このページの本文へ

SonicWall SSL-VPNアプライアンス

機能・仕様

Q
SSL-VPNとIPSec VPNの違いについて
A

■対象
SonicWall TZシリーズ、NSAシリーズ、SRA/SMAシリーズ
■内容

【IPSec VPNの問題点】

近年、インターネットを利用したセキュアなリモートアクセスとして「IPSec VPN」が多く利用されていますが、インターネットへの接続形態が多様化するとともに以下のような問題点が浮上してきました。

  • 通信パケットのカプセル化により、フラグメンテーション(断片化)が発生して通信速度が低下する。
  • フラグメントに対応していないネットワーク機器が経路上に存在すると通信ができなくなる。
  • 「NAT越え」に対応(NATトラバーサル、IPSecパススルーなど)したネットワーク機器を用意しないと、通信が不安定になることがある。
  • VPNクライアントソフトの動作環境を満たしていないマシンからは通信ができない。
    これらIPSec VPNの問題点を解決するリモートアクセス手段として「SSL(Secure Sockets Layer)-VPN」があります。

なお、SSL-VPNとIPSec VPNでは、以下のような違いがあります。

  SSL-VPN IPSec VPN
OSIモデル セッション層 ネットワーク層
利用形態 リモートアクセス 主に拠点間通信
リモートクライアントの動作環境 標準的なWebブラウザのみ使用 専用のクライアントソフトが必要
対応アプリケーション TCP全般(制限あり) TCP/IP全般(制限無し)
アクセスコントロール ユーザ/グループ単位での制御が可能 ネットワークによっては制御できないこともあり、イントラネットのサーバー側に依存する場合もある
設定 リモートクライアント側に特別な設定は不要 キー交換方式や暗号化手法などの設定が各リモートクライアントに必要
  • SonicWall SSL-VPNでは「NetExtender」機能により、TCP/IP全般のアプリケーションを利用可能です。詳細はこちらをご覧ください。
Q
SSL-VPNではどんな接続方式があるの?
A

■対象
SonicWall SRA/SMAシリーズ
■内容
SonicWall SRA/SMAシリーズでは、以下の接続方式があります。

【リバースプロキシ方式】

対応アプリケーション:HTTP/HTTPS/FTP

  1. SonicWall SRA/SMAのポータルサイトへアクセス
  2. ユーザー認証/アクセスポリシーチェック
  3. Webアクセス

【ポートフォワーディング方式(Javaアプレット)】

対応アプリケーション:Telnet/SSH/RDP/VNC/CIFS

  1. SonicWall SRA/SMAのポータルサイトへアクセス
  2. ユーザー認証/アクセスポリシーチェック
  3. Javaアプレットのダウンロード(プラグイン)
  4. サーバーアクセス

【NetExtender(L2フォワーディング方式(ActiveX))】

対応アプリケーション:TCP/IPアプリケーション全般

  1. SonicWall SRA/SMAのポータルサイトへアクセス
  2. ユーザー認証/アクセスポリシーチェック
  3. ActiveXのダウンロード
  4. PPPインターフェースの作成
  5. ローカルIPアドレスの割り当て(192.168.20.2)
  6. クライアントソフトの起動(Outlook、Notes、エクスプローラなどのクライアントソフトウエア)
  7. サーバーアクセス
  8. 192.168.20.2⇒192.168.20.200の通信が確立

関連記事

NetExtenderの動作環境について

Q
セーフモードとは?
A

■対象
SonicWall SRA/SMAシリーズ
■内容
セーフモードは、以下の管理を行うためのモードとなります。
  • 現在、SonicWall SRA/SMAに読み込まれているファームウェアで工場出荷時の設定に戻す。
  • ファームウェアのアップロード。
  • バックアップの作成、またはバックアップした設定内容での起動。

【セーフモード起動方法】

  1. SonicWall SRA/SMA本体の電源が入っている状態で、コンソールポート横にあるリセットボタンを数秒間長押しします。
  2. TEST LEDが点滅したらボタンから手を離してください。
  3. 管理用マシンをX0ポートへケーブルで接続し、当該マシンのWebブラウザで「192.168.200.1」にアクセスしてください。
  4. 以下のような画面が表示されるので、任意のファームウェアイメージで起動、もしくはファームウェアのアップロードを行ってください。

なお、各ファームウェアイメージは以下となります。

  • 「現在のファームウェア」:セーフモード起動直前までに設定された内容で起動。
  • 「現在のファームウェア(工場出荷時の設定)」:現在インストールされているファームウェアのまま、工場出荷時の設定内容で起動。
  • 「アップロードされたファームウェア」:アップロードしたファームウェアにて、セーフモード起動直前までに設定された内容で起動。
  • 「アップロードされたファームウェア(工場出荷時の設定)」:アップロードしたファームウェアにて、工場出荷時の設定内容で起動。
  • 「システムバックアップ」:作成したバックアップの設定内容で起動。
Q
リモートクライアントに対するセキュリティチェック機能は?
A

■対象
SonicWall SRA/SMAシリーズ
■内容
SonicWall SRA/SMAシリーズでは、接続端末に対するデバイス認証機能を搭載しています。
Q
冗長化はできるの?
A

■対象
SonicWall SRA/SMAシリーズ
■内容
SRA4200/4600 及び SMA 400では、冗長化機能を搭載しています。
Q
SNMPはサポートしているの?
A

■対象
SonicWall SRA/SMAシリーズ
■内容
SonicWall SRA/SMAでは、SonicOS SSL-VPN 4.0以降より、SNMPをサポートしています。
なお、SNMPのトラップ送信についてはサポートしていませんのでご注意ください。
Q
ブックマーク登録可能なプロトコルについて
A

■対象
SonicWall SRA/SMAシリーズ
■内容
ポータルサイト上でブックマーク登録可能なアプリケーションは以下となります。
  • HTTP
  • HTTPS
  • FTP
  • Telnet
  • SSH
  • RDP
  • VNC
  • NetBIOS
  • Citrix

上記以外のアプリケーションにつきましては、ブックマーク登録できませんのであらかじめご注意ください。
ただし、上記以外のアプリケーションは「NetExtender」機能により利用することが可能です。

Q
ワンタイムパスワードとは?
A

■対象
SonicWall SRA/SMAシリーズ
■内容
ワンタイムパスワード(以下:OTP)とは、ランダムに生成される使い捨てのパスワードのことです。
OTPを通常のログイン情報と組み合わせて使うことでセキュリティが向上します。

また、リモートクライアントからのログイン時におきまして、成功、キャンセル、失敗、またはタイムアウトが発生するたびに新しいOTPが生成されるため、悪用される可能性を減らすことが可能です。

≪ OTP動作イメージ ≫

  1. リモートクライアントよりポータルサイトへのアクセス、およびユーザー認証用アカウントの入力。
  2. 指定メールサーバーに対して任意のメールアドレス宛にOTP発行、およびリモートクライアントへのOTP入力要求。
  3. OTPの取得。
  4. 取得したOTPの入力後、ポータルサイトへのログイン完了。

注意事項

  • OTP発行先メールサーバーは、SonicWall SRA/SMAの管理画面においてイベントログをメールで送信するメールサーバーと同一となります。
  • 指定したメールサーバー側におきまして、他のメールサーバーへのメール転送を制限している場合は、SonicWall SRA/SMAからのOTP発行メールに対して中継を許可する必要があります。
Q
証明書のCRLチェック機能
A

■対象
SonicWall SRA/SMAシリーズ
■内容
SonicWall SRA/SMAシリーズでは、証明書のCRLチェック機能をサポートしておりません。

このため、SonicWall SRA/SMAにインポートした各種証明書の有効期限が経過した場合は、管理画面上にて手動で削除する必要があります。
  • 削除後に機器の再起動が必要となります。
Q
対応している外部認証サーバ
A

■対象
SonicWall SRA/SMAシリーズ
■内容
SonicWallのSRA/SMAシリーズにて対応している外部認証サーバは、以下の通りです。
  • RADIUS
  • LDAP
  • Active Directory
  • Windows NTドメイン

なお、外部認証サーバとの連携につきましては、評価機による事前検証を強く推奨いたします。

Q
EPCとは?
A

■対象
SonicWall SRA/SMA シリーズ
■内容
SMAシリーズへ接続を試みている端末に対してあらかじめ作成しておいた以下のような条件を満たしているか確認を行い、条件を満たす端末からの接続を許可/拒否することが可能です。
  • 特定のアンチウイルスソフトがインストールされているか
  • アンチウイルスソフトが特定のバージョン以上となっているか
  • 特定のアプリケーション(アンチウイルスソフト等)が起動しているか…など
Q
デバイス制御とは?
A

■対象
SonicWall SRA/SMA シリーズ
■内容
SMAシリーズへ接続を試みている端末に対して、端末固有の周辺機器ID(デバイスID)を確認し、接続を許可/拒否する機能となります。
  • 周辺機器IDとMACアドレスは別物となるためご注意ください。

本機能を有効化し、設定として自動登録か手動登録にて制御を行うか設定しておくことで、各端末からSMAへ接続された際にデバイスIDを自動で収集し、収集されたデバイスIDに対して管理者が許可/拒否するといった運用が可能です。

FAQ一覧へ戻る

お問い合わせはこちら

キヤノンマーケティングジャパン株式会社

Webサイトからのお問い合わせ

SonicWall 製品のお問い合わせ