SonicWall SSLVPN SMA100シリーズ・SMA200/400/500v SonicWall Japan

製品紹介

SonicWall エキサイティングな新時代へ 25年の豊富な経験。イノベーションの先駆者。信頼されるセキュリティパートナー。 https://www.SonicWall.com/docs/Press_Release_201611_japanese.pdf 2016年11月11日 フランシスコ・パートナーズ(Francisco Partners)とエリオット・マネージメント(Elliott Management)が Dell Software Groupの買収を完了、SonicWallがセキュリティ専門企業として独立 1991 2012 2016 2017 分社(予定) Dell が SonicWall を買収(2012/5月) Dell Software Group を設立(2013/2月) →　現:Quest Software 以降、デル・ブランドの製品としてWWに展開 USで創業

SonicWall All Products 多様なユーザや要望に対応できる幅広いラインアップ 次世代ファイアウォール (NGFW) セキュアモバイルアクセス (SSLVPN) メールセキュリティ ワイヤレスセキュリティ 集中管理・レポーティング VPNクライアント TZ Series NSA Series SM 9000 Series CMS GMS Analyzer SMA 100 Series SMA 1000 Series Sonic Point Series IPSecVPN SSLVPN Email Security Series 802.11ac対応

SonicWall SMAシリーズ 製品ラインアップ 大規模/中規模向け SMA1000シリーズ (最大同時接続:2,000～20,000ユーザ) 小規模向け SMA100シリーズ (最大同時接続:50～250ユーザ)

シンプルなセキュアリモートアクセス環境を提供 L3トンネルをマルチ デバイスで マルチ デバイス 様々な機能を この1台に実装 簡単・シンプルな設定 日本語GUIで設定 使い易さを追求！ 低コストだが、多機能

SMA400 旧モデル「SRA4600」との比較 SMA400はCPU内にAES暗号アクセラレータを搭載 2016/7/1出荷開始 SMA400 SRA4600 CPU 2.40 GHz Intel Atom(TM) C2558 Quad Core Processor 1.66 GHz Intel Atom Dual Core Processor RAM 4GB 2GB 消費電力 31.9 W 50 W 発熱量 109 BTU 171.0 BTU 最大同時接続ユーザ(推奨) 250 (125) 500 (100) CPU x3倍 RAM x2倍 消費電力、発熱量 ▲約40%削減 同時接続ユーザ数の最適化 SMA400はCPU内にAES暗号アクセラレータを搭載 Application Offload や NetExtender/MobileConnect(L3トンネル)のパフォーマンスは、SRA 4600の3倍向上 ※ソフトウェアについては、従来と同等の機能を提供

SMA200 旧モデル「SRA1600」との比較 SMA200はCPU内にAES暗号アクセラレータを搭載 2016/7/1出荷開始 SMA200 SRA1600 CPU 1.74 GHz Intel Atom(TM) C2358 Dual Core Processor 1.66 GHz Intel Atom Processor RAM 2GB 1GB 消費電力 26.9 W 47 W 発熱量 92 BTU 158.0 BTU 最大同時接続ユーザ(推奨) 50 (25) CPU x2倍 RAM x2倍 消費電力、発熱量 ▲約40%削減 SMA200はCPU内にAES暗号アクセラレータを搭載 Application Offload や NetExtender/MobileConnect(L3トンネル)のパフォーマンスは、SRA 1600の1.6倍向上 ※ソフトウェアについては、従来と同等の機能を提供

SMA 500v Virtual Appliance 8.5 SonicWall Secure Mobile Access SMA 500v – Getting Started Guide, Japanese https://documents.software.dell.com/sonicwall-secure-mobile-access/sma-500v/getting-started-guide-japanese/?article=DOC552084

NetExtender , Mobile Connect (*1) OS v8.1 = 50ユーザ , OS v8.5 = 250ユーザ(*2) OS v8.1 = 25ユーザ , OS v8.5 = 125ユーザ (*3) iOS/Android は、EPCでクライアント証明書を設定することはできないが、標準機能で動作検証済み SMA100シリーズの主な機能紹介 SMA 100 Series の機能比較 SMA100シリーズ 発売開始日 2016/07 機能・仕様 SMA 200 SMA 400 SMA 500v 仮想アプライアンス N/A VMWare ESXi 5.1/5.5/6.0 最大同時接続ユーザ数(別途ライセンスで拡張可能) 50 250 250(*1) 推奨同時接続ユーザ数 25 125 125(*2) 購入時に付与されている同時接続ユーザ数 5 きめ細かいアクセスコントロール 簡易ポリシー リバースプロキシ接続 Support L3トンネル接続 NetExtender , Mobile Connect IPv6 HA ワンタイムパスワード認証(要Email) クライアント証明書 Windows , Mac , Linux クライアント証明書(スマートデバイス向け) Windows Phone (iOS,Android *3) End Point Control キャッシュクリーナー Windows Only デバイス管理(端末IDの自動収集と接続管理) Windows, Mac, iOS,Android RDPブックマーク利用時のWake-on-LAN (WoL) アプリケーション オフロード Web Application Firewall (オプション) セキュア仮想アシスト (オプション) セキュア仮想ミーティング (オプション) 地域IPフィルタ と ボットネットフィルタ (オプション)

SMA100シリーズの導入構成例

Case1. 既存ルータのLAN上にSMAを配備 One Arm mode ルータで、 1.SMAに対するInbound-NATとアクセス許可を設定する 2.既存LANに設置するためルータ上でアクセス許可は不要(業務PC上のFWで許可設定が必要) 3.必要に応じて、DDNSなどを利用してインターネットアドレスを外部公開する 192.168.1.0/24 3 プリンター (複合機) 業務PC 業務サーバ リモートPC/スマートデバイス (Internet) ルータ ２ HUB/L2スイッチ 1 X0 既存サブネットにSMAを新規設置 SonicWall SMA

Case2. 既存FWのDMZ上にSMAを配備 One Arm mode 既存ファイアウォールで、 1.SMAに対するInbound-NATとアクセス許可を設定する(WAN > DMZ) 2.SMAからLANに対するアクセス許可を設定する(DMZ > LAN) 3.DNSを利用してインターネットアドレスを外部公開する 192.168.1.0/24 プリンター (複合機) 業務PC 業務サーバ ファイアウォール リモートPC/スマートデバイス (Internet) LAN DMZ ２ L2スイッチ 10.100.0.0/24 L2スイッチ 1 X0 DMZにSMAを新規設置 ３ SonicWall SMA Mailサーバ DNSサーバ

Case3. 次世代FWのDMZ上にSMAを配備 One Arm mode SonicWall 次世代ファイアウォールで、 1.SMAに対するInbound-NATとアクセス許可を設定する(WAN > DMZ) 2.SMAからLANに対するアクセス許可を設定する(DMZ > LAN) 3.DNSを利用してインターネットアドレスを外部公開する 192.168.1.0/24 SonicWall 次世代ファイアウォール プリンター (複合機) 業務PC 業務サーバ リモートPC/スマートデバイス (Internet) セキュリティサービス「ON」 NGFW配下のホストをインターネット上の脅威から保護！ LAN DMZ ２ L2スイッチ 192.168.200.0/24 L2スイッチ X0 1 DMZにSMAを新規設置 ３ SonicWall SMA Mailサーバ DNSサーバ

認証サーバ

SMAでサポートされる認証サーバ # SMAでサポートされる認証サーバ Note 1 ローカル ユーザ データベース 2 (*1 )規定の admin ユーザを含む 2 アクティブ ディレクトリ ADサーバに登録されたユーザを利用して連携することが可能 シングルドメインのみサポート 冗長化をサポート フォレスト内の複数ドメインはサポートしない(SMA1000シリーズでサポート) 3 LADP LDAPサーバに登録されたユーザと連携するが可能 4 RADIUS RADIUSサーバに登録されたユーザと連携することが可能 PAP / CHAP / MSCHAP / MSCHAPv2 をサポート 5 デジタル証明書 CA証明書をインストールして、クライアント証明書だけで認証させることが可能(ID/Passwordの入力不要) 6 NTドメイン SMA v8.5 では、NTドメインをサポートしない (旧バージョンではサポート対象であった為、アップグレード時に注意が必要)

認証サーバの設定フロー ポータル ドメイン ユーザ・グループ 社内リソースへ (Ａ社用) 社内リソースへ (B社用) ドメインユーザが利用する専用トップページを設定する ひとつのポータルを複数のドメインで共有することも可能 ドメインで使用する認証サーバを設定し、利用するポータルを指定 ローカルユーザデータベース・アクティブディレクトリ・LDAP・RADIUS・デジタル証明書を選択 設定したドメインに所属するグループやユーザを設定する ポータル ドメイン ユーザ・グループ Ａ社向け ローカルユーザDB 社内リソースへ (Ａ社用) A社向け専用ログイン画面 内部認証サーバ B社向け RADIUS 社内リソースへ (B社用) B社向け専用ログイン画面 外部認証サーバ

ユーザ登録方法について 内部認証サーバ 外部認証サーバ 現状：csv.などを使用して一括でユーザ登録をする機能はサポートされていない ローカルユーザ データベース アクティブ ディレクトリ LADP RADIUS デジタル証明書 事前にローカルユーザを登録する必要がある (1ユーザ毎) ユーザ認証に成功するとローカルユーザに自動登録される(SMA本体にユーザの事前登録は不要) 現状：csv.などを使用して一括でユーザ登録をする機能はサポートされていない 回避策： 登録ユーザ数が多い場合、外部認証サーバとの連携を検討する

アクセス制御

SMAのポリシー構造 規定では、アクセスポリシーは設定されておらず、ユーザ認証が成功すると社内リソースなどへのアクセスが許可される　→　必要に応じて拒否・許可ポリシーを設定していく(任意設定) ユーザ認証 アクセス制御 社内リソース 規定値 認証に成功 全て許可

SMAのポリシー構造 User-A User-B User-C ポリシーのスコープは3階層の構造になっているため、全ユーザに適用するポリシーやユーザやグループにだけ適用するポリシーを選択して効率よく設定を行う User-A Group:Sales User-B Group:SE User-C Group:SE 優先度：低 グローバル グループ ユーザ ポリシー1 ポリシー2 ポリシー３ 優先度：高 ポリシー 1：グローバル・ポリシーを設定すると、すべてのグループ・ユーザに適用される ポリシー 2：グループ・ポリシーを設定すると、そのグループに所属するすべてのユーザに適用される ポリシー 3：ユーザ・ポリシーを設定すると、そのユーザだけに適用される

ポリシーを設定する プロキシ接続 プロキシ接続 トンネル接続 ＃ スコープ アクセス方法 送信先 サービス user01 user02 1 (LocalDomain) user02 (sma.local) 1 グループ プロキシ接続 192.168.1.100 HTTP 禁止 許可 2 ユーザ RDP 3 グローバル すべて 4 トンネル接続 SMA / ACL WEBサーバ グループ: sma.local プロキシ接続 user02 このグループに所属する全ユーザ 個人・業務PC ユーザ: user01 プロキシ接続 user01 ファイルサーバ すべてのユーザ・グループ トンネル接続 user01 user02

リバースプロキシ接続

SMA100シリーズの機能紹介 リバースプロキシ 標準機能 1.クライアントがWEBブラウザを使用して、一旦、SMAにログインする 2.事前に設定しておいたブックマーク(ネットワークリソース)をクリックする 3.SMAを経由して指定された社内リソースへアクセスする 社内リソース 1 2 指定したプロトコル 3 HTTPS 【ブックマーク/ネットワークリソース】 ターミナル サービス(RDP *1) 仮想ネットワーク コンピューティング(VNC) Citrix ポータル ウェブ(HTTP) セキュア ウェブ(HTTPS) 外部ウェブサイト Mobile Connect ファイル共有(CIFS) ファイル転送プロトコル(FTP) SSHファイル転送プロトコル(SFTP) Telnet SSHv1 SSHv2 Windows Vista Windows 7 Windows 8.1 Windows 10 Mac OS X Linux (*1) Wake on LAN 機能をSMA単体で利用可(標準機能) 3rd Party製品を必要としない

SMA100シリーズの機能紹介 リバースプロキシ 標準機能 リバースプロキシ(WEB) URLを書き直し WEB-Srv 1 HTTPS 2 HTTPS HTTP 3 HTTP/HTTPSブックマークではURLを書き直しをするため、WEBアプリケーションによって動作 しないことが多い(Ajax , Java script, Flash などを使用するWEBサーバ) この場合の回避策は2つ考えられる 一つ目は、L3トンネル接続(専用ソフトウェアをクライアントにインストールすることが必要) 二つ目は、ブラウザのみでアクセスをさせたいユーザ向けに(専用ソフトウェアを利用したくないユーザ向け)アプリケーション オフロードという機能をSMA100シリーズでサポートする

SMA100シリーズの機能紹介 WEBアプリケーションオフロード 標準機能 「2」→「3」 SRAからWEBサーバへ転送する際にURLを書き換えしないため、通信速度が向上する また、WEBサーバへHTTPで転送するとWEBサーバは複号化する必要がないため負荷を軽減できる WEB-Srv クライアントは仮想ホストへ アクセス(HTTPS) SMAは、WEB Server へURLを書き換えずに転送する (HTTPS or HTTP) 1 2 3 www.sma.local www.sma.local

リバースプロキシ接続のサポートOS/WEBブラウザ (*1) Windows Vista Service Pack 2 = EOS:2017/04/11 (*2) Windows 8 = EOS:2016/01/12 → サポートを延長するには 8.1 へアップグレードが必要(EOS:2023/01/10) SMA v8.5　リバースプロキシ接続 Win10 Win8.1 (*2) Win7 Vista (*1) Mac OS Linux 起動方法 Last Update: 2017/2 # ブックマーク IE11 Chrome(最新) Firefox(最新) Safari(最新) HTML5 Native Java ActiveX Note 1 ターミナル サービス(RDP) Support ● RDP over HTML5 は、iOSまたは Android で既定および標準のブラウザでサポートされる SonicWALL Secure Mobile Access 8.5 管理者ガイド(P375) 2 仮想ネットワーク コンピューティング(VNC) 3 Citrix ポータル 4 ウェブ(HTTP) 5 セキュア ウェブ(HTTPS) 6 外部ウェブサイト 7 Mobile Connect N/A スマートデバイス用 Mobile Connect 接続時にブックマークを表示する(対象アプリのスキームURI設定が必要) 8 ファイル共有(CIFS) Windowsのみサポート 現時点で、SMBv2,SMBv3は非サポート 9 ファイル転送プロトコル(FTP) 10 SSHファイル転送プロトコル(SFTP) 11 Telnet 12 セキュア シェル バージョン1(SSHv1) 13 セキュア シェル バージョン2(SSHv2)

SMA Connect Agent について デバイス管理など OSv8.5 を利用する上で必須アプリケーション 旧来の運用：ブラウザからアプリケーションを直接起動して社内リソースへアクセス (起動時にブラウザのプラグイン ActiveX / NPAPI を使用) Windows / Mac ユーザ WEBブラウザ アプリケーション 社内リソース ActiveX/NPAPI セキュリティ上の問題から、ブラウザ側でプラグインのサポートを終了 ActiveX = Unsupported 新しい仕組みが必要 NPAPI = Unsupported

SMA Connect Agent について デバイス管理など OSv8.5 を利用する上で必須アプリケーション ブラウザからアプリケーションの起動する新しい方法(スキームURLの利用) Windows / Mac ユーザ WEBブラウザ アプリケーション 社内リソース １ ３ SMA Connect Agent ２ 1.ユーザがWEBブラウザを利用しSMAにログインして、ブックマークからアプリケーションを起動する 2.ブラウザからの命令をSMA Connect Agent が中継してアプリケーションを起動する 3.SMAに定義されたポリシーと照合して、アクセスを制御する Windows 10/8.1/7 をサポート Mac OS X をサポート

L3トンネル接続

SMA100シリーズの機能紹介 L3トンネル接続 標準機能 2.クライアント上のアプリケーションを使用して、社内リソースへアクセス 3.L3トンネル接続のため、直接社内リソースにアクセスできる(例、サーバ上のファイルを直接編集する) 社内リソース HTTPS 1 L3トンネル経由：　アプリケーションが利用するプロトコル 2 3 ※Windows のみ、 NetExtender CLI Client を利用可 NetExtender Mobile Connect

EPC(エンドポイントコントロール)

SMA100シリーズの機能紹介 EPC(エンド ポイント コントロール) 標準機能 1.クライアントにインストールした専用アプリケーションを使用して、SMAにログインする 2.クライアントの状態をチェックして、SMAに定義されたデバイスプロファイルに合致しているかを確認する 3.クライアント上のアプリケーションを使用して、社内リソースへアクセス 4.L3トンネル接続のため、直接社内リソースにアクセスできる(例、サーバ上のファイルを直接編集する) 社内リソース HTTPS 1 2 L3トンネル経由：　アプリケーションが利用するプロトコル 3 4 OS v8.5.0.4-18sv.jpn.02 EPC v16.02.29.11 NetExtender Mobile Connect # End Point Control Windows Linux Mac OSX iOS Android Windows Phone 1 アンチマルウェア / アンチウィルス Support N/A 2 アンチスパイウェア 3 パーソナルファイアウォール 4 アプリケーション 5 クライアント証明書 6 ディレクトリ名 7 ファイル名 8 Windows　レジストリ　エントリ 9 Windows　ドメイン 10 Windows　バージョン 11 周辺機器 ID 12 Mac OS X バージョン 13 Linux カーネル バージョン 14 iOS バージョン 15 Android バージョン

デバイス管理

SMA100シリーズの機能紹介 デバイス管理 (EPCとは、独立して動作させることが可能) 標準機能 1.ユーザがSMAにログインする(WEBブラウザ/NetExtender/Mobile Connect) 2.SMAはクライアントのデバイス情報(OS/デバイスID)を自動的に記録して、接続を保留する(管理者へ通知) 3.管理者は記録されたデバイス情報を確認して、企業/組織のポリシーを満たす機器を承認する 4.ユーザは再度SMAにログインする(デバイスが承認されている場合、接続が許可される) 5.L3トンネルやリバースプロキシを使用して社内リソースへアクセスする Mail-Srv 管理者 個人所有機器 3 HTTPS 1 2 保留 拒否 社内リソース HTTPS 1 2 保留 承認 HTTPS リバースプロキシ経由： 指定したプロトコル 企業/組織が 支給した機器 ４ ５ L3トンネル経由： アプリケーションが利用するプロトコル この機能の利用には、専用アプリケーションのインストールが必要 Windows / Mac : SMA Connect Agent iOS / Android : SonicWall Mobile Connect

自動登録か？手動登録か？ 企業・組織のポリシーに合わせて、管理者が運用方法を選択可能 企業/組織が支給した機器 個人所有機器 管理者 初回ログイン時、ユーザ/デバイス情報が自動的に記録＋「許可」される 管理者はデバイス情報を確認し、支給デバイスであることを確認　し、「許可」のまま運用 初回ログイン時、ユーザ/デバイス情報が自動的に記録＋「許可」される 管理者はデバイス情報を確認し、不明デバイスであることを確認　し「許可」→「拒否」に設定 次回以降の接続を禁止 自動登録 利便性を優先 初回ログイン時、ユーザ/デバイス情報が自動的に記録＋「保留」される 管理者はデバイス情報を確認し、支給デバイスであることを確認し「保留」→「許可」 次回以降、接続が許可される 初回ログイン時、ユーザ/デバイス情報が自動的に記録＋「保留」される 管理者はデバイス情報を確認し、不明デバイスであることを確認し「保留」→「拒否」 次回以降も、接続を禁止 手動登録 セキュリティを優先

エンドポイントコントロール(EPC)との違い ＃ 作業内容 デバイス管理 EPC 1 PC/ スマートデバイス デバイス情報の調査 不要 (ログイン時に自動取得) 各デバイスから収集が必要 2 リモートアクセス用アプリ NetExtender / Mobile Connectをインストール 3 専用アプリのインストール SMA Connect Agent をインストール(Windows/Mac) EPC Agent (Windows) 接続時自動インストール 4 認証サーバ/SMA ユーザの登録 必須 (AD連携時、ログイン時に自動登録される) 5 SMA 設定の有効化 デバイス管理を有効化 EPCを有効化 6 デバイス情報の登録 収集した情報をデバイス プロファイルに登録 7 ユーザとデバイス情報の紐付け ユーザにデバイスプロファイルを紐付け 8 接続ポリシー(許可/拒否) 管理者が設定 9 SMAで検査できるデバイス情報 デバイスID/OS(ユーザ毎の最大デバイス登録数:5) デバイスID/OS/アンチウィルスなど全15種類 10 サポートデバイス Windows / Mac → SMA Connect Agent が必要 iOS / Android / Windows Phone　→　Mobile Connect が必要

デバイス管理のサポート・マトリクス # OS SMA Connect Agent WEBブラウザ NetExtender Mobile Connect 1 Windows 7 要インストール Internet Explorer 11 Chrome(最新) Firefox (最新) Support N/A 2 Windows 8.1 3 Windows 10 Microsoft Edge (*1) 4 Mac OS Safari(最新) Firefox(最新) 5 iOS 6 Android *1 Microsoft Edge でも動作することを確認しているが、公式にはサポートされていない 現在、Microsoft Edge は、リバースプロキシ接続のサポート対象ではないため

Thank You. 本製品に関するお問合せは、以下のEメールアドレスへ SonicWall 営業担当 Japan_SNWL@sonicwall.com