SonicWall SonicOS 7 User manual
SonicOS 7
デバイスの設定
管理ガイド
内容
機器の設定について 5
SonicWall ライセンスの管理 6
ライセンス 6
セキュリティ サービスの管理 7
サービス サマリ 7
セキュリティ サービスのオンライン管理 8
閉じた環境での手動アップグレード 9
SonicWall 装置の登録 10
ゲートウェイ アンチウイルス、アンチスパイウェア、および IPS サービスのライセンスの有効化 11
無料トライアルの有効化 11
システム管理 12
ファイアウォール名の設定 12
無線 LAN と IPv6 の有効化 13
管理者名とパスワードの変更 13
ログイン セキュリティの設定 14
パスワードの準拠の設定 15
ログイン制約の設定 16
複数管理者サポート 17
複数管理者サポートの動作 18
複数管理者アクセスの設定 21
拡張監査ログのサポートの有効化 21
無線 LAN コントローラの設定 22
SonicOS API の有効化と認証方式の設定 22
GMS 管理を有効にする 24
管理インターフェースの設定 26
HTTP/HTTPS を介した管理 27
セキュリティ証明書の選択 27
管理インターフェースのテーブルの制御 28
TLS のバージョンの強制 29
構成モードの切り替え 29
ブラウザ Cookie の削除 30
SSH 管理の設定 30
クライアント証明書の確認 30
コモン アクセス カードについて 31
クライアント証明書の確認の設定 31
「クライアント証明書の確認」の使用 33
証明書の期限切れの確認 34
SonicOS 7 デバイスの設定 管理ガイド
内容
2
ユーザ ロックアウトの解決 34
言語の選択 34
時間の設定 36
システム時間の設定 37
NTP の設定 38
ユーザ定義 NTP サーバを使用したファイアウォールの時計の更新 39
NTP サーバの追加 39
NTP サーバ エントリの編集 40
NTP サーバ エントリの削除 40
証明書の管理 42
デジタル証明書について 42
「証明書」テーブルについて 43
証明書の詳細について 44
証明書のインポート 44
ローカル証明書のインポート 45
認証局の証明書のインポート 46
PKCS-12 形式の証明書ファイルの作成 (Linux システムのみ) 47
証明書の削除 48
証明書署名リクエストの生成 49
単純証明書登録プロトコルの設定 52
SNMP の管理 54
SNMP について 54
SNMP アクセスの設定 55
SNMP アクセスの有効化と設定 55
SNMPv3 グループとアクセスの設定 59
SNMP のサービスとしての設定およびルールの追加 62
ファームウェア設定 63
ファームウェアの管理とバックアップ 63
「ファームウェアの管理とバックアップ」テーブル 64
テーブルの検索 66
バックアップ ファームウェア イメージの作成 67
ローカル バックアップ ファームウェア イメージの作成 67
セカンダリ ストレージ バックアップ ファームウェア イメージの作成 68
クラウド バックアップ ファームウェア イメージの作成 68
ファームウェア イメージ バックアップのスケジュール 69
ファームウェアの更新 72
ファームウェアを手動で更新 72
ファームウェア自動アップデート 73
セーフモードを使用したファームウェアのアップグレード 74
設定のインポートとエクスポート 74
設定のインポート 75
設定のエクスポート 75
SonicOS 7 デバイスの設定 管理ガイド
内容
3
ファームウェアとバックアップの設定 76
設定またはレポートの FTP による送信 77
テクニカル サポートへの診断レポートの送信 78
起動設定 79
ワンタッチ構成切替 79
FIPS モードの有効化 80
NDPP モードの有効化 81
システムの再起動 83
SonicWall サポート 84
このドキュメントについて 85
SonicOS 7 デバイスの設定 管理ガイド
内容
4
機器の設定について
ウェブ ベースの SonicOS 管理インターフェースを使用すると、SonicWall ネットワーク セキュリティ装置 (ファイア
ウォール) を設定することができます。
このドキュメントでは、以下に関する情報が提供されます。
l SonicWall ライセンスの管理
l システム管理
l 時間の設定
l 証明書の管理
l SNMP の管理
1
l ファームウェア設定
l システムの再起動
SonicOS 7 デバイスの設定 管理ガイド
機器の設定について
5
SonicWall ライセンスの管理
重要:仕様では、SonicWall ライセンス マネージャは、サードパーティ プロキシ サーバを使用するように設定で
きません。すべての HTTP および HTTPS トラフィックをサードパーティ プロキシ サーバに送るネットワークで
は、ライセンス マネージャの問題が発生することがあります。
トピック:
l ライセンス
l セキュリティ サービスの管理
l SonicWall 装置の登録
l ゲートウェイ アンチウイルス、アンチスパイウェア、および IPS サービスのライセンスの有効化
2
l 無料トライアルの有効化
ライセンス
SonicOS 管理インターフェースの「デバイス | 設定 > ライセンス」ページには、SonicWall セキュリティ サービスのライ
センスを有効化、アップグレード、または更新するためのリンクがあります。このページから、SonicWall セキュリティ
装置のすべてのライセンスを管理できます。「サービス」テーブルに表示される情報は、mysonicwall.com アカウント
の情報をもとに更新されます。また、「ライセンス」ページには、SonicWall セキュリティ サービスの無料トライアルへ
のリンクもあります。
SonicOS 7 デバイスの設定 管理ガイド
SonicWall ライセンスの管理
6
セキュリティ サービスの管理
インターネット接続を確立したら、お使いの SonicWall セキュリティ装置を登録することをお勧めします。登録する
と、次のメリットが得られます。
l SonicWallゲートウェイ アンチウイルス、アンチスパイウェア、および 侵入防御、コンテンツ フィルタ サービ
ス、クライアント アンチウイルスの 30 日間の無料トライアルを試用できる
l SonicWall アンチスパムを有効にできる
l SonicWall セキュリティ サービスおよびアップグレードを有効にできる
l SonicOS ファームウェア更新にアクセスできる
l SonicWall テクニカル サポートが得られる
トピック:
l サービス サマリ
l セキュリティ サービスのオンライン管理
サービスサマリ
「デバイス | 設定 > ライセンス」ページには、SonicWall セキュリティ装置で使用可能なサービスと有効化されている
サービスがすべて表示されます。セキュリティ装置のわかりやすい名前が「サービス」テーブルの上に表示されま
す。
「ビュー」ドロップダウン ボックスで適切なオプションを選択し、有効化状況に基づいてサービスを表示します。利用
可能なオプションは:
l 購読済と未購読
l 購読済
l 未購読
このテーブルには、以下の情報が表示されます。
l サービス — SonicWall セキュリティ装置で利用できるすべての SonicWall セキュリティ サービスおよびアップ
グレードが表示されます。
l 状況 — セキュリティ サービスが有効になっているか (購読済)、有効にできるか (未購読)、または有効でな
いか (失効) が表示されます。
l 動作 — ライセンス状況に応じて、サービスをアップグレード、更新、試用、有効化するためのオプションが
表示されます。
SonicOS 7 デバイスの設定 管理ガイド
SonicWall ライセンスの管理
7
l 個数 — 装置に現在接続しているノード/ユーザの数が表示されます。セキュリティ装置のライセンスがノー
ド数無制限の場合、ノード数は「無制限」と表示されます。
l 最大 数 — ライセンスで許可されるノード/ユーザの最大数が表示されます。
l 失効期日 — 購読済みセキュリティ サービスの失効期日が表示されます。
「サービス」テーブルの情報は、次回 SonicWall セキュリティ装置が自動的に (1 日に 1 回) MySonicWall アカウント
と同期したとき、またはユーザがテーブルを更新するためにこのページの「同期」ボタンを選択したときに、
mysonicwall.com アカウントの情報で更新されます。
SonicWall セキュリティ サービスの詳細については、https://www.sonicwall.com/ja-jp/support/technical-
documentation/ で提供されている『
SonicOS 7.0 セキュリティ サービス
』マニュアルを参照してください。
セキュリティ サービスのオンライン管理
次の方法のいずれかを使用して、サービスを有効化、アップグレード、または更新することができます。
l MySonicWall でサービス ライセンスの更新を実行し、変更を SonicOS 管理インターフェースで同期する。
1.
「デバイス | 設定 > ライセンス」ページに移動します。
2.
「サービス」テーブルの上の「MysonicWall」を選択します。
3.
MySonicWall アカウントにログインし、ライセンスをアップグレードします。MSW のオンライン ヘルプ
を参照してください。
4.
変更を同期します。次を参照してください。変更の同期。
l SonicOS 管理インターフェースからサービス ライセンスの更新を実行する。次を参照してください。SonicOS
管理インターフェースからのサービスの管理。
トピック:
l SonicOS 管理インターフェースからのサービスの管理
l 変更の同期
SonicOS 管理インターフェースからのサービスの管理
「デバイス | 設定 > ライセンス」ページで、セキュリティ サービスのライセンスを有効化、アップグレード、更新するこ
とができます。
サービスを有効化、アップグレード、または更新するには、以下の手順に従います。
1.
「デバイス | 設定 > ライセンス」に移動します。
2.
「サービス」テーブルの上の「ビュー」ドロップダウン ボックスで適切なオプションを選択しします。
3.
有効化/更新/アップグレードするサービスを見つけます。
4.
サービスに対して実行する必要がある動作に基づいて「動作」列に表示されるオプションを選択します。
サービスに関して「動作」列に表示されるオプションは、サービスの状況によって異なります。
l 無料トライアル版を有効にする場合は、「試用」をクリックします。
l セキュリティ サービスを有効にする場合は、「有効化」リンクを選択します。
l セキュリティ サービスを更新する場合は、「更新」リンクを選択します。
l セキュリティ サービスをアップグレードする場合は、「アップグレード」を選択します。
SonicOS 7 デバイスの設定 管理ガイド
SonicWall ライセンスの管理
8
5.
表示される指示に従ってサービスのライセンスを有効化/更新/アップグレードします。処理が完了すると、
「ライセンス」ページに戻ります。
変更の同期
MySonicWall のセキュリティ サービスに対して行った変更を、自動的に同期されるのを待たないで明示的に同期さ
せることができます。
MySonicWall アカウントを SonicOS 管理インターフェースの「サービス」テーブルと同期させるには、以下の手
順に従います。
1.
「デバイス | 設定 > ライセンス」に移動します。
2.
「サービス」テーブルの上の「同期」オプションを選択します。
閉じた環境での手動アップグレード
SonicWall セキュリティ装置から直接インターネットに接続することを許可していないセキュリティの高い環境に
SonicWall セキュリティ装置を配備している場合は、 から暗号化されたライセンス キー情報を入手し、
https://mysonicwall.com SonicOS 管理インターフェースの「デバイス | 設定 > ライセンス」ページで、手動で入力す
ることができます。
補足: 暗号化されたライセンス キーセットの手動アップグレードは、閉じた環境専用の機能です。ファイア
ウォールをインターネットに接続している場合は、装置の自動登録機能およびセキュリティ サービス アップグ
レード機能を使用することをお勧めします。
インターネットに接続しているコンピュータでステップ 1 ~ 4 を実行してから、インターネット接続していないセキュリ
ティ装置の SonicOS 管理インターフェースで手順を続行する必要があります。
1.
先に進む前に、 にアカウントがあることと、https://mysonicwall.com SonicWall セキュリティ装置がそのアカ
ウントに登録されていることを確認してください。
2.
MySonicWall にログインした後、「製品管理 > 製品管理」に表示されている登録済みの SonicWall セキュリ
ティ装置のシリアル番号を選択します。
SonicOS 7 デバイスの設定 管理ガイド
SonicWall ライセンスの管理
9
3.
「手動でアップグレード」を選択し、「製品にキーセットを追加」を選択します。暗号化された文字列が表示さ
れます。これは、選択した SonicWall セキュリティ装置と有効化されているセキュリティ サービスについての
ライセンス キーセットです。
4.
「コードをコピー」を選択して、「設定 | ライセンス」ページに貼り付けるキーセットの文字列をコピーします。
5.
SonicWall 装置で SonicOS の最新バージョンを実行していることを確認します。
6.
「デバイス | 設定 > ライセンス」に移動します。
7.
ページの右上にある「手動ライセンス」を選択します。
8.
「手動ライセンス アップグレード」ダイアログの「キーセットの入力」フィールドにキーセット (手順 3 で作成した
もの) を貼り付けます (または入力します)。
9.
SonicWall セキュリティ装置を更新するには、「適用」を選択します。ページの最下部にある「状況」フィール
ドには、設定が更新されたことが表示されます。
10.
「デバイス | 診断 > テクニカル サポート レポート」からレポートを生成して、アップグレードの詳細を確認でき
ます。
補足: 手動でアップグレードした後、「設定 | ライセンス」ページに登録およびアップグレードの情報は表示され
ません。
SonicWall 装置の登録
プライマリ装置への初回ログイン時、ソフトウェア取引契約書 (STA) が表示されます。これに同意すると先に進む
ことができます。CLI を使用している場合は、先に進む前に「Yes」 (はい) を入力 (または選択) してください。STA
に同意すると、その後、ファームウェアまたはソフトウェアのアップグレードでこれが表示されることはありません。
補足: MySonicWall の登録情報は、売却されたり、他社と共有されることはありません。
SonicOS 7 デバイスの設定 管理ガイド
SonicWall ライセンスの管理
10
ライセンスの手動適用、ライセンスの手動同期、およびファームウェアのアップグレードの詳細については、お使い
のセキュリティ装置の『
クイック スタート ガイド
』を参照してください。
ゲート ウェイ アンチウイルス、アンチスパイウェ ア、および IPS サービスのライセンスの有 効化
これらのセキュリティ サービスを利用するには、MySonicWall に装置を登録する必要があります。次を参照してくだ
さい。「SonicWall 装置の登録」 またはお使いのセキュリティ装置の『
SonicWall アンチスパイウェア は SonicWall ゲートウェイ アンチウイルス、アンチスパイウェア、および 侵入防御 の
一部なので、受け取った有効化鍵は SonicWall セキュリティ装置上で 3 つのサービスのいずれにも使用できます。
SonicWall ゲートウェイ アンチウイルス、アンチスパイウェア、および 侵入防御 のライセンスが SonicWall セキュリ
ティ装置で有効化されていない場合は、SonicWall 再販業者または MySonicWall アカウント (米国およびカナダの
お客様のみ) からライセンスを購入する必要があります。
クイック スタート ガイド
』を参照してください。
無料ト ライアルの有効化
SonicWallゲートウェイ アンチウイルス、アンチスパイウェア、および 侵入防御の無料トライアル版を試用できます。
無料トライアル版のセキュリティ サービス (一部またはすべて) を有効化する方法については、お使いのセキュリ
ティ装置の『
クイック スタート ガイド
』または次を参照してください。「セキュリティ サービスのオンライン管理」。
SonicOS 7 デバイスの設定 管理ガイド
SonicWall ライセンスの管理
11
ファイアウォール名の設 定
ファイアウォール名を設定するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「ファイアウォール管理者」を選択します。
3
システム管理
3.
「ファイアウォール名」フィールドに、ファイアウォールの 16 進数のシリアル番号を入力します。この番号は
SonicWall セキュリティ装置を一意に識別します。既定の番号はファイアウォールのシリアル番号です。シリ
アル番号は SonicWall セキュリティ装置の MAC アドレスでもあります。ファイアウォール名を変更するには、
「ファイアウォール名」フィールドに英数字で一意の名前を入力します。名前は 8 文字以上の長さにする必
要があり、最大 63 文字まで使用できます。
4.
「ファイアウォール ドメイン名」フィールドにわかりやすい名前を入力します。この名前には、プライベートな名
前 (内部ユーザ向け) を指定することも、外部登録されたドメイン名を指定することもできます。このドメイン
名は、ユーザ ウェブ ログイン設定とともに使用されます。
5.
イベント ログでプライマリ/セカンダリ ファイアウォールを簡単に確認できるようにするには、「ファイアウォー
ル名に高可用性/クラスタリング接尾辞を自動的に追加する」をオンにします。このオプションをオンにする
と、「監視 | ログ > システム ログ」ページでファイアウォール名の後に適切な接尾辞が自動的に追加されま
す。
このオプションは、既定では選択されていません。イベント ログの詳細については、『
視)
』マニュアルを参照してください。
SonicOS 7.0 ログ (監
SonicOS 7 デバイスの設定 管理ガイド
システム管理
12
無線 LAN と IPv6 の有効化
無線 LAN や IPv6 の可視性を有効にするには、以下の手順に従います。
1.
「デバイス | 設定 > 管理 > ファイアウォール管理者」に移動します。
2.
「無線 LAN を有効にする」および/または「IPv6 を有効にする」を選択します。これらのオプションは、既定
ではオンになっています。確認メッセージが表示されます。
重要:無線 LAN 機能を有効または無効にするには、ファイアウォールを再起動する必要があります。
WLAN が無効である場合:
l アクセス ポイントおよび無線に関連する管理インターフェースのすべてのページは表示されませ
ん。
l WLAN はゾーン種別として表示されません。
l 既存の WLAN ゾーンまたはオブジェクトは編集できなくなります。
IPv6 が無効である場合は、すべての IPv6 パケットがファイアウォールによって破棄され、「監視 | ツールと
監視 > パケット監視」ページにログ メッセージが表示されます。
3.
「OK」を選択します。
管理者 名とパスワードの変更
各 SonicWall セキュリティ装置には、初期段階で既定の管理者名 admin とパスワード password が設定されていま
す。
管理者の名前やパスワードを変更するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「ファイアウォール管理者」を選択します。
3.
「管理 者 ログイン名」フィールドに新しい名前を入力します。
管理者名は、既定で「admin」に設定されますが、32 文字までの英数字を使用して変更できます。
4.
以下のステップを実行してパスワードを変更するか、ステップ 4 に進みます。
a.
「パスワードの変更」を選択します。
b.
「古いパスワード 」フィールドに古いパスワードを入力します。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
13
c.
「新しいパスワード 」フィールドに新しいパスワードを入力します。新しいパスワードは最大 32 文字の
英数字および特殊文字にします。
d.
既定のパスワード (password) は、独自の個別パスワードに変更することを推奨します。他人が簡
単に推測できない強力なパスワードを入力してください。強力なパスワードは、英字の大文字、小
文字、数字、特殊文字をそれぞれ少なくとも 1 文字含めて作成してください。例えば、MyP@ssw0rd
と入力します。
e.
「パスワードの確認」フィールドにもう一度新しいパスワードを入力します。
f.
「適用」を選択します。
5.
二段階認証を強制するには、「TOTP」を「 ワンタイム パスワード方式 」ドロップダウンから選択します。
これで次回ログイン時にモバイル認証アプリケーションとユーザ アカウントをバインドすることができます。
6.
「適用」を選択します。
ログイン セキュリティの設定
内部 SonicOS ウェブサーバでは、HTTPS 管理セッションとネゴシエートする場合に、TLS 1.1 以降を強力な暗号
(128 ビット以上) と組み合わせて使うことができます。SSL の実装はサポートされていません。この強化された
HTTPS セキュリティにより、潜在的な SSLv2 ロールバックの脆弱性を防御し、PCI (Payment Card Industry) をはじ
めとするセキュリティおよびリスク管理の標準規格に確実に準拠します。
ヒント:SonicOS は、最新のブラウザがサポートする HTML5 などの先端のブラウザ技術を利用しています。
SonicWall では、SonicOS の管理に最新バージョンの Chrome、Firefox、Internet Explorer、または Safari
(Windows プラットフォームは対象外) ブラウザを使用することを推奨しています。SonicWall システムの管理に
は、モバイル デバイスのブラウザは推奨されません。
SonicOS パスワードの制約の強制により、管理者およびユーザが必ず安全性の高いパスワードを使用するように
設定できます。このパスワードの制約の強制により、現在の情報セキュリティ管理システムで定義されている機密
保持の要件、および情報セキュリティ国際評価基準や PCI (Payment Card Industry) などの標準に準拠するための
要件を満たすことができます。
トピック:
l パスワードの準拠の設定
l ログイン制約の設定
SonicOS 7 デバイスの設定 管理ガイド
システム管理
14
パスワードの準拠の設定
パスワードの準拠を設定するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「ログイン / 複数の管理者」をクリックします。
「ログイン セキュリティ」セクションで、以下のように設定します。
3.
指定した日数が経過するたびにパスワードの変更をユーザに要求するには:
a.
「パスワードの強制変更間隔 (日数)」を選択します。フィールドが有効になります。このオプション
は、既定では選択されていません。
b.
フィールドに日数を入力します。既定の日数は 90、最小値は 1 日、最大値は 9999 です。
有効期限の切れたパスワードでログインしようとすると、新しいパスワードの入力を求めるポップアップ ウィ
ンドウが表示されます。「 ユーザ ログイン状況 」ウィンドウには、ユーザがいつでもパスワードを変更できる
ように「パスワードの変更」ボタンが用意されています。
4.
パスワードを変更してから次に変更するまでの最短の期間を時間単位で指定するには:
a.
「次の時間を経過後にパスワードを変更する (時間)」を選択します。フィールドが有効になります。
b.
時間数を入力します。最小値 (既定値) は 1 時間、最大値は 9999 時間です。
5.
指定したパスワード変更回数の範囲で重複しないパスワードを使用することをユーザに要求するには:
a.
「同じパスワードの繰り返し使用を禁止する回数」を選択します。フィールドが有効になります。
b.
変更回数を入力します。既定値は 4 回、最小値は 1 回、最大値は 32 回です。
6.
新しいパスワードを作成するときに、古いパスワードで使用していたアルファベット、数字、記号の 8 文字
以上を変えることをユーザに要求するには、「Apply password constrains (パスワードの制約を適用する)」を
選択します。使用できる文字を指定する方法については、ステップ 7 を参照してください。
7.
パスワードに使用できる最小の長さを指定するには、「最小 パスワード 長」フィールドに最小文字数を指定
します。既定値は 8、最小値は 1、最大値は 99 です。
8.
ユーザのパスワードに要求される複雑さの度合いを「 パスワードの複雑さを強制する 」ドロップダウン メ
ニューで選択します。
l なし (既定)
l 英数字 — アルファベットと数字を必ず併用
l 英数字と記号 — アルファベット、数字、記号を必ず併用。記号は !、@、#、$、%、^、&、*、(、および )
のみ使用可能であり、それ以外は使用できません
9.
複雑なパスワードの強制オプションとして「なし」以外を選択すると、「 複雑なパスワードの要件 」の下のオ
プションが選択可能になります。ユーザのパスワードで使用する必要があるアルファベット、数字、記号の
最小文字数を入力します。既定の文字数はそれぞれ 0 です。すべてのオプションの文字数の合計は 99
文字以内にする必要があります。
英大文字
l
英小文字
l
数字
l
記号
l
SonicOS 7 デバイスの設定 管理ガイド
システム管理
15
補足: 「記号」フィールドは、「英数字と記号」を選択した場合のみ有効になります。
10.
パスワード制約を適用するユーザのクラスを「 上記のパスワード制約を以下のユーザに対して適用する:」
で選択します。既定では、すべてのオプションが選択されています。
l 管理 – admin というユーザ名の既定の管理者です。
l その他の完全管理者
l 制限された管理者
l ゲスト管理者
l その他のローカル ユーザ
ログイン制約の設定
ログイン制約を設定するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「ログイン / 複数の管理者」をクリックします。
「ログイン セキュリティ」セクションで、以下のように設定します。
1.
無操作時に管理者が管理インターフェースから自動的にログアウトさせられるまでの時間を指定するに
は、「無操 作 の管理 者 をログアウト させるまでの時間 (分 )」フィールドに分単位で時間を入力します。既定で
は、無動作時間が 5 分経過すると管理者はログアウトさせられます。タイムアウトは 1~9999 分の範囲で
指定できます。
ヒント:「無操作の管理者をログアウトさせるまでの時間 (分)」に 5 分を超える時間を設定した場合、
ファイアウォールの管理インターフェースへの不正アクセスを防ぐため、各管理セッションを終了すると
きに必ずビューの右上の「ログアウト」をクリックしてください。
2.
ログイン資格情報が正しくない場合に管理者またはユーザをロックアウトするよう SonicWall セキュリティ装
置を設定するには、「管理者/ユーザ ロックアウト」を有効にします。指定した回数の不正なログイン試行
が行われた場合、管理者とユーザの両方がロックアウトされ、ファイアウォールにアクセスできなくなりま
す。このオプションは、既定では無効になっています。このオプションを有効にすると、以下のフィールドが
有効になります。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
16
注意: 管理者とユーザが同じ送信元 IP アドレスを使用してファイアウォールにログインしようとすると、
管理者もファイアウォールからロックアウトされます。ロックアウトは、ユーザまたは管理者の送信元 IP
アドレスに基づいています。
a.
「ローカル管理者/ユーザ アカウントのロックアウトを有効にする (ログイン IP アドレスでロックアウト
するには、無効にします)」を選択します。このオプションは、所定の回数を超える不正なログイン試
行を受けた場合に、ユーザ アカウントと IP アドレスをロックアウトします。このオプションは、「管理
者/ユーザ ロックアウト」が有効な場合にのみ使用できます。
b.
SonicOS の「ロックアウトせずにイベントのみをログに記録する」を選択します。この場合、失敗した
ユーザ ログイン試行で一定のしきい値に達したものが記録されますが、ユーザまたは IP アドレス
はロックアウトされません。このオプションは、「管理者/ユーザ ロックアウト」が有効な場合にのみ
使用できます。
ユーザまたは IP アドレスがロックアウトされると、"ユーザ ログインが拒否されました - ユーザは
ロックアウトされています" というメッセージがログイン画面に表示され、ログインが拒否されます。
補足: 「ローカル管理者/ユーザ アカウント ロックアウト」が有効になっているときは、「使用中
のユーザ」ページで、ロックアウトされたすべてのユーザ アカウントを確認し、編集することがで
きます。
c.
「1 分間のログイン失 敗 回 数 が次の回数 になったらロックアウト」フィールドに、ユーザをロックアウトす
るまでの指定時間内のログイン失敗回数を入力します。既定値は 5、最小値は 1、最大値は 99 で
す。失敗が許される最大時間を入力します。既定値は 5 分、最小値は 1 分、最大値は 240 分 (4
時間) です。
d.
「ロックアウト周 期 (分)」フィールドに、ロックアウトされたユーザがファイアウォールに再度ログイン
できるようになるまでの時間を入力します。既定値は 5 分、最小値は 0 分 (無期限のロックアウト)、
最大値は 60 分です。
3.
「CLI による最大ログイン試行回数」フィールドに、コマンド ライン インターフェース (CLI) からのログインが
何回失敗したらロックアウトするかを指定します。既定値は 5、最小値は 3、最大値は 15 です。
4.
「適用」をクリックします。
複数管 理者サポート
SonicOS は、完全な管理者権限、読み取り専用権限、制限付きの権限を持つ複数の管理者による同時アクセス
をサポートします。これまでのバージョンの SonicOS は、完全な管理者権限でファイアウォールにログオンできる
管理者は 1 人だけでした。他のユーザに "制限付き管理者" のアクセス権を付与することはできますが、SonicOS
GUI のあらゆる領域を変更できる完全なアクセス権を複数の管理者が同時に持つことはできません。
SonicOS では、複数管理者の同時アクセスがサポートされています。この機能により、複数のユーザが完全な管
理者権限でログインできるようになりました。既定の admin ユーザ名に加え、他の管理者ユーザ名を作成できま
す。複数の管理者が同時に設定を変更することによって競合が生じる可能性もあるため、設定の変更は 1人の
管理者にのみ許可されています。その他の管理者には GUI に対する完全なアクセス権が付与されますが、設定
を変更することはできません。
複数管理者サポートには、次のようなメリットがあります。
l 生産性の向上: ファイアウォールに対して複数の管理者が同時にアクセスできるため、装置に対して 2 人
の管理者が同時にアクセスした場合に一方の管理者が自動的にシステムからログアウトされる "自動ロ
グアウト" が不要になります。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
17
l 設定リスクの軽減: 新たに読み取り専用モードが追加されたため、意図しない設定変更を誤って実行して
しまうリスクなしに、ファイアウォールの現在の設定と状況を確認することができます。
複数管理者サポート の動作
トピック:
l 構成モード
l ユーザ グループ
l 管理者の先制時に適用される優先順位
l GMS と複数管理者サポート
構成モード
複数の管理者による同時アクセスを許可しつつ、複数の管理者が同時に設定を変更することによって競合が生
じることがないように、次の構成モードが定義されています。
構成モード 管理者に設定を編集するための完全な権限が割り当てられます。装置にログイ
ンしている管理者がいない場合、完全な管理者権限および制限付き管理者権
限を持った (読み取り専用管理者以外の) 管理者には自動的に構成モードが適
用されます。
補足: 完全な設定権限を持つ管理者は、コマンド ライン インターフェース
(CLI、『
SonicOS 7.0 CLI リファレンス ガイド
』を参照) を使ってログインすること
もできます。
読み取り専用モード 管理者は設定に変更を加えることは一切できませんが、管理 UI 全体を表示す
ることや、監視操作を実行することはできます。
SonicWall 読み取り専用管理者ユーザ グループに属する管理者には読み取り専
用アクセス権が付与され、他の構成モードにはアクセスできません。
非構成モード 管理者は、読み取り専用グループと同じ情報を閲覧できるほか、設定の競合を
引き起こすおそれのない管理操作を実行できます。
非構成モードにアクセスできるのは、SonicWall 管理者ユーザ グループに属する
管理者だけです。既に構成モードを利用している管理者が存在するとき、新しい
管理者が既存の管理者を先制しなかった場合は、このモードになります。既定で
は、構成モードを先制された管理者は、非構成モードに切り替わります。「デバイ
ス | 設定 > 管理」ページでこの動作を変更して、元の管理者がログアウトされる
ようにすることもできます。
「各種構成モードにおいて利用可能なアクセス権」の表は、各構成モードで利用できるアクセス権をまとめたもので
す。なお、この表には制限付き管理者のアクセス権も記載されていますが、制限付き管理者が利用できる機能の
一部が含まれていません。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
18
各種構成モードにおいて利用可能なアクセス権
機能
構成モードでの
完全な管理者権
限
非構成モードでの
完全な管理者権限読み取り専用
管理者
制限付き管
理者
証明書のインポート X
証明書署名リクエストの生成 X
証明書のエクスポート X
装置の設定のエクスポート X X X
TSR のダウンロード X X X
その他の診断の使用 X X X
ネットワーク設定 X X
ARP キャッシュの消去 X X X
DHCP サーバの設定 X
VPN トンネルの再ネゴシエート X X
ユーザのログオフ X X ゲスト ユーザ
のみ
ロックアウトされたユーザのロック解除 X X
ログの消去 X X X
ログのフィルタ X X X X
ログのエクスポート X X X X
ログの電子メール送信 X X X
ログ種別の設定 X X X
ログ設定 X X
ログ レポートの生成 X X X
完全な UI の参照 X X X
ログ レポートの生成 X X X
SonicOS 7 デバイスの設定 管理ガイド
システム管理
19
ユーザ グループ
複数管理者サポート機能では、次の 2 つの既定ユーザ グループをサポートしています。
l SonicWall 管理者: このグループのメンバーには、設定を編集するための完全な管理者アクセス権が付与
されます。
l SonicWall 読み取り専用管理者: このグループのメンバーには、完全な管理インターフェースを閲覧できる
読み取り専用アクセス権が付与されます。設定を編集したり、完全な構成モードに切り替えたりすることは
できません。
これらの複数のユーザ グループにユーザを追加することはお勧めできません。ただし、そのようにした場合は、次
の動作が適用されます。
所属ユーザ グループ 付与される権限
SonicWALL 管理者 制限付き管理者ユーザ グループまたは SonicWall 読み取り専用管理者
ユーザ グループにも追加した場合、メンバーには完全な管理者権限が
付与されます。
制限付き管理者 SonicWall 読み取り専用管理者ユーザ グループに追加した場合、メン
バーには制限付き管理者権限が付与されます。
読み取り専用管理者 その後、別の管理グループに所属させた場合、SonicWall 読み取り専用
管理者グループ設定の「この読み取り専用管理者が他の管理グループ
と共に使用された場合」のオプション次第で、メンバーのアクセスが前と
同じく読み取り専用に制限されるか、もう一方のグループで設定された
完全な管理者権限が付与されます。
管理者の先制 時 に適用 される優 先 順 位
既に装置にログインしている管理者を先制する場合、各種の管理者区分には、次の規則に従って優先順位が適
用されます。
1.
admin ユーザおよび SonicWall Global Management System (GMS) には、どちらも最も高い優先順位が適用
され、すべてのユーザを先制できます。
2.
SonicWall 管理者ユーザ グループに所属するユーザは、admin、SonicWall GMS を除くすべてのユーザを先
制できます。
3.
制限付き管理者ユーザ グループに所属するユーザは、制限付き管理者グループの他のメンバーのみを
先制できます。
GMS と複 数 管 理 者 サポート
SonicWall GMS を使用してファイアウォールを管理している場合、GMS は各種のアクティビティ (GMS 管理の
IPSec トンネルが正しく作成されたかどうかを確認するなど) を行う関係上、装置にログインする機会が多くなりま
す。GMS はローカル管理者を先制できるため、このような GMS ログインが頻繁に生じることで、装置のローカル
管理が困難になる場合があります。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
20
複数管理者アクセスの設定
複数管理者アクセスを設定するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
「ログイン / 複数の管理者」をクリックします。
2.
ある管理者が別の管理者が優先される場合の動作を設定するには、 他の管理者が優先される場合の
動作 のオプションから、先制された管理者を非構成モードに変換するか、またはログアウトさせるかを選
択します。
l 非構成モードに降格: 他の管理者によるアクセスを遮断することなく、複数の管理者が非構成モー
ドで装置にアクセスできるようにします。このオプションは、既定では選択されていません。
l ログアウト: 新しい管理者が他のセッションを先制します。
補足: 「ログアウト」を選択すると「非構成」モードは無効になり、「非構成モード」に手動で入ることはで
きなくなります。
3.
指定した時間の経過後に、優先順位の低い管理者が現在の管理者を先制できるようにするには、「無操
作の状 態 が次の時間 を経 過 した場合、低い優先順位の管 理 者 に対して先制 を許可する (分)」フィールドに
時間を分単位で入力します。既定値は 10 分、最小値は 1 分、最大値は 9999 分です。
4.
SonicOS 管理インターフェースは、管理者が管理インターフェースを通じて、同じ装置にログインしている他
の管理者にテキスト メッセージを送信できるようにします。メッセージはブラウザのステータス バーに表示
されます。このオプションを有効にするには、以下の手順に従います。
a.
「管理者間メッセージ」を選択します。「メッセージング ポーリング間隔 (秒)」フィールドが有効になり
ます。
b.
「メッセージング ポーリング間 隔 (秒)」フィールドに、管理者間で送られるメッセージをブラウザが
チェックする頻度を指定します。この間隔を適度に短く設定してメッセージの受け渡しがタイミング
よく行われるようにしてください。特に、多数の管理者が装置にアクセスする必要があると考えられ
る場合は、この設定に注意してください。既定値は 10 秒、最小値は 1 秒、最大値は 99 秒です。
5.
システム管理者、暗号化管理者、監査管理者によるアクセスを有効にするには、「複数の管理者の役割」
を選択します。このオプションが無効なとき、これらの管理者はシステムおよび関連するどのユーザ グ
ループにもアクセスできず、それらに関する情報が非表示となります。このオプションは、既定では選択さ
れていません。
拡張監 査ログのサポートの有 効化
拡張ログ エントリには、「監視 | ログ > システム イベント」ページの変更されたパラメータとユーザ名が含まれます。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
21
「監視 | ログ > システム ログ」ページのすべての設定変更がログに記録されるようにするには、以下の手順に
従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「監査 / SonicOS API」を選択します。
3.
「拡張監査ログのサポート」セクションで、「拡張監査ログ」を有効にします。
4.
「適用」を選択します。
無線 LAN コント ローラの設定
無線コントローラ モードを有効にするには、以下の手順に従います。
重要:無線コントローラのモードを変更した後、ファイアウォールを再起動する必要があります。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「監査 / SonicOS API」を選択します。
3.
「無線 LAN コントローラ」セクションで、「無線コントローラ モード」ドロップダウン メニューから以下のオプショ
ンのいずれか 1 つを選択します。
l 無線コントローラ専用 (既定)
無線コントローラ モードを有効にします。
l 無線なし
無線なしコントローラ モードを有効にします。
l 全機能ゲートウェイ
通常のファイアウォール モードを有効にします。
4.
適切な無線コントローラ モードを選択した後で、表示されている警告メッセージ内の「OK」を選択します。
5.
「適用」を選択します。
SonicOS API の有効 化と認証方式の設定
選択した機能を設定する SonicOS コマンド ライン インターフェース (CLI) の代わりに SonicOS API を使用すること
ができます。これを行うには、最初に SonicOS API を有効にする必要があります。SonicOS API の詳細について
SonicOS 7 デバイスの設定 管理ガイド
システム管理
22
は、https://www.sonicwall.com/ja-jp/support/technical-documentation/ で提供されている『
アル
』を参照してください。
SonicOS API を有効化してクライアント認証を設定するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「監査 / SonicOS API」を選択します。
3.
「SONICOS API」セクションで、「SonicOS API」を有効にします。
4.
初期クライアント認証として以下の認証方式のいずれかを選択します。
l RFC-7616 HTTP ダイジェスト アクセス認証
l 適切なダイジェスト アルゴリズムを選択します。SHA256 (既定)、MD5
l 統合防御: 無効 (既定)、許可、強制
l セッション別形 (パスワードの代わりにパスワード ハッシュ): 無効、許可 (既定)、強制
l CHAP 認証
l RFC-2617 HTTP 基本アクセス認証
l 公開鍵認証
l RSA モジュール (鍵/暗号のビット サイズ): 2014 が既定の設定です。
l RSA パディング種別: PKCS#1 v1.5 または PKCS#1 v2.0 OAEP
SonicOS 7.0 API マニュ
l RFC-7616 ダイジェスト アクセス認証を使用したセッション保護
l 二段階認証およびベアラ トークン認証
5.
「適用」を選択します。
l OAEP ハッシュ方式: SHA-1、SHA-256、その他
l OAEP マスク (MGF1) 方式: SHA1、SHA-256、その他
l クライアントから受け取ったユーザ パスワードを保持できる
l 最大ノンス使用数: 既定で 10
SonicOS 7 デバイスの設定 管理ガイド
システム管理
23
GMS 管理を有効にする
補足: SonicWall グローバル管理システムの詳細については、 にある『
サービス
documentation.
』の管理マニュアルを参照してください。https://www.sonicwall.com/ja-jp/support/technical-
SonicWall GMS
GMS で管理できるようにセキュリティ装置を設定するには、以下の手順に従います。
1.
「デバイス | 設定 > 管理」に移動します。
2.
「監査 / SonicOS API」を選択します。
3.
スクロールして、「より高度な管理」セクションを見つけます。
4.
「GMS を使用する管理」を有効にします。「設定」ボタンが使用可能になります。
5.
「設定」を選択します。「GMS 設定」画面が表示されます。
』および『
SonicWall 管理
6.
「GMS ホスト名 または IP アドレス」フィールドに GMS コンソールのホスト名または IP アドレスを入力しま
す。
7.
「GMS Syslog サーバ ポート」フィールドにポートを入力します。既定値は 514 です。
8.
ログ メッセージの代わりにハートビート状況のみを送信するには、「ハートビート状況メッセージのみ送信
する」を選択します。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
24
9.
ネットワークで NAT を実行しているデバイスの背後に GMS コンソールが配置されている場合、「NAT デバ
イス背後の GMS」を選択します。「NAT デバイス背後の GMS」を選択すると、「NAT デバイス IP アドレス」
フィールドが有効になります。
10.
「NAT デバイス IP アドレス」フィールドに NAT デバイスの IP アドレスを入力します。
11.
「管理モード」ドロップダウン メニューから以下の GMS モードのいずれか 1 つを選択します。
l 管理用 IPSEC トンネル — IPsec VPN トンネルを越えた先の GMS 管理コンソールからファイア
ウォールを管理できます。このオプションを選択した場合は、ステップ 11 に進みます。
l 既存のトンネル — GMS 管理サーバとファイアウォールの接続に既存の VPN トンネルを使用しま
す。このオプションを選択した場合は、ステップ 13 に進みます。
l HTTPS — 2 つの IP アドレス (GMS プライマリ エージェントとスタンバイ エージェントの IP アドレス)
から HTTPS 管理が可能になります。また、SonicWall ファイアウォールは、3DES とファイアウォール
管理者のパスワードを使用して暗号化された Syslog パケットと SNMP トラップも送信します。GMS
レポーティング サーバを設定するオプションが表示されます。このオプションを選択した場合は、ス
テップ 12 に進みます。
12.
SonicOS によって値が入力済みの既定の IPsec VPN 設定が表示されます。設定内容を確認します。
a.
「暗号化アルゴリズム」から、適切なアルゴリズムを選択します。
b.
(オプション) 「暗号化鍵」フィールドに新しい暗号化鍵を入力します。
方式 鍵
DES 16 進数 16 文字
3DES 16 進数 48 文字
c.
(オプション) 「認証鍵」フィールドに新しい認証鍵を入力します。
方式 鍵
MD5 16 進数 32 文字
SHA1 16 進数 40 文字
d.
ステップ 13 に進みます。
13.
SonicOS は GMS レポーティング サーバを認識する必要があります。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
25
a.
「Syslog メッセージを分散 GMS レポーティング サーバに送信する」を選択します。「GMS レポーティ
ング サーバ IP アドレス」オプションと「GMS レポーティング サーバ ポート」オプションが使用可能に
なります。
b.
「GMS レポーティング サーバ IP アドレス」フィールドに、GMS サーバの IP アドレスを入力します。
c.
「GMS レポーティング サーバ ポート」フィールドに、GMS サーバのポートを入力します。既定のポート
は 514 です。
14.
「OK」を選択します。
15.
「適用」を選択します。
管理インターフェースの設定
このセクションでは、以下を設定します。
l 管理インターフェースのテーブルを表示する方法。
l 証明書の使用方法。
l 構成モードと非構成モードのどちらで操作するか。
l その他の管理オプション。
SonicOS 7 デバイスの設定 管理ガイド
システム管理
26
Loading...