SonicWALL SSL-VPN 4000...

61
COMPREHENSIVE INTERNET SECURITY™ SonicWALL セキュリティ装置 SonicWALL SSL-VPN 4000 導入ガイド

Transcript of SonicWALL SSL-VPN 4000...

Page 1: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

COMPREHENSIVE INTERNET SECURITY™

SonicWALL セキュリティ装置

SonicWALL SSL-VPN 4000

導入ガイド

Page 2: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicWALL SSL-VPN 4000 装置

導入ガイドこの 「導入ガイド」 では、 SonicWALL SSL-VPN 4000 装置を既存または新規のネットワークに配備するためのインストール手順と設定ガイドラインを説明します。 このマニュアルでは、SonicWALL SSL-VPN 4000 を配備可能な、 最も一般的な使用例シナリオとネットワーク トポロジを紹介します。

SonicWALL SSL-VPN 4000装置は、 あらゆるサイズの組織に、 シンプルで安全なリモート ネットワークとアプリケーション アクセス ソリューションを手ごろな価格で提供します。 クライアント ソフトウェアが事前にインストールされている必要はありません。 標準のウェブ ブラウザを利用するだけでよいので、 ユーザは簡単に、 電子メール、 ファイル、 イントラネット、 アプリケーションなど、 社内 LAN にあるリソースにどこからでも安全にアクセスできます。

SonicWALL SSL-VPN 4000 の設定手順

4 ページ 「SonicWALL 推奨配備シナリオを選択する」

6 ページ 「SonicWALL SSL-VPN 4000 の電源を入れる」

7 ページ 「管理インターフェースにアクセスする」

8 ページ 「SonicWALL SSL-VPN 4000 を設定する」

15 ページ 「SonicWALL SSL-VPN 4000 を接続する」

18 ページ 「ゲートウェイ機器を設定する」

47 ページ 「SSL-VPN 接続をテストする」

48 ページ 「SonicWALL SSL-VPN 4000 を登録する」

54 ページ 「設置ガイドライン」

補足 詳細については、 SonicWALL リソース CD にある 「SonicWALL SSL-VPN管理者

ガイド」 を参照してください。 このマニュアルは、 以下の場所でも参照できます。 〈http://www.sonicwall.com/japan/products/documentation.html〉

1

2

3

4

5

6

7

8

9

SonicWALL SSL-VPN 4000 導入ガイド 1

Page 3: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

始める前に

パッケージの内容をお確かめください

• SonicWALL SSL-VPN 4000 装置• 「SonicWALL SSL-VPN 4000 導入ガイド」• 「SonicWALL SSL-VPN リリース ノート」• イーサネット ストレート ケーブル• イーサネット クロス ケーブル (赤)• ラック取り付けキット• 電源コード*1

• SonicWALL SSL-VPN シリーズ リソース CD (以下のものが含まれています)• SonicWALL SSL-VPN 4000 製品マニュアル• ソフトウェア ユーティリティ

パッケージ内容に不足がある場合は、 お手数ですが、 ご購入頂きました SonicWALL 販売代理店 〈http://www.sonicwall.com/japan/corporate_info/distributors.html〉 までお問い合わせください。

始める際に必要なもの

• ネットワークの SonicWALL 統合脅威管理 (UTM) 装置などのゲートウェイ機器または境界ファイアウォールへの管理者アクセス

• SonicWALL SSL-VPN 4000の初期設定用管理ステーションとして使用するコンピュータ• Java (バージョン 1.3.1 以上) および HTTP アップロードをサポートするウェブ ブラウザ (インターネット エクスプローラ 5.01 以上、 ネットスケープ ナビゲータ 4.7 以上、 Mozilla 1.7 以上、 Firefox など) 推奨*2

• インターネット接続

*1. 電源コードは北米向け製品にのみ同梱されています。

*2. これらのブラウザは、 SonicWALL SSL-VPN 4000 の設定作業に使用できますが、 エンドユーザは、 アプリケーション一式のあらゆる利点を活用するためには、 JavaScript、Java、 Cookie、 SSL および ActiveX をサポートする IE 5.01 以上が必要になります。

2

Page 4: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

ネットワーク設定情報

現在のネットワーク設定について、 以下の情報を収集します。

主格 DNS :

副格 DNS (オプション) :

DNS ドメイン :

WINS サーバ (オプション) :

その他の情報

以下は、 SonicWALL SSL-VPN管理インターフェースにアクセスする既定の設定です。

ユーザ名 : admin

パスワード : (既定 : password)

SonicWALL SSL-VPN 4000 導入ガイド 3

Page 5: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicWALL推奨配備シナリオを選択する

以下のシナリオは、 SonicWALL SSL-VPN 4000 の最も一般的な配備を示すもので、SonicWALL で推奨される最善の活用方法です。 使用する配備方法に最も近いシナリオを選択します。 使用する配備方法が、 このマニュアルで示す 3つのシナリオのいずれにも近くない場合は、 「SonicWALL SSL-VPN 管理者ガイド」 を参照し、 また 〈http://www.sonicwall.com〉 で配備に関する技術的注釈を確認してください。

表 1 を参考に、 使用する配備方法に最も近いシナリオを選択します。

1

表 1 SonicWALL SSL-VPN 4000配備シナリオ

ゲートウェイ機器 SonicWALL推奨配備シナリオ 条件または要件

SonicOS Standard 3.1以上 : TZ 170 PRO 1260 PRO 2040 PRO 3060

シナリオA : 新しいDMZ上のSSL-VPN

• OPTまたはX2 インターフェースが未使用

• NATまたはトランスペアレント モード操作用に設定されている新しいDMZ

• (オプション) GAV、 IPS、 アンチスパイウェアなどのSonicWALL精密パケット検査セキュリティ サービスを提供するプラン

シナリオB : 既存のDMZ上のSSL-VPN

• OPTまたはX2 インターフェースが既存のDMZで使用中

• (オプション) GAV、 IPS、 アンチスパイウェアなどのSonicWALL精密パケット検査セキュリティ サービスを提供するプラン

シナリオ A新しい DM Z 上の S S L -V P N

シナリオ B シナリオ C既存の DM Z 上の S S L -V P N L A N 上の S S L -V P N

4

Page 6: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicOS Enhanced 3.1以上 : TZ 170 シリーズ PROシリーズ PRO 1260 PRO 2040 PRO 3060 PRO 4060 PRO 5060

シナリオA : 新しいDMZ上のSSL-VPN

• OPTまたは未使用インターフェース

• NATまたはトランスペアレント モード操作用に設定されている新しいDMZ

シナリオB : 既存のDMZ上のSSL-VPN

• 未使用インターフェースなし• 専用のインターフェースを既存のDMZで使用

シナリオC : LAN上のSSL-VPN

• 未使用インターフェースなし• DMZ用専用インターフェースなし

SonicOS Standard 3.1以上 : TZ 150 シリーズ TZ 170 Wireless TZ 170 SP 古いファームウェアを実行しているSonicWALL機器サードバーティ製ゲートウェイ機器

シナリオC : LAN上のSSL-VPN

• GAV、 IPS、 アンチスパイウェアなどのSonicWALL精密パケット検査セキュリティ サービスを利用するプランなし

• サードバーティ製ゲートウェイ機器との相互運用性

表 1 SonicWALL SSL-VPN 4000 配備シナリオ

ゲートウェイ機器 SonicWALL推奨配備シナリオ 条件または要件

SonicWALL SSL-VPN 4000 導入ガイド 5

Page 7: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicWALL SSL-VPN 4000 の電源を入れる

1. 電源コードを、 SonicWALL SSL-VPN 4000 と適切な電源コンセントに入れます。 2. 装置背面の電源コードの横にある電源スイッチを入れます。

SonicWALL SSL-VPN 4000 の電源を入れると、 前面パネルの電源 LED が緑色に点灯します。 テスト LED が黄色に点灯し、 装置が一連の診断テストを行う間、 1分間ほど点滅します。 テスト LED の点灯が消えたら、 SonicWALL SSL-VPN 4000 の設定を行うことができます。

SonicWALL SSL-VPN 4000 の起動後に、 テスト LED または警告 LED が点灯したままになったり、 テスト LED が赤色に点滅したりする場合は、 SonicWALL SSL-VPN 4000 を再起動します。 トラブルシューティングの詳細については、 「SonicWALL SSL-VPN 管理者ガイド」 を参照してください。

ステップ に進む

2

3

6

Page 8: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

管理インターフェースにアクセスする

SonicWALL SSL-VPN 4000 のウェブ ベースの管理インターフェースにアクセスするには、以下手順に従います。

1. クロス ケーブルの片方の端を SonicWALL SSL-VPN 4000 の X0ポートに接続します。 ケーブルのもう片方の端を、 SonicWALL SSL-VPN 4000 を管理するのに使用するコンピュータに接続します。

2. SonicWALL SSL-VPN 4000 を管理するのに使用するコンピュータを、192.168.200.x / 24 サブネットに静的 IP アドレスを持つように設定します。 例えば、192.168.200.20などです。 コンピュータに静的 IP アドレスを設定する方法については、52 ページ 「静的 IP アドレスの設定」 を参照してください。

警告 Java (バージョン1.3.1以上) および HTTP アップロードをサポートするウェブ ブラウザ

(インターネット エクスプローラ 5.01 以上、 ネットスケープ ナビゲータ 4.7 以上、 Mozilla 1.7以上、 Firefox など)が推奨されます。 *3

3. ウェブ ブラウザを開き、 場所フィールドまたはアドレス フィールドに、 〈http://192.168.200.1〉 (既定の X0管理 IP アドレス) と入力します。

4. セキュリティ警告が表示される場合があります。 はいボタンまたは OKボタンを選択して進みます。

5. SonicWALL SSL-VPN管理インターフェースが表示され、 ユーザ名とパスワードの入力が求められます。 ユーザ名フィールドに "admin"、 パスワード フィールドに "password" と入

3

*3. これらのブラウザは、 SonicWALL SSL-VPN 4000 の設定作業に使用できますが、 エンドユーザは、 アプリケーション一式のあらゆる利点を活用するためには、 JavaScript、Java、 cookie、 SSL および ActiveX をサポートする IE 5.01 以上が必要になります。

SonicWALL SSL-VPN 4000 導入ガイド 7

Page 9: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

力し、 ドメイン ドロップダウン リストで LocalDomain を選択して、 ログイン ボタンを選択します。

ステップ に進む

SonicWALL SSL-VPN ログイン画面が表示されない場合

SonicWALL SSL-VPN 4000 に接続できない場合は、以下の設定を確認します。

• 管理ワークステーションを SonicWALL SSL-VPN 装置のインターフェース X0 につないでいるか。 管理作業ができるのは X0 のみです。

• 管理ステーションと SSL-VPN装置両方のリンク ライトが点灯しているか。 • ウェブ ブラウザで SonicWALL SSL-VPN 4000管理 IP アドレスを正しく入力したか。 • コンピュータに静的 IP アドレス 192.168.200.20 が設定されているか。 IP アドレス設定方法の詳細については、 52 ページ 「静的 IP アドレスの設定」 を参照してください。

• ログイン画面のローカル ドメインに正しいドメインが設定されているか。

SonicWALL SSL-VPN 4000 を設定する

SonicWALL SSL-VPN 4000 をコンピュータの管理ポート (X0) に接続したら、 ウェブベースの管理インターフェースから設定できます。

このセクションには以下のサブセクションがあります。

• 9 ページ 「管理パスワードの設定」• 9 ページ 「ローカル ユーザの追加」

4

4

8

Page 10: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

• 10 ページ 「タイム ゾーンの選択」• 10 ページ 「SSL-VPN ネットワーク設定の構成」

• 10 ページ 「DNS /WINS の設定」• 11 ページ 「シナリオ B とシナリオ C のための X0 ポートの IP アドレスの設定」• 12 ページ 「NetExtender クライアント ルートの追加」

管理パスワードの設定

1. ユーザ > ローカル ユーザ ページを選択します。 2. "admin" アカウントに対応する設定ボタンを選択します。

補足 工場出荷時のパスワードを変更することは任意ですが、 変更することを強くお勧めしま

す。 パスワードを変更する場合は、 新しいパスワードを安全な場所に保管してください。 パスワードがわからなくなった場合には、 SonicWALL SSL-VPN 4000 を工場出荷時の設定に戻す必要があり、 それまでに行った設定は失われます。

3. パスワード フィールドに "admin" アカウントのパスワードを入力します。 パスワードの確認フィールドにパスワードをもう一度入力します。

4. OKボタンを選択して変更を適用します。

ローカル ユーザの追加

1. ユーザ > ローカル ユーザ ページを選択します。 2. ユーザの追加ボタンを選択します。 3. ユーザ名フィールドに、 使用するユーザ名を入力します。 4. グループ/ドメイン ドロップダウン メニューから LocalDomain を選択します。 5. パスワード フィールドにユーザのパスワードを入力します。 新しいパスワードを確認入力します。

SonicWALL SSL-VPN 4000 導入ガイド 9

Page 11: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

6. ユーザ種別ドロップダウン メニューからユーザを選択します。

7. 追加ボタンを選択します。

タイム ゾーンの選択

1. システム > 時間ページを選択します。 2. ドロップダウン メニューから適切なタイム ゾーンを選択します。

3. 適用ボタンを選択します。

補足 時間を正しく設定することは、 SonicWALL SSL-VPN 4000 の多くの操作にとって重

要です。 タイム ゾーンは必ず正しく設定してください。 正確性を確実にするため、 NTP を使用して自動的に時刻を調整する (既定の設定) をお勧めします。

SSL-VPN ネットワーク設定の構成

ここで、 SSL-VPN 4000 ネットワーク設定を行います。 このセクションの作業を完了するには、3 ページ 「ネットワーク設定情報」 で記録した情報を使用します。

DNS/WINSの設定

1. ネットワーク > DNSページを選択します。 2. SSL VPN ゲートウェイ ホスト名フィールドに、 使用する SonicWALL SSL-VPN 4000を示す固有の名前を入力します。

3. 主格DNSサーバ フィールドに、 主格 DNS サーバの情報を入力します。

10

Page 12: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

4. (オプション) 副格DNSサーバ フィールドに、 副格 DNS サーバを入力します。

5. (オプション) DNS ドメイン フィールドに、 DNS ドメインを入力します。 6. (オプション) 主格WINSサーバ フィールドおよび副格WINSサーバ フィールドに、 WINSサーバを入力します。

7. 適用ボタンを選択します。

シナリオ B とシナリオ CのためのX0ポートの IP アドレスの設定

SSL-VPN を、 シナリオ B : 既存の DMZ上の SSL-VPN、 あるいはシナリオ C : LAN上のSSL-VPN のどちらかに配備する場合は、 SSL-VPN の X0 インターフェースの IP アドレスを、既存の DMZ または既存の LAN のアドレス範囲内に再設定する必要があります。

1. ネットワーク > インターフェース ページを選択します。2. インターフェース表の X0 インターフェースの設定アイコンを選択します。

3. インターフェース設定ダイアログ ボックスの IP アドレスとサブネットマスクを以下のように設定します。

OK を選択すると、 SSL-VPN への接続が切れます。

4. SonicWALL SSL-VPN 4000 を管理するのに使用しているコンピュータを、 10. 1.1. 20や 192. 168. 200. 20のように X0 インターフェースに設定したアドレス範囲

使用するシナリオ X0 インターフェースの設定

B - 既存のDMZ上のSSL-VPN IPアドレス : DMZサブネット上の未使用のアドレス。例 : 10. 1. 1. 240サブネットマスク :DMZサブネットマスクと一致するもの。

C - LAN上のSSL-VPN IPアドレス : LANサブネット上の未使用のアドレス。例 : 192. 168. 168. 200サブネットマスク :LANサブネットマスクと一致するもの。

SonicWALL SSL-VPN 4000 導入ガイド 11

Page 13: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

内の静的 IP アドレスを持つよう、 再設定します。コンピュータへの静的 IP アドレスの設定に関しては、 52 ページ 「静的 IP アドレスの設定」を参照してください。

5. X0 インターフェースに設定した IP アドレスを使用して、 SSL-VPN 管理インターフェースに再ログインします。 例えば、 お使いのウェブ ブラウザの場所またはアドレス フィールドにhttp : // 192. 168. 168. 200 と入力します。

デフォルト ルートの設定

以下の表を参考に、 デフォルト ルートを正しく設定します。 どのシナリオを使用するかわからない場合は、 4 ページ 「SonicWALL 推奨配備シナリオを選択する」 を参照してください。

1. ネットワーク > ルート ページを選択します。 2. デフォルト ゲートウェイ フィールドに、 アップストリーム ゲートウェイ機器の IP アドレスを入力します。

3. インターフェース ドロップダウン メニューから X0 を選択します。

4. 適用ボタンを選択します。

NetExtender クライアント ルートの追加

NetExtender によって、 リモート クライアントもローカル ネットワークのリソースにシームレスにアクセスできます。

1. NetExtender > クライアント ルート ページを選択します。 2. クライアント ルートの追加ボタンを選択します。 3. 送信先ネットワーク フィールドに、 NetExtender でアクセスできるようにする信頼済みネットワークの IP アドレスを入力します (例えば、 ネットワーク 192.168.50.0 / 24 の既存のDMZ に接続し、 LAN ネットワーク 192.168.168.0 / 24 へのアクセスを可能にする場合、 192.168.168.0 と入力します)。

補足 送信先ネットワークとサブネット マスクに 0.0.0.0 と入力して、 強制トンネル方式ですべて

の SSL-VPN クライアント トラフィックを NetExtender 接続に通すこともできます。

使用するシナリオ アップストリーム ゲートウェイ機器

A - 新しいDMZ上のSSL-VPN 作成するDMZ (例、 192.168.200.2)

B - 既存のDMZ上のSSL-VPN 既存のDMZインターフェース

C - LAN上のSSL-VPN 使用するLANゲートウェイ

12

Page 14: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

オペレーティング システムやシステム環境によっては、 0.0.0.0 既定ルートを正しく適用できない場合があります。 そのような場合は、 以下のようにさらに 2 つの特定ルートを使用することで、 強制トンネル方式を指定できます。

4. サブネット マスク フィールドにサブネット マスクを入力します。

5. 追加ボタンを選択してこのクライアント ルートを追加します。

NetExtender アドレス範囲の設定

NetExtender IP 範囲は IP アドレスの範囲を定義し、 この中から NetExtender セッション中にリモート ユーザにアドレスを割り当てます。 この範囲は、 NetExtender でサポートする同時実行ユーザ数の最大値に 1 を足した数 (例えば、 ユーザが 15人の場合、192.168.200.100 ~ 192.168.200.115 のように 16個のアドレスが必要) に対応できるよう十分大きくする必要があります。 この範囲には、 SSL-VPN 装置を接続するインターフェースと同じサブネット内の範囲を設定します。 また、 SSL-VPN 装置と同じセグメントに他のホストがある場合は、 割り当て済みのアドレスと重複したり競合したりしないようにする必要があります。 選択したネットワーク シナリオに基づいて、 以下のように適切なサブネットを指定します。

NetExtender アドレス範囲を設定するには、 以下の手順を実行します。

1. NetExtender > クライアント アドレス ページを選択します。

ルート 1 送信先ネットワーク : 0.0.0.0サブネット マスク : 128.0.0.0

ルート 2 送信先ネットワーク : 128.0.0.0サブネット マスク : 128.0.0.0

シナリオA 既定のNetExtenderを使用します。 192.168.200.100 ~ 192.168.200.200

シナリオB 使用する既存のDMZサブネット内の範囲を選択します。 例えば、 DMZで 192.168.50.0 / 24 サブネットを使用していて、 最大 30 のNetExtender同時セッションをサポートする場合、 192.168.50.220~ 192.168.50.250 (これらが未使用の場合) を使用できます。

シナリオC 使用する既存のLANサブネット内の範囲を選択します。 例えば、 LANで192.168.168.0 / 24 サブネットを使用していて、 最大 10 のNetExtender同時セッションをサポートする場合、 192.168.168.240~ 192.168.168.250 (これらが未使用の場合) を使用できます。

SonicWALL SSL-VPN 4000 導入ガイド 13

Page 15: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

2. クライアント アドレス範囲の開始フィールドとクライアント アドレス範囲の終了フィールドに、クライアントのアドレス範囲を入力します。

補足 NetExtender でサポートする同時実行ユーザ数に十分なだけの使用可能アドレスがな

い場合は、 NetExtender 用に新しいサブネットを使用できます。 このような状況としては、 既存の DMZ または LAN が 255.255.255.224 のように小さなサブネット空間の NAT モードに設定されている場合や、 もっと一般的な場合として、 DMZ または LAN がトランスペアレント モードに設定されていて ISP からのパブリック アドレス数が限られている場合が考えられます。

いずれの場合も、 未使用の新しい IP 範囲を NetExtender に割り当てて (例、192.168.10.100 ~ 192.168.10.200)、 ゲートウェイ装置でこの範囲のルートを設定できます。

例えば、 現在のトランスペアレント範囲が 67.115.118.75 ~ 67.115.118.80 で、NetExtender で 50 の同時実行クライアントをサポートする場合、 SSL-VPN X0 インターフェースをこのトランスペアレント範囲内の利用可能な IP アドレス (67.115.118.80など) に設定し、 NetExtender 範囲を 192.168.10.100 ~ 192.168.10.200 などに設定します。 次に、 ゲートウェイ機器で、 静的ルートを 67.115.118.80 を使用して 192.168.10.0 /255.255.255.0 に設定します。

ステップ に進む

シナリオA 192.168.200.100 ~192.168.200.200 ( 既定の範囲 )

シナリオB DMZサブネット内で使用されていない範囲

シナリオC LAN サブネット内で使用されていない範囲

5

14

Page 16: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicWALL SSL-VPN 4000 を接続する

この作業に進む前に、 SonicWALL SSL-VPN 4000 のネットワークへの接続を示すこのセクションの各図を参照してください。 4 ページ 「SonicWALL 推奨配備シナリオを選択する」 の表を参照し、 使用するネットワーク設定に適したシナリオを確認してください。

• 15 ページ 「SonicWALL SSL-VPN 4000 の接続 - シナリオ A」• 15 ページ 「ネットワーク インターフェースの設定 - シナリオ B」• 16 ページ 「SonicWALL SSL-VPN 4000 の接続 - シナリオ B」• 17 ページ 「ネットワーク インターフェースの設定 - シナリオ C」• 17 ページ 「SonicWALL SSL-VPN 4000 の接続 - シナリオ C」

SonicWALL SSL-VPN 4000 の接続 - シナリオA

シナリオ A を使用して SonicWALL SSL-VPN 4000 を接続するには、 以下の手順を実行します。

1. イーサネット ケーブルの片方の端を、 既存の SonicWALL UTM セキュリティ装置のOPT、 X2、 または他の未使用ポートに接続します。

シナリオA :新しい DMZ上の SSL-VPN

2. イーサネット ケーブルのもう片方の端を SonicWALL SSL-VPN 4000 の前面の X0ポートに接続します。 ポートの左上の X0ポート LED が、 動作中の接続を示す緑色に点灯します。

ステップ に進む

ネットワーク インターフェースの設定 - シナリオ B

SonicWALL SSL-VPN 4000 を、 シナリオ B のネットワーク設定における SonicWALL UTM装置に接続するように設定します。

SonicWALL SSL-VPN 4000 で以下の手順を実行します。

5

6

SonicWALL SSL-VPN 4000 導入ガイド 15

Page 17: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

1. ネットワーク > インターフェース ページを選択します。 2. X0ポートの設定ボタンを選択します。

3. シナリオ B用に設定する場合は、 IP アドレス フィールドに DMZサブネットの未使用 IP アドレスを入力します。 シナリオ C用に設定する場合は、 IP アドレス フィールドに LAN の未使用 IP アドレスを入力します。

4. サブネット マスク フィールドにサブネット マスクを入力します。

5. OKボタンを選択して変更を適用します。

SonicWALL SSL-VPN 4000 の接続 - シナリオ B

シナリオ B を使用して SonicWALL SSL-VPN 4000 を接続するには、 以下の手順を実行します。

1. クロス ケーブルの片方の端を、 既存の SonicWALL UTM装置の DMZ に割り当てられているポート、 通常は OPTまたは X2に接続します。

シナリオ B :既存の DMZ上の SSL-VPN

2. イーサネット ケーブルのもう片方の端を SonicWALL SSL-VPN 4000の前面の X0ポートに接続します。 ポートの左上の X0ポート LED が、 動作中の接続を示す緑色に点灯します。

ステップ に進む6

16

Page 18: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

ネットワーク インターフェースの設定 - シナリオ C

SonicWALL SSL-VPN 4000 を、 シナリオ C のネットワーク設定における SonicWALL UTM装置に接続するように設定します。

SonicWALL SSL-VPN 4000 で以下の手順を実行します。

1. ネットワーク > インターフェース ページを選択します。 2. X0ポートの設定ボタンを選択します。

3. IP アドレス フィールドに LAN の未使用 IP アドレスを入力します。 4. サブネット マスク フィールドにサブネット マスクを入力します。

5. OKボタンを選択して変更を適用します。

SonicWALL SSL-VPN 4000 の接続 - シナリオ C

シナリオ C を使用して SonicWALL SSL-VPN 4000 を接続するには、 以下の手順を実行します。

1. クロス ケーブルの片方の端を LAN ハブまたはスイッチの未使用ポートに接続します。

シナリオ C : LAN上の SSL-VPN

2. クロス ケーブルのもう片方の端を SonicWALL SSL-VPN 4000 の前面の X0ポートに接続します。 ポートの左上の X0ポート LED が、 動作中の接続を示す緑色に点灯します。

ステップ に進む6

SonicWALL SSL-VPN 4000 導入ガイド 17

Page 19: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

ゲートウェイ機器を設定する

SonicWALL SSL-VPN 4000 の設定が完了したら、 ゲートウェイ機器を SonicWALL SSL-VPN 4000と連携するように設定します。 4 ページ 「SonicWALL 推奨配備シナリオを選択する」 の表を参照し、 使用するネットワーク設定に適したシナリオを確認してください。

このセクションには以下のサブセクションがあります。

• 18 ページ 「シナリオ A :新しい DMZ上の SSL-VPN」• 32 ページ 「シナリオ B : 既存の DMZ上の SSL-VPN」• 44 ページ 「シナリオ C : LAN上の SSL-VPN」

シナリオA : 新しい DMZ上の SSL-VPN

このセクションでは、 シナリオ A に基づいてゲートウェイ装置を設定する手順を示します。 このセクションには以下のサブセクションがあります。

• 18 ページ 「シナリオ A : SonicWALL UTM装置への接続」• 18 ページ 「シナリオ A : SonicOS Standard における DMZ または OPT ポートの設定」• 19 ページ 「シナリオ A : SonicOS Standard におけるWAN-> DMZ接続の許可」• 21 ページ 「シナリオ A : SonicOS Standard における DMZ-> LAN接続の許可」• 25 ページ 「シナリオ A : SonicOS Enhanced における新しい SSL-VPN 個別ゾーンの追加」

• 26 ページ 「シナリオ A : SonicOS Enhanced におけるWAN-> SSL-VPN 接続の許可」

• 29 ページ 「シナリオ A : SonicOS Enhanced における SSL-VPN -> LAN接続の許可」

シナリオA : SonicWALL UTM装置への接続

1. LAN に接続しているコンピュータを使用してウェブ ブラウザを開き、 場所フィールドまたはアドレス フィールドに、 既存の SonicWALL UTM装置の IP アドレスを入力します。

2. 管理インターフェースが表示されたら、 ユーザ名とパスワードをそれぞれのフィールドに入力し、 ログイン ボタンを選択します。

補足 ここでは、 SonicWALL SSL-VPN 4000 ではなく、 SonicWALL UTM装置にログ

インすることに注意してください。 ここで使用するユーザ名とパスワードの組み合わせは、SonicWALL SSL-VPN 4000用に記録したユーザ名とパスワードとは異なる場合があります。

シナリオA : SonicOS Standard における DMZまたはOPTポートの設定

1. ネットワーク > 設定ページを選択します。

6

18

Page 20: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

2. DMZ または OPT インターフェースの設定ボタンを選択します。

NAT モード ラジオ ボタンを選択します。

3. DMZプライベート アドレス フィールドに 192.168.200.2 を入力します。 4. DMZサブネット マスク フィールドに 255.255.255.0 を入力します。

5. OKボタンを選択します。

シナリオA : SonicOS Standard におけるWAN->DMZ接続の許可

以下の手順は、 SonicOS Standardを実行している SonicWALL UTM装置にSonicWALL SSL-VPN 4000 を接続する場合に実行します。 SonicWALL UTM装置でSonicOS Enhanced を実行している場合は、 26 ページ 「シナリオ A : SonicOS Enhanced におけるWAN-> SSL-VPN 接続の許可」 を参照してください。

ヒント  WANから DMZへのアクセスを拒否する既定のルールはそのままにし、 公開サーバ

ルール ウィザードを使用して、 SonicWALL SSL-VPN 装置への HTTP トラフィックとHTTPS トラフィックを限定的に許可するアクセス ルールを作成します。 DMZ に別のサーバを追加する場合、 ウィザードを使用して、 他のすべてのトラフィックを制限したまま新しいサーバへのアクセスを作成できます。

補足 SonicWALL SSL-VPN 装置への HTTP アクセスと HTTPS アクセスの両方を許可す

る場合、 ウィザードを 2回実行して HTTP と HTTPS の両方について公開サーバ アクセス ルールを作成する必要があります。

HTTPS トラフィックについて公開サーバ アクセス ルールを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページを選択します。 2. を選択します。

3. SonicWALL ネットワーク アクセス ルール ウィザードにようこそページで、 次へを選択します。

SonicWALL SSL-VPN 4000 導入ガイド 19

Page 21: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

4. ステップ 1  アクセス ルール タイプ ページで、 公開サーバ ルールを選択し、 次へを選択します。

5. ステップ 2  公開サーバ ページで、 以下の項目を選択します。

サービス HTTPS

サーバIPアドレス SonicWALL SSL-VPN装置のX0 IPアドレス、 既定では192.168.200.1

送信先インターフェース

DMZ

20

Page 22: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

次へを選択します。

6. 完了しましたページで適用を選択すると、 ルールが作成され、 WANから DMZ上のSonicWALL SSL-VPN 装置へのアクセスが許可されます。

SonicWALL SSL-VPN装置への HTTP アクセスを許可する場合、 HTTP に関する公開サーバ アクセス ルールを作成します。

1. ファイアウォール > アクセス ルール ページで、 を選択します。

2. ネットワーク アクセス ルール ウィザードにようこそページで、 次へを選択します。 3. ステップ 1  アクセス ルール タイプ ページで、 公開サーバ ルールを選択します。 次へを選択します。

4. ステップ 2  公開サーバ ページで以下の項目を選択し、 次へを選択します。

5. 完了しましたページで適用を選択すると、 ルールが作成され、 WANから DMZ上のSonicWALL SSL-VPN 装置へのアクセスが許可されます。

シナリオA : SonicOS Standard における DMZ-> LAN接続の許可

ユーザが SSL-VPN に接続した場合に、 そのユーザが LAN上のリソースに接続できることが必要です。 2 つのルールを作成する必要があります。 1 つは SonicWALL SSL-VPN装置のX0 インターフェースから LAN へのトラフィックを許可するルール、 もう 1 つは NetExtenderから LANへのトラフィックを許可するルールです。

補足 この手順では、 アクセス ルール ウィザードを使用してルールを作成します。 ファイア

ウォール > アクセス ルール ページの一番下にある追加を選択すると、 ルールを手動で作成できます。

SSL-VPN X0 インターフェースから LAN へのアクセスを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページで、 を選択します。

2. SonicWALL ネットワーク アクセス ルール ウィザードにようこそページで、 次へを選択します。

3. ステップ 1  アクセス ルール タイプ ページで、 一般的なルールを選択します。 次へを選択します。

4. ステップ 2  アクセス ルール サービス ページで、 Any を選択します。 次へを選択します。

サービス Web (HTTP)

サーバIPアドレス SonicWALL SSL-VPN装置のX0 IPアドレス、 既定では192.168.200.1

送信先インターフェース

DMZ

SonicWALL SSL-VPN 4000 導入ガイド 21

Page 23: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

5. ステップ 3  アクセス ルール アクション ページで、 以下のように設定します。

次へを選択します。

6. ステップ 4  アクセス ルール送信元インターフェースとアドレス ページで以下の項目を選択し、 次へを選択します。

このルールのアクションを選択する

許可

TCP接続無動作時タイムアウト

30 分

インターフェース DMZ

開始IPアドレス SonicWALL SSL-VPN装置のX0 IPアドレス、 既定では192.168.200.1

終了IPアドレス SonicWALL SSL-VPN装置のX0 IPアドレス、 既定では192.168.200.1

22

Page 24: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

7. ステップ 5  アクセス ルール送信先インターフェースとアドレス ページで以下の項目を選択し、 次へを選択します。

8. ステップ 6  アクセス ルールを適用する時間帯ページで、 SSL-VPN クライアントが LANにアクセスできる時間帯を制限する必要がある場合以外は、 動作時間を常にルールを適用するのままにします。

9. 完了しましたページで適用を選択すると、 アクセス ルールが作成されます。 NetExtender から LAN へのアクセスを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページで、 を選択します。

2. SonicWALL ネットワーク アクセス ルール ウィザードにようこそページで、 次へを選択します。

3. ステップ 1  アクセス ルール タイプ ページで、 一般的なルールを選択します。 次へを選択します。

4. ステップ 2  アクセス ルール サービス ページで、 Any を選択します。 次へを選択します。

5. ステップ 3  アクセス ルール アクション ページで、 以下のように設定します。

インターフェース LAN

開始IPアドレス *

終了IPアドレス 空白のままにします。

このルールのアクションを選択する

許可

SonicWALL SSL-VPN 4000 導入ガイド 23

Page 25: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

次へを選択します。

6. ステップ 4  アクセス ルール送信元インターフェースとアドレス ページで、 以下の項目を選択し、 次へを選択します。

次へを選択します。

7. ステップ 5  アクセス ルール送信先インターフェースとアドレス ページで以下の項目を選択し、 次へを選択します。

8. ステップ 6  アクセス ルールを適用する時間帯ページで、 SSL-VPN クライアントが LANにアクセスできる時間帯を制限する必要がある場合以外は、 動作時間を常にルールを適用するのままにします。

9. 完了しましたページで適用を選択すると、 アクセス ルールが作成されます。

ステップ に進む

TCP接続無動作時タイムアウト

30 分

インターフェース DMZ

開始IPアドレス NetExtender範囲の開始アドレス、 既定では192.168.200.100

終了IPアドレス NetExtender範囲の終了アドレス、 既定では192.168.200.200

インターフェース LAN

開始IPアドレス *

終了IPアドレス 空白のままにします。

7

24

Page 26: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオA : SonicOS Enhanced における新しい SSL-VPN個別ゾーンの追加

1. ネットワーク > インターフェース ページを選択します。 2. X2 インターフェース (または利用可能な他のインターフェース) の設定ボタンを選択します。

3. ゾーン フィールドでゾーンの作成を選択します。 ゾーンの追加ウィンドウが開きます。

4. 名前フィールドに SSL-VPN を入力します。 5. セキュリティ タイプ ドロップダウン メニューから公開を選択します。 6. インターフェース間通信を許可するチェック ボックスを非選択にします。 .7. ゲートウェイ アンチウィルスを執行する 、 侵入防御を執行する、 およびアンチスパイウェア サービスを有効にするの各チェック ボックスにチェック マークを付けます。

8. OKボタンを選択します。 9. IP アドレス フィールドにこのインターフェース用の IP アドレスを入力します (例えば、"192.168.200.2" です。 これは、 11 ページ 「シナリオ B とシナリオ C のための X0 ポートの IP アドレスの設定」 で作成したのと同じアドレスにします)。

10. サブネット マスク フィールドにサブネット マスクを入力します。 11. 管理領域で、 使用する管理オプションを有効にします。 12. OKボタンを選択して変更を適用します。

SonicWALL SSL-VPN 4000 導入ガイド 25

Page 27: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオA : SonicOS Enhanced におけるWAN-> SSL-VPN接続の許可

以下の手順は、 SonicOS Enhanced を実行している SonicWALL UTM装置にSonicWALL SSL-VPN 4000 を接続する場合に実行します。 SonicWALL UTM装置でSonicOS Standard を実行している場合は、 19 ページ 「シナリオ A : SonicOS Standard におけるWAN-> DMZ接続の許可」 を参照してください。

HTTP と HTTPS のトラフィックについて公開サーバ アクセス ルールを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページで、 すべてのルールを表示を選択します。 2. を選択します。

3. SonicWALL公開サーバ ウィザードにようこそページで、 次へを選択します。 4. ステップ 1  公開サーバ タイプ ページで、 以下の項目を選択します。

サービス グループの追加 ダイアログ ボックスが表示されます。

サーバ タイプ その他

サービス グループの作成

26

Page 28: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

5. サービス グループの追加 ダイアログ ボックスで、 HTTP と HTTPS 用のサービス グループを 1 つ作成します。

• サービスの名前を入力します。 • HTTP と HTTPS の両方を選択し、 を選択します。

• HTTP と HTTPS の両方が右の列に表示されたら、 OK を選択します。 6. ステップ 2  サーバ プライベート ネットワーク設定ページで、 以下の項目を入力します。

次へを選択します。

サーバ名 SonicWALL SSL-VPN 4000 の名前

サーバ プライベートIPアドレス

SonicWALL SSL-VPN装置のX0 IPアドレス、 既定では192.168.200.1

サーバ コメント サーバの簡単な説明

SonicWALL SSL-VPN 4000 導入ガイド 27

Page 29: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

7. ステップ 3 サーバ パブリック ネットワーク設定ページで、 既定の IP アドレスをそのまま使用するか、 利用可能なパブリック IP 範囲内の IP アドレスを入力します。

補足 既定の IP アドレスは、 SonicWALL UTM装置のWAN IP アドレスです。 既定の IP ア

ドレスを使用する場合、 この IP アドレスへの HTTP トラフィックと HTTPS トラフィックはすべてSonicWALL SSL-VPN 4000 を通るようになります。

次へを選択します。

8. ステップ 4  公開サーバの設定概要ページに、 公開サーバ作成のために実行するすべての設定アクションが表示されます。

適用を選択すると、 設定が作成され、 WANから DMZ上の SonicWALL SSL-VPN 4000 へのアクセスが許可されます。

28

Page 30: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオA : SonicOS Enhanced における SSL-VPN-> LAN接続の許可

ユーザが SSL-VPN に接続した場合に、 そのユーザが LAN上のリソースに接続できることが必要です。

1. 管理インターフェースで、 ネットワーク > アドレス オブジェクト ページに移動します。 2. ページの一番下、 アドレス オブジェクト テーブルの下にある、 を選択します。

3. アドレス オブジェクトの追加ダイアログ ボックスで、 SonicWALL SSL-VPN 4000の X0インターフェース IP アドレス用のアドレス オブジェクトを作成します。

OK を選択してオブジェクトを作成します。

4. 再度 を選択して NetExtender 範囲のアドレス オブジェクトを作成します。

5. アドレス オブジェクトの追加ダイアログ ボックスで、 SonicWALL SSL-VPN 4000の X0インターフェース IP アドレス用のアドレス オブジェクトを作成します。

名前 SonicWALL SSL-VPN 4000 の名前を入力します。

ゾーンの割り当て SSL-VPN

種類 ホスト

IPアドレス SonicWALL SSL-VPN 4000 のX0 IPアドレス、 既定では192.168.200.1

名前 NetExtenderの名前を入力します。

ゾーンの割り当て SSL-VPN

種類 範囲

開始アドレス NetExtender IPアドレス範囲の開始IPアドレス、 既定では192.168.200.100

終了アドレス NetExtender IPアドレス範囲の終了IPアドレス、 既定では192.168.200.200

SonicWALL SSL-VPN 4000 導入ガイド 29

Page 31: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

OK を選択してオブジェクトを作成します。

6. ネットワーク > アドレス オブジェクト ページの中ほど、 アドレス グループ テーブルの下にある、 を選択します。

7. アドレス オブジェクト グループの追加 ダイアログ ボックスで、 SonicWALL SSL-VPN 4000 の X0 インターフェース IP アドレスと NetExtender IP 範囲用のグループを 1 つ作成します。

• グループの名前を入力します。 • 左の列で、 ステップ 1~ 5 で作成した 2 つのグループを選択し、 を選択しま

す。

• 両方のオブジェクトが右の列に表示されたら、 OK を選択してグループを作成します。 8. 管理インターフェースで、 ファイアウォール > アクセス ルール ページに移動します。 9. ファイアウォール > アクセス ルール ページの一番下にある、 を選択します。

30

Page 32: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

10. ルールの追加ウィンドウで、 今回作成したアドレス グループが LAN にアクセスするのを許可するルールを作成します。

OK を選択してルールを作成します。

ステップ に進む

動作 許可

送信元ゾーン SSL-VPN

送信先ゾーン LAN

サービス すべて

送信元 今回作成したアドレス グループ (例、 SonicWALL_SSL-VPN_GROUP)

送信先 すべて

許可するユーザ すべて

スケジュール 常に有効

断片化パケットを許可する

チェックする

7

SonicWALL SSL-VPN 4000 導入ガイド 31

Page 33: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオ B : 既存のDMZ上の SSL-VPN

このセクションでは、 シナリオ B に基づいてゲートウェイ装置を設定する手順を示します。 このセクションには以下のサブセクションがあります。

• 32 ページ 「シナリオ B : SonicWALL UTM装置への接続」• 32 ページ 「シナリオ B : SonicOS Standard におけるWAN-> DMZ接続の許可」• 34 ページ 「シナリオ B : SonicOS Standard における DMZ-> LAN接続の許可」 • 38 ページ 「シナリオ B : SonicOS Enhanced におけるWAN-> DMZ接続の許可」• 40 ページ 「シナリオ B : SonicOS Enhanced における DMZ-> LAN接続の許可」

シナリオ B : SonicWALL UTM装置への接続

1. LAN に接続しているコンピュータを使用してウェブ ブラウザを開き、 場所フィールドまたはアドレス フィールドに、 既存の SonicWALL UTM装置の IP アドレスを入力します。

2. 管理インターフェースが表示されたら、 ユーザ名とパスワードをそれぞれのフィールドに入力し、 ログイン ボタンを選択します。

補足 ここでは、 SSL-VPN ではなく、 SonicWALL UTM装置にログインすることに注意して

ください。 ここで使用するユーザ名とパスワードの組み合わせは、 SSL-VPN 4000 用に記録したユーザ名とパスワードとは異なる場合があります。

シナリオ B : SonicOS Standard におけるWAN-> DMZ接続の許可

以下の手順は、 SonicOS Standard を実行している SonicWALL UTM装置にSonicWALL SSL-VPN 4000 を接続する場合に実行します。 SonicWALL UTM装置でSonicOS Enhanced を実行している場合は、 26 ページ 「シナリオ A : SonicOS Enhanced におけるWAN-> SSL-VPN 接続の許可」 を参照してください。

補足 SonicWALL SSL-VPN装置への HTTP アクセスと HTTPS アクセスの両方を許可す

る場合、 ウィザードを 2回実行して HTTP と HTTPS の両方について公開サーバ アクセス ルールを作成する必要があります。

HTTPS トラフィックについて公開サーバ アクセス ルールを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページを選択します。 2. を選択します。

3. SonicWALL公開サーバ ウィザードにようこそページで、 次へを選択します。

32

Page 34: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

4. ステップ 1 アクセス ルール ページで、 以下の項目を選択します。

5. ステップ 2 公開サーバ タイプ ページで、 以下の項目を選択します。

「次へ」 を選択します。

サービス HTTPS

サーバ IP アドレス DMZ範囲内のSonicWALL SSL-VPN 4000 のX0 IPアドレス。 例 10.1.1.200

送信先インターフェース

DMZ

SonicWALL SSL-VPN 4000 導入ガイド 33

Page 35: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

6. 完了しました ページで DZM上の SonicWALL SSL-VPN 装置へ WAN からアクセスするルールと許可を作成するために、 適用 を選択します。

HTTP が SonicWALL SSL-VPN装置へアクセスできるようする場合は、 HTTP のための公開サーバ アクセス ルールを作成します。

1. ファイアウォール > アクセス ルール ページで、 を選択します。

2. SonicWALL ネットワーク アクセス ルール ウィザードにようこそ ページで、 次へを選択します。

3. ステップ 1 アクセス ルール ページで、 公開サーバ ルール を選択し、 次へ を選択します。

4. ステップ 2 公開サーバ タイプ ページで、 以下の項目を選択し、 次へ を選択します。

5. 完了しました ページで DZM上の SonicWALL SSL-VPN 装置へ WAN からアクセスするルールと許可を作成するために、 適用 を選択します。

シナリオ B : SonicOS Standard における DMZ-> LAN接続の許可

ユーザが SSL-VPN に接続した場合に、 そのユーザが LAN上のリソースに接続できることが必要です。 2 つのルールを作成する必要があります。 1 つは SonicWALL SSL-VPN 装置のX0 インターフェースから LANへのトラフィックを許可するルール、 もう 1 つは NetExtenderから LAN へのトラフィックを許可するルールです。

補足 この手順では、 アクセス ルール ウィザードを使用してルールを作成します。 ファイア

ウォール > アクセス ルール ページの一番下にある追加を選択すると、 ルールを手動で作成できます。

SSL-VPN X0 インターフェースから LAN へのアクセスを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページで、 を選択します。

2. SonicWALL ネットワーク アクセス ルール ウィザードにようこそページで、 次へを選択します。

3. ステップ 1 アクセス ルール ページで、 公開サーバ ルール を選択します。 次へ を選択します。

4. ステップ 2 公開サーバ ページで、 以下の項目を選択し、 次へ を選択します。

サービス Web (HTTP)

サーバ IP アドレス DMZ範囲内のSonicWALL SSL-VPN 4000 のX0 IPアドレス、 既定では 10.1.1.200

送信先インターフェース

DMZ

34

Page 36: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

5. ステップ 3  アクセス ルール アクション ページで、 以下のように設定します。

「次へ」 を選択します。

6. ステップ 4  アクセス ルール送信元インターフェースとアドレス ページで以下の項目を選択し、 次へを選択します。

このルールのアクションを選択する

許可

TCP接続無動作時タイムアウト

30分

インターフェース DMZ

開始IPアドレス DMZ範囲内のSonicWALL SSL-VPN装置のX0 IPアドレス。 例 10.1.1.200

終了IPアドレス DMZ範囲内のSonicWALL SSL-VPN装置のX0 IPアドレス。 例 10.1.1.200

SonicWALL SSL-VPN 4000 導入ガイド 35

Page 37: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

7. ステップ 5  アクセス ルール送信先インターフェースとアドレス ページで以下の項目を選択し、 次へを選択します。

8. ステップ 6  アクセス ルールを適用する時間帯ページで、 SSL-VPN クライアントが LANにアクセスできる時間帯を制限する必要がある場合以外は、 動作時間を常にルールを適用するのままにします。

9. 完了しましたページで適用を選択すると、 アクセス ルールが作成されます。

NetExtender から LANへのアクセスを作成するには、 以下の手順を実行します。

1. ファイアウォール > アクセス ルール ページで、 を選択します。

2. SonicWALL ネットワーク アクセス ルール ウィザードにようこそページで、 次へを選択します。

3. ステップ 1  アクセス ルール タイプ ページで、 一般的なルールを選択します。 次へを選択します。

4. ステップ 2  アクセス ルール サービス ページで、 Any を選択します。 次へを選択します。

5. ステップ 3  アクセス ルール アクション ページで、 以下のように設定します。

インターフェース LAN

開始IPアドレス *

終了IPアドレス 空白のままにします。

このルールのアクションを選択する

許可

36

Page 38: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

「次へ」 を選択します。

6. ステップ 4  アクセス ルール送信元インターフェースとアドレス ページで、 以下の項目を選択し、 次へを選択します。

「次へ」 を選択します。

7. ステップ 5  アクセス ルール送信先インターフェースとアドレス ページで以下の項目を選択し、 次へを選択します。

8. ステップ 6  アクセス ルールを適用する時間帯ページで、 SSL-VPN クライアントが LANにアクセスできる時間帯を制限する必要がある場合以外は、 動作時間を常にルールを適用するのままにします。

9. 完了しましたページで適用を選択すると、 アクセス ルールが作成されます。

ステップ に進む

TCP接続無動作時タイムアウト

30 分

インターフェース DMZ

開始IPアドレス DMZ 範囲内の NetExtender範囲の開始アドレス。 例10.1.1.220

終了IPアドレス DMZ 範囲内の NetExtender範囲の終了アドレス。 例10.1.1.250

インターフェース LAN

開始IPアドレス *

終了IPアドレス 空白のままにします。

7

SonicWALL SSL-VPN 4000 導入ガイド 37

Page 39: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオ B : SonicOS Enhanced におけるWAN->DMZ接続の許可

以下の手順は、 SonicOS Enhanced を実行している SonicWALL UTM装置にSonicWALL SSL-VPN 4000 を接続する場合に実行します。 SonicWALL UTM装置でSonicOS Enhanced を実行している場合は、 19 ページ 「シナリオ A : SonicOS StandardにおけるWAN-> DMZ接続の許可」 を参照してください。

HTTPS トラフィックについて公開サーバ アクセス ルールを作成するには、 以下の手順を実行します。

補足 HTTP または HTTPS を内部サーバにフォーワーディングしていて、 公開 IP アドレスが

1 つの場合は、 既存のサーバまたは SonicWALL SSL-VPN 装置が、 同じ IP アドレスとポート番号の組み合わせを同時に使用することはできないので、 どちらか一方には異なるポートを選択する必要があります。

1. ファイアウォール > アクセス ルール ページを選択します。 2. を選択します。

3. SonicWALL公開サーバ ウィザードにようこそページで、 次へを選択します。 4. ステップ 1 アクセス ルール ページで、 以下の項目を選択します。

サービス グループを追加ダイアログボックスが表示されます。

サーバ タイプ その他

サービス 新しいグループを作成

38

Page 40: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

5. サービス グループを追加ダイアログ ボックスで、 HTTP と HTTPS 両方にサービスグループを作成します。

• サービス名を入力します。 • HTTP と HTTPS 両方を選択し、 を選択します。

• HTTP と HTTPS 両方が右の欄にあるのを確認したら、 OK を選択します。6. ステップ 2 プライベート ネットワーク 設定 ページで、 以下の設定をします。

「次へ」 を選択します。

サーバ名 SonicWALL SSL-VPN 4000 の名前

サーバ プライベートIPアドレス

DMZ範囲内のSonicWALL SSL-VPN装置のX0 IPアドレス、 既定では 10.1.1.200

サーバ コメント サーバの簡単な説明

SonicWALL SSL-VPN 4000 導入ガイド 39

Page 41: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

7. ステップ 3 サーバ 公開情報 ページで既定値の IP アドレスまたは許可された公開 IP 範囲の IP アドレスを入力します。

補足 既定値の IP アドレスは、 SonicWALL UTM装置の WAN IP アドレスです。 既定の IP

アドレスを使用する場合、 この IP アドレスへの HTTP トラフィックと HTTPS トラフィックはすべてSonicWALL SSL-VPN 4000 を通るようになります。

「次へ」 を選択します。

8. ステップ 4 公開サーバ設定 概要 ページで公開サーバの作成を実行する全ての設定手順が表示されます。WAN から DMZ上の SonicWALL SSL-VPN 4000 にアクセスを許可する設定を作成するため 適用 を選択します。

シナリオ B : SonicOS Enhanced における DMZ-> LAN接続の許可

ユーザが SSL-VPN に接続した場合に、 そのユーザが LAN上のリソースに接続できることが必要です。

1. 管理インターフェースから、 ネットワーク > アドレス オブジェクト ページを開きます。2. そのページ下部、 アドレス オブジェクト テーブルの下にある を選択します。

40

Page 42: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

3. オブジェクトの追加ダイアログ ボックスで、 SonicWALL SSL-VPN 4000 の X0 インターフェース IP アドレスに対するアドレス オブジェクトを作成します。

OK を選択してオブジェクトを作成します。

4. 再度 を選択して NetExtender 範囲のアドレス オブジェクトを作成します。

5. アドレス オブジェクトの追加ダイアログ ボックスで、 SonicWALL SSL-VPN 4000の X0インターフェース IP アドレス用のアドレス オブジェクトを作成します。

OK を選択してオブジェクトを作成します。

6. ネットワーク > アドレス オブジェクト ページの中ほど、 アドレス グループ テーブルの下にある、 を選択します。

名前 SonicWALL SSL-VPN 4000 の名前を入力します。

ゾーンの割り当て DMZ

種類 ホスト

IP アドレス DMZ アドレス範囲の SonicWALL SSL-VPN 4000 のX0 インターフェース IPアドレス。 例 10.1.1.200

名前 NetExtenderの名前を入力します。

ゾーンの割り当て DMZ

種類 範囲

開始 IP アドレス 既存の DMZ IP アドレス範囲の NetExtender 開始 IP アドレス。 例 10.1.1.220。

終了 IP アドレス 既存の DMZ IP アドレス範囲の NetExtender 終了 IP アドレス。 例 10.1.1.250。

SonicWALL SSL-VPN 4000 導入ガイド 41

Page 43: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

7. アドレス オブジェクト グループの追加 ダイアログ ボックスで、 SonicWALL SSL-VPN 4000 の X0 インターフェース IP アドレスと NetExtender IP 範囲用のグループを 1 つ作成します。

• グループの名前を入力します。 • 左の列で、 ステップ 1~ 5 で作成した 2 つのグループを選択し、 を選択しま

す。

• 両方のオブジェクトが右の列に表示されたら、 OK を選択してグループを作成します。 8. 管理インターフェースで、 ファイアウォール > アクセス ルール ページに移動します。 9. ファイアウォール > アクセス ルール ページの一番下にある、 を選択します。

42

Page 44: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

10. ルールの追加ウィンドウで、 今回作成したアドレス グループが LAN にアクセスすることを許可するルールを作成します。

OK を選択してルールを作成します。

ステップ に進む

動作 許可

送信元ゾーン DMZ

送信先ゾーン LAN

サービス すべて

送信元 今回作成したアドレス グループ (例、 SonicWALL_SSL-VPN_GROUP)

送信先 すべて

許可するユーザ すべて

スケジュール 常に有効

断片化パケットを許可する

チェックする

7

SonicWALL SSL-VPN 4000 導入ガイド 43

Page 45: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオ C : LAN上の SSL-VPN

このセクションでは、 シナリオ C に基づいてゲートウェイ装置を設定する手順を示します。 このセクションには以下のサブセクションがあります。

• 44 ページ 「シナリオ C : SonicWALL UTM装置への接続」• 44 ページ 「シナリオ C : SonicWALL SSL-VPN 4000 を認識するためのゲートウェイの設定」

• 44 ページ 「シナリオ C : SSL-VPN -> LAN接続の設定」• 45 ページ 「シナリオ C : SonicOS Standard における公開サーバ アクセスの設定」• 46 ページ 「シナリオ C : SonicOS Enhanced における公開サーバ アクセスの設定」

シナリオ C : SonicWALL UTM装置への接続

LAN に接続しているコンピュータを使用してウェブ ブラウザを開き、 現在のゲートウェイ インターフェースにログインします。

シナリオ C : SonicWALL SSL-VPN 4000 を認識するためのゲートウェイの設定

以下の手順を実行して、 SonicWALL SSL-VPN 4000 接続を認識して許可するように、ゲートウェイを設定します。

シナリオ C : SSL-VPN-> LAN接続の設定

ユーザが SonicWALL SSL-VPN 4000を通してローカル リソースにアクセスできるようにするには、 SSL-VPN から LAN への外部接続を許可するようにゲートウェイ機器を設定する必要があります。

44

Page 46: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオ C : SonicOS Standard における公開サーバ アクセスの設定

1. 左側のナビゲーション バーで、 ウィザードを選択します。 2. ネットワーク アクセス ルール ウィザード オプションを選択し、 次へボタンを選択します。 3. 公開サーバ ルールを選択します。 4. "WANから SSL-VPN" など、 接続を説明するコメントを入力します。

5. 次へボタンを選択してウィザードを進めます。 6. サービス ドロップダウン リストから HTTPS を選択します。 7. サーバ IP アドレスフィールドに、 192.168.168.200 (または SSL-VPN 装置の X0 インターフェースに設定したアドレス) を入力します。

8. 送信先インターフェース ドロップダウン リストで、 LANまたは DMZを選択します。 送信先インターフェースは、 使用する配備設定によって異なります。

9. 次へボタンを選択します。 10. 適用ボタンを選択して変更を保存します。

ヒント  SSL-VPN ユーザの HTTP から HTTPS への自動リダイレクトをサポートする必要が

ある場合は、 公開サーバ ルール ウィザードを HTTP サービス用に再度実行する必要があります。

ステップ に進む7

SonicWALL SSL-VPN 4000 導入ガイド 45

Page 47: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

シナリオ C : SonicOS Enhanced における公開サーバ アクセスの設定

1. 左側のナビゲーション バーで、 ウィザードを選択します。 2. 公開サーバ ウィザード オプションを選択し、 次へボタンを選択します。 3. サーバ タイプ ドロップダウン メニューからウェブ サーバを選択します。 4. HTTP と HTTPSの両方のチェック ボックスを選択します。

5. 次へボタンを選択してウィザードを進めます。 6. サーバ名フィールドに SSL-VPN を入力します。 7. サーバ プライベート IP アドレスフィールドに、 192.168.168.200 (または SSL-VPN 装置の X0 インターフェースに設定したアドレス) を入力します。

8. "WANから SSL-VPN" など、 接続を説明するコメントを入力します。

9. 次へボタンを選択してウィザードを進めます。 10. サーバ パブリック IP アドレス フィールドに正しい IP アドレスが表示されていることを確認します (通常は、 既定の設定のまま使用できます)。

11. 次へボタンを選択します。 12. 適用ボタンを選択します。

ステップ に進む7

46

Page 48: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SSL-VPN接続をテストする

ここまでで、 SonicWALL UTM装置と SonicWALL SSL-VPN 4000の安全な SSL-VPNリモート アクセスの設定が完了しました。 このセクションでは、 WAN上のリモート クライアントを使用して SSL-VPN 接続を検証する手順を示します。

インターネットからのユーザ接続の検証

1. 社内ネットワークの外部にあるWAN接続からウェブ ブラウザを起動し、 以下の項目を入力します。 〈https:// ゲートウェイ装置のWAN IP アドレス〉

補足 リモート ユーザにとっては、 IP アドレスより FQDN (完全修飾ドメイン名) を使用する方

が、 SSL-VPN 装置にアクセスしやすいでしょう。 例えば、 〈http://www.sonicwall.com〉 をブラウズする方が 〈http://64.41.140.167〉 をブラウズするより簡単です。 したがって、SSL-VPN 装置への FQDN アクセスを可能にする DNS レコードをまだ作成していない場合は、これを作成することをお勧めします。 独自の公開DNS サーバを管理していない場合は、 インターネット サービス プロバイダに問い合わせてください。

ISP で静的 IP アドレスではなく動的 IP アドレスを提供している設定の場合、 50 ページ 「動的DNS の設定」 でリモート ユーザ用に DDNS をセットアップする方法を参照してください。

2. 画面の指示に従って、 このマニュアルの 9 ページ 「ローカル ユーザの追加」 で作成したユーザ名とパスワードを入力します。

3. ドロップダウン メニューから LocalDomain を選択し、 ログインボタンを選択します。

4. ウェブ ブラウザに SonicWALL 仮想オフィス画面が表示されます。 5. NetExtender ボタンを選択し、 クライアント インストールを行います。 完了する

と、 以下のメッセージが表示されます。

6. 社内 LAN のホストに Ping して SSL-VPN リモート接続を検証します。

7

SonicWALL SSL-VPN 4000 導入ガイド 47

Page 49: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

おめでとうございます!これで SonicWALL SSL-VPN 4000 のセットアップが完了しました。

SonicWALL SSL-VPN 4000 を登録する

登録する前に

SonicWALL SSL-VPN 4000 を登録する際、 DNS と時間が正しく設定されていることを確認します。 時間の設定は、 システム > 時間ページで行います。 DNS の設定は、 ネットワーク > DNS ページで行います。

SonicWALL SSL-VPN 4000 を登録するには、 mySonicWALL アカウントが必要です。 新しい mySonicWALL アカウントは、 SonicWALL 管理インターフェースから直接作成できます。

補足 mySonicWALL 登録情報は、 売却したり、 他の会社と共有したりされません。

mySonicWALL での登録

1. SonicWALL SSL-VPN 4000管理インターフェースにログインしていない場合は、 ユーザ名 admin と、セットアップ ウィザードで設定した管理者パスワードを使用してログインします。

2. 管理インターフェースにシステム > 状況ページが表示されない場合は、 左側にあるナビゲーション メニューでシステムを選択し、 次に状況を選択します。

3. ライセンスと登録のボックスからシリアル番号と認証コードを記録しておきます。4. ライセンスと登録のボックスから、 SonicWALL のウェブサイトへ移動します。 (または、 ブラウザで、 http://www.mysonicwall.com にアクセスします。) mySonicWALL.com ログインページが表示されます。

5. mySonicWALL.com アカウントへのユーザ名とパスワードを入力します。

8

48

Page 50: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

6. 左のナビゲーション バーから 私の製品を選択して、 そのページへ移動します。

7. シリアル番号と認証コードをそれぞれ適切なフィールドへ入力します。 8. 愛称フィールドに SonicWALL SSL-VPN の愛称を入力します。9. 登録 ボタンを選択します。10. mySonicWALL.com のサーバが新しい登録を終了すると、 SonicWALL SSL-VPN 4000 の登録が終了しました。 というページが表示されます。

継続を選択します。

おめでとうございます!

これで、 SonicWALL SSL-VPN 4000 は動作するようになりました。

SonicWALL SSL-VPN 4000 導入ガイド 49

Page 51: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

動的DNSの設定

動的 DNS を使用し始めるためには、 最初に、 以下の 4つの無料サービス プロバイダのどれかにアカウントを設定する必要があります。

• DynDNS.org• changeip.com• No-IP.com• yi.org

同時に複数のプロバイダを利用することも可能です。 通常の登録手続きでは、 プロバイダから確認の電子メールを受け取り、 そのメールに埋め込まれている固有の URL へのアクセスを実行して最終確認を行います。

選択したプロバイダのページにログインした後、 管理用のリンク (一般に、 " 追加 " や " 管理") を選択し、 ホスト エントリを作成します。 この作業は、 SonicOS 上で動的 DNS クライアントを使用する前に行う必要があります。

ネットワーク > 動的 DNS ページに、 DDNS サービスを使用するように SonicWALL UTM装置を設定するための項目があります。

SonicWALL UTM装置で動的 DNS を設定するには、 以下の手順を実行します。

1. ネットワーク > 動的 DNS ページで、 追加 ボタンを選択します。 動的DNSプロファイルの追加 ウィンドウが表示されます。

2. この動的DNS プロファイルを有効にするチェック ボックスにチェック マークが付いている場合は、 このプロファイルは管理上有効になり、 SonicWALL UTM装置によって、 詳細設定タブのオンライン設定セクションで定義されているアクションが実行されます。

50

Page 52: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

3. オンライン設定を使用するチェック ボックスにチェック マークが付いている場合は、 このプロファイルの管理はオンラインになります。

4. プロファイル名フィールドに、 DDNS エントリに割り当てる名前を入力します。 これには、 動的DNS設定テーブルでエントリを識別するのに使用する任意の名前を指定できます。

5. プロバイダ ドロップダウン リストから、 プロバイダを選択します。 この例では、 DynDNS.orgを使用します。 DynDNS.org では、 サービスを選択する必要があります。 . この例では、DynDNS.org で動的サービス レコードを作成したものと想定します。

6. ユーザ名フィールドとパスワード フィールドに、 DynDNS.org でのユーザ名とパスワードを入力します。

7. DynDNS.org に登録したホスト名の完全修飾ドメイン名 (FQDN) を入力します。 設定したものと同じホスト名とドメインを指定してください。

8. 任意で、 ワイルドカードを有効にするを選択したり、 メール エクスチェンジャー フィールドに MX エントリを設定することもできます。

9. 詳細設定タブを選択します。 通常は、 このページの既定の設定をそのまま使用できます。 .10. オンライン設定セクションでは、 動的 DNS プロバイダにどのアドレスを登録するかを指定します。 以下のオプションがあります。

サーバに IP アドレスを検出させる - 接続の送信元アドレスに基づいて、 動的 DNS プロバイダが IP アドレスを判別します。 この設定は最も一般的です。

自動的に IP アドレスを主格WAN IP アドレスに設定する - この設定では、SonicWALL 機器によってWAN IP アドレスが登録 IP アドレスとして主張され、 これによって動的 DNS サーバによる自動検出はオーバーライドされます。 自動検出が適切に動作しない場合に役に立つ設定です。

IP アドレスを手動で指定する - 手動で IP アドレスを指定および主張するように登録できます。

11. オフライン設定セクションでは、 SonicWALL で動的 DNS エントリがローカルにオフラインになっている (無効になっている) 場合に、 動的 DNS サービス プロバイダにどの IP アドレスを登録するかを指定します。 以下のオプションがあります。

何も行わない - 既定の設定です。 前に登録したアドレスが、 動的 DNS プロバイダでの現在のアドレスになります。

プロバイダ サイトで前に設定したオフライン IP アドレスを使用する - プロバイダでオフライン設定の手動設定をサポートしている場合は、 このオプションを選択して、 このプロファイルの管理がオフラインのときにこれらの設定を使用できます。

12. OKボタンを選択します。

SonicWALL SSL-VPN 4000 導入ガイド 51

Page 53: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

静的 IP アドレスの設定

SonicWALL 装置 DHCP サーバを有効にしていない場合は、 各コンピュータで、 LAN またはWANの IP アドレス範囲の静的 IP アドレスを設定する必要があります。 SonicWALL SSL-VPN 4000 を再起動した後、 以下の手順を実行して、 以下のいずれかのマイクロソフト ウィンドウズ オペレーティング システムを実行している、 LAN またはWAN上のネットワーク クライアントを設定します。

ウィンドウズXP

1. ローカル エリア接続のプロパティ ウィンドウを開きます。 2. インターネット プロトコル (TCP/ IP) をダブルクリックして、 インターネット プロトコル (TCP/ IP) プロパティ ウィンドウを開きます。

3. IP アドレスを指定するを選択し、 IP アドレス フィールドに、 LAN IP 範囲内の IP アドレスを入力します。 例えば、 192.168.200.20 を入力します。

4. サブネット マスク フィールドに適切なサブネット マスク (例、 255.255.255.0) を入力します。

5. デフォルト ゲートウェイ フィールドに、 SonicWALL SSL-VPN 4000の X0 IP アドレスを入力します。 例えば、 192.168.200.1 を入力します。

6. 優先DNSサーバ フィールドに、 DNS IP アドレスを入力します。 複数のアドレスがある場合は、 代替DNSサーバ フィールドに 2番目のアドレスを入力します。

7. OK を選択してインターネット プロトコル (TCP / IP) プロパティ ウィンドウを閉じます。 8. ローカル エリア接続のプロパティ ウィンドウの OK を選択して、 設定を有効にします。

ウィンドウズ 2000

1. ウィンドウズのスタート メニューから、 設定を選択します。 2. ネットワークとダイヤルアップ接続を開きます。 3. プロパティを選択します。 4. インターネット プロトコル (TCP/ IP) を強調表示し、 プロパティを選択します。 5. IP アドレスを指定するを選択します。 6. IP アドレス フィールドに、 LAN IP 範囲内の IP アドレスを入力します。 7. サブネット マスク フィールドに適切なサブネット マスク (例、 255.255.255.0) を入力します。

8. デフォルト ゲートウェイ フィールドに、 SonicWALL SSL-VPN 4000の X0 IP アドレスを入力します。

9. ISP からの DNS サーバ IP アドレスがある場合は、 優先DNSサーバ フィールドに入力します。

10. OK を選択して設定を有効にします。

52

Page 54: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

ウィンドウズ NT

1. スタート メニューから設定を強調表示し、 次にコントロール パネルを選択します。 2. ネットワークを開きます。 3. TCP/ IP プロパティ ウィンドウで TCP/ IP をダブルクリックします。 4. IP アドレスを指定するを選択します。 5. IP アドレス フィールドに、 LAN IP 範囲内の IP アドレスを入力します。 6. サブネット マスク フィールドに適切なサブネット マスク (例、 255.255.255.0) を入力します。

7. デフォルト ゲートウェイ フィールドに、 SonicWALL SSL-VPN 4000 の X0 IP アドレスを入力します。

8. ウィンドウの先頭にある DNS を選択します。 9. 優先DNSサーバ フィールドに、 DNS IP アドレスを入力します。 複数のアドレスがある場合は、 代替DNSサーバ フィールドに 2番目のアドレスを入力します。

10. OK を選択し、 もう一度 OK を選択します。 11. 変更を反映するためにコンピュータを再起動します。

SonicWALL SSL-VPN 4000 導入ガイド 53

Page 55: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

設置ガイドライン

SonicWALL SSL-VPN 4000 は、 標準の 19 インチのラック マウント キャビネットに取り付けるようにデザインされています。 適切に設置するには、 以下の条件を満たす必要があります。

• ラック製造業者により推奨されるマウント用ハードウェアを使用し、 ラックが利用に適していることを確認します。 SonicWALL SSL-VPN 4000機器には、 ほとんどのコンピュータ機器用ラックに適合したラック マウント キットが付属しています。

• 安全に取り付けるために、 ラック設計に適合した 4本のマウント用ネジを使用し、 手動で締める必要があります。 19 インチ ラック マウント キャビネットのマウント バーにあるマウント用の穴が 4 つ使える場所から、 マウントする場所を選択します。

• 直射日光が当たらなく、 発熱する器具から離れた場所にマウントします。 推奨される最高周囲温度は、 40°C (104°F) です。

• ケーブルは、 電源コード、 蛍光照明設備、 ラジオ、 発信機および広帯域のアンプのようなノイズの原因となるものから遠ざけて配線します。

• 水や過度の湿気が装置に入らないようにします。• 装置の周囲と、 装置側面の通気口の周囲にすき間を作り、 通気を確保します。 最低25.44mm (1 インチ) の間隔を空けることを推奨します。

• 機器の水平でない設置により発生する危険な状態を防ぐために、 SonicWALL 装置をラック内に水平にマウントします。

• 装置から電源回路への接続と、 過電流保護と電源配線上で最小の影響を持つ回路の過負荷の影響を考慮する必要があります。 この課題に取り組む場合、 機器の定格銘板の適切な考察を使用する必要があります。

• ラック マウントした機器のアースを確実に取る必要があります。 電源タップを使用するような分岐した回路への直接の接続以外の電源接続には、 特別の注意を払う必要があります。

9

54

Page 56: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

ネットワーク用語集

ActiveX - Web 上でアプリケーションおよびデータを共有する技術。 例えば、 ActiveX はブラウザで、 ファイルをダウンロードしたり、 アプリケーションを起動しなくてもマイクロソフト ワードやアドビ アクロバットのドキュメントを表示することを可能にしている。 SonicWALL SSL-VPN 4000 はActiveX アプリケーション NetExtender を使用し、 ウィンドウズ ユーザに広範囲のネットワークアクセスを可能にしている。

デフォルト ゲートウェイ - パケットを別のネットワークに転送するための、 インターネットに接続されたネットワーク上の装置。

DHCP - ネットワーク上のコンピュータに、 静的な (固定の) IP アドレスを指定せずに、 自動的にIP アドレスを割り振る。

DMZ - LAN から隔離されたネットワークゾーンで、 インターネットにアクセスできるサーバによく使用される。 インターネットと DMZ間のトラフィックおよび DMZ と LAN間のトラフィックは、 監視および制御が可能。 DMZ は 「Delimited Zone (非武装地帯) 」 の短縮。

DNS - ドメイン名から関連する IP アドレスを解決する階層構造のシステム。 DNS サーバは、 コンピュータの名前を検索して対応する IP アドレスを見つける。 これにより、 ホストにアクセスするために、 IP アドレスではなく、 わかりやすいテキスト ベースの名前を使用できる。 この名前は、 FQDN (Fully Qualified Domain Names = 完全修飾ドメイン名) と呼ばれる。

IP アドレス - インターネットなどの TCP/ IP ネットワーク上でコンピュータやその他の資源を識別するための 32 ビットの数値。 この数値は通常 0から 255 までの 4 つの数値をピリオドで区切って表される (例えば、 172.16.31.254)。

LAN - LAN は、 一般的には、 単一のネットワークを形成するために接続しているコンピュータのグループ。 イーサネットで接続されていることが多い。

NetExtender - ウインドウズ ユーザが SonicWALL SSL-VPN 4000 を経由してネットワークへ接続できるようにする ActiveX ネットワーク クライアント。 NetExtender を使用すると、 ファイルやネットワーク リソースに対し、 そのネットワーク内に物理的接続されているかのようにアクセスができる。

パケット - インターネットなどの TCP/ IP ネットワーク上で送信される情報の単位。 パケットには送信元と送信先、 そしてデータで使用するプロトコルについての情報を含むヘッダと、 送信するデータを含むボディがある。

PPPoE - PPPoE は、 アナログ電話線上でネットワーク パケットの送信をサポートする。

プライベート IP アドレス - 外部に知られていない、 公開されていないネットワーク (例えば、 LANなど) の資源に対する IP アドレス。

パブリック IP アドレス - 外部に公開されているネットワーク上の資源に対する IP アドレス。

ルータ - ネットワーク間で IP パケット内の IP アドレス情報を用いてデータをルートする装置。 ルータは、 パケットをその送信先に到達するまで別のルータに転送する。 インターネットは、 ルートされるネットワークの最大の例である。

SSL-VPN - Secure Socket Layer Virtual Private Networking。 安全性が保護されたプライベート通信ネットワークで、 通常、 公開ネットワークを通して通信を行う 1 つの企業内や複数の企業や組織間で使用します。 SSL 技術は、 ネットワーク スタック全体をトンネルしたり、 ウェブ プロキシを本質とするものを保護する場合に使用します。

SonicWALL SSL-VPN 4000 導入ガイド 55

Page 57: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

サブネット - ネットワークの一部。 ネットワーク内の各サブネットは、 共通のネットワーク アドレスを共有し、 サブネット番号により一意に識別される。

サブネット マスク - IP アドレスのネットワーク部とホスト部を区切るために使われる32ビットの数値。 サブネット マスクは IP ネットワークを小さく分割する。 8 つの IP アドレスしか持たないサブネットに対するサブネット マスクは 255.255.255.248 になる。

TCP/ IP - インターネットの基本通信プロトコル。 パケットによる情報の送信と、 ユニークな IP アドレスによる装置の識別をサポートする。

VPN - インターネット上で仮想的な私設網を使用して、 機密性の高いデータなどを保護するために暗号化して送信する、 “仮想” ネットワーク。

WAN - 地理的に分散した複数のネットワークを接続して、 1 つの大きなネットワーク化したもの。 インターネットは、 世界的規模のWAN である。

56

Page 58: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicWALL SSL-VPN 4000 装置の規格情報と安全性の注意

規制に関する詳細は、 製品に付属の SonicWALL リソース CD または SonicWALL ウェブ サイト 〈http://www.sonicwall.com〉 にある"SonicWALL_SSL-VPN_Regulatory_Statement.pdf" を参照してください。

リチウム電池についての注意

SonicWALL インターネット セキュリティ装置内で使用されているリチウム電池は、 お客様が交換することはできません。 同一、 または製造元により推奨される同等品と交換するために、SonicWALL 装置を SonicWALL 公認のサービス センターに、 返却する必要があります。 もし、 何らかの理由で、 電池または SonicWALL インターネット セキュリティ装置を廃棄する必要がある場合は、 電池製造業者の指示に従ってください。

ケーブル接続

すべてのイーサネットおよび RS232 (コンソール) ケーブルは、 建物内で他の機器に接続するように設計されています。 これらのポートを、 SonicWALL が設置されている建物から出て行く、 通信配線や他の配線に、 直接接続しないでください。

規制モデル/タイプ 製品名

IRK09-032 SonicWALL SSL-VPN 4000

SonicWALL SSL-VPN 4000 導入ガイド 57

Page 59: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

Copyright Notice© 2006 SonicWALL, Inc.All rights reserved.Under the copyright laws, this manual or the software described within, can not be copied, in whole or part, without the written consent of the manufacturer, except in the normal use of the software to make a backup copy. The same proprietary and copyright notices must be affixed to any permitted copies as were affixed to the original. This exception does not allow copies to be made for others, whether or not sold, but all of the material purchased (with all backup copies) can be sold, given, or loaned to another person. Under the law, copying includes translating into another language or format.Specifications and descriptions subject to change without notice.

TrademarksSonicWALL is a registered trademark of SonicWALL, Inc. Microsoft Windows 98, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Internet Explorer, and Active Directory are trademarks or registered trademarks of Microsoft Corporation.Netscape is a registered trademark of Netscape Communications Corporation in the U.S. and other countries. Netscape Navigator and Netscape Communicator are also trademarks of Netscape Communications Corporation and may be registered outside the U.S.Adobe, Acrobat, and Acrobat Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the U.S. and/or other countries.Firefox is a trademark of the Mozilla Foundation.Other product and company names mentioned herein may be trademarks and/or registered trademarks of their respective companies and are the sole property of their respective manufacturers.

58

Page 60: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

メモ

SonicWALL SSL-VPN 4000 導入ガイド 59

Page 61: SonicWALL SSL-VPN 4000 導入ガイドsoftware.sonicwall.com/SSLVPN/documentation/232-000940...SonicOS Standard 3.1 以上: TZ 170 PRO 1260 PRO 2040 PRO 3060 シナリオA:新しいDMZ上の

SonicWALL, Inc.

〒107-0052 東京都港区赤坂 1 丁目 8 番地 6 号 赤坂 HKN ビル 7F

T: 03-5573-4701 F: 03-5573-4708 www.sonicwall.co.jp [email protected] © 2006 SonicWALL, Inc. SonicWALLは、SonicWALL, Inc.の登録商標です。 ここに記載されている他の製品名、企業名は、各企業の商標または登録商標です。 製品の仕様、説明は予告なく変更されることがあります。

P/ N 232-000940-00 Rev A 12/06