SonicWall SSL-VPNアプライアンス

機能・仕様

Q.
SSL-VPNとIPSec VPNの違いについて
A.
■対象
SonicWall TZシリーズ、NSAシリーズ、SRA/SMAシリーズ
■内容

【IPSec VPNの問題点】

近年、インターネットを利用したセキュアなリモートアクセスとして「IPSec VPN」が多く利用されていますが、インターネットへの接続形態が多様化するとともに以下のような問題点が浮上してきました。

  • 通信パケットのカプセル化により、フラグメンテーション(断片化)が発生して通信速度が低下する。
  • フラグメントに対応していないネットワーク機器が経路上に存在すると通信ができなくなる。
  • 「NAT越え」に対応(NATトラバーサル、IPSecパススルーなど)したネットワーク機器を用意しないと、通信が不安定になることがある。
  • VPNクライアントソフトの動作環境を満たしていないマシンからは通信ができない。
    これらIPSec VPNの問題点を解決するリモートアクセス手段として「SSL(Secure Sockets Layer)-VPN」があります。

なお、SSL-VPNとIPSec VPNでは、以下のような違いがあります。

  SSL-VPN IPSec VPN
OSIモデル セッション層 ネットワーク層
利用形態 リモートアクセス 主に拠点間通信
リモートクライアントの動作環境 標準的なWebブラウザのみ使用 専用のクライアントソフトが必要
対応アプリケーション TCP全般(制限あり) TCP/IP全般(制限無し)
アクセスコントロール ユーザ/グループ単位での制御が可能 ネットワークによっては制御できないこともあり、イントラネットのサーバー側に依存する場合もある
設定 リモートクライアント側に特別な設定は不要 キー交換方式や暗号化手法などの設定が各リモートクライアントに必要
  • SonicWall SSL-VPNでは「NetExtender」機能により、TCP/IP全般のアプリケーションを利用可能です。詳細はこちらをご覧ください。
Q.
SSL-VPNではどんな接続方式があるの?
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

SonicWall SRA/SMAシリーズでは、以下の接続方式があります。

【リバースプロキシ方式】

対応アプリケーション:HTTP/HTTPS/FTP

02-img.png
  1. SonicWall SRA/SMAのポータルサイトへアクセス
  2. ユーザー認証/アクセスポリシーチェック
  3. Webアクセス

【ポートフォワーディング方式(Javaアプレット)】

対応アプリケーション:Telnet/SSH/RDP/VNC/CIFS

02-img-02.png
  1. SonicWall SRA/SMAのポータルサイトへアクセス
  2. ユーザー認証/アクセスポリシーチェック
  3. Javaアプレットのダウンロード(プラグイン)
  4. サーバーアクセス

【NetExtender(L2フォワーディング方式(ActiveX))】

対応アプリケーション:TCP/IPアプリケーション全般

02-img-03.png
  1. SonicWall SRA/SMAのポータルサイトへアクセス
  2. ユーザー認証/アクセスポリシーチェック
  3. ActiveXのダウンロード
  4. PPPインターフェースの作成
  5. ローカルIPアドレスの割り当て(192.168.20.2)
  6. クライアントソフトの起動(Outlook、Notes、エクスプローラなどのクライアントソフトウェア)
  7. サーバーアクセス
  8. 192.168.20.2 ⇒ 192.168.20.200の通信が確立

関連記事

Q.
セーフモードとは?
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

セーフモードは、以下の管理を行うためのモードとなります。

  • 現在、SonicWall SRA/SMAに読み込まれているファームウェアで工場出荷時の設定に戻す。
  • ファームウェアのアップロード。
  • バックアップの作成、またはバックアップした設定内容での起動。

【セーフモード起動方法】

  1. SonicWall SRA/SMA本体の電源が入っている状態で、コンソールポート横にあるリセットボタンを数秒間長押しします。
  2. TEST LEDが点滅したらボタンから手を離してください。
  3. 管理用マシンをX0ポートへケーブルで接続し、当該マシンのWebブラウザで「192.168.200.1」にアクセスしてください。
  4. 以下のような画面が表示されるので、任意のファームウェアイメージで起動、もしくはファームウェアのアップロードを行ってください。
    02-img-04.png

なお、各ファームウェアイメージは以下となります。

  • 「現在のファームウェア」:セーフモード起動直前までに設定された内容で起動。
  • 「現在のファームウェア(工場出荷時の設定)」:現在インストールされているファームウェアのまま、工場出荷時の設定内容で起動。
  • 「アップロードされたファームウェア」:アップロードしたファームウェアにて、セーフモード起動直前までに設定された内容で起動。
  • 「アップロードされたファームウェア(工場出荷時の設定)」:アップロードしたファームウェアにて、工場出荷時の設定内容で起動。
  • 「システムバックアップ」:作成したバックアップの設定内容で起動。
Q.
リモートクライアントに対するセキュリティチェック機能は?
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

SonicWall SRA/SMAシリーズでは、接続端末に対するデバイス認証機能を搭載しています。

Q.
冗長化はできるの?
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

SRA4200/4600 及び SMA 400では、冗長化機能を搭載しています。

Q.
SNMPはサポートしているの?
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

SonicWall SRA/SMAでは、SonicOS SSL-VPN 4.0以降より、SNMPをサポートしています。
なお、SNMPのトラップ送信についてはサポートしていませんのでご注意ください。

Q.
ブックマーク登録可能なプロトコルについて
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

ポータルサイト上でブックマーク登録可能なアプリケーションは以下となります。

  • HTTP
  • HTTPS
  • FTP
  • Telnet
  • SSH
  • RDP
  • VNC
  • NetBIOS
  • Citrix

上記以外のアプリケーションにつきましては、ブックマーク登録できませんのであらかじめご注意ください。
ただし、上記以外のアプリケーションは「NetExtender」機能により利用することが可能です。

Q.
ワンタイムパスワードとは?
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

ワンタイムパスワード(以下:OTP)とは、ランダムに生成される使い捨てのパスワードのことです。
OTPを通常のログイン情報と組み合わせて使うことでセキュリティが向上します。

また、リモートクライアントからのログイン時におきまして、成功、キャンセル、失敗、またはタイムアウトが発生するたびに新しいOTPが生成されるため、悪用される可能性を減らすことが可能です。

≪ OTP動作イメージ ≫

  1. リモートクライアントよりポータルサイトへのアクセス、およびユーザー認証用アカウントの入力。
  2. 指定メールサーバーに対して任意のメールアドレス宛にOTP発行、およびリモートクライアントへのOTP入力要求。
  3. OTPの取得。
  4. 取得したOTPの入力後、ポータルサイトへのログイン完了。

注意事項

  • OTP発行先メールサーバーは、SonicWall SRA/SMAの管理画面においてイベントログをメールで送信するメールサーバーと同一となります。
  • 指定したメールサーバー側におきまして、他のメールサーバーへのメール転送を制限している場合は、SonicWall SRA/SMAからのOTP発行メールに対して中継を許可する必要があります。
Q.
証明書のCRLチェック機能
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

SonicWall SRA/SMAシリーズでは、証明書のCRLチェック機能をサポートしておりません。

このため、SonicWall SRA/SMAにインポートした各種証明書の有効期限が経過した場合は、管理画面上にて手動で削除する必要があります。

  • 削除後に機器の再起動が必要となります。
Q.
対応している外部認証サーバ
A.
■対象
SonicWall SRA/SMAシリーズ
■内容

SonicWallのSRA/SMAシリーズにて対応している外部認証サーバは、以下の通りです。

  • RADIUS
  • LDAP
  • Active Directory
  • Windows NTドメイン

なお、外部認証サーバとの連携につきましては、評価機による事前検証を強く推奨いたします。

資料やカタログのダウンロードができます。