view pdf - SonicWALL Support

Dell™ SonicWALL™ SonicOS 6.2.5.1
リリース ノート
2016 年 6 月
このリリース ノートでは、Dell SonicWALL™ SonicOS 6.2.5.1 リリースについて説明します。
トピック:
 SonicOS 6.2.5.1 について
 プラットフォームの互換性
 新機能
 IPv6 サポート
 修正された問題点
 確認されている問題点
 システムの互換性
 製品ライセンス
 アップグレード情報
 テクニカル サポート情報
 Dell について
SonicOS 6.2.5.1 について
SonicOS 6.2.5.1 リリースでは、ほとんどの第 6 世代 Dell SonicWALL ファイアウォールに対応する単一の統合型ソフトウ
ェア プラットフォームの提供と、多くの重要な新機能の追加により、Dell SonicWALL ユーザ向けのファームウェア管理が
簡素化されています。SonicOS 6.2.5.1 でリリースされた機能の完全なリストについては、「新機能」を参照してください。
補足: 本書には、一部の国や地域ではリリースされていないプラットフォーム/バージョンに関する記述が含まれ
ている場合があります。
SonicOS 6.2.5.1
リリース ノート
1
プラットフォームの互換性
SonicOS 6.2.5.1 リリースは、次の Dell SonicWALL ネットワーク セキュリティ装置でサポートされています。
 SuperMassive 9600
 NSA 6600
 TZ600
 SuperMassive 9400
 NSA 5600
 TZ500、TZ500 Wireless
 SuperMassive 9200
 NSA 4600
 TZ400、TZ400 Wireless
 NSA 3600
 TZ300、TZ300 Wireless
 NSA 2600
 SOHO Wireless
新機能
このセクションでは、SonicOS 6.2.5.1 リリースの新機能について説明します。
 Dell X シリーズ スイッチ統合
 DPI-SSL 拡張
 DPI-SSL の強化された暗号化方式
 ファイアウォール アクセス ルールに対する DPI の無効化オプション
 UC-APL (Unified Capabilities Approved Product List) の拡張
 ファイアウォール サンドイッチのサポート
 ワイヤ モード VLAN 変換割付
 番号付き VPN トンネル インターフェース
 AppFlow での Change Auditor のサポート
 AppFlow 監視でのボットネット送信元識別
 ゲートウェイ アンチウィルス検出専用モード
 制御プレーン オーバーフロー防止
 ポートの停止オプション
 ポートベース ネットワーク監視
 NAT 用の送信元ポート再割付の無効化オプション
 HA/クラスタリング ファイアウォール用の接尾辞オプション
 ラウンド ロビン/スピルオーバー負荷分散用の送信元/送信先 IP アドレス バインド
 DFS チャンネル用の SonicPoint ACe/ACi/N2 FCC による新しい規則の認証
 TZ シリーズおよび SOHO Wireless 装置での機能のサポート
SonicOS 6.2.5.1
リリース ノート
2
Dell X シリーズ スイッチ統合
Dell X シリーズ スイッチは、TZ シリーズ ファイアウォール内で簡単に管理できるようになり、ネットワーク セキュリティ イ
ンフラストラクチャ全体の一元的な管理が可能になりました。この機能は、以下の TZ シリーズ プラットフォームでサポー
トされています。
 TZ600
 TZ500/TZ500 W
 TZ400/TZ400 W
 TZ300/TZ300 W
サポートされる X シリーズ スイッチ モデルは次のとおりです。
 X1008/X1008P
 X1018/X1018P
 X1026/X1026P
 X1052/X1052P
 X4012
この機能により、SonicOS 管理インターフェースおよび Dell SonicWALL GMS を使用して、ファイアウォールとスイッチの
両方を使用できます。
重要: ファイアウォールとスイッチの双方の GMS 管理を行うには、GMS 8.1 サービス パック 1 が必要です。この
機能は、それより前のバージョンではサポートされません。
サポート対象の Dell SonicWALL TZ モデルで使用できるインターフェースの最大数は、5 (TZ300 の場合) ~ 10 (TZ600
の場合) です。ある種の配備では、TZ 上で使用可能なインターフェースの最大数を軽く超えるポート数が必要になる場合
があります。TZ/X シリーズによるソリューションでは、X シリーズ スイッチ上のポートをファイアウォールの「拡張」インタ
ーフェースと見なすことができます。そのため、使用できるインターフェースの数を増やすことができます。
X シリーズ スイッチのプロビジョニングは、SonicOS の「ネットワーク > PortShield グループ」ページから実行します。
以下に、TZ/X シリーズ ソリューションでサポートされる主な機能を示します。
 拡張スイッチとしての X シリーズ スイッチのプロビジョニング
 拡張スイッチに伝播される PortShield 機能および保護
 拡張スイッチ インターフェース設定の構成
 拡張スイッチの基本的なグローバル パラメータの管理性
 GMS を使用した拡張スイッチの管理性
 高可用性と PortShield
 拡張スイッチ用の診断サポート
Dell X シリーズ スイッチ統合の詳細については、以下のナレッジ ベース記事を参照してください。
 Dell SonicWALL X-Series Solution:Dell SonicWALL integration with Dell X-Series Switches FAQ (KB 185430)
 Dell SonicWALL X-Series Solution Overview (KB 185439)
 Dell SonicWALL TZ - X solution:How to provision X-Series switches on SonicWALL TZ series firewalls (KB 185
057)
 Dell SonicWALL X-Series Solution:How to provision Dell X-Series Switches on a SonicWALL TZ High Availabilit
y (HA) system (KB 186085)
 Dell SonicWALL X- Series Solution - How to manage Dell X-Series switch's admin credentials and management
IP through the Dell X-Switch's UI (KB 185479)
 Dell SonicWALL X-Series Solution:Which models of Dell X-Switches has support for POE+ (KB 186709)
SonicOS 6.2.5.1
リリース ノート
3
 Dell SonicWALL TZ Series and Dell SonicWALL X-Series solution managing SonicPoint ACe/ACi/N2 access poi
nts (SW13970)
DPI-SSL 拡張
SonicOS 6.2.5.1 における DPI-SSL の拡張内容 (改良点) は、次のとおりです。
改良点
説明
CFS カテゴリベースの除外/包含
この機能により、DPI-SSL では、CFS カテゴリ リストを使用して DPI-SSL 検
査に対する特定のカテゴリの除外や追加を行うことができます。各 CFS カテ
ゴリは、「DPI-SSL > クライアント SSL」ページに記されており、同じような形で
機能します。この機能は、DPI-SSL がライセンスされている場合に使用でき
ます。
動的な除外
DPI-SSL は、ある接続がインターセプト (包含) されるか除外されるかを、ポ
リシーまたは設定に基づいて動的に決定します。DPI-SSL によって接続のド
メイン名が抽出されると、同じサーバ/ドメインに対する以降の接続で除外情
報が使用できるようになります。
TLS 1.2 のサポート
DPI-SSL は、TLS 1.2、SHA-256、および Perfect Forward Secrecy をサポ
ートしています。
既定の CA 証明書データベース
の拡大
既定 (ビルトイン) の CA 証明書データベースが 39 ドメインに拡大されました。
既定のバイパス動作の管理監査
「DPI-SSL > クライアント SSL」ページの「一般」タブにある新しいオプション
により、実行のためにビルトイン CA 証明書データベースに追加する前に、
新しいビルトイン ドメイン名をテストできます。
ワンクリックでの除外による接続
エラーのトラブルシューティング
SonicOS は、すべてのクライアント SSL 接続エラーとエラーになった理由の
リストを保持しています。この接続エラー リストにより、接続エラーのすばや
い検査が可能になり、エラーになったドメインをワンクリックで除外するオプ
ションが提供されます。
コモンネーム/ドメイン名ごとのき
め細かなポリシー
管理者は、この機能を使用して、グローバル認証ポリシーから個々のドメイ
ンを除外できます。
カスタマイズされた既定の除外デ
ータベース
DPI-SSL が CPU に及ぼす影響を軽減し、装置で DPI-SSL 検査の同時接
続が最大数に達しないようにするために、信頼できるドメインをビルトイン除
外データベースに追加できます。
サーバ証明書認証 (除外および
復号化用)
「DPI-SSL > DPI クライアント」ページのオプションを使用すると、サーバ証明
書の認証を常に行ったり除外ポリシーの適用前に行ったりできます。
プロキシ環境のサポート (除外)
DPI-SSL はプロキシ環境をサポートしています。プロキシ環境では、装置が
クライアント ブラウザとプロキシ サーバの間に存在する場合を含め、すべて
のクライアント ブラウザがプロキシ サーバにリダイレクトされます。ドメイン
が、前面に負荷分散装置を配置したサーバ ファームの一部として、または、
同じサーバ IP を複数のドメインで使用できるクラウド配備内で、仮想ホステ
ィング サーバに含まれる場合のドメイン除外など、すべての DPI-SSL 機能
がサポートされています。
サブジェクト代替名のサポート —
*.google.com と youtube.com
DPI-SSL は、同じサーバ (証明書) でサポートされるドメインのリストに含ま
れているドメインに対する代替名の個別の除外/包含をサポートするようにカ
スタマイズできます。例えば、youtube.com を除外しながらも *.google.com を
含めることができます。
UI の更新
「DPI-SSL > クライアント SSL」および「システム > ライセンス」ページでは、
ここに示した DPI-SSL の新しい拡張機能をすべてサポートするための新し
い UI を使用できます。
SonicOS 6.2.5.1
リリース ノート
4
DPI-SSL セッション機能
SonicOS 6.2.5.1 では、第 6 世代 NSA および SM シリーズ装置の DPI-SSL 最大セッション数が大幅に増えています。
プラットフォーム
最大セッション数
プラットフ
ォーム
最大セッション数
プラットフォーム
最大セッション数
SuperMassive 9600
12,000
NSA 6600
6,000
TZ600
250
SuperMassive 9400
10,000
NSA 5600
4,000
TZ500/500W
250
SuperMassive 9200
8,000
NSA 4600
3,000
TZ400/400W
250
NSA 3600
2,000
TZ300/300W
250
NSA 2600
1,000
SOHO W
100
DPI-SSL の強化された暗号化方式
DPI-SSL で SHA-256 と TLS 1.2 がサポートされるようになりました。
これで、再署名されたすべてのサーバ証明書は、SHA-256 ハッシュ アルゴリズムで署名が行われます。
TLS 1.2 通信プロトコルは、DPI-SSL 配備でのファイアウォールとサーバとの間の SSL 検査/復号化時にサポートされる
ようになりました (これまで、TLS 1.2 のサポートはクライアントとファイアウォール間に限られていました)。すでに SonicO
S はほかの領域でも TLS 1.2 をサポートしています。
ファイアウォール アクセス ルールに対する DPI の無
効化オプション
「ファイアウォール > アクセス ルール」ページでアクセス ルールを作成する場合、「DPI を無効にする」という新しいチェッ
クボックスが「詳細」タブに表示されます。これにより、管理者はルールごとに精密パケット検査 (DPI) を無効にすることが
できます。
「DPI を無効にする」オプション
SonicOS 6.2.5.1
リリース ノート
5
UC-APL (Unified Capabilities Approved Product List)
の拡張
SonicOS 5.9.0/6.2.0 のすべての FIPS および NDPP 機能に加え、SonicOS 6.2.5.1 では UC-APL が次のように改良され
ています。
改良点
説明
新しい FIPS 2K 証明書署名のサ
ポート
FIPS (連邦情報処理規格) のセキュリティ強度 112 ビット (2048 ビット鍵) が
サポートされるとともに、以前の署名モードとの下位互換性も保持されてい
ます。
ロールベースの管理者の
サポート
すでにサポートされているものに加えて、DoD UCR 4.2.3 で定義されている
以下の管理者ロールが追加されています。
 システム管理者
 暗号化管理者
 監査管理者
これらの新しい管理者ロールをサポートするために、3 つの新しい編集可能
なユーザ グループが追加され、「システム > 管理」ページの「複数の管理
者」セクションにオプションが 1 つ追加されました。
OpenSSL 1.0.1h のサポート
SSL および TLS プロトコルのオープンソース実装がサポートされています。
TLS 1.1+ 拡張のサポート
「システム > 管理」ページの「ウェブ管理設定」セクションの新しいオプション
により、TLS 1.1 以降の拡張機能を使用できます。
ウェブ UI および E-CLI ログイン
バナー準拠のサポート
「ユーザ > 設定」ページの「ユーザ ウェブ ログインの設定」セクションにある新
しいオプションにより、ユーザ ログイン時のポリシー バナーの表示が可能にな
ります。ユーザは、表示されるポリシーをログイン前に受け入れる必要があり
ます。このオプションには、テンプレートおよびプレビュー機能があります。
2 ファクタ認証 (CAC) の拡張
すでに SonicOS は、ユーザ ログイン処理時のクライアント証明書の状況チ
ェック機能を備えています。コモン アクセス カード (CAC) をサポートするた
めに、SonicOS では、ユーザがインポートした証明書に対する期限切れのチ
ェックも定期的に実行するようになりました。この機能をサポートするため
に、新しいオプションが「システム > 管理」ページに追加されています。
LDAP TLS MS-CHAPv2 の
サポート
MS-CHAPv2 LDAP 認証をサポートするために、新しいオプションが「ユーザ
> 設定 > LDAP 設定」ダイアログに追加されています。このオプションを選択
すると、MS-CHAPv2 認証が強制的に使用されます。
RADIUS サーバも設定されている場合は、LDAP 認証に失敗してもこのサー
バによって認証が行われます。
MS-CHAPv2 RADIUS 認証の拡
張
MS-CHAPv2 RADIUS 認証をサポートするために、新しいオプションが「ユー
ザ > 設定 > RADIUS 設定」ダイアログに追加されました。このオプションを
選択すると、MS-CHAPv2 認証が強制的に使用されます。
ICMPv6 パケット検出レポートお
よびログのサポート
SonicOS で、パケット拡張ヘッダーの検証と無効な各拡張ヘッダーのログ記
録が RFC2460 に従って行われるようになりました。この機能は、「ファイアウ
ォール設定 > 詳細」ページにある 2 つの新しいオプションによって設定でき
ます。
ファイアウォールによる管理者タ
イムアウト後の表示の不明瞭化
管理者のセッションがタイム アウトすると、管理 UI によって管理者のログア
ウトが自動的に行われるようになりました。
OOBM (アウトオブバンド管理)
のサポート
「システム > 管理」ページの「高度な管理」セクションにある新しいオプション
により、アウトオブバンド インターフェースとして動作する MGMT インターフ
ェース用のルート ポリシーの自動作成が可能になりました。ルート ポリシー
を削除/作成する際の競合を回避するために、OOBM オプションの有効化/
無効化を行うと、装置は再起動されます。
この MGMT インターフェースは、装置を管理するための信頼できるインター
SonicOS 6.2.5.1
リリース ノート
6
改良点
説明
フェースとなります。このインターフェースに対するネットワーク接続は、かな
り制限されています。NTP、DNS、および SYSLOG サーバが MGMT サブネ
ット内に設定されている場合、装置は MGMT IP を送信元 IP として使用し、
MGMT アドレス オブジェクトとルート ポリシーの作成を自動的に行います。
MGMT インターフェースからのすべてのトラフィックのルーティングはこのポ
リシーによって行われます。作成されたルートは、「ネットワーク > ルーティン
グ」ページに表示されます。
MGMT アドレス オブジェクトとルート ポリシーは、IPv4 の MGMT アドレス IP
を使用して作成および更新されます。IPv6 の管理 IP アドレス オブジェクト
は既定で作成されるので、この機能は IPv6 管理 IP アドレス オブジェクト作
成では動作しません。
証明書の期限切れ通知
「システム > 管理」ページ上の「証明書の期限切れ設定を確認する」という
新しいセクションにより、期限切れ証明書の有無の定期的な確認や、その間
隔の指定が可能になっています。
クライアント証明書のキャッシュ
制御
UC-APL のサポートでは、「システム > 管理」ページで「クライアント証明書
キャッシュを有効にする」という新しいオプションを使用して、クライアント証
明書のキャッシュを有効化できます。
コア分散パフォーマンスの拡張
コア分散パフォーマンスの拡張により、ネットワーク条件と有効化されたサー
ビスによっては、ファイアウォールのパフォーマンスが向上します。
IPv6
ネットワーク監視のサポ
ート
ネットワーク監視で、ローカルまたはリモート ネットワーク内の任意のリモー
ト ホスト状況の監視がサポートされるようになりました。SonicOS は、装置と
ターゲット ホストとの間のトラフィックの可用性をリアルタイムで確認するよう
になりました。これによりい、ターゲット ホストはネットワーク トラフィックを確
実に受信できるようになります。また、SonicOS は「ネットワーク > ネットワー
ク監視」ページに監視対象ホストの状況を表示します。
拡張ヘッダー検出レポー
トおよびログのサポート
SonicOS で、パケット拡張ヘッダーの検証と無効な各拡張ヘッダーのログ記
録が RFC2460 に従って行われるようになりました。この機能は、「ファイアウ
ォール設定 > 詳細」ページにある 2 つの新しいオプションによって設定でき
ます。
拡張ヘッダー順序確認の
強制
「ファイアウォール設定 > 詳細」ページのオプションにより、拡張ヘッダーの順
序を確認して、複数の拡張ヘッダーを持つパケットの各ヘッダーが必ず RFC2
460 準拠の有効な順序になるようにすることができます。このオプションが有
効になっている場合、拡張子の順序が無効なパケットは破棄されます。
ホップバイホップ拡張ヘッ
ダーのサポート
SonicOS は、IPv6 ホップバイホップ拡張ヘッダーの確認機能を備えていま
す。ホップ制限の設定は、「ファイアウォール設定 > 詳細」ページのオプショ
ンで行うことができます。
サイトローカル アドレス
制御による SLU の許可
または禁止
既定では、IPv6 サイトローカル ユニキャスト (SLU) アドレスが使用されま
す。こうしたアドレスの特性は、漏洩、あいまいさ、潜在的なルーティング誤り
によってネットワーク セキュリティに悪影響を与える可能性があるため、「フ
ァイアウォール設定 > 詳細」ページのオプションにより、IPv6 インターフェー
スおよびルータ アドバタイズメント デーモン (RADVD) 接頭辞での SLU アド
レスの使用を無効化できます。
インバウンドの種別 0 ル
ーティング ヘッダー パケ
ットの確認
SonicOS は、種別 0 の IPv6 拡張ルーティング ヘッダーの確認機能を備え
ており、「ファイアウォール設定 > 詳細」ページ上のオプションを有効化する
ことで、これらのヘッダーを破棄するように設定できます。
DDNS のサポート
SonicOS は、IPv4 だけでなく IPv6 でも動的 DNS (DDNS) をサポートしま
す。
SonicOS 6.2.5.1
リリース ノート
7
改良点
説明
UDP/ICMP フラッド防御
のサポート
SonicOS は、定義された送信先への IPv6 UDP/ICMP トラフィック フローを
監視することで、UDP/ICMP フラッド攻撃を防ぎます。1 つ以上の送信元が
設定済みしきい値を超えた場合、指定の送信先への UDP/ICMP パケットは
破棄されます。この機能のサポートは、「ファイアウォール設定 > フラッド防
御」ページの新しいオプションによって有効になります。
ファイアウォール サンドイッチのサポート
SonicOS 6.2.5.1 が稼働している Dell SonicWALL ファイアウォールは、ファイアウォール サンドイッチと呼ばれる構成内
の Dell Force 10 スイッチと互換性があります。ファイアウォール サンドイッチ配備は、冗長性があり、可用性、スケーラビ
リティ、管理性を IT インフラストラクチャ全域で高めます。
ファイアウォール サンドイッチのトポロジ
ワイヤ モード VLAN 変換割付
この機能により、VLAN に到着し、セキュア モードで動作するワイヤ モード インターフェースへと向かうトラフィックを、ペ
アになっている送信側のインターフェース上の異なる VLAN に割り付けることができます。ワイヤ モード対応のすべての
SonicOS 6.2.5.1
リリース ノート
8
デバイスでサポートされているこの機能を使用すると、さらなる分析や処理を行うためのトラフィックの容易な再ルーティン
グが可能になります。
SonicOS 管理者は、まだワイヤ モード ペアになっていないペア インターフェース用の VLAN 割付を作成して、VLAN 割
付の事前プロビジョニングを行うことができます。これにより、管理者はトラフィックがインターフェースに到着する前に割
付を用意できます。また、管理者はアクティブ ワイヤ モード インターフェース上の割付を追加および削除できます。
インターフェース ペア用に作成された VLAN マップは、再ロード後も持続し、設定の一部として格納されています。また、
この機能により、複数のインターフェース ペア用の VLAN 割付を同時に作成することもできます。これらのインターフェー
スは、VLAN 割付の作成時にワイヤ モード ペアの一部を形成することもあれば、そうでないこともあります。ペアになって
いるインターフェースが変更され、この新しいペアに事前作成された割付がある場合、これらのインターフェースはペアの
変更後、ただちに有効になります。
VLAN 割付の作成と管理は、「ネットワーク > VLAN 変換」ページで行います。VLAN 割付は次の 2 つのモードで作成で
きます。
 一方向マップを使用する場合
一方向のトラフィックの用途は次のとおりです。

低セキュリティのネットワークから高セキュリティのネットワークへのセキュア印刷 (印刷コストの削減)

低セキュリティのネットワークから高セキュリティのネットワークへのアプリケーションおよびオペレーティン
グ システムの更新の転送

SOC (セキュリティ オペレーション センター) での複数ネットワークの監視

高セキュリティ ネットワークでの時刻同期

ファイル転送

低セキュリティのネットワークからの、高セキュリティのネットワークでの電子メール警告の提供
 双方向マップを使用する場合
双方向の割付は、ファイアウォール (TCP) を介した、機器を起点および終点とする 2 方向の接続の設定時に使
用します。
番号付き VPN トンネル インターフェース
ルーティング プロトコルは、番号付きのトンネル インターフェースを使用してルーティング セッションを確立できるようにな
りました。番号付けされたトンネル インターフェースがインターフェース リストに追加された後、静的ルート ポリシーは、静
的ルート ベース VPN の静的ルート ポリシー設定でインターフェースとしてこれを使用できます。ルーティング プロトコル
(OSPF、RIP、および BGP) は、動的ルート ベースの VPN にこれを使用できます。
番号付きトンネル インターフェースは、番号なしのトンネル インターフェースとともに、SonicOS 6.2.5.1 が稼働しているす
べてのプラットフォームでサポートされます。
AppFlow での Change Auditor のサポート
AppFlow で Dell™ Change Auditor for SonicWALL がサポートされるようになりました。これは、インターネット ウェブ サイ
トおよびクラウド アクティビティに関するデータを収集できる自動監査モジュールです。SonicOS 装置での Change Audito
r の使用の詳細については、『Change Auditor for SonicWALL User Guide』 (https://support.software.dell.com/change-a
uditor-for-sonicwall/release-notes-guides から入手できます) を参照してください。
SonicOS 6.2.5.1
リリース ノート
9
AppFlow 監視でのボットネット送信元識別
「ダッシュボード > AppFlow 監視」ページにボットネット フィルタ処理オプションとボットネット報告列が追加され、管理者は
ボットネット トラフィックをフィルタして、個別のユーザまたは IP アドレスと検出された関連アプリケーションを表示できるよ
うになりました。
「ダッシュボード > AppFlow 報告」ページにはボットネット タブが追加されています。
「ダッシュボード > AppFlow 監視 」 (および「AppFlow > AppFlow 監視」) では、「脅威」タブの「グループ」オプションで「ボ
ットネット」を選択できるようになりました。
グループ用の「ボットネット」オプション
「ダッシュボード > AppFlow 報告」 (および「AppFlow > AppFlow 報告」) には、新しい「ボットネット」列が「ユーザ」および「I
P」タブに追加されています。
レポート内の「ボットネット」列
SonicOS 6.2.5.1
リリース ノート
10
ゲートウェイ アンチウィルス検出専用モード
「検出専用モードを有効にする」という新しいチェックボックスがゲートウェイ AV 設定で使用できるようになりました。「ゲ
ートウェイ AV の設定」ボタンをクリックすると、このオプションを利用できます。このオプションをオンにすると、ウィルスが
含まれているトラフィックはログに記録されますが、遮断はされません。
「検出専用モードを有効にする」オプション
SonicOS 6.2.5.1
リリース ノート
11
制御プレーン フラッド防御
「ファイアウォール設定 > 詳細」ページの「制御プレーン フラッド防御」セクションに、「制御プレーン フラッド防御を有効に
する」という新しいチェックボックスが「制御プレーン フラッド防御しきい値 (CPU %)」フィールドとともに用意されました。こ
のフィールドには、CPU 処理能力の割合 (既定では 75%) を入力できます。
「制御プレーン フラッド防御を有効にする」オプション
「制御プレーン フラッド防御を有効にする」オプションがオンになっている場合、制御プレーン (コア 0) 上のトラフィックが
「制御プレーン フラッド防御しきい値 (CPU %)」で指定されているしきい値を超えると、ファイアウォールは、ファイアウォー
ル経由でシステムの制御プレーン コアへと向かう制御トラフィックのみを転送します。正当な制御トラフィックを優先する
ために、超過分のデータ トラフィックは破棄されます。この制限は、過剰なトラフィックが制御プレーン コアに到達するの
を防止します。こうした状況は、システムの応答性の低下や、ネットワーク接続の切断の原因となる場合があります。制御
トラフィックに対して設定された割合は保証されます。
SonicOS 6.2.5.1
リリース ノート
12
ポートの停止オプション
SuperMassive 9000 および NSA シリーズの装置で、「ネットワーク > インターフェース」ページでのインターフェースの編
集時に「詳細」タブで「ポートを停止する」オプションを使用できるようになりました。保守またはその他の理由でインターフ
ェースを一時的にオフラインにする場合は、「ポートを停止する」チェックボックスをオンにすることができます。確認メッセ
ージが表示されたら、「OK」をクリックします。接続していた場合、リンクは切断されます。チェックボックスをオフにすると、
インターフェースが有効になり再びリンクが接続されます。
ポートの停止オプション
管理インターフェースや現在使用中のインターフェースは停止できません。
「インターフェース設定」テーブルで、インターフェースの「有効」列にある緑色のチェックマーク アイコンをクリックしても、
インターフェースを停止できます。"管理権限でポート X4 を停止しますか?" のような確認メッセージが表示されます。「OK」
をクリックすると、チェックマーク アイコンが赤い "x" 印のアイコン (「無効」アイコン) に変わります。インターフェースを有
効にするには、「無効」アイコンをクリックし、確認メッセージが表示されたら「OK」をクリックします。
ポートベース ネットワーク監視
NAT ポリシーの編集時に「詳細」タブで新しいチェックボックスを使用できるようになりました。
 ポート プローブ処理を有効にする
 RST 未応答回数
この機能により、ネットワーク監視が強化され、IP アドレスに加えてポート情報も提供されます。NAT は、この情報を使用
して IP アドレスの適格性と変換用のポートの組み合わせをマークします。また、この機能は、負荷分散時にポートを考慮
するために NAT を強化します。この機能は、既定で無効になっており、設定可能です。
SonicOS 6.2.5.1
リリース ノート
13
NAT 用の送信元ポート再割付の無効化オプション
「ネットワーク > NAT ポリシー」ページで NAT ポリシーを編集する際には、「追加/編集」ダイアログの「詳細」タブにある
「送信元ポートの変換を無効にする」という新しいチェックボックスによって、ポリシー上で送信元ポートの再割付を無効化
できます。
「送信元ポートの変換を無効にする」オプション
このオプションをオンにすると、SonicOS は、ほかの NAT 割付を実行している間も接続の送信元ポートを保存します。こ
のオプションは、送信元 IP アドレスが変換されている場合の NAT ポリシーの追加または編集時に使用できます。「変換
後の送信元」が「オリジナル」に設定されている場合、このチェックボックスをオンにすることはできません。
HA/クラスタリング ファイアウォール用の接尾辞オプ
ション
「システム > 管理」ページの「ファイアウォール名」の下に、「ファイアウォール名に高可用性/クラスタリング接尾辞を自動
的に追加する」という新しいチェックボックスが用意されました。
「ファイアウォール名に高可用性/クラスタリング接尾辞を自動的に追加する」オプション
このオプションをオンにすると、「ダッシュボード > ログ監視」でファイアウォール名の後に適切な接尾辞が自動的に追加
されます。
 - プライマリ
 - セカンダリ
 - プライマリ ノード <n>
 - セカンダリ ノード <n>
このオプションにより、ログ内でプライマリ/セカンダリ ファイアウォールを認識しやすくなります。
SonicOS 6.2.5.1
リリース ノート
14
ラウンド ロビン/スピルオーバー負荷分散用の送信元
/送信先 IP アドレス バインド
「ネットワーク > フェイルオーバーと負荷分散」ページから負荷分散グループを設定する際に、 「ラウンド ロビン」および
「スピルオーバー」の負荷分散種別で「送信元と送信先 IP アドレス バインディングを使う」チェックボックスを使用できるよ
うになりました。以前のリリースでは、「種別」が「比率」に設定されている場合にしか使用できませんでした。
「送信元と送信先 IP アドレス バインディングを使う」オプション
このオプションは、HTTP/HTTPS リダイレクトを使用している場合などに特に便利です。例えば、接続 A と接続 B が同じ
WAN インターフェース上に存在する必要があり、接続 A での送信元および送信先 IP アドレスが接続 B のものと同じで
あるが、異なるサービスが使用されている場合などです。この場合、トランザクションがエラーにならないように同じ WAN
インターフェース上で両方の接続を維持するために、送信元および送信先の IP アドレスのバインドが必要です。
DFS チャンネル用の SonicPoint ACe/ACi/N2 FCC
による新しい規則の認証
SonicOS 6.2.5.1 からは、バージョン 9.0.1.0-2 のファームウェアを実行している SonicPoint ACe/ACi/N2 で、FCC U-NII
(Unlicensed –National Information Infrastructure) による DFS チャンネル用の新しい規則 (Report and Order ET Docket
No. 13-49) がサポートされます。FCC U-NII の新しい規則への準拠は、Dell SonicWALL 無線装置が U-NII 帯域内のほ
かの種別のユーザと干渉しないようにするのに役立ちます。
FCC の新しい規則に準拠したファームウェアを使用して製造された SonicPoint ACe/ACi/N2 無線アクセス ポイントは、S
onicOS 6.2.5.1 以降でのみサポートされています。それより古い SonicPoint ACe/ACi/N2 アクセス ポイントは、SonicOS
6.2.5.1 以降が稼働しているファイアウォールに接続すると、FCC の新しい規則に準拠したファームウェアに自動更新され
ます。
SonicOS 6.2.5.1
リリース ノート
15
TZ シリーズおよび SOHO Wireless 装置での機能の
サポート
SonicOS 6.2.5.1 が稼働している Dell SonicWALL SOHO Wireless および TZ シリーズの装置は、より古い 6.2 リリースのほか
のプラットフォームで使用できる機能のほとんどをサポートしていますが、すべてをサポートしているわけではありません。
以下の機能は、TZ シリーズおよび SOHO Wireless 装置ではサポートされません。
 アクティブ/アクティブ クラスタリング
 高度なスイッチング
 ジャンボ フレーム
 リンク統合化
 ポート冗長化
 ワイヤ モード
また、SOHO Wireless 装置は以下の機能をサポートしていません。
 アプリケーション可視化 (リアルタイム監視および AppFlow)
 地域 IP フィルタ処理
 ボットネット フィルタ処理
 高可用性
IPv6 サポート
本リリースの IPv6 でサポートされる機能については、SonicOS 6.2.5 で動作可能ないずれかの装置に対するサポート ポ
ータルページ (例えば https://support.software.dell.com/ja-jp/sonicwall-nsa-series/6600/release-notes-guides ) 上の
『SonicOS 6.2.5.1 IPv6 Support Reference Guide』 を参照してください。
修正された問題点
このセクションでは、本リリースで修正された問題点のリストを示します。
3G/4G
修正された問題点
問題番号
ファイアウォールの起動時に 3G/4G カードが検出されません。
160638
TZ の無線ファイアウォールまたは SOHO Wireless ファイアウォールの電源がオフになっていると
きに 3G または 4G カードが挿入され、その後、ファイアウォールを起動したときに発生します。
一部の 3G/4G USB カードが SonicOS によって検出されません。
159366
ATT340U または Sprint 341U カードが TZ 上の U0 インターフェースに挿入された状態でファ
イアウォールを 1回以上再起動した場合に発生します。
SonicOS 6.2.5.1
リリース ノート
16
アプリケーション制御
修正された問題点
問題番号
アプリケーション制御を使用して Skype を遮断すると、google.com へのアクセスも遮断される
場合があります。
159478
アプリケーション制御詳細が Skype を IM カテゴリ内で遮断するように設定されている場合に
発生します。
GMS
修正された問題点
問題番号
SYSLOG 接続クローズ メッセージが正しくありません。
166750
SENT/RCVD レポートのサイズが 4GB を超えると発生します。
NAT が X0 の IP アドレスを X1 の IP アドレスに変換するように設定されていない場合、Sonic
OS 6.2 が稼働しているファイアウォールを Dell SonicWALL GMS によって管理できません。
166455
GMS がリモート ファイアウォールを管理トンネル経由で管理するように設定されていて、パブ
リック アドレスを介してその装置を管理しようとした場合に発生します。
高可用性
修正された問題点
問題番号
X シリーズ スイッチの状況がスタンバイ ファイアウォールで正しく表示されません。
171030
HA ペア上で設定されている拡張スイッチを使用して一連のフェイルオーバーおよびフェイル
バックが行われた場合に発生します。
変更された管理者の資格情報でセカンダリ装置にログインできません。
161560
管理者のユーザ名とパスワードがプライマリ装置上で変更され、この変更がセカンダリ装置で
は行われていない場合に発生します。
SonicWALL 装置と Juniper NetScreen との間のサイト間 VPN で、受信セキュリティ アソシエ
ーションの ESP パケットが "Octeon Decryption Failed Selector" (Octeon による復号化でセ
レクターに問題が発生しました) というメッセージとともに破棄されます。
159438
トラフィックが Juniper NetScreen の背後にあるコンピュータから生じた場合に発生します。冒
頭の ESP パケットが破棄されます。
ログ
修正された問題点
問題番号
エクスポートされたログ メッセージが CFS カテゴリ内にランダムな数値として表示されます。
168542
ウェブ サイトが CFS 遮断リストに追加された後、そのウェブ サイトへのアクセスがあった場
合に発生します。
フィルタされたログ イベントはグループとして変更できず、フィルタは、各イベントを個別に変
更した後にリセットされます。
163176
「ログ > 設定」ページでフィルタ ("name=vpn" など) が適用された後、表示されているイベント
を管理者が変更しようとした場合に発生します。
ネットワーク
修正された問題点
問題番号
高可用性 (HA) ペアで、プライマリ ファイアウォールでの拡張スイッチの削除がセカンダリ フ
ァイアウォールに同期されません。
170512
HA ペアのプライマリ ファイアウォールから X シリーズ スイッチが削除された場合に発生しま
す。セカンダリ装置では依然として X シリーズ スイッチが存在するものとして表示されます。
SonicOS 6.2.5.1
リリース ノート
17
修正された問題点
問題番号
NAT の優先度がポリシーの無効化後に失われます。
165930
すでに設定されている NAT ポリシーの優先度が変更された後に NAT ポリシーが無効になっ
た場合に発生します。
VPN トンネルが停止した場合、その VPN トンネル経由の静的ルートが MSM ルーティング テ
ーブルから取り消され、それらのルートやブラックホール トラフィックでこの装置を参照するす
べての近隣関係が生じます。
164797
グループ オブジェクトが VPN トンネル経由の静的 PBR ルートで使用されていて、RIP また
は OSPF への静的ルートの再配布が有効になっている場合に発生します。
一部の FQDN オブジェクトが解決されません。
162862
通常の FQDN オブジェクトとワイルドカードによる FQDN オブジェクトの両方が数多く設定さ
れている場合に発生します。
高度なルーティングが親インターフェースと VLAN サブインターフェースの両方で同時に機能
しません。OSPF は確立できず、RIP はルートを学習できません。
165969
OSPF と RIP が親インターフェース (X4 など) で有効になった後、VLAN サブインターフェース
(X4:v140 など) で有効になった場合に発生します。OSPF と RIP が最初に VLAN サブインタ
ーフェースで、その後に親インターフェースで有効になった場合にも、発生します。
NSA 240 上で 3 つのアドレス オブジェクトが含まれているアドレス グループが、TZ (TZ500
など) へのインポート後に、空の状態として表示されます。TZ でこれらのオブジェクトをグルー
プに追加しようとしても、範囲の重複エラーが出て失敗します。
164568
SonicOS 5.8.1 が稼働している NSA 240 の設定を 6.2.4 が稼働している TZ にインポートした
場合に発生します。
VLAN サブインターフェース経由の LAN から WAN へのトラフィックでエラーが発生し、"Desti
nation MAC address is not our interface" (送信先 MAC アドレスが適切なインターフェースで
はありません) というメッセージが表示されます。
163733
X1 WAN インターフェースが PPPoE モードで設定されていて、「設定した MAC アドレスに書き
換える」オプションが X1 で有効になっている状態で、VLAN サブインターフェースが X1 にバ
インドされ、やはり PPPoE モードで設定された場合に発生します。X1 と VLAN インターフェー
スの両方を PPPoE サーバに接続した後、インターネットから VLAN IP アドレスへのトラフィッ
クは破棄されます。診断では、VLAN インターフェースの MAC アドレスが書き換え用のアドレ
スではなくオリジナルのものであると表示されます。
X0 に割り当てられている DHCP サーバ リース範囲が X3 に属するものに変更されます。
163199
DHCP サーバが最初に X0 で有効になっていて、管理者が X3 をレイヤ 2 ブリッジ モードで
X0 にブリッジされるように設定しようとした場合に発生します。ただし、DHCP サーバがプライ
マリ インターフェース上で有効になっているというエラーが表示されます。X0 で DHCP サー
バを無効にした後、X3 から X0 へのブリッジは成功し、「ネットワーク > DHCP サーバ」ページ
には以前の X0 DHCP リース範囲が今度は X3 のものとして表示されます。
高度なルーティングが親インターフェースと VLAN サブインターフェースの両方で同時に機能
しません。OSPF の状況は NULL のままであり、RIP はどのルートも学習できません。
163188
OSPF と RIP が物理的な親インターフェース (X4 など) と VLAN サブインターフェース (X4:v14
0 など) 上で有効になっている場合に発生します。
ファイアウォールへの接続に対する効果的な負荷分散が行われず、WAN リンクが飽和したり
インターネット アクセス速度が低下したりします。
162890
「ネットワーク > フェイルオーバーと負荷分散」ページで負荷分散が有効になっていて、負荷
分散の種別が「比率」に設定されている場合に発生します。
SonicOS の管理およびネットワーク トラフィックの両方で大きな遅延が生じ、過剰な DNS トラ
フィックがファイアウォールによって生成されます。
156195
ワイルドカード FQDN によるアドレス オブジェクトが設定されている場合に発生し、そのワイ
ルドカード FQDN について学習されたすべてのサブドメインのために不要な DNS クエリが生
成されます。このクエリの生成は、そうしたサブドメインへのトラフィックを送信するホストが存
在しなくても行われます。
SonicOS 6.2.5.1
リリース ノート
18
SSL VPN
修正された問題点
問題番号
NetExtender クライアントがデータ転送中に不定期に切断され、以下のようなエラー メッセー
ジが表示されます:
169117
 ネットワーク接続が切断されていた。
 接続のアイドル状態が設定したアイドル タイムアウトを超過した。
 ユーザ アカウントが SSL VPN ポータルからログアウトした。
トンネル上でファイル転送や、まとまった量のトラフィック送信を行った場合に発生します。
SSL VPN 接続に失敗します。
167361
Apple AirPort を使用している Mobile Connect クライアントが、ファイアウォールへの SSL VP
N 接続を確立しようとした場合に発生します。
ドメイン名が認識されません。
160479
SSL VPN クライアント設定で、ピリオド (.) とハイフン (-) の両方が含まれているドメイン名が
追加された場合に発生します。
遮断された HTTP ウェブサイトの CFS 遮断ページの代わりに "The page cannot be displaye
d" (ページを表示できません) というメッセージが表示されます。
159438
CFS アプリケーション ルール ポリシーが設定され、SSL VPN ゾーンに適用された場合に発
生します。CFS ポリシーは、ユーザが遮断対象カテゴリ内のウェブ サイトにアクセスしようとし
た場合に実行されますが、CFS 遮断ページではなく、上記のメッセージが表示されます。
システム
修正された問題点
問題番号
特殊な RSA-CRT 攻撃により、比較的まれなケースですが秘密鍵の漏洩が生じる可能性が
あります。このセキュリティ脆弱性は、広く一般には開示されておらず、この攻撃を実行するこ
とは非常に困難です。慎重を期すために、Dell SonicWALL ではユーザによるファームウェア
のアップグレードを推奨しています。
166825
SonicOS 管理インターフェースまたはファイアウォール上のポートへのアクセスに SSL を使
用していて、以下の条件を満たしている場合に発生します。
 この脆弱性を利用するために、高度に洗練化されたツールが使用されています。一
般の人々はこうしたツールを利用できません。
 内部の SonicOS 設定で「ハードウェア RSA を有効にする」オプションが有効になって
います (既定では、このオプションが無効になっており、その場合、ファイアウォール
は脆弱ではありません)。
ユーザ インターフェース
修正された問題点
問題番号
「受信エラー」および「送信エラー」列が「ネットワーク > インターフェース」ページに表示されま
せん。
163897
SonicOS 6.2.2 で「インターフェース トラフィック統計」テーブルを表示すると発生します。これら
の列は、これまで SonicOS 5.9.0.7 および 5.9.1.1 に存在していたもので、6.2.4.3 で再び追加
されました。
JavaScript エラーにより、手動鍵 (マニュアル キー) を設定できません。
163802
IPv6 マニュアル キー ポリシーを設定しようとした場合に発生します。
ユーザ
修正された問題点
問題番号
アドレス オブジェクト/グループまたはサービス オブジェクト/グループ用の SSO バイパス設
定が失われています。
169646
SonicOS 6.2.5.1
リリース ノート
19
修正された問題点
問題番号
ファームウェアが 6.2.2.2 から 6.2.5.1 にアップグレードされた場合に発生します。
SSO 認証/RADIUS アカウントの無動作ユーザが時期尚早にタイムアウトする場合があります。
168579
無動作タイムアウトが 24 時間に設定されている場合に発生します。
管理ユーザが、これまでは設定を行うことができたのに、読み取り専用権限の取得しかでき
ません。
168312
管理ユーザが LDAP からインポートされた場合に発生します。
ゲスト管理者がログインできません。
166925
ゲスト管理者が、ゲスト サービスが有効になっているゾーンからログインしようとした場合に
発生します。これは、通常のゲスト ユーザがそのゾーンからログインできる場合でも発生します。
SonicPoint SSID に接続しているゲスト ユーザが、「適用」をクリックした後、数分以内にユー
ザ ポリシーを受け入れるためのページに再びリダイレクトされます。ポリシー ページの代わり
に "File not found" (ファイルが見つかりません) エラーが表示されることもあります。
164524
「認証なしにポリシー ページを有効にする」が有効になっている状態で、ユーザがポリシー ペ
ージで「適用」をクリックした後、処理が正常に行われたか、アイドル状態が数分間続いた場
合に発生します。エラーは、複数のゲスト クライアントが同時に接続している場合に表示され
ます。
シングル サインオン (SSO) でのユーザ認証時にファイアウォールが停止し、一部のユーザに
"User Login Denied - LDAP communication or configuration error" (ユーザのログインが拒
否されました - LDAP の通信または設定エラー) というエラー メッセージが表示されます。複
数の RADIUS アカウント開始/停止メッセージのペアがログに記録されます。
163550
SSO でのユーザ認証に LDAP および RADIUS アカウントが設定されていて、ほかの非 SSO
ユーザ/グループがウェブ ログインによって認証される場合に発生します。SSO エージェント
のバージョンは 4.0.18 です。無線ユーザが異なるアクセス ポイント間を移動すると、RADIUS
アカウント開始/停止メッセージのペアが生成されます。
LDAP ユーザをテストする機能で "LDAP communication error" (LDAP 通信エラー) が返され
ます。
162500
該当するユーザ認証方式でローカル ユーザが設定されていて、LDAP サーバが正しく設定さ
れていない場合に発生します。
VPN
修正された問題点
問題番号
VPN トンネル インターフェースが削除されません。
170044
ポリシーベース ルート (PBR) が、トンネル インターフェースに追加されて別のインターフェー
スに変更された後、VPN トンネル インターフェースの削除前に削除された場合に発生しま
す。
ポリシー ベース ルーティングが機能しません。
169786
番号なしのトンネル インターフェース (TI) が、その番号なし TI と同じ VPN ポリシーを使用し
ている、番号付きの TI に変更された場合に発生します。ポリシーの送信インターフェースは
自動的に番号付き TI に変更されますが、このポリシーに一致する VPN トラフィックはエラー
になります。
無線
修正された問題点
問題番号
無線 VAP が 2.4GHz 自動チャンネルで機能しません。
166580
自動チャンネルに設定された 2.4GHz が選択されていて、内部 VAP グループを使用して 2
つの VAP がそのグループに割り当てられている場合に発生します。
SonicOS 6.2.5.1
リリース ノート
20
SonicPoint SSID に接続しているゲスト ユーザが、「適用」をクリックした後、数分以内にユー
ザ ポリシーを受け入れるためのページに再びリダイレクトされます。ポリシー ページの代わり
に "File not found" (ファイルが見つかりません) エラーが表示されることもあります。
164524
「認証なしにポリシー ページを有効にする」が有効になっている状態で、ユーザがポリシー ペ
ージで「適用」をクリックした後、処理が正常に行われたか、アイドル状態が数分間続いた場
合に発生します。エラーは、複数のゲスト クライアントが同時に接続している場合に表示され
ます。
確認されている問題点
このセクションでは、本リリースで確認されている問題点のリストを示します。
重要:VPN トンネル インターフェース
確認されている問題点
問題番号
動的ルーティングによる番号なしトンネル インターフェースがどれもアップグレード時に保持さ
れません。
169993
SonicOS 6.x を SonicOS 6.2.5.1 にアップグレードした場合に発生します。
3G/4G
確認されている問題点
問題番号
Sprint 341U カードでの接続に 10 分以上かかります。
166381
Sprint 341U が U0 に接続されており、U0 が 4G プロファイルでの最終バックアップとして設
定されていて、X1 からのケーブルの取り外しによってプライマリ WAN (X1) からのフェイルオ
ーバーが開始された場合に発生します。
Huawei E182E 3G カードが SonicOS によって正しく検出されず、接続できません。コンソール
にはカードが検出されたと表示されますが、SonicOS ウェブ管理インターフェースには "No de
vice" (デバイスなし) と表示されます。U0 インターフェースは、最終バックアップとして表示さ
れませんが、代替グループ内に表示されます。
164232
最初は Huawei E182E 3G デバイスが適切に機能していて、U0 が WAN の最終バックアップと
して永続モードで設定されており、このデバイスが挿入された状態で装置を再起動する直前
に X1 インターフェースが切断された場合に発生します。
データ制限の再設定後、U0 が再接続するのに 4 ~ 6 分かかります。
160190
AT&T Beam、Verizon 290、Sprint 760、AirCard 340U で、U0 がデータ制限 100K の永続モー
ドで最終 WAN バックアップになっており、U0 へのフェイルオーバー後にデータの上限に達
し、管理者が「3G/4G > データ使用」ページでデータ制限を再設定した場合に発生します。
Huawei 3G カードが X1 WAN インターフェースの切断後にインターネットに接続しません。
159273
複数の Huawei 3G カードのうち 1 枚が TZ 装置に挿入されていて、U0 インターフェースが
「ネットワーク > フェイルオーバーと負荷分散」ページで「最終バックアップ」に設定されている
場合に発生します。
SonicOS 6.2.5.1
リリース ノート
21
アプリケーション制御
確認されている問題点
問題番号
アプリケーション制御詳細によって Psiphon クライアント バージョン 95 および 87 が遮断され
ません。
162055
プロキシアクセス カテゴリが「アプリケーション制御詳細」でシグネチャ 5、6、7 とともに有効に
なっている場合 (DPI-SSL の有効/無効、UDP ポート 500 および 4500 を遮断するルールの
有無は問いません) に発生します。
Ultrasurf ブラウザ プラグインがアプリケーション ルールやアプリケーション制御詳細によって
遮断されません。
161651
Ultrasurf の Chrome ブラウザ プラグインを使用している場合に発生します。
アプリケーション制御で、スマートフォン アプリからは Google Play アプリ ストアへのアクセス
が遮断されませんが、パーソナル コンピュータ上のブラウザからは play.google.com が遮断さ
れます。
157692
DPI-SSL が有効になっておらず、Google Play アプリケーションおよびシグネチャを遮断する
アプリケーション ルールがファイアウォール上で設定されている状態で、Android スマートフォ
ンがこのファイアウォールに無線アクセス ポイント経由で接続した場合に発生し、Google Play
ストアからのアプリのダウンロードや更新が可能になります。
DPI-SSL
確認されている問題点
問題番号
NetExtender (SSL VPN クライアント) 接続が切断されます。
169379
HTTPS 接続が開始された場合や、SCP によってファイルが SSL VPN 接続の向こう側にある
ホストにダウンロードされた場合に発生します。
クライアント DPI-SSL で WWAN インターフェース上のトラフィックが検査されません。HTTPS
を使用したセキュア ウェブサイトへの接続時に "connection is untrusted" (接続が信頼でき
ません) のようなメッセージが一切表示されません。
163672
ファイアウォールが 3G または 4G カードを WAN 接続に使用していて、クライアント DPI-SSL
が有効になっているものの、既定の Dell SonicWALL DPI-SSL CA 証明書がブラウザにイン
ストールされていない場合に発生します。
YouTube のようなアプリケーションの読み込み速度が遅かったり、読み込みが適切に行われ
なかったりします。
158183
DPI-SSL サービスが有効になっていて、詳細帯域幅管理でポリシーが設定されている場合
に発生します。こうしたポリシーは設定どおりに機能しないことがあります。
高可用性
確認されている問題点
問題番号
設定の手動変更やアクティブ状態のプライマリ ファイアウォールの再起動の際、HA プライマ
リおよびセカンダリ ファイアウォールが少しの間、サービスを利用できなくなります。
171787
アクティブ状態のプライマリ ファイアウォールで設定変更が行われた後、SonicOS 管理インタ
ーフェースのステータス バーにある再起動リンクがクリックされた場合に発生します。
設定の同期を行うと、スタンバイ装置の「ネットワーク > Portshield グループ」の表示が絶え
ず更新されるようになります。
170876
TZ シリーズの装置上に X シリーズ スイッチの X1052 や X1008 が存在する場合に発生しま
す。設定からどちらのスイッチも削除せずに、X1008 スイッチを物理的に取り外します。プライ
マリ装置には、双方のスイッチの適切な状況が表示されます。「高可用性 > 詳細」ページで、
「設定の同期」ボタンをクリックします。同期後にセカンダリ装置が再起動しますが、「ネットワ
ーク > PortShield グループ」ページの表示が継続的に更新されます。
SonicOS 6.2.5.1
リリース ノート
22
SSL VPN NetExtender を使用しているクライアントが、フェイルオーバーおよびフェイルバック
後に HA ペアのアクティブ装置に接続できません。
167227
クライアントが SSL VPN NetExtender を使用して接続されていて、「アクティブ/スタンバイ フ
ェイルオーバーを強制する」オプションを使用してフェイルオーバーを強制し、クライアントは切
断されているけれども再接続できる状態で、同じオプションを使用してプライマリ ファイアウォ
ールへのフェイルバックを強制した場合に発生します。クライアントが再接続を試みると、切断
された状態で "connection failed" (接続失敗) エラーになります。
ログ
確認されている問題点
問題番号
syslog サーバ ポートを変更できません。
160355
GMS サーバから syslog ポートを変更しようとした場合に発生します。
アプリケーション ルール ログ メッセージの送信元と送信先が逆になります。送信元が本来の
送信先になり、送信先が本来の送信元になります。
149458
アプリケーション ルール ログ メッセージを表示する場合に発生します。
ネットワーク
確認されている問題点
問題番号
VLAN インターフェースおよび関連する VPN トンネル ポリシーが作成されません。
173505
NSA 5600 から NSA 6600 に設定ファイルをインポートした場合に発生します。
拡張スイッチのアクセス VLAN 設定が適切に割り当てられません。
170434
VLAN の設定されたサブインターフェースが、拡張スイッチと、共通アップリンクまたは専用リ
ンクによるスイッチ アップリンクのどちらかを伴う TZ 装置上で作成された場合に発生します。
拡張スイッチには VLAN が設定されたポートへの PortShield が適用されています。拡張スイ
ッチを確認すると、VLAN 設定は、専用アップリンクでサポートされているほかの VLAN に割
り当てられています。
TZ シリーズ装置上の X シリーズスイッチがアクセスできない状態になり、MGMT アップリンク
のみの専用リンクの設定後に状況が停止になります。
170141
X シリーズ スイッチが「動的 IP」用に設定されている場合に発生します。この場合、DHCP サ
ーバが有効になっていると、新しい IP アドレスを受け取ります。
応急: X シリーズ スイッチの初期設定では、「動的 IP」ではなく、「静的 IP」を必ず選択するよ
うにします。
TZ シリーズ装置上の X シリーズ スイッチの PortShield 処理にかかる時間が長すぎます。
170026
TZ シリーズ装置上の任意の X シリーズ スイッチの PortShield グループに対する複数ポート
の PortShield 処理を任意の組み合わせで行った場合に発生します。各ポートの PortShield
処理に 15 秒かかります。例えば、24 ポートの PortShield 処理には、15 秒 x 24 = 360 秒 = 6
分かかります。
PPPoE 接続が約 5 分ごとに落ちます。
170017
「ネットワーク > インターフェース」ページの「インターフェースの編集」ダイアログの「プロトコ
ル」タブで、「サーバがトラフィックを送信しない場合、PPPOE クライアントを切断する」 の値が
5 分に設定されている場合に発生します。
「ネットワーク > PortShield」ページの「グループ」タブの表示が遅すぎます。
169847
2 台の X シリーズ スイッチが TZ シリーズ装置上にプロビジョニングされていて、1 台のスイ
ッチを装置のユーザ インターフェースから削除した場合に発生します。この設定のエクスポー
トと保存は「システム > 設定」ページで行います。保存された設定をインポートする際、「グル
ープ」タブの表示にかなりの時間がかかります。
SonicOS 6.2.5.1
リリース ノート
23
確認されている問題点
問題番号
ICMPv6 サービス グループで一貫性のないメンバー オブジェクトが表示されます。
168831
工場出荷時の ICMPv6 グループの編集時に発生します (「ネットワーク > サービス > サービ
ス グループ > ICMPv6 の編集」)。工場出荷時の状態では、約 30 個のサービス オブジェクト
が ICMPv6 グループのメンバーとして表示されます。このグループに対する編集/追加を試み
ると、(ネットワーク オブジェクトが見つかりませんという) エラーが発生し、メンバーが削除さ
れ、下位種別の ICMPv6/ND メンバーを一切追加できなくなります。
ファイアウォールが OSPF を使用しているすべての近隣ルータとの完全な隣接関係を形成で
きません。
166564
ルータ優先順位 200 のファイアウォールのあるインターフェースで OSPF が有効になってい
て、シミュレーションされた 20 台の近隣ルータ (すべて優先順位 0) によって OSPF を実行し
ているテスト システムに接続されている場合に発生します。約半数の近隣ルータしか完全の
状況に到達できません。
IPv6 BGP 近隣関係を確立できません。
157525
IPv6 と IPv4 の両方の BGP がネットワーク上で同時に設定されていて、IPv4 BGP では認証
が設定されているが IPv6 BGP が認証用に設定されていない場合に発生します。
ファイアウォールのコンソールで OSPF を有効にできません。
153350
ファイアウォールのコンソールから OSPF を有効にしようとする場合に発生します。ネットワー
クで先に OSPF ワイルドカード ビットを一致させる必要があります。
ファイアウォールのコンソールで RIPv2 を有効にできません。
153267
ファイアウォールのコンソールから RIPv2 を有効にしようとしたときにサブネットが設定されて
いない場合や、サブネットが 10.8.109.0 のように 32 ビットで IP アドレスの末尾バイトが 0 の
場合に発生します。
ファイアウォールがエリア 0 以外のエリアから OSPF ルートを取得します。
153096
ネットワーク トポロジに 3 つのエリアと 3 つのファイアウォールが含まれており、そのすべて
に VLAN が設定されていて、OSPF ルートがエリア 1 のファイアウォールでチェックされる場
合に発生します。
OSPFv3 経由の動的 IPv6 ルーティングにデフォルト ルートを登録するためのオプションがな
い。
150771
OSPFv3 を「ネットワーク > ルーティング」ページから設定した場合に発生します。OSPFv3 経
由の IPv6 デフォルト ルートの登録は、現時点ではサポートされていません。
SSL VPN
確認されている問題点
問題番号
VLAN ID を設定すると、ページに "Bad Request:The client issued a bad request" (不正な要
求: クライアントが不正な要求を発行しました) と表示されます。
170036
VLAN ID を設定するためにキーボードの Enter キーを押した場合に発生します。
証明書の CRL ファイルをインポートできません。
169256
100KB を超える証明書 CRL ファイルをインポートする場合に発生します。
スイッチング
確認されている問題点
問題番号
レイヤ 2 LAG (Link Aggregation Group) の統合されたメンバー インターフェースが、ファイア
ウォールの再起動後に LAG への統合に失敗します。
167254
LAG 統合元インターフェースと統合されたメンバー インターフェースが、DHCP モードを使用
した WAN ゾーンにおいて、それぞれで VLAN が有効になっているトランク ポートとして設定
されていて、その後、ファイアウォールが再起動された場合に発生します。
SonicOS 6.2.5.1
リリース ノート
24
システム
確認されている問題点
問題番号
システム時刻に表示される時間が正しくありません。
168444
「システム > 時間」ページで年と時間が手動で何度も設定された場合に発生します。
ポート X16、X17、X18、X19 上の 10 ギガビット リンクがフェイルオーバー後に停止することが
あります。これらのポートは、いったん管理上ダウンの状態にしたうえでアップ状態に戻すと再
び正常になります。
166758
2 台の SuperMassive 9000 シリーズが、ワイヤモードで設定されたポート X16、X17、X18、X1
9 による高可用性ペアとして接続されていて、テスト中にフェイルオーバーが強制された場合
に発生します。
ファイアウォールから診断レポートを送信できません。送信を試みると、"Failed to send file to
remote backup server, Error:1, File:TSR" (リモート バックアップ サーバにファイルを送信でき
ませんでした。エラー: 1、ファイル: TSR) という誤ったログ メッセージが記録されます。
163181
「システム > 設定」ページから「診断をサポートに送信」を使用した場合に発生します。
設定ファイルを、5.9.0.x または 5.9.1.0 が稼働している装置から 6.2.5.1 が稼働している TZ60
0 にインポートした後、サイト間 VPN ポリシーがバインドされているインターフェースが X1 か
ら X0 に変更されます。
143210
VPN がバインドされたインターフェースの設定ファイルに 6.2.x との互換性がない場合に発生
します。
ユーザ インターフェース
確認されている問題点
問題番号
SonicOS 管理ユーザ インターフェース (UI) からアップロードすると、ファームウェアのアップ
グレードに失敗します。
171763
X シリーズ 4012 拡張スイッチのファームウェア アップグレードを SonicOS 管理インターフェ
ースから試みた場合に発生します。
応急: スイッチのファームウェアのアップグレードを拡張スイッチから直接行います。
PoE 非対応の X シリーズ拡張スイッチで PoE 用のオプションが表示されます。
171573
PoE 非対応の拡張スイッチを設定する場合に発生します。「外部スイッチの追加」ダイアログ
の「詳細」タブに PoE 用のオプションが表示されます。
Microsoft Edge ブラウザで動的ページ (「ダッシュボード > ログ監視」、「ネットワーク > アドレ
ス オブジェクト」、「ネットワーク > NAT ポリシー」など) を読み込むことができません。
169277
Microsoft Edge ブラウザの使用時に発生します。ブラウザ ウィンドウが最大化されている場
合はページが不鮮明になり、ブラウザ ウィンドウが最大化されていない場合はページが消え
ます。
SonicOS 6.2.5.1
リリース ノート
25
確認されている問題点
問題番号
X シリーズ スイッチを伴う TZ シリーズ装置で「ダッシュボード > リアルタイム監視」が適切に
機能していないように見えます。
169000
X シリーズ スイッチが TZ シリーズ装置上にプロビジョニングされている場合に発生します。
例えば、TZ 装置と X シリーズ スイッチとの間にある設定値 10Mbps のリンクは、適切に機能
していても、「 ダッシュボード > リアルタイム監視」に 100+MBps と表示されます。X- シリーズ
スイッチのすべてのポートには PortShield が適用されており、「ダッシュボード > リアルタイム
監視」でこれらのポートについて表示されるデータは適切ではありません。
VPN
確認されている問題点
問題番号
トンネル インターフェースで、暗号化方式を変更すると OSPF の不一致が発生します。
173108
以下の状況下で発生します:
 ファイアウォールを以前のバージョンから 6.2.5.1 以上にアップグレードした後で、非 AES
暗号化を使用しているトンネルを AES に変更する
 以前のバージョンで動作している 2 台のファイアウォール間に AES 暗号化を使用したト
ンネルがあり、その片方のファイアウォールだけを 6.2.5.1 以上にアップグレードする
 6.2.4.2 以上で動作しているファイアウォール上で、VPN トンネル終端インターフェースの
MTU を変更すことにより、番号付けされたトンネル インターフェースの MTU が変更さ
れる
詳細については、ナレッジ ベースの記事 Interoperability issue for OSPF with tunnel-interfa
ces between 5.9.x.x, 5.8.x.x and 6.x.x.x. (SW10735) を参照してください。
マニュアル キーを追加できません。
170547
「VPN > 設定 > VPN ポリシー」ダイアログで IPv6 マニュアル キーを追加しようとした場合に
発生します。
VPN トラフィックが VPN トンネルに入りません。
170466
静的ルートに関する番号なしトンネル インターフェース ポリシーが、「NAT ポリシーを適用す
る」オプションが有効になっている状態で S2S VPN ポリシーに変更され、その後また静的ル
ートに関するトンネル インターフェース ポリシーに変更された場合に発生します。
VPN トンネル インターフェースを削除できません。
169627
種別がトンネル インターフェースの VPN ポリシーが設定されていて、その後、該当する名前
を持つ VPN トンネル インターフェースが設定された場合に発生します。6.2.5.1-20n へのアッ
プグレード後、この VPN トンネル インターフェースは、アップグレード時に名前が失われてい
るために削除できなくなります。
無線
確認されている問題点
問題番号
SonicPoint ACe/ACi/N2 の認証を直接変更できません。
171722
SonicPoint ACe/ACi/N2 のプロファイルを設定して、認証種別を「WPA2 - EAP」 から「WEP –
共有鍵」に変更する際に発生します。
応急:認証種別を「WPA2-EAP」から「WEP-両方 (オープン システムと共有鍵)」 に変更しま
す。その後、認証種別を「WEP-共有鍵」に変更します。
SonicOS 6.2.5.1
リリース ノート
26
日本語版特有の問題点
確認されている問題点
問題番号
TZ Wireless/SOHO Wireless 装置に日本語以外のファームウェアをアップロードし、工場出荷
時の設定で起動した場合、無線のチャンネル数が制限されます。
-
「ダッシュボード > 接続監視」 ページでエクスポートした CSV 形式の接続監視結果ファイルを
エクセルで開くと、文字化けすることがあります。
-
エクセルが UTF-8 エンコードの CSV ファイルを異なるエンコードで開くために発生し、ヘッダ
行 (1 行目) が文字化けします。
応急: 最初にテキスト エディタ等で CSV ファイルのエンコードを Shift-JIS または BOM 付き
の UTF-8 に変更してから、エクセルで開きます。
「システム > 管理」 ページから言語を切替えると、設定情報が破損することがあります。
-
本リリースのファームウェアは、設定を引き継いだ言語の切替をサポートしていません。 日本
語から英語に切替えて、その後日本語に戻しても設定情報は破損した状態になるので、言語
を切替えないでご利用ください。
応急: 言語を切替えてしまった場合は、工場出荷時の設定で起動してから、必要な設定を行
ってください。
「システム > 設定」 ページからファームウェアをアップロードし、“アップロードされたファーム
ウェア"で起動すると、通常表示されるはずの再起動中の画面が正しく表示されないことがあ
ります。
-
インターネット エクスプローラを使用して“アップロードされたファームウェア”で起動した場合
に発生します。 この問題が発生しても、機器は正しく再起動されます。
応急: インターネット エクスプローラの代わりにFireFoxを使用します。
「セキュリティ サービス > 概要」ページが正しく表示されないことがあります。
83453
「プロキシ サーバを通してシグネチャをダウンロードする」機能を有効にした場合に発生しま
す。 この問題が発生しても、シグネチャのダウンロード機能は正しく動作します。
SSL VPN ポータルにログイン後、NetExtender ボタンを選択しても SSL VPN 接続に失敗す
ることがあります。
-
日本語版ウィンドウズ XP を使用した場合に発生し、NetExtender のインストールは完了して
いますが接続に失敗することがあります。
応急: 接続の失敗後に、PC を再起動してから再度 SSL VPN ポータルで NetExtender ボタン
を選択します。
現在使用されているファームウェアのバージョンが、本リリースのファームウェアに対して設定
を引き継いだアップグレード、およびエクスポートした設定ファイルのインポートに対応してい
る場合、工場出荷時の設定で起動してから一度も英語表示の管理画面に切替えていない状
態でのみそれをサポートします。
-
ヘルプ ボタンの選択時に、日本語版のオンライン ヘルプが表示されずに、英語版のオンライ
ン ヘルプが表示されます。
-
日本語版のオンライン ヘルプが公開され次第、日本語版が表示されるようになります。
管理画面やメッセージに、英語で表示される箇所があります。
SonicOS 6.2.5.1
リリース ノート
27
システムの互換性
このセクションでは、ハードウェアおよびソフトウェアの本リリースとの互換性に関する追加情報を提供します。
ワイヤレス 3G/4G ブロードバンド機器
SonicOS 6.2.5.1 では、さまざまな種類の PC カード、USB 機器、および無線サービスのプロバイダがサポートされます。
サポートされる機器の最新のリストについては、
http://www.sonicwall.com/supported-wireless-broadband-cards-devices/を参照してください。
GMS のサポート
SonicOS 6.2.5.1 が稼働している Dell SonicWALL セキュリティ装置の Dell SonicWALL グローバル管理システム (GMS)
には、GMS 8.1 サービス パック 1 が必要です。このサービス パックは 4 月にリリースされます。
WXA のサポート
Dell SonicWALL WXA シリーズの装置 (WXA 6000 ソフトウェア、WXA 500 Live CD、WXA 5000 仮想装置、WXA 2000/400
0 装置) は、SonicOS 6.2.5.1 が稼働する Dell SonicWALL セキュリティ装置との使用がサポートされています。推奨される
WXA ファームウェアのバージョンは、WXA 1.3.2 です。
ブラウザのサポート
可視化機能を備えた SonicOS は、最近のほとんどのブラウザがサポートする HTML5 などの先端のブラウザ技術を使用
しています。SonicOS の管理には、Chrome、Firefox、Internet Explorer、Safari などのブラウザの最新バージョンを使用し
てください。このリリースでは、以下のウェブ ブラウザがサポートされています。
 Chrome 18.0 以上 (ダッシュボードをリアルタイムでグラフィック表示する場合に推奨されるブラウザ)
 Firefox 16.0 以上
 Internet Explorer 9.0 以上
 非 Windows マシンで動作する Safari 5.0 以上
補足: Windows マシンでは、Safari による SonicOS の管理はサポートされていません。
補足: Dell SonicWALL 装置のシステム管理には、モバイル デバイスのブラウザは推奨されません。
SonicOS 6.2.5.1
リリース ノート
28
製品ライセンス
Dell SonicWALL セキュリティ サービスのすべての機能と利点、ファームウェア アップデート、および技術サポートを有効
にするためには、Dell SonicWALL ネットワーク セキュリティ装置を MySonicWALL 上で登録する必要があります。MySoni
cWALL アカウントへのログインまたは登録は、https://mysonicwall.com/ から行います。
多くのセキュリティ サービスは、SonicOS で個別にライセンスされる機能です。ライセンスされると、そのサービスのすべ
ての機能を利用できるようになります。SonicOS は、SonicWALL ライセンス マネージャでライセンス状況を定期的に確認
します。各セキュリティ サービスのライセンス状況は、「システム > 状況」ページに表示されます。
アップグレード情報
最新ファームウェアの取得方法、Dell SonicWALL 装置のファームウェア イメージのアップグレード方法、およびほかの装
置から構成設定をインポートする方法については、MySonicWALL (https://mysonicwall.com/) またはサポート ポータル (ht
tps://support.software.dell.com/ja-jp/) から入手できる『SonicOS 6.2 アップグレード ガイド』を参照してください。
テクニカル サポート情報
テクニカル サポートは、有効な保守契約が付属する Dell ソフトウェアを購入している場合、または試用版を保有している
場合にご利用いただけます。
サポート ポータルには、問題を自主的にすばやく解決するために使用できるセルフヘルプ ツールがあり、24 時間 365
日ご利用いただけます。また、このポータルでは、オンラインのサービス依頼システムによって製品サポート エンジニアに
直接連絡を取ることもできます。サポート ポータルにアクセスするには、https://support.software.dell.com/ja-jp/ に移動
します。
サイトでは、次のことを実行できます。
 ナレッジ ベースの記事の参照:
https://support.software.dell.com/ja-jp/kb-product-select
 入門ビデオの閲覧:
https://support.software.dell.com/ja-jp/videos-product-select
 コミュニティー ディスカッションへの参加
 サポート エンジニアとのチャット
 サービス リクエスト (ケース) の作成、アップデート、および管理
 製品に関するお知らせの入手
SonicOS 管理ガイドおよび関連文書は、Dell Software サポート サイト (https://support.software.dell.com/ja-jp/releasenotes-product-select) から参照できます。
SonicOS 6.2.5.1
リリース ノート
29
Dell について
Dell は、お客様の声に耳を傾け、お客様の信頼に応えて、価値ある革新的なテクノロジ、ビジネス ソリューションおよび
サービスを世界中に提供しています。詳細については、http://software.dell.com/jp-ja/ を参照してください。
Dell へのお問い合わせ
日本国内のお問い合わせ先に関しては、弊社のウェブ サイト
http://software.dell.com/jp-ja/company/contact-us.aspx を参照してください。
SonicOS 6.2.5.1
リリース ノート
30
Copyright 2016 Dell Inc. All rights reserved.
本製品は、米国および国際的な著作権法および知的財産法によって保護されています。Dell™、Dell のロゴ、および SonicWALL は米国
およびその他の管轄区域における Dell Inc. の商標です。本書に記載されているその他のマークおよび名称はすべて各社の商標である
場合があります。
凡例
注意:手順に従わないとハードウェアの破損やデータの消失が生じる恐れがあることを示しています。
警告:物的損害、けが、または死亡に至る可能性があることを示しています。
重要、メモ、ヒント、モバイル、またはビデオ:補足情報があることを示す表示です。
______________________
最終更新日: 6/9/2016
232-003226-00 Rev B
SonicOS 6.2.5.1
リリース ノート
31