況」ページの内容は、常に最新の情報が表
示されるよう自動的に更新されます。「ＯＮ」を押すことにより、「ＯＦＦ」に切り替わります。
「現在のユーザ」テーブルには、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮにログインしている現在のユーザまたは管
理者が表示されます。エントリには、ユーザの名前、ユーザが属するグループ、ユーザがログインし
ているポータル、ユーザのＩＰアドレス、ユーザがログインした時間を示すタイムスタンプ、セッション
の経過時間、およびセッションの累積無動作時間が表示されます。管理者は、ユーザの右側に表示
されているログアウトアイコンを選択することで、直ちにユーザセッションを終了してユーザをログアウ
トさせることができます。「現在のユーザ」テーブルには、以下の情報が表示されます。
表 1 アクティブなユーザの情報
列
説明
名前
ユーザのＩＤを示す文字列
グループ
ユーザが属するグループ
ポータル
ユーザがログインしているポータル
ＩＰアドレス
ユーザがログインしているワークステーションのＩＰアドレス
ログイン時間
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置との接続を最初に確立した時間（曜日、日付、およ
び時刻（ＨＨ：ＭＭ：ＳＳ）の形式）
ログイン経過時間
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置との接続を最初に確立してからの経過時間（日数と
時間数（ＨＨ：ＭＭ：ＳＳ）の形式）
無動作時間
ユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置に対してアクティブではない状態または無動作の状態
だった時間
ログアウト
ユーザを装置からログアウトさせることができるアイコン
アクセスポリシーの概念
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置へのア
クセスを細かく制御することができます。アクセスポリシーは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置を使ってアク
セスできる各種のネットワークリソースに、さまざまなレベルでアクセスできるようにするものです。ア
278
SonicWALL SRA 5.5 管理者ガイド
クセスポリシーには、グローバル、グループ、ユーザの３つのレベルがあります。特定のＩＰアドレ
ス、ＩＰアドレス範囲、すべてのアドレス、またはネットワークオブジェクトに対してアクセスポリシーを
作成することによって、アクセスを遮断または許可することができます。
アクセスポリシー階層
管理者は、ユーザ、グループ、グローバルポリシーを、定義済みネットワークオブジェクト、ＩＰアド
レス、アドレス範囲、すべてのＩＰアドレス、および各種のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮサービスに対し
て定義することができます。ポリシーには優先度があります。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのポリシー階層は、次のように定義されています。
･ユーザポリシーはグループポリシーよりも優先される
･グループポリシーはグローバルポリシーよりも優先される
･複数のユーザ、グループ、またはグローバルポリシーが設定されている場合は、最も限定的なポ
リシーが優先される
例えば、特定のＩＰアドレスに設定されたポリシーは、アドレス範囲に設定されたポリシーよりも優先さ
れます。ＩＰアドレス範囲に適用されるポリシーは、すべてのＩＰアドレスに適用されるポリシーよりも優
先されます。複数のＩＰアドレス範囲が設定されている場合は、最も小さいアドレス範囲が優先されま
す。ホスト名は個別のＩＰアドレスと同等に扱われます。
ネットワークオブジェクトの優先度はアドレス範囲と似ています。ただし、ネットワークオブジェクト全
体ではなく、個別のアドレスまたはアドレス範囲で優先度が決まります。
例：
･ポリシー１：ＩＰアドレス範囲１０.０.０.０－１０.０.０.２５５へのすべてのサービスを阻止する拒否
ルール
･ポリシー２：１０.０.１.２－１０.０.１.１０へのＦＴＰアクセスを阻止する拒否ルール
･ポリシー３：定義済みネットワークオブジェクト（ＦＴＰＳｅｒｖｅｒｓ）へのＦＴＰアクセスを許可する許
可ルール。ＦＴＰＳｅｒｖｅｒｓネットワークオブジェクトには、アドレス範囲１０.０.０.５－１０.０.０.２０
が指定されている。 10.0.0.5 - 10.0.0.20. さらに、ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍが指定されており、これは
１０.０.１.３に解決される
競合するユーザポリシーまたはグループポリシーは設定されていないと仮定します。ユーザが以下の
サーバへのアクセスを試みた場合、結果は次のようになります。
･ＦＴＰサーバ（１０.０.０.１）。ユーザはポリシー１によって阻止されます。
･ＦＴＰサーバ（１０.０.１.５）。ユーザはポリシー２によって阻止されます。
･ＦＴＰサーバ（１０.０.０.１０）。ユーザはポリシー３によってアクセスを許可されます。ＩＰアドレス範
囲１０.０.０.５－１０.０.０.２０は、ポリシー１で定義されているＩＰアドレス範囲よりも限定的です。
･ＦＴＰサーバ（ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍ）。ユーザはポリシー３によってアクセスを許可されます。特定
のホスト名は、ポリシー２で設定されているＩＰアドレス範囲よりも限定的です。
備考
この例では、ユーザはＩＰアドレス１０.０.１.３を使ってｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍにアクセスすることはで
きません。ＳＳＬＶＰＮのポリシーエンジンは、ＤＮＳの逆引きを行いません。
ヒントＣｉｔｒｉｘブックマークを使用するときには、ホストへのプロキシアクセスを制限するために、Ｃｉｔｒｉｘ
サービスとＨＴＴＰサービスの両方に対して拒否ルールを設定する必要があります。
admin_localUsers
SonicWALL SRA 5.5 管理者ガイド
279
ユーザ＞ローカルユーザ
このセクションでは、「ユーザ＞ローカルユーザ」ページの概要と、このページで行える設定タスクに
ついて説明します。
･「「ユーザ＞ローカルユーザ」の概要」セクション（280 ページ）
･「ユーザの削除」セクション（280 ページ）
･「ローカルユーザの追加」セクション（281 ページ）
･「ユーザ設定の編集」セクション（282 ページ）
グローバルな設定については、「「グローバル設定」セクション（326 ページ）」を参照してください。
「ユーザ＞ローカルユーザ」の概要
「ユーザ＞ローカルユーザ」ページでは、ユーザを追加および設定することができます。
図2
「ユーザ＞ローカルユーザ」ページ
ローカルユーザ
ローカルユーザセクションでは、ユーザ名の指定、グループとドメインの選択、パスワードの作成と
確認、およびユーザタイプ（ユーザ、管理者、または読み込み専用管理者）の選択を行うことに
よって、ユーザを追加および設定できます。
備考
ＲＡＤＩＵＳ、ＬＤＡＰ、ＮＴドメイン、またはアクティブディレクトリ認証を使うように設定されたユーザ
は、外部認証サーバがユーザ名とパスワードを検証するので、パスワードを必要としません。
ヒントＲＡＤＩＵＳおよびアクティブディレクトリを使ってユーザが認証された場合は、ローカルユーザデー
タベース内に外部ユーザが作成されます。ただし、管理者はこのユーザのグループを変更すること
ができません。ＲＡＤＩＵＳまたはアクティブディレクトリを使用するときに、ユーザグループごとに
異なるポリシーを指定したい場合は、ローカルユーザデータベースにユーザを手動で作成する必
要があります。
ユーザの削除
ユーザを削除するには、「ユーザ＞ローカルユーザ」を開いて、削除するユーザの名前の横にある
削除アイコンを選択します。削除されたユーザは、「ローカルユーザ」ウィンドウから消えます。
280
SonicWALL SRA 5.5 管理者ガイド
admin_addLocalUser
ローカルユーザの追加
新規のローカルユーザを作成するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」ページを開いて、「ユーザの追加」をクリックします。
追加」ウィンドウが表示されます。
「ローカルユーザの
手順 2
「ローカルユーザの追加」ウィンドウで、ユーザのユーザ名を「ユーザ名」フィールドに入力します。これ
は、ユーザがＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザポータルにログインするときに入力する名前です。
手順 3 ユーザが所属するドメインの名前を「ドメイン」ドロップダウンリストで選択します。
手順 4 ユーザが所属するグループの名前を「グループ」ドロップダウンリストで選択します。
手順 5 ユーザのパスワードを「パスワード」フィールドに入力します。
手順 6 同じパスワードを「パスワードの確認」フィールドにもう一度入力してパスワードを確認します。
備考
手順 7
ポータルログインの際は、ユーザ名は大文字と小文字の区別はありませんが、パスワードとドメイ
ンは大文字と小文字が区別されます。
「ユーザ種別」ドロップダウンリストで、ユーザ種別オプションを選択します。選択できるユーザ種別は
「ユーザ」、「管理者」または「読み込み専用管理者」です。
ヒント選択したグループのドメインで、アクティブディレクトリ、ＲＡＤＩＵＳ、ＮＴドメイン、ＬＤＡＰなどの外
部認証が使われている場合は、「ユーザの追加」ウィンドウが閉じ、新しいユーザが「ローカル
ユーザ」リストに追加されます。
手順 8
備考
「適用」を選択して設定を更新します。ユーザを追加すると、新しいユーザが「ローカルユーザ」ウィン
ドウに表示されます。
ＲＡＤＩＵＳ、ＬＤＡＰ、ＮＴ、およびアクティブディレクトリのユーザ名の入力が必要になるのは、
ユーザごとに個別のポリシーやブックマークを定義する場合だけです。ユーザがＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置で定義されていなければ、グローバルなポリシーとブックマークが、外部認証サーバの
認証を受けるユーザに適用されます。外部（非ＬｏｃａｌＤｏｍａｉｎ）ユーザを操作するときは、ユー
ザ作成（個人）のブックマークをＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの設定ファイル内に保存できるように、
ローカルユーザエンティティが存在していなければなりません。ブックマークをＳｏｎｉｃＷＡＬＬＳＲＡ
に保存する必要があるのは、ＬＤＡＰ、ＲＡＤＩＵＳ、およびＮＴ認証の外部ドメインが、この情報を
ブックマークとして保存する仕組みを備えていないからです。個人のブックマークを使用する外部ド
メインユーザのために、管理者がローカルユーザを手動で作成せずに済むように、外部ドメイン
ユーザが個人のブックマークを作成すると、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは対応するローカルユーザ
エンティティを自動的に作成し、ブックマーク情報を保存できるようにします。
SonicWALL SRA 5.5 管理者ガイド
281
admin_addLoginAddr
admin_addLoginBrowser
admin_editLocalUser
ユーザ設定の編集
ユーザの属性を編集するには、「ユーザ＞ローカルユーザ」ウィンドウを開いて、設定を変更する
ユーザの横にある「設定」アイコンを選択します。「ユーザ設定の編集」ウィンドウが表示されます。
次の表に示すとおり、「ローカルユーザの編集」ページには８つのタブがあります。
タブ
説明
一般
パスワードおよび無動作タイムアウトを設定し、このユーザのブックマーク
に自動でログインするためのシングルサインオンの設定を指定する
グループ
グループメンバーシップの追加、プライマリグループの設定、およびログ
イン時にグループを自動的に割り当てるかどうかの制御が可能
ポータル
ＮｅｔＥｘｔｅｎｄｅｒ、ファイル共有、仮想アシスト、ブックマークの設定を有効
化／無効化したり、グループ設定を使用する
ＮＸ設定
ＮｅｔＥｘｔｅｎｄｅｒのクライアントアドレス範囲をＩＰｖ６を含めて指定し、クライ
アントルートを設定する
ＮＸルート
トンネルオールモードとＮｅｔＥｘｔｅｎｄｅｒクライアントルートを指定する
ポリシー
装置のユーザセッションからリソースへのアクセスを制御するアクセスポリ
シーを作成する
ブックマーク
サービスに簡単にアクセスするためのブックマークをユーザレベルで作成
する
ログインポリシー
特定の送信元ＩＰアドレスやクライアントブラウザに関するポリシーなど、
ユーザログインポリシーを作成する。ユーザログインの無効化、ワンタ
イムパスワード使用の要求、クライアント証明書適用の指定などを行え
る。
ユーザが外部認証サーバの認証を受ける場合、「ユーザ種別」フィールドと「パスワード」フィールド
は表示されません。「パスワード」フィールドを設定できないのは、認証サーバがパスワードを検証す
るからです。「ユーザ種別」を設定できないのは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置では、内部ユーザデータ
ベースの認証を受けたユーザしか管理者権限を持つことができないからです。
また、ユーザ種別「Ｅｘｔｅｒｎａｌ」は、外部認証ユーザに対応して自動的に作成されるローカルユーザ
インスタンスを識別するために使用されます。
「ローカルユーザの編集」ウィンドウの各タブで使用できる設定オプションについては、以下のセクショ
ンを参照してください。
･「一般ユーザ設定の変更」セクション（283 ページ）
･「グループ設定の変更」セクション（284 ページ）
･「ポータル設定の変更」セクション（285 ページ）
･「ユーザのＮｅｔＥｘｔｅｎｄｅｒの設定の変更」セクション（286 ページ）
･「ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの変更」セクション（287 ページ）
･「ユーザポリシーの追加」セクション（287 ページ）
･「ユーザブックマークの追加または編集」セクション（293 ページ）
･「ログインポリシーの設定」セクション（301 ページ）
282
SonicWALL SRA 5.5 管理者ガイド
一般ユーザ設定の変更
「一般」タブには、ユーザのパスワード、無動作タイムアウトの値、およびブックマークシングルサイ
ンオン（ＳＳＯ）制御の設定オプションがあります。表 2 は、ＳＳＯ、グローバル／グループ／ユーザ
ポリシー、およびブックマークポリシーに対するアプリケーションごとのサポートの一覧表です。
表 2 アプリケーションのサポート
グローバル／グループ
／ユーザポリシー
ブックマークポリ
シー
ターミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）はい
はい
はい
ターミナルサービス（ＲＤＰ－Ｊａｖａ）
はい
はい
はい
仮想ネットワークコンピューティング
（ＶＮＣ）
いいえ
はい
はい
ファイル転送プロトコル（ＦＴＰ）
はい
はい
はい
Ｔｅｌｎｅｔ
いいえ
はい
はい
セキュアシェル（ＳＳＨ）
いいえ
はい
はい
ウェブ（ＨＴＴＰ）
はい
はい
はい
セキュアウェブ（ＨＴＴＰＳ）
はい
はい
はい
ファイル共有（ＣＩＦＳ）
はい
はい
はい
ＣｉｔｒｉｘＰｏｒｔａｌ（Ｃｉｔｒｉｘ）
いいえ
はい
はい
アプリケーション
ＳＳＯのサポート
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのシングルサインオン（ＳＳＯ）では以下のアプリケーションがサポートされ
ています。
･ＲＤＰ－ＡｃｔｉｖｅＸ
･ＲＤＰ－Ｊａｖａ
･ＦＴＰ
･ＨＴＴＰ
･ＨＴＴＰＳ
･ＣＩＦＳ
備考
ＳＳＯは、２ファクタ認証と並用することはできません。
一般ユーザ設定を変更するには、以下の手順を実行します。
手順 1 左側の列で、「ユーザ＞ローカルユーザ」を開きます。
手順 2 設定するユーザの横にある設定アイコンを選択します。「ユーザ設定の編集」ウィンドウの「一般」タブが
表示されます。「一般」タブの「ユーザ名」、「所属グループ」および「所属ドメイン」フィールド
は、設定できないフィールドです。これらのフィールドに表示される情報を変更する必要がある場合
は、「ユーザの削除」セクション（280 ページ）の説明に従ってユーザを削除し、再度ユーザを追加し
ます。
手順 3 ユーザのパスワードを設定または変更するには、「パスワード」フィールドにパスワードを入力します。さら
に、「パスワードの確認」フィールドに同じパスワードを入力します。
手順 4 ユーザの無動作タイムアウトを設定し、指定した時間が経過したらユーザを仮想オフィスからログアウトさせ
るには、許容する無動作時間（分）を「無動作タイムアウト」フィールドに入力します。ワンタイム
パスワードが設定されているユーザの場合、タイムアウト値はワンタイムパスワードの有効な時間
（分）も制御します。
SonicWALL SRA 5.5 管理者ガイド
283
備考
無動作タイムアウトは、ユーザ、グループ、グローバルの各レベルで設定できます。特定のユー
ザに複数のタイムアウトが設定されている場合は、ユーザタイムアウトの設定がグループタイムア
ウトよりも優先され、グループタイムアウトがグローバルタイムアウトよりも優先されます。グロー
バルタイムアウトを０に設定すると、グループまたはユーザタイムアウトが設定されていないユー
ザの無動作タイムアウトは無効になります。
手順 5 ユーザが自分自身のブックマークを編集または削除できるようにするには、「ユーザにブックマークの編集 /
削除を許可する」ドロップダウンメニューで「許可」を選択します。ユーザが自分自身のブックマーク
を編集または削除できないようにするには、「拒否」を選択します。グループポリシーを使用するに
は、「グループアカウントポリシーの使用」を選択します。
備考
ユーザはグループおよびグローバルブックマークを編集または削除することはできません。
手順 6 ユーザが新しいブックマークを追加できるようにするには、「ユーザにブックマークの追加を許可する」ドロッ
プダウンメニューで「許可」を選択します。ユーザが新しいブックマークを追加できないようにするに
は、「拒否」を選択します。グループポリシーを使用するには、「グループアカウントポリシーの使
用」を選択します。
備考
手順 7
ブックマークの変更を制御することにより、事前定義されたソースへの個別アクセスが可能になり、
ユーザがサポートを必要としないようにすることができます。
「シングルサインオン設定」で、「自動的にブックマークにログイン」ドロップダウンメニューから、次のい
ずれかのオプションを選択します。
- グループポリシーを使用：グループポリシーの設定を使ってブックマークのシングルサインオン
（ＳＳＯ）を制御します。
- ユーザ制御：ブックマークのシングルサインオン（ＳＳＯ）をユーザが有効または無効にできる
ようにします。
- 有効：ブックマークのシングルサインオンを有効にします。
- 無効：ブックマークのシングルサインオンを無効にします。
備考
手順 8
ＳＳＯの変更を制御することにより、セキュリティが強化され、異なるログイン資格情報の利用を
ユーザに禁止または許可することができます。ＳＳＯが有効になっている場合は、ユーザのログイ
ン名とパスワードが多くのサービスのためにバックエンドサーバに提示されます。ファイル共有で
は、機器上でユーザが所属するドメイン名がサーバに渡されます。その他のサービスでは、先頭
にドメイン名が付いたユーザ名をサーバが期待している場合があります。この場合、ＳＳＯは失敗
し、ユーザは先頭にドメイン名が付いたユーザ名を使ってログインする必要があります。場合に
よっては、サーバで既定のドメイン名を設定するとＳＳＯが成功することがあります。
「適用」を選択して設定の変更を保存します。
グループ設定の変更
「グループ」タブで、ユーザに対するグループメンバーシップの追加、プライマリグループの設定、および
ユーザログイン時にグループを自動的に割り当てるかどうかの制御が可能です。
アクティブディレクトリ、 LDAP、および RADIUS ドメインにログインするユーザは、外部 AD グループ
メンバーシップ、 LDAP 属性、または　RADIUS フィルタ ID に基づいて、リアルタイムで SSL VPN グ
ループに自動的に割り当てられます。
284
SonicWALL SRA 5.5 管理者ガイド
備考
ユーザの外部グループメンバーシップが変更された場合は、 SSL VPN グループメンバーシップは
外部グループメンバーシップに対応するように自動的に変更されます。
「グループ」タブ上の設定を行うには、以下の手順に従います。
手順 1 グループをプライマリグループとして設定するには、プライマリに設定したいグループに対応する、プライマ
リグループ設定の星印を選択します。
手順 2 ユーザがメンバーになるグループを追加するには、「グループの追加」を選択します。グループは、「ユー
ザ＞ローカルグループ」で設定済みである必要があります。
手順 3 ドロップダウンリストから希望するグループを選択します。
手順 4 これをユーザのプライマリグループメンバーシップにするには、「プライマリグループに設定する」チェック
ボックスを選択します。
手順 5
「グループの追加」を選択して、選択したグループを「グループメンバーシップ」のリストに追加します。
手順 6
「グループ設定」の下で、「ログイン時にグループを自動的に割り当てる」ドロップダウンリストから以下の
うち 1 つを選択します。
･グループ設定を使用する - グループに対して設定されている設定を使います。
･有効 - ログイン時のユーザのグループへの自動割当を有効にします。
･無効 - ログイン時のユーザのグループへの自動割当を無効にします。
手順 7
「適用」を選択します。
ポータル設定の変更
「ポータル」タブには、このユーザのポータル設定用のオプションがあります。
このユーザのポータル設定を構成するには、以下の手順に従います。
手順 1
「ポータル」タブの「ポータル設定」下で、以下のいずれか１つのポータル設定をこのユーザに選択しま
す。
･グループ設定を使用－ポータル機能が有効か無効かを確認するために、このユーザが属するグ
ループに定義された設定を使用します。グループ設定は、「ユーザ＞ローカルユーザ」ページで
グループを設定すると定義されます。
･有効－このポータル機能をこのユーザに有効にします。
･無効－このポータル機能をこのユーザに無効にします。
以下のポータル機能を上記の設定の１つに指定できます。
･ＮｅｔＥｘｔｅｎｄｅｒ - ＭｏｂｉｌｅＣｏｎｎｅｃｔは装置への接続時にＮｅｔＥｘｔｅｎｄｅｒクライアントとして動作する
ため、この設定はＮｅｔＥｘｔｅｎｄｅｒとＭｏｂｉｌｅＣｏｎｎｅｃｔの両方に適用されます。
･ログイン後にＮｅｔＥｘｔｅｎｄｅｒを起動する
･ファイル共有
･仮想アシスト技術者
･仮想アシストのサポートの要求
･仮想アシスト設定のリンク
･ブックマークの追加を許可する
･ユーザのブックマークの編集／削除を許可－ユーザ自身のブックマークにのみ適用されます。
手順 2
「適用」を選択します。
SonicWALL SRA 5.5 管理者ガイド
285
ユーザのＮｅｔＥｘｔｅｎｄｅｒの設定の変更
この機能はログイン時に割り当てられたグループから設定を引き継ぐ外部ユーザに対するものです。
NetExtender クライアント設定はユーザに対して、またはグループ設定を使って指定できます。グルー
プ設定の構成に関する情報については、「グループ設定の編集」セクション（305 ページ）を参照して
ください。
ユーザに対して NetExtender 範囲を有効にして、 DNS とクライアント設定を構成するには、以下の手
順を実行します。
手順 1
「ユーザ＞ローカルユーザ」に移動します。
手順 2 設定したいユーザの隣にある設定アイコンを選択します。
手順 3
「ローカルユーザの編集」ページで、「Nx 設定」タブを選択します。
手順 4 開始 IPv4 アドレスを「クライアントアドレス範囲の開始」フィールドに入力します。
手順 5 終了 IPv4 アドレスを「クライアントアドレス範囲の終了」フィールドに入力します。
手順 6 開始 IPv6 アドレスを「クライアント IPv6 アドレス範囲開始」フィールドに入力します。
手順 7 終了 IPv6 アドレスを「クライアント IPｖ6 アドレス範囲終了」フィールドに入力します。
手順 8
「NetExtender DNS 設定」の下で、プライマリ DNS サーバのアドレスを「プライマリ DNS サーバ」フィール
ドに入力します。
手順 9 オプションで、セカンダリサーバのアドレスを「セカンダリ DNS サーバ」フィールドに入力します。
手順 10 DNS ドメイン接尾辞を「DNS ドメイン」フィールドに入力します。
Apple iPhone、 iPad、その他の iOS 機器からの SonicWALL Mobile Connect を使った接続をサポート
する SonicWALL SRA 装置に対しては、「DNS ドメイン」は必須フィールドです。この DNS ドメインは、
iPhone/iPad の VPN インターフェース上に、機器が装置との接続を確立した後で設定されます。モバ
イル機器のユーザがある URL にアクセスする際に、 iOS はこのドメインが VPN インターフェースのドメ
インと一致しているかどうかを判断し、一致している場合は VPN インターフェースの DNS サーバを使っ
てホスト名検索を解決します。そうでない場合は、組織のイントラネット内のホストを解決できないであ
ろう Wi-Fi または 3G の DNS サーバが使われます。
手順 11
「NetExtender クライアント設定」の下で、「切断後にクライアントを終了」ドロップダウンリストから、次の
いずれかを選択します。
- グループ設定を使用する－グループ設定で指定された操作を行います。「グループ設定の編
集」（305 ページ）を参照してください。
- 有効－この操作をユーザに対して有効にします。この設定はグループ設定に優先します。
- 無効－この操作をユーザに対して無効にします。この設定はグループ設定に優先します。
手順 12
「クライアント終了後にアンインストール」ドロップダウンリストで、次のいずれかを選択します。
- グループ設定を使用する－グループ設定で指定された操作を行います。「グループ設定の編
集」（305 ページ）を参照してください。
- 有効－この操作をユーザに対して有効にします。この設定はグループ設定に優先します。
- 無効－この操作をユーザに対して無効にします。この設定はグループ設定に優先します。
手順 13
「クライアント接続プロファイルを作成」ドロップダウンリストで、次のいずれかを選択します。
- グループ設定を使用する－グループ設定で指定された操作を行います。「グループ設定の編
集」（305 ページ）を参照してください。
- 有効－この操作をユーザに対して有効にします。この設定はグループ設定に優先します。
- 無効－この操作をユーザに対して無効にします。この設定はグループ設定に優先します。
手順 14
「ユーザ名とパスワードの保存」ドロップダウンリストで、次のいずれかを選択します。
- グループ設定を使用する－グループ設定で指定された操作を行います。「グループ設定の編
集」（305 ページ）を参照してください。
286
SonicWALL SRA 5.5 管理者ガイド
- ユーザ名だけ保存を許可－ユーザ名のキャッシュを許可します。 NetExtender を起動するとき
にユーザはパスワードのみを入力する必要があります。この設定はグループ設定に優先しま
す。
- ユーザ名とパスワードの保存を許可－ユーザ名とパスワードのキャッシュを許可します。
NetExtender を起動すると自動的にログインします。この設定はグループ設定に優先します。
- ユーザ名とパスワードの保存を禁止－ユーザ名とパスワードのキャッシュを許可しません。
NetExtender を起動するときにユーザはユーザ名とパスワードの両方を入力する必要がありま
す。この設定はグループ設定に優先します。
手順 15
「適用」を選択します。
ＮｅｔＥｘｔｅｎｄｅｒクライアントルートの変更
「NX ルート」タブには、ＮｅｔＥｘｔｅｎｄｅｒクライアントルートを設定するオプションがあります。
ＮｅｔＥｘｔｅｎｄｅｒのクライアントルート設定を変更する手順については、「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアント
ルート」セクション（202 ページ）を参照してください。
ユーザポリシーの追加
「ポリシー」タブには、ポリシーの設定オプションがあります。ユーザのアクセスポリシーを追加するに
は、以下の手順を実行します。
備考
ユーザポリシーは、ポリシーの中で最優先ポリシー種別で、グループポリシーやグローバルポリ
シーの前に強制されます。
手順 1
「ポリシー」タブで、「ポリシーの追加」を選択します。「ポリシーの追加」ウィンドウが表示されます。
手順 2
「ポリシーの適用先」ドロップダウンリストで、ポリシーの適用先として、個別ホスト、アドレス範囲、す
べてのアドレス、ネットワークオブジェクト、サーバパス、ＵＲＬオブジェクトのいずれかを選択しま
す。個別ＩＰｖ６ホスト、ＩＰｖ６アドレス範囲、すべてのＩＰｖ６アドレスのいずれかも選択できます。
「ポリシーの追加」ウィンドウの内容は、「ポリシーの適用先」ドロップダウンリストで選択したオブジェ
クトの種別に応じて変化します。
備考
これらのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのポリシーはＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続の送信元アドレスで
はなく送信先アドレスに適用されます。インターネット上の特定のＩＰアドレスが「ポリシー」タブ上
で作成されたポリシーを用いてＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮゲートウェイの認証を受けることを許可ま
たは阻止することはできません。しかしながら、ユーザの「ログインポリシー」タブ上で作成され
たログインポリシーを用いてＩＰアドレスにより送信元ログインを制御することが可能です。詳細に
ついては、「ログインポリシーの設定」セクション（301 ページ）を参照してください。
SonicWALL SRA 5.5 管理者ガイド
287
･ＩＰアドレス－特定のホストにポリシーを適用する場合は、ローカルホストコンピュータのＩＰアドレ
スを「ＩＰアドレス」フィールドに入力します。または、ポート範囲（例えば４１００-４２００）や単
独のポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰアドレスのポリシーの
追加」セクション（289 ページ）を参照してください。
･ＩＰアドレス範囲 - アドレス範囲にポリシーを適用する場合は、ＩＰアドレス範囲の開始アドレスを
「ＩＰネットワークアドレス」フィールドに入力し、ＩＰアドレス範囲を表すサブネットマスク値を「サブ
ネットマスク」フィールドに入力します。または、ポート範囲（例えば４１００-４２００）や単独の
ポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰアドレス範囲のポリシーの
追加」セクション（289 ページ）を参照してください。
･すべてのアドレス－ポリシーをすべてのＩＰｖ４アドレスに適用する場合は、ＩＰアドレス情報を入力
する必要はありません。「すべてのアドレスのポリシーの追加」セクション（289 ページ）を参照して
ください。
･ネットワークオブジェクト－定義済みネットワークオブジェクトにポリシーを適用する場合は、「ネッ
トワークオブジェクト」ドロップダウンリストでオブジェクトの名前を選択します。ネットワークオブ
ジェクトを定義するときはポートまたはポート範囲を指定できます。「ネットワークオブジェクトの追
加」セクション（130 ページ）を参照してください。
･サーバパス－サーバパスにポリシーを適用する場合は、「リソース」フィールドで以下のラジオボ
タンの１つを選択します。
- 共有（サーバパス）－このオプションを選択する場合は、パスを「サーバパス」フィールドに
入力します。
- ネットワーク（ドメインリスト）
- サーバ（コンピュータリスト）
「ファイル共有アクセスポリシーの設定」セクション（289 ページ）を参照してください。
･ＵＲＬオブジェクト－定義済みＵＲＬオブジェクトにポリシーを適用する場合は、ＵＲＬを「ＵＲＬ」
フィールドに入力します。「ＵＲＬオブジェクトのポリシーの追加」セクション（290 ページ）を参照し
てください。
･ＩＰｖ６アドレス－特定のホストにポリシーを適用する場合は、ローカルホストコンピュータのＩＰｖ６
アドレスを「ＩＰｖ６アドレス」フィールドに入力します。または、ポート範囲（例えば
４１００-４２００）や単独のポート番号を「ポート範囲／ポート番号」フィールドに入力します。
「ＩＰｖ６アドレスに対するポリシーの追加」セクション（292 ページ）を参照してください。
･ＩＰｖ６アドレス範囲 - アドレス範囲にポリシーを適用する場合は、ＩＰｖ６アドレス範囲の開始アドレス
を「ＩＰｖ６ネットワークアドレス」フィールドに入力し、ＩＰｖ６アドレス範囲を表すプレフィックスを
「ＩＰｖ６プレフィックス」フィールドに入力します。または、ポート範囲（例えば４１００-４２００）や
単独のポート番号を「ポート範囲／ポート番号」フィールドに入力します。「ＩＰｖ６アドレス範囲に対
するポリシーの追加」セクション（292 ページ）を参照してください。
･すべてのＩＰｖ６アドレス－ポリシーをすべてのＩＰｖ６アドレスに適用する場合は、ＩＰアドレス情報
を入力する必要はありません。「すべてのＩＰｖ６アドレスのポリシーの追加」セクション（292 ペー
ジ）を参照してください。
手順 3 サービスの種類を「サービス」ドロップダウンリストで選択します。ポリシーの適用先がネットワークオブ
ジェクトの場合は、そのネットワークオブジェクトで定義されたサービスが使用されます。
手順 4
「状況」ドロップダウンリストから「許可」または「拒否」を選択し、指定したサービスおよびホストコン
ピュータのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続を許可または拒否します。
ヒントＣｉｔｒｉｘブックマークを使用するときには、ホストへのプロキシアクセスを制限するために、Ｃｉｔｒｉｘ
サービスとＨＴＴＰサービスの両方に対して拒否ルールを設定する必要があります。
手順 5
288
「適用」を選択して設定を更新します。設定を更新すると、新しいポリシーが「ローカルユーザの編集」
ページに表示されます。
SonicWALL SRA 5.5 管理者ガイド
ユーザポリシーは、「現在のユーザポリシー」テーブルに、優先度の高いものから順番に表示されま
す。
ＩＰアドレスのポリシーの追加
手順 1
「ユーザ＞ローカルユーザ」を開きます。
手順 2 設定するユーザの横にある設定アイコンを選択します。
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
手順 5
「ポリシーの適用先」フィールドで、「ＩＰアドレス」オプションを選択します。
手順 6 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 7 ＩＰアドレスを「ＩＰアドレス」フィールドに入力します。
手順 8 オプションとして「ポート範囲／ポート番号」フィールドにポート範囲または特定のポート番号を入力します。
手順 9
「サービス」ドロップダウンリストで、サービスオブジェクトを選択します。
手順 10
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
手順 11
「適用」を選択します。
ＩＰアドレス範囲のポリシーの追加
手順 1
「ポリシーの適用先」フィールドで、「ＩＰアドレス範囲」オプションを選択します。
手順 1 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 2 開始ＩＰアドレスを「ＩＰネットワークアドレス」フィールドに入力します。
手順 3 サブネットマスク値を「サブネットマスク」フィールドに “２５５.２５５.２５５.０” 形式で入力します。
手順 4 オプションとして「ポート範囲／ポート番号」フィールドにポート範囲または特定のポート番号を入力します。
手順 5
「サービス」ドロップダウンリストで、サービスオプションを選択します。
手順 6
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
手順 7
「追加」を選択します。
すべてのアドレスのポリシーの追加
手順 1
「ポリシーの適用先」フィールドで、「すべてのアドレス」オプションを選択します。
手順 1 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 2
「ＩＰアドレス範囲」フィールドは読み取り専用になり、「すべてのＩＰアドレス」が指定されます。
手順 3
「サービス」ドロップダウンリストで、サービスオプションを選択します。
手順 4
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
手順 5
「適用」を選択します。
ファイル共有アクセスポリシーの設定
ファイル共有アクセスポリシーを設定するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」を開きます。
手順 2 設定するユーザの横にある設定アイコンを選択します。
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
SonicWALL SRA 5.5 管理者ガイド
289
手順 5
「ポリシーの適用先」ドロップダウンリストで「サーバパス」を選択します。
手順 6 ポリシーの名前を「ポリシー名」フィールドに入力します。
手順 7
「リソース」フィールドで「共有」ラジオボタンを選択します。
手順 8 サーバパスを「サーバパス」フィールドに入力します。
手順 9
「状況」ドロップダウンリストで「許可」または「拒否」を選択します。
備考
手順 10
サーバパスのアクセスの制限など、ファイル共有のポリシーの編集については、「「ファイル共有
のポリシーの追加」（290 ページ）」を参照してください。
「適用」を選択します。
ファイル共有のポリシーの追加
ファイル共有のアクセスポリシーを追加するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」を開きます。
手順 2 設定するユーザの横にある設定アイコンを選択します。
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
手順 5
「ポリシーの適用先」ドロップダウンリストで「サーバパス」を選択します。
手順 6 ポリシーの名前を「ポリシー名」フィールドに入力します。
手順 7
「サーバパス」フィールドに、サーバパスをｓｅｒｖｅｒｎａｍｅ／ｓｈａｒｅ／ｐａｔｈまたはｓｅｒｖｅｒｎａｍｅ￥
ｓｈａｒｅ￥ｐａｔｈの形式で入力します。使用できる接頭辞は￥￥、／／、￥、および／です。
備考
共有とパスによって、ポリシーをより細かく管理できるようになります。どちらの設定もオプションで
す。
手順 8
「状況」ドロップダウンリストで「許可」または「拒否」を選択します。
手順 9
「適用」を選択します。
ＵＲＬオブジェクトのポリシーの追加
オブジェクトベースのＨＴＴＰまたはＨＴＴＰＳユーザポリシーを作成するには、以下の手順を実行しま
す。
手順 1
「ユーザ＞ローカルユーザ」を開きます。
手順 2 設定するユーザの横にある設定アイコンを選択します。
290
SonicWALL SRA 5.5 管理者ガイド
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
手順 5
「ポリシーの適用先」ドロップダウンメニューで「ＵＲＬオブジェクト」オプションを選択します。
手順 6 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 7
「サービス」ドロップダウンリストで、「ウェブ（ＨＴＴＰ）」または「セキュアウェブ（ＨＴＴＰＳ）」を選択し
ます。
手順 8
「ＵＲＬ」フィールドで、このポリシーで適用するＵＲＬ文字列を追加します。
備考
「ＵＲＬ」フィールドでは、標準のＵＲＬ要素に加えて、ポート、パス、およびワイルドカード要素を
指定できます。これらの追加的要素の詳細については、「「ポリシーＵＲＬオブジェクトフィールド
の要素」（291 ページ）」を参照してください。
パスを指定した場合、ＵＲＬポリシーはすべてのサブディレクトリについても適用されます。例え
ば、 www.mycompany.com/users/* を指定した場合、ユーザは www.mycompany.com/users/ フォ
ルダの下にあるすべてのフォルダやファイルにアクセスできます。
手順 9
手順 10
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
「適用」を選択します。
ポリシーＵＲＬオブジェクトフィールドの要素
ＨＴＴＰ／ＨＴＴＰＳポリシーを作成するときに、有効なホストＵＲＬを「ＵＲＬ」フィールドに入力する必
要があります。「ＵＲＬ」フィールドでは、標準のＵＲＬ要素に加えて、ポート、パス、およびワイル
ドカード要素を指定できます。以下に、「ＵＲＬ」フィールドの標準要素の概要を示します。
要素
設定方法
ホスト
ＩＰアドレスに解決されるホスト名。ホスト情報が存在する必要があります。
ポート
ポートを指定しない場合、ホストに一致するすべてのポートが使用されます。特定の
ポートまたはポート範囲を数値（０－９）またはワイルドカード要素を使って指定しま
す。ゼロ（０）をこのフィールドの１文字目に使用することはできません。ワイルド
カード式に一致する可能性があるすべての数値が、有効なポート番号の範囲（１～
６５５３５など）に含まれる必要があります。
パス
これは、ＵＲＬに問い合わせ文字列を連結したファイルパスです。ＵＲＬパスは、ファ
イルパス区切り文字（／）で区切られた部分から構成されます。各部分にはワイルド
カード文字を使用できます。ワイルドカード文字の効力は、ファイルパス区切り文字で
前後を区切られた部分の内部に限定されます。
SonicWALL SRA 5.5 管理者ガイド
291
備考
要素
設定方法
ユーザ名
％ＵＳＥＲＮＡＭＥ％は、有効なセッション中に要求されたＵＲＬに含まれるユーザ名に
一致する変数です。グループやグループポリシーの場合にこの変数は便利です。
ワイルドカード文字
ポートまたはパスを指定するために、以下のワイルドカード文字を１つまたは複数の文
字に一致する文字として使用できます。
* －その位置にある１つまたは複数の任意の文字に一致します。
^ －その位置にある１つの任意の文字に一致します。
[!< 文字セット >] －その位置にある、文字セットに含まれない任意の１つの文字に一
致します。例：［！ａｃｄ］、［！８ａ０］
[< 範囲 >] －指定したＡＳＣＩＩ範囲に含まれる任意の１文字に一致します。英数字を
指定できます。例：［ａ-ｄ］、［３-５］、［Ｈ-Ｘ］
「ＵＲＬ」フィールドに “ｈｔｔｐ：／／” 要素や “ｈｔｔｐｓ：／／” 要素を入力することはできません。
また、＃などのフラグメント区切り文字を含めることもできません。
ＩＰｖ６アドレスに対するポリシーの追加
ＩＰｖ６アドレスに対するポリシーを追加するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」を開きます。
手順 2 設定するユーザの横にある設定アイコンを選択します。
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
手順 5
「ポリシーの適用先」フィールドで、「ＩＰｖ６アドレス範囲」オプションを選択します。
手順 6 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 7 ＩＰｖ６アドレスを「ＩＰｖ６アドレス」フィールドに２００１：：１：２：３：４形式で入力します。
手順 8
「ポート範囲／ポート番号」フィールドにポート範囲または個別ポートを入力することもできます。
手順 9
「サービス」ドロップダウンリストで、サービスオブジェクトを選択します。
手順 10
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
手順 11
「適用」を選択します。
ＩＰｖ６アドレス範囲に対するポリシーの追加
ＩＰｖ６アドレス範囲に対するポリシーを追加するには、以下の手順を実行します。
手順 1
「ポリシーの適用先」フィールドで、「ＩＰｖ６アドレス範囲」オプションを選択します。
手順 2 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 3 開始ＩＰｖ６アドレスを「ＩＰｖ６ネットワークアドレス」フィールドに入力します。
手順 4 ６４や１１２などのプレフィックス値を「ＩＰｖ６プレフィックス」に入力します。
手順 5
「ポート範囲／ポート番号」フィールドにポート範囲または個別ポートを入力することもできます。
手順 6
「サービス」ドロップダウンリストで、サービスオプションを選択します。
手順 7
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
手順 8
「適用」を選択します。
すべてのＩＰｖ６アドレスのポリシーの追加
すべてのＩＰｖ６アドレスに対するポリシーを追加するには、以下の手順を実行します。
手順 1
292
「ポリシーの適用先」フィールドで、「すべてのＩＰｖ６アドレス」オプションを選択します。
SonicWALL SRA 5.5 管理者ガイド
手順 2 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 3
「ＩＰｖ６アドレス範囲」フィールドは読み取り専用になり、「すべてのＩＰｖ６アドレス」が指定されます。
手順 4
「サービス」ドロップダウンリストで、サービスオプションを選択します。
手順 5
「状況」ドロップダウンリストで、アクセス動作として「許可」または「拒否」を選択します。
手順 6
「適用」を選択します。
ユーザブックマークの追加または編集
「ブックマーク」タブには、ユーザブックマークを追加および編集するための設定オプションがありま
す。以下に説明するメインの手順に加えて、以下のセクションを参照してください。
･「ローカルユーザのＣｉｔｒｉｘブックマークの作成」（299 ページ）
･「個別ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）
ユーザブックマークを定義するには、以下の手順を実行します。
手順 1
「ユーザ設定の編集」ウィンドウで、「ブックマーク」タブを選択します。
手順 2
「ブックマークの追加」を選択します。「ブックマークの追加」ウィンドウが表示されます。
ユーザブックマークを定義すると、ユーザはＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ仮想オフィスホームページで
定義済みのブックマークを見ることができます。
手順 3 わかりやすいブックマーク名を「ブックマーク名」フィールドに入力します。
手順 4 ＬＡＮ上のホストコンピュータの完全修飾ドメイン名（ＦＱＤＮ）またはＩＰｖ４／ＩＰｖ６アドレスを「名前また
はＩＰアドレス」フィールドに入力します。ウィンドウズローカルネットワークでＶＮＣブックマークを作
成する場合など、環境によってはホスト名のみを入力できます。
備考
ＩＰｖ６アドレスを「名前またはＩＰアドレス」フィールドに入力する場合は、ＩＰｖ６アドレスを角かっこ
で囲む必要があります。入力例： [2008::1:2:3:4].
SonicWALL SRA 5.5 管理者ガイド
293
備考
ＩＰｖ６は、ＡｃｔｉｖｅＸ、およびファイル共有ではサポートされません。
サービスによっては、非標準ポートで動作し、接続時にパスを要求することがあります。「サービス」
フィールドで選択したオプションによって、表 3 に示した例のいずれかの形式で「名前またはＩＰアドレ
ス」フィールドに入力します。
表 3 ブックマーク名またはＩＰアドレスのサービス種別の形式
294
サービス種別
形式
「名前またはＩＰアドレス」フィールドの入力例
ＲＤＰ－ＡｃｔｉｖｅＸ
ＲＤＰ－Ｊａｖａ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
ＶＮＣ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（セッションへ割り当
て済み）
完全修飾名
ホスト名
注：ポートの代わりにセッション番
号または表示番号を使用しないで
ください。
10.20.30.4
2008::1:2:3:4
10.20.30.4:5901 （セッション１へ割り当て済み）
ＦＴＰ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818 または [2008::1:2:3:4]:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
Ｔｅｌｎｅｔ
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818 または [2008::1:2:3:4]:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
ＳＳＨｖ１
ＳＳＨｖ２
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート（非標準）
完全修飾名
ホスト名
10.20.30.4
2008::1:2:3:4
10.20.30.4:6818 または [2008::1:2:3:4]:6818
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
ＨＴＴＰ
ＨＴＴＰＳ
ＵＲＬ
ＵＲＬのＩＰアドレス
ＩＰｖ６アドレス
ＵＲＬ：パスまたはファイル
ＩＰ：パスまたはファイル
ＵＲＬ：ポート
ＩＰ：ポート
ＵＲＬ：ポート：パスまたはファイ
ル
ＩＰ：ポート：パスまたはファイル
www.sonicwall.com
204.212.170.11
2008::1:2:3:4
www.sonicwall.com/index.html
204.212.170.11/ フォルダ /
www.sonicwall.com:8080
204.212.170.11:8080 または [2008::1:2:3:4]:8080
www.sonicwall.com:8080/ フォルダ /index.html
SonicWALL SRA 5.5 管理者ガイド
JBJONES-PC.sv.us.sonicwall.com
JBJONES-PC
注：１０.２０.３０.４：１形式を使用しないでください。
ヒント：Ｌｉｎｕｘサーバへのブックマークについては、こ
の表の下にヒントがあります。
www.sonicwall.com:8080/index.html
サービス種別
形式
「名前またはＩＰアドレス」フィールドの入力例
ファイル共有
ホスト￥フォルダ￥
ホスト￥フォルダ
完全修飾名￥フォルダ
完全修飾名￥ファイル
ＩＰ￥フォルダ￥
ＩＰ￥ファイル
server-3\ 共有フォルダ \
server-3\inventory.xls
server-3.company.net\ 共有フォルダ \
server-3.company.net\inventory.xls
10.20.30.4\ 共有フォルダ \
10.20.30.4\status.doc
注：ＬｉｎｕｘやＭａｃコンピュータでもファイル共有にウィ
ンドウズＡＰＩが使用されるため、￥記号を使用してく
ださい。
Ｃｉｔｒｉｘ
（Ｃｉｔｒｉｘウェブイン
ターフェース）
ＩＰアドレス
ＩＰｖ６アドレス
ＩＰ：ポート
ＩＰ：パスまたはファイル
ＩＰ：ポート：パスまたはファイル
完全修飾名
ＵＲＬ：パスまたはファイル
ＵＲＬ：ポート
ＵＲＬ：ポート：パスまたはファイ
ル
注：ポートは、ＣｉｔｒｉｘＩＣＡクライ
アントポートではなく、Ｃｉｔｒｉｘウェ
ブインターフェースのＨＴＴＰ
（Ｓ）ポートです。
172.55.44.3
2008::1:2:3:4
172.55.44.3:8080 または [2008::1:2:3:4]:8080
172.55.44.3/ フォルダ /file.html
172.55.44.3:8080/report.pdf
www.citrixhost.company.net
www.citrixhost.net/ フォルダ /
www.citrixhost.company.net:8080
www.citrixhost.com:8080/ フォルダ /index.html
ヒントＬｉｎｕｘサーバへのＶｉｒｔｕａｌＮｅｔｗｏｒｋＣｏｍｐｕｔｉｎｇ（ＶＮＣ）ブックマークを作成するときは、「名前
またはＩＰアドレス」フィールドで、ＬｉｎｕｘサーバのＩＰアドレスとともにポート番号とサーバ番号を
ｉｐａｄｄｒｅｓｓ：ｐｏｒｔ：ｓｅｒｖｅｒの形式で指定する必要があります。例えば、ＬｉｎｕｘサーバのＩＰアド
レスが１９２.１６８.２.２、ポート番号が５９０１、サーバ番号が１の場合は、「名前またはＩＰアドレ
ス」フィールドに１９２.１６８.２.２：５９０１：１を指定します。
手順 5 オプションで、ブックマークテーブル内に表示される、わかりやすい説明を「説明」フィールドに入力するこ
とができます。
手順 6 仮想オフィスポータルからユーザがブックマークを編集または削除できるかどうかを、「ブックマークの編集
／削除を許可」の選択により設定します。「許可」、「拒否」または、「ユーザポリシーを使用」を選
択できます。
手順 7
「サービス」ドロップダウンリストから、サービスタイプを１つ選択します。
SonicWALL SRA 5.5 管理者ガイド
295
「サービス」ドロップダウンリストから選択するサービスに応じて、追加のフィールドが表示されることが
あります。選択したサービスに対する以下の情報を使ってブックマークを完成させます。
ターミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）またはターミナルサービス
（ＲＤＰ－Ｊａｖａ）
備考
「ターミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）」サービスタイプを使ってブックマークを作成する場合、
インターネットエクスプローラ以外のブラウザを使用してブックマークを選択すると、サービスが自動
的に「ターミナルサービス（ＲＤＰ－Ｊａｖａ）」に変更されます。サービスタイプの変更が、ポッ
プアップウィンドウで通知されます。
- 「画面サイズ」ドロップダウンリストで、このブックマークの実行時に使用される既定のターミナ
ルサービス画面サイズを選択します。
画面サイズはコンピュータによって異なるので、リモートデスクトップアプリケーションを使用す
るときは、リモートデスクトップセッションの実行元のコンピュータ画面のサイズを選択する必要
があります。また、場合によっては「アプリケーションパス」フィールドでリモートコンピュータ
上のアプリケーションのパスを指定する必要があります。
- 「カラー」ドロップダウンリストで、このブックマークの実行時に使用されるターミナルサービス
画面の既定の色深度を選択します。
- オプションで、このアプリケーションへのローカルパスを「アプリケーションとパス（オプショ
ン）」フィールドに入力します。
- 「次のフォルダから開始」フィールドに、アプリケーションコマンドを実行するローカルフォルダ
をオプションで入力します。
- 「コンソール／ａｄｍｉｎセッションにログイン」チェックボックスをオンにすると、コンソールセッ
ションまたはａｄｍｉｎセッションにログインできます。ＲＤＣ６.１以降では、ａｄｍｉｎセッションへ
のログインは、コンソールセッションへのログインに置き換わります。
- 「ＷａｋｅｏｎＬＡＮを有効にする」チェックボックスをオンにすると、ネットワーク接続を介してコ
ンピュータの電源を投入できます。このチェックボックスをオンにした場合、以下の新しいフィー
ルドが表示されます。
･ＭＡＣ／イーサネットアドレス－電源を投入するホストの１つ以上のＭＡＣアドレスをス
ペースで区切って入力します。
･起動待ち時間（秒）－ＷｏＬ操作を中止するまでターゲットホストの起動完了を待機する時
間を秒単位で入力します。
･ＷｏＬパケットをホスト名またはＩＰアドレスに送信する－ＷｏＬパケットをこのブックマークの
ホスト名またはＩＰアドレスに送信するには、「ＷｏＬパケットをホスト名またはＩＰアドレスに
送信する」チェックボックスをオンにします。この設定は、ＷｏＬで電源を投入する別のコン
ピュータのＭＡＣアドレスと併用して適用できます。
- 「ＲＤＰ－Ｊａｖａ」ブックマークを用いたターミナルサーバファームまたは負荷分散に対しては、
「サーバはＴＳファーム」チェックボックスを選択して、適切な接続を有効にします。純粋な
ＪａｖａＲＤＰクライアントのみがこの機能をサポートして、このモードではいくつかの拡張オプショ
ンが利用できなくなることに注意してください。
- 「ＲＤＰ－Ｊａｖａ」ブックマークに対して、ローカルにインストールされているＲＤＰクライアントが
ある場合にそれではなくＪａｖａＲＤＰクライアントの使用を強制するには、「Ｊａｖａクライアントの
使用を強制する」チェックボックスを選択します。このオプションが選択された場合は、詳細な
Ｗｉｎｄｏｗｓオプションはサポートされません。
- ウィンドウズクライアント、またはＲＤＣインストール済みのＭａｃＯＳＸ１０.５以降では、「詳
細なウィンドウズオプションの表示」を展開し、リダイレクトオプションの各チェックボックス「プ
リンタをリダイレクトする」、「ドライブをリダイレクトする」、「ポートをリダイレクトする」、「スマー
トカードをリダイレクトする」、「クリップボードをリダイレクトする」、「プラグアンドプレイ機器をリ
ダイレクトする」を必要に応じてオンにして、このブックマークセッションでローカルネットワーク
296
SonicWALL SRA 5.5 管理者ガイド
上の各種機器や機能をリダイレクトします。マウスポインタを各オプションの横にあるヘルプア
イコン
の上に移動すると、要求事項がツールチップに表示されます。
リモートコンピュータにローカルプリンタを表示するには（「スタート＞設定＞コントロールパ
ネル＞プリンタとＦＡＸ」で表示）、「ポートをリダイレクトする」と「プリンタをリダイレクトする」
をオンにします。
このブックマークセッションでその他の機能を使用する場合は、「接続バーを表示する」、「自動
再接続」、「デスクトップ背景」、「ビットマップのキャッシュ」、「メニューとウィンドウアニメーショ
ン」、「表示スタイル」、「ドラッグ / リサイズの際にウィンドウの内容を表示する」の各チェック
ボックスをオンにします。
「リモート音声」ドロップダウンリストで、「このコンピュータで再生する」、「リモートコンピュータ
で再生する」、または「再生しない」から 1 つ選択します。
クライアントアプリケーションがＲＤＰ６（Ｊａｖａ）の場合、さらにオプションとして「デュアルモ
ニタ」、「フォントスムーシング」、「デスクトップコンポジション」、「リモートアプリケーション」
も必要に応じて選択できます。
「リモートアプリケーション」を選択すると、サーバおよびクライアント接続の活動が監視されま
す。この機能を使用するには、リモートコンピュータをウィンドウズ２００８ＲｅｍｏｔｅＡｐｐリスト
に登録する必要があります。「リモートアプリケーション」をオンにすると、ターミナルサーバと
の接続に関するメッセージがＪａｖａコンソールに表示されます。
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＲＤＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
仮想ネットワークコンピューティング（ＶＮＣ）
- 「エンコード」ドロップダウンリストで、以下から 1 つを選択します。
- Raw - ピクセルデータは、左から右へのスキャンライン順で送信され、最初のフルスクリー
ンが送信された後で、変更のある長方形のみが送信されます。
- RRE - ライズアンドランレングスエンコーディングは、単一の値と繰り返し数に圧縮された変
換可能なピクセルの連続を使います。これは、一定の色の大きなブロックに対して能率的な
エンコードです。
- CoRRE - RRE の亜種で、最大で 255x255 ピクセルの長方形を使い、 1 バイトの値を使用す
ることができます。非常に大きな区域が同じ色の場合を除いて、 RRE よりも能率的です。
- Hextile - 長方形は最大 16x16 タイルの Raw または RRE データに分割され、あらかじめ決
められた順序で送信されます。 LAN 内のような、高速ネットワーク環境内の使用に最良で
す。
- Zlib - 素のピクセルデータの圧縮に zlib ライブラリを使用する簡素なエンコードで、多くの
CPU 時間を消費します。 Zib よりもほとんどすべての実生活環境で能率的な Tighe エンコード
を理解しない VNC サーバでの互換性がサポートされます。
- Tight - 既定であり、 VNC をインターネット上またはその他の低帯域ネットワーク環境で使用
するために最良のエンコードです。 zlib ライブラリを使って、あらかじめ処理されたピクセル
データを最大の圧縮率に、最小の CPU 使用率で圧縮します。
- 「圧縮レベル」ドロップダウンリストで、圧縮レベルを「既定」または「1」 - 「9」 (1 が最低圧
縮で 9 が最高圧縮）から選択します。
- 「JPEG イメージ品質」オプションは変更できず、「6」に設定されています。
- 「カーソル状態更新」ドロップダウンリストで、「有効」、「無視」、または「無効」から選択し
ます。既定は「無視」です。
- 画面上でアイテムを移動する際に効率を上げるには、「CopyRect の使用」を選択します。
SonicWALL SRA 5.5 管理者ガイド
297
- 色数を減らすことで能率を上げるには、「制限された色数 (256 色 )」を選択します。
- マウスの右クリックと左クリックのボタンを入れ替えるには、「マウスボタン 2 と 3 を逆にする」を
選択します。
- ユーザがリモートシステム上で何も変更を行わない場合は、「表示のみ」を選択します。
- 複数のユーザが同じ VNC デスクトップを参照して使用することを許可するには、「デスクトップ共
有」を選択します。
Ｃｉｔｒｉｘポータル（Ｃｉｔｒｉｘ）
- ＨＴＴＰＳを使用してＣｉｔｒｉｘポータルに安全にアクセスするには、オプションで「ＨＴＴＰＳモード」
を選択します。
- インターネットエクスプローラを使用している場合に、ＣｉｔｒｉｘポータルへのアクセスにＪａｖａを使
用するには、オプションで「インターネットエクスプローラで常にＪａｖａを使用」チェックボックス
をオンにします。この設定を行わないと、インターネットエクスプローラでＣｉｔｒｉｘＡｃｔｉｖｅＸクライ
アントまたはプラグインを使用する必要があります。この設定を使用すると、インターネットエク
スプローラ専用のＣｉｔｒｉｘクライアントまたはプラグインをインストールしなくて済みます。Ｊａｖａ
は、他のブラウザでＣｉｔｒｉｘを使用する際に既定で使用され、インターネットエクスプローラでも
動作します。このチェックボックスをオンにすれば、この移植性を活用できます。
- オプションで「指定した Citrix ICA サーバを常に使用する」を選択して、現れた「Citrix ICA
サーバアドレス」フィールドに IP アドレスを指定します。この設定により、 Citrix ICA セッション
に対する Citrix ICA サーバのアドレスを指定することが可能です。既定では、ブックマークは
Citrix サーバ上の ICA 設定内で提供される情報を使用します。
ウェブ（ＨＴＴＰ）
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからウェブサーバに転
送されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場
合は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
シングルサインオンをフォームベース認証用に設定するには、「フォームベースの認証」
チェックボックスを選択します。「ユーザフォームフィールド」を、ログインフォームでユーザ名
を表すＨＴＭＬ要素の ‘ｎａｍｅ’ または ‘ｉｄ’ 属性と同じになるように設定します。例えば、
<ｉｎｐｕｔｔｙｐｅ＝ｔｅｘｔｎａｍｅ＝’ ｕｓｅｒｉｄ’ > のようにします。「パスワードフォームフィールド」
を、ログインフォームでパスワードを表すＨＴＭＬ要素の ‘ｎａｍｅ’ および ‘ｉｄ’ 属性と同じに
なるように設定します。例えば、 <ｉｎｐｕｔｔｙｐｅ＝ｐａｓｓｗｏｒｄｎａｍｅ＝’ ＰＡＳＳＷＯＲＤ’ ｉｄ＝’
ＰＡＳＳＷＯＲＤ’ ｍａｘｌｅｎｇｔｈ＝１２８> のようにします。
セキュアウェブ（ＨＴＴＰＳ）
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからセキュアウェブサー
バに転送されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力
する場合は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、
「個別ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してくださ
い。
シングルサインオンをフォームベース認証用に設定するには、「フォームベースの認証」
チェックボックスを選択します。「ユーザフォームフィールド」を、ログインフォームでユーザ名
を表すＨＴＭＬ要素の ‘ｎａｍｅ’ または ‘ｉｄ’ 属性と同じになるように設定します。例えば、
<ｉｎｐｕｔｔｙｐｅ＝ｔｅｘｔｎａｍｅ＝’ ｕｓｅｒｉｄ’ > のようにします。「パスワードフォームフィールド」
を、ログインフォームでパスワードを表すＨＴＭＬ要素の ‘ｎａｍｅ’ および ‘ｉｄ’ 属性と同じに
なるように設定します。例えば、 <ｉｎｐｕｔｔｙｐｅ＝ｐａｓｓｗｏｒｄｎａｍｅ＝’ ＰＡＳＳＷＯＲＤ’ ｉｄ＝’
ＰＡＳＳＷＯＲＤ’ ｍａｘｌｅｎｇｔｈ＝１２８> のようにします。
298
SonicWALL SRA 5.5 管理者ガイド
外部ウェブサイト
- SSL を使用してこのウェブサイトとの通信を暗号化するには、「ＨＴＴＰＳモード」チェックボック
スを選択します。
- このウェブサイトにアクセスする際にセキュリティ警告を見たくない場合は、「セキュリティ警告を
無効にする」チェックボックスをを選択します。ブックマークがアプリケーションオフロードされた
ウェブサイト以外の何かを参照しようとした場合に、通常セキュリティ警告が表示されます。
ファイル共有（ＣＩＦＳ）
- ウィンドウズの機能を模したファイル共有用のＪａｖａアプレットをユーザが使用できるようにする
には、「ファイル共有Ｊａｖａアプレットを使用する」チェックボックスをオンにします。
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＲＤＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
ファイル共有を作成するときは、ＤＦＳ（ＤｉｓｔｒｉｂｕｔｅｄＦｉｌｅＳｙｓｔｅｍ）サーバをウィンドウズドメ
インルートシステムに設定しないでください。ドメインルートはドメイン内のウィンドウズコン
ピュータへのアクセスのみを提供するので、ＤＦＳサーバをドメインルートに設定すると、他のド
メインからＤＦＳファイル共有にアクセスできません。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、ドメインメ
ンバではなく、このようなＤＦＳ共有に接続できません。
スタンドアロンルート上のＤＦＳファイル共有には、マイクロソフトの制限は適用されません。
ファイル転送プロトコル（ＦＴＰ）
- 「詳細なサーバ設定の表示」を展開して、「文字エンコード」ドロップダウンリストで別の値を選
択します。既定値は「標準（ＵＴＦ-８）」です。
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＦＴＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
Ｔｅｌｎｅｔ
- 追加フィールドなし
セキュアシェルバージョン１（ＳＳＨｖ１）
- 追加フィールドなし
セキュアシェルバージョン２（ＳＳＨｖ２）
- 必要に応じて、「ホストキーを自動受け入れ」チェックボックスをオンにします。
- ＳＳＨｖ２サーバを認証なしで使用している場合（ＳｏｎｉｃＷＡＬＬファイアウォールなど）、オプ
ションで「ユーザ名のバイパス」チェックボックスをオンにできます。
手順 8
「追加」を選択して設定を更新します。設定を更新すると、新しいユーザブックマークが「ローカルユー
ザの編集」ウィンドウに表示されます。
ローカルユーザのＣｉｔｒｉｘブックマークの作成
Ｃｉｔｒｉｘサポートには、ＡｃｔｉｖｅＸまたはＪａｖａクライアントをＣｉｔｒｉｘのウェブサイトからダウンロード
するためのインターネット接続が必要です。インターネットエクスプローラでは既定でＡｃｔｉｖｅＸを使
SonicWALL SRA 5.5 管理者ガイド
299
用して、その他のブラウザではＪａｖａを使用してＣｉｔｒｉｘにアクセスします。Ｊａｖａをインターネット
エクスプローラで使用するには、ブックマーク設定でオプションを選択します。サーバはどちらの
Ｃｉｔｒｉｘクライアントバージョンを使用するかを自動的に判断します。Ｃｉｔｒｉｘの実行にＪａｖａを必要と
するブラウザでは、ＳｕｎＪａｖａ１.６.０１０以降が必要です。
Ｊａｖａアプレットの使用時は、ローカルプリンタをＣｉｔｒｉｘクライアントで使用できます。ただし、場合に
よってはＵｎｉｖｅｒｓａｌＰｒｉｎｔｅｒＤｒｉｖｅｒをＰＣＬモードに変更する必要があります。
ユーザのＣｉｔｒｉｘブックマークを設定するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」を開き、設定するユーザの横にある設定アイコンを選択します。
手順 2
「ローカルユーザの編集」ページで、「ブックマーク」タブを選択します。
手順 3
「ブックマークの追加」を選択します。
手順 4 ブックマークの名前を「ブックマーク名」フィールドに入力します。
手順 5 ブックマークの名前またはＩＰアドレスを「名前またはＩＰアドレス」フィールドに入力します。
備考
ＨＴＴＰＳ、ＨＴＴＰ、Ｃｉｔｒｉｘ、ＳＳＨｖ２、ＳＳＨｖ１、Ｔｅｌｎｅｔ、およびＶＮＣでは、ポートオプション
の：ｐｏｒｔｎｕｍを指定できます。ＨＴＴＰ、ＨＴＴＰＳ、およびファイル共有では、ディレクトリまたは
ファイルのパスも指定できます。
手順 6
「サービス」ドロップダウンリストで、「Ｃｉｔｒｉｘポータル（Ｃｉｔｒｉｘ）」を選択します。表示が変更されます。
手順 7
「ＨＴＴＰＳモード」の横のボックスをオンにして、ＨＴＴＰＳモードを有効にします。
手順 8 インターネットエクスプローラを使用している場合に、ＣｉｔｒｉｘポータルへのアクセスにＪａｖａを使用するに
は、オプションで「インターネットエクスプローラで常にＪａｖａを使用」チェックボックスをオンにしま
す。この設定を行わないと、インターネットエクスプローラでＣｉｔｒｉｘＣＩＡクライアントまたはＸｅｎＡｐｐ
プラグイン（ＡｃｔｉｖｅＸクライアント）を使用する必要があります。この設定を使用すると、インターネッ
トエクスプローラ専用のＣｉｔｒｉｘＣＩＡクライアントまたはＸｅｎＡｐｐプラグインをインストールしなくて済み
ます。Ｊａｖａは、他のブラウザでＣｉｔｒｉｘを使用する際に既定で使用され、インターネットエクスプロー
ラでも動作します。このチェックボックスをオンにすれば、この移植性を活用できます。
手順 9 オプションで「指定した Citrix ICA サーバを常に使用する」を選択して、現れた「Citrix ICA サーバアドレ
ス」フィールドに IP アドレスを指定します。この設定により、 Citrix ICA セッションに対する Citrix ICA
サーバのアドレスを指定することが可能です。既定では、ブックマークは Citrix サーバ上の ICA 設定
内で提供される情報を使用します。
手順 10
「適用」を選択します。
個別ＳＳＯ認証情報を使用してブックマークを作成
ＨＴＴＰ（ＨＴＴＰＳ）、ＲＤＰ（ＪａｖａまたはＡｃｔｉｖｅＸ）、ファイル共有（ＣＩＦＳ）、およびＦＴＰブック
マークで個別のシングルサインオン（ＳＳＯ）認証情報をユーザ別、グループ別、またはグローバル
に設定することができます。
この機能は、ＳＳＯ認証の際にドメイン接頭辞を必要とするＨＴＴＰ、ＲＤＰ、ＦＴＰサーバなどのリソー
スにアクセスするために使用されます。ユーザはＳＳＬＶＰＮにｕｓｅｒｎａｍｅを使ってログインし、個別
のブックマークをクリックしてｄｏｍａｉｎ￥ｕｓｅｒｎａｍｅを使ってサーバにアクセスできます。ログイン認証
情報には、テキストのパラメータまたは動的変数を使用できます。
ＳＳＯ認証情報を設定して、シングルサインオンをフォームベースの認証（ＦＢＡ）に対して設定する
には、以下の手順に従います。
手順 1
300
「ユーザブックマークの追加または編集」（293 ページ）に説明した手順に従って、ＨＴＴＰ（ＨＴＴＰＳ）、
ＲＤＰ、ファイル共有（ＣＩＦＳ）、またはＦＴＰブックマークを作成または編集します。
SonicWALL SRA 5.5 管理者ガイド
手順 2
「ブックマーク」タブで、「個別認証情報を使用する」オプションを選択します。
手順 3 適切なユーザ名とパスワードを入力するか、以下の動的な変数を使用します。
認証情報
変数
使用例
ログイン名
％ＵＳＥＲＮＡＭＥ％
ＵＳ￥％ＵＳＥＲＮＡＭＥ％
ドメイン名
％ＵＳＥＲＤＯＭＡＩＮ％
％ＵＳＥＲＤＯＭＡＩＮ％￥％ＵＳＥＲＮＡＭＥ％
グループ名
％ＵＳＥＲＧＲＯＵＰ％
％ＵＳＥＲＧＲＯＵＰ％￥％ＵＳＥＲＮＡＭＥ％
パスワード
％ＰＡＳＳＷＯＲＤ％
％ＰＡＳＳＷＯＲＤ％または空白フィールド
手順 4
「ドメイン名」フィールドに、適切なドメイン情報を入力します。
手順 5
「フォームベースの認証」チェックボックスをオンにして、シングルサインオンをフォームベース認証用に
設定します。
･ユーザフォームフィールド－ログインフォームでユーザ名を表すＨＴＭＬ要素の ‘ｎａｍｅ’ および
‘ｉｄ’ 属性と同じになるように設定します。例えば、次のようにします。
＜ｉｎｐｕｔｔｙｐｅ＝ｔｅｘｔｎａｍｅ＝’ ｕｓｅｒｉｄ’ ＞
･パスワードフォームフィールド－ログインフォームでパスワードを表すＨＴＭＬ要素の ‘ｎａｍｅ’
または ‘ｉｄ’ 属性と同じになるように設定します。例えば、次のようにします。
<ｉｎｐｕｔｔｙｐｅ＝ｐａｓｓｗｏｒｄｎａｍｅ＝’ ＰＡＳＳＷＯＲＤ’ ｉｄ＝’ ＰＡＳＳＷＯＲＤ’ ｍａｘｌｅｎｇｔｈ＝
１２８>
手順 6
「適用」を選択します。
ログインポリシーの設定
「ログインポリシー」タブには、ＳｏｎｉｃＷＡＬＬＳＲＡ装置へのログインをユーザのＩＰアドレスによって
許可または拒否するポリシーの設定オプションがあります。装置へのログインを許可または拒否するに
は、以下の手順を実行します。
SonicWALL SRA 5.5 管理者ガイド
301
手順 1
「ユーザ＞ローカルユーザ」ページを開きます。
手順 2 設定するユーザの設定アイコンを選択します。
手順 3
「ログインポリシー」タブを選択します。
ます。
「ローカルユーザの編集」ページが表示されます。
「ローカルユーザの編集－ログインポリシー」タブが表示され
手順 4 指定したユーザが装置にログインするのを阻止するには、「ログインを無効にする」チェックボックスを選択
します。
手順 5 オプションで「クライアント証明書の強制を有効にする」チェックボックスをオンにして、ログインに際してクラ
イアント証明書を要求するようにします。このチェックボックスをオンにすることによって、強力な相互認
証のためにクライアント証明書を提示することをクライアントに要求します。さらに次の２つのフィールド
が表示されます。
･ユーザ名がクライアント証明書の一般名（ＣＮ）と一致していることを確認する－ユーザのアカウ
ント名がクライアント証明書と一致することを要件とする場合は、このチェックボックスをオンにしま
す。
･サブジェクト内の部分ＤＮを確認する－次の変数を使ってクライアント証明書と一致する部分ＤＮ
を設定します。
- ユーザ名：％ＵＳＥＲＮＡＭＥ％
- ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
- アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
- ワイルドカード：％ＷＩＬＤＣＡＲＤ％
手順 6 指定されたユーザに装置へのログイン時にワンタイムパスワードの使用を要求するには、「ワンタイムパス
ワードを要求する」チェックボックスをオンにします。
手順 7 ユーザの電子メールアドレスを「電子メールアドレス」フィールドに入力して、ドメインから取得されたアドレ
スを上書きします。ワンタイムパスワードの詳細については、「ワンタイムパスワードの概要」セク
ション（48 ページ）を参照してください。
302
SonicWALL SRA 5.5 管理者ガイド
備考
外部ドメイン（例えば、ＳＭＳアドレスや外部ウェブメールアドレス）への電子メールを設定する場
合は、ＳＭＴＰサーバを設定して、ＳＲＡ装置とそのドメインの間での転送を許可します。
手順 8 選択したポリシーを送信元ＩＰアドレスに適用するには、アクセスポリシー（「許可」または「拒否」）を、
「送信元ＩＰアドレスに対するログインポリシー」の「定義済みアドレスからのログイン」ドロップダウン
リストで選択し、リストボックスの下にある「追加」を選択します。「アドレスの定義」ウィンドウが表示
されます。
手順 9
「アドレスの定義」ウィンドウで、「送信元アドレス種別」ドロップダウンリストから送信元ＩＰアドレスの種
類の１つを選択します。
- ＩＰアドレス－特定のＩＰアドレスを選択します。
- ＩＰネットワーク－ＩＰアドレス範囲を選択します。このオプションを選択すると、「ネットワークア
ドレス」フィールドと「サブネットマスク」フィールドが「アドレスの定義」ウィンドウに表示され
ます。
- ＩＰｖ６アドレス－これにより特定のＩＰｖ６アドレスを選択できます。
- ＩＰｖ６ネットワーク－これによりＩＰｖ６アドレス範囲を選択できます。このオプションを選択する
と、「ＩＰｖ６ネットワーク」フィールドと「プレフィックス」フィールドが「アドレスの定義」ウィンド
ウに表示されます。
手順 10 選択した送信元アドレス種別に対応するＩＰアドレスを指定します。
- ＩＰアドレス－単一のＩＰアドレスを「ＩＰアドレス」フィールドに入力します。
- ＩＰネットワーク－ＩＰアドレスを「ネットワークアドレス」フィールドに入力し、アドレス範囲を指
定するサブネットマスク値を「サブネットマスク」フィールドに入力します。
- ＩＰｖ６アドレス－２００７：：１：２：３：４などのＩＰｖ６アドレスを入力します。
- ＩＰｖ６ネットワーク－ＩＰｖ６ネットワークアドレスを「ＩＰｖ６ネットワーク」フィールドに２００７：
１：２：：形式で入力します。６４などのプレフィックスを「プレフィックス」フィールドに入力しま
す。
手順 11
「追加」を選択します。アドレスまたはアドレス範囲が「ユーザ設定の編集」ウィンドウの「定義済みアド
レス」リストに表示されます。例えば、ネットワークアドレス１０.２０２.４.３２、サブネットマスク値
２５５.２５５.２５５.２４０（２８ビット）のアドレス範囲を選択すると、「定義済みアドレス」リストに
１０.２０２.４.３２－１０.２０２.４.４７と表示されます。この例では、１０.２０２.４.４７はブロードキャストアド
レスになります。選択したログインポリシーが、この範囲のアドレスに適用されます。
手順 12 選択したポリシーをクライアントブラウザに適用するには、「クライアントブラウザに対するログインポリ
シー」の「定義済みアドレスからのログイン」ドロップダウンリストでアクセスポリシー（許可または
拒否）を選択し、リストから「追加」を選択します。「ブラウザの定義」ウィンドウが表示されます。
手順 13
備考
手順 14
「ブラウザの定義」ウィンドウで、ブラウザの定義を「クライアントブラウザ」フィールドに入力し、「追
加」を選択します。ブラウザの名前が「定義済みブラウザ」リストに表示されます。
ファイアフォックス、インターネットエクスプローラ、およびネットスケープのブラウザの定義は、
ｊａｖａｓｃｒｉｐｔ：ｄｏｃｕｍｅｎｔ：ｗｒｉｔｅｌｎ（ｎａｖｉｇａｔｏｒ.ｕｓｅｒＡｇｅｎｔ）です。
「適用」を選択します。新しいログインポリシーが保存されます。
admin_localGroups
SonicWALL SRA 5.5 管理者ガイド
303
ユーザ＞ローカルグループ
このセクションでは、「ユーザ＞ローカルグループ」ページの概要と、このページで行える設定タスク
について説明します。
･「「ユーザ＞ローカルグループ」の概要」セクション（304 ページ）
･「グループの削除」（305 ページ）
･「新規グループの追加」（305 ページ）
･「グループ設定の編集」（305 ページ）
･「ＬＤＡＰ認証ドメインのグループ設定」（318 ページ）
･「アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設定」（323 ページ）
･「ローカルグループのＣｉｔｒｉｘブックマークの作成」（325 ページ）
ローカルグループのグローバルな設定の詳細については、「グローバル設定」セクション（326 ペー
ジ）を参照してください。
「ユーザ＞ローカルグループ」の概要
「ユーザ＞ローカルグループ」ページでは、グループ名とドメインを指定することにより、ユーザのア
クセスを正確に制御するためにグループを追加および設定できます。
ドメインを作成するとグループが自動的に作成されることに注意してください。ドメインは、「ポータル
＞ドメイン」ページで作成することができます。「ユーザ＞ローカルグループ」ページからグループ
を直接作成することもできます。
図3
「ユーザ＞ローカルグループ」ページ
グループメンバーシップは、２つのグループ、’ プライマリ’ と ’ 追加’ に分けられます。
プライマリグループ－タイムアウトやブックマークの追加／編集といった、単純なポリシーの割り当て
に使用します。ＵＲＬやネットワークオブジェクトポリシーといった、上級のポリシーには、プライマリ
または追加グループが使用できます。
追加グループ－複数の追加グループを割り当てることができますが、ポリシーの競合がある場合はプ
ライマリグループがすべての追加グループより優先されます。
ユーザは、単一ドメイン内のグループにのみ所属できることを覚えておいてください。
304
SonicWALL SRA 5.5 管理者ガイド
グループの削除
グループを削除するには、「ユーザ＞ローカルグループ」ページのローカルグループテーブルで、
削除するグループの行の削除アイコン
を選択します。削除したグループは、定義済みグループの
リストに表示されなくなります。
備考
ユーザがグループに追加されたままの場合、またはグループが認証ドメインに対する既定のグルー
プになっている場合は、グループは削除できません。認証ドメインに対する既定のグループを削除
するには、対応するドメインを削除します（「グループ設定の編集」ウィンドウからはグループを削
除できません）。グループが認証ドメインに対する既定のグループではない場合は、最初にグルー
プからすべてのユーザを削除します。その後、「グループ設定の編集」ページでグループを削除す
ることができます。
admin_addLocalGroup
新規グループの追加
ドメインを作成するとグループが自動的に作成されることに注意してください。ドメインは、「ポータル
＞ドメイン」ページで作成することができます。「ユーザ＞ローカルグループ」ページからグループ
を直接作成することもできます。
「ユーザ＞ローカルグループ」ウィンドウに次の２つの既定のオブジェクトがあります。
･グローバルポリシー－組織内のすべてのノードのアクセスポリシーです。
･ＬｏｃａｌＤｏｍａｉｎ－ＬｏｃａｌＤｏｍａｉｎグループは、既定のＬｏｃａｌＤｏｍａｉｎ認証ドメインに対応して自
動的に作成されます。これは、特に指定がなかったときにローカルユーザが追加される既定のグ
ループです。
新規のグループを作成するには、以下の手順を実行します。
手順 1
「グループの追加」を選択します。
「ローカルグループの追加」ウィンドウが表示されます。
手順 2
「ローカルグループの追加」ウィンドウで、わかりやすいグループ名を「グループ名」フィールドに入力し
ます。
手順 3 適切なドメインを「ドメイン」ドロップダウンリストで選択します。ドメインがグループにマッピングされます。
手順 4
「適用」を選択して設定を更新します。グループを追加すると、新しいグループが「ローカルグループ」
ウィンドウに追加されます。
設定したすべてのグループは、「ユーザ＞ローカルグループ」ページにアルファベット順で表示され
ます。
admin_addNxClientRoute
admin_editLocalGroup
グループ設定の編集
グループを編集するには、「ユーザ＞ローカルグループ」ページのローカルグループテーブルで、
編集するグループの行で設定アイコン
を選択します。「グループ設定の編集」には、「一般」、
「ポータル」、「ＮＸ設定」、「NX ルート」、「ポリシー」および「ブックマーク」の６つのタブがありま
す。
設定については、以下の各セクションを参照してください。
･「一般グループ設定の編集」（306 ページ）
･「グループポータル設定の変更」（307 ページ）
SonicWALL SRA 5.5 管理者ガイド
305
･「ＮｅｔＥｘｔｅｎｄｅｒグループ設定の有効化」（308 ページ）
･「グループ単位でＮｅｔＥｘｔｅｎｄｅｒルートを有効にする」（309 ページ）
･「グループポリシーの追加」（311 ページ）
･「ファイル共有のポリシーの編集」（313 ページ）
･「グループブックマークの設定」（314 ページ）
一般グループ設定の編集
「一般」タブには、グループの無動作タイムアウトの値およびシングルサインオン設定の構成オプショ
ンがあります。一般グループ設定を変更するには、以下の手順を実行します。
手順 1 左側の列で、「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。「グループ設定の編集」ウィンドウの「一般」タ
ブが表示されます。「一般」タブの「グループ名」および「ドメイン名」は、設定できないフィールド
です。
手順 3 グループの無動作タイムアウトを設定し、コンピュータ上の無動作が指定した時間を経過したらユーザを仮
想オフィスからログアウトさせるには、許容する無動作時間（分）を「無動作タイムアウト」フィールド
に入力します。グローバルタイムアウトを使うには０に設定します。
備考
手順 4
無動作タイムアウトは、ユーザ、グループ、グローバルの各レベルで設定できます。特定のユー
ザに複数のタイムアウトが設定されている場合は、ユーザタイムアウトの設定がグループタイムア
ウトよりも優先され、グループタイムアウトがグローバルタイムアウトよりも優先されます。グロー
バルタイムアウトを０に設定すると、グループまたはユーザタイムアウトが設定されていないユー
ザの無動作タイムアウトは無効になります。
「シングルサインオン設定」で、「自動的にブックマークにログイン」ドロップダウンメニューから、次のい
ずれかのオプションを選択します。
- グローバルポリシーを使用する：グローバルポリシーの設定を使ってブックマークのシングル
サインオン（ＳＳＯ）を制御します。
- ユーザ制御（新しいユーザに既定で有効）：ブックマークのシングルサインオン（ＳＳＯ）を
ユーザが有効または無効にできるようにします。新規ユーザの場合は、この設定によって
ＳＳＯが既定で有効になります。
備考
306
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのシングルサインオンは、２ファクタ認証をサポートしていません。
SonicWALL SRA 5.5 管理者ガイド
- ユーザ制御（新しいユーザに既定で無効）：ブックマークのシングルサインオン（ＳＳＯ）を
ユーザが有効または無効にできるようにします。新規ユーザの場合は、この設定によって
ＳＳＯが既定で無効になります。
- 有効：ブックマークのシングルサインオンを有効にします。
- 無効：ブックマークのシングルサインオンを無効にします。
手順 5
「適用」を選択して設定の変更を保存します。
グループポータル設定の変更
「ポータル」タブには、このグループのポータル設定用のオプションがあります。
このグループのポータル設定を構成するには、以下の手順に従います。
手順 1 左側の列で、「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「グループ設定の編集」ページで「ポータル」タブを選択します。
手順 4
「ポータル設定」の「ポータル」タブで、「ＮｅｔＥｘｔｅｎｄｅｒ」、「ログイン後にＮｅｔＥｘｔｅｎｄｅｒを起動する」、
「ファイル共有」、「仮想アシスト技術者」、「仮想アシストのサポートの要求」、「仮想アクセス設定のリ
ンク」について以下のいずれか１つのポータル設定をこのグループに選択します。
･ポータル設定を使用－ポータル機能が有効か無効かを確認するために、メインポータル設定に定
義された設定を使用します。メインポータル設定は、「ポータル＞ポータル」ページの「ポータル
の編集」画面の「ホーム」タブでポータルを設定すると定義されます。
･有効－このポータル機能をこのグループに有効にします。
･無効－このポータル機能をこのグループに無効にします。
ＭｏｂｉｌｅＣｏｎｎｅｃｔは装置への接続時にＮｅｔＥｘｔｅｎｄｅｒクライアントとして動作するため、この
ＮｅｔＥｘｔｅｎｄｅｒに対する設定は、ＭｏｂｉｌｅＣｏｎｎｅｃｔユーザによるアクセスも制御します。
手順 5 このグループのユーザが新しいブックマークを追加できるようにするには、「ブックマークの追加を許可する」
ドロップダウンメニューで「許可」を選択します。ユーザが新しいブックマークを追加できないようにす
るには、「拒否」を選択します。グローバルで定義された設定を使うには、「グローバル設定を使用す
る」を選択します。グローバル設定については「グローバル設定の編集」セクション（326 ページ）を
参照してください。
手順 6 このグループのユーザが自分自身のブックマークを編集または削除できるようにするには、「ユーザのブック
マークの編集 / 削除を許可」ドロップダウンメニューで「許可」を選択します。ユーザが自分自身の
ブックマークを編集または削除できないようにするには、「拒否」を選択します。グローバルで定義され
た設定を使うには、「グローバル設定を使用する」を選択します。
SonicWALL SRA 5.5 管理者ガイド
307
備考
手順 7
「ユーザのブックマークの編集 / 削除を許可」は、ユーザ自身のブックマークにのみ設定が適用さ
れます。ユーザはグループおよびグローバルブックマークを編集または削除できません。
「適用」を選択します。
ＮｅｔＥｘｔｅｎｄｅｒグループ設定の有効化
この機能は、割り当てられたグループからログイン時に設定を継承する外部ユーザ用です。
ＮｅｔＥｘｔｅｎｄｅｒクライアント設定は、グループに対して個別にか、またはグローバルに指定できます。
グローバルな設定については、「グローバル設定の編集」（326 ページ）を参照してください。
グループのＮｅｔＥｘｔｅｎｄｅｒ範囲を有効にし、グループに対してクライアント設定を構成するには、以下
の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「ローカルグループの編集」ページで、「ＮＸ設定」タブを選択します。
手順 4 ＩＰｖ４開始アドレスを「クライアントアドレス範囲の開始」フィールドに入力します。
手順 5 ＩＰｖ４終了アドレスを「クライアントアドレス範囲の終了」フィールドに入力します。
手順 6 ＩＰｖ６開始アドレスを「クライアントＩＰｖ６アドレス範囲の開始」フィールドに入力します。
手順 7 ＩＰｖ６終了アドレスを「クライアントＩＰｖ６アドレス範囲の終了」フィールドに入力します。
手順 8
「NetExtender DNS 設定」の下で、「プライマリ DNS サーバ」フィールドにプライマリ DNS サーバのアドレス
を入力します。
手順 9 オプションで、「セカンダリ DNS サーバ」フィールドにセカンダリサーバのアドレスを入力します。
手順 10 オプションで、「DNS ドメイン」フィールドに DNS ドメイン接尾辞を入力します。
ＡｐｐｌｅｉＰｈｏｎｅ、ｉＰａｄ、その他のｉＯＳ機器からのＳｏｎｉｃＷＡＬＬＭｏｂｉｌｅＣｏｎｎｅｃｔを使った接続を
サポートするＳｏｎｉｃＷＡＬＬＳＲＡ装置に対しては、「ＤＮＳドメイン」は必須フィールドです。このＤＮＳ
308
SonicWALL SRA 5.5 管理者ガイド
ドメインは、ｉＰｈｏｎｅ/ｉＰａｄのＶＰＮインターフェース上に、機器が装置との接続を確立した後で設定さ
れます。モバイル機器のユーザがあるＵＲＬにアクセスする際に、ｉＯＳはこのドメインがＶＰＮイン
ターフェースのドメインと一致しているかどうかを判断し、一致している場合はＶＰＮインターフェースの
ＤＮＳサーバを使ってホスト名検索を解決します。そうでない場合は、組織のイントラネット内のホスト
を解決できないであろうＷｉ－Ｆｉまたは３ＧのＤＮＳサーバが使われます。
手順 11
「NetExtender クライアント設定」の下で、「切断後にクライアントを終了」ドロップダウンリストから、次の
いずれかを選択します。
- グローバル設定を使用する－グローバル設定で指定された操作を行います。
設定の編集」（326 ページ）」を参照してください。
「「グローバル
- 有効－この操作をグループのすべてのメンバーに対して有効にします。この設定はグローバ
ル設定に優先します。
- 無効－この操作をグループのすべてのメンバーに対して無効にします。この設定はグローバ
ル設定に優先します。
手順 12
「クライアント終了後にアンインストール」ドロップダウンリストで、次のいずれかを選択します。
- グローバル設定を使用する－グローバル設定で指定された操作を行います。
設定の編集」（326 ページ）」を参照してください。
「「グローバル
- 有効－この操作をグループのすべてのメンバーに対して有効にします。この設定はグローバ
ル設定に優先します。
- 無効－この操作をグループのすべてのメンバーに対して無効にします。この設定はグローバ
ル設定に優先します。
手順 13
「クライアント接続プロファイルを作成」ドロップダウンリストで、次のいずれかを選択します。
- グローバル設定を使用する－グローバル設定で指定された操作を行います。
設定の編集」（326 ページ）」を参照してください。
「「グローバル
- 有効－この操作をグループのすべてのメンバーに対して有効にします。この設定はグローバ
ル設定に優先します。
- 無効－この操作をグループのすべてのメンバーに対して無効にします。この設定はグローバ
ル設定に優先します。
手順 14
「ユーザ名とパスワードの保存」ドロップダウンリストで、次のいずれかを選択します。
- グローバル設定を使用－グローバル設定で指定された操作を行います。
の編集」（326 ページ）」を参照してください。
「「グローバル設定
- ユーザ名だけ保存を許可－グループのメンバーのユーザ名をキャッシュします。ＮｅｔＥｘｔｅｎｄｅｒ
を起動するときにグループのメンバーはパスワードのみを入力します。この設定はグローバル設
定に優先します。
- ユーザ名とパスワードの保存を許可－グループのメンバーのユーザ名とパスワードをキャッシュ
します。ＮｅｔＥｘｔｅｎｄｅｒを起動すると、グループのメンバーは自動的にログインします。この設
定はグローバル設定に優先します。
- ユーザ名とパスワードの保存は不可－グループのメンバーのユーザ名とパスワードをキャッ
シュしません。ＮｅｔＥｘｔｅｎｄｅｒを起動するときにグループのメンバーはユーザ名とパスワードを
入力する必要があります。この設定はグローバル設定に優先します。
手順 15
「適用」を選択します。
グループ単位でＮｅｔＥｘｔｅｎｄｅｒルートを有効にする
「Ｎｘルート」タブでは、クライアントルートの追加と設定ができます。ＩＰｖ６クライアントルートは
ＳｏｎｉｃＷＡＬＬＳＲＡ装置でサポートされます。
グループに対して複数のＮｅｔＥｘｔｅｎｄｅｒルートを有効にするには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」を開きます。
SonicWALL SRA 5.5 管理者ガイド
309
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「グループ設定の編集」ページで、「ＮＸルート」タブを選択します。
手順 4
「強制トンネル方式」ドロップダウンリストで、次のいずれかを選択します。
- グローバル設定を使用する－グローバル設定で指定された操作を行います。「グローバル設
定の編集」（326 ページ）を参照してください。
- 有効－リモートユーザのローカルネットワーク宛のトラフィックを含め、このユーザに対するす
べてのトラフィックはＳＳＬＶＰＮＮｅｔＥｘｔｅｎｄｅｒトンネルを通過します。この設定はグループの
すべてのメンバーに適用されます。この設定はグローバル設定に優先します。
- 無効－この操作をグループのすべてのメンバーに対して無効にします。この設定はグローバ
ル設定に優先します。
手順 5 このグループのメンバーに対して、ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを追加するには、
「ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを追加する」チェックボックスを選択します。
手順 6 このグループのメンバーに対して明確にＮｅｔＥｘｔｅｎｄｅｒクライアントルートを設定するには、「クライアント
ルートの追加」を選択します。
手順 7
「クライアントルートの追加」画面で、送信先ネットワークを「送信先ネットワーク」フィールドに入力しま
す。たとえば、ＩＰｖ４ネットワークアドレスを１０.２０２.０.０、ＩＰｖ６ネットワークアドレスを
２００７::１:２:３:０形式で入力します。
手順 8 ＩＰｖ４の送信先ネットワークに対しては、「サブネットマスク／接頭辞」フィールドに、サブネットマスクを
１０進形式（２５５.０.０.０、２５５.２５５.０.０、または２５５.２５５.２５５.０）で入力します。ＩＰｖ６の送信先
ネットワークに対しては、１１２のように接頭辞を入力します。
手順 9
「クライアントルートの追加」画面で、「適用」を選択します。
手順 10
「ローカルグループの編集」画面で、「適用」を選択します。
ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートの有効化
既に作成済みのグループに対してＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルートを有効にするには、
以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「ローカルグループの編集」ページで、「ＮＸルート」タブを選択します。
手順 4
「グローバルクライアントルートを追加する」チェックボックスを選択します。
手順 5
「適用」を選択します。
310
SonicWALL SRA 5.5 管理者ガイド
ローカルグループに対する強制トンネル方式の有効化
この機能は、割り当てられたグループからログイン時に設定を継承する外部ユーザ用です。すべての
モードのトンネルを有効化すると、すべてのネットワーク通信がＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮトンネルを通
じて安全にトンネリングされます。すべてのモードのトンネルを有効化するには、以下の手順を実行し
ます。
手順 1
「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「ローカルグループの編集」ページで、「ＮＸルート」タブを選択します。
手順 4
「強制トンネル方式」ドロップダウンリストで「有効」を選択します。
手順 5
「適用」を選択します。
備考
「クライアントルートの追加」ウィンドウで「送信先ネットワーク」と「サブネットマスク／接頭辞」に
０.０.０.０を入力することで、ＮｅｔＥｘｔｅｎｄｅｒ接続を介したＳＳＬＶＰＮクライアントトラフィックを任意
ですべてトンネルすることができます。
グループポリシーの追加
グループアクセスポリシーでは、すべてのトラフィックが既定で許可されます。追加の許可および拒
否ポリシーを、送信先アドレスまたはアドレス範囲か、サービス種別ごとに作成することができます。
ポリシーは限定的な方が優先されます。例えば、特定のＩＰアドレスに適用されるポリシーはＩＰアド
レス範囲に適用されるポリシーよりも優先されます。特定のＩＰアドレスに適用されるポリシーが２つあ
るときは、特定のサービス（ＲＤＰなど）に関するポリシーがすべてのサービスに関するポリシーより
も優先されます。
ユーザポリシーはグループポリシーよりも優先され、グループポリシーはグローバルポリシーよりも
優先されます。これはポリシーの定義と関係ありません。すべてのＩＰアドレスへのアクセスを許可す
るユーザポリシーは、特定のＩＰアドレスへのアクセスを拒否するグループポリシーよりも優先されま
す。
備考
グループポリシーの仕組みでは、プライマリグループポリシーがどの追加グループポリシーよりも
優先され常に強制されます。
グループアクセスポリシーを定義するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「ローカルグループの編集」ページで、「ポリシー」タブを選択します。
SonicWALL SRA 5.5 管理者ガイド
311
手順 4
「ポリシー」タブで、「ポリシーの追加」を選択します。
「ポリシーの追加」画面が表示されます。
手順 5 ポリシーの名前を「ポリシー名」フィールドに指定します。
手順 6
「ポリシーの適用先」ドロップダウンリストで、ポリシーの適用先として、個別ホスト、アドレス範囲、す
べてのアドレス、ネットワークオブジェクト、サーバパス、または URL オブジェクトのいずれかを選択
します。単一のＩＰｖ６ホスト、ＩＰｖ６アドレス範囲、またはすべてのＩＰｖ６アドレスの選択もできます。
「ポリシーの追加」ウィンドウの内容は、「ポリシーの適用先」ドロップダウンリストで選択したオブジェ
クトの種別に応じて変化します。
備考
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのポリシーはＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続の送信元アドレスではなく送
信先アドレスに適用されます。インターネット上の特定のＩＰアドレスがポリシーエンジンを通じて
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮゲートウェイの認証を受けることを許可または阻止することはできません。
ユーザの「ログインポリシー」ページからＩＰアドレスで送信元のログインを制御することが可能で
す。詳細については、「ログインポリシーの設定」セクション（301 ページ）を参照してください。
･ＩＰアドレス - 特定のホストにポリシーを適用する場合は、ローカルホストコンピュータのＩＰアドレ
スを「ＩＰアドレス」フィールドに入力します。オプションとして、ポート範囲 (８０－４４３）または１
つのポート番号を「ポート範囲／ポート番号」フィールドに入力できます。
･ IP アドレス範囲 - アドレス範囲にポリシーを適用する場合は、ＩＰアドレス範囲の開始アドレスを
「IP アドレス範囲」フィールドに入力し、ＩＰアドレス範囲を定義するサブネットを「サブネットマス
ク」フィールドに入力します。オプションとして、ポート範囲 (４１００－４２００）または１つのポー
ト番号を「ポート範囲／ポート番号」フィールドに入力できます。
･ネットワークオブジェクト－定義済みネットワークオブジェクトにポリシーを適用する場合は、「ネッ
トワークオブジェクト」ドロップダウンリストでオブジェクトの名前を選択します。ネットワークオブ
ジェクトを定義するときにポートまたはポート範囲を指定できます。「ネットワークオブジェクトの追
加」（130 ページ）を参照してください。
･サーバパス－サーバパスににポリシーを適用する場合は、「リソース」フィールドで次のラジオ
ボタンのいずれかを選択します。
- 共有 ( サーバパス）－このオプションを選択するときは、パスを「サーバパス」フィールドに
入力します。
- ネットワーク（ドメインリスト）
- サーバ（コンピュータリスト）
「ファイル共有のポリシーの編集」（313 ページ）を参照してください。
･ＵＲＬオブジェクト－定義済みの URL オブジェクトにポリシーを適用する場合は、 URL を「URL」
フィールドに入力します。
･ＩＰｖ６アドレス－特定のホストにポリシーを適用する場合は、ローカルホストマシンのＩＰｖ６アドレ
スを「ＩＰｖ６アドレス」フィールドに入力します。オプションでポート範囲（例えば４１００-４２００）
や単独のポート番号を「ポート範囲／ポート番号」フィールドに入力します。
312
SonicWALL SRA 5.5 管理者ガイド
･ＩＰｖ６アドレス範囲－アドレス範囲にポリシーを適用する場合は、先頭のＩＰｖ６アドレスを「ＩＰｖ６
ネットワークアドレス」フィールドに入力して、このＩＰｖ６アドレス範囲を定義する接頭辞を「ＩＰｖ６
接頭辞」フィールドに入力します。オプションでポート範囲（例えば４１００-４２００）や単独のポー
ト番号を「ポート範囲／ポート番号」フィールドに入力します。
･すべてのＩＰｖ６アドレス－すべてのＩＰｖ６アドレスにポリシーを適用する場合は、ＩＰアドレス情報
を入力する必要はありません。
手順 7 サービスの種類を「サービス」メニューで選択します。ポリシーの適用先がネットワークオブジェクトの場合
は、そのネットワークオブジェクトで定義されたサービスが使用されます。
手順 8
「状況」ドロップダウンリストから「許可」または「拒否」を選択し、指定したサービスおよびホストコン
ピュータのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続を許可または拒否します。
手順 9
「適用」を選択して設定を更新します。設定の更新後、新しいグループポリシーが「ローカルグループ
の編集」ウィンドウに表示されます。グループポリシーは、「グループポリシー」リストに、優先度の
高いものから順番に表示されます。
ファイル共有のポリシーの編集
ファイル共有アクセスポリシーを編集するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
手順 5
「ポリシーの適用先」ドロップダウンリストで「サーバパス」を選択します。
手順 6 ポリシーの名前を「ポリシー名」フィールドに入力します。
手順 7
「リソース」に対して、「共有 ( サーバパス )」を選択します。
手順 8
「サーバパス」フィールドに、サーバパスをｓｅｒｖｅｒｎａｍｅ／ｓｈａｒｅ／ｐａｔｈまたはｓｅｒｖｅｒｎａｍｅ￥
ｓｈａｒｅ￥ｐａｔｈの形式で入力します。使用できる接頭辞は￥￥、／／、￥、および／です。
備考
手順 9
手順 10
共有とパスによって、ポリシーをより細かく管理できるようになります。どちらの設定もオプションで
す。
「状況」ドロップダウンリストで「許可」または「拒否」を選択します。
「適用」を選択します。
SonicWALL SRA 5.5 管理者ガイド
313
グループブックマークの設定
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのブックマークは、頻繁に接続するローカルエリアネットワーク上のコン
ピュータにＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザが簡単にアクセスできるようにする仕組みです。グループ
ブックマークは、特定のグループのすべてのメンバーに適用されます。グループブックマークを定義す
るには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」ウィンドウを開きます。
手順 2 ブックマークを作成するグループの設定アイコンを選択します。
されます。
手順 3
「ブックマーク」タブで、「ブックマークの追加」を選択します。
す。
備考
「ローカルグループの編集」ページが表示
「ブックマークの追加」画面が表示されま
グループブックマークを定義すると、グループのメンバー全員がＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザ
ポータルで定義済みのブックマークを見ることができます。グループの個々のメンバーがグループ
ブックマークを削除または変更することはできません。
手順 4 ブックマークの名前となる文字列を「ブックマーク名」フィールドに入力します。
手順 5 ＬＡＮ上のホストコンピュータの完全修飾ドメイン名（ＦＱＤＮ）またはＩＰｖ４／ＩＰｖ６アドレスを「名前また
はＩＰアドレス」フィールドに入力します。ウィンドウズローカルネットワークでＶＮＣブックマークを作
成する場合など、環境によってはホスト名のみを入力できます。
備考
「名前またはＩＰアドレス」フィールド内でポート番号がＩＰｖ６アドレスに含まれる場合は、ＩＰｖ６アド
レスを角かっこで囲む必要があります。入力例：［２００８：：１：２：３：４］：６８１８。ＩＰｖ６
は、ＲＤＰ - ＡｃｔｉｖｅＸ、ＲＤＰ - Ｊａｖａ、ファイル共有、およびＶＮＣブックマークでサポートされま
せん。
備考
ＨＴＴＰおよびＨＴＴＰＳの場合は、個別ポートとパスを追加できます（例：ｓｅｒｖｅｒｎａｍｅ：ｐｏｒｔ／
ｐａｔｈ）。ＶＮＣ、Ｔｅｌｎｅｔ、およびＳＳＨの場合は、個別ポートを追加できます（例：
ｓｅｒｖｅｒｎａｍｅ：ｐｏｒｔ）。
手順 6
314
「サービス」ドロップダウンリストから、サービスタイプを１つ選択します。「サービス」ドロップダウンリ
ストから選択するサービスに応じて、追加のフィールドが表示されることがあります。選択したサービス
に対する以下の情報を使ってブックマークを完成させます。
SonicWALL SRA 5.5 管理者ガイド
ターミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）またはターミナルサービス
（ＲＤＰ－Ｊａｖａ）
備考
インターネットエクスプローラ以外のブラウザを使用しているときに「ターミナルサービス（ＲＤＰ－
ＡｃｔｉｖｅＸ）」を選択すると、自動的に「ターミナルサービス（ＲＤＰ－Ｊａｖａ）」に変更されます。
サービスタイプの変更が、ポップアップウィンドウで通知されます。
- 「画面サイズ」ドロップダウンメニューで、このブックマークの実行時に使用される既定のターミ
ナルサービス画面サイズを選択します。
画面サイズはコンピュータによって異なるので、リモートデスクトップアプリケーションを使用す
るときは、リモートデスクトップセッションの実行元のコンピュータ画面のサイズを選択する必要
があります。また、場合によっては「アプリケーションパス」フィールドでリモートコンピュータ
上のアプリケーションのパスを指定する必要があります。
- 「カラー」ドロップダウンリストで、このブックマークの実行時に使用されるターミナルサービス
画面の既定の色深度を選択します。
- オプションで、このアプリケーションへのローカルパスを「アプリケーションとパス（オプショ
ン）」フィールドに入力します。
- 「次のフォルダから開始」フィールドに、アプリケーションコマンドを実行するローカルフォルダ
をオプションで入力します。
- 「コンソール／ａｄｍｉｎセッションにログイン」チェックボックスをオンにすると、コンソールセッ
ションまたはａｄｍｉｎセッションにログインできます。ＲＤＣ６.１以降では、ａｄｍｉｎセッションへ
のログインは、コンソールセッションへのログインに置き換わります。
- 「ＷａｋｅｏｎＬＡＮを有効にする」チェックボックスをオンにすると、ネットワーク接続を介してコ
ンピュータの電源を投入できます。このチェックボックスをオンにした場合、以下の新しいフィー
ルドが表示されます。
･ＭＡＣ／イーサネットアドレス－電源を投入するホストの１つ以上のＭＡＣアドレスをス
ペースで区切って入力します。
･起動待ち時間（秒）－ＷｏＬ操作を中止するまでターゲットホストの起動完了を待機する時
間を秒単位で入力します。
･ＷｏＬパケットをホスト名またはＩＰアドレスに送信する－ＷｏＬパケットをこのブックマークの
ホスト名またはＩＰアドレスに送信するには、「ＷｏＬパケットをホスト名またはＩＰアドレスに
送信する」チェックボックスをオンにします。この設定は、ＷｏＬで電源を投入する別のコン
ピュータのＭＡＣアドレスと併用して適用できます。
- 「ＲＤＰ－Ｊａｖａ」ブックマークを用いたターミナルサーバファームまたは負荷分散に対しては、
「サーバはＴＳファーム」チェックボックスを選択して、適切な接続を有効にします。純粋な
ＪａｖａＲＤＰクライアントのみがこの機能をサポートして、このモードではいくつかの拡張オプショ
ンが利用できなくなることに注意してください。
- 「ＲＤＰ－Ｊａｖａ」ブックマークに対して、ローカルにインストールされているＲＤＰクライアントが
ある場合にそれではなくＪａｖａＲＤＰクライアントの使用を強制するには、「Ｊａｖａクライアントの
使用を強制する」チェックボックスを選択します。このオプションが選択された場合は、詳細な
Ｗｉｎｄｏｗｓオプションはサポートされません。
- ウィンドウズクライアント、またはＲＤＣインストール済みのＭａｃＯＳＸ１０.５以降では、「詳
細なウィンドウズオプションの表示」を展開し、リダイレクトオプションの各チェックボックス「プ
リンタをリダイレクトする」、「ドライブをリダイレクトする」、「ポートをリダイレクトする」、「スマー
トカードをリダイレクトする」、「クリップボードをリダイレクトする」、「プラグアンドプレイ機器をリ
ダイレクトする」を必要に応じてオンにして、このブックマークセッションでローカルネットワーク
上の各種機器や機能をリダイレクトします。マウスポインタを各オプションの横にあるヘルプア
イコン
の上に移動すると、要求事項がツールチップに表示されます。
リモートコンピュータにローカルプリンタを表示するには（「スタート＞設定＞コントロールパ
SonicWALL SRA 5.5 管理者ガイド
315
ネル＞プリンタとＦＡＸ」で表示）、「ポートをリダイレクトする」と「プリンタをリダイレクトする」
をオンにします。
このブックマークセッションでその他の機能を使用する場合は、「接続バーを表示する」、「自動
再接続」、「デスクトップ背景」、「ビットマップのキャッシュ」、「メニューとウィンドウアニメーショ
ン」、「表示スタイル」、「ドラッグ / リサイズの際にウィンドウの内容を表示する」の各チェック
ボックスをオンにします。
「リモート音声」ドロップダウンリストで、「このコンピュータで再生する」、「リモートコンピュータ
で再生する」、または「再生しない」から 1 つ選択します。
クライアントアプリケーションがＲＤＰ６（Ｊａｖａ）の場合、さらにオプションとして「デュアルモ
ニタ」、「フォントスムーシング」、「デスクトップコンポジション」、「リモートアプリケーション」
も必要に応じて選択できます。
「リモートアプリケーション」を選択すると、サーバおよびクライアント接続の活動が監視されま
す。この機能を使用するには、リモートコンピュータをウィンドウズ２００８ＲｅｍｏｔｅＡｐｐリスト
に登録する必要があります。「リモートアプリケーション」をオンにすると、ターミナルサーバと
の接続に関するメッセージがＪａｖａコンソールに表示されます。
- オプションで、「自動的にログインする」および「ＳＳＬＶＰＮアカウント認証情報を使用する」を
選択して、認証情報を現在のＳＳＬＶＰＮセッションからＲＤＰサーバへログインのために転送
できます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別認証情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」（300 ページ）を参照してください。
仮想ネットワークコンピューティング（ＶＮＣ）
- 「エンコード」ドロップダウンリストで、以下から 1 つを選択します。
- Raw - ピクセルデータは、左から右へのスキャンライン順で送信され、最初のフルスクリー
ンが送信された後で、変更のある長方形のみが送信されます。
- RRE - ライズアンドランレングスエンコーディングは、単一の値と繰り返し数に圧縮された変
換可能なピクセルの連続を使います。これは、一定の色の大きなブロックに対して能率的な
エンコードです。
- CoRRE - RRE の亜種で、最大で 255x255 ピクセルの長方形を使い、 1 バイトの値を使用す
ることができます。非常に大きな区域が同じ色の場合を除いて、 RRE よりも能率的です。
- Hextile - 長方形は最大 16x16 タイルの Raw または RRE データに分割され、あらかじめ決
められた順序で送信されます。 LAN 内のような、高速ネットワーク環境内の使用に最良で
す。
- Zlib - 素のピクセルデータの圧縮に zlib ライブラリを使用する簡素なエンコードで、多くの
CPU 時間を消費します。 Zib よりもほとんどすべての実生活環境で能率的な Tighe エンコード
を理解しない VNC サーバでの互換性がサポートされます。
- Tight - 既定であり、 VNC をインターネット上またはその他の低帯域ネットワーク環境で使用
するために最良のエンコードです。 zlib ライブラリを使って、あらかじめ処理されたピクセル
データを最大の圧縮率に、最小の CPU 使用率で圧縮します。
- 「圧縮レベル」ドロップダウンリストで、圧縮レベルを「既定」または「1」 - 「9」 (1 が最低圧
縮で 9 が最高圧縮）から選択します。
- 「JPEG イメージ品質」オプションは変更できず、「6」に設定されています。
- 「カーソル状態更新」ドロップダウンリストで、「有効」、「無視」、または「無効」から選択し
ます。既定は「無視」です。
- 画面上でアイテムを移動する際に効率を上げるには、「CopyRect の使用」を選択します。
- 色数を減らすことで能率を上げるには、「制限された色数 (256 色 )」を選択します。
- マウスの右クリックと左クリックのボタンを入れ替えるには、「マウスボタン 2 と 3 を逆にする」を
選択します。
316
SonicWALL SRA 5.5 管理者ガイド
- ユーザがリモートシステム上で何も変更を行わない場合は、「表示のみ」を選択します。
- 複数のユーザが同じ VNC デスクトップを参照して使用することを許可するには、「デスクトップ共
有」を選択します。
Ｃｉｔｒｉｘポータル（Ｃｉｔｒｉｘ）
- ＨＴＴＰＳを使用してＣｉｔｒｉｘポータルに安全にアクセスするには、オプションで「ＨＴＴＰＳモード」
を選択します。
- インターネットエクスプローラを使用している場合に、ＣｉｔｒｉｘポータルへのアクセスにＪａｖａを使
用するには、オプションで「インターネットエクスプローラで常にＪａｖａを使用」チェックボックス
をオンにします。この設定を行わないと、インターネットエクスプローラでＣｉｔｒｉｘＡｃｔｉｖｅＸクライ
アントまたはプラグインを使用する必要があります。この設定を使用すると、インターネットエク
スプローラ専用のＣｉｔｒｉｘクライアントまたはプラグインをインストールしなくて済みます。Ｊａｖａ
は、他のブラウザでＣｉｔｒｉｘを使用する際に既定で使用され、インターネットエクスプローラでも
動作します。このチェックボックスをオンにすれば、この移植性を活用できます。
- オプションで「指定した Citrix ICA サーバを常に使用する」を選択して、現れた「Citrix ICA
サーバアドレス」フィールドに IP アドレスを指定します。この設定により、 Citrix ICA セッション
に対する Citrix ICA サーバのアドレスを指定することが可能です。既定では、ブックマークは
Citrix サーバ上の ICA 設定内で提供される情報を使用します。
ウェブ（ＨＴＴＰ）
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからウェブサーバに転
送されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場
合は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
シングルサインオンをフォームベース認証用に設定するには、「フォームベースの認証」
チェックボックスを選択します。「ユーザフォームフィールド」を、ログインフォームでユーザ名
を表すＨＴＭＬ要素の ‘ｎａｍｅ’ または ‘ｉｄ’ 属性と同じになるように設定します。例えば、
<ｉｎｐｕｔｔｙｐｅ＝ｔｅｘｔｎａｍｅ＝’ ｕｓｅｒｉｄ’ > のようにします。「パスワードフォームフィールド」
を、ログインフォームでパスワードを表すＨＴＭＬ要素の ‘ｎａｍｅ’ および ‘ｉｄ’ 属性と同じに
なるように設定します。例えば、 <ｉｎｐｕｔｔｙｐｅ＝ｐａｓｓｗｏｒｄｎａｍｅ＝’ ＰＡＳＳＷＯＲＤ’ ｉｄ＝’
ＰＡＳＳＷＯＲＤ’ ｍａｘｌｅｎｇｔｈ＝１２８> のようにします。
セキュアウェブ（ＨＴＴＰＳ）
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからセキュアウェブサー
バに転送されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力
する場合は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、
「個別ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してくださ
い。
シングルサインオンをフォームベース認証用に設定するには、「フォームベースの認証」
チェックボックスを選択します。「ユーザフォームフィールド」を、ログインフォームでユーザ名
を表すＨＴＭＬ要素の ‘ｎａｍｅ’ または ‘ｉｄ’ 属性と同じになるように設定します。例えば、
<ｉｎｐｕｔｔｙｐｅ＝ｔｅｘｔｎａｍｅ＝’ ｕｓｅｒｉｄ’ > のようにします。「パスワードフォームフィールド」
を、ログインフォームでパスワードを表すＨＴＭＬ要素の ‘ｎａｍｅ’ および ‘ｉｄ’ 属性と同じに
なるように設定します。例えば、 <ｉｎｐｕｔｔｙｐｅ＝ｐａｓｓｗｏｒｄｎａｍｅ＝’ ＰＡＳＳＷＯＲＤ’ ｉｄ＝’
ＰＡＳＳＷＯＲＤ’ ｍａｘｌｅｎｇｔｈ＝１２８> のようにします。
外部ウェブサイト
- SSL を使用してこのウェブサイトとの通信を暗号化するには、「ＨＴＴＰＳモード」チェックボック
スを選択します。
SonicWALL SRA 5.5 管理者ガイド
317
- このウェブサイトにアクセスする際にセキュリティ警告を見たくない場合は、「セキュリティ警告を
無効にする」チェックボックスをを選択します。ブックマークがアプリケーションオフロードされた
ウェブサイト以外の何かを参照しようとした場合に、通常セキュリティ警告が表示されます。
ファイル共有（ＣＩＦＳ）
- ウィンドウズの機能を模したファイル共有用のＪａｖａアプレットをユーザが使用できるようにする
には、「ファイル共有Ｊａｖａアプレットを使用する」チェックボックスをオンにします。
- オプションで、「自動的にログインする」をオンにし、「ＳＳＬＶＰＮアカウント認証情報を使用す
る」をオンにすると、ログイン資格情報が現在のＳＳＬＶＰＮセッションからＲＤＰサーバに転送
されます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別資格情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」セクション（300 ページ）を参照してください。
ファイル共有を作成するときは、ＤＦＳ（ＤｉｓｔｒｉｂｕｔｅｄＦｉｌｅＳｙｓｔｅｍ）サーバをウィンドウズドメ
インルートシステムに設定しないでください。ドメインルートはドメイン内のウィンドウズコン
ピュータへのアクセスのみを提供するので、ＤＦＳサーバをドメインルートに設定すると、他のド
メインからＤＦＳファイル共有にアクセスできません。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、ドメインメ
ンバではなく、このようなＤＦＳ共有に接続できません。
スタンドアロンルート上のＤＦＳファイル共有には、マイクロソフトの制限は適用されません。
ファイル転送プロトコル（ＦＴＰ）
- 「詳細なサーバ設定を表示」を展開して、代替値を「文字エンコード」ドロップダウンリストで
選択します。既定値は「標準（ＵＴＦ-８）」です。
- オプションで、「自動的にログインする」および「ＳＳＬＶＰＮアカウント認証情報を使用する」を
選択して、認証情報を現在のＳＳＬＶＰＮセッションからＦＴＰサーバへログインのために転送で
きます。このブックマーク用の個別のユーザ名、パスワード、およびドメインを入力する場合
は、「個別認証情報を使用する」を選択します。個別認証情報の詳細については、「個別
ＳＳＯ認証情報を使用してブックマークを作成」（300 ページ）を参照してください。
Ｔｅｌｎｅｔ
- 追加のフィールドなし
セキュアシェルバージョン１（ＳＳＨｖ１）
- 追加のフィールドなし
セキュアシェルバージョン２（ＳＳＨｖ２）
- 必要に応じて、「自動的にホストキーを受け入れる」チェックボックスをオンにします。
- ＳＳＨｖ２サーバを認証なしで使用している場合（ＳｏｎｉｃＷＡＬＬファイアウォールなど）、「ユー
ザ名をバイパスする」チェックボックスを選択できます。
ＬＤＡＰ認証ドメインのグループ設定
備考
318
マイクロソフトアクティブディレクトリデータベースでは、ＬＤＡＰ組織スキーマが使われます。アク
ティブディレクトリデータベースの問い合わせには、Ｋｅｒｂｅｒｏｓ認証（標準の認証方式－
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでは “アクティブディレクトリ” ドメイン認証と呼ぶ）、ＮＴＬＭ認証
（ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮではＮＴドメイン認証と呼ぶ）、またはＬＤＡＰデータベース問い合わせ
が使われます。ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮで設定されたＬＤＡＰドメインは、アクティブディレクトリ
サーバの認証を受けることができます。
SonicWALL SRA 5.5 管理者ガイド
ＬＤＡＰ（ＬｉｇｈｔｗｅｉｇｈｔＤｉｒｅｃｔｏｒｙＡｃｃｅｓｓＰｒｏｔｏｃｏｌ）は、ディレクトリの問い合わせと更新のための
標準です。ＬＤＡＰは多層的な階層（例えば、グループや組織単位）をサポートしているので、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、この情報を問い合わせ、ＬＤＡＰ属性に基づいて特定のグループポリ
シーまたはブックマークを提供することができます。ＬＤＡＰ属性を設定することで、ＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置の管理者は、ＬＤＡＰまたはアクティブディレクトリデータベースに既に設定されているグ
ループを利用できるので、ＳｏｎｉｃＷＡＬＬＳＲＡ装置で同じグループを手動で作り直さなくて済みます。
ＬＤＡＰ認証ドメインを作成すると、既定のＬＤＡＰグループがＬＤＡＰドメインと同じ名前で作成されま
す。このドメインでグループを追加または削除することもできますが、既定のＬＤＡＰグループは削除
できません。ＬＤＡＰ属性が作成されたユーザが仮想オフィスホームページを開くと、そのユーザが所
属するグループに対して作成したブックマークがブックマークテーブルに表示されます。
ＬＤＡＰグループについては、ＬＤＡＰ属性を定義できます。例えば、ＬＤＡＰグループのユーザは
ＬＤＡＰサーバで定義されている特定のグループまたは組織単位のメンバーでなければならないというよ
うな指定ができます。あるいは特定のＬＤＡＰ識別名を指定することもできます。
グループのＬＤＡＰ属性を追加して、ユーザが仮想オフィス環境に入ったときに、設定されているブッ
クマークが表示されるようにするには、以下の手順を実行します。
手順 1
「ポータル＞ドメイン」ページを開き、「ドメインの追加」を選択して「ドメインの追加」ウィンドウを表示し
ます。
手順 2
「認証種別」メニューから「ＬＤＡＰ」を選択します。ＬＤＡＰドメイン設定フィールドが表示されます。
手順 3
「ドメイン名」フィールドに認証ドメインの説明的な名前を入力します。これは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ユーザポータルにログインするためにユーザが選択するドメイン名です。「サーバアドレス」フィール
ドと同じ値でも構いません。
手順 4
「サーバアドレス」フィールドにサーバのＩＰアドレスまたはドメイン名を入力します。
手順 5
「ＬＤＡＰＢａｓｅＤＮ」フィールドにＬＤＡＰ問い合わせの検索ベースを入力します。検索ベースの文字列とし
ては、例えばＣＮ＝Ｕｓｅｒｓ，ＤＣ＝ｙｏｕｒｄｏｍａｉｎ，ＤＣ＝ｃｏｍなどがあります。
SonicWALL SRA 5.5 管理者ガイド
319
ヒント単一のドメインに対して複数のＯＵを設定することが可能です。それには、「ＬＤＡＰＢａｓｅＤＮ」
フィールドで各ＯＵを別個の行に入力します。さらに、このフィールドに追加したＯＵにサブＯＵ
がある場合には、自動的に含まれます。
備考
手順 6
「ＬＤＡＰＢａｓｅＤＮ」フィールドに入力する場合は、引用符（“”）を省いてください。
「ログインユーザ名」フィールドと「ログインパスワード」フィールドに、格納先となるコンテナの制御を委
譲されたユーザの共通名と、対応するパスワードを入力します。
備考
手順 7
「ログインユーザ名」と「ログインパスワード」を入力すると、ＳＲＡ装置とＬＤＡＰツリーはこれら
の資格情報でバインドされ、ユーザはｓＡＭＡｃｃｏｕｎｔＮａｍｅを使ってログインできます。
「ポータル名」フィールドにポータルの名前を入力します。他のレイアウトを「ポータル＞ポータル」ペー
ジで追加定義することもできます。
手順 8 ユーザのパスワードを変更可能にする場合は、「パスワード変更を許可する（ＬＤＡＰサーバ側で許可され
ている場合）チェックボックスをオンにします。ユーザのパスワードを変更する際はａｄｍｉｎアカウント
を使用する必要があります。
手順 9 ドメインアカウントにログインしなかったユーザをログアウト後に削除するには、「ログアウト時に外部ユーザ
アカウントを削除する」チェックボックスをオンにします。
手順 10 オプションで、ワンタイムパスワード機能を有効にするには、「ワンタイムパスワード」チェックボックスを
オンにします。表示されるドロップダウンリストから「設定済みの場合」、「すべてのユーザに要求す
る」、または「ドメイン名を使用する」を選択できます。各オプションには次の機能があります。
･設定する場合－ワンタイムパスワード電子メールアドレスが設定されているユーザだけがワンタイ
ムパスワード機能を使用します。
･全てのユーザに必要－すべてのユーザがワンタイムパスワード機能を使わなければなりません。
ワンタイムパスワード電子メールアドレスが設定されていないユーザはログインを許可されません。
･ドメイン名を使用－ドメインに所属するユーザはワンタイムパスワード機能を使用します。ドメイン
内のすべてのユーザのワンタイムパスワード電子メールがｕｓｅｒｎａｍｅ＠ｄｏｍａｉｎ.ｃｏｍに送信さ
れます。
手順 11
「ワンタイムパスワード」を選択すると、「ＬＤＡＰ電子メール属性」ドロップダウンリストが表示されます。
次のいずれかを選択します。
･ｍａｉｌ - ｍａｉｌがＬＤＡＰ電子メール属性の名前である場合は、「ｍａｉｌ」を選択します。
･ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ - ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅがＬＤＡＰ電子メール属性の名前である場合は、
「ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ」を選択します。
･個別 - 他のＬＤＡＰ電子メール属性を入力する場合は、「個別」を選択します。「個別属性」
フィールドが表示されるので、属性の名前を入力します。
320
SonicWALL SRA 5.5 管理者ガイド
手順 12
「ユーザ＞ローカルグループ」ページを開いて、設定アイコンを選択します。「グループ設定の編集」
ページの「一般」タブにＬＤＡＰ属性のフィールドが表示されます。
手順 13
「一般」タブで、必要に応じて１つまたは複数の「ＬＤＡＰ属性」フィールドに適切な名前を入力できま
す。各フィールドでは、名前＝値という形式で一連のＬＤＡＰ属性を追加します。ＬＤＡＰ属性の完全
なリストについては、「ＬＤＡＰ属性の情報」セクション（321 ページ）を参照してください。
一般的な例としては、属性フィールドにｍｅｍｂｅｒＯｆ＝属性を入力します。これには次の一般変数
種別をまとめて指定できます。
ＣＮ＝－一般名。ＤＮ＝－識別名。ＤＣ＝－ドメインコンポーネント。
ｍｅｍｂｅｒＯｆ行に変数をまとめて指定するときは、全体を引用符で囲む必要があります。変数と変
数の間はカンマで区切ります。ＣＮおよびＤＣ変数を使用する場合の構文は次のようになります。
ｍｅｍｂｅｒＯｆ＝ “ＣＮ＝ < 文字列 >，ＤＣ＝ < 文字列 >”
次は、ＣＮおよびＤＣ変数を使用した場合の「ＬＤＡＰ属性」フィールドの入力例です。
ｍｅｍｂｅｒＯｆ＝ “ＣＮ＝ＴｅｒｍｉｎａｌＳｅｒｖｅｒＣｏｍｐｕｔｅｒｓ，ＣＮ＝Ｕｓｅｒｓ，ＤＣ＝ｓｏｎｉｃｗａｌｌ，
ＤＣ＝ｎｅｔ”
手順 14 無動作タイムアウト値（分単位）を「無動作タイムアウト」フィールドに入力します。グローバルタイムア
ウトの設定を使用する場合は０（ゼロ）を入力します。
手順 15
「シングルサインオン設定」の「自動的にブックマークにログイン」で、次のいずれか１つを選択しま
す。
･グローバルポリシーを使用する－ブックマークへのログインに使用するシングルサインオンにグ
ローバルポリシーを適用します。
･ユーザ制御（新規ユーザの場合は既定で有効）－新規ユーザにシングルサインオンでのブック
マークログインを許可し、この設定の変更をユーザに許可します。
･ユーザ制御（新規ユーザの場合は既定で無効）－新規ユーザにシングルサインオンでのブック
マークログインを許可しませんが、この設定の変更は許可します。
･有効－ブックマークへのシングルサインオンでのログインを許可します。
･無効－ブックマークへのシングルサインオンでのログインを許可しません。
手順 16 設定の完了後、「適用」を選択します。
ＬＤＡＰ属性の情報
次に、ＬＤＡＰ属性を設定するときに役立つ情報を示します。
SonicWALL SRA 5.5 管理者ガイド
321
･グループに複数の属性が定義されている場合、ＬＤＡＰユーザはすべての属性を満たさなければな
りません。
･ＬＤＡＰ認証は、認証時に指定されたのと同じ資格情報を使用してＬＤＡＰツリーにバインドされま
す。アクティブディレクトリに対して使用する場合、これは指定されたログイン資格情報が、
ｓａｍＡｃｃｏｕｎｔＮａｍｅ（ログイン名）ではなくＣＮ（一般名）属性と一致しなければならないことを
意味します。例えば、ＮＴ／アクティブディレクトリログイン名がｇｋａｍで、フルネームがｇｕｉｔａｒ
ｋａｍの場合、ＬＤＡＰ認証を使用してＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮにログインするときは、ユーザ名
を次のように指定する必要があります。ログイン名が指定されている場合は、その名前を使ってツ
リーにバインドします。フィールドが空白の場合は、フルネームを使ってログインする必要がありま
す。フィールドにフルログイン名が入力されている場合は、ｓＡＭＡｃｃｏｕｎｔＮａｍｅを使ってログイ
ンします。
･属性が定義されていない場合は、ＬＤＡＰサーバによって承認されたすべてのユーザがグループの
メンバーになることができます。
･複数のグループが定義されていて、ユーザが２つのグループのすべてのＬＤＡＰ属性を満たして
いる場合、そのユーザは一番多くのＬＤＡＰ属性が定義されているグループに所属するものと見な
されます。対応するＬＤＡＰグループの属性の数が等しいときは、グループのアルファベット順に所
属グループが決められます。
･ＬＤＡＰユーザが、ＳｏｎｉｃＷＡＬＬＳＲＡ装置に設定されたどのＬＤＡＰグループのＬＤＡＰ属性も満
たしていない場合、そのユーザはポータルにログインできません。つまり、ＬＤＡＰ属性機能を使
用することで、管理者はＬＤＡＰグループまたは組織ごとに個別のルールを作成するだけでなく、
特定のＬＤＡＰユーザだけをポータルにログインさせることもできるわけです。
ＬＤＡＰユーザおよび属性の例
ＬＤＡＰグループに手動で追加したユーザの設定はＬＤＡＰ属性よりも優先されます。
例えば、ＬＤＡＰ属性ｏｂｊｅｃｔＣｌａｓｓ＝ “Ｐｅｒｓｏｎ” がグループＧｒｏｕｐ１に対して定義され、ＬＤＡＰ
属性ｍｅｍｂｅｒＯｆ＝ “ＣＮ＝ＷＩＮＳＵｓｅｒｓ，ＤＣ＝ｓｏｎｉｃｗａｌｌ，ＤＣ＝ｎｅｔ” がＧｒｏｕｐ２に対して
定義されているとします。
ユーザＪａｎｅがＬＤＡＰサーバでＰｅｒｓｏｎオブジェクトクラスのメンバーとして定義されており、ただし
ＷＩＮＳＵｓｅｒｓグループのメンバーではない場合、ＪａｎｅはＳｏｎｉｃＷＡＬＬＳＲＡ装置のＧｒｏｕｐ１のメ
ンバーになります。
しかし、管理者が手動でユーザＪａｎｅをＳｏｎｉｃＷＡＬＬＳＲＡ装置のＧｒｏｕｐ２に追加すると、ＬＤＡＰ
属性は無視され、ＪａｎｅはＧｒｏｕｐ２のメンバーになります。
ＬＤＡＰ属性の例
グループごとに最高４つのＬＤＡＰ属性を入力できます。次は、アクティブディレクトリのＬＤＡＰユー
ザのＬＤＡＰ属性の例です。
ｎａｍｅ＝ “Ａｄｍｉｎｉｓｔｒａｔｏｒ”
ｍｅｍｂｅｒＯｆ＝ “ＣＮ＝ＴｅｒｍｉｎａｌＳｅｒｖｅｒＣｏｍｐｕｔｅｒｓ，ＣＮ＝Ｕｓｅｒｓ，ＤＣ＝ｓｏｎｉｃｗａｌｌ，
ＤＣ＝ｎｅｔ”
ｏｂｊｅｃｔＣｌａｓｓ＝ “ｕｓｅｒ”
ｍｓＮＰＡｌｌｏｗＤｉａｌｉｎ＝ “ＦＡＬＳＥ”
ＬＤＡＰサーバの問い合わせ
ＬＤＡＰまたはアクティブディレクトリサーバに問い合わせてユーザのＬＤＡＰ属性を調べるには、いく
つか方法があります。コンピュータにｌｄａｐｓｅａｒｃｈツールがある場合（例えば、ＯｐｅｎＬＤＡＰがイン
ストールされたＬｉｎｕｘコンピュータでは）次のコマンドを実行します。
ｌｄａｐｓｅａｒｃｈ -ｈ１０.０.０.５ -ｘ -Ｄ
322
SonicWALL SRA 5.5 管理者ガイド
” ｃｎ＝ｄｅｍｏ，ｃｎ＝ｕｓｅｒｓ，ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔ” -ｗｄｅｍｏ１２３ -ｂ
” ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔ” ＞／ｔｍｐ／ｆｉｌｅ
ここで、
･１０.０.０.５は、ＬＤＡＰまたはアクティブディレクトリサーバのＩＰアドレス
･ｃｎ＝ｄｅｍｏ，ｃｎ＝ｕｓｅｒｓ，ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔは、ＬＤＡＰユーザの識別名
･ｄｅｍｏ１２３は、ユーザｄｅｍｏのパスワード
･ｄｃ＝ｓｏｎｉｃｗａｌｌ，ｄｃ＝ｎｅｔは、問い合わせ先の基本ドメイン
･＞／ｔｍｐ／ｆｉｌｅは、オプションで、ＬＤＡＰの問い合わせの結果を保存するファイル
ウィンドウズサーバからＬＤＡＰサーバに問い合わせを行う方法については、以下を参照してください。
･〈www.microsoft.com/Resources/Documentation/ windowsserv/2003/all/techref/en-us/
w2k3tr_adsrh_what.asp〉
･〈http://www.microsoft.com/Resources/Documentation/windowsserv/2003/all/techref/en-us/
w2k3tr_adsrh_how.asp?frame=true〉
アクティブディレクトリ、ＮＴ、およびＲＡＤＩＵＳドメインのグループ設
定
ＲＡＤＩＵＳ、マイクロソフトＮＴドメイン、またはアクティブディレクトリサーバの認証を（Ｋｅｒｂｅｒｏｓを
使用して）受ける場合、ＡＡＡユーザおよびグループを個別に定義できます。これは必須でありません
が、個別のＡＡＡユーザに対してポリシーやブックマークを別々に作成できます。
ユーザがログインするときに、ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、適切なアクティブディレクトリ、
ＲＡＤＩＵＳ、またはＮＴサーバを調べて、ユーザのログインが承認されているかどうかを確認します。
ユーザが承認されている場合、ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、ユーザがユーザおよびグループに関す
るＳｏｎｉｃＷＡＬＬＳＲＡ装置データベースで定義されているかどうかを確認します。ユーザが定義され
ていれば、そのユーザに定義されているポリシーとブックマークを適用します。
例えば、 “ＭｉａｍｉＲＡＤＩＵＳｓｅｒｖｅｒ” という名前のＲＡＤＩＵＳドメインをＳｏｎｉｃＷＡＬＬＳＲＡ装置に作
成した場合、 “ＭｉａｍｉＲＡＤＩＵＳｓｅｒｖｅｒ” ドメインのメンバーであるユーザをグループに追加することが
できます。これらのユーザ名は、ＲＡＤＩＵＳサーバで設定されている名前と一致していなければなりま
せん。その後、ユーザがポータルにログインすると、ポリシー、ブックマーク、その他のユーザ設定
がユーザに適用されます。ＡＡＡユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置で定義されていなければ、グロー
バルな設定、ポリシー、およびブックマークだけがユーザに適用されます。
このセクションは次のサブセクションから構成されています。
･「外部（非ローカル）ユーザに対するブックマークのサポート」セクション（323 ページ）
･「ＲＡＤＩＵＳグループの追加」セクション（324 ページ）
･「アクティブディレクトリグループの追加」セクション（324 ページ）
外部（非ローカル）ユーザに対するブックマークのサポート
仮想オフィスのブックマークシステムでは、グループとユーザの両方のレベルでブックマークを作成す
ることができます。管理者は該当ユーザに適用されるグループとユーザの両方のブックマークを作成で
きますが、個々のユーザは個人のブックマークしか作成できません。
ブックマークはＳｏｎｉｃＷＡＬＬＳＲＡ装置のローカル設定ファイルに保存されるので、グループおよび
ユーザのブックマークを定義済みのグループおよびユーザエンティティと対応づける必要があります。
ローカル（ＬｏｃａｌＤｏｍａｉｎ）グループおよびユーザを操作するときは、管理者が装置上のグループお
SonicWALL SRA 5.5 管理者ガイド
323
よびユーザを手動で定義しなければならないので、対応づけが自動的に行われます。同様に、外部
（非ＬｏｃａｌＤｏｍａｉｎ、例えば、ＲＡＤＩＵＳ、ＮＴ、ＬＤＡＰ）グループを操作するときは、外部ドメインの
作成によって対応するローカルグループが作成されるので、この対応づけが自動的に行われます。
一方、外部（非ＬｏｃａｌＤｏｍａｉｎ）ユーザを操作するときは、ユーザ作成（個人）のブックマークを
ＳｏｎｉｃＷＡＬＬＳＲＡの設定ファイル内に保存できるように、ローカルユーザエンティティが存在してい
なければなりません。ブックマークをＳｏｎｉｃＷＡＬＬＳＲＡ自体に保存する必要があるのは、ＬＤＡＰ、
ＲＡＤＩＵＳ、およびＮＴ認証の外部ドメインが、この情報をブックマークとして保存する仕組みを備えて
いないからです。
個人のブックマークを使用する外部ドメインユーザのために、管理者がローカルユーザを手動で作成
せずに済むように、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮはユーザのログイン時に、対応するローカルユーザエ
ンティティを自動的に作成します。ローカルに作成されたユーザにブックマークを追加することができま
す。
例えば、ｍｙＲＡＤＩＵＳという名前のＲＡＤＩＵＳドメインが作成されていて、ＲＡＤＩＵＳユーザのｊｄｏｅが
ＳｏｎｉｃＷＡＬＬＳＲＡにログインした場合、ｊｄｏｅが個人のブックマークを追加した時点で、ｊｄｏｅという
ローカルユーザがＳｏｎｉｃＷＡＬＬＳＲＡ装置にＥｘｔｅｒｎａｌ種別で作成され、管理者はそれを他のロー
カルユーザと同じように管理できるようになります。外部ローカルユーザは、管理者が削除するまで
存続します。
admin_radiusGroup
ＲＡＤＩＵＳグループの追加
備考
ＲＡＤＩＵＳグループを設定する前に、グループが関連付けられているＲＡＤＩＵＳドメインで
ＲＡＤＩＵＳＦｉｌｔｅｒ-Ｉｄオプションが有効になっていることを確認してください。このオプションは、
「ポータル＞ドメイン」ページで設定します。
「ＲＡＤＩＵＳグループ」タブでは、既存のＲＡＤＩＵＳグループのメンバーシップに基づいてＳＲＡ装置へ
のユーザアクセスを有効にできます。１つまたは複数のＲＡＤＩＵＳグループをＳＳＬＶＰＮグループに
追加することにより、指定のＲＡＤＩＵＳグループに関連付けられているユーザのみがログインできま
す。ＲＡＤＩＵＳグループを追加するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」ページで、対象のＲＡＤＩＵＳグループの設定ボタンを選択します。
手順 2
「ＲＡＤＩＵＳグループ」タブで、「グループの追加」ボタンを選択します。
ページが表示されます。
手順 3
「ＲＡＤＩＵＳグループ」名を該当のフィールドに入力します。グループ名はＲＡＤＩＵＳＦｉｌｔｅｒ-Ｉｄと正確に一
致する必要があります。
手順 4
「適用」ボタンを選択します。設定したグループが「ＲＡＤＩＵＳグループ」セクションに表示されます。
「ＲＡＤＩＵＳグループの追加」
admin_adGroup
アクティブディレクトリグループの追加
「ＡＤグループ」タブでは、既存のＡＤグループのメンバーシップに基づいてＳＲＡ装置へのユーザア
クセスを有効にできます。１つまたは複数のＡＤグループをＳＳＬＶＰＮグループに追加することによ
り、指定のＡＤグループに関連付けられているユーザのみがログインできます。ＡＤグループを追加
するには、以下の手順を実行します。
備考
アクティブディレクトリグループを設定する前に、アクティブディレクトリドメインを既に作成済みで
あることを確認します。このオプションは、「ポータル＞ドメイン」ページで設定します。
ＡＤグループを追加するには、以下の手順を実行します。
324
SonicWALL SRA 5.5 管理者ガイド
手順 1
「ユーザ＞ローカルグループ」ページで、対象のＡＤグループの設定ボタンを選択します。
手順 2
「ＡＤグループ」タブで、「グループの追加」ボタンを選択します。
加」ページが表示されます。
手順 3
「アクティブディレクトリグループ」名を該当のフィールドに入力します。
「アクティブディレクトリグループの追
手順 4 オプションで、ＳＳＬＶＰＮグループをＡＤグループと関連付けたい場合は、「ＡＤグループに関連付ける」
チェックボックスを選択します。この手順は後でも、「ＡＤグループ」タブの「グループの編集」から実
行できます。
手順 5
「適用」ボタンを選択します。設定したグループが「アクティブディレクトリグループ」セクションに表示さ
れます。グループの追加処理には数分かかる場合があります。処理の進行中に「追加」ボタンを複
数回押さないでください。
ローカルグループのＣｉｔｒｉｘブックマークの作成
ユーザのＣｉｔｒｉｘブックマークを設定するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルグループ」を開きます。
手順 2 設定するグループの横にある設定アイコンを選択します。
手順 3
「グループ設定の編集」ウィンドウで、「ブックマーク」タブを選択します。
手順 4
「ブックマークの追加」を選択します。
手順 5 ブックマークの名前を「ブックマーク名」フィールドに入力します。
手順 6 ブックマークの名前またはＩＰアドレスを「名前またはＩＰアドレス」フィールドに入力します。
手順 7
「サービス」ドロップダウンリストで、「Ｃｉｔｒｉｘポータル（Ｃｉｔｒｉｘ）」を選択します。
チェックボックスが表示されます。
「ＨＴＴＰＳモード」の
手順 8 必要に応じて、「ＨＴＴＰＳモード」チェックボックスをオンにしてＨＴＴＰＳモードを有効にします。
手順 9 インターネットエクスプローラを使用している場合に、ＣｉｔｒｉｘポータルへのアクセスにＪａｖａを使用するに
は、「インターネットエクスプローラで常にＪａｖａを使用」を選択します。このオプションを選択しない
場合、インターネットエクスプローラでＡｃｔｉｖｅＸＣｉｔｒｉｘクライアントまたはプラグインを使用する必要が
あります。
手順 10 オプションで「指定した Citrix ICA サーバを常に使用する」を選択して、現れた「Citrix ICA サーバアド
レス」フィールドに IP アドレスを指定します。この設定により、 Citrix ICA セッションに対する Citrix ICA
サーバのアドレスを指定することが可能です。既定では、ブックマークは Citrix サーバ上の ICA 設定
内で提供される情報を使用します。
手順 11
「適用」を選択します。
admin_editGlobal
SonicWALL SRA 5.5 管理者ガイド
325
グローバル設定
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のグローバル設定は、「ローカルユーザ」または「ローカルグループ」環
境から定義します。これらを表示するには、左側のナビゲーションメニューで「ユーザ」オプションを
選択し、「ローカルユーザ」オプションまたは「ローカルグループ」オプションを選択します。このセ
クションでは、次の構成方法について説明します。
･「グローバル設定の編集」セクション（326 ページ）
･「グローバルポリシーの編集」セクション（328 ページ）
･「グローバルブックマークの編集」セクション（330 ページ）
グローバル設定の編集
グローバル設定を編集するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」または「ユーザ＞ローカルグループ」ウィンドウに移動します。
手順 2
「グローバルポリシー」の横の設定アイコンを選択します。
れます。
手順 3
「一般」タブで、すべてのユーザまたはグループの無動作タイムアウトを設定し、指定した時間が経過した
らユーザを仮想オフィスからログアウトさせるには、許容する無動作時間（分）を「無動作タイムアウ
ト」フィールドに入力します。
備考
「グローバル設定の編集」ウィンドウが表示さ
無動作タイムアウトは、ユーザ、グループ、グローバルの各レベルで設定できます。特定のユー
ザに複数のタイムアウトが設定されている場合は、ユーザタイムアウトの設定がグループタイムア
ウトよりも優先され、グループタイムアウトがグローバルタイムアウトよりも優先されます。グロー
バルタイムアウトを０に設定すると、グループまたはユーザタイムアウトが設定されていないユー
ザの無動作タイムアウトは無効になります。
手順 4 ユーザが新しいブックマークを追加できるようにするには、「ユーザにブックマークの追加を許可する」ドロッ
プダウンメニューで「許可」を選択します。ユーザが新しいブックマークを追加できないようにするに
は、「拒否」を選択します。
手順 5 ユーザが自分自身のブックマークを編集または削除できるようにするには、「ユーザにブックマークの編集 /
削除を許可する」ドロップダウンメニューで「許可」を選択します。ユーザが自分自身のブックマーク
を編集または削除できないようにするには、「拒否」を選択します。
備考
手順 6
326
ユーザはグループおよびグローバルブックマークを編集または削除することはできません。
「自動的にブックマークにログイン」ドロップダウンリストから、次のいずれかのオプションを選択します。
SonicWALL SRA 5.5 管理者ガイド
- ユーザ制御（新しいユーザに既定で有効）：ブックマークのシングルサインオン（ＳＳＯ）自動
ログインをユーザが有効または無効にできるようにします。新規ユーザの場合は、この設定に
よって自動ログインが既定で有効になります。
- ユーザ制御（新しいユーザに既定で無効）：ブックマークのシングルサインオン（ＳＳＯ）自動
ログインをユーザが有効または無効にできるようにします。新規ユーザの場合は、この設定に
よって自動ログインが既定で無効になります。
- 有効：ブックマークの自動ログインを有効にします。
- 無効：ブックマークの自動ログインを無効にします。
手順 7
「適用」を選択して設定の変更を保存します。
手順 8
「ＮＸ設定」タブを開きます。
手順 9 クライアントアドレス範囲を設定するには、開始アドレスを「クライアントアドレス範囲の開始」フィールドに
入力し、終了アドレスを「クライアントアドレス範囲の終了」フィールドに入力します。
手順 10 クライアントＩＰｖ６アドレス範囲を設定する場合は、先頭のＩＰｖ６アドレスを「クライアントＩＰｖ６アドレス範
囲開始」フィールドに入力して、最後のＩＰｖ６アドレスを「クライアントＩＰｖ６アドレス範囲終了」フィー
ルドに入力します。
手順 11
「切断後にクライアントを終了」ドロップダウンリストで、「有効」または「無効」を選択します。
手順 12
「クライアント終了後にアンインストール」ドロップダウンリストで、「有効」または「無効」を選択します。
手順 13
「クライアント接続プロファイルを作成」ドロップダウンリストで、「有効」または「無効」を選択します。
手順 14
「ユーザ名とパスワードの保存」ドロップダウンリストで、次のいずれかを選択します。
- ユーザ名だけ保存を許可－クライアントでユーザ名をキャッシュします。ＮｅｔＥｘｔｅｎｄｅｒを起動
するときにユーザはパスワードのみを入力します。
- ユーザ名とパスワードの保存を許可－クライアントでユーザ名とパスワードをキャッシュします。
最初のログイン後に再びＮｅｔＥｘｔｅｎｄｅｒを起動すると、ユーザは自動的にログインします。
- ユーザ名とパスワードの保存は不可－クライアントでユーザ名とパスワードをキャッシュしませ
ん。ＮｅｔＥｘｔｅｎｄｅｒを起動するときにユーザはユーザ名とパスワードを入力する必要がありま
す。
手順 15
「ＮＸルート」タブを開きます。
手順 16
「強制トンネル方式」ドロップダウンリストで「有効」を選択します。こうすると、このユーザへのすべて
のトラフィック（リモートユーザのローカルネットワーク宛てのトラフィックも含む）でＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒトンネルが使用されます。「強制トンネル方式」は既定では無効です。
手順 17 クライアントルートを追加するには、「クライアントルートの追加」を選択します。
手順 18
「クライアントルートの追加」ウィンドウで、送信先ネットワークを「送信先ネットワーク」フィールドに入力
します。たとえば、ＩＰｖ４ネットワークアドレスを１０.２０２.０.０、ＩＰｖ６ネットワークアドレスを
２００７::１:２:３:０形式で入力します。
手順 19 ＩＰｖ４の送信先ネットワークに対しては、「サブネットマスク／接頭辞」フィールドに、サブネットマスクを
１０進形式（２５５.０.０.０、２５５.２５５.０.０、または２５５.２５５.２５５.０）で入力します。ＩＰｖ６の送信先
ネットワークに対しては、１１２のように接頭辞を入力します。
手順 20
「追加」を選択します。
手順 21
「適用」を選択して設定の変更を保存します。
手順 22
「ポリシー」タブを開きます。
手順 23 ポリシーを追加するには、「ポリシーの追加」を選択します。
手順 24
「ポリシーの適用先」ドロップダウンリストで、「ＩＰアドレス」、「ＩＰアドレス範囲」、「すべてのアドレス」、
「ネットワークオブジェクト」、「サーバパス」、「ＵＲＬオブジェクト」、「すべてのＩＰｖ６アドレス」、
「ＩＰｖ６アドレス」、「ＩＰｖ６アドレス範囲」のいずれかを選択します。
手順 25 ポリシーの名前を「ポリシー名」フィールドに入力します。
手順 26
「ポリシーの適用先」で選択した設定に応じて表示されるフィールドで、適切な情報を指定します。例え
ば、「ポリシーの適用先」ドロップダウンリストで「ＩＰアドレス」を選択した場合は、「ＩＰアドレス」
SonicWALL SRA 5.5 管理者ガイド
327
フィールドにＩＰアドレスを入力し、「サービス」ドロップダウンリストでサービスを選択する必要があり
ます。「ＩＰｖ６アドレス範囲」を選択した場合は、先頭のＩＰｖ６アドレスを「ＩＰｖ６ネットワークアドレ
ス」フィールドに入力して、このＩＰｖ６アドレス範囲を定義する接頭辞を「ＩＰｖ６接頭辞」フィールドに
入力します。オプションとして、ポート範囲 (８０－４４３）または１つのポート番号を「ポート範囲／
ポート番号」フィールドに入力できます。このフィールドは、「ポリシーの適用先」ドロップダウンリスト
で「ＩＰアドレス」、「ＩＰアドレス範囲」、「ＩＰｖ６アドレス」、または「ＩＰｖ６アドレス範囲」を選択すると
使用できます。
手順 27
「適用」を選択して設定の変更を保存します。
手順 28
「ブックマーク」タブを開きます。
手順 29 ブックマークを追加するには、「ブックマークの追加」を選択します。
手順 30 ブックマークの名前を「ブックマーク名」フィールドに入力します。
手順 31 ブックマークの名前またはＩＰアドレスを「名前またはＩＰアドレス」フィールドに入力します。
手順 32 次のいずれかのサービスを「サービス」ドロップダウンリストで選択します。ターミナルサービス（ＲＤＰ
－ＡｃｔｉｖｅＸ）、ターミナルサービス（ＲＤＰ－Ｊａｖａ）、ＶｉｒｔｕａｌＮｅｔｗｏｒｋＣｏｍｐｕｔｉｎｇ（ＶＮＣ）、
ＣｉｔｒｉｘＰｏｒｔａｌ（Ｃｉｔｒｉｘ）、ウェブ（ＨＴＴＰ）、セキュアウェブ（ＨＴＴＰＳ）、ファイル共有（ＣＩＦＳ）、
ファイル転送プロトコル（ＦＴＰ）、Ｔｅｌｎｅｔ、セキュアシェルバージョン１（ＳＳＨｖ１）、セキュアシェ
ルバージョン２（ＳＳＨｖ２）。
備考
ＩＰｖ６はファイル共有ブックマークではサポートされません。
手順 33
「サービス」で選択した設定に応じて表示されるフィールドで、適切な情報を指定します。例えば、「ター
ミナルサービス（ＲＤＰ－ＡｃｔｉｖｅＸ）」を選択した場合は、「画面サイズ」ドロップダウンリストで目
的の画面サイズを選択する必要があります。
手順 34
「適用」を選択して設定の変更を保存します。
グローバルポリシーの編集
グローバルアクセスポリシーを定義するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」または「ユーザ＞ローカルグループ」ウィンドウに移動します。
手順 2
「グローバルポリシー」の横の設定アイコンを選択します。
れます。
手順 3
「ポリシー」タブで「ポリシーの追加」を選択します。「ポリシーの追加」ウィンドウが表示されます。
備考
手順 4
ユーザとグループのアクセスポリシーはグローバルポリシーよりも優先されます。
「ポリシーの適用先」ドロップダウンリストで、「ＩＰアドレス」、「ＩＰアドレス範囲」、「すべてのアドレス」、
「ネットワークオブジェクト」、「サーバパス」、「ＵＲＬオブジェクト」、「すべてのＩＰｖ６アドレス」、
「ＩＰｖ６アドレス」、または「ＩＰｖ６アドレス範囲」を選択します。
手順 5 ポリシーの名前を「ポリシー名」フィールドに入力します。
328
「グローバル設定の編集」ウィンドウが表示さ
SonicWALL SRA 5.5 管理者ガイド
備考
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のポリシーは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続の送信元アドレスではなく送
信先アドレスに適用されます。インターネット上の特定のＩＰアドレスがポリシーエンジンを通じて
ＳｏｎｉｃＷＡＬＬＳＲＡ装置の認証を受けることを許可または阻止することはできません。
- ポリシーを特定のＩＰｖ４ホストに適用する場合は、「ポリシーの適用先」ドロップダウンリストで
「ＩＰアドレス」オプションを選択し、ローカルホストコンピュータのＩＰｖ４アドレスを「ＩＰアドレ
ス」フィールドに入力します。
- ポリシーをＩＰｖ４アドレス範囲に適用する場合は、「ポリシーの適用先」ドロップダウンリストで
「ＩＰアドレス範囲」オプションを選択し、ＩＰｖ４ネットワークアドレスを「ＩＰネットワークアドレ
ス」フィールドに入力し、サブネットマスクを「サブネットマスク」フィールドに入力します。
- ポリシーを特定のＩＰｖ６ホストに適用する場合は、「ポリシーの適用先」ドロップダウンリストで
「ＩＰｖ６アドレス」オプションを選択し、ローカルホストコンピュータのＩＰｖ６アドレスを「ＩＰｖ６ア
ドレス」フィールドに入力します。
- ポリシーをＩＰｖ６アドレス範囲に適用する場合は、「ポリシーの適用先」ドロップダウンリストで
「ＩＰｖ６アドレス範囲」オプションを選択し、ＩＰｖ６ネットワークアドレスを「ＩＰｖ６ネットワークア
ドレス」フィールドに入力し、ＩＰｖ６プレフィックスを「ＩＰｖ６プレフィックス」フィールドに入力しま
す。
手順 6 オプションで、ポート範囲（８０-４４３など）や単独のポート番号を「ポート範囲／ポート番号」フィールド
に入力します。このフィールドを使用できるのは、「ポリシーの適用先」ドロップダウンリストで「ＩＰア
ドレス」、「ＩＰアドレス範囲」、「ＩＰｖ６アドレス」、または「ＩＰｖ６アドレス範囲」を選択した場合です。
手順 7
「状況」ドロップダウンリストから「許可」または「拒否」を選択し、指定したサービスおよびホストコン
ピュータのＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ接続を許可または拒否します。
手順 8
「適用」を選択して設定を更新します。設定を更新すると、新しいポリシーが「グローバル設定の編集」
ウィンドウに表示されます。グローバルポリシーは、「グローバル設定の編集」ウィンドウのポリシー
リストに、優先度の高いものから順番に表示されます。
ファイル共有のポリシーの編集
ファイル共有アクセスポリシーを編集するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」または「ユーザ＞ローカルグループ」ウィンドウに移動します。
手順 2
「グローバルポリシー」の横の設定アイコンを選択します。
れます。
手順 3
「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。
手順 5
「ポリシーの適用先」ドロップダウンリストで「サーバパス」を選択します。
「グローバル設定の編集」ウィンドウが表示さ
手順 6 ポリシーの名前を「ポリシー名」フィールドに入力します。
手順 7
「リソース」フィールドで、リソース種別を以下のラジオボタンから１つ選択します。
･共有（サーバパス）
･ネットワーク（ドメインリスト）
･サーバ（コンピュータリスト）
手順 8
備考
手順 9
「サーバパス」フィールドに、サーバパスをｓｅｒｖｅｒｎａｍｅ／ｓｈａｒｅ／ｐａｔｈまたはｓｅｒｖｅｒｎａｍｅ￥
ｓｈａｒｅ￥ｐａｔｈの形式で入力します。使用できる接頭辞は￥￥、／／、￥、および／です。
共有とパスによって、ポリシーをより細かく管理できるようになります。どちらの設定もオプションで
す。
「状況」ドロップダウンリストで「許可」または「拒否」を選択します。
SonicWALL SRA 5.5 管理者ガイド
329
手順 10
「適用」を選択します。
グローバルブックマークの編集
グローバルブックマークを編集するには、以下の手順を実行します。
手順 1
「ユーザ＞ローカルユーザ」または「ユーザ＞ローカルグループ」ページに移動します。
手順 2
「グローバルポリシー」の横の設定アイコンを選択します。
示されます。
手順 3
「ブックマークの追加」を選択します。
備考
「グローバルポリシーの編集」ウィンドウが表
「ブックマークの追加」ウィンドウが表示されます。
グローバルブックマークを定義すると、すべてのメンバーがＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮユーザポー
タルで定義済みのブックマークを見ることができます。個々のユーザがグローバルブックマークを削
除または変更することはできません。
手順 4 ブックマークを編集するには、わかりやすい名前を「ブックマーク名」フィールドに入力します。
手順 5 ＬＡＮ上のホストコンピュータのドメイン名またはＩＰアドレスを「名前またはＩＰアドレス」フィールドに入力し
ます。
手順 6 サービスの種類を「サービス」ドロップダウンリストで選択します。
備考
手順 7
330
「サービス」ドロップダウンリストで選択するサービスによっては、追加のフィールドが表示されるこ
とがあります。選択したサービスに適した情報を入力します。例えば、「ＲＤＰ－ＡｃｔｉｖｅＸ」また
は「ＲＤＰ－Ｊａｖａ」を選択すると、「画面サイズ」ドロップダウンリストと追加のフィールドが表示
されます。
「適用」を選択して設定を更新します。設定を更新すると、新しいグローバルブックマークが「グローバ
ル設定の編集」ウィンドウのブックマークリストに表示されます。
SonicWALL SRA 5.5 管理者ガイド
第 11 章
第 11 章
ログの設定
この章では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブベース管理インターフェースの「ログ」ページに関連す
る情報および設定タスクについて説明します。
この章は、次のセクションから構成されています。
･「ログ＞表示」セクション（332 ページ）
･「ログ＞設定」セクション（336 ページ）
･「ログ＞種別」セクション（338 ページ）
･「ログ＞ＶｉｅｗＰｏｉｎｔ」セクション（340 ページ）
admin_logView
SonicWALL SRA 5.5 管理者ガイド
331
ログ＞表示
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、ウェブベースのログ、Ｓｙｓｌｏｇログ、および電子メール警告メッセージ
をサポートしています。また、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮは、イベントログファイルを消去する前に
ＳＳＬＶＰＮ管理者の電子メールアドレスに送信するように設定することもできます。
このセクションでは、「ログ＞表示」ページの概要、およびこのページで行う設定タスクについて説明
します。
･「「ログ＞表示」の概要」セクション（332 ページ）
･「ログの表示」セクション（334 ページ）
･「ログの電子メール送信」セクション（334 ページ）
「ログ＞表示」の概要
「ログ＞表示」ページには、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのイベントログを表示することができます。イ
ベントログは、利便性とアーカイブのために電子メールアドレスに自動的に送信することもできます。
図 1 ログ＞表示
「ログ＞表示」ページには、ログメッセージが、並べ替え可能で検索可能なテーブルに表示されま
す。ＳｏｎｉｃＷＡＬＬＳＲＡ装置には、２５０ＫＢのログデータまたは約１,０００件のログメッセージを保
存できます。各ログエントリには、イベントの日時、およびイベントを説明する簡単なメッセージが含
まれます。ログファイルがログサイズ制限に達すると、ログエントリは消去され、必要に応じて
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理者の電子メールアドレスに送信されます。
ログテーブルサイズは、「システム＞管理」ページの「既定のテーブルサイズ」で設定できます。
列の表示
ログエントリに表示される情報は以下のとおりです。
332
SonicWALL SRA 5.5 管理者ガイド
表 1 ログページの列
列
説明
時間
ログイベントの日時がＹＹ／ＭＭ／ＤＤ／ＨＨ／ＭＭ／ＳＳ（年／月
／日／時／分／秒）の形式で表示される。時間は２４時間形式で表示さ
れる。日時は、「システム＞時間」ページで設定されたＳＳＬＶＰＮゲー
トウェイのローカル時間に基づきます。
優先順位
イベントに関連付けられた重大度が表示される。重大度の値は、緊急、
警告、重大、エラー、注意、通告、情報、およびデバッグのいずれか
種別
イベントメッセージの種別です。種別には、認証、認証とアクセス、
ＧＭＳ、ＮｅｔＥｘｔｅｎｄｅｒ、システム、仮想アシスト、およびウェブアプリ
ケーションファイアウォールが含まれます。
送信元
送信元のＩＰアドレスは、そのログイベントを生成したユーザまたは管理
者の装置のＩＰアドレスを示す。システムエラーなど、送信元のＩＰアドレ
スが表示されないイベントもある
送信先
送信先のＩＰアドレスは、そのイベントに関連付けられたサーバまたは
サービスの名前またはＩＰアドレスを示す。例えば、ユーザがＳＳＬＶＰＮ
ポータルを介してイントラネットのウェブサイトにアクセスした場合、対応す
るログエントリには、アクセスしたウェブサイトのＩＰアドレスまたは完全修
飾ドメイン名（ＦＱＤＮ）が表示される
ユーザ
メッセージが生成されたときにセキュリティ装置にログインしていたユーザの
名前
メッセージ
ログメッセージのテキスト
ログテーブルのエントリのナビゲートおよび並べ替え
「ログ＞表示」ページでは、多数のログイベントを簡単に閲覧できるようにページ付けがされていま
す。これらのログイベントにナビゲートするには、以下の表で説明する機能を使用します。
表 2 ログテーブルのナビゲーション機能
ナビゲーションボタン
説明
検索
基準リストで選択した基準タイプに基づき、指定した設定を含むログ
を検索できます。検索基準には、時間、優先順位、送信元、送
信先、およびユーザがあります。検索結果にリストされる結果の順
序は、選択した基準のタイプによって異なります。
除外
基準リストで指定したタイプ以外のすべてのログエントリを表示できま
す。
リセット
検索ボタンを使用してログエントリの表示順序を変更した後、ログエ
ントリのリストを既定の順序にリセットします。
「ログ＞表示」のボタン
「ログ＞表示」ページには、ログを送信したり保存したりして、外部で表示または処理できるようにす
るオプションもあります。
表 3 ログ送付オプション
ボタン
動作
エクスポート
現在のログの内容をテキストベースのファイルにエクスポートします。ログ
のエクスポートコマンドを実行した後で、ローカルログの内容は消去され
ます。
SonicWALL SRA 5.5 管理者ガイド
333
ボタン
動作
ログの消去
現在のログの内容を消去します。
電子メールログ
現在のログの内容を「ログ＞設定」画面で指定されたアドレスに電子
メールで送信します。電子メールログコマンドを実行した後で、ローカル
ログの内容は消去されます。
ログの表示
「ログ＞表示」ページには、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのイベントログを表示することができます。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、失敗したログイン試行、ＮｅｔＥｘｔｅｎｄｅｒセッション、ログアウトイベントな
どのシステムイベントを追跡するためのイベントログを保持します。このログは、「ログ＞表示」ペー
ジに表示するほか、特定の電子メールアドレスに自動的に送信して、何かに役立てたりアーカイブし
たりできます。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置には、２５０ＫＢのログデータまたは約１,０００個のログメッセージが保管さ
れます。ログは並び替えや検索が可能な表に表示されます。ＳｏｎｉｃＷＡＬＬ装置は、ログインが成功
した場合や設定がエクスポートされた場合などにイベントを通知することができます。警告は、電子
メールアドレスまたは電子メールページャのいずれかに即時に送信されます。ログエントリには、イ
ベントの日時、およびイベントを説明する簡単なメッセージが含まれます。ログファイルがログサイズ
制限に達すると、ログエントリは消去され、必要に応じてＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理者の電子
メールアドレスに送信されます。
ログエントリに表示される情報は以下のとおりです。
表 4 ログページの列
列
説明
時間
ログイベントの日時がＹＹ／ＭＭ／ＤＤ／ＨＨ／ＭＭ／ＳＳ（年／月
／日／時／分／秒）の形式で表示される。時間は２４時間形式で表示さ
れる。日時は、「システム＞時間」ページで設定されたＳｏｎｉｃＷＡＬＬ
ＳＳＬＶＰＮゲートウェイのローカル時間に基づく
優先順位
イベントに関連付けられた重大度が表示される。重大度の値は、緊急、
警告、重大、エラー、注意、通告、情報、およびデバッグのいずれか
種別
イベントメッセージの種別です。
送信元
そのログイベントを生成したユーザまたは管理者の装置のＩＰアドレスを表
示する。システムエラーなど、送信元のＩＰアドレスが表示されないイベ
ントもある
送信先
そのイベントに関連付けられたサーバまたはサービスの名前またはＩＰアド
レスを表示する。例えば、ユーザがＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮポータルを
介してイントラネットのウェブサイトにアクセスした場合、対応するログエン
トリには、アクセスしたウェブサイトのＩＰアドレスまたは完全修飾ドメイン
名（ＦＱＤＮ）が表示される
ユーザ
メッセージが生成されたときにセキュリティ装置にログインしていたユーザの
名前
メッセージ
ログメッセージのテキスト
ログの電子メール送信
「電子メールログ」ボタンを使うと、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮイベントログを即時に送信および受信す
ることができます。この機能は、電子メールをアーカイブする場合や、複数のＳＲＡ装置に対して電
子メールの設定やフィルタをテストする場合に便利です。「電子メールログ」機能を使用するには、
次の操作を行います。
手順 1
334
「ログ＞表示」にナビゲートします。
SonicWALL SRA 5.5 管理者ガイド
手順 2
「電子メールログ」ボタンを選択します。
手順 3
「ログが送信されました」というメッセージが表示されます。
備考
エラーメッセージが表示された場合は、管理者の電子メールや電子メールサーバの情報が「ログ
＞設定」ページの「イベントログと警告」セクションに指定されているかを確認してください。管理
者の電子メールの設定方法については、「ログの設定の構成」（337 ページ）を参照してください。
admin_logSettings
SonicWALL SRA 5.5 管理者ガイド
335
ログ＞設定
このセクションでは、「ログ＞設定」ページの概要、およびこのページで行う設定タスクについて説明
します。
･「「ログ＞設定」の概要」セクション（336 ページ）
･「ログの設定の構成」セクション（337 ページ）
･「メールサーバの設定」セクション（338 ページ）
「ログ＞設定」の概要
「ログ＞設定」ページでは、ログ警告およびｓｙｓｌｏｇサーバの設定を構成できます。Ｓｙｓｌｏｇは、シ
ステムアクティビティとネットワークアクティビティを記録する業界標準のログプロトコルです。Ｓｙｓｌｏｇ
メッセージは、ＷＥＬＦ（ＷｅｂＴｒｅｎｄｓＥｎｈａｎｃｅｄＬｏｇＦｏｒｍａｔ）で送信されるので、通常の標準的
なファイアウォールやネットワークレポート製品はログファイルを受け取って解釈することができます。
Ｓｙｓｌｏｇサービスは、ＵＤＰポート５１４で待機している外部のＳｙｓｌｏｇサーバにＳｙｓｌｏｇメッセージを
送信します。
図 2 ログ＞設定ページ
ログと警告のレベル
「ログと警告のレベル」セクションでは、Ｓｙｓｌｏｇ、イベントログ、および警告の種別を選択できます。
種別には、緊急、警告、重大、エラー、注意、通知、情報、およびデバッグがあります。
Ｓｙｓｌｏｇ設定
「Ｓｙｓｌｏｇの設定」セクションでは、プライマリＳｙｓｌｏｇサーバおよびセカンダリＳｙｓｌｏｇサーバを指定
できます。
336
SonicWALL SRA 5.5 管理者ガイド
イベントログと警告
「イベントログと警告」セクションでは、ログの送信先の電子メールアドレス、メールサーバ、メール
の送信元アドレス、および警告の電子メールを送信する頻度を指定して、電子メール警告を設定でき
ます。イベントログを電子メールで送信する日時をスケジュールすることも、電子メールを１週間ごと
に送信するようにスケジュールすることも、ログが一杯になったときに電子メールを送信することもでき
ます。ＳＭＴＰ認証を有効にし、ＳＭＴＰポートとともにユーザ名とパスワードを設定することができま
す。
ログの設定の構成
ログと警告の設定を構成するには、以下の手順に従います。
手順 1 イベントログ、Ｓｙｓｌｏｇ、警告の設定を始めるには、「ログ＞設定」ページにナビゲートします。
手順 2
「ログと警告のレベル」セクションで、ログ（イベントログ）、警告、またはＳｙｓｌｏｇメッセージとして識別
されるログメッセージの重要度レベルを定義します。ログレベルは重要度の最高から最低へと並べら
れています。特定のログサービスに対してレベルが選択されると、そのログレベルとそれより重要度
の高いイベントがログされます。例えば、ログサービスに対して「エラー」レベルが選択された場合
は、緊急、警告、重大、そしてエラーのすべてのイベントが内部ログファイルに記録されます。
手順 3
「プライマリＳｙｓｌｏｇサーバ」フィールドに、ＳｙｓｌｏｇサーバのＩＰアドレスまたは完全修飾ドメイン名
（ＦＱＤＮ）を入力します。Ｓｙｓｌｏｇログが必要ない場合は、このフィールドを空白のままにしておきま
す。
手順 4 バックアップ用または２台目のＳｙｓｌｏｇサーバがある場合は、そのサーバのＩＰアドレスまたはドメイン名を
「セカンダリＳｙｓｌｏｇサーバ」フィールドに入力します。
手順 5 ログファイルを消去し、管理者に電子メールで送信する時期を「イベントログの送信」フィールドで指定し
ます。「一杯のとき」オプションを選択した場合、イベントログは、ログファイルが一杯になったとき
に電子メールで送信され、送信後に消去されます。「１日ごと」を選択した場合は、イベントログを
電子メールで送信する時刻を選択します。「１週間ごと」を選択した場合は、曜日と時刻を選択しま
す。「１日ごと」または「１週間ごと」を選択した場合でも、その期限の前にログファイルが一杯に
なると、ログファイルは送信されます。「ログ＞表示」ページで、「ログの消去」ボタンを選択し
て、現在のイベントログを削除することができます。この場合は、イベントログは電子メールで送信さ
れません。
手順 6 電子メールでイベントログファイルを受け取るには、「イベントログと警告」領域の「イベントログの電子
メール送信先」フィールドに完全な電子メールアドレス（ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ）を入力します。
イベントログファイルは、イベントログが消去される前に、指定された電子メールアドレスに送信され
ます。このフィールドを空白のままにした場合、ログファイルは電子メールで送信されません。
手順 7 電子メールで警告メッセージを受け取るには、「警告の電子メール送信先」フィールドに完全な電子メール
アドレス（ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ）または電子メールページャアドレスを入力します。警告イベン
トが発生すると、指定された電子メールアドレスに電子メールが送信されます。このフィールドを空白
のままにした場合、警告メッセージは電子メールで送信されません。
備考
警告メッセージを生成するイベントのタイプを、「ログ＞種別設定」ページで定義します。
手順 8 ログファイルまたは警告メッセージを電子メールで送信するには、「メールサーバ」フィールドにメールサー
バのドメイン名またはＩＰアドレスを入力します。このフィールドを空白のままにした場合、ログファイ
ルと警告メッセージは電子メールで送信されません。
手順 9
「メール送信元アドレス」に、送信元の電子メールアドレスを入力します。このアドレスは、ログと警告の
電子メールの差出人として使用されます。
手順 10 ログファイルの送信時にＳＭＴＰ認証を使用するには、「ＳＭＴＰ認証を有効にする★不明ＵＩ ★」チェック
ボックスをオンにします。関連するフィールドが画面に表示されます。ユーザ名、パスワード、および
ＳＭＴＰポートを入力します。既定のポートは２５です。
SonicWALL SRA 5.5 管理者ガイド
337
手順 11
「適用」を選択して構成の設定を更新します。
メールサーバの設定
電子メールで通知を受け取る場合や、ワンタイムパスワード機能を有効にする場合は、「ログ＞設
定」ページでメールサーバを設定する必要があります。メールサーバを設定せずにワンタイムパス
ワード機能を使用すると、次のエラーメッセージが表示されます。
ワンタイムパスワード機能の設定の詳細については、「ワンタイムパスワードの概要」セクション（48
ページ）を参照してください。
電子メールサーバを設定するには、以下の手順に従います。
手順 1 管理者の資格情報を使用して、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースにログインします。
手順 2
「ログ＞設定」にナビゲートします。
手順 3
「イベントログの電子メール送信先」フィールドに、ログの送信先となる電子メールアドレスを入力します。
手順 4
「警告の電子メール送信先」フィールドに、警告の送信先となる電子メールアドレスを入力します。
手順 5
「メールサーバ」フィールドに、使用するメールサーバのＩＰアドレスを入力します。
手順 6
「メール送信元アドレス」フィールドに、ＳｏｎｉｃＷＡＬＬＳＲＡ装置から送信する電子メールの送信元アドレ
スを入力します。
手順 7 右上隅にある「適用」を選択します。
admin_logCategories
ログ＞種別
このセクションでは、「ログ＞種別」ページの概要を示し、ログに記録されるイベントメッセージの種
別について説明します。このページでは、種別ごとに有効／無効を設定することができます。この機
能は、デバッグプロセス中にログをフィルタする場合に特に便利です。
338
SonicWALL SRA 5.5 管理者ガイド
管理者は、以下のログ種別について、有効または無効をチェックボックスで設定できます。
･認証
･認証とアクセス
･ＧＭＳ
･ＮｅｔＥｘｔｅｎｄｅｒ
･システム
･仮想アシスト
･ウェブアプリケーションファイアウォール
･高可用性（ＳＲＡ４２００のみ）
すべての選択を終えたら、画面の右上隅にある「適用」を選択して種別の設定を終了します。
admin_logViewpoint
admin_editVpServer
SonicWALL SRA 5.5 管理者ガイド
339
ログ＞ＶｉｅｗＰｏｉｎｔ
このセクションでは、「ログ＞ＶｉｅｗＰｏｉｎｔ」ページの概要、およびこのページで行う設定タスクについ
て説明します。
･「「ログ＞ＶｉｅｗＰｏｉｎｔ」の概要」セクション（340 ページ）
･「ＶｉｅｗＰｏｉｎｔサーバの追加」セクション（340 ページ）
「ログ＞ＶｉｅｗＰｏｉｎｔ」の概要
「ログ＞ＶｉｅｗＰｏｉｎｔ」ページでは、ＳｏｎｉｃＷＡＬＬＶｉｅｗＰｏｉｎｔが利用可能なインストール環境、また
はＳｏｎｉｃＷＡＬＬグローバル管理システム（ＧＭＳ）装置管理ソフトウェアによって管理されているイン
ストール環境で、ＶｉｅｗＰｏｉｎｔサーバにＳｏｎｉｃＷＡＬＬＳＲＡ装置を追加することができます。この機能
には、ＶｉｅｗＰｏｉｎｔライセンスキーが必要です。
ＶｉｅｗＰｏｉｎｔは、統合された装置管理ソリューションであり、以下の機能を提供します。
･ＳＲＡ装置およびリモートアクセスアクティビティに関する動的なウェブベースレポートの作成
･ＳｏｎｉｃＷＡＬＬＳＲＡ装置のすべてのアクティビティを示すリアルタイムレポートおよび履歴レポート
の生成
･リモートアクセス監視
･ネットワークセキュリティの強化
･将来必要となる帯域幅の予測
ヒントＶｉｅｗＰｏｉｎｔを使ってＳｏｎｉｃＷＡＬＬ装置を監視する方法については、以下を参照してください。
〈http://www.sonicwall.com/us/Centralized_Management_and_Reporting.html〉
ＶｉｅｗＰｏｉｎｔサーバの追加
この機能には、ＶｉｅｗＰｏｉｎｔライセンスキーが必要です。ＶｉｅｗＰｏｉｎｔサーバにＳｏｎｉｃＷＡＬＬＳＲＡ
装置を追加し、ＳＲＡ装置でＶｉｅｗＰｏｉｎｔレポーティングを有効にするには、以下の手順に従います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮウェブ管理インターフェースの「ログ＞ＶｉｅｗＰｏｉｎｔ」ページに移動します。
備考
この装置でＶｉｅｗＰｏｉｎｔを初めて使用する場合、または有効なライセンスがない場合は、「システ
ム＞ライセンス」ページが表示され、ライセンスを有効化するように求められます。
手順 2
「ＶｉｅｗＰｏｉｎｔの設定」セクションで、「追加」ボタンを選択します。
表示されます。
「ＶｉｅｗＰｏｉｎｔサーバの追加」画面が
手順 3
「ＶｉｅｗＰｏｉｎｔサーバの追加」画面で、ＶｉｅｗＰｏｉｎｔサーバの「ホスト名またはＩＰアドレス」を入力しま
す。
手順 4 ＶｉｅｗＰｏｉｎｔサーバが管理機器との通信に使用する「ポート」を入力します。
手順 5
「ＯＫ」ボタンを選択して、このサーバを追加します。
手順 6 追加したサーバについて、ＶｉｅｗＰｏｉｎｔのレポートログを開始するには、「ＶｉｅｗＰｏｉｎｔの有効化」チェック
ボックスをオンにします。
340
SonicWALL SRA 5.5 管理者ガイド
第 12 章
第 12 章
仮想オフィスの設定
この章ではＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースで行われる、仮想オフィス
ページの情報と設定について説明します。
この章は、次のセクションから構成されています。
･「仮想オフィス」セクション（341 ページ）
仮想オフィス
このセクションでは、仮想オフィスページの概要とこのページで設定するタスクについて説明します。
･「仮想オフィスの概要」セクション（342 ページ）
･「仮想オフィスの使用」セクション（342 ページ）
SonicWALL SRA 5.5 管理者ガイド
341
仮想オフィスの概要
「仮想オフィス」オプションは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ管理インターフェースのナビゲーションバーに
あります。
「仮想オフィス」オプションを選択すると、ウェブブラウザウインドウが開き、仮想オフィスユーザ
ポータルが起動します。仮想オフィスはユーザがブックマークやファイル共有、ＮｅｔＥｘｔｅｎｄｅｒセッショ
ン、および仮想アシストを作成するために利用するポータルです。
仮想オフィスの使用
仮想オフィスを使用するには、次の操作を行います。
手順 1 ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースで、ナビゲーションバーの「仮想オフィス」
を選択します。
手順 2 新しいブラウザウィンドウが開き、仮想オフィスのホームページが表示されます。
備考
仮想オフィスをウェブベース管理インターフェースから起動すると、自動的にそのユーザの管理者資
格情報でログインされます。
手順 3 仮想オフィスのホームページからは、以下のタスクが可能です。
- ＮｅｔＥｘｔｅｎｄｅｒの起動およびインストール
- ファイル共有の使用
- 仮想アシストセッションの開始
- ブックマークの追加及び設定
- オフロードされたポータルに対するブックマークの追加及び設定
- ブックマークリンクの選択
- 証明書のインポート
- 仮想オフィスのヘルプの参照
- 管理者によって許可されている場合は、仮想アクセスモードのためのシステム設定
- パスワードの設定
- シングルサインオンオプションの設定
342
SonicWALL SRA 5.5 管理者ガイド
備考
仮想オフィスユーザポータルおよびこれらのタスクに関する設定方法については、 SonicWALL サ
ポートウェブサイト　http://www.sonicwall.com/us/Support.html の Secure Remote Access ページ
にある『ＳｏｎｉｃＷＡＬＬＳＲＡユーザガイド』を参照してください。
ヒント仮想オフィスに管理者としてログオンしている場合、「ログアウト」ボタンは表示されません。ログア
ウトするには、ブラウザウィンドウを閉じる必要があります。
SonicWALL SRA 5.5 管理者ガイド
343
344
SonicWALL SRA 5.5 管理者ガイド
付録 A
付録 A
オンラインヘルプ
この付録ではＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェース上で表示されるオンライン
ヘルプの使用について説明します。また、状況依存のヘルプについても解説します。
この付録は、次のセクションから構成されています。
･「オンラインヘルプ」セクション（346 ページ）
SonicWALL SRA 5.5 管理者ガイド
345
オンラインヘルプ
「オンラインヘルプ」ボタンは、、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの管理インターフェースの右上隅にありま
す。
「オンラインヘルプ」ボタンを選択すると、ウェブブラウザが起動し、オンラインヘルプが表示されま
す。「オンラインヘルプ」タブは、オンラインヘルプマニュアルのメインページにリンクしています。
このセクションでは、次の設定作業について説明します。
状況依存のヘルプの使用
状況依存のヘルプは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのウェブベース管理インターフェースの、ほとんどの
ページで利用できます。ページ右上隅にある状況依存のヘルプのボタン
を選択すると、使用中
のＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの管理ページに対応したヘルプが表示されます。状況依存のヘルプのボ
タンを選択すると、ブラウザウィンドウが開き、対応するマニュアルが表示されます。
管理インターフェースの至る所で、特定のフィールドとチェックボックスの隣に同じヘルプアイコンがあり
ます。マウスカーソルをこのヘルプアイコンに合わせると、関連するオプションの設定についての重要
な情報を含んだツールチップが表示されます。
346
SonicWALL SRA 5.5 管理者ガイド
付録 B
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮを
サードパーティゲートウェイ用に設定する方法
付録 B
この付録では、さまざまなサードパーティファイアウォールをＳｏｎｉｃＷＡＬＬＳＲＡ装置と共に配備する
ための設定方法について説明します。
この付録は以下のセクションで構成されます。
･「ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＲＡ装置と共に配備するための設定」セクション（348 ページ）
･「ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ」セクション（356 ページ）
･「ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ」セクション（357 ページ）
･「ＮｅｔｇｅａｒＦＶＳ３１８」セクション（359 ページ）
･「ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒＭＲ８１４ＳＳＬの設定」セクション（361 ページ）
･「ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５」セクション（362 ページ）
･「マイクロソフトＩＳＡＳｅｒｖｅｒ」セクション（364 ページ）
SonicWALL SRA 5.5 管理者ガイド
347
ＣｉｓｃｏＰＩＸをＳｏｎｉｃＷＡＬＬＳＲＡ装置
と共に配備するための設定
準備
ＰＩＸのコンソールポートへの管理接続、またはＰＩＸのいずれかのインターフェースに対するＴｅｌｎｅｔ
／ＳＳＨ接続が必要です。ＰＩＸにアクセスして設定の変更を発行するためには、ＰＩＸのグローバルパ
スワードと有効レベルパスワードを知っている必要があります。これらのパスワードを知らない場合は、
ネットワーク管理者に確認してから次の作業に進んでください。
ＳｏｎｉｃＷＡＬＬでは、ＰＩＸのＯＳを、使用するＰＩＸがサポートしている最新バージョンへと更新するこ
とをお勧めしています。このマニュアルはＰＩＸＯＳ６.３.５を実行しているＣｉｓｃｏＰＩＸ５１５ｅを対象にし
ており、これがＳｏｎｉｃＷＡＬＬＳＲＡ装置と相互運用するための推奨バージョンです。新しいバージョン
のＰＩＸＯＳを入手するためには、お使いのＣｉｓｃｏＰＩＸについてのＣｉｓｃｏＳｍａｒｔＮＥＴサポート契約
とＣＣＯログインが必要です。
備考
以降の配置例で使用するＷＡＮ／ＤＭＺ／ＬＡＮのＩＰアドレスは、実際に有効なものではなく、
お使いのネットワーク環境に合わせて変更する必要があるという点に注意してください。
備考
推奨バージョン：ＰＩＸＯＳ６.３.５以上
ＣｉｓｃｏＰＩＸに関する管理上の考慮事項
以降で説明する２つの配置方法では、ＰＩＸのＷＡＮインターフェースＩＰアドレスを、内部の
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に対する外部接続の手段として使用しています。ＰＩＸはＨＴＴＰ／Ｓ経由で
の管理が可能ですが、推奨バージョンのＰＩＸＯＳでは、既定の管理ポート（８０、４４３）の再割り
当てができません。そのため、ＨＴＴＰ／Ｓ管理インターフェースを無効にする必要があります。
ＨＴＴＰ／Ｓ管理インターフェースを無効にするには、 “clear http” コマンドを発行します。
備考
348
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に独立した静的なＷＡＮＩＰアドレスを割り当てている場合は、ＰＩＸ上の
ＨＴＴＰ／Ｓ管理インターフェースを無効にする必要はありません。
SonicWALL SRA 5.5 管理者ガイド
方法１ - ＬＡＮインターフェース上にＳｏｎｉｃＷＡＬＬＳＲＡ装置を配備
する
手順 1 管理システムからＳｏｎｉｃＷＡＬＬＳＲＡ装置の管理インターフェースにログインします。既定の管理インター
フェースはＸ０で、既定のＩＰアドレスは１９２.１６８.２００.１です。
手順 2
「ネットワーク＞インターフェース」ページに進み、Ｘ０インターフェースの設定アイコンを選択します。表
示されるポップアップで、ＸＯのアドレスを１９２.１６８.１００.２に変更し、マスクを２５５.２５５.２５５.０に
します。その後、「ＯＫ」ボタンを選択して変更を保存、適用します。
手順 3
「ネットワーク＞ルート」ページにナビゲートし、デフォルトゲートウェイを１９２.１６８.１００.１に変更しま
す。その後、右上隅の「適用」ボタンを選択して変更を保存、適用します。
手順 4
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレス」ページにナビゲートします。内部ＬＡＮネットワーク上で使用され
ていない１９２.１６８.１００.０／２４ネットワークのＩＰアドレスの範囲を入力する必要があります。既存
のＤＨＣＰサーバがある場合、またはＰＩＸが内部インターフェース上でＤＨＣＰサーバを実行している
場合は、これらのアドレスと競合しないように注意してください。例：「クライアントアドレス範囲の開
始」の隣にあるフィールドに１９２.１６８.１００.２０１と入力し、「クライアントアドレス範囲の終了」の隣
にあるフィールドに１９２.１６８.１００.２４９と入力します。その後、右上隅の「適用」ボタンを選択して
変更を保存、適用します。
手順 5
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」ページにナビゲートします。１９２.１６８.１００.０に関するクライアント
ルートを追加します。１９２.１６８.２００.０に関するエントリが既にある場合は、既存のものを削除しま
す。
手順 6
「ネットワーク＞ＤＮＳ」ページにナビゲートし、内部ネットワークのＤＮＳアドレス、内部ドメイン名、
ＷＩＮＳサーバアドレスを入力します。これらはＮｅｔＥｘｔｅｎｄｅｒを正しく機能させるために重要な情報な
ので正確に入力してください。その後、右上隅の「適用」ボタンを選択して変更を保存、適用します。
手順 7
「システム＞再起動」ページにナビゲートし、「再起動」ボタンを選択します。
手順 8 ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＸ０インターフェースをＰＩＸのＬＡＮネットワークにインストールします。装置のそ
の他のインターフェースにフックしないよう注意してください。
手順 9 コンソールポート、ｔｅｌｎｅｔ、またはＳＳＨを通じてＰＩＸの管理ＣＬＩに接続し、設定モードに入ります。
手順 10
“clear http” コマンドを発行して、ＰＩＸのＨＴＴＰ／Ｓ管理インターフェースを無効にします。
手順 11
“access-list sslvpn permit tcp any host x.x.x.x eq www” コマンドを発行します（x.x.x.x の部分はお使いの
ＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 12
“access-list sslvpn permit tcp any host x.x.x.x eq https” コマンドを発行します（x.x.x.x の部分はお使い
のＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 13
“static (inside,outside) tcp x.x.x.x www 192.168.100.2 www netmask 255.255.255.255 0 0” コマンドを発行し
ます（x.x.x.x の部分はお使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 14
“static (inside,outside) tcp x.x.x.x https 192.168.100.2 https netmask 255.255.255.255 0 0” コマンドを発行
します（x.x.x.x の部分はお使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 15
“access-group sslvpn in interface outside” コマンドを発行します。
手順 16 設定モードを抜け、 “wr mem” コマンドを発行して変更を保存、適用します。
手順 17 外部システムから、ＨＴＴＰとＨＴＴＰＳの両方を使用してＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続してみます。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置にアクセスできない場合は、上記すべてのステップを確認して、もう一度テス
トしてください。
SonicWALL SRA 5.5 管理者ガイド
349
最終的な設定例・関連部分を太字で記載
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted
passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com
clock timezone PDT -8
clock summer-time PDT recurring
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list sslvpn permit tcp any host 64.41.140.167 eq www
access-list sslvpn permit tcp any host 64.41.140.167 eq https
pager lines 24
logging on
logging timestamp
logging buffered warnings
logging history warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224
ip address inside 192.168.100.1 255.255.255.0
no ip address dmz
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0
static (inside,outside) tcp 64.41.140.167 www 192.168.100.2 www netmask 255.255.255.255
0 0
static (inside,outside) tcp 64.41.140.167 https 192.168.100.2 https netmask
255.255.255.255 0 0
access-group sslvpn in interface outside
route outside 0.0.0.0 0.0.0.0 64.41.140.166 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
350
SonicWALL SRA 5.5 管理者ガイド
ntp server 192.43.244.18 source outside prefer
no snmp-server location
no snmp-server contact
snmp-server community SF*&^SDG
no snmp-server enable traps
floodguard enable
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside
dhcpd dns 192.168.100.10
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain vpntestlab.com
dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:422aa5f321418858125b4896d1e51b89
: end
tenaya#
SonicWALL SRA 5.5 管理者ガイド
351
方法２ - ＤＭＺインターフェース上にＳｏｎｉｃＷＡＬＬＳＲＡ装置を配備
する
この方法はオプションであり、使用されていない第三のインターフェースを備えたＰＩＸ（ＰＩＸ５１５、
ＰＩＸ５２５、ＰＩＸ５３５など）が必要です。ここではＳｏｎｉｃＷＡＬＬＳＲＡ装置の既定のナンバリングス
キーマを使用します。
手順 1 管理システムからＳｏｎｉｃＷＡＬＬＳＲＡ装置の管理インターフェースにログインします。既定の管理インター
フェースはＸ０で、既定のＩＰアドレスは１９２.１６８.２００.１です。
手順 2
「ネットワーク＞ルート」ページにナビゲートし、デフォルトゲートウェイが１９２.１６８.２００.２に設定されて
いることを確認します。その後、右上隅の「適用」ボタンを選択して変更を保存、適用します。
手順 3
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントアドレス」ページにナビゲートします。「クライアントアドレス範囲の開始」
の隣にあるフィールドに１９２.１６８.２００.２０１と入力し、「クライアントアドレス範囲の終了」の隣にあ
るフィールドに１９２.１６８.２００.２４９と入力します。その後、右上隅の「適用」ボタンを選択して変更
を保存、適用します。
手順 4
「ＮｅｔＥｘｔｅｎｄｅｒ＞クライアントルート」ページにナビゲートします。１９２.１６８.１００.０と１９２.１６８.２００.０
に関するクライアントルートを追加します。
手順 5
「ネットワーク＞ＤＮＳ」ページにナビゲートし、内部ネットワークのＤＮＳアドレス、内部ドメイン名、
ＷＩＮＳサーバアドレスを入力します。これらはＮｅｔＥｘｔｅｎｄｅｒを正しく機能させるために重要な情報な
ので正確に入力してください。その後、右上隅の「適用」ボタンを選択して変更を保存、適用します。
手順 6
「システム＞再起動」ページにナビゲートし、「再起動」ボタンを選択します。
手順 7 ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＸ０インターフェースをＰＩＸの使用されていないＤＭＺネットワークにインストー
ルします。装置のその他のインターフェースにフックしないよう注意してください。
手順 8 コンソールポート、ｔｅｌｎｅｔ、またはＳＳＨを通じてＰＩＸの管理ＣＬＩに接続し、設定モードに入ります。
手順 9
“clear http” コマンドを発行して、ＰＩＸのＨＴＴＰ／Ｓ管理インターフェースを無効にします。
手順 10
“interface ethernet2 auto” コマンドを発行します（インターフェース名は、実際に使用するインターフェー
スに置き換えます）。
手順 11
“nameif ethernet2 dmz security4” コマンドを発行します（インターフェース名は、実際に使用するイン
ターフェースに置き換えます）。
手順 12
“ip address dmz 192.168.200.2 255.255.255.0” コマンドを発行します。
手順 13
“nat (dmz) 1 192.168.200.0 255.255.255.0 0 0” コマンドを発行します。
手順 14
“access-list sslvpn permit tcp any host x.x.x.x eq www” コマンドを発行します（x.x.x.x の部分はお使いの
ＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 15
“access-list sslvpn permit tcp any host x.x.x.x eq https” コマンドを発行します（x.x.x.x の部分はお使い
のＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 16
“access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0” コマンドを
発行します。
手順 17
“access-list dmz-to-inside permit ip host 192.168.200.1 any” コマンドを発行します。
手順 18
“static (dmz,outside) tcp x.x.x.x www 192.168.200.1 www netmask 255.255.255.255 0 0” コマンドを発行しま
す（x.x.x.x の部分はお使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 19
“static (dmz,outside) tcp x.x.x.x https 192.168.200.1 https netmask 255.255.255.255 0 0” コマンドを発行し
ます（x.x.x.x の部分はお使いのＰＩＸのＷＡＮＩＰアドレスで置き換えます）。
手順 20
“static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0” コマンドを発行します。
手順 21
“access-group sslvpn in interface outside” コマンドを発行します。
手順 22
“access-group dmz-to-inside in interface dmz” コマンドを発行します。
手順 23 設定モードを抜け、 “wr mem” コマンドを発行して変更を保存、適用します。
352
SonicWALL SRA 5.5 管理者ガイド
手順 24 外部システムから、ＨＴＴＰとＨＴＴＰＳの両方を使用してＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続してみます。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置にアクセスできない場合は、上記すべてのステップを確認して、もう一度テス
トしてください。
SonicWALL SRA 5.5 管理者ガイド
353
最終的な設定例・関連部分を太字で記載
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted
passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com
clock timezone PDT -8
clock summer-time PDT recurring
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list sslvpn permit tcp any host 64.41.140.167 eq www
access-list sslvpn permit tcp any host 64.41.140.167 eq https
access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0
255.255.255.0
access-list dmz-to-inside permit ip host 192.168.200.1 any
pager lines 24
logging on
logging timestamp
logging buffered warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0
nat (dmz) 1 192.168.200.0 255.255.255.0 0 0
static (dmz,outside) tcp 64.41.140.167 www 192.168.200.1 www netmask 255.255.255.255 0 0
static (dmz,outside) tcp 64.41.140.167 https 192.168.200.1 https netmask
255.255.255.255 0 0
static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0
access-group sslvpn in interface outside
access-group dmz-to-inside in interface dmz
route outside 0.0.0.0 0.0.0.0 64.41.140.166 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
354
SonicWALL SRA 5.5 管理者ガイド
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp server 192.43.244.18 source outside prefer
floodguard enable
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside
dhcpd dns 192.168.100.10
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain vpntestlab.com
dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:81330e717bdbfdc16a140402cb503a77
: end
SonicWALL SRA 5.5 管理者ガイド
355
ＬｉｎｋｓｙｓＷＲＴ５４ＧＳ
ＳｏｎｉｃＷＡＬＬＳＲＡはＬｉｎｋｓｙｓワイヤレスルータのＬＡＮスイッチ上で設定する必要があります。
ここでは、お使いのＬｉｎｋｓｙｓにケーブルＩＳＰがＤＨＣＰ経由で単一のＷＡＮＩＰを割り当てており、
このＬｉｎｋｓｙｓが１９２.１６８.１.０／２４という既定のＬＡＮＩＰアドレススキーマを使用していることを前
提にしています。
備考
このセットアップでは、バージョン２.０７.１以上のファームウェアを推奨します。
ＬｉｎｋｓｙｓをＳｏｎｉｃＷＡＬＬＳＲＡ装置と相互運用できるように設定するには、ＳＳＬ（４４３）ポートを
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＩＰアドレスに転送する必要があります。
手順 1 Ｌｉｎｋｓｙｓデバイスにログインします。
手順 2
「Ａｐｐｌｉｃａｔｉｏｎｓ＆Ｇａｍｉｎｇ」タブにナビゲートします。
1. 次の情報を入力します。
手順 3
Ａｐｐｌｉｃａｔｉｏｎ
ＳＳＬＶＰＮ
ポート転送先アプリケーションの名前
ＰｏｒｔＲａｎｇｅＳｔａｒｔ
443
アプリケーションで使用される開始ポート番号
ＰｏｒｔＲａｎｇｅＥｎｄ
443
アプリケーションで使用される終了ポート番号
Ｐｒｏｔｏｃｏｌ
ＴＣＰ
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮアプリケーションはＴＣＰを使
用
ＩＰＡｄｄｒｅｓｓ
192.168.1.10
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に割り当てられるＩＰアドレス
Ｅｎａｂｌｅ
オン
ＳＳＬポート転送を有効にするにはチェックボックスをオ
ン
設定が完了したら、ページの下部にある「ＳａｖｅＳｅｔｔｉｎｇｓ」ボタンを選択します。
これで、ＬｉｎｋｓｙｓがＳｏｎｉｃＷＡＬＬＳＲＡ装置と相互運用するようになります。
356
SonicWALL SRA 5.5 管理者ガイド
ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ
ここでは、ＷａｔｃｈＧｕａｒｄＦｉｒｅｂｏｘＸＧａｔｅｗａｙのＩＰアドレスが１９２.１６８.１００.１に設定され、
ＳｏｎｉｃＷＡＬＬＳＲＡのＩＰアドレスが１９２.１６８.１００.２に設定されているものと想定します。
備考
以降のステップは、ＷａｔｃｈＧｕａｒｄＳＯＨＯ６シリーズのファイアウォールでも同様です。
作業を始める前に、ＷａｔｃｈＧｕａｒｄのどのポートを管理に使用しているかを確認します。
ＷａｔｃｈＧｕａｒｄをＨＴＴＰＳ（４４３）ポートで管理していない場合は、次の手順に従います。
ＷａｔｃｈＧｕａｒｄをＨＴＴＰＳ（４４３）ポートで管理している場合は、最初にこの設定方法の注意事項を
参照してください。
手順 1 ブラウザを開き、ＷａｔｃｈＧｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅ装置のＩＰアドレスを入力します（例：
１９２.１６８.１００.１）。アクセスに成功すると、次のような「ＳｙｓｔｅｍＳｔａｔｕｓ」ページが表示されます。
手順 2 ＷａｔｃｈＧｕａｒｄの管理インターフェースが既にＨＴＴＰＳをポート４４３で受け付けるように設定されている場
合は、ＳｏｎｉｃＷＡＬＬＳＲＡ装置とＷａｔｃｈＧｕａｒｄ装置の両方を管理できるようにポートを変更する必要
があります。
手順 3
「Ａｄｍｉｎｉｓｔｒａｔｉｏｎ＞ＳｙｓｔｅｍＳｅｃｕｒｉｔｙ」にナビゲートします。
図 1 ＷａｔｃｈＧｕａｒｄのＡｄｍｉｎｉｓｔｒａｔｉｏｎ＞ＳｙｓｔｅｍＳｅｃｕｒｉｔｙダイアログボックス
手順 4
「Ｕｓｅｎｏｎ-ｓｅｃｕｒｅＨＴＴＰｉｎｓｔｅａｄｏｆｓｅｃｕｒｅＨＴＴＰＳｆｏｒａｄｍｉｎｉｓｔｒａｔｉｖｅＷｅｂｓｉｔｅ」をオフにします。
手順 5
「ＨＴＴＰＳｅｒｖｅｒＰｏｒｔ」を４４４に変更し、「Ｓｕｂｍｉｔ」ボタンを選択します。
SonicWALL SRA 5.5 管理者ガイド
357
これで、ＷａｔｃｈＧｕａｒｄをＷＡＮからポート４４４で管理できるようになります。ＷａｔｃｈＧｕａｒｄにアクセ
スするには次のようにします。〈https://<watchguard wan ip>:444〉
手順 6 左側のナビゲーションメニューで「Ｆｉｒｅｗａｌｌ＞Ｉｎｃｏｍｉｎｇ」にナビゲートします。
手順 7
「ＨＴＴＰＳＳｅｒｖｉｃｅ」の「Ｆｉｌｔｅｒ」をＡｌｌｏｗに設定し、「ＳｅｒｖｉｃｅＨｏｓｔ」フィールドにＳｏｎｉｃＷＡＬＬＳＲＡ
装置のＷＡＮＩＰアドレス（１９２.１６８.１００.２）を入力します。
手順 8 ページの下部にある「Ｓｕｂｍｉｔ」ボタンを選択します。
これで、ＷａｔｃｈｇｕａｒｄＦｉｒｅｂｏｘＸＥｄｇｅがＳｏｎｉｃＷＡＬＬＳＲＡ装置と相互運用できるようになります。
358
SonicWALL SRA 5.5 管理者ガイド
ＮｅｔｇｅａｒＦＶＳ３１８
ここでは、ＮｅｔＧｅａｒＦＶＳ３１８ＧａｔｅｗａｙのＩＰアドレスが１９２.１６８.１００.１に設定され、
ＳｏｎｉｃＷＡＬＬＳＲＡのＩＰアドレスが１９２.１６８.１００.２に設定されているものと想定します。
手順 1 Ｎｅｔｇｅａｒ管理インターフェースの左側のインデックスから「ＲｅｍｏｔｅＭａｎａｇｅｍｅｎｔ」を選択します。
ＳｏｎｉｃＷＡＬＬＳＲＡをＮｅｔｇｅａｒゲートウェイデバイスと連携させるためには、ＮｅｔＧｅａｒの管理ポート
がＳｏｎｉｃＷＡＬＬＳＲＡ装置の管理ポートと競合しないようにする必要があります。
手順 2
「ＡｌｌｏｗＲｅｍｏｔｅＭａｎａｇｅｍｅｎｔ」ボックスをオフにします。
手順 3
「Ａｐｐｌｙ」ボタンを選択して、変更を保存します。
備考
ＮｅｔＧｅａｒのＲｅｍｏｔｅＭａｎａｇｅｍｅｎｔが必要な場合は、このチェックボックスをオンのままにして、
既定のポートを変更します（８０８０を推奨）。
手順 4 左側のナビゲーションで「ＡｄｄＳｅｒｖｉｃｅ」にナビゲートします。
手順 5
「ＡｄｄＣｕｓｔｏｍＳｅｒｖｉｃｅ」ボタンを選択します。
手順 6 サービス定義を作成するために、次の情報を入力します。
Ｎａｍｅ
ＨＴＴＰＳ
Ｔｙｐｅ
ＴＣＰ／ＵＤＰ
ＳｔａｒｔＰｏｒｔ
443
ＦｉｎｉｓｈＰｏｒｔ
443
手順 7 左側のナビゲーションで「Ｐｏｒｔｓ」にナビゲートします。
SonicWALL SRA 5.5 管理者ガイド
359
手順 8
「Ａｄｄ」ボタンを選択します。
手順 9
「ＳｅｒｖｉｃｅＮａｍｅ」プルダウンメニューからＨＴＴＰＳを選択します。
手順 10
「Ａｃｔｉｏｎ」プルダウンメニューではＡＬＬＯＷａｌｗａｙｓを選択します。
手順 11
「ＬｏｃａｌＳｅｒｖｅｒＡｄｄｒｅｓｓ」フィールドにＳｏｎｉｃＷＡＬＬＳＲＡ装置のＷＡＮＩＰアドレス
（１９２.１６８.１００.２など）を入力します。
手順 12
「Ａｐｐｌｙ」を選択して変更を保存します。
これで、ＮｅｔｇｅａｒゲートウェイデバイスがＳｏｎｉｃＷＡＬＬＳＲＡ装置と相互運用できるようになります。
360
SonicWALL SRA 5.5 管理者ガイド
ＮｅｔｇｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒ
ＭＲ８１４ＳＳＬの設定
ここでは、ＮｅｔＧｅａｒＷｉｒｅｌｅｓｓＲｏｕｔｅｒのＩＰアドレスが１９２.１６８.１００.１に設定され、ＳｏｎｉｃＷＡＬＬ
ＳＲＡのＩＰアドレスが１９２.１６８.１００.２に設定されているものと想定します。
手順 1 Ｎｅｔｇｅａｒの管理インターフェースの左側のインデックスから「Ａｄｖａｎｃｅｄ＞ＰｏｒｔＭａｎａｇｅｍｅｎｔ」にナビ
ゲートします。
手順 2 ページ中央の「ＡｄｄＣｕｓｔｏｍＳｅｒｖｉｃｅ」ボタンを選択します。
手順 3
「ＳｅｒｖｉｃｅＮａｍｅ」フィールドにサービス名を入力します（例：ＳＳＬＶＰＮ）。
手順 4
「ＳｔａｒｔｉｎｇＰｏｒｔ」フィールドに４４３と入力します。
手順 5
「ＥｎｄｉｎｇＰｏｒｔ」フィールドに４４３と入力します。
手順 6
「ＬｏｃａｌＳｅｒｖｅｒＡｄｄｒｅｓｓ」フィールドにＳｏｎｉｃＷＡＬＬＳＲＡ装置のＷＡＮＩＰアドレス
（１９２.１６８.１００.２など）を入力します。
手順 7
「Ａｐｐｌｙ」ボタンを選択します。
これで、ＮｅｔｇｅａｒワイヤレスルータがＳｏｎｉｃＷＡＬＬＳＲＡ装置と相互運用できるようになります。
SonicWALL SRA 5.5 管理者ガイド
361
ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５
ＳｏｎｉｃＷＡＬＬＳＲＡとＣｈｅｃｋＰｏｉｎｔＡＩＲ５５を連携させるための
セットアップ
まず必要なのは、ホストベースのネットワークオブジェクトを定義することです。そのためには、Ｆｉｌｅメ
ニューの “Ｍａｎａｇｅ” と “ＮｅｔｗｏｒｋＯｂｊｅｃｔｓ” を使用します。
図 2 ＣｈｅｃｋＰｏｉｎｔのＨｏｓｔＮｏｄｅＯｂｊｅｃｔダイアログボックス
備考
このオブジェクトは、内部ネットワークに存在するものとして定義されます。ＳｏｎｉｃＷＡＬＬＳＲＡをセ
キュアセグメント（非武装地帯とも呼ばれます）に配置する場合は、後述のファイアウォール規則
でセキュアセグメントから内部ネットワークへの必要なトラフィックを通過させる必要があります。
次に、作成したオブジェクトのＮＡＴタブを選択します。
362
SonicWALL SRA 5.5 管理者ガイド
図 3 ＣｈｅｃｋＰｏｉｎｔのＮＡＴＰｒｏｐｅｒｔｉｅｓダイアログボックス
ここで外部ＩＰアドレスを入力します（それがファイアウォールの既存の外部ＩＰアドレスでない場合）。
変換方法として「Ｓｔａｔｉｃ」を選択します。「ＯＫ」を選択すると、次のような必須のＮＡＴ規則が自動
的に作成されます。
図 4 ＣｈｅｃｋＰｏｉｎｔのＮＡＴＲｕｌｅウィンドウ
静的ルート
ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５の大部分のインストール環境では、静的ルートが必要です。このルートは、
ＳｏｎｉｃＷＡＬＬＳＲＡのパブリックＩＰアドレスからの全トラフィックを内部ＩＰアドレスに送信します。
#route add 64.41.140.167 netmask 255.255.255.255 192.168.100.2
ＡＲＰ
ＣｈｅｃｋＰｏｉｎｔＡＩＲ５５には、自動ＡＲＰ作成と呼ばれる機能があります。この機能により、セカンダリ
外部ＩＰアドレス（ＳｏｎｉｃＷＡＬＬＳＲＡのパブリックＩＰアドレス）に関するＡＲＰエントリが自動的に追
加されます。Ｎｏｋｉａのセキュリティプラットフォーム上でＣｈｅｃｋＰｏｉｎｔを実行する場合は、この機能
を無効にするよう推奨されています。そのため、外部ＩＰアドレスに関するＡＲＰエントリをＮｏｋｉａ
Ｖｏｙａｇｅｒインターフェースの中で手動で追加する必要があります。
さらに、すべてのトラフィックをインターネットからＳｏｎｉｃＷＡＬＬＳＲＡに流すためのトラフィック規則また
はポリシー規則が必要になります。
SonicWALL SRA 5.5 管理者ガイド
363
図 5 ＣｈｅｃｋＰｏｉｎｔのＰｏｌｉｃｙＲｕｌｅウィンドウ
ここでも、ＳｏｎｉｃＷＡＬＬＳＲＡをＣｈｅｃｋＰｏｉｎｔファイアウォールのセキュアセグメントに配置する場合
は、関連トラフィックをＳｏｎｉｃＷＡＬＬＳＲＡから内部ネットワークに流すための第二の規則が必要にな
ります。
マイクロソフトＩＳＡＳｅｒｖｅｒ
ＳｏｎｉｃＷＡＬＬＳＲＡを
マイクロソフトＩＳＡＳｅｒｖｅｒの背後に配備する
このセクションでは、ＳｏｎｉｃＷＡＬＬＳＲＡ装置を、ウィンドウズＳｍａｌｌＢｕｓｉｎｅｓｓＳｅｒｖｅｒ（ＳＢＳ）
ネットワーク上のマイクロソフトＩＳＡＳｅｒｖｅｒの背後にセットアップする方法を説明します。ＳＢＳには外
部／内部ネットワークカードがあり、ＩＳＡは統合モードに設定されます。このセクションで説明する手
順は、ＩＳＡ２００４で動作を確認しましたが、ＩＳＡ２０００と２００６でも基本は同じです。
ＳＲＡ装置ではＨＴＴＰＳプロトコルをポート４４３で使用するので、ポート４４３宛ての受信トラフィック
は、ＩＳＡＳｅｒｖｅｒを離れてから変更されずにＳＲＡに到達する必要があります。しかし、ＳＲＡを "
ウェブサーバ " として背後に配備した場合、ＩＳＡＳｅｒｖｅｒはプロキシとして動作し、 HTTPS
ＣＯＮＮＥＣＴメソッドをサポートしません。
ＩＳＡは、ＳＳＬトラフィックをインターセプトすると、外部ＨＴＴP ＣＯＮＮＥＣＴメソッドをＣＯＮＮＥＣＴ要
求（ＣＥＲＮプロキシ要求）付きのＳＳＬ-ＴＵＮＮＥＬトラフィックとして解釈します。これは送信要求であ
るため、ＩＳＡは破棄します。この処理が行われると、リモートユーザは、Ｔｅｌｎｅｔ、ＳＳＨ、ＶＮＣ、
ＮｅｔＥｘｔｅｎｄｅｒ、ＲＤＰ、仮想アシストなど、多数のクライアントアプリケーションにＳｏｎｉｃＷＡＬＬＳＳＬ
ＶＰＮウェブポータルからアクセスできません。
ＳＢＳがゲートウェイデバイスまたはルータに接続されている場合は、そのゲートウェイまたはルータ
が、ポート４４３に到着した受信ＳＳＬトラフィックをＳｍａｌｌＢｕｓｉｎｅｓｓＳｅｒｖｅｒの外部ネットワーク
カードに転送するように設定されている必要があります。このポート転送の設定については、このセク
ションでは説明しません。
ＩＳＡを設定する
受信ＳＳＬ接続をＩＳＡファイアウォールに通過させるため、ＳｏｎｉｃＷＡＬＬＳＲＡは、サーバー（ウェ
ブサーバではなく）としてＩＳＡ内に公開される必要があります。
設定タスク
ＩＳＡを設定するには、次のタスクを実行します。
･ポート４４３用の受信プロトコル定義を設定する。
･ＳｏｎｉｃＷＡＬＬＳＲＡ用のサーバ公開ルールを設定して、外部ユーザがサーバを使用できるように
する。
･受信ＳＳＬトラフィックを無視するように受信ウェブ要求リスナを設定する。
364
SonicWALL SRA 5.5 管理者ガイド
プロトコル定義を設定する
受信プロトコル定義を設定するには、ＩＳＡで以下の手順を実行します。
手順 1 管理インターフェースで、プロトコル定義を作成します。
手順 2 名前を "ＳＳＬ" とします。
手順 3
「ポート番号」を４４３に設定します。
手順 4
「プロトコルの種類」を「TCP」に設定します。
手順 5
「方向」を「着信」に設定します。
手順 6
「ＯＫ」を選択します。
サーバ公開ルールを設定する
サーバ公開ルールを設定する際の前提として必要なものは、前の手順で設定したプロトコル定義だけ
です。以下の設定はどれも必要ありません。
･プロトコルルール－ＳｏｎｉｃＷＡＬＬＳＲＡはＳｅｃｕｒｅＮＡＴクライアントとして設定されますが、送信
トラフィックにはプロトコルルールは必要ありません。ＳＲＡ装置は、送信接続を開始することはな
く、リモートクライアントからの要求に応答するだけだからです。
･パケットフィルタ－サーバ公開ルールでポートを開いたり閉じたりする場合、パケットフィルタは必
要ありません。
･サイトとコンテンツのルール－公開されたサーバからの受信要求への応答は自動的に許可されま
す。サイトとコンテンツのルールは、応答の許可に必要ありません。
ＳｏｎｉｃＷＡＬＬＳＲＡ装置のサーバ公開ルールを設定するには、ＩＳＡ管理インターフェースで次の手順
を実行します。
手順 1 サーバー公開ウィザードを起動します。
手順 2 サーバの説明的な名前を入力します（たとえば、 "ＳｏｎｉｃＷＡＬＬＳＲＡ"）。
手順 3
「ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮのプロパティ」ウィンドウの「全般」タブで、「有効」チェックボックスを選択し
ます。
手順 4
「動作」タブを選択します。
手順 5 ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＩＰアドレスを「内部サーバーのＩＰアドレス」フィールドに入力します。
SonicWALL SRA 5.5 管理者ガイド
365
手順 6
「マップ先サーバープロトコル」フィールドに "ＳＳＬ" と入力します。これは、前の手順で作成した "ＳＳＬ"
プロトコル定義です。
手順 7
「ＯＫ」を選択します。
ウェブ要求リスナを無効にする
既定で、ＩＳＡはポート８０および４４３に到着したすべての受信ウェブ要求をウェブプロキシサービス
にリダイレクトし、ＳｏｎｉｃＷＡＬＬＳＲＡに渡しません。ポート４４３に到着したトラフィックを
ＳｏｎｉｃＷＡＬＬに到達させるため、ＩＳＡＳｅｒｖｅｒのウェブ要求リスナを無効にする必要があります。
受信ウェブ要求リスナを無効にするには、以下の手順を実行します。
手順 1 ＩＳＡＳｅｒｖｅｒの「プロパティ」ウィンドウで、「Ｗｅｂプロキシ」タブ（ＩＳＡ２０００では「着信方向のＷｅｂ
要求」タブ）を選択します。
手順 2
「ＳＳＬ」セクションで、「ＳＳＬを有効にする」チェックボックスをオフにします。（ＩＳＡ２０００では、「識
別」セクションで、「ＳＳＬリスナを有効にする」チェックボックスをオフにします。）
手順 3
「ＯＫ」を選択します。
366
SonicWALL SRA 5.5 管理者ガイド
付録 C
付録 C
使用事例
この付録では、次の使用事例を紹介します。
･「ウィンドウズでのＣＡ証明書のインポート」（367 ページ）
･「ＡＤグループの一意アクセスポリシーの作成」（371 ページ）
ウィンドウズでのＣＡ証明書のインポート
この使用事例では、ｇｏＤａｄｄｙ証明書とサーバ証明書という２つの証明書をインポートします。以下
のセクションを参照してください。
･「ウィンドウズでのｇｏＤａｄｄｙ証明書のインポート」（367 ページ）
･「ウィンドウズでのサーバ証明書のインポート」（370 ページ）
ウィンドウズでのｇｏＤａｄｄｙ証明書のインポート
この使用事例では、ウィンドウズシステム上でｇｏＤａｄｄｙルートＣＡ証明書をフォーマットし、それを
ＳｏｎｉｃＷＡＬＬＳＲＡにインポートます。
手順 1 ｇｏＤａｄｄｙ.ｐ７ｂファイルをダブルクリックして「証明書」ウィンドウを開き、ｇｏＤａｄｄｙ証明書にナビゲートし
ます。
.ｐ７ｂ形式はＰＫＣＳ＃７形式の証明書ファイルであり、ごく一般的な証明書形式です。
SonicWALL SRA 5.5 管理者ガイド
367
手順 2 証明書ファイルをダブルクリックし、「詳細」タブを選択します。
手順 3
「ファイルにコピー」を選択します。証明書のエクスポートウィザードが起動します。
手順 4 証明書のエクスポートウィザードで、「次へ」を選択します。
手順 5
「Ｂａｓｅ６４ｅｎｃｏｄｅｄＸ.５０９（ＣＥＲ）」を選択し、「次へ」を選択します。
手順 6
「エクスポートするファイル」画面で、ファイル名としてｇｏＤａｄｄｙ.ｃｅｒを入力し、「次へ」を選択します。
手順 7 証明書のエクスポートの完了ウィザードの画面で、パスと形式を確認し、「終了」を選択します。
手順 8 確認のダイアログボックスで「ＯＫ」を選択します。
368
SonicWALL SRA 5.5 管理者ガイド
証明書がＢａｓｅ６４ｅｎｃｏｄｅｄ形式でエクスポートされます。これはテキストエディタで表示することが
できます。
手順 9 ＳｏｎｉｃＷＡＬＬＳＲＡ管理インターフェースで、「システム＞証明書」にナビゲートします。
手順 10
「追加のＣＡ証明書」セクションで、「ＣＡ証明書のインポート」を選択します。「証明書のインポート」
ウィンドウが表示されます。
手順 11
「証明書のインポート」ウィンドウで「参照」を選択し、ウィンドウズシステム上のｇｏＤａｄｄｙ.ｃｅｒファイル
にナビゲートし、それをダブルクリックします。
SonicWALL SRA 5.5 管理者ガイド
369
手順 12
「アップロード」を選択します。証明書が「追加のＣＡ証明書」テーブル内に表示されます。
手順 13
「システム＞再起動」にナビゲートし、ＳｏｎｉｃＷＡＬＬＳＲＡを再起動して、ＣＡ証明書を有効にします。
ウィンドウズでのサーバ証明書のインポート
この使用事例では、マイクロソフトＣＡサーバ証明書をウィンドウズシステムにインポートします。ここ
での目的は、メールサーバへのアプリケーションオフロードにＳＳＬ証明書を使用することにありま
す。
サーバ証明書はｍａｉｌ.ｃｈａｏｓｌａｂｓ.ｎｌです。この証明書をｓｅｒｖｅｒ.ｃｒｔファイルとしてｂａｓｅ６４形式に
エクスポートする必要があります。このファイルを .ｚｉｐファイルに入れ、サーバ証明書としてアップロー
ドします。
.ｐ７ｂファイルには秘密鍵は含まれていません。秘密鍵を所定の場所からエクスポートし、ｂａｓｅ６４
形式で保存し、 .ｚｉｐファイル内のｓｅｒｖｅｒ.ｋｅｙファイルに含める必要があります。
手順 1 ｍａｉｌ.ｃｈａｏｓｌａｂｓ.ｎｌ.ｐｂ７ファイルをダブルクリックし、証明書にナビゲートします。
手順 2 証明書ファイルをダブルクリックし、「詳細」タブを選択します。
手順 3
「ファイルにコピー」を選択します。
手順 4 証明書のエクスポートウィザードで、「Ｂａｓｅ６４ｅｎｃｏｄｅｄＸ.５０９（ＣＥＲ）」を選択します。
手順 5
「次へ」を選択し、ファイルをｓｅｒｖｅｒ.ｃｒｔとしてウィンドウズシステム上に保存します。
証明書がＢａｓｅ６４ｅｎｃｏｄｅｄ形式でエクスポートされます。
手順 6 ｓｅｒｖｅｒ.ｃｒｔファイルを .ｚｉｐファイルに追加します。
手順 7 秘密鍵は別にｓｅｒｖｅｒ.ｋｅｙとしてＢａｓｅ６４形式で保存します。
手順 8 ｓｅｒｖｅｒ.ｃｒｔを入れた .ｚｉｐファイルにｓｅｒｖｅｒ.ｋｅｙファイルを追加します。
手順 9 .ｚｉｐファイルをサーバ証明書としてサーバにアップロードします。
370
SonicWALL SRA 5.5 管理者ガイド
ＡＤグループの一意アクセスポリシーの作成
この使用事例では、アウトルックウェブアクセス（ＯＷＡ）リソースをＳｏｎｉｃＷＡＬＬＳＲＡに追加しま
す。また、複数のアクティブディレクトリ（ＡＤ）グループのユーザに対するアクセスポリシーを設定
する必要があります。ＡＤグループごとにローカルグループを作成し、それぞれのローカルグループ
に別々のアクセスポリシーを適用します。
アクティブディレクトリではユーザは複数のグループのメンバーなれますが、ＳｏｎｉｃＷＡＬＬＳＲＡでは
各ユーザが１つのグループにしか属せません。ユーザに割り当てられるアクセスポリシーはこのグ
ループによって決まります。
ＡＤからユーザをインポートすると、そのユーザは最も多くのＡＤグループを持つローカルＳＳＬＶＰＮ
グループに入れられます。例：ＢｏｂはＵｓｅｒｓ、Ａｄｍｉｎｉｓｔｒａｔｏｒｓ、Ｅｎｇｉｎｅｅｒｉｎｇの各ＡＤグループ
に属しています。ＵｓｅｒｓにあるＳＳＬＶＰＮグループが関連付けられていて、Ａｄｍｉｎｉｓｔｒａｔｏｒｓと
Ｅｎｇｉｎｅｅｒｉｎｇの両方に別のＳＳＬＶＰＮグループに関連付けられているとすると、Ｂｏｂは
ＡｄｍｉｎｉｓｔｒａｔｏｒｓとＥｎｇｉｎｅｅｒｉｎｇのＳＳＬＶＰＮグループに割り当てられます。なぜなら、そのＳＳＬ
ＶＰＮグループのほうが、Ｂｏｂの属しているＡＤグループが多いからです。
この使用事例の目的は、次の設定を行うことにより、ＳｏｎｉｃＷＡＬＬＳＲＡファームウェアがグループ
ベースのアクセスポリシーをサポートしていることを示すことにあります。
･アクティブディレクトリのＡｃｍｅＧｒｏｕｐに対して、１０.２００.１.１０２のサーバへのＳＳＨによるアク
セスを許可する。
･アクティブディレクトリのＭｅｇａＧｒｏｕｐに対して、１０.２００.１.１０のアウトルックウェブアクセス
（ＯＷＡ）へのアクセスを許可する。
･アクティブディレクトリのＩＴＧｒｏｕｐに対して、上述したＳＳＨとＯＷＡの両方のリソースへのアクセ
スを許可する。
･他のすべてのグループに対して、これらのリソースへのアクセスを拒否する。
この設定例は、ＶｉｎｃｅｎｔＣａｉの好意によって２００８年６月に提供されたものです。
図 1 ネットワークトポロジ
以下のセクションの順番に従ってタスクを実行します。
･「アクティブディレクトリドメインの作成」（372 ページ）
･「グローバルな「すべて拒否」ポリシーの追加」（373 ページ）
･「ローカルグループの作成」（374 ページ）
･「ＳＳＨｖ２許可ポリシーの追加」（376 ページ）
･「ＯＷＡ許可ポリシーの追加」（377 ページ）
･「アクセスポリシー設定の確認」（379 ページ）
SonicWALL SRA 5.5 管理者ガイド
371
アクティブディレクトリドメインの作成
このセクションでは、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮローカルドメインであるＳＮＷＬ_ＡＤの作成方法を説明
します。ＳＮＷＬ_ＡＤはＯＷＡサーバのアクティブディレクトリドメインと関連付けられています。
手順 1 ＳｏｎｉｃＷＡＬＬＳＲＡ管理インターフェースにログインし、「ポータル＞ドメイン」ページにナビゲートします。
手順 2
「ドメインの追加」を選択します。「ドメインの追加」ウィンドウが表示されます。
手順 3
「認証種別」ドロップダウンリストから「アクティブディレクトリ」を選択します。
手順 4
「ドメイン名」フィールドにＳＮＷＬ_ＡＤと入力します。
手順 5
「アクティブディレクトリドメイン」フィールドに、ＡＤドメイン名としてｉｎ.ｌｏｒａｘｍｆｇ.ｃｏｍと入力します。
手順 6
「サーバアドレス」フィールドに、ＯＷＡサーバのＩＰアドレスとして１０.２００.１.１０と入力します。
手順 7
「追加」を選択します。
手順 8
「ポータル＞ドメイン」ページで新しいドメインを確認します。
372
SonicWALL SRA 5.5 管理者ガイド
グローバルな「すべて拒否」ポリシーの追加
この手順では、明示的な許可ポリシーが設定されたグループを除く全グループに対してＯＷＡリソース
へのアクセスを拒否するポリシーを作成します。
ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮの既定のポリシーはすべて許可です。よりきめ細かな制御を行うため、ここ
ですべて拒否ポリシーを追加します。後でグループごとに一度に１つずつ許可ポリシーを追加すること
ができます。
手順 1
「ユーザ＞ローカルユーザ」ページを開きます。
手順 2
「グローバルポリシー」行の「設定」ボタン
が表示されます。
手順 3
「グローバルポリシーの編集」ウィンドウで「ポリシー」タブを選択します。
手順 4
「ポリシーの追加」を選択します。「ポリシーの追加」ウィンドウが表示されます。
手順 5
「ポリシーの適用先」ドロップダウンリストから「ＩＰアドレス範囲」を選択します。
手順 6
「ポリシー名」フィールドに、すべて拒否と入力します。
手順 7
「ＩＰネットワークアドレス」フィールドに、ネットワークアドレスとして１０.２００.１.０と入力します。
手順 8
「サブネットマスク」フィールドに、１０進形式のサブネットマスクとして２５５.２５５.２５５.０と入力します。
手順 9
「サービス」ドロップダウンリストから「すべてのサービス」を選択します。
を選択します。「グローバルポリシーの編集」ウィンドウ
手順 10
「状況」ドロップダウンリストから「拒否」を選択します。
手順 11
「追加」を選択します。
SonicWALL SRA 5.5 管理者ガイド
373
手順 12
「グローバルポリシーの編集」ウィンドウで、すべて拒否ポリシー設定を確認し、「ＯＫ」を選択します。
ローカルグループの作成
この手順では、ＳＲＡ装置上のＳＮＷＬ_ＡＤドメインに属するローカルグループを作成します。アクティ
ブディレクトリグループごとにローカルグループを１つずつ作成します。
ローカルグループの追加
手順 1
「ユーザ＞ローカルグループ」ページにナビゲートし、「グループの追加」を選択します。「ローカルグ
ループの追加」ウィンドウが表示されます。３つのアクティブディレクトリグループに対応して、３つ
のローカルグループを追加することにします。
手順 2
「ローカルグループの追加」ウィンドウの「グループ名」フィールドにＡｃｍｅ_Ｇｒｏｕｐと入力します。
手順 3
「ドメイン」ドロップダウンリストから「ＳＮＷＬ_ＡＤ」を選択します。
手順 4
「追加」を選択します。
手順 5
「ユーザ＞ローカルグループ」ページで「グループの追加」を選択して、 2 番目のローカルグループを
追加します。
手順 6
「ローカルグループの追加」ウィンドウの「グループ名」フィールドにＭｅｇａ_Ｇｒｏｕｐと入力します。
手順 7
「ドメイン」ドロップダウンリストから「ＳＮＷＬ_ＡＤ」を選択します。
手順 8
「追加」を選択します。
手順 9
「ユーザ＞ローカルグループ」ページで「グループの追加」を選択して、 2 番目のローカルグループを
追加します。
手順 10
「ローカルグループの追加」ウィンドウの「グループ名」フィールドにＩＴ_Ｇｒｏｕｐと入力します。
手順 11
「ドメイン」ドロップダウンリストから「ＳＮＷＬ_ＡＤ」を選択します。
手順 12
「追加」を選択します。
374
SonicWALL SRA 5.5 管理者ガイド
手順 13
「ユーザ＞ローカルグループ」ページで、追加したグループを確認します。
ローカルグループの設定
この手順では、新たに作成した各ローカルグループを編集し、それぞれを対応するアクティブディレク
トリグループと関連付けます。
手順 1
「Ａｃｍｅ_Ｇｒｏｕｐ」行の「設定」ボタンを選択します。「グループ設定の編集」ウィンドウが表示されます。
手順 2
「グループ設定の編集」ウィンドウで「ＡＤグループ」タブを選択します。
手順 3
「ＡＤグループ」タブで「グループの追加」ボタンを選択します。
手順 4
「アクティブディレクトリグループの編集」ウィンドウの「アクティブディレクトリグループ」ドロップダウンリ
ストから「ＡｃｍｅＧｒｏｕｐ」を選択します。
SonicWALL SRA 5.5 管理者ガイド
375
手順 5
「編集」を選択します。
「ＡＤグループ」タブの「アクティブディレクトリグループ」テーブルに「ＡｃｍｅＧｒｏｕｐ」が表示されま
す。
手順 6
「グループ設定の編集」ウィンドウで「ＯＫ」を選択します。
手順 7
「ユーザ＞ローカルグループ」ページで、「Ｍｅｇａ_Ｇｒｏｕｐ」行の「設定」ボタンを選択します。「グルー
プ設定の編集」ウィンドウが表示されます。
手順 8
「グループ設定の編集」ウィンドウで「ＡＤグループ」タブを選択し、「グループの追加」ボタンを選択しま
す。
手順 9
「アクティブディレクトリグループの編集」ウィンドウの「アクティブディレクトリグループ」ドロップダウンリ
ストから「ＭｅｇａＧｒｏｕｐ」を選択し、「編集」を選択します。
「ＡＤグループ」タブの「アクティブディレクトリグループ」テーブルに「ＭｅｇａＧｒｏｕｐ」が表示されま
す。
手順 10
「グループ設定の編集」ウィンドウで「ＯＫ」を選択します。
手順 11
「ユーザ＞ローカルグループ」ページで、「ＩＴ_Ｇｒｏｕｐ」行の「設定」ボタンを選択します。「グループ
設定の編集」ウィンドウが表示されます。
手順 12
「グループ設定の編集」ウィンドウで「ＡＤグループ」タブを選択し、「グループの追加」ボタンを選択し
ます。
手順 13
「アクティブディレクトリグループの編集」ウィンドウの「アクティブディレクトリグループ」ドロップダウン
リストから「ＩＴＧｒｏｕｐ」を選択し、「編集」を選択します。
「ＡＤグループ」タブの「アクティブディレクトリグループ」テーブルに「ＩＴＧｒｏｕｐ」が表示されます。
手順 14
「グループ設定の編集」ウィンドウで「ＯＫ」を選択します。
以上で、３つのローカルグループを作成し、それぞれをアクティブディレクトリグループと関連付けた
ことになります。
ＳＳＨｖ２許可ポリシーの追加
このセクションでは、Ａｃｍｅ_ＧｒｏｕｐとＩＴ_Ｇｒｏｕｐの両方に対して１０.２００.１.１０２のサーバへのＳＳＨ
によるアクセスを許可するＳＳＨｖ２許可ポリシーを追加します。
この手順では、Ａｃｍｅ_ＧｒｏｕｐというＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮローカルグループのためのポリシーを
作成して、ＡｃｍｅＧｒｏｕｐというアクティブディレクトリグループのメンバーにＳＳＨアクセスを許可しま
す。
ＩＴ_Ｇｒｏｕｐについても同じ手順を繰り返し、それによってＩＴＧｒｏｕｐアクティブディレクトリグループのメ
ンバーにもＳＳＨアクセスを許可します。
手順 1
「ユーザ＞ローカルグループ」ページで、「Ａｃｍｅ_Ｇｒｏｕｐ」行の「設定」ボタンを選択します。「グルー
プ設定の編集」ウィンドウが表示されます。
手順 2
「グループ設定の編集」ウィンドウで「ポリシー」タブを選択します。
手順 3
「ポリシー」タブで「ポリシーの追加」を選択します。
376
SonicWALL SRA 5.5 管理者ガイド
手順 4
「ポリシーの追加」ウィンドウの「ポリシーの適用先」ドロップダウンリストから「ＩＰアドレス」を選択しま
す。
手順 5
「ポリシー名」フィールドにＳＳＨ許可と入力します。
手順 6
「ＩＰアドレス」フィールドに、ターゲットサーバのＩＰアドレスとして１０.２０２.１.１０２と入力します。
手順 7
「サービス」ドロップダウンリストから「セキュアシェルバージョン２（ＳＳＨｖ２）」を選択します。
手順 8
「状況」ドロップダウンリストから「許可」を選択し、「追加」を選択します。
手順 9
「グループ設定の編集」ウィンドウで「ＯＫ」を選択します。
ＯＷＡ許可ポリシーの追加
このセクションでは、Ｍｅｇａ_ＧｒｏｕｐとＩＴ_Ｇｒｏｕｐの両方に対してＯＷＡサービスへのセキュアウェブ
（ＨＴＴＰＳ）によるアクセスを許可する２つのＯＷＡ許可ポリシーを追加します。
この手順では、Ｍｅｇａ_ＧｒｏｕｐというＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮローカルグループのためのポリシーを
作成して、ＭｅｇａＧｒｏｕｐというアクティブディレクトリグループのメンバーにＯＷＡアクセスを許可しま
す。
Ｅｘｃｈａｎｇｅサーバにアクセスするには、１０.２００.１.１０／ｅｘｃｈａｎｇｅＵＲＬオブジェクト自体に許可ポ
リシーを追加するだけでは十分ではありません。１０.２００.１.１０／ｅｘｃｈｗｅｂへのアクセスを許可する
ＵＲＬオブジェクトポリシーも必要です。なぜなら、ＯＷＡウェブコンテンツの中にはｅｘｃｈｗｅｂディレ
クトリに置かれているものもあるからです。
ＩＴ_Ｇｒｏｕｐについても同じ手順を繰り返し、それによってＩＴＧｒｏｕｐアクティブディレクトリグループのメ
ンバーにもＯＷＡアクセスを許可します。
備考
この設定では、ＩＴ_ＧｒｏｕｐとＭｅｇａ_Ｇｒｏｕｐのメンバーは〈https://owa-server/public〉フォルダへ
のアクセスを拒否されます。なぜなら、これらのグループは／ｅｘｃｈａｎｇｅサブフォルダと／
ｅｘｃｈｗｅｂサブフォルダにしかアクセスできないからです。
ＯＷＡはウェブサービスなので、これらのＯＷＡポリシーはサーバＩＰアドレスではなく、Ｅｘｃｈａｎｇｅ
サーバＵＲＬオブジェクトに適用されます。
手順 1
「ユーザ＞ローカルグループ」ページで、「Ｍｅｇａ_Ｇｒｏｕｐ」行の「設定」ボタンを選択します。
Ｍｅｇａ_ＧｒｏｕｐがＯＷＡＥｘｃｈａｎｇｅサーバにアクセスできるようにするため、２つの許可ポリシーを作
成することにします。
手順 2
「グループ設定の編集」ウィンドウで「ポリシー」タブを選択し、「ポリシーの追加」を選択します。
SonicWALL SRA 5.5 管理者ガイド
377
手順 3
「ポリシーの追加」ウィンドウの「ポリシーの適用先」ドロップダウンリストから「ＵＲＬオブジェクト」を選
択します。
手順 4
「ポリシー名」フィールドにＯＷＡと入力します。
手順 5
「サービス」ドロップダウンリストから「セキュアウェブ（ＨＴＴＰＳ）」を選択します。
手順 6
「ＵＲＬ」フィールドに、ターゲットアプリケーションのＵＲＬとして１０.２００.１.１０／ｅｘｃｈａｎｇｅと入力しま
す。
手順 7
「状況」ドロップダウンリストから「許可」を選択し、「追加」を選択します。
手順 8
「グループ設定の編集」ウィンドウの「ポリシー」タブで、「ポリシーの追加」を選択します。
手順 9
「ポリシーの追加」ウィンドウの「ポリシーの適用先」ドロップダウンリストから「ＵＲＬオブジェクト」を選
択します。
手順 10
「ポリシー名」フィールドにＯＷＡｅｘｃｈｗｅｂと入力します。
手順 11
「サービス」ドロップダウンリストから「セキュアウェブ（ＨＴＴＰＳ）」を選択します。
手順 12
「ＵＲＬ」フィールドに、ターゲットアプリケーションのＵＲＬとして１０.２００.１.１０／ｅｘｃｈｗｅｂと入力しま
す。
手順 13
「状況」ドロップダウンリストから「許可」を選択し、「追加」を選択します。
手順 14
「グループ設定の編集」ウィンドウで「ＯＫ」を選択します。これでＭｅｇａ_Ｇｒｏｕｐ用のポリシーは完成し
ました。ＩＴ_Ｇｒｏｕｐについても同じ手順を繰り返し、それによってＩＴＧｒｏｕｐアクティブディレクトリグ
ループのメンバーにもＯＷＡアクセスを許可します。
378
SonicWALL SRA 5.5 管理者ガイド
アクセスポリシー設定の確認
この時点で次のような設定になっています。
･Ａｃｍｅ_Ｇｒｏｕｐのユーザには１０.２００.１.１０２へのＳＳＨアクセスが許可されている。
･Ｍｅｇａ_Ｇｒｏｕｐのユーザには１０.２００.１.１０のＯＷＡへのアクセスが許可されている。
･ＩＴ_Ｇｒｏｕｐのユーザには上述したＳＳＨとＯＷＡの両方へのアクセスが許可されている。
この設定を確認するには、別々のＡＤグループのメンバーとしてＳｏｎｉｃＷＡＬＬＳＲＡ上のＳＮＷＬ_ＡＤ
ドメインにログインし、これらのリソースへのアクセスを試みます。
テスト結果：ａｃｍｅｕｓｅｒによるアクセスの試み
ａｃｍｅｕｓｅｒがＳＮＷＬ_ＡＤドメインにログインします。
「ユーザ＞状況」ページに、ａｃｍｅｕｓｅｒがＡｃｍｅ_Ｇｒｏｕｐローカルグループのメンバーであることが
示されます。
SonicWALL SRA 5.5 管理者ガイド
379
ａｃｍｅｕｓｅｒは予想どおりＳＳＨアクセスができます。
ａｃｍｅｕｓｅｒは他のリソース（ＯＷＡ１０.２００.１.１０など）へのアクセスを試みますが、予想どおり拒
否されます。
380
SonicWALL SRA 5.5 管理者ガイド
テスト結果：ｍｅｇａｕｓｅｒによるアクセスの試み
ｍｅｇａｕｓｅｒがＳＮＷＬ_ＡＤドメインにログインします。
「ユーザ＞状況」ページに、ｍｅｇａｕｓｅｒがＭｅｇａ_Ｇｒｏｕｐローカルグループのメンバーであることが
示されます。
ｍｅｇａｕｓｅｒは予想どおりＯＷＡリソースにアクセスできます。
SonicWALL SRA 5.5 管理者ガイド
381
ｍｅｇａｕｓｅｒはＳＳＨアクセスを試みますが、予想どおり拒否されます。
テスト結果：ｉｔｕｓｅｒによるアクセスの試み
ｉｔｕｓｅｒがＳＮＷＬ_ＡＤドメインにログインします。「ユーザ＞状況」ページに、ｉｔｕｓｅｒがＩＴ_Ｇｒｏｕｐ
ローカルグループのメンバーであることが示されます。
ｉｔｕｓｅｒは予想どおり１０.２００.１.１０２へのＳＳＨアクセスができます。
382
SonicWALL SRA 5.5 管理者ガイド
ｉｔｕｓｅｒは予想どおりＯＷＡリソースにアクセスできます。
SonicWALL SRA 5.5 管理者ガイド
383
384
SonicWALL SRA 5.5 管理者ガイド
付録 D
ＮｅｔＥｘｔｅｎｄｅｒの
トラブルシューティング
付録 D
この付録では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮＮｅｔＥｘｔｅｎｄｅｒユーティリティのトラブルシューティングのため
の対応表を示します。
表 1 ＮｅｔＥｘｔｅｎｄｅｒをインストールできない
問題
ＮｅｔＥｘｔｅｎｄｅｒをインストールできな
い
解決法
1. ＯＳのバージョンを確認します。ＮｅｔＥｘｔｅｎｄｅｒは、ウィンドウ
ズ２０００またはそれ以降のバージョン、アップルＪａｖａ１.６.０
１０以降を持つＭａｃＯＳＸ１０.５、そしてＦｅｄｏｒａＣｏｒｅと
Ｕｂｕｎｔｕに加えＬｉｎｕｘＯｐｅｎＳＵＳＥに対応しています。Ｌｉｎｕｘ
は、ｉ３８６デストリビューションとＳｕｎＪａｖａ１.６.０１０以降が必
要です。
2. ユーザが管理者権限を持っていることを確認します。
ＮｅｔＥｘｔｅｎｄｅｒをインストールおよび実行するには、管理者権
限のあるユーザアカウントを使用する必要があります。
3. インターネットエクスプローラまたはサードパーティ製の遮断プロ
グラムによってＡｃｔｉｖｅＸが遮断されていないかどうかを確認し
ます。
4. 上記によっても問題が解決しない場合は、以下の情報を取得し
てサポートまで連絡してください。
- デバイスマネージャから取得したＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒアダプタのバージョン情報。
- Ｃ：￥Ｐｒｏｇｒａｍｆｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＳＳＬＶＰＮ￥
ＮｅｔＥｘｔｅｎｄｅｒ.ｄｂｇにあるログファイル。
- ウィンドウズのコントロールパネルの「管理ツール」フォルダにあ
る「イベントビューア」から取得したイベントログ。
アプリケーションおよびシステムイベントを選択し、「操作＞ログ
ファイルの名前を付けて保存」メニューを使って、イベントをログ
ファイルに保存します。
SonicWALL SRA 5.5 管理者ガイド
385
表 2 ＮｅｔＥｘｔｅｎｄｅｒの接続エントリを作成できない
問題
ＮｅｔＥｘｔｅｎｄｅｒの接続エントリを作
成できない
解決法
1. 「デバイスマネージャ」を開いて、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒアダプタが正しくインストールされているかどうか
を確認します。正しくインストールされていない場合は、デバイ
スリストからアダプタを削除し、コンピュータを再起動して、
ＮｅｔＥｘｔｅｎｄｅｒを再度インストールします。
2. 「コントロールパネル＞管理ツール＞サービス」を選択し、
ウィンドウズのサービスマネージャを開きます。「Ｒｅｍｏｔｅ
ＡｃｃｅｓｓＡｕｔｏＣｏｎｎｅｃｔｉｏｎＭａｎａｇｅｒ」および「Ｒｅｍｏｔｅ
ＡｃｃｅｓｓＣｏｎｎｅｃｔｉｏｎＭａｎａｇｅｒ」を探して、この２つのサー
ビスが開始されているかどうかを確認します。開始されていない
場合は、それらが自動で開始するように設定し、コンピュータ
を再起動して、ＮｅｔＥｘｔｅｎｄｅｒを再度インストールします。
3. 別のダイヤルアップ接続が使用中でないかどうかを確認します。
使用中の場合は、その接続を切断し、コンピュータを再起動し
て、ＮｅｔＥｘｔｅｎｄｅｒを再度インストールします。
4. 上記によっても問題が解決しない場合は、以下の情報を取得し
てサポートまで連絡してください。
- デバイスマネージャから取得したＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒアダプタのバージョン情報。
- Ｃ：￥Ｐｒｏｇｒａｍｆｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＳＳＬＶＰＮ￥
ＮｅｔＥｘｔｅｎｄｅｒ.ｄｂｇにあるログファイル。
- 「コントロールパネル＞管理ツール＞イベントビューア」から取
得したイベントログ。「アプリケーションおよびシステム」イベント
を選択し、「操作＞ログファイルの名前を付けて保存」メニューを
使って、イベントをログファイルに保存します。
386
SonicWALL SRA 5.5 管理者ガイド
表 3 ＮｅｔＥｘｔｅｎｄｅｒで接続できない
問題
ＮｅｔＥｘｔｅｎｄｅｒで接続できない
解決法
1. 「デバイスマネージャ」を開いて、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒアダプタが正しくインストールされているかどうか
を確認します。正しくインストールされていない場合は、デバイ
スリストからアダプタを削除し、コンピュータを再起動して、
ＮｅｔＥｘｔｅｎｄｅｒを再度インストールします。
2. ネットワーク接続を開いて、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒのダイヤルアップ接続エントリが作成されている
かどうかを確認します。作成されていない場合は、コンピュータ
を再起動し、ＮｅｔＥｘｔｅｎｄｅｒを再度インストールします。
3. 別のダイヤルアップ接続が使用中でないかどうかを確認します。
使用中の場合は、その接続を切断し、コンピュータを再起動し
て、ＮｅｔＥｘｔｅｎｄｅｒを再度接続します。
4. 上記によっても問題が解決しない場合は、以下の情報を取得し
てサポートまで連絡してください。
- デバイスマネージャから取得したＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒアダプタのバージョン情報。
- Ｃ：￥Ｐｒｏｇｒａｍｆｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＳＳＬＶＰＮ￥
ＮｅｔＥｘｔｅｎｄｅｒ.ｄｂｇにあるログファイル。
- 「コントロールパネル＞管理ツール＞イベントビューア」から取
得したイベントログ。「アプリケーションおよびシステム」イベント
を選択し、「操作＞ログファイルの名前を付けて保存」メニューを
使って、イベントをログファイルに保存します。
表 4 接続後にＮｅｔＥｘｔｅｎｄｅｒでブルースクリーンエラーが発生する
問題
接続後にＮｅｔＥｘｔｅｎｄｅｒでブルー
スクリーンエラーが発生する
解決法
1. ＮｅｔＥｘｔｅｎｄｅｒをアンインストールし、コンピュータを再起動し
て、最新バージョンのＮｅｔＥｘｔｅｎｄｅｒを再インストールします。
2. 以下の情報を取得してサポートまで連絡してください。
- デバイスマネージャから取得したＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒアダプタのバージョン情報。
- Ｃ：￥Ｐｒｏｇｒａｍｆｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＳＳＬＶＰＮ￥
ＮｅｔＥｘｔｅｎｄｅｒ.ｄｂｇにあるログファイル。
- Ｃ：￥Ｗｉｎｄｏｗｓ￥ＭＥＭＯＲＹ.ＤＭＰにあるウィンドウズのメモリダ
ンプファイル。このファイルが見つからない場合は、「システムの
プロパティ」を開いて、「詳細」タブの「起動／回復」ボタンをク
リックします。「デバッグ情報の書き込み」プルダウンメニューで、
「完全メモリダンプ」、「カーネルメモリダンプ」、または「最小メモ
リダンプ」を選択します。もちろん、ダンプファイルを取得するに
は、ブルースクリーンエラーを再現する必要もあります。
- 「コントロールパネル＞管理ツール＞イベントビューア」から取
得したイベントログ。「アプリケーションおよびシステム」イベント
を選択し、「操作＞ログファイルの名前を付けて保存」メニューを
使って、イベントをログファイルに保存します。
SonicWALL SRA 5.5 管理者ガイド
387
388
SonicWALL SRA 5.5 管理者ガイド
付録 E
付録 E
よく寄せられる質問
この付録では、ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮに関してよく寄せられる質問を示します。
この付録は以下のセクションで構成されます。
･「ハードウェアに関してよく寄せられる質問」（393 ページ）
- ＳＲＡ１２００／４２００のハードウェア仕様を教えてください。
- ＳＲＡ装置にハードウェアベースのＳＳＬアクセラレータは搭載されていますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置で実行されているオペレーティングシステムは何ですか。
- 複数のＳｏｎｉｃＷＡＬＬＳＲＡ装置を負荷分散して配置できますか。
･「デジタル証明書と認証局に関してよく寄せられる質問」（395 ページ）
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置にログインしたら、ブラウザまたはＪａｖａコンポーネントからエラーが出
力されました。どうすればよいですか。
- ＳＲＡ装置にログインすると次のメッセージが表示されます。どうすればよいですか。
- Ｆｉｒｅｆｏｘ３.０を使用してＳＲＡ装置にログインすると次のメッセージが表示されます。どうすれば
よいですか。
- Ｆｉｒｅｆｏｘ 3.5 を使用してＳＲＡにログインすると次の警告が表示されます。どうすればよいです
か。
- Ｊａｖａコンポーネントを起動するとエラーが表示されます。どうすればよいですか。
- ＳＳＬ証明書を購入する必要がありますか。
- デジタル証明書ではどの形式が使用されていますか。
- ワイルドカード証明書はサポートされていますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置ではどのＣＡの証明書が使用できますか。
- ＳＲＡ装置は連鎖証明書をサポートしていますか。
- ＳＲＡ装置の証明書を購入するとき、ほかにヒントはありますか。
- マイクロソフト証明書サーバで生成された証明書を使用できますか。
- 新しい証明書と秘密鍵をインポートできないのはなぜですか。
- 新しい証明書と秘密鍵をインポートした後にステータスが “保留” になるのはなぜですか。
- 複数の仮想ホストがあれば、複数の証明書を有効にできますか。
- ＣＳＲをＣＡのオンライン登録サイトにインポートしましたが、目的のウェブサーバの種類を指
定するように要求されます。どうすればよいですか。
SonicWALL SRA 5.5 管理者ガイド
389
- 鍵と証明書を保存することはできますか。
- ＰＫＣＳ＃７（連鎖証明書）とＰＫＣＳ＃１２（鍵および証明書のＰＦＸコンテナ）はＳＲＡ装
置でサポートされていますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置はクライアント側のデジタル証明書をサポートしますか。
- クライアント認証が要求されたとき、ＣＡ証明書がロードされているにもかかわらずクライアント
が接続できません。なぜでしょうか。
･「ＮｅｔＥｘｔｅｎｄｅｒに関してよく寄せられる質問」（401 ページ）
- ＮｅｔＥｘｔｅｎｄｅｒはウィンドウズ以外のオペレーティングシステムでも動作しますか。
- ＮｅｔＥｘｔｅｎｄｅｒがサポートしているのはウィンドウズのどのバージョンですか。
- ＮｅｔＥｘｔｅｎｄｅｒを実行しようとすると、管理者権限が必要というメッセージが表示されます。なぜ
ですか。
- ＮｅｔＥｘｔｅｎｄｅｒクライアント間の通信を遮断できますか。
- ＮｅｔＥｘｔｅｎｄｅｒをウィンドウズのサービスとして実行できますか。
- ＮｅｔＥｘｔｅｎｄｅｒのＩＰクライアントアドレス範囲として使用するのはどの範囲ですか。
- ＮｅｔＥｘｔｅｎｄｅｒクライアントルートには何を入力するのですか。
- 「トンネルオールモード」オプションはどのような機能を持ちますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡがＮｅｔＥｘｔｅｎｄｅｒを送信しているルートを確認する方法はありますか。
- インストールしたＮｅｔＥｘｔｅｎｄｅｒは、セッションを終了するときにアンインストールされますか。
- 新バージョンのＮｅｔＥｘｔｅｎｄｅｒを入手するにはどうすればよいですか。
- ＮｅｔＥｘｔｅｎｄｅｒは、ＳｏｎｉｃＷＡＬＬのグローバルＶＰＮクライアント（ＧＶＣ）など、従来の
ＩＰＳｅｃＶＰＮクライアントとはどう異なりますか。
- ＮｅｔＥｘｔｅｎｄｅｒは暗号化されますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置とサーバ間のクリアテキストトラフィックを保護する方法はありますか。
- ＮｅｔＥｘｔｅｎｄｅｒを使用するときにインストールされるＰＰＰアダプタは何ですか。
- プロキシアプリケーションの代わりにＮｅｔＥｘｔｅｎｄｅｒを使うメリットは何ですか。
- プロキシの代わりにＮｅｔＥｘｔｅｎｄｅｒを使用すると、パフォーマンスは変わりますか。
- ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮはアプリケーション依存ですが、標準的でないアプリケーションにはど
のように対処すればよいですか。
- ＳＳＨと言えば、ＳＳＨｖ２はサポートされていますか。
- ＡｃｔｉｖｅＸコンポーネントのインストールが必要になるのはなぜですか。
- ＮｅｔＥｘｔｅｎｄｅｒは、ＡＶ署名ファイルのチェックやウィンドウズレジストリのチェックなどの、デス
クトップセキュリティの強制をサポートしていますか。
- ＮｅｔＥｘｔｅｎｄｅｒは６４ビット版のマイクロソフトウィンドウズで動作しますか。
- ＮｅｔＥｘｔｅｎｄｅｒは３２ビット版と６４ビット版のマイクロソフトウィンドウズ７動作しますか。
- ＮｅｔＥｘｔｅｎｄｅｒはクライアント側の証明書をサポートしていますか。
- ファイアウォールが、ＮｅｔＥｘｔｅｎｄｅｒ接続をなりすましとしてＳｏｎｉｃＷＡＬＬＳＲＡから切断してし
まいます。なぜでしょうか。
･「一般的によく寄せられる質問」（404 ページ）
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、真のリバースプロキシですか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続するためには、どのブラウザとバージョンが必要ですか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続するためには、ブラウザ上で何を起動する必要がありますか。
- Ｊａｖａのどのバージョンが必要ですか。
- どのようなオペレーティングシステムがサポートされていますか。
390
SonicWALL SRA 5.5 管理者ガイド
- サーバ名が “ファイル共有” コンポーネントに認識されないのはなぜですか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置はＳＰＩファイアウォールを備えていますか。
- ＨＴＴＰを使用してＳｏｎｉｃＷＡＬＬＳＲＡ装置にアクセスできますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置の最も一般的な配備は、どのようなものですか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置を、１ポートモードでＳｏｎｉｃＷＡＬＬセキュリティ装置と共にインストー
ルすることが推奨されるのはなぜですか。
- 複数のインターフェースを使用したり、装置を２ポートモードでインストールするようなインストー
ルシナリオもありますか。
- 複数のＳｏｎｉｃＷＡＬＬＳＲＡ装置をカスケード接続して、複数の同時接続をサポートできます
か。
- ＳｏｎｉｃＷＡＬＬＳＲＡの管理インターフェースにログインできないのはなぜですか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置を使用してサイト間ＶＰＮトンネルを作成できますか。
- ＳｏｎｉｃＷＡＬＬグローバルＶＰＮクライアント（または他のサードパーティＶＰＮクライアント）を
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続することはできますか。
- モデム接続を通じてＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続できますか。
- ＳＲＡ装置ではどのＳＳＬ暗号がサポートされていますか。
- ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでＡＥＳはサポートされますか。
- ＩＰＳｅｃＶＰＮと同様のパフォーマンス（速度、遅延、スループット）を得ることができますか。
- ２ファクタ認証（ＲＳＡＳｅｃｕｒＩＤなど）はサポートされますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置はＶｏＩＰをサポートしますか。
- Ｓｙｓｌｏｇはサポートされていますか。
- ＮｅｔＥｘｔｅｎｄｅｒはマルチキャストをサポートしていますか。
- ＳＮＭＰとＳｙｓｌｏｇはサポートされていますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置はコマンドラインインターフェース（ＣＬＩ）を備えていますか。
- ＴｅｌｎｅｔまたはＳＳＨでＳＲＡ装置に入ることはできますか。
- ユーザアクセスを制御する場合、ドメインとフォレストの両方の単位で権限を適用できますか。
- ウェブキャッシュクリーナはどのような処理を実行しますか。
- ウェブブラウザを終了するときにウェブキャッシュクリーナが動作しないのはなぜですか。
- 「設定ファイルの暗号化」チェックボックスにはどのような機能がありますか。
- 「設定の保存」ボタンにはどのような機能がありますか。
- 「バックアップの作成」ボタンにはどのような機能がありますか。
- “セーフモード” とは何ですか。
- セーフモードメニューにアクセスするにはどうすればよいですか。
- ポータルページの色を変更できますか。
- どのような認証方式がサポートされていますか。
- 認証方式としてアクティブディレクトリを使用するようにＳｏｎｉｃＷＡＬＬＳＲＡ装置を設定したので
すが、非常に奇妙なエラーメッセージが表示され、正しく動作しません。なぜでしょうか。
- ウィンドウズＸＰＳＰ２システムがＲＤＰベースのコネクタを使用できません。なぜでしょうか。
- ＦＴＰブックマークを作成しましたが、アクセスするとファイル名が文字化けします。なぜでしょ
う。
- ＶＮＣクライアントはどこで入手できますか。
- ＧＭＳまたはＶｉｅｗＰｏｉｎｔでＳＲＡ１２００／４２００装置は完全にサポートされていますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置はプリンタマッピングをサポートしますか。
SonicWALL SRA 5.5 管理者ガイド
391
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置をワイヤレスで統合できますか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置の任意のインターフェースＩＰアドレスで装置を管理できますか。
- 特定のアクティブディレクトリユーザにのみＳｏｎｉｃＷＡＬＬＳＲＡ装置へのログインを許可するこ
とはできますか。
- ＨＴＴＰ(Ｓ) プロキシはフルバージョンのアウトルックウェブアクセス（ＯＷＡプレミアム）をサ
ポートしていますか。
- ＲＤＰセッションが頻繁に切断されるのはなぜですか。
- ブックマークセクションで提供されているサービス以外に独自のブックマーク用サービスを作成で
きますか。
- ファイル共有コンポーネントでネットワーク上のすべてのサーバが表示されないのはなぜですか。
- ＳＲＡ装置がＲａｄｉｕｓトラフィックのために使用しているポートは何ですか。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、同じユーザアカウントによる同時ログインをサポートしています
か。
- ＳＲＡ装置はＮＴＬＡＮＭａｎａｇｅｒ（ＮＴＬＭ）認証をサポートしていますか。
- ウィンドウズ認証が有効な場合に、ウェブブラウザに接続できません。接続しようとすると、次
のエラーメッセージが表示されます： “ターゲットのウェブサーバでＳＳＬＶＰＮを通じてサポー
ト対象外のＨＴＴＰ(Ｓ) 認証方式が使用されています。現在サポートされているのは基本認証と
ダイジェスト認証方式だけです。管理者に相談してください。” －なぜですか。
- Ｊａｖａサービス（ＴｅｌｎｅｔやＳＳＨなど）がプロキシサーバ経由で機能しないのはなぜですか。
- ＳＳＨクライアントがＳＳＨサーバに接続しないのはなぜですか。
- ＪａｖａベースのＳＳＨｖ１およびＴｅｌｎｅｔプロキシではＦ１～Ｆ１２キーはどのように扱われます
か。
- サービスブックマークのポートオプションがありません。既定と違うポートにあるとどうなります
か。
- ブックマークでウェブサーバ上のディレクトリをポイントするにはどうすればよいですか。
- Ｔｅｌｎｅｔブックマークを使用してマイクロソフトＴｅｌｎｅｔサーバにアクセスするときに、ユーザ名を
入力できないのはなぜですか。
- どのバージョンのＣｉｔｒｉｘがサポートされていますか。
392
SonicWALL SRA 5.5 管理者ガイド
ハードウェアに関してよく寄せられる質問
1. ＳＲＡ１２００／４２００のハードウェア仕様を教えてください。
回答：
インターフェース
ＳＲＡ１２００：１０／１００／１０００イーサネット× ２、ＲＪ-４５シリアルポート（１１５２００ボー）
×１
ＳＲＡ４２００：１０／１００／１０００イーサネット× ４、ＲＪ-４５シリアルポート（１１５２００ボー）
×１
プロセッサ
ＳＲＡ１２００：１.５ＧＨｚＶｉａ C７ｘ８６プロセッサ
ＳＲＡ４２００：１.８ＧＨｚＶｉａ C７ｘ８６プロセッサ、暗号化アクセラレータ
メモリ（ＲＡＭ）
ＳＲＡ１２００：１ＧＢ
ＳＲＡ４２００：２ＧＢ
フラッシュメモリ
ＳＲＡ１２００：１ＧＢ
ＳＲＡ４２００：１ＧＢ
電源
ＳＲＡ１２００：内部
ＳＲＡ４２００：内部
最大電力消費量
ＳＲＡ１２００：５３Ｗ
ＳＲＡ４２００：７５Ｗ
放熱総量
ＳＲＡ１２００：１８１ＢＴＵ
ＳＲＡ４２００：２５６ＢＴＵ
寸法
ＳＲＡ１２００：１７.００ × １０.１２５ × １.７５インチ（４３.１８ × ２５.７０ × ４.４５ｃｍ）
ＳＲＡ４２００：１７.００ × １０.１２５ × １.７５インチ（４３.１８ × ２５.７０ × ４.４５ｃｍ）
重量
ＳＲＡ１２００：９.５ｌｂｓ（４.３１ｋｇ）
ＳＲＡ４２００：８.７０ｌｂｓ（３.９５ｋｇ）
主要な適合規格（全モデル）
ＳＲＡ１２００／４２００：
ＦＣＣＣｌａｓｓＡ、ＩＣＥＳＣｌａｓｓＡ、ＣＥ、Ｃ-Ｔｉｃｋ、ＶＣＣＩＣｌａｓｓＡ、ＭＩＣ、ＮＯＭ、ＵＬ、
ｃＵＬ、ＴＵＶ／ＧＳ、ＣＢ
ＷＥＥＥ、ＲｏＨＳ（ヨーロッパ）、ＲｏＨＳ（中国）
ＦＩＰＳ：機械的な設計により、ＦＩＰＳ１４０-2 レベル２に対応済み
設置環境
気温：
ＳＲＡ１２００／４２００：３２～１０５Ｆ、０～４０Ｃ
SonicWALL SRA 5.5 管理者ガイド
393
相対湿度：
ＳＲＡ１２００／４２００：５～９５％、結露のないこと
ＭＴＢＦ
ＳＲＡ１２００：１３年
ＳＲＡ４２００：８.３年
2. ＳＲＡ装置にハードウェアベースのＳＳＬアクセラレータは搭載されていますか。
回答：ＳＲＡ４２００にハードウェアベースのＳＳＬアクセラレータがオンボード搭載されています。
ＳＲＡ１２００にはハードウェアベースのＳＳＬアクセラレータプロセッサは搭載されていません。
3. ＳｏｎｉｃＷＡＬＬＳＲＡ装置で実行されているオペレーティングシステムは何ですか。
回答：装置ではＳｏｎｉｃＷＡＬＬ独自の堅牢なＬｉｎｕｘディストリビューションが実行されています。
4. 複数のＳｏｎｉｃＷＡＬＬＳＲＡ装置を負荷分散して配置できますか。
回答：はい。負荷分散またはコンテンツスイッチでＳＳＬセッションＩＤの恒久性かＣｏｏｋｉｅベースの
恒久性に基づいてセッションを追跡できる限りは可能です。
表 1 ＳＲＡ１２００／４２００の諸元表
394
諸元
最大サポート数
（1200）
最大サポート数
（4200）
最大サポート数
（Virtual Appliance）
ポータルエントリ数
32
32
32
ドメインエントリ数
32
32
32
グループエントリ数
64
64
64
ユーザエントリ数
1,000
2,000
2,000
ＮｅｔＥｘｔｅｎｄｅｒグローバルクライアントルー 100
ト数
100
100
ＮｅｔＥｘｔｅｎｄｅｒグループクライアントルート
数
100
100
100
ＮｅｔＥｘｔｅｎｄｅｒユーザクライアントルート数
100
100
100
最大同時ユーザ数
200
1024
1024
最大同時Ｎｘトンネル数
50
500
500
ルートエントリ数
32
32
32
ホストエントリ数
32
32
32
ブックマークエントリ数
300
300
300
ポリシーエントリ数
32
32
32
ポリシーアドレスエントリ数
32
32
32
ネットワークオブジェクト数
64
64
64
“アドレス” ネットワークオブジェクト数
16
16
16
“ネットワーク” ネットワークオブジェクト数
32
32
32
“サービス” ネットワークオブジェクト数
32
32
32
ＳＭＢ共有数
1,024
1,024
1,024
ＳＭＢノード数
1,024
1,024
1,024
ＳＭＢワークグループ数
8
8
8
同時ＦＴＰセッション数
8
8
8
ログサイズ
250KB
250KB
250KB
SonicWALL SRA 5.5 管理者ガイド
デジタル証明書と認証局に関してよく寄せられる質問
1. ＳｏｎｉｃＷＡＬＬＳＲＡ装置にログインしたら、ブラウザまたはＪａｖａコンポーネントからエラーが出力
されました。どうすればよいですか。
回答：これらのエラーは、次の３つの要因の組み合わせが原因で発生します。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置内の証明書がブラウザによって信頼されていない。
- ＳｏｎｉｃＷＡＬＬＳＲＡ装置内の証明書の有効期限が切れている。
- クライアントのウェブブラウザが要求するサイトが、証明書に埋め込まれているサイト名に一致
しない。
ウェブブラウザは、上の３つの条件が完全に満たされない場合に警告を出力するようにプログラムさ
れています。このセキュリティメカニズムは、エンドツーエンドのセキュリティの実現を目的とするもの
ですが、場合によっては何かが壊れたのではないかとユーザが混乱することがあります。既定の自己
署名証明書を使用している場合は、ウェブブラウザがＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続するたびにこの
エラーが表示されます。しかし、これは単なる警告であり、ＳＳＬハンドシェーク時にネゴシエートされ
るセキュリティには影響しないため、無視しても問題ありません。このエラーを表示しないようにするに
は、信頼済みのＳＳＬ証明書を購入してＳｏｎｉｃＷＡＬＬＳＲＡ装置にインストールする必要があります。
2. ＳＲＡ装置にログインすると次のメッセージが表示されます。どうすればよいですか。
回答：問題としては前の話題で指摘したものと同じですが、これはマイクロソフトインターネットエクス
プローラ７.０（２００６年１０月下旬にマイクロソフトアップデートウェブサイトで公開）の新しい “改良
された” セキュリティ警告画面です。ＩＥ５.ｘおよびＩＥ６.ｘ以前は証明書が信頼されていない理由を示
すポップアップが表示されましたが、ＩＥ７.０ではユーザにそのページを閉じた方がよいことを勧める一
般的なエラーページだけが表示されます。そのまま「はい」を選択して先に進むようにはなっておら
ず、ユーザは埋め込まれた「このサイトの閲覧を続行する（推奨されません）。」リンクを選択する必
要があります。そのため、すべてのＳｏｎｉｃＷＡＬＬＳＲＡ装置に、ゆくゆくは信頼されているデジタル
証明書をインストールすることを強くお勧めします。
SonicWALL SRA 5.5 管理者ガイド
395
3. Ｆｉｒｅｆｏｘ３.０を使用してＳＲＡ装置にログインすると次のメッセージが表示されます。どうすればよ
いですか。
回答：インターネットエクスプローラの場合の上記のエラーと同様、Ｆｉｒｅｆｏｘ３.０も証明書に関する問
題が検出されると独自のエラーメッセージを返します。このエラーが出る条件は上記のインターネット
エクスプローラのエラーと同じです。
この画面をパスするには、下部にある「例外として扱うこともできます」リンクを選択し、「例外を追
加」ボタンを選択します。「セキュリティ例外の追加」ウィンドウで「証明書を取得」ボタンを選択し、
「この例外を永続的に保存する」をオンにし、最後に「セキュリティ例外の確認」ボタンを選択します。
以下を参照してください。
これは面倒なので、すべてのＳｏｎｉｃＷＡＬＬＳＲＡ装置に、ゆくゆくは信頼されているデジタル証明書
をインストールすることを強くお勧めします。
4. Ｆｉｒｅｆｏｘ 3.5 を使用してＳＲＡにログインすると次の警告が表示されます。どうすればよいですか。
396
SonicWALL SRA 5.5 管理者ガイド
回答：これは、証明書に関する問題が検出されたときに表示されるＦｉｒｅｆｏｘ３.５の警告メッセージで
す。このエラーが出る条件は上記のインターネットエクスプローラのエラーと同じです。
この画面をパスするには、「危険性を理解した上で接続するには」の横にある矢印をクリックしてセク
ションを展開し、「例外を追加」ボタンを選択します。
SonicWALL SRA 5.5 管理者ガイド
397
「セキュリティ例外の追加」ウィンドウで「証明書を取得」ボタンを選択し、「次回以降にもこの例外を
有効にする」をオンにし、最後に「セキュリティ例外を承認」ボタンを選択します。以下を参照してくだ
さい。
これは面倒なので、すべてのＳｏｎｉｃＷＡＬＬＳＲＡ装置に、ゆくゆくは信頼されているデジタル証明書
をインストールすることを強くお勧めします。
5. Ｊａｖａコンポーネントを起動するとエラーが表示されます。どうすればよいですか。
回答：前のセクションを参照してください。これが起こるのは証明書がウェブブラウザによって信頼さ
れていないか、ブラウザの要求したサイトの名前が、ＳＳＬハンドシェークプロセスの最中にＳＲＡ装
置から提示されたサイト証明書に埋め込まれている名前と一致しないからです。このエラーは無視して
かまいません。
6. ＳＳＬ証明書を購入する必要がありますか。
回答：いいえ。セキュリティ警告は無視してかまいません。これらは証明書が信頼されていないか、
証明書に一致しない情報が含まれていることをユーザに知らせるものです。信頼されていない証明書
を受け取っても、ＳＳＬハンドシェーク時にネゴシエートされる暗号化のレベルには関係しません。しか
し、ＳｏｎｉｃＷＡＬＬではｗｗｗ.ｒａｐｉｄｓｓｌ.ｃｏｍのデジタル証明書をお勧めしています。この証明書は安
価で、ＳｏｎｉｃＷＡＬＬＳＲＡ装置で適切に動作します。また、他の認証局では購入の際に要求される
バックグラウンドチェックも不要です。証明書をオンラインで購入してインストールする方法について
は、次の白書を参照してください。
〈http://www.sonicwall.com/us/support/3165.html〉 .
7. デジタル証明書ではどの形式が使用されていますか。
398
SonicWALL SRA 5.5 管理者ガイド
回答：Ｘ５０９ｖ３です。
8. ワイルドカード証明書はサポートされていますか。
回答：はい。
9. ＳｏｎｉｃＷＡＬＬＳＲＡ装置ではどのＣＡの証明書が使用できますか。
回答：Ｘ５０９ｖ３形式の証明書であれば、Ｖｅｒｉｓｉｇｎ、Ｔｈａｗｔｅ、Ｂａｌｔｉｍｏｒｅ、ＲＳＡなど、どのＣＡ
の証明書も使用できます。
10. ＳＲＡ装置は連鎖証明書をサポートしていますか。
回答：はい、サポートしています。「システム＞証明書」ページで以下の操作を行います。
- 「サーバ証明書」で「証明書のインポート」を選択し、ＳＳＬサーバ証明書と鍵をまとめて .ｚｉｐ
ファイルとしてアップロードします。証明書の名前は “ｓｅｒｖｅｒ.ｃｒｔ” とします。秘密鍵の名前は
“ｓｅｒｖｅｒ.ｋｅｙ” とします。
- 「追加のＣＡ証明書」で「証明書のインポート」ボタンを選択し、中間ＣＡの証明書をアップ
ロードします。この証明書はＰＥＭエンコード形式のテキストファイルです。
中間ＣＡの証明書をアップロードした後、システムを再起動してください。ＣＡ証明書バンドルに含め
られた新しい証明書を使用してウェブサーバを再起動する必要があります。
11. ＳＲＡ装置の証明書を購入するとき、ほかにヒントはありますか。
回答：毎年の更新は煩わしいので、複数年の証明書を購入することをお勧めします（更新を忘れが
ちで、証明書の期限が切れると管理者は大変な思いをするからです）。ＳＲＡ装置に接続するすべて
のユーザにウィンドウズアップデート（マイクロソフトアップデートとも呼ばれる）を実行させて “ルート
証明書” アップデートがインストールされるようにすることもポイントになるでしょう。
12. マイクロソフト証明書サーバで生成された証明書を使用できますか。
回答：はい。しかし、ブラウザからの警告を回避するには、マイクロソフトＣＡのルート証明書を、
装置に接続するすべてのウェブブラウザにインストールする必要があります。
13. 新しい証明書と秘密鍵をインポートできないのはなぜですか。
回答：必ずＰＥＭ形式の秘密鍵ファイル “ｓｅｒｖｅｒ.ｋｅｙ” とＰＥＭ形式の証明書ファイル “ｓｅｒｖｅｒ.ｃｒｔ”
から成る .ｚｉｐファイルをアップロードしてください。この .ｚｉｐファイルはディレクトリを持たないフラットな
ファイル構造で、 “ｓｅｒｖｅｒ.ｋｅｙ” ファイルと “ｓｅｒｖｅｒ.ｃｒｔ” ファイルだけを含まなければなりません。ま
た、鍵と証明書が対のものでないと、インポートは失敗します。
14. 新しい証明書と秘密鍵をインポートした後にステータスが “保留” になるのはなぜですか。
回答：新しい証明書の横の「設定」アイコンを選択し、証明書署名リクエスト（ＣＳＲ）を作成すると
きに指定したパスワードを入力して、証明書のインポートを完了します。この操作が行われると、
ＳｏｎｉｃＷＡＬＬＳＲＡ装置で証明書を有効化できます。
15. 複数の仮想ホストがあれば、複数の証明書を有効にできますか。
回答：２.５ファームウェアより以前の場合：いいえ、有効にできる証明書は１つだけです。ＳＲＡ装
置の証明書に埋め込まれた名前と一致しない名前を持つ他の仮想サイトからは、そこに接続したウェ
ブブラウザに対してセキュリティ警告が出されます。
２.５ファームウェア以降の場合は、「ポータル＞ポータル：ポータルの編集－仮想ホスト」タブで
ポータルごとに証明書を選択できます。ポータルの「仮想ホストの設定」フィールドで別々のＩＰアドレ
スと、ポータルごとの証明書を指定できます。管理者が複数のポータルを設定した場合は、各ポータ
ルに異なる証明書を関連付けることができます。例えば、ブラウザで
ｖｉｒｔｕａｌａｓｓｉｓｔ.ｔｅｓｔ.ｓｏｎｉｃｗａｌｌ.ｃｏｍを指せば、ｓｓｌｖｐｎ.ｔｅｓｔ.ｓｏｎｉｃｗａｌｌ.ｃｏｍにもアクセスされます。
これらのポータル名ごとに固有の証明書を持つことができます。これはブラウザで “このサーバはａｂｃ
SonicWALL SRA 5.5 管理者ガイド
399
ですが、証明書はｘｙｚです。処理を続けますか？” というような証明書不一致の警告が表示される
のを防ぐのに役立ちます。
16. ＣＳＲをＣＡのオンライン登録サイトにインポートしましたが、目的のウェブサーバの種類を指定す
るように要求されます。どうすればよいですか。
回答： “Ａｐａｃｈｅ” を選択してください。
17. 鍵と証明書を保存することはできますか。
回答：はい。鍵はＣＳＲの生成プロセスの際にＣＳＲと共にエクスポートされます。ＣＡから受け取る
証明書と共に、これを安全な場所に保管することを強くお勧めします。こうしておけば、ＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置の交換が必要になるか装置が故障しても、鍵と証明書を再ロードできます。設定は「シス
テム＞設定」ページからいつでもエクスポートできます。
18. ＰＫＣＳ＃７（連鎖証明書）とＰＫＣＳ＃１２（鍵および証明書のＰＦＸコンテナ）はＳＲＡ装置で
サポートされていますか。
回答：いいえ、どちらも現在のところサポートされていません。ＳｏｎｉｃＷＡＬＬでは、これらを将来のリ
リースでサポートするか検討中です。
19. ＳｏｎｉｃＷＡＬＬＳＲＡ装置はクライアント側のデジタル証明書をサポートしますか。
回答：はい、クライアント証明書は「ユーザ＞ローカルユーザ：ユーザの編集－ログインポリ
シー」タブでドメイン単位またはユーザ単位で強制されます。
･ドメイン単位／ユーザ単位のクライアント証明書の強制に関する設定：
- ユーザの名前がクライアント証明書の一般名（ＣＮ）と一致することを確認するオプション
- クライアント証明書サブジェクトの部分ＤＮを確認するオプション（省略可能）。次の変数がサ
ポートされています。
ユーザ名：％ＵＳＥＲＮＡＭＥ％
ドメイン名：％ＵＳＥＲＤＯＭＡＩＮ％
アクティブディレクトリユーザ名：％ＡＤＵＳＥＲＮＡＭＥ％
ワイルドカード：％ＷＩＬＤＣＡＲＤ％
備考
３.５より以前のファームウェアでは、クライアント証明書のＣＮフィールドを、装置にログインするた
めに入力されるユーザ名（ＣＮ＝ユーザ名）とする必要があります。
･マイクロソフトＣＡのサブジェクト名のサポート。ＣＮはユーザのフルネームで、例えば、ＣＮ＝
ＪｏｈｎＤｏｅ。クライアント証明書を認証するときは、アクティブディレクトリドメイン内のユーザに対
してＡＤ内のユーザのフルネームと相対応するＣＡを与えることが試みられます。
･クライアント証明書の認証が失敗した場合の詳細なメッセージとログメッセージは、「ログ＞表示」
ページで表示できます。
･証明書失効リスト（ＣＲＬ）サポート。各ＣＡ証明書で、オプションのＣＲＬによるファイルのイン
ポートまたはＵＲＬによる定期的なインポートがサポートされるようになりました。
クライアント証明書をクライアントのブラウザにロードする必要があります。クライアント証明書の信頼
チェーン内の証明書をＳＲＡ装置にインストールすることも忘れないでください。
20. クライアント認証が要求されたとき、ＣＡ証明書がロードされているにもかかわらずクライアントが接
続できません。なぜでしょうか。
回答：クライアント認証でＣＡ証明書を使用するには、ＣＡ証明書をロードした後に、ＳｏｎｉｃＷＡＬＬ
ＳＲＡを再起動する必要があります。クライアント証明書の検証に失敗した場合も、ログオンできませ
ん。最も一般的な理由として、証明書がまだ有効でない、証明書の有効期限が切れている、ログイ
ン名が証明書の共通名に一致しない、証明書が送付されていないことが挙げられます。
400
SonicWALL SRA 5.5 管理者ガイド
ＮｅｔＥｘｔｅｎｄｅｒに関してよく寄せられる質問
1. ＮｅｔＥｘｔｅｎｄｅｒはウィンドウズ以外のオペレーティングシステムでも動作しますか。
回答：はい。バージョン２.５のファームウェアでは、ＭａｃとＬｉｎｕｘがサポート対象プラットフォームと
して追加されました。
Ｍａｃの要件：
･ＭａｃＯＳＸ１０.５以上
･ＡｐｐｌｅＪａｖａ１.６.０１０以上（「Ａｐｐｌｅメニュー＞ソフトウェア更新」でインストール／アップグ
レード可能。ＯＳＸ１０.５以上では事前インストール済み）
Ｌｉｎｕｘの要件：
･Ｌｉｎｕｘのｉ３８６互換ディストリビューション
･ＳｕｎＪａｖａ１.６.０１０以上
･Ｆｅｄｏｒａ： FC3 ～ FC13 はテストが成功しています。
･Ｓｕｓｅ：１０.３でテストが成功しています。
･Ｕｂｕｎｔｕ：１０.４までテストが成功しています。
それぞれのリリースについてｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍからＮｅｔＥｘｔｅｎｄｅｒインストールパッケージを個別に
ダウンロードすることもできます。
2. ＮｅｔＥｘｔｅｎｄｅｒがサポートしているのはウィンドウズのどのバージョンですか。
回答：ＮｅｔＥｘｔｅｎｄｅｒがサポートするバージョン：
･ウィンドウズＸＰサービスパック３（ＳＰ３）
･ＶｉｓｔａＳＰ２
･ウィンドウズ７
3. ＮｅｔＥｘｔｅｎｄｅｒを実行しようとすると、管理者権限が必要というメッセージが表示されます。なぜで
すか。
回答：ＳＲＡ装置で１.０のファームウェアが実行されている場合、ウィンドウズ２０００／ＸＰ／
２００３／Ｖｉｓｔａ、およびウィンドウズ７のシステムではＮｅｔＥｘｔｅｎｄｅｒなどのＡｃｔｉｖｅＸベースのコン
ポーネントをインストールするためにログインユーザに管理者権限が必要なため、管理者権限のない
システムではＮｅｔＥｘｔｅｎｄｅｒを実行できなくなります（こうした状況は、この種の動作を禁止するため
にＯＳがロックされているキオスクまたは公開コンピュータ環境でよく起こります）。ＳＲＡ装置で１.５以
上のファームウェアが実行されている場合、管理者権限を持つユーザによってシステムに事前に
ＮｅｔＥｘｔｅｎｄｅｒがインストールされていれば、ＮｅｔＥｘｔｅｎｄｅｒを実行できます。
4. ＮｅｔＥｘｔｅｎｄｅｒクライアント間の通信を遮断できますか。
回答：はい。ユーザ／グループ／グローバルポリシーを使用して、ＮｅｔＥｘｔｅｎｄｅｒのＩＰ範囲に “拒
否” ポリシーを追加することで実現できます。
5. ＮｅｔＥｘｔｅｎｄｅｒをウィンドウズのサービスとして実行できますか。
回答：１.５以上のファームウェアに含まれているウィンドウズ版のＮｅｔＥｘｔｅｎｄｅｒをインストールして
ウィンドウズのサービスとして実行するように設定することができます。これによりシステムは
ＮｅｔＥｘｔｅｎｄｅｒクライアントをまたいでドメインにログインできるようになります。
6. ＮｅｔＥｘｔｅｎｄｅｒのＩＰクライアントアドレス範囲として使用するのはどの範囲ですか。
SonicWALL SRA 5.5 管理者ガイド
401
回答：この範囲は外部からやってくるＮｅｔＥｘｔｅｎｄｅｒクライアントに割り当てられるプールです。
ＮｅｔＥｘｔｅｎｄｅｒクライアントは実際には内部ネットワーク上に存在するかのように見えます。これは
ＳｏｎｉｃＷＡＬＬのグローバルＶＰＮクライアントにおける仮想アダプタ機能とよく似ています。有効な
ＮｅｔＥｘｔｅｎｄｅｒセッションごとに１つのＩＰアドレスを割り当てる必要があるので、最大で同時に２０の
ＮｅｔＥｘｔｅｎｄｅｒセッションを使うと予想される場合には、２０個の空きＩＰアドレスを持つ範囲を作成して
ください。これらのＩＰアドレスは空いていて他のネットワーク装置から使われていないか、他の
ＤＨＣＰサーバのスコープに含まれていなければなりません。例えば、ＳＲＡ装置がＸ０インターフェー
ス上で１ポートモードで既定のＩＰアドレス１９２.１６８.２００.１を使用している場合は、
１９２.１６８.２００.１５１～１９２.１６８.２００.１７１の範囲のアドレスを持つプールを作成します。１.５の
ファームウェアでは、グループごとまたはユーザごとに複数の固有のプールを作成できます。
7. ＮｅｔＥｘｔｅｎｄｅｒクライアントルートには何を入力するのですか。
回答：これらは、リモートＮｅｔＥｘｔｅｎｄｅｒクライアントに送信されるネットワークであり、ＮｅｔＥｘｔｅｎｄｅｒ
クライアントにアクセスさせるすべてのネットワークを含む必要があります。例えば、ＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置が１ポートモードで、ＤＭＺ上のＳｏｎｉｃＷＡＬＬＮＳＡ３５００装置にそのＤＭＺのサブネッ
トとして１９２.１６８.２００.０／２４を使用して接続しており、さらにＳｏｎｉｃＷＡＬＬＮＳＡ３５００に
１９２.１６８.１６８.０／２４と１９２.１６８.１７０.０／２４という２つのＬＡＮサブネットがある場合は、クラ
イアントルートとしてその２つのＬＡＮサブネットを入力すれば、ＮｅｔＥｘｔｅｎｄｅｒクライアントが両方の
ＬＡＮサブネット上のネットワークリソースにアクセスできるようになります。
8. 「トンネルオールモード」オプションはどのような機能を持ちますか。
回答：この機能を有効にすると、ＳｏｎｉｃＷＡＬＬＳＲＡ装置は２つの既定ルートに対して、アクティブ
なＮｅｔＥｘｔｅｎｄｅｒクライアントがＳｏｎｉｃＷＡＬＬＳＲＡ装置を経由してすべてのトラフィックを送信するよう
に設定します。ＳｏｎｉｃＷＡＬＬＳＲＡ装置が、すべてのＵＴＭサービスを実行するＳｏｎｉｃＷＡＬＬセ
キュリティ装置と連携して配備される環境では、すべての送受信ＮｅｔＥｘｔｅｎｄｅｒユーザトラフィックに対
してウィルス、スパイウェア、侵入防御、およびコンテンツフィルタが走査されるため、この機能が役
立ちます。
9. ＳｏｎｉｃＷＡＬＬＳＲＡがＮｅｔＥｘｔｅｎｄｅｒを送信しているルートを確認する方法はありますか。
回答：はい。タスクバーのＮｅｔＥｘｔｅｎｄｅｒアイコンを右クリックし、「ルート情報」を選択してください。
同じメニューで、ステータス情報と接続情報も入手できます。
10. インストールしたＮｅｔＥｘｔｅｎｄｅｒは、セッションを終了するときにアンインストールされますか。
回答：既定では、ＮｅｔＥｘｔｅｎｄｅｒが最初にインストールされると、システムに常駐します。ただし、こ
れは、ＮｅｔＥｘｔｅｎｄｅｒの実行時にタスクバーのＮｅｔＥｘｔｅｎｄｅｒアイコンから「ブラウザ終了時にアンイ
ンストール＞はい」オプションを選択することによって制御できます。このオプションをオンにすると、
ＮｅｔＥｘｔｅｎｄｅｒが閉じられるときに削除されます。コントロールパネルの「プログラムの追加と削除」
からアンインストールすることもできます。以降のログイン時間を高速化するために、既定では
ＮｅｔＥｘｔｅｎｄｅｒはシステムに常駐します。
11. 新バージョンのＮｅｔＥｘｔｅｎｄｅｒを入手するにはどうすればよいですか。
回答：新バージョンのＮｅｔＥｘｔｅｎｄｅｒは、各ＳｏｎｉｃＷＡＬＬＳＲＡファームウェアリリースに含まれてお
り、バージョン管理情報を備えています。ＳＲＡ装置が新しいソフトウェアでアップグレードされている
場合は、以前の旧バージョンのＮｅｔＥｘｔｅｎｄｅｒを使用しているシステムから接続したとき、新バージョ
ンに自動的にアップグレードされます。
自動アップグレード機能に、１つ例外があり、ＭＳＩバージョンのＮｅｔＥｘｔｅｎｄｅｒをサポートしていませ
ん。ＮｅｔＥｘｔｅｎｄｅｒがＭＳＩパッケージを使ってインストールされた場合は、新しいＭＳＩパッケージを
使ってアップグレードする必要があります。ＭＳＩパッケージは管理者がアクティブディレクトリを通して
ＮｅｔＥｘｔｅｎｄｅｒを配布するように設計されていて、アクティブディレクトリを通して完全なバージョン制御
が可能です。
12. ＮｅｔＥｘｔｅｎｄｅｒは、ＳｏｎｉｃＷＡＬＬのグローバルＶＰＮクライアント（ＧＶＣ）など、従来のＩＰＳｅｃ
ＶＰＮクライアントとはどう異なりますか。
402
SonicWALL SRA 5.5 管理者ガイド
回答：ＮｅｔＥｘｔｅｎｄｅｒは、ウェブブラウザ接続を通じてインストールされる非常に軽量なクライアントと
して設計されており、ブラウザのセキュリティ変換を使用して、クライアントとＳｏｎｉｃＷＡＬＬＳＲＡ装置
間で安全な暗号化されたトンネルを作成します。
13. ＮｅｔＥｘｔｅｎｄｅｒは暗号化されますか。
回答：はい。ＳＳＬ接続の際にＮｅｔＥｘｔｅｎｄｅｒクライアントとＳＲＡ装置のネゴシエーションが暗号化さ
れます。
14. ＳｏｎｉｃＷＡＬＬＳＲＡ装置とサーバ間のクリアテキストトラフィックを保護する方法はありますか。
回答：はい。暗号化されたＲＤＰベースのセッションを使用し、ＨＴＴＰＳリバースプロキシを使用する
ようにマイクロソフトターミナルサーバを設定できます。
15. ＮｅｔＥｘｔｅｎｄｅｒを使用するときにインストールされるＰＰＰアダプタは何ですか。
回答：これは、ＮｅｔＥｘｔｅｎｄｅｒが使用するトランスポート方法です。圧縮（ＭＰＰＣ）も使用されます。
ＮｅｔＥｘｔｅｎｄｅｒメニューから選択することによって、切断時には削除することを選択できます。
16. プロキシアプリケーションの代わりにＮｅｔＥｘｔｅｎｄｅｒを使うメリットは何ですか。
回答：ＮｅｔＥｘｔｅｎｄｅｒを使用すると、暗号化および圧縮されたＰＰＰ接続を通じて完全な接続性が提
供され、ユーザは内部ネットワークリソースに直接接続できます。例えば、リモートユーザは
ＮｅｔＥｘｔｅｎｄｅｒを起動して企業ネットワーク上のファイル共有に直接接続できます。
17. プロキシの代わりにＮｅｔＥｘｔｅｎｄｅｒを使用すると、パフォーマンスは変わりますか。
回答：はい。ＮｅｔＥｘｔｅｎｄｅｒ接続では、ＳｏｎｉｃＷＡＬＬＳＲＡ装置に最低限の負荷しかかからないのに
対して、プロキシベースの接続ではＳｏｎｉｃＷＡＬＬＳＲＡ装置に大量の負荷がかかる可能性がありま
す。 HTTP プロキシ接続では、負荷を削減してパフォーマンスを高めるために圧縮が使われることに注
意してください。ＳＲＡがローカルウェブサーバから受け取ったコンテンツはｇｚｉｐで圧縮してからイン
ターネット経由でリモートクライアントへ送信されます。ＳＲＡから送信されるコンテンツを圧縮すること
で帯域幅が節約され、その結果、スループットが向上します。さらに、圧縮されたコンテンツだけが
キャッシュされるため、必要なメモリが約４０～５０％節約されます。ｇｚｉｐによる圧縮はＳＲＡ装置の
ローカル側（クリアテキストの側）では使用できない、すなわちリモートクライアントからのＨＴＴＰＳ
要求に対しては使用できないことに注意してください。
18. ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮはアプリケーション依存ですが、標準的でないアプリケーションにはどの
ように対処すればよいですか。
回答：ＨＴＴＰ、ＨＴＴＰＳ、ＦＴＰ、ＲＤＰ４（ファームウェア１.０のみ）、ＡｃｔｉｖｅＸベースのＲＤＰ、
ＪａｖａベースのＲＤＰ（ファームウェア１.５以上）、Ｔｅｌｎｅｔ、ＳＳＨｖ１などの、内部のプロキシ機構を
通じてアクセスできないアプリケーションに対しては、ＮｅｔＥｘｔｅｎｄｅｒを使用してアクセスを提供できま
す。３.５以上のファームウェアでは、ウェブアプリケーションのためにＡｐｐｌｉｃａｔｉｏｎＯｆｆｌｏａｄｉｎｇを使
用できます。こうすることで、ＳＲＡ装置はＳＳＬオフローダのように動作し、ＵＲＬを書き換えなくても
ウェブアプリケーションのページがプロキシされるようになります。
19. ＳＳＨと言えば、ＳＳＨｖ２はサポートされていますか。
回答：はい。ファームウェア２.０以上でサポートされています。
20. ＡｃｔｉｖｅＸコンポーネントのインストールが必要になるのはなぜですか。
回答：ＮｅｔＥｘｔｅｎｄｅｒはＡｃｔｉｖｅＸベースのプラグインを通じてインターネットエクスプローラからインス
トールされます。Ｆｉｒｅｆｏｘブラウザを使用しているユーザはＮｅｔＥｘｔｅｎｄｅｒをＸＰＩインストーラでインス
トールすることもできます。ＮｅｔＥｘｔｅｎｄｅｒはＭＳＩインストーラでもインストールできます。
ＮｅｔＥｘｔｅｎｄｅｒのＭＳＩインストーラはｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍからダウンロードしてください。
21. ＮｅｔＥｘｔｅｎｄｅｒは、ＡＶ署名ファイルのチェックやウィンドウズレジストリのチェックなどの、デスク
トップセキュリティの強制をサポートしていますか。
SonicWALL SRA 5.5 管理者ガイド
403
回答：現在のところサポートしていません。ただし、この種の機能を将来リリースされる
ＮｅｔＥｘｔｅｎｄｅｒで提供することを計画しています。
22. ＮｅｔＥｘｔｅｎｄｅｒは６４ビット版のマイクロソフトウィンドウズで動作しますか。
回答：はい。３.０以上のファームウェアでは、ＮｅｔＥｘｔｅｎｄｅｒは６４ビット版のウィンドウズ７／
Ｖｉｓｔａ／ＸＰをサポートしています。
23. ＮｅｔＥｘｔｅｎｄｅｒは３２ビット版と６４ビット版のマイクロソフトウィンドウズ７動作しますか。
回答：はい。３.０.０.９-２０ｓｖ以上のファームウェアでは、ＮｅｔＥｘｔｅｎｄｅｒは３２ビット版と６４ビット版
のウィンドウズ７をサポートしています。
24. ＮｅｔＥｘｔｅｎｄｅｒはクライアント側の証明書をサポートしていますか。
回答：はい。３.５以降のウィンドウズＮｅｔＥｘｔｅｎｄｅｒクライアントはスタンドアロンクライアントからのク
ライアント証明書の認証をサポートしています。認証を受けてＳＳＬＶＰＮポータルに入れば、ユーザ
がＮｅｔＥｘｔｅｎｄｅｒを起動することもできます。
25. ファイアウォールが、ＮｅｔＥｘｔｅｎｄｅｒ接続をなりすましとしてＳｏｎｉｃＷＡＬＬＳＲＡから切断してしまい
ます。なぜでしょうか。
回答：ＮｅｔＥｘｔｅｎｄｅｒアドレスがＸ０インターフェース以外のサブネット上にある場合は、このアドレス
がＳｏｎｉｃＷＡＬＬＳＲＡから来ていることを知らせる規則をファイアウォールに対して作成する必要があ
ります。
一般的によく寄せられる質問
1. ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、真のリバースプロキシですか。
回答：はい。ＨＴＴＰ、ＨＴＴＰＳ、ＣＩＦＳ、ＦＴＰはウェブベースのプロキシであり、ネイティブウェブ
ブラウザがクライアントです。ＶＮＣ、ＲＤＰ-ＡｃｔｉｖｅＸ、ＲＤＰ５-Ｊａｖａ、ＳＳＨｖ１、およびＴｅｌｎｅｔは、
ブラウザを通じて配信されるＪａｖａクライアントまたはＡｃｔｉｖｅＸクライアントを使用します。ウィンドウズ
上のＮｅｔＥｘｔｅｎｄｅｒはブラウザを通じて配信されるクライアントを使用します。
2. ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続するためには、どのブラウザとバージョンが必要ですか。
回答：
･マイクロソフトインターネットエクスプローラ６.０以上
･Ｍｏｚｉｌｌａ１.７.１以上
･Ｆｉｒｅｆｏｘ４.０以上
･Ｓａｆａｒｉ２.０以上
･ＧｏｏｇｌｅＣｈｒｏｍｅ１１以上
3. ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続するためには、ブラウザ上で何を起動する必要がありますか。
回答：
･ＳＳＬｖ2、ＳＳＬｖ3、またはＴＬＳ－可能な場合はＳＳＬｖ２の無効化を推奨
･Ｃｏｏｋｉｅの有効化
･サイトのポップアップの有効化
･Ｊａｖａの有効化
･ＪａｖａＳｃｒｉｐｔの有効化
･ＡｃｔｉｖｅＸの有効化
4. Ｊａｖａのどのバージョンが必要ですか。
404
SonicWALL SRA 5.5 管理者ガイド
回答：ＳｏｎｉｃＷＡＬＬＳＲＡ装置でいくつかの機能を使用するためには、ＳＵＮのＪＲＥ１.６.０１０以上
（〈http://www.java.com〉で入手可能）をインストールする必要があります。ＧｏｏｇｌｅＣｈｒｏｍｅでは、
Ｊａｖａ１.６.０アップデート１０以上が必要になります。
5. どのようなオペレーティングシステムがサポートされていますか。
回答：
･マイクロソフトウィンドウズ２０００プロフェッショナルＳＰ４以上
･マイクロソフトＸＰＳＰ２以上
･マイクロソフトＶｉｓｔａ
･マイクロソフトウィンドウズ７
･ＡｐｐｌｅＯＳＸ１０.５以上
･Ｌｉｎｕｘカーネル２.４.ｘ以上
6. サーバ名が “ファイル共有” コンポーネントに認識されないのはなぜですか。
回答：ＮｅｔＢＩＯＳ名でサーバにアクセスできない場合は、名前解決に関して問題がある可能性があり
ます。ＳｏｎｉｃＷＡＬＬＳＲＡ装置のＤＮＳ設定およびＷＩＮＳ設定を確認してください。また、
ＮｅｔＢＩＯＳ名とＩＰのマッピングを「ネットワーク＞ホスト解決」セクションで手動で指定してみたり、
ＩＰアドレスをＵＮＣパスに手動で指定したりできます（￥￥１９２.１６８.１００.１００￥ｓｈａｒｅｆｏｌｄｅｒな
ど）。
また、認証がループするかエラーとなった場合、このファイル共有はウィンドウズドメインルート上の
ＤＦＳサーバでしょうか。ファイル共有を作成するとき、ウィンドウズドメインルートシステム上で分散
ファイルシステムを設定しないでください。ドメインルートはドメイン内のウィンドウズコンピュータにだ
けアクセスできるようにするものなので、そのようにするとＤＦＳファイル共有への他のドメインからのア
クセスが無効になります。ＳｏｎｉｃＷＡＬＬＳＲＡはドメインのメンバでなく、ＤＦＳ共有に接続できるよう
にはなりません。スタンドアロンルート上のＤＦＳファイル共有は、マイクロソフトによるこの制限を受
けません。
7. ＳｏｎｉｃＷＡＬＬＳＲＡ装置はＳＰＩファイアウォールを備えていますか。
回答：いいえ。ＳｏｎｉｃＷＡＬＬセキュリティ装置または他のサードパーティファイアウォール／ＶＰＮ機
器と組み合わせる必要があります。
8. ＨＴＴＰを使用してＳｏｎｉｃＷＡＬＬＳＲＡ装置にアクセスできますか。
回答：いいえ、ＨＴＴＰＳが必要です。ＨＴＴＰ接続は即時にＨＴＴＰＳにリダイレクトされます。ｈｔｔｐｓ:
と入力すべきところを誤ってｈｔｔｐ:// と入力することが多いので、８０と４４３の両方を開くとよいでしょ
う。８０をブロックすると、リダイレクトされなくなります。
9. ＳｏｎｉｃＷＡＬＬＳＲＡ装置の最も一般的な配備は、どのようなものですか。
回答：Ｘ０インターフェースだけが使用される１ポートモードで、装置は、ＳｏｎｉｃＷＡＬＬＴＺ１８０や
ＳｏｎｉｃＷＡＬＬＮＳＡ装置などの、ＳｏｎｉｃＷＡＬＬセキュリティ装置の個別の保護された “ＤＭＺ” ネット
ワーク／インターフェースに配置されます。
10. ＳｏｎｉｃＷＡＬＬＳＲＡ装置を、１ポートモードでＳｏｎｉｃＷＡＬＬセキュリティ装置と共にインストールす
ることが推奨されるのはなぜですか。
回答：この配備方法によって、新たなセキュリティ制御のレイヤに加えて、ゲートウェイアンチウィル
ス、アンチスパイウェア、コンテンツフィルタ、侵入防御など、ＳｏｎｉｃＷＡＬＬの統合脅威管理
（ＵＴＭ）サービスを使用して、すべての送受信ＮｅｔＥｘｔｅｎｄｅｒトラフィックを走査できます。
11. 複数のインターフェースを使用したり、装置を２ポートモードでインストールするようなインストール
シナリオもありますか。
SonicWALL SRA 5.5 管理者ガイド
405
回答：はい。有効なサードインターフェースを持たない可能性があるファイアウォール／ＶＰＮデバイ
スや、ＳｏｎｉｃＷＡＬＬＳＲＡ装置の統合が困難であったり不可能であるような機器を回避する必要があ
る場合が、これに該当します。
12. 複数のＳｏｎｉｃＷＡＬＬＳＲＡ装置をカスケード接続して、複数の同時接続をサポートできますか。
回答：いいえ、それはサポートされていません。
13. ＳｏｎｉｃＷＡＬＬＳＲＡの管理インターフェースにログインできないのはなぜですか。
回答：装置の既定のＩＰアドレスは、Ｘ０インターフェース上の１９２.１６８.２００.１です。装置にアクセ
スできない場合は、システムをＸ０ポートにクロス接続し、それに１９２.１６８.２００.１００という一時的
なＩＰアドレスを割り当て、〈https://192.168.200.1〉でＳｏｎｉｃＷＡＬＬＳＲＡ装置へのログインを試みてく
ださい。その後、ネットワークページでＤＮＳと既定のルートの設定を正しく構成したか確認してくださ
い。
14. ＳｏｎｉｃＷＡＬＬＳＲＡ装置を使用してサイト間ＶＰＮトンネルを作成できますか。
回答：いいえ、これはクライアントアクセス装置に過ぎません。サイト間ＶＰＮトンネルが必要な場合
は、ＳｏｎｉｃＷＡＬＬＴＺシリーズまたはＮＳＡシリーズセキュリティ装置が必要です。
15. ＳｏｎｉｃＷＡＬＬグローバルＶＰＮクライアント（または他のサードパーティＶＰＮクライアント）を
ＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続することはできますか。
回答：いいえ。サポートされるのはＮｅｔＥｘｔｅｎｄｅｒおよびプロキシセッションだけです。
16. モデム接続を通じてＳｏｎｉｃＷＡＬＬＳＲＡ装置に接続できますか。
回答：はい。パフォーマンスは低速ですが、５６Ｋ以上の接続で使用できます。
17. ＳＲＡ装置ではどのＳＳＬ暗号がサポートされていますか。
回答：４.０以上のファームウェアでは、ＳｏｎｉｃＷＡＬＬはＳＳＬｖ３とＴＬＳｖ１で以下の高度なセキュリ
ティ暗号だけを使用します。
･ＡＥＳ２５６-ＳＨＡ
･ＤＥＳ-ＣＢＣ３-ＳＨＡ
･ＤＨＥ-ＲＳＡ-ＡＥＳ２５６-ＳＨＡ
･ＥＤＨ-ＲＳＡ-ＤＥＳ-ＣＢＣ３-ＳＨＡ
18. ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮでＡＥＳはサポートされますか。
回答：はい。ブラウザがサポートしている場合はサポートされます。
19. ＩＰＳｅｃＶＰＮと同様のパフォーマンス（速度、遅延、スループット）を得ることができますか。
回答：はい。ＮｅｔＥｘｔｅｎｄｅｒは多重化されたＰＰＰ接続を使用し、接続上ではパフォーマンスを向上
するために圧縮を実行するため、実際、より優れたパフォーマンスを示すことがあります。
20. ２ファクタ認証（ＲＳＡＳｅｃｕｒＩＤなど）はサポートされますか。
回答：はい、２.０以上のファームウェアリリースでサポートされます。
21. ＳｏｎｉｃＷＡＬＬＳＲＡ装置はＶｏＩＰをサポートしますか。
回答：はい。接続を通じてサポートします。
22. Ｓｙｓｌｏｇはサポートされていますか。
回答：はい。
23. ＮｅｔＥｘｔｅｎｄｅｒはマルチキャストをサポートしていますか。
406
SonicWALL SRA 5.5 管理者ガイド
回答：いいえ、今のところサポートしていません。これについては、将来のファームウェアリリースに
期待してください。
24. ＳＮＭＰとＳｙｓｌｏｇはサポートされていますか。
回答：現行のソフトウェアでは、最大２つの外部サーバに対するＳｙｓｌｏｇ転送がサポートされていま
す。ＳＮＭＰは５.０リリースからサポートされています。ＭＩＢはＭｙＳｏｎｉｃＷＡＬＬからダウンロードで
きます。
25. ＳｏｎｉｃＷＡＬＬＳＲＡ装置はコマンドラインインターフェース（ＣＬＩ）を備えていますか。
回答：はい、ＳＲＡ４２００および１２００には、コンソールポートに接続して使う簡素なＣＬＩがありま
す。ＳＲＡＶｉｒｔｕａｌＡｐｐｌｉａｎｃｅもＣＬＩから設定可能です。ＳｏｎｉｃＷＡＬＬＳＲＡ５.５のＣＬＩは、
ＳｏｎｉｃＷＡＬＬＳＲＡ４２００、ＳＲＡ１２００、およびＳＲＡＶｉｒｔｕａｌＡｐｐｌｉａｎｃｅのＸ０インターフェース
の設定のみ可能です。
26. ＴｅｌｎｅｔまたはＳＳＨでＳＲＡ装置に入ることはできますか。
回答：いいえ、現行のＳＲＡ装置ソフトウェアでは、ＴｅｌｎｅｔまたはＳＳＨを管理手段として使用する
ことはサポートされていません（これを、装置がサポートしているＴｅｌｎｅｔおよびＳＳＨプロキシと混同
しないでください）。
27. ユーザアクセスを制御する場合、ドメインとフォレストの両方の単位で権限を適用できますか。
回答：はい。ＬＤＡＰコネクタを使えば可能です。
28. ウェブキャッシュクリーナはどのような処理を実行しますか。
回答：ウェブキャッシュクリーナはＡｃｔｉｖｅＸベースのアプレットであり、セッションの中で生成されたす
べての一時ファイルの削除、履歴ブックマークの削除、およびセッションの中で生成されたすべての
Ｃｏｏｋｉｅの削除を実行します。これは、インターネットエクスプローラ５.０.１以上でのみ実行されま
す。
29. ウェブブラウザを終了するときにウェブキャッシュクリーナが動作しないのはなぜですか。
回答：ウェブキャッシュクリーナを実行するためには、「ログアウト」ボタンを選択する必要がありま
す。他の方法でウェブブラウザを閉じた場合は、ウェブキャッシュクリーナは実行されません。
30. 「設定ファイルの暗号化」チェックボックスにはどのような機能がありますか。
回答：この設定によって設定ファイルが暗号化されるため、ファイルがエクスポートされるときに、許
可されていないソースはこれを読み取ることができません。暗号化されても、ファイルをＳｏｎｉｃＷＡＬＬ
ＳＲＡ装置（または代替装置）にロードし直して復号化することはできます。このボックスがオフの場
合は、エクスポートされる設定ファイルはクリアテキストであり、誰でもこれを読み取ることができます。
31. 「設定の保存」ボタンにはどのような機能がありますか。
回答：既定では、プログラミングへの変更が行われるたびに、設定はＳｏｎｉｃＷＡＬＬＳＲＡ装置に自
動的に保存されますが、必要に応じてこれを無効にすることができます。これが無効の場合、保存さ
れていない装置へのすべての変更は失われます。この機能は、変更によって装置がロックしたり、
ネットワークから切断される可能性がある場合に最も役立ちます。設定が即時に保存されなければ、
装置の電源を入れ直すことによって、変更が行われた前の状態に戻すことができます。
32. 「バックアップの作成」ボタンにはどのような機能がありますか。
回答：この機能によって、ファームウェアと設定のバックアップスナップショットを、管理インターフェー
スまたはセーフモードから復元できる特殊ファイルに作成できます。新しいソフトウェアをロードしたり、
装置のプログラミングに大きな変更を加えたりする前には、システムのバックアップを作成することを強
くお勧めします。
33. “セーフモード” とは何ですか。
SonicWALL SRA 5.5 管理者ガイド
407
回答：セーフモードはＳｏｎｉｃＷＡＬＬＳＲＡ装置の機能であり、管理者はこの機能により、ソフトウェア
イメージビルドを切り替えたり、ソフトウェアイメージに問題を生じたときに旧バージョンに戻すことがで
きます。ソフトウェアイメージが壊れた場合、装置は特別なインターフェースモードで起動され、管理
者は起動するバージョンを選択するか、またはソフトウェアイメージの新しいバージョンをロードできま
す。
34. セーフモードメニューにアクセスするにはどうすればよいですか。
回答：緊急時には、ＳｏｎｉｃＷＡＬＬＳＲＡ装置のリセットボタン（ＳＲＡ４２００およびＳＲＡ１２００の
前面にある小さなピンホールボタン）を、テストＬＥＤが黄色で点滅するまで１２～１４秒間押すこと
で、セーフモードメニューにアクセスできます。ＳｏｎｉｃＷＡＬＬのセーフモードメニューが起動された
ら、ワークステーションに１９２.１６８.２００.ｘサブネット内の１９２.１６８.２００.１００のような一時ＩＰアド
レスを割り当て、それをＳｏｎｉｃＷＡＬＬＳＲＡ装置のＸ０インターフェースに接続します。次に、ウェブ
ブラウザ（マイクロソフトＩＥ６.ｘ以上、Ｍｏｚｉｌｌａ１.４以上）を使用して、装置の既定のＩＰアドレス
１９２.１６８.２００.１で特別なセーフモードＧＵＩにアクセスします。以前に保存したバックアップスナップ
ショットを使用して装置を起動したり、「新しいソフトウェアイメージのアップロード」ボタンでソフトウェア
の新バージョンをアップロードしたりできます。
35. ポータルページの色を変更できますか。
回答：現行はサポートされていませんが、将来のソフトウェアリリースでサポートすることが計画されて
います。
36. どのような認証方式がサポートされていますか。
回答：ローカルデータベース、ＲＡＤＩＵＳ、アクティブディレクトリ、ＮＴ４、およびＬＤＡＰがサポート
されています。
37. 認証方式としてアクティブディレクトリを使用するようにＳｏｎｉｃＷＡＬＬＳＲＡ装置を設定したのです
が、非常に奇妙なエラーメッセージが表示され、正しく動作しません。なぜでしょうか。
回答：装置はお互いの時間が正確に同期している必要があり、そうでなければ認証プロセスは失敗し
ます。ＳｏｎｉｃＷＡＬＬＳＲＡ装置とアクティブディレクトリサーバが両方ともＮＴＰを使用して内部クロッ
クを同期させていることを確認してください。
38. ウィンドウズＸＰＳＰ２システムがＲＤＰベースのコネクタを使用できません。なぜでしょうか。
回答：これが正しく動作するためには、マイクロソフトからパッチをダウンロードしてインストールする必
要があります。パッチは次のサイト〈http://www.microsoft.com/downloads/
details.aspx?FamilyID=17d997d2-5034-4bbb-b74dad8430a1f7c8&DisplayLang=en〉にあります。パッチ
をインストールした後にシステムを再起動する必要があります。
39. ＦＴＰブックマークを作成しましたが、アクセスするとファイル名が文字化けします。なぜでしょう。
回答：ウィンドウズベースのＦＴＰサーバを使用している場合は、ディレクトリの表示スタイルを “MSDOS” から “UNIX” に変更する必要があります。
40. ＶＮＣクライアントはどこで入手できますか。
回答：ＳｏｎｉｃＷＡＬＬは、ＲｅａｌＶＮＣについて詳細なテストを行いました。これは、次からダウンロー
ドできます。
〈http://www.realvnc.com/download.html〉
41. ＧＭＳまたはＶｉｅｗＰｏｉｎｔでＳＲＡ１２００／４２００装置は完全にサポートされていますか。
回答：ＳｏｎｉｃＷＡＬＬＧＭＳでの基本管理には、ＳｏｎｉｃＯＳＳＳＬＶＰＮ１.５.０.３以降が必要です。
ＳｏｎｉｃＷＡＬＬＧＭＳまたはＶｉｅｗＰｏｉｎｔのＳＳＬＶＰＮレポーティングには、ＳｏｎｉｃＯＳＳＳＬＶＰＮ２.１
以降が必要です。
42. ＳｏｎｉｃＷＡＬＬＳＲＡ装置はプリンタマッピングをサポートしますか。
408
SonicWALL SRA 5.5 管理者ガイド
回答：はい。これはＡｃｔｉｖｅＸベースのＲＤＰクライアントでのみサポートされます。この機能を利用
するには、最初にマイクロソフトターミナルサーバＲＤＰコネクタを有効にする必要があります。アク
セスするターミナルサーバに、接続プリンタのドライバソフトウェアをインストールすることが必要になる
こともあります。
43. ＳｏｎｉｃＷＡＬＬＳＲＡ装置をワイヤレスで統合できますか。
回答：はい。 Elsevier 〈http://www.elsevierdirect.com/〉を通して入手可能な『SonicWALL Secure
Wireless Networks Integrated Solutions Guide』を参照してください。
44. ＳｏｎｉｃＷＡＬＬＳＲＡ装置の任意のインターフェースＩＰアドレスで装置を管理できますか。
回答：２.５ファームウェアより以前の場合：いいえ。装置はＸＯのＩＰアドレスでのみ管理できます。
２.５以上のファームウェアでは、任意のインターフェースＩＰアドレスで装置を管理できます。
45. 特定のアクティブディレクトリユーザにのみＳｏｎｉｃＷＡＬＬＳＲＡ装置へのログインを許可することは
できますか。
回答：はい。「ユーザ＞ローカルグループ」ページで認証に使用するアクティブディレクトリドメイン
に属するグループを編集し、「ＡＤグループ」タブで１つ以上のＡＤグループを追加します。
46. ＨＴＴＰ(Ｓ) プロキシはフルバージョンのアウトルックウェブアクセス（ＯＷＡプレミアム）をサポート
していますか。
回答：はい。
47. ＲＤＰセッションが頻繁に切断されるのはなぜですか。
回答：ＳｏｎｉｃＷＡＬＬＳＲＡ装置、およびエンドポイントクライアントと接続先サーバの間に設置されて
いる装置の、セッションタイムアウトと接続タイムアウトを調整してみてください。ＳＲＡ装置がファイア
ウォールの背後にある場合は、ＴＣＰタイムアウトを大きめに調整し、断片化を有効にしてください。
48. ブックマークセクションで提供されているサービス以外に独自のブックマーク用サービスを作成でき
ますか。
回答：現行のソフトウェアではサポートされていませんが、将来のソフトウェアリリースでサポートされ
るかもしれません。
49. ファイル共有コンポーネントでネットワーク上のすべてのサーバが表示されないのはなぜですか。
回答：ＣＩＦＳ閲覧プロトコルは閲覧リストがサーバのバッファサイズで制限されます。これらの閲覧リ
ストには、ワークグループ内のホストの名前やホストからエクスポートされた共有の名前が含まれてい
ます。バッファサイズはサーバソフトウェアに依存します。ウィンドウズパーソナルファイアウォール
はアクセスを許可するように設定されていてもファイル共有で問題を起こすことが知られています。可能
なら、どちらかの側にある該当ソフトウェアを無効にしてから再度テストしてみてください。
50. ＳＲＡ装置がＲａｄｉｕｓトラフィックのために使用しているポートは何ですか。
回答：ポート１８１２です。
51. ＳｏｎｉｃＷＡＬＬＳＲＡ装置は、同じユーザアカウントによる同時ログインをサポートしていますか。
回答：はい。１.５以上のファームウェアでサポートされています。ポータルレイアウトで、「多重ログ
インを禁止する」オプションをオンまたはオフにできます。このボックスがオフの場合、ユーザは同じ
ユーザ名とパスワードを使用して同時にログインできます。
52. ＳＲＡ装置はＮＴＬＡＮＭａｎａｇｅｒ（ＮＴＬＭ）認証をサポートしていますか。
回答：はい。ＳＳＬＶＰＮ５.０以降のリリースは、ＮＴＬＭまたはウィンドウズ統合認証を使うバックエ
ンドウェブサーバをサポートします。ＮＴＬＭを使ったシングルサインオンもサポートされます。ＮＴＬＭ
サポートは、アプリケーションオフローディングかつ／またはリバースプロキシブックマークに特化し
ています。
SonicWALL SRA 5.5 管理者ガイド
409
ＳＳＬＶＰＮ３.５以前はＮＴＬＭ認証をサポートしていません。次善の策として、管理者は基本認証ま
たはダイジェスト認証をオンにできます。基本認証ではユーザ名とパスワードがクリアテキストで指定さ
れますが、ＳＲＡがＨＴＴＰＳを使用するので、イントラネットの外部のセキュリティが低下することはあ
りません。ただし、イントラネットが “保護” されている必要があります。ダイジェスト認証はこのケー
スでより適切に機能します。バスワードがクリアテキストでは送信されず、パスワードを組み込んだ
ＭＤ５チェックサムだけが送信されるからです。
53. ウィンドウズ認証が有効な場合に、ウェブブラウザに接続できません。接続しようとすると、次の
エラーメッセージが表示されます： “ターゲットのウェブサーバでＳＳＬＶＰＮを通じてサポート対
象外のＨＴＴＰ(Ｓ) 認証方式が使用されています。現在サポートされているのは基本認証とダイジェ
スト認証方式だけです。管理者に相談してください。” －なぜですか。
回答：ＳＳＬＶＰＮ３.５以前のリリースでは、ＨＴＴＰプロキシはウィンドウズ認証（以前の名称は
ＮＴＬＭ）をサポートしていません。匿名認証または基本認証のみがサポートされています。
54. Ｊａｖａサービス（ＴｅｌｎｅｔやＳＳＨなど）がプロキシサーバ経由で機能しないのはなぜですか。
回答：開始されたＪａｖａサービスは、プロキシサーバを使用しません。トランザクションはＳＲＡ装置
で直接実行されます。
55. ＳＳＨクライアントがＳＳＨサーバに接続しないのはなぜですか。
回答：サーバ上で有効にしたＳＳＨのバージョンを確認し、さらにＳＲＡ装置のファームウェアリリー
スを確認してください。ＳＳＨｖ２サポートが追加されたのは、ファームウェア２.０以上からです。双方
が一致していない可能性があります。
56. ＪａｖａベースのＳＳＨｖ１およびＴｅｌｎｅｔプロキシではＦ１～Ｆ１２キーはどのように扱われますか。
回答：Ｔｅｌｎｅｔサーバはファンクションキーをサポートしなければなりません。その場合、使用する
キーボードが問題になります。現在、Ｔｅｌｎｅｔプロキシはｖｔ３２０を、ＳＳＨｖ１プロキシはｖｔ１００キー
コードを使用しています。これは既定の設定で、ＳＲＡ装置はＳＣＯ-ＡＮＳＩなどの、それ以外のタイ
プをまだサポートしていません。将来のファームウェアリリースでサポートされるかもしれません。
57. サービスブックマークのポートオプションがありません。既定と違うポートにあるとどうなりますか。
回答：ＩＰアドレスボックスに、ＨＴＴＰ、ＨＴＴＰＳ、Ｔｅｌｎｅｔ、Ｊａｖａ、およびＶＮＣの “ＩＰアドレス：
ポートＩＤ” ペアを指定できます。
58. ブックマークでウェブサーバ上のディレクトリをポイントするにはどうすればよいですか。
回答：ＩＰアドレスボックスにＩＰ／ｍｙｄｉｒｅｃｔｏｒｙ／というパスを追加します。
59. Ｔｅｌｎｅｔブックマークを使用してマイクロソフトＴｅｌｎｅｔサーバにアクセスするときに、ユーザ名を入力
できないのはなぜですか。
回答：現在、装置ではこの機能はサポートされていません。
60. どのバージョンのＣｉｔｒｉｘがサポートされていますか。
回答：Ｃｉｔｒｉｘポータルブックマークは、Ｃｉｔｒｉｘウェブインターフェースを通じて以下のＣｉｔｒｉｘアプリ
ケーション仮想化プラットフォームで使用できることが検証されています。
サーバ：
･ＣｉｔｒｉｘＸｅｎＡｐｐ６.０
･ＸｅｎＡｐｐ５.０
･ＸｅｎＡｐｐ４.５
･ＸｅｎＡｐｐＳｅｒｖｅｒ４.５
･ＰｒｅｓｅｎｔａｔｉｏｎＳｅｒｖｅｒ４.０
･ＭｅｔａｆｒａｍｅＸＰＦｅａｔｕｒｅＲｅｌｅａｓｅ３
410
SonicWALL SRA 5.5 管理者ガイド
クライアント：
･ＲｅｃｅｉｖｅｒｆｏｒＷｉｎｄｏｗｓ３.０クライアント（ＣｉｔｒｉｘＡｃｔｉｖｅＸブックマーク使用時）
･ＲｅｃｅｉｖｅｒｆｏｒＪａｖａ１０.１クライアント（ＣｉｔｒｉｘＪａｖａブックマーク使用時）
･ＸｅｎＡｐｐプラグインバージョン１２.３以下
･Ｊａｖａクライアントバージョン１０以下
Ｃｉｔｒｉｘを実行するためには、ブラウザにＪａｖａ（Ｊａｖａ１.６.０_１０以上）が必要です。
SonicWALL SRA 5.5 管理者ガイド
411
412
SonicWALL SRA 5.5 管理者ガイド
付録 F
付録 F
コマンドラインインターフェース
コマンドラインインターフェース (CLI) は、コマンドを入力することで指定したタスクを実行する、コン
ピュータオペレーティングシステムやソフトウェアと情報を交換するためのテキストだけの機構です。こ
れは基本ネットワーキングがコンソールから設定される必要がある SRA Virtual Appliance 配備の重要
な点です。 CLI は SonicWALL SRA 1200 および 4200 装置でもサポートされます。
SonicWALL SRA 1200 と 4200 の物理装置は、接続するためにクライアントネットワーク設定の再構成
を必要とする既定の IP アドレスとネットワーク設定を持ち、既存の VMWare 仮想環境内でこのネット
ワーク設定は SonicWALL の既定値と競合する可能性があります。 CLI ユーティリティは、 SonicWALL
Virtual Appliance の配備の際にネットワーク設定の基本構成を許可することで、これを修正します。
注
SonicWALL SRA 5.5 の CLI は、 SonicWALL SRA 4200、 SRA 1200、および SRA Virtual Appliance
の X0 インターフェースの設定のみ可能です。
SonicWALL SRA 1200 と 4200 物理装置では、コンピュータをシリアルポートに接続することでコンソー
ルにアクセスします。以下の設定を使います。
･ボー： 115200
･データビット： 8
･パリティ：なし
･ストップビット： 1
SonicWALL SRA 5.5 管理者ガイド
413
SRA Virtual Appliance では、ファームウェアの起動が完了した後で以下のログインプロンプトが表示さ
れます。
,,,,,,,,,,,,,,,
,,,mmbbbbbb11111111111111111111111bbbbbmm,,,
,,,b||PPPPPPP||''''''''''''''''|PPPPPPPPP111111111111bbm,,
''''''
'''''PPPP111111111bm,
'''PP1111111bm,
'PP111111b,
|111111:
.1111P|.
Copyright (c) 2010 SonicWALL, Inc.
,b1PP|'
,,||'''
SonicWALL SRA Virtual Appliance
sslvpn login:
以下の例では、ユーザによって入力されたテキストを示すためにユーザの入力は太字で強調されてい
ます。
CLI にアクセスするために、 admin としてログインします。パスワードは装置上で設定された admin アカ
ウントのパスワードと同じです。既定では password です。
sslvpn login: admin
Password: password
間違ったパスワードを入力すると、再度ログインプロンプトが表示されます。正しいパスワードを入力
すると、 CLI が開始されます。
物理および仮想装置で、下記の例のようにメインメニューのほかに、基本的なシステム情報とネット
ワーク設定が表示されます。
System Information
Model:
Serial Number:
Version:
CPU (Utilization):
Total Memory:
System Time:
Up Time:
X0 IP Address:
X0 Subnet mask:
Default Gateway:
Primary DNS:
Secondary DNS:
Hostname:
SRA 4200
0017C54172D4
SonicOS SSL-VPN 5.5.0.0-11sv
l.8 GHz Via C7 Processor (2%)
2 GB RAM, 1 GB Flash
2011/08/18 13:39:51
0 Days 00:40:51
192.168.200.1
255.255.255.0
192.168.200.2
10.50.128.52
n/a
sslvpn
Main Menu
1. Setup Wizard
2. Reboot
3. Restart SSL-VPN Services
4. Logout
Press <Ctrl-c> at any time to cancel changes and logout.
Select a number (1-4):
いつでも Ctrl-C を押してログアウトして CLI を抜けてログインプロンプトに戻ることができます。
メインメニューには 4 つのセクションがあります。
1. Setup Wizard - このオプションは、基本ネットワーク設定を変更するための、簡素なウィザードを開
始し、 X0 IP アドレス、 X0 サブネットマスク、デフォルトゲートウェイ、プライマリおよびセカンダリ
DNS、そしてホスト名の順に設定します。下記の CLI アウトプットは、各フィールドを変更した例を
示します。
414
SonicWALL SRA 5.5 管理者ガイド
X0 IP Address (default 192.168.200.1): 192.168.200.201
X0 Subnet Mask (default 255.255.255.0): 255.255.0.0
Default Gateway (default 192.168.200.2): 192.168.200.1
Primary DNS: 10.50.128.52
Secondary DNS (optional, enter "none" to disable): 4.2.2.2
Hostname (default sslvpn): sra4200
New Network Settings:
X0 IP Address:
192.168.200.201
X0 Subnet mask:
255.255.0.0
Default Gateway:
192.168.200.1
Primary DNS:
10.50.128.52
Secondary DNS:
4.2.2.2
Hostname:
sra4200
Would you like to save these changes (y/n)?
フィールドに入力しないと、以前の値が保持され、 1 つのフィールドのみ変更が許可されます。各
フィールドが表示された後で、新しいネットワーク設定が表示され、変更を適用する前に再確認するよ
うに、ユーザに確認のメッセージが表示されます。下記は、変更を保存した場合の結果を示します。
Would you like to save these changes (y/n)? y
Saving changes...please wait....
Changes saved!
Press <Enter> to continue...
変更を保存した後で、 Enter を押してシステム情報とネットワーク設定の表示する元の画面に戻り、変
更が反映されていることを確認します。
System Information
Model:
Serial Number:
Version:
CPU (Utilization):
Total Memory:
System Time:
Up Time:
X0 IP Address:
X0 Subnet mask:
Default Gateway:
Primary DNS:
Secondary DNS:
Hostname:
SRA 4200
0017C54172D4
SonicOS SSL-VPN 5.5.0.0-11sv
l.8 GHz Via C7 Processor (2%)
2 GB RAM, 1 GB Flash
2011/08/18 13:39:51
0 Days 00:40:51
192.168.200.201
255.255.0.0
192.168.200.1
10.50.128.52
4.2.2.2
sra4200
Main Menu
1. Setup Wizard
2. Reboot
3. Restart SSL-VPN Services
4. Logout
Press <Ctrl-c> at any time to cancel changes and logout.
Select a number (1-4):
変更を保存しなかった場合、下記のメッセージが表示され、 Enter を押してシステム情報とネットワーク
設定の表示する最初の画面に戻ります。
No changes have been made.
Press <Enter> to continue...
注
IP アドレスを変更する設定を適用した場合は、インターフェース設定が更新されるまで最大で 5 秒
かかります。
SonicWALL SRA 5.5 管理者ガイド
415
2. Reboot - このオプションを選択すると、確認のプロンプトを表示してから再起動します。
Reboot
Are you sure you want to reboot (y/n)?
3. Restart SSL-VPN Services - このオプションは確認のプロンプトを表示してから、ウェブサーバと関
連する SSL VPN daemon サービスを再起動します。このコマンドは、 EasyAccessCtrl restart コマン
ドを発行することと同じです。
Restart SSL-VPN Services
Are you sure you want to restart the SSL-VPN services (y/n)? y
Restarting SSL-VPN services...please wait.
Stopping SMM: [ OK ]
Stopping Firebase :[ OK ]
Stopping FTP Session:[ OK ]
Stopping HTTPD: [ OK ]
Cleaning Apache State: [ OK ]
Stopping Graphd :[ OK ]
Cleaning
Starting
Starting
Starting
Starting
Starting
Temporary files........
SMM: [ OK ]
firebase: [ OK ]
httpd: [ OK ]
ftpsession: [ OK ]
graphd: [ OK ]
Restart completed...returning to main menu...
4. Logout - ログアウトオプションは CLI セッションを終了してログインプロンプトに戻ります。
416
SonicWALL SRA 5.5 管理者ガイド
付録 G
付録 G
ＳＭＳ電子メール形式
このセクションでは、世界各地の携帯電話事業者のＳＭＳ（ショートメッセージサービス）形式リスト
を示します。ご使用の携帯電話事業者の形式をリストから見つけ、＠記号より前の部分を自分の電話
番号で置き換えてください。
備考
このリストのＳＭＳ電子メール形式は、参照目的でのみ記載しています。電子メール形式は変更さ
れる可能性があり、既に異なる場合もあります。ＳＭＳを使用する前に、プロバイダからサービス
や情報を追加で取得する必要があるかもしれません。電子メール形式が正しいかどうかを確認した
り、ＳＭＳのサービス、オプション、または機能に関する詳しい情報を取得したりするには、ＳＭＳ
プロバイダまでお問い合わせください。
携帯電話事業者
ＳＭＳ形式
３ＲｉｖｅｒＷｉｒｅｌｅｓｓ
[email protected]
ＡｉｒＴｅｌ
[email protected]
ＡＴ＆ＴＷｉｒｅｌｅｓｓ
[email protected]
ＡｎｄｈｒａＰｒａｄｅｓｈＡｉｒｔｅｌ
[email protected]
ＡｎｄｈｒａＰｒａｄｅｓｈＩｄｅａＣｅｌｌｕｌａｒ
[email protected]
ＡｌｌｔｅｌＰＣ
[email protected]
Ａｌｌｔｅｌ
[email protected]
ＡｒｃｈＷｉｒｅｌｅｓｓ
[email protected]
ＢｅｅＬｉｎｅＧＳＭ
[email protected]
ＢｅｅＬｉｎｅ（モスクワ）
[email protected]
ＢｅｌｌＣａｎａｄａ
[email protected]
ＢｅｌｌＣａｎａｄａ
[email protected]
ＢｅｌｌＡｔｌａｎｔｉｃ
[email protected]
ＢｅｌｌＳｏｕｔｈ
[email protected]
ＢｅｌｌＳｏｕｔｈ
[email protected]
ＢｅｌｌＳｏｕｔｈ
[email protected]
ＢｉｔｅＧＳＭ（リトアニア）
[email protected]
ＢｌｕｅｇｒａｓｓＣｅｌｌｕｌａｒ
[email protected]
SonicWALL SRA 5.5 管理者ガイド
417
418
携帯電話事業者
ＳＭＳ形式
ＢＰＬｍｏｂｉｌｅ
[email protected]
Ｃｅｌｃｏｍ（マレーシア）
[email protected]
ＣｅｌｌｕｌａｒＯｎｅ
[email protected]
ＣｅｌｌｕｌａｒＯｎｅＥａｓｔＣｏｓｔ
[email protected]
ＣｅｌｌｕｌａｒＯｎｅＳｏｕｔｈＷｅｓｔ
[email protected]
ＣｅｌｌｕｌａｒＯｎｅ
[email protected]
ＣｅｌｌｕｌａｒＯｎｅ
[email protected]
ＣｅｌｌｕｌａｒＯｎｅ
[email protected]
ＣｅｌｌｕｌａｒＳｏｕｔｈ
[email protected]
ＣｅｎｔｕｒｙＴｅｌ
[email protected]
Ｃｉｎｇｕｌａｒ
[email protected]
ＣｉｎｇｕｌａｒＷｉｒｅｌｅｓｓ
[email protected]
Ｃｏｍｃａｓｔ
[email protected]
ＣＺＥＣＨＥｕｒｏＴｅｌ
[email protected]
ＣＺＥＣＨＰａｅｇａｓ
[email protected]
ＣｈｅｎｎａｉＳｋｙｃｅｌｌ／Ａｉｒｔｅｌ
[email protected]
ＣｈｅｎｎａｉＲＰＧＣｅｌｌｕｌａｒ
[email protected]
ＣｏｍｖｉｑＧＳＭＳｗｅｄｅｎ
[email protected]
ＣｏｒｒＷｉｒｅｌｅｓｓＣｏｍｍｕｎｉｃａｔｉｏｎｓ
[email protected]
Ｄ１ＤｅＴｅＭｏｂｉｌ
[email protected]
Ｄ２ＭａｎｎｅｓｍａｎｎＭｏｂｉｌｅｆｕｎｋ
[email protected]
ＤＴＴ－Ｍｏｂｉｌｅ
[email protected]
ＤｅｌｈｉＡｉｒｔｅｌ
[email protected]
ＤｅｌｈｉＨｕｔｃｈ
[email protected]
Ｄｏｂｓｏｎ－ＣｅｌｌｕｌａｒＯｎｅ
[email protected]
ＤｏｂｓｏｎＣｅｌｌｕｌａｒＳｙｓｔｅｍｓ
[email protected]
ＥｄｇｅＷｉｒｅｌｅｓｓ
[email protected]
Ｅ－Ｐｌｕｓ（ドイツ）
4085551212 @eplus.de
ＥＭＴ
[email protected]
Ｅｕｒｏｔｅｌ（チェコ）
[email protected]
ＥｕｒｏｐｏｌｉｔａｎＳｗｅｄｅｎ
[email protected]
Ｅｓｃｏｔｅｌ
[email protected]
ＥｓｔｏｎｉａＥＭＴ
[email protected]
ＥｓｔｏｎｉａＲＬＥ
[email protected]
ＥｓｔｏｎｉａＱＧＳＭ
[email protected]
ＥｓｔｏｎｉａＭｏｂｉｌＴｅｌｅｐｈｏｎｅ
[email protected]
Ｆｉｄｏ
[email protected]
Ｇｅｏｒｇｅａｇｅｏｃｅｌｌ
[email protected]
ＧｏａＢＰＬＭｏｂｉｌ
[email protected]
ＧｏｌｄｅｎＴｅｌｅｃｏｍ
[email protected]
ＧｏｌｄｅｎＴｅｌｅｃｏｍ（ウクライナのキエフのみ）
[email protected]
SonicWALL SRA 5.5 管理者ガイド
携帯電話事業者
ＳＭＳ形式
ＧＴＥ
[email protected]
ＧＴＥ
[email protected]
ＧｕｊａｒａｔＩｄｅａ
[email protected]
ＧｕｊａｒａｔＡｉｒｔｅｌ
[email protected]
ＧｕｊａｒａｔＣｅｌｆｏｒｃｅ／Ｆａｓｃｅｌ
[email protected]
ＧｏａＡｉｒｔｅｌ
[email protected]
ＧｏａＢＰＬＭｏｂｉｌ
[email protected]
ＧｏａＩｄｅａＣｅｌｌｕｌａｒ
[email protected]
ＨａｒｙａｎａＡｉｒｔｅｌ
[email protected]
ＨａｒｙａｎａＥｓｃｏｔｅｌ
[email protected]
ＨｉｍａｃｈａｌＰｒａｄｅｓｈＡｉｒｔｅｌ
[email protected]
ＨｏｕｓｔｏｎＣｅｌｌｕｌａｒ
[email protected]
ＨｕｎｇａｒｙＰａｎｎｏｎＧＳＭ
[email protected]
ＩｄｅａＣｅｌｌｕｌａｒ
[email protected]
ＩｎｌａｎｄＣｅｌｌｕｌａｒＴｅｌｅｐｈｏｎｅ
[email protected]
ＩｓｒａｅｌＯｒａｎｇｅＩＬ
4085551212- @shiny.co.il
ＫａｒｎａｔａｋａＡｉｒｔｅｌ
[email protected]
ＫｅｒａｌａＡｉｒｔｅｌ
[email protected]
ＫｅｒａｌａＥｓｃｏｔｅｌ
[email protected]
ＫｅｒａｌａＢＰＬＭｏｂｉｌｅ
[email protected]
Ｋｙｉｖｓｔａｒ（ウクライナのキエフのみ）
[email protected]
Ｋｙｉｖｓｔａｒ
[email protected]
ＫｏｌｋａｔａＡｉｒｔｅｌ
[email protected]
ＬａｔｖｉａＢａｌｔｃｏｍＧＳＭ
[email protected]
ＬａｔｖｉａＴＥＬＥ２
[email protected]
ＬＭＴ
[email protected]
ＭａｄｈｙａＰｒａｄｅｓｈＡｉｒｔｅｌ
[email protected]
ＭａｈａｒａｓｈｔｒａＩｄｅａＣｅｌｌｕｌａｒ
[email protected]
ＭＣＩＰｈｏｎｅ
408555121 @mci.com
Ｍｅｔｅｏｒ
[email protected]
ＭｅｔｒｏＰＣＳ
[email protected]
ＭｅｔｒｏＰＣＳ
[email protected]
ＭｉＷｏｒｌｄ
[email protected]
Ｍｏｂｉｌｅｏｎｅ
[email protected]
Ｍｏｂｉｌｅｃｏｍｍ
[email protected]
Ｍｏｂｔｅｌ
[email protected]
Ｍｏｂｉｔｅｌ（タンザニア）
[email protected]
ＭｏｂｉｓｔａｒＢｅｌｇｉｕｍ
[email protected]
ＭｏｂｉｌｉｔｙＢｅｒｍｕｄａ
[email protected]
Ｍｏｖｉｓｔａｒ（スペイン）
[email protected]
ＭａｈａｒａｓｈｔｒａＡｉｒｔｅｌ
[email protected]
SonicWALL SRA 5.5 管理者ガイド
419
420
携帯電話事業者
ＳＭＳ形式
ＭａｈａｒａｓｈｔｒａＢＰＬＭｏｂｉｌｅ
[email protected]
ＭａｎｉｔｏｂａＴｅｌｅｃｏｍＳｙｓｔｅｍｓ
[email protected]
ＭｕｍｂａｉＯｒａｎｇｅ
[email protected]
ＭＴＳ（ロシア）
[email protected]
ＭＴＣ
[email protected]
ＭｕｍｂａｉＢＰＬＭｏｂｉｌｅ
[email protected]
ＭＴＮ（南アフリカのみ）
[email protected]
ＭｉＷｏｒｌｄ（シンガポール）
[email protected]
ＮＢＴｅｌ
[email protected]
ＮｅｔｃｏｍＧＳＭ（ノルウェー）
[email protected]
Ｎｅｘｔｅｌ
[email protected]
Ｎｅｘｔｅｌ
[email protected]
ＮＰＩＷｉｒｅｌｅｓｓ
[email protected]
Ｎｔｅｌｏｓ
[email protected]
ＯｎｅＣｏｎｎｅｃｔＡｕｓｔｒｉａ
[email protected]
ＯｎｌｉｎｅＢｅｅｐ
[email protected]
Ｏｍｎｉｐｏｉｎｔ
[email protected]
Ｏｐｔｉｍｕｓ（ポルトガル）
[email protected]
Ｏｒａｎｇｅ－ＮＬ／Ｄｕｔｃｈｔｏｎｅ
[email protected]
Ｏｒａｎｇｅ
[email protected]
Ｏｓｋａｒ
[email protected]
ＰａｃｉｆｉｃＢｅｌｌ
[email protected]
ＰＣＳＯｎｅ
[email protected]
Ｐｉｏｎｅｅｒ／ＥｎｉｄＣｅｌｌｕｌａｒ
[email protected]
ＰｌｕｓＧＳＭ（ポーランドのみ）
[email protected]
Ｐ＆ＴＬｕｘｅｍｂｏｕｒｇ
[email protected]
ＰｏｌａｎｄＰＬＵＳＧＳＭ
[email protected]
Ｐｒｉｍｃｏ
4085551212@[email protected]
Ｐｒｉｍｔｅｌ
[email protected]
ＰｕｂｌｉｃＳｅｒｖｉｃｅＣｅｌｌｕｌａｒ
[email protected]
ＰｕｎｊａｂＡｉｒｔｅｌ
[email protected]
Ｑｗｅｓｔ
[email protected]
ＲｉｇａＬＭＴ
[email protected]
ＲｏｇｅｒｓＡＴ＆ＴＷｉｒｅｌｅｓｓ
[email protected]
Ｓａｆａｒｉｃｏｍ
[email protected]
ＳａｔｅｌｉｎｄｏＧＳＭ
[email protected]
Ｓｉｍｏｂｉｌｅ（スロベニア）
[email protected]
ＳｕｎｒｉｓｅＭｏｂｉｌｅ
[email protected]
ＳｕｎｒｉｓｅＭｏｂｉｌｅ
[email protected]
ＳＦＲＦｒａｎｃｅ
[email protected]
ＳＣＳ－９００
[email protected]
SonicWALL SRA 5.5 管理者ガイド
携帯電話事業者
ＳＭＳ形式
ＳｏｕｔｈｗｅｓｔｅｒｎＢｅｌｌ
[email protected]
ＳｏｎｏｆｏｎＤｅｎｍａｒｋ
[email protected]
ＳｐｒｉｎｔＰＣＳ
[email protected]
Ｓｐｒｉｎｔ
[email protected]
Ｓｗｉｓｓｃｏｍ
[email protected]
Ｓｗｉｓｓｃｏｍ
[email protected]
ＴｅｌｅｃｏｍＩｔａｌｉａＭｏｂｉｌｅ（イタリア）
[email protected]
ＴｅｌｅｎｏｒＭｏｂｉｌＮｏｒｗａｙ
[email protected]
Ｔｅｌｅｃｅｌ（ポルトガル）
[email protected]
Ｔｅｌｅ２
[email protected]
ＴｅｌｅＤａｎｍａｒｋＭｏｂｉｌ
[email protected]
Ｔｅｌｕｓ
[email protected]
Ｔｅｌｅｎｏｒ
[email protected]
ＴｅｌｉａＤｅｎｍａｒｋ
[email protected]
ＴＩＭ
4085551212 @timnet.com
ＴＭＮ（ポルトガル）
[email protected]
Ｔ－ＭｏｂｉｌｅＡｕｓｔｒｉａ
[email protected]
Ｔ－ＭｏｂｉｌｅＧｅｒｍａｎｙ
[email protected]
Ｔ－ＭｏｂｉｌｅＵＫ
[email protected]
Ｔ－ＭｏｂｉｌｅＵＳＡ
[email protected]
Ｔｒｉｔｏｎ
[email protected]
ＴａｍｉｌＮａｄｕＡｉｒｃｅｌ
[email protected]
ＴａｍｉｌＮａｄｕＢＰＬＭｏｂｉｌｅ
4085551212 @bplmobile.com
ＵＭＣＧＳＭ
[email protected]
Ｕｎｉｃｅｌ
[email protected]
Ｕｒａｌｔｅｌ
[email protected]
ＵＳＣｅｌｌｕｌａｒ
[email protected]
ＵＳＷｅｓｔ
[email protected]
ＵｔｔａｒＰｒａｄｅｓｈ（Ｗｅｓｔ）Ｅｓｃｏｔｅｌ
[email protected]
Ｖｅｒｉｚｏｎ
[email protected]
ＶｅｒｉｚｏｎＰＣＳ
[email protected]
ＶｉｒｇｉｎＭｏｂｉｌｅ
[email protected]
ＶｏｄａｆｏｎｅＯｍｎｉｔｅｌ（イタリア）
[email protected]
ＶｏｄａｆｏｎｅＩｔａｌｙ
[email protected]
ＶｏｄａｆｏｎｅＪａｐａｎ
[email protected]
ＶｏｄａｆｏｎｅＪａｐａｎ
[email protected]
ＶｏｄａｆｏｎｅＪａｐａｎ
[email protected]
ＶｏｄａｆｏｎｅＳｐａｉｎ
[email protected]
ＶｏｄａｆｏｎｅＵＫ
[email protected]
ＷｅｓｔＣｅｎｔｒａｌＷｉｒｅｌｅｓｓ
[email protected]
ＷｅｓｔｅｒｎＷｉｒｅｌｅｓｓ
[email protected]
SonicWALL SRA 5.5 管理者ガイド
421
422
SonicWALL SRA 5.5 管理者ガイド
付録 H
付録 H
用語集
アクティブディレクトリ（ＡＤ）－マイクロソフトによって開発された、一元化されたディレクトリサービ
スシステムで、ユーザデータ、セキュリティ、およびリソースのネットワーク管理を自動化し、他の
ディレクトリとの相互運用を実現します。アクティブディレクトリは、分散ネットワーキング環境用に設計
されています。
ＣｏｍｍｏｎＩｎｔｅｒｎｅｔＦｉｌｅＳｙｓｔｅｍ（ＣＩＦＳ）
ファイル共有：ＳｏｎｉｃＷＡＬＬＳＲＡ装置対応ネットワークファイルブラウズ機能。ウェブブラウザを使
用してネットワーク上の共有ファイルをブラウズします。
ＬｉｇｈｔｗｅｉｇｈｔＤｉｒｅｃｔｏｒｙＡｃｃｅｓｓＰｒｏｔｏｃｏｌ（ＬＤＡＰ）－サーバからデータを取得するために電子メー
ルプログラムなどのプログラムで使用されるインターネットプロトコル。
ワンタイムパスワード（Ｏｎｅ-ｔｉｍｅＰａｓｓｗｏｒｄ）－一度のみ使用する、無作為に生成されたパス
ワード。パスワードの特定のインスタンスを指す用語として使う場合と、この機能の総称として使う場合
があります。
ＳｉｍｐｌｅＭａｉｌＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ（ＳＭＴＰ）－電子メールメッセージをサーバ間で送信するためのプ
ロトコル。
ＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ（ＳＳＬＶＰＮ）－プライベートアプリケーションへ
のウェブブラウザを通じたクライアント不要のアクセスを可能にするリモートアクセスツール。
仮想オフィス（ＶｉｒｔｕａｌＯｆｆｉｃｅ）－ＳｏｎｉｃＷＡＬＬＳＳＬＶＰＮのユーザインターフェース。
ＷｉｎｄｏｗｓＩｎｔｅｒｎｅｔＮａｍｉｎｇＳｅｒｖｉｃｅ（ＷＩＮＳ）－ネットワークコンピュータに関連付けられたＩＰア
ドレスを確認するシステム。
SonicWALL SRA 5.5 管理者ガイド
423
424
SonicWALL SRA 5.5 管理者ガイド
㪪㫆㫅㫀㪺㪮㪘㪣㪣㪃㩷㪠㫅㪺㪅
䇾㪈㪇㪎㪄㪇㪇㪌㪉㩷᧲੩ㇺ᷼඙⿒ဈ㩷㪈㩷ৼ⋡㩷㪏㩷⇟࿾㩷㪍㩷ภ㩷⿒ဈ㪟㪢㪥㩷䊎䊦㩷㪎㪝
㪫㪑㩷㪇㪊㪄㪌㪌㪎㪊㪄㪋㪎㪇㪈䇭㪝㪑㩷㪇㪊㪄㪌㪌㪎㪊㪄㪋㪎㪇㪏䇭㫎㫎㫎㪅㫊㫆㫅㫀㪺㫎㪸㫃㫃㪅㪺㫆㫄䇭㫁㪸㫇㪸㫅㪗㫊㫆㫅㫀㪺㫎㪸㫃㫃㪅㪺㫆㫄
㪧㪆㪥㩷㪉㪊㪉㪄㪇㪇㪇㪎㪋㪏㪄㪇㪇
㪩㪼㫍㩷㪚㩷㩷㪉㪆㪉㪇㪈㪉
㫟㪉㪇㪈㪉㩷㪪㫆㫅㫀㪺㪮㪘㪣㪣㪃㩷㪠㫅㪺㪅㩷䈲䇮㪪㫆㫅㫀㪺㪮㪘㪣㪣㪃㩷㪠㫅㪺㪅䈱⊓㍳໡ᮡ䈪䈜䇯䈖䈖䈮⸥タ䈘䉏䈩䈇䉎ઁ䈱⵾ຠฬ䇮ડᬺฬ䈲䇮ฦડᬺ䈱໡ᮡ䉁䈢䈲⊓㍳໡ᮡ䈪䈜䇯
⵾ຠ䈱઀᭽䇮⺑᣿䈲੍๔䈭䈒ᄌᦝ䈘䉏䉎䈖䈫䈏䈅䉍䉁䈜䇯