Aventail SSL VPN - SonicWallsoftware.sonicwall.com/Aventail/Documentation/860/ST_v8...Aventail SSL VPN 入門ガイド | 1第 1 章はじめにこの章では、Aventail SSL VPN

Aventail® SSL VPN入門ガイド

バージョン 8.6

© 1996-2005 Aventail、 Aventail Cache Control、 Aventail Connect、Aventail Connect Tunnel、 Aventail End Point Control、Aventail Management Console、 Aventail Connect Mobile、 Aventail OnDemand、 Aventail OnDemand Tunnel、 Aventail Secure Desktop、Aventail Smart Access、 Aventail Smart Policy、 Aventail Smart SSL VPN、 Aventail Smart Tunneling、 Aventail ST、 Aventail Unified Policy、 Aventail WorkPlace、 Aventail WorkPlace Mobile、 Aventail EX-750、 Aventail EX-1500、 Aventail EX-2500、およびそれに対応

するロゴは、 Aventail Corporation の商標、登録商標、またはサービスマークです。また、このマニュアルに記載されているその他の製品名お

よび会社名は、各社の商標です。

Last modified 1/10/06 16:37

Part number 0850-000015-01

Aventail SSL VPN 入門ガイド | i

目次

目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i

第 1 章はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Aventail VPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

VPN の基本的なコンセプト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Smart Tunneling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2認証. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2アクセスポリシー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3ユーザー、グループ、コミュニティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4SSL および暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5クラスタリングと高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5役割ベースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6シングルサインオン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6システムモニタリングおよびロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Aventail VPN コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7クライアントコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Network Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Connect トンネルクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8OnDemand トンネルエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Connect Mobile クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Connect プロキシクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9OnDemand プロキシエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Web プロキシアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9トランスレーテッド Web アクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9管理者コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

第 2 章VPN の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

誰が VPN にアクセスするか ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

どのようなタイプのリソースを提供するか ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

ユーザーがどのような方法でリソースにアクセスするか ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14トンネル、プロキシ、 Web : どのアクセス方式が適か ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16クライアントアクセスエージェントのシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

セキュリティ管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18リソースの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18アクセスポリシーによるアクセス制御の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22End Point Control のシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

まとめ : レルムとコミュニティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

ii | 目次

第 3 章インストールおよび設定の準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

インストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27インストールチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27ファイアウォールポリシーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28インストールと構成の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30ASAP WorkPlace の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Aventail アクセス方式の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30End Point Control エージェントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

第 4 章一般的な VPN 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

リモートアクセス VPN のシナリオ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33特定の Web リソースに対するアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33ネットワーク上のすべての Web リソースに対するアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33ネットワークの特定部分上にあるすべての Web リソースに対するアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . 33Windows ユーザーに対する、ネットワークリソースへの広範囲のアクセスの提供 . . . . . . . . . . . . . . . . . . . . . 33ネットワーク全体に対する Web ベースのファイルアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

パートナー VPN のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34特定の Web リソースに対するアクセスの提供と内部ホスト名の隠匿 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34クライアント / サーバーアプリケーションに対する Web ベースのアクセスの提供 . . . . . . . . . . . . . . . . . . . . . 34

End Point Control のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35信頼されていないシステムの従業員を対象とした、 Aventail Cache Control の設定 . . . . . . . . . . . . . . . . . . . . 35自身のドメインから接続するパートナーに対する Aventail Secure Desktop の設定 . . . . . . . . . . . . . . . . . . . . 35選択した従業員について Aventail Cache Control をバイパスするよう設定. . . . . . . . . . . . . . . . . . . . . . . . . . 35

アクセスポリシーのシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36順方向接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36逆方向接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

アプリケーション別のシナリオ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Outlook Web Access (OWA) に対するアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Voice Over IP (VoIP) に対するアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Windows Terminal Services または Citrix に対するアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

認証のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38複数のレルムと単一のレルムの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38単一のコミュニティの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38複数のコミュニティの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

アクセスコンポーネントプロビジョニングのシナリオ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

WorkPlace のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40カスタム WorkPlace サイトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40WorkPlace へのショートカットの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Aventail SSL VPN 入門ガイド | 1

第 1 章はじめに

この章では、 Aventail SSL VPN およびその主要なコンポーネントについて簡単に紹介し、重要な仮想プライ

ベートネットワーキングコンポーネントについて解説します。このアプライアンスの詳細、およびインス

トールと構成の具体的な手順については、別冊の『インストールおよび管理ガイド』を参照してください。

Aventail VPN の概要

Aventail SSL VPN アプライアンスは、従業員、ビジネスパートナー、顧客に対して、セキュアなアクセス (Web アプリケーションへのクライアントレスアクセス、クライアント / サーバーアプリケーションへのアク

セス、ファイル共有などを含む ) を提供するための機器です。すべてのトラフィックは、 Secure Sockets Layer (SSL) によって暗号化されており、これによって、許可を受けていないユーザーのアクセスを防止しま

す。

Aventail SSL VPN アプライアンスを使用すると、 Windows、 Macintosh、 Linux、ハンドヘルドデバイスな

どの広範なプラットフォームやデバイスから、広範なアクセス方式 ( 標準 Web ブラウザ、 Web ベースの ActiveX、 Java ベースのエージェント、 Windows クライアントなど ) でアプリケーションを利用することが

できます。このアプライアンスを使用すると、次のことができるようになります。

• リモートアクセス VPN の作成。これにより、リモートの従業員が、電子メールなどのプライベートな企

業アプリケーションに、インターネット経由で安全にアクセスできるようになります。

• ビジネスパートナー VPN の作成。これにより、指定されたサプライヤーが、内部のサプライチェーンアプリケーションに、インターネット経由でアクセスできるようになります。

Aventail VPN では、広範囲のリソースに対する適切なアクセス方法が透過的かつ動的に提供されるため、従

業員の生産性が向上し、総所有コストも減少します。

このアプライアンスでは、細かいアクセス制御が可能で、この機能を利用することにより、ユーザーレベルや

リソースレベルでポリシーを定義しアクセスを制御することができます。また、効率を向上させるために、こ

のアプライアンスは Web ベースの管理コンソールから管理するようになっています。 Aventail® ASAP Management Console (AMC) により、標準 Web ブラウザを使用して、ポリシーを素早く簡単に管理できる

他、アプライアンスの構成も行うことができます。

2 | 第 1 章 - はじめに

VPN の基本的なコンセプト

この節では、 VPN のインストール、構成、管理を行う前に知っておかなければならない基本的なコンセプトに

ついて説明します。

リソース

Aventail アプライアンスでは、主に次の 3 種類の広範囲の企業リソースを管理します。それらは、 Web リソース、クライアント / サーバー、 Windows ファイル共有です。 Web リソースとは、 Microsoft Outlook Web Access など、 HTTP または HTTPS プロトコルを介してアクセスされるアプリケーションまたはサービ

スです。一方クライアント / サーバーリソースとは、Citrix、Voice over Internet Protocol (VoIP) テレフォ

ニーアプリケーションなど、 TCP/IP 経由で動作する企業アプリケーションです。 Windows ファイル共有に

は、共有フォルダや共有ファイルがある Windows ネットワークサーバーまたはコンピュータが含まれます。

リソースを管理するとき、ネットワーク上の特定のオブジェクトに対してどのようなリソースタイプを使用す

るか決定する際、ある程度の柔軟性が必要になります。このとき選択するタイプは、 VPN の設計によって変動

します。たとえば、ビジネスパートナーが使用できるよう、 Web アプリケーションを URL リソースとして定

義したり、セキュリティを向上させるためにホスト名を「エイリアス化」したりすることができます。また、

Web アプリケーションがネットワークリソースとして存在するドメインを定義することで、リモートの従業

員が、 1 つのドメイン内で複数の Web リソースにアクセスできるよう便宜を図ることもできます。

Smart Tunneling

Aventail Smart Tunneling™ は、 TCP および UDP トラフィック、リモートヘルプデスクアプリケーショ

ンなどの双方向トラフィック、 VoIP アプリケーションなどの相互接続、 SMS などの逆方向接続についてセ

キュアなアクセスを提供します。 Smart Tunneling では、 Aventail® OnDemand™ トンネルエージェント (Web 起動されたブラウザベースのエージェント ) と Aventail Connect トンネルクライアント (Web インス

トールされた Windows クライアント ) の 2 つのアクセスエージェントを使用してアクセスを提供します。そ

れぞれのクライアントは、すべてのリソースに対してネットワークレベルのアクセスを提供することで、ユー

ザーのコンピュータを効率的にネットワーク上のノードにします。

トンネルクライアントは、 AMC から Aventail ネットワークトンネルサービスを使用して管理します。ネッ

トワークトンネルクライアントから TCP/IP 接続を管理するよう、このサービスを構成する場合、クライアン

トに IP アドレスを割り当てるための IP アドレスプールを設定しなければなりません。

認証

認証は、当人であることを識別するため、ユーザーの身元を確認するプロセスです。認証は許可とは異なりま

す。認証は身元を確認しますが、許可はアクセス権を指定するだけです。

このアプライアンスでユーザー認証を管理する場合、 AMC を使用して、ユーザー全体に対する ID やクレデン

シャルを含む外部認証サーバー ( ディレクトリサーバーまたはユーザーストアとも呼ばれる ) を 1 つまたは

複数定義します。このアプライアンスは、いくつかの一般的な認証サーバーと統合されています。ユーザー情

報の実際の管理はそれぞれの認証サーバーで行われ、アプライアンスでは、その情報を使用することでユー

ザーの ID の評価のみを行います。

組織のサイズや複雑性により、すべてのユーザーに対して単一の認証サーバーを設定できる他、ユーザー全体

を各部分に分け、それぞれに対して異なる複数の認証サーバーを設定することもできます。使用する認証サー

バーの数やタイプに関係なく、アプライアンスでは、単純な方法で認証サーバーにリンクします。それぞれの

認証サーバーは、設定している認証レルムに対応しています。ユーザーはアプライアンス上でこのようなレル

ムにログインすることで、リソースへのアクセスを獲得することができます。そのため、組織で単一の認証

サーバーを使用する場合は、アプライアンスで 1 つの認証レルムを作成し、複数の認証サーバーを使用する場

合は、それぞれのサーバーごとにレルムを作成します。設定およびセキュリティについてさらに詳細なアプ

ローチが必要な場合、レルムのサブセット ( コミュニティと呼ばれる ) を使用してユーザー全体をさらに細分

化することができます。

AMC を使用して認証をセットアップするとき、認証サーバーと認証方式 ( ユーザー名 / パスワード、トークン

またはスマートカード、デジタル証明書など ) を構成します。またその他にも、認証プロセスごとに固有の構

成 ( たとえば LDAP 検索ベースまたは固有のディレクトリサーバー ) を行います。

Aventail アプライアンスでは、次のディレクトリと認証方式がサポートされています。

• LDAP でユーザー名 / パスワードまたはデジタル証明書を使用

• Microsoft Active Directory でユーザー名 / パスワードを使用

• RADIUS でユーザー名 / パスワードを使用、またはトークンベースの認証 (SecurID や SoftID など )

• Netegrity SiteMinder でクレデンシャルを使用、または RSA ClearTrust でクレデンシャルを使用

• ユーザー名とパスワードを使用するローカルユーザー ( 主にテストのために使用するもので、実稼働環境

には推奨されない )


アクセスポリシー

アクセスポリシーは、アプライアンスを介してリソースに接続するユーザーについて、その権限を定義するア

クセス制御ルールのセットです。このようなルールでは、ユーザーまたはユーザーグループがアクセスを許可

されているアプリケーションやネットワークリソースを定義します。

アクセス制御ルールは、 AMC にリストとして保管され、それぞれのルールには、リスト内における個別の順序

が割り当てられています。アプライアンスが接続要求を評価するとき、リストの上から下へ一致するものがな

いか順に検索します。一致するものが見つかれば、「許可」か「拒否」のいずれかのルールで求められているア

クションが適用され、それ以降ルールの評価が行われなくなります。一致するものが見つからずにリストの

後まで到達したら、暗黙的に「拒否」のルールが適用され、そのユーザーにアクセスが許可されなくなります。

リソースへのアクセスは、複数の基準に基づいて決定することができます。ほとんどのアクセスルールでは、

ユーザーが誰であるか ( つまりユーザーの名前や所属するグループ ) および接続先のリソースに基づいてアク

セスを制御します。このアクセス制御ルールでは、リソースへのアクセス方式、ユーザーのネットワークアド

レス、接続要求の日時など、他の基準を使用することもできます。

このアプライアンスでは、組織のセキュリティポリシーが厳格な制御を求めているかそれとも比較的寛容であ

るかにより、アクセス制御ルールを作成するとき柔軟に対応できるようになっています。たとえば、信頼性の

高い従業員のみが、 IT 部門によって管理されているコンピュータから VPN にアクセスする場合、ネットワー

クドメイン全体をリソースとして定義して広範囲のアクセスを従業員に与えるなど、オープンなアクセスポリシーを作成することができます。逆に、さまざまなユーザーのグループにアクセスを許可し、それぞれに多

様なアクセス権限を割り当てる場合や、キオスク端末などの安全性の低いデバイスからの接続を許可する場合

などは、リソースを個別に定義し、より厳格なアクセス要件を確立するアクセスポリシーを使用することがで

きます。

時間の経過とともにネットワークが変化するのに合わせて、さまざまなユーザーとグループがどのアプリケー

ションリソースを使用できるか決定するアクセス制御ルールを構成する必要が出てきます。アクセス制御ルー

ルを追加する前に、既存のルールのリストを慎重に検討します。場合によっては、新しいルールを作成せずに

既存のルールを修正できる可能性もあります。時間を節約するため、既存のルールをコピーして、そのパラ

メータを修正することもできます。

新しいルールを追加する場合、現在の構成を確認すると、新しいルールがルール順序のどの位置に適合するか

判定することができます。デフォルトの場合、新しいルールは、アクセス制御ルールの先頭に追加されます。

その後、リスト内の適切な場所に移動することができます。

End Point Control

従来の VPN ソリューションでは通常、企業のノート型 PC からの比較的安全なアクセスのみを許可していま

す。このような環境で、セキュリティ上大きな懸念になるのが、許可されていないネットワークアクセスで

す。 SSL VPN では、任意の Web 対応システムからアクセスできるため、空港やホテルのキオスク端末、従業

員が所有する PC など、信頼されていない環境のコンピュータからアクセスがあった場合、危険性が増大しま

す。

Aventail アプライアンスでは、重要なデータを保護するための複数の End Point Control (EPC) コンポーネン

トがサポートされており、ネットワークが、信頼されていない環境のコンピュータからアクセスを受けても危

険を回避します。Aventail の「データ保護エージェント」 Aventail Secure Desktop および Aventail Cache Control は、セッションデータを PC から自動的に削除します。また、このアプライアンスでは、アクセスを

許可する前にクライアントシステム上のマルウェアを自動的にチェックする、サードパーティのクライアントインテグリティコントロールとも統合できるようになっています。

4 | 第 1 章 - はじめに

このアプライアンスの EPC 構成オプションでは、デバイスプロファイルやゾーンを利用することで、 VPN アクセスについて詳細な制御を行うことができます。

• デバイスプロファイルは、接続を要求するデバイスの特性を示す属性のセットです。この属性には、

Windows ドメイン名、パーソナルファイアウォールやアンチウイルスプログラムなどのソフトウェアプログラムの存在、レジストリのエントリなど、さまざまな固有の特性を指定することができます。

• ゾーンは、デバイスプロファイルが存在するかどうかに基づいて接続要求を分類し、データ保護コン

ポーネントのプロビジョニングの制御や、使用可能なリソースの決定のために使用されます。

ユーザーがアプライアンスに接続するとき、アプライアンスはユーザーのコンピュータに照会し、その属性が、

デバイスプロファイルで定義されている属性と一致するかどうか判定します。デバイスがプロファイルと一致

する場合、アプライアンスは、そのコンピュータを適切な End Point Control ゾーンに分類します。たとえ

ば、デバイスにパーソナルファイアウォールやアンチウイルスプログラムがない場合、このデバイスを「信

頼できない」ものとして分類することで、ブラウザキャッシュクリーナーでプロビジョニングされるように

して、 Web ベースの電子メールアクセスのみに限定することができます。

ユーザー、グループ、コミュニティ

ユーザーとは、ネットワーク上のリソースにアクセスする必要がある個人を、また、ユーザーグループは、

ユーザーの集まりを指します。外部認証サーバーにマッピングされているアプライアンスでユーザーやユー

ザーグループを作成し、アクセス制御ルール内で参照することによってリソースへのアクセスを許可または拒

否することができます。

コミュニティは、アプライアンスの設定やセキュリティに対するアプローチの基礎になっています。コミュニ

ティは、アクセスエージェントを設定し End Point Control を提供する目的で、ユーザーやグループを集約す

るために使用されますが、アクセス制御ルールでも参照することができます。

リモートの従業員やビジネスパートナーなど、特定タイプのユーザーに対するコミュニティを作成することが

できます。また、特定の部署や地理条件のユーザーなど、さらに詳細なコミュニティを構成することもできま

す。

たとえば、ネットワーク上のリソースおよびアプリケーションへの広範囲のアクセスを必要とし、 IT 部門が管

理しているノート型 PC を使用している特定の従業員に対して、 Aventail のネットワークトンネルクライア

ントの 1 つを設定したい状況があると仮定します。また、キオスク端末などの安全でない場所からログインし

ているユーザーに対して Web リソースへの限定的なアクセスのみを与えるため、他のユーザーグループも作

成したいと考えています。このような異なるユーザーグループにアクセス権を与える場合、それぞれのグルー

プごとに適切なアクセスエージェントが設定されるよう構成しておき、ユーザーがキオスク端末から接続した

場合は、 End Point Control を使用して、重要なデータがキオスク端末に残されないようにしておきます。

SSL および暗号化

Aventail アプライアンスは、Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。SSL とは、データの漏洩や改変を防止するためにすべての交換データが暗号化されるような安全な環境を確立する

目的で、鍵交換方式を使用する、認証および暗号化のためのプロトコルです。

Aventail アプライアンスでは、接続ユーザーに対してアプライアンスの ID を証明する場合や、クライアントコンピュータからサーバーに送信される情報を保護するための公開鍵を提供する場合に、 SSL 証明書を使用し

ます。アプライアンスでは、 2 種類の SSL 証明書が必要になります。

• Aventail サービスは、エンドユーザーのトラフィックを保護するために証明書を使用します。

• AMC は、管理トラフィックを保護するために証明書を使用します。

証明書には、自己署名証明書と商用証明書の 2 種類があります。自己署名 SSL 証明書の場合、自身の身元を

証明します。パスワードを元にして、対応する秘密鍵データが暗号化されます。 AMC では自己署名証明書を使

用します。

自己署名 SSL 証明書も安全ですが、商用認証局 (CA) の証明書を使用することで、エンドユーザーのトラ

フィックをさらに高度に保護することができます。商用証明書は、 CA (VeriSign など ) から購入するもので、

通常は 1 年間有効です。

商用 CA では、企業の身元を識別して、 CA が署名する証明書を提供することにより、その企業のユーザーの

身分を保証します。商用 CA の証明書は、パスポートにたとえることができます。自身で作成した身分証明書

を提示しても、すでにその人のことがわかっている場合を除き、往々にしてその身元は疑わしいものと見なさ

れます。一方、信頼されている国が発行したパスポートを提示すれば、身元の信憑性は高くなります。これは、

パスポートを発行した機関が、その持ち主の身元をすでに確認しているためです。


小型携帯端末からアプライアンスに接続するユーザーに対応するためには、有名 CA の証明書を使用するよう

アプライアンスを構成するか、ルート証明書を CA からユーザーの小型携帯端末にインポートする必要があり

ます。アプライアンスが、自己署名証明書または無名の CA の証明書を使用するよう構成されている場合、ほ

とんどの小型携帯端末では、セキュリティプロンプトを表示させるか、その証明書を拒否します。たとえば、

Windows Mobile スマートフォンの場合、ルートファイルで VersiSign、 CyberTrust、 Thawte、 Entrust のみが構成されています。

サーバーでどのタイプの証明書を使用するか決定するときは、そのアプライアンスにどのようなユーザーが接

続し、ネットワーク上のリソースをどのように使うかについて考慮します。

• ビジネスパートナーが、アプライアンスを介して Web リソースに接続する場合、取引を行ったり機密情

報を提供したりする前に、相手の身分保証を必要とします。このような場合、そのアプライアンスで商用 CA から証明書を取得するようにすると良いでしょう。

• 一方、従業員が Web リソースに接続する場合は、自己署名証明書を信用することができます。その場合

でも、エンドユーザーが接続するたびに自己署名証明書を受け入れる手間を省くため、サードパーティ

の証明書を取得することができます。

Aventail では、セキュリティを向上させるため、FIPS (Federal Information Processing Standard) 準拠の SSL モジュールを搭載したアプライアンスも提供しています。このアプライアンスでは、鍵およびデジタル証

明書を作成することができます。

FIPS

FIPS は、暗号化ソフトウェアを実装するための基準を設定した米国の規格です。 FIPS では、暗号アルゴリズ

ムの実装、鍵素材とデータバッファの処理、オペレーティングシステムとの協調などに関するベストプラク

ティスを指定しています。

Aventail では、内部ハードウェアセキュリティモジュール (HSM) を搭載した、 FIPS 準拠のアプライアンス

を提供しています。このアプライアンスでは、アプライアンスが使用する暗号化秘密鍵を保護できる他、 HSM のアクセスに使用されるスマートカードを管理して、その他の運用機能やトラブルシューティング機能を実行

することができます。ハードウェアセキュリティモジュールは、 FIPS 140-2 レベル 2 に準拠しています。

クラスタリングと高可用性

すべての Aventail クラスタでは、統合負荷分散機能または外部負荷分散機能を搭載することで、ハイアベイ

ラビリティを実現しています。どちらの負荷分散機能を搭載するかは、ステートフルユーザー認証フェイル

オーバーや集中管理などの機能と同様、アプライアンスモデルによって異なります。

クラスタは、シングルポイント障害を防止するためのものです。クラスタをインストールすると、アプリケー

ションを複数のコンピュータに分散できるため、応答時間が向上し、障害が発生しても不必要なダウンタイム

を避けることができます。クラスタは、ユーザー、アプリケーション、ネットワークには単一のシステムとし

て提示され、管理者にとってはシングルポイント管理が可能になります。

Aventail では、 3 種類のアプライアンスを用意しており、それぞれに異なるクラスタリング機能、ハイアベイ

ラビリティ機能が搭載されています。

• エントリレベルのアプライアンスでは、 1 つの仮想 IP アドレスによる、 2 台の同一アプライアンスのク

ラスタリングをサポートしており、大 100 ユーザーに対応し、統合負荷分散が搭載されています。

• ミッドレベルのアプライアンスでは、 1 つの仮想 IP アドレスによる、 2 台の同一アプライアンスのクラ

スタリングをサポートする他、外部ロードバランサを使用することで、大 8 台のアプライアンスによ

るクラスタをサポートし、大 1,000 ユーザーに対応します。

• エンタープライズレベルのアプライアンスでは、 1 つの仮想 IP アドレスによる、 2 台の同一アプライア

ンスのクラスタリングをサポートする他、外部ロードバランサを使用することで、大 8 台のアプライ

アンスによるクラスタをサポートし、大 2,000 ユーザーに対応します。

これらのクラスタ構成では、アクティブ / アクティブ構成をサポートしています。つまり、クラスタのすべて

のノードが同時にアクティブになることが可能で、ユーザーの負荷を分散できるようになっています。

Aventail クラスタのすべてのノードは、一方のマスター管理コンソールから管理します。ソフトウェアをすべ

てのノードにインストールしたら、一方のノードの AMC にログインし、それをマスターとして割り当てます。

それ以降、このノードから、両方のノードのポリシーと構成の伝播、同期をコントロールします。

スレーブノードでは冗長 AMC を用意しますが、マスターノードに障害が発生しても、このノードが自動的に

マスターに割り当てられることはありません。この場合は、スレーブノードの AMC にログインして、手動で

マスターに割り当てなければなりません。元のマスターノードが復旧してオンラインになると、もう一方の

ノードがマスターになっていることを検出し、自身のノードをスレーブノードに降格させます。

6 | 第 1 章 - はじめに

役割ベースの管理

役割ベースの管理では、職務権限と責任に応じて、許可ユーザーのみに、 AMC 経由のアプライアンスの管理ア

クセスを制限します。特定の管理機能を実行する権限は、 AMC で定義されている役割に割り当てられます。

AMC では、すべての AMC 管理機能にフルアクセスできるプライマリ管理者が、デフォルトで 1 人だけ構成

されています。プライマリ管理者は、セカンダリ管理者として指定したユーザーに、 4 種類の AMC 管理の責

任を委任することができます。このセカンダリ管理者の役割には次のようなものがあります。

• セキュリティ管理 : アクセス制御ルール、ユーザー、ユーザーグループなどに対する管理の権限を制御し

ます。また、 WorkPlace、 Aventail OnDemand、 End Point Control などの設定に対するアクセスにつ

いても制御します。

• システム構成 : ネットワーク設定、 SSL 設定、アクセスおよびネットワークサービス、一般アプライア

ンス設定、認証サーバーおよびレルムなどに対する管理の権限を制御します。

• システムの保守 : アプライアンスのシャットダウンや再起動、システムソフトウェアの更新やロールバック、構成データのインポートやエクスポートなどの権限を制御します。

• システムモニタリング : システムログおよびグラフの表示、ログ設定の修正、アクティブユーザーの表

示、トラブルシューティングツールの実行、ユーザーセッションの終了などの権限を制御します。

プライマリ管理者は、それぞれの管理者カテゴリごとに、読み書きアクセス許可、読み取り専用アクセス許可、

アクセス禁止など、さまざまな許可レベルを設定することができます。この設定に応じて、 AMC ユーザーインタフェースの関連部分が非表示になります。プライマリ管理者は、セカンダリ管理者として指定したそれぞ

れのユーザーに対し、パスワード保護アカウントの設定も行います。

シングルサインオン

シングルサインオン (SSO) は、ユーザーのクレデンシャルをバックエンド Web リソースに転送するかどう

か制御するオプションです。アプライアンスが SSO を使用するよう構成すると、ユーザーが複数回ログイン

する ( いったんアプライアンスに入ってから、再びアプリケーションリソースにアクセスし直す ) 手間を省く

ことができます。

このアプライアンスでは、次のようなタイプの Web ベースの SSO をサポートしています。

• 基本認証転送。広くサポートされている認証転送方式ですが、ネットワークでパスワードをそのまま送信

するため、あまり安全とは言えません。それぞれのユーザー固有の認証クレデンシャルを送信するようア

プライアンスを構成できる他、「静的」クレデンシャル ( つまり、すべてのユーザーで同じクレデンシャ

ルを使用 ) を設定することもできます。基本認証転送は、 Web アプリケーションプロファイル内で構成

し、このプロファイルをリソースに割り当てます。

• NTLM 認証転送。 Windows ネットワーククレデンシャルを Microsoft IIS (Internet Information Services) Web サーバーに安全に送信できるようにします。NTLM (Windows NT LAN Manager の略 ) では、ネットワーク経由でパスワードをそのまま送信したりすることなく、チャレンジ / レスポンスメカ

ニズムを使用して、ユーザーを安全に認証します。 NTLM 認証転送では、ユーザーの認証クレデンシャル

とあわせて、 Windows ドメイン名も渡します。

• Netegrity SiteMinder。認証とシングルサインオンを管理するための集中型メカニズムを提供する

サードパーティ製品です。ユーザー認証クレデンシャルを SiteMinder サーバーから受け取り、このクレ

デンシャルを保護対象のバックエンド Web リソースに転送するようアプライアンスを構成することがで

きます。

• RSA ClearTrust。シングルサインオンとユーザー認証を管理するための集中型メカニズムを提供する

サードパーティ製品です。ユーザー認証クレデンシャルを ClearTrust サーバーから受け取り、このクレ

デンシャルを保護対象のバックエンド Web リソースに転送するようアプライアンスを構成することがで

きます。

システムモニタリングおよびロギング

システムモニタリング機能およびロギング機能を使用すると、管理者は、アプライアンスおよびアクセスサービスのパフォーマンスに関するリアルタイムデータおよび履歴データを、ユーザーの活動とあわせて参照

できるようになります。

AMC の [Home] ページでは、現在のアクティブユーザー数、ネットワーク帯域幅、ディスク使用量、 CPU 利用度などがグラフィカルに表示されます。このグラフィカルなデータに対する詳細なデータも、時間単位、日

単位、週単位で参照することができます。

AMC では、管理者が、特定時間内のアクティブユーザーの総数を表示できる他、ユーザー名によって、アク

ティブユーザーセッションのリストを検索することもできます。ユーザーモニタリング機能では、あるユー

ザーが複数のサービスまたはノードで複数のアクティブな接続を行っている場合でも、そのユーザーのセッ

ションを停止することができます。


Simple Network Management Protocol ツールがある場合、これらのツールを使用することにより、アプラ

イアンスを SNMP エージェントとして監視することができます。このアプライアンスでは、さまざまな管理

データを Management Information Base (MIB) 形式で提供します。

AMC ログビューアでは、次のログファイルに記載されているアプライアンスやユーザーアクセスなどの活動

が詳細に表示されます。

• システムメッセージログには、サーバー処理情報およびアクセスサービスについての診断情報、アクセ

スポリシールールの適用方法についての詳細情報が記録されます。

• ユーザー監査ログには、ネットワークにアクセスしたユーザーや転送されたデータの量のリストなど、接

続活動に関する詳細な情報が記録されます。

• Web プロキシ監査ログには、ネットワークにアクセスしたユーザーのリストや転送されたデータの量な

ど、 Web プロキシサービスの接続活動に関する詳細な情報が記録されます。

• 管理コンソール監査ログには、権限を持つ管理者がアプライアンスに対して実行した構成変更に関する情

報が記録されます。

AMC ログビューアでは、ソート、検索、フィルタリングなどのオプションを使用して、ログメッセージデー

タの表示をカスタマイズすることができます。ログメッセージデータをさらに分析したい場合、またはログビューアに表示される以外の方法で表示したい場合、選択したデータをカンマ区切り形式 (.csv) のファイルに

エクスポートすることにより、 Microsoft Excel などのアプリケーションで使用することができます。

Aventail VPN コンポーネント

Aventail SSL VPN アプライアンスは、主に次のような管理者コンポーネントおよびクライアントコンポーネ

ントで構成されています。

クライアントコンポーネント

このアプライアンスには、ユーザーに対して、ネットワーク上のリソースへのアクセスを提供するコンポーネ

ントもいくつか用意されています。

Smart Access

Smart Access™ を使用すると、アプライアンスが自動的にエンドポイントと通信し、ユーザーのシステムに

どのアクセス方式がも適しているか判定するようになります。ユーザーが初めて ASAP WorkPlace にログ

インするとき、 WorkPlace は、ユーザーのアクセス権限、オペレーティングシステム、ブラウザ構成、ユー

ザーのシステムのその他の制約などに基づいて大範囲のアクセスを提供するエージェントを使用して、自動

的にユーザーをプロビジョニングします。

ASAP WorkPlace

Aventail® ASAP™ WorkPlace ポータルを使用すると、ユーザーが Web ベースのリソースにアクセスできる

ようになります。ユーザーが ASAP WorkPlace にログインすると Web ページが現れ、管理者が定義した

ショートカットのリストが表示されます。これらのショートカットは、ユーザーがアクセス権限を持つ Web ベースのリソース、 Windows ファイルシステムのリソース、端末サーバーにリンクしています。 ASAP WorkPlace は、標準 Web ブラウザからアクセスすることができます。

WorkPlace サイトをカスタマイズして、異なる外観 ( 色、ロゴ、あいさつ文 )、独自の URL を設定すること

もできます。こうすることで、ユーザーごとに ( たとえばパートナーと従業員で ) 異なる、独特のポータルを

構成し設定することができます。

この Web リソースとファイルシステムリソースは、SSL をサポートする任意の Web ブラウザからアクセス

することができます。このアプライアンスでは、 Internet Explorer が動作する比較的新しいバージョンの Microsoft Windows システムに対して、デフォルトで Microsoft ActiveX コントロール (Web プロキシエー

ジェント ) をインストールするようになっています。この Web プロキシエージェントは、アプライアンスか

ら Web コンテンツを直接プロキシします。このアプライアンスは、 Windows Terminal Services (WTS) および Citrix ホストに対する Web ベースのアクセスをサポートしています。これらのホストは、ネイティブアプリケーションプロトコルを使用してデータを端末サーバーに送信する Web ベースの端末エージェントから

アクセスできます。

8 | 第 1 章 - はじめに

他のブラウザを使用するユーザーに対しては、トランスレーテッド Web アクセスが自動的に提供されます。

このエージェントをユーザーのシステムにインストールしたくない場合や、お使いのシステムが ActiveX をサ

ポートしていない場合は、トランスレーテッド Web アクセスが提供されるようアプライアンスを構成するこ

とができます。

Network Explorer

Network Explorer は、 ASAP WorkPlace の一部です。ユーザーにアクセス権限がある場合、これを使用する

ことで、任意の Windows ファイルシステムリソースにアクセスすることができます。アクセスできるリ

ソースには、サーバー、コンピュータ、ワークグループ、フォルダ、ファイルなどが含まれます。

Connect トンネルクライアント

Aventail® Connect™ トンネルクライアントは、ネットワークリソースに対して広範にアクセスできるよう

にする省スペースの Windows アプリケーションです。Connect トンネルクライアントを使用すると、Voice Over Internet Protocol (VoIP) や ICMP、マルチキャストなどの非 TCP プロトコルを使用するアプリケー

ションやプロトコルなど、あらゆる種類のアプリケーションにアクセスできるようになります。 Connect トン

ネルクライアントは、初に ASAP WorkPlace ポータル、または独立したインストーラパッケージからイン

ストールされ、 AMC で管理されます。

OnDemand トンネルエージェント

Aventail® OnDemand™ トンネルエージェントは、 Connect トンネルクライアントと同様、広範なアプリ

ケーションおよびプロトコルアクセスを提供する軽量の ActiveX、 Java エージェントです。あらゆる点で Connect トンネルクライアントに似ていますが、ユーザーが ASAP WorkPlace ポータルにログインして起動

するという点が異なっています。

Connect Mobile クライアント

Aventail® Connect Mobile™ クライアントは、 Pocket PC デバイスで動作する軽量のアプリケーションで、

クライアント / サーバーアプリケーション、シンクライアントアプリケーション、ファイルサーバー、Web リソースなど、広範囲のリソースに対するアクセスを提供します。 Connect Mobile クライアントは、

Windows セットアッププログラムを使用してインストールします。このプログラムを実行すると、アプリ

ケーションファイルが抽出され、ActiveSync を介して、ユーザーの Pocket PC デバイスへファイルがコピー

され、インストールされます。


Connect プロキシクライアント

Aventail® Connect™ プロキシクライアントは、広範囲のリソース ( 従来のクライアント / サーバーアプリ

ケーション、シンクライアントアプリケーション、ファイルサーバー、 Web リソースを含む ) へのアクセス

を可能にする Windows アプリケーションです。 Aventail Connect プロキシクライアントをユーザーのコン

ピュータにインストールし、パーソナルファイアウォールやアンチウイルスアプリケーションを搭載するよ

う求めることにより、エンドポイントセキュリティを向上させることができます。 Aventail Connect では、

Microsoft のシングルサインオンをサポートしており、 [ ネットワークコンピュータ ] からネットワーク共有

リソースにシームレスにアクセスできるようになっています。

OnDemand プロキシエージェント

Aventail® OnDemand™ プロキシエージェントは、 Aventail ネットワークプロキシサービスで保護された

ネットワークリソースへのアクセスを可能にする安全かつ軽量の Java アプレットです。ユーザーは、クライ

アントレスな VPN アクセスを得るために OnDemand プロキシエージェントを ASAP WorkPlace から「オ

ンデマンドで」ダウンロードすることができます。ネットワークに対して標準 VPN アクセスできないパート

ナーやベンダーの他、キオスク端末などの、仕事用でないコンピュータからネットワークリソースにモバイル

でアクセスする従業員が使用すると便利です。

Web プロキシアクセス

Aventail Web プロキシエージェントを使用すると、 ASAP WorkPlace から、 Windows ネットワーク共有へ

のアクセスだけでなく、 Web ベースのアプリケーション、 Web ポータル、 Web サーバーなど、任意の Web リソースにもアクセスできるようになります。 Web プロキシアクセスを使用すると、 Windows XP または 2000 が動作し、ActiveX が有効になっている Internet Explorer と Firefox を使用しているユーザーの場合、

Web コンテンツの変換が不要になり、企業の Web アプリケーションに広範にアクセスできるようになりま

す。

トランスレーテッド Web アクセス

トランスレーテッド Web アクセスは、ASAP WorkPlace がサポートする任意の Web ブラウザから使用でき、

これを使用することで、任意の Web リソースおよび Windows ネットワーク共有にアクセスすることができ

ます。

End Point Control

End Point Control コンポーネント。ネットワークが、信頼されていない環境の PC からアクセスされた場合

に危険にさらされることのないようにします。 Aventail アプライアンスには、重要なデータやネットワークを

保護するための、複数の End Point Control (EPC) コンポーネントをサポートする機能があります。Aventail の「認証後データ保護」エージェント Aventail Secure Desktop および Aventail Cache Control は、 PC からセッションを自動的に削除します。また、このアプライアンスでは、アクセスを許可する前にクライアントシステム上のマルウェアを自動的にチェックする、サードパーティのクライアントインテグリティコント

ロールとも統合できるようになっています。

管理者コンポーネント

この節では、 Aventail アプライアンスおよびサービスを管理するときに使用する主要なコンポーネントについ

て解説します。

10 | 第 1 章 - はじめに

ASAP Management Console

AMC は、アプライアンスを管理するための Web ベースの管理ツールです。このツールを使用すると、セキュ

リティポリシーの管理、システムの構成 ( ネットワーキングおよび証明書の構成を含む )、モニタリング、ト

ラブルシューティング、管理者アカウントについて集中的に管理できるようになります。 AMC は、 Web ブラ

ウザでアクセスすることができます。

Setup Wizard

Setup Wizard を使用すると、アプライアンスの初期構成を簡単に行うことができます。このウィザードは、

基本ネットワーク設定の選択、アプライアンスオプションの構成、リソースの定義、基本アクセスポリシー

の作成、テスト用のローカルユーザーの作成などのプロセスをガイドします。 Setup Wizard は、コマンドラ

インのセットアップツールの代わりに使用できる Web ベースの代替手段です。

Aventail アクセスサービス

このアプライアンスでは、 4 つのアクセスサービスを使用して、ユーザーがネットワークリソースに接続する

ときに使用するアクセスクライアントやエージェントを管理します。

• Aventail ネットワークトンネルサービスは、広範囲のアプリケーションやプロトコルにセキュアな

ネットワークトンネルアクセスを提供するネットワークルーティングテクノロジーです。対象となるア

プリケーションプロトコルには、 Voice Over IP (VoIP) や ICMP などの非 TCP プロトコル、 SMS など

の逆方向接続プロトコル、 FTP などの双方向プロトコルが含まれます。このサービスは、 Aventail Connect トンネルクライアントや Aventail OnDemand トンネルエージェントと共同で動作して、認

証され暗号化されたアクセスを可能にします。

• Aventail Web プロキシサービスは、ユーザーが、 Web ブラウザから Web ベースのアプリケーショ

ン、 Web サーバー、ネットワークファイルサーバーに、または Aventail Connect Mobile クライアン

トを使用した Pocket PC デバイスから Web ベースのアプリケーション、 Web サーバーに、安全にアク

セスできるようにするためのものです。 Web アクセスサービスには、 Web ベースのリソースに対するア

クセスを中継し暗号化するセキュアな HTTP リバースプロキシが含まれています。このサービスには、

ユーザーのログオフ機能も提供されており、ユーザーが Web キオスク端末を使用する場合のセキュリ

ティを向上させています。このサービスは、 Aventail OnDemand Java エージェントからの TCP/IP 接続の管理も行います。

• ASAP WorkPlace サービスは、 Web ブラウザからアクセスされた WorkPlace リソースへのアクセス

を制御します。 ASAP WorkPlace サービスは、 Server Message Block (SMB) ファイル共有プロトコル

を使用して、Windows ファイルサーバーおよびネットワーク共有 (Microsoft Distributed file system (DFS) リソース ) と通信します。


• Aventail ネットワークプロキシサービスは、標準クライアント / サーバーアプリケーションにアクセ

スするためのセキュアなプロキシを提供します。 Aventail Connect プロキシクライアントと共同で動作

して、インターネット経由で認証され暗号化されたアクセスを提供します。ネットワークプロキシサー

ビスは、 SOCKS v5 プロトコルをベースにしています。ネットワークプロキシサービスは、内部のアプ

リケーションとネットワークに対するアクセスを中継し暗号化します。ネットワークプロキシサービス

は、このプロキシベースのアーキテクチャと SSL を使用することにより、ファイアウォールや NAT デバ

イスの他、従来型の VPN デバイスと干渉する可能性があるプロキシサーバーもトラバースすることがで

きます。

コマンドラインツール

このアプライアンスには、アプライアンスの初期設定、構成設定のバックアップ、ソフトウェアのパッチ当て

とアップグレード、構成の以前のバージョンのリストアなどを行うためのコマンドライン管理ツールがいくつ

か用意されています。これらの操作は、 AMC のグラフィカルユーザーインタフェースを使用して実行するこ

ともできます。

12 | 第 1 章 - はじめに


第 2 章VPN の計画

VPN を効率的に設計するには、誰が VPN にアクセスするか、どのようなタイプのリソースを提供するか、エ

ンドユーザーにどのようなアクセス方式を提供してネットワークへのアクセスを許可するかなどについて検討

しなければなりません。

誰が VPN にアクセスするか ?

VPN の計画を行う際に初に考えておかなければならないのは、誰がユーザーになり、誰がネットワークリソースにアクセスする必要があるかという点です。

対象となるユーザーコミュニティは、 VPN の設計と管理の方法に対して、明らかに大きな影響を及ぼします。

ほとんどの VPN ユーザーは一般的に、リモートの従業員かビジネスパートナーのいずれかの範疇に入ります。

• リモートの従業員。リモートおよびモバイルの従業員を対象にする場合、一般的に、企業リソースに対

し、ドメインレベルのアクセスを許可するなど、比較的オープンなアクセスを提供します。もちろん、 (給与アプリケーションなど ) 重要な情報を含む特定のリソースに対して、詳細なアクセスポリシーを定義

することもできます。

IT 部門が管理している従業員のコンピュータシステムであれば、 Aventail Connect トンネルクライア

ントまたはプロキシクライアントなどのクライアントソフトウェアをデスクトップにインストールする

など柔軟に対処することができます。 Aventail Connect クライアントでは、ユーザーがリモートロケー

ションからネットワークにアクセスするような状況で、 Windows Network Neighborhood と直接統合

させることができます。

• ビジネスパートナー。サプライヤー、ベンダー、請負業者などといったパートナーの場合、一般的に

ネットワーク上のリソースに対するアクセスが制限されます。この場合、リモートアクセス VPN で一般

的に使用されるものよりも詳細なリソース定義やアクセス制御ルールを管理する必要があります。

たとえば、ドメインリソースを定義して従業員にオープンアクセス権限を与えるというような単純なも

のではなく、多くの場合、個別のホストリソースを定義して、もっと複雑なアクセスポリシーを管理す

る必要があります。さらに、 Web リソースを定義する場合は、内部ホスト名を隠し、ネットワークのプ

ライバシーを確保したいという場合も出てきます。

IT 組織の管理が及ばないコンピュータにクライアントソフトウェアをインストールするような場合、管

理やサポートの問題が発生するため、ビジネスパートナーについては、多くの場合 Web ベースのアクセ

ス方式が適な選択肢になります。

14 | 第 2 章 - VPN の計画

どのようなタイプのリソースを提供するか ?

Aventail アプライアンスでは、 3 種類に分けることができる、広範囲の企業リソースを管理します。

ユーザーがどのような方法でリソースにアクセスするか ?

ユーザーは、 4 つの基本方式を使用して、 Aventail アプライアンスで保護された VPN リソースにアクセスす

ることができます。これにより、 IT 部門が管理している「マネージド」デスクトップと、管理が及ばないシス

テム ( 従業員のホーム PC やパートナーのデスクトップの他、キオスク端末やハンドヘルドデバイスなどのシ

ステム ) の両方に対して、広範囲の設定オプションが提供されます。

• 標準 Web ブラウザ。この Web リソースとファイルシステムリソースは、 SSL をサポートする任意の Web ブラウザからアクセスすることができます。ブラウザベースのアクセスは、キオスク端末、ワイヤ

レスネットワーク、スマートフォンや PDA などの小型携帯端末なども含め、事実上すべての PC からの

リモートアクセスに適しています。また、この方法の場合クライアント側の構成や管理が不要であるた

め、ビジネスパートナーにアクセスを提供する際のオプションとしても適しています。

• ActiveX 対応ブラウザ。 Aventail の ActiveX エージェント、 Aventail OnDemand ネットワークトン

ネルエージェントにより、 Microsoft Internet Explorer や Firefox など、 ActiveX をサポートするブラ

ウザから、リソースにアクセスできるようになります。このエージェントを利用することで、 Web リソースだけでなく、端末サービス、シンクライアントアプリケーション、フルクライアント / サーバーアプリケーションにもアクセスできるようになります。

• Java 対応プラットフォーム。Aventail の Java エージェント、Aventail OnDemand プロキシエージェ

ントおよび Aventail OnDemand トンネルエージェントにより、 Java に対応した Web ブラウザから、

リソースにアクセスできるようになります。

• OnDemand トンネルエージェントは、Aventail のトンネルテクノロジーを使用し、Windows XP または Windows 2000 ユーザーに対して、プロトコルおよびアプリケーションに対するフルネッ

トワークアクセスを提供します。

• OnDemand プロキシエージェントは、 Java に対応した Web ブラウザや、スタンドアロン Java 環境が構成された Macintosh や Linux システムなどの環境から、クライアント / サーバーアプリ

ケーションにアクセスできるようにします。

OnDemand プロキシエージェントは、 IT スタッフが管理していないデバイス、たとえばホーム PC を使用して接続するユーザーに、アクセスを提供する場合、格好の選択肢になります。

• Windows クライアント。 Aventail Connect トンネルクライアントおよび Aventail Connect プロキ

シクライアントは、従来型のクライアント / サーバーアプリケーション、シンクライアントアプリケー

ション、ファイルサーバー、 Web リソースなど、広範囲のリソースに対するアクセスを提供する Windows クライアントです。これらの Connect クライアントは、 Windows デスクトップと完全に統合

されているため、 Microsoft のシングルサインオンがサポートされる他、 Network Neighborhood から

ネットワーク共有リソースに対してシームレスにアクセスできるようになります。 Aventail Connect クライアントは通常、旅行中の従業員やリモートの従業員が使用する企業のノート型 PC など、 IT 部門が容

易に管理できるシステムでのリモートアクセスで使用します。

• モバイルデバイス。 Aventail Connect Mobile クライアントは、 Pocket PC デバイスで動作する軽量の

アプリケーションで、従来型のクライアント / サーバーアプリケーション、シンクライアントアプリ

ケーション、ファイルサーバー、 Web リソースなど、広範囲のリソースに対するアクセスを提供します。

リソースタイプ例計画時の配慮

Web • Microsoft Outlook Web Access

• Web ベースのアプリケーション

• Web ポータル

• Web サーバー

• Web リソースの URL を定義するとき、「http://」または「https://」接頭辞を使用する。

• プライベートネットワークのホスト名を隠すためにエイリアスを使用する。

クライアント /サーバー

• Citrix

• Microsoft Outlook

• Lotus Notes

• 端末サーバー (Citrix または WTS など )

• リソースをホスト名、 IP アドレスまたは IP 範囲、サブネット IP アドレス、ドメイン名のいずれかで識別する。

Windows ファイル共有

• Windows ネットワークサーバー

• Windows 共有フォルダ

• Windows ドメインを定義し、許可されているユーザーに対して、すべてのネットワークファイルリソースへのアクセスを許可する。


次の表では、使用可能なアクセス方式と、それぞれの利点をまとめています。

アクセス方式アクセス対象利点

Aventail Connect ネットワークトンネル

(Windows クライアント )

クライアント / サーバーアプリケーション、 Web リソース、 Windows ネットワーク共有、 Voice over IP、SMS、 FTP などの双方向アプリケーションに対するフルネットワークアクセス

• ASAP WorkPlace ポータルまたはカスタムインストーラパッケージからインストールでき、再起動が不要。

• AMC から管理。

• スプリットトンネリングの他、すべてのトラフィックまたはローカルトラフィック限定のリディレクトなど、強化されたセキュリティオプション。

• ローカルプリントのサポート。

Aventail OnDemand ネットワークトンネル

(ActiveX エージェント )

クライアント / サーバーアプリケーション、 Web リソース、 Windows ネットワーク共有、 Voice over IP、SMS、 FTP などの双方向アプリケーションに対するフルネットワークアクセス

• ASAP WorkPlace ポータルからの起動。

• スプリットトンネリングの他、すべてのトラフィックまたはローカルトラフィック限定のリディレクトなど、強化されたセキュリティオプション。

• ローカルプリントのサポート。

Aventail Connect プロキシ

(Windows クライアント )

クライアント / サーバーアプリケーション、 Web リソース、 Windows ネットワーク共有

• Windows Network Neighborhood とのシームレスな統合。

• スプリットトンネリング、パーソナルファイアウォール検出、アンチウイルスソフトウェア検出などの、強化されたセキュリティオプション。

• オートアップデート。

Aventail Connect Mobile クライアント / サーバーアプリケーション、シンクライアントアプリケーション、ファイルサーバー、 Web リソース

• Pocket PC デバイス出動作する軽量のアプリケーション。

Aventail OnDemand プロキシ

(Java エージェント )

Java 対応プラットフォームから、クライアント / サーバーアプリケーションおよび Web リソース

• 広範囲のクロスプラットフォームサポート。

• 管理と設定が容易な軽量の Java エージェント。

Web プロキシモード任意の Web リソース (Web ベースのアプリケーション、 Web ポータル、Web サーバーなど ) および Windows ネットワーク共有

• あらゆる ActiveX 対応ブラウザからの便利なアクセス。

• その他のブラウザではデフォルトで「トランスレーテッドモード」で動作。

• クライアント構成や管理作業が小限。

• ユーザーが、ブラウザのアドレスボックスに実際の URL を入力することによって、あらゆるネットワーク URL にアクセス可能。

• 企業アプリケーションに対する広範囲の Web ベースアクセス。

• シングルサインオン

トランスレーテッド Web ブラウザ

あらゆる Web リソース (Web ベースのアプリケーション、 Web ポータル、Web サーバー ) および Windows ネットワーク共有

• 事実上すべての PC からの便利なアクセス。

• クライアント構成や管理作業が不要。

• エイリアスがサポートされていることにより、ブラウザアドレスバーに内部ホスト名をさらさないことが可能。

• シングルサインオンによるバックエンド Web サーバーへの転送。


アクセス方式を選択する場合、次のようなさまざまな要因を基にして判定します。

• ハードウェアプラットフォーム、オペレーティングシステム、エンドユーザーが使用している Web ブラウザなどの、技術的な側面。

• デスクトップに設定したいセーフガードなどの、セキュリティ要件。

• ユーザーの技術レベルなどの、ユーザーの技術レベルなどの、エンドユーザーの特性。

• VPN の管理とサポートに使用できる管理リソース。

トンネル、プロキシ、 Web : どのアクセス方式が適か ?

Aventail のそれぞれのアクセスサービス、クライアントには、それぞれ異なる機能が搭載されており、ユー

ザーが企業のリソースにアクセスする場合に使用できる方式がそれぞれで異なっています。どの方式が適か

は、設定するリソースやユーザーのコンピューティング環境で決まります。

一般的に、 2 つの Aventail ネットワークトンネルクライアントが、も広範囲のネットワークアクセスおよ

びサポートを提供しており、管理もも容易になります。問題は、トンネルクライアントユーザーの環境で Windows 2000 または Windows XP が動作していなければならない点です。Aventail Connect プロキシクライアントは、 Windows の新バージョンとレガシーバージョンの両方で動作し、 End Point Control 機能

が統合されていますが、個別にインストールし構成しなければなりません。一方、 Aventail OnDemand プロ

キシエージェントでは、 Windows、 Macintosh、 Linux ユーザーに対して、広範囲のクロスプラットフォー

ムサポートを提供します。 Web アクセスはクライアントレスで、プロビジョニングも必要ありませんが、ア

クセスは Web ベースのアプリケーションに制限されます。

クライアントアクセスエージェントのシステム要件

次の表を使用して、ユーザーのコンピュータにどの Aventail アクセスエージェントが適しているか判断して

ください。標準フォントの項目は、サポートされているプラットフォームを表しており、イタリックの項目は

互換プラットフォームを表しています。


オペレーティングシステムブラウザその他

ASAP WorkPlace ポータル

• Windows XP Pro、Service Pack 2


• Windows XP Home、Service Pack 2


• Windows 2000 Pro、Service Pack 4

• Internet Explorer 6.0、Service Pack 2


• Mozilla Firefox 1.0.6

• Macintosh OS X v 10.4


• Macintosh Safari 2.0



• Linux (Fedora Core 4) • Mozilla Firefox 1.0.7

Connect トンネルクライアント






• なし • インストール時に Windows の Administrator 権限が必要


OnDemand トンネルエージェント









• Sun JVM 1.5.1 または ActiveX

• Sun JVM 1.4.2 プラグイン

• インストール時に Windows の Administrator 権限が必要

Connect プロキシクライアント


• Windows XP ProService Pack 1




• なし • インストール時に Windows の Administrator 権限が必要

OnDemand プロキシエージェント











• 動的リダイレクションモードでは Windows の Administrator 権限が必要






• Linux • Mozilla Firefox 1.0.7 • Sun JVM 1.4.2 プラグイン

Connect Mobile クライアント

• Windows Pocket PC 4.2.1

• Windows Pocket PC 4.2

• Pocket Internet Explorer 4.01

Web プロキシエージェント








• ActiveX




セキュリティ管理

セキュリティポリシーを管理する場合、リソースを定義してから、そのリソースの利用可能性を決定するアク

セス制御ルールを作成します。

リソースの定義

リソースを管理するとき、ネットワーク上の特定のオブジェクトに対してどのようなリソースタイプを使用す

るか決定する際、ある程度の柔軟性が必要になります。選択するタイプは、 VPN の設計によって変動します。

たとえば、ビジネスパートナーが使用できるよう、 Web アプリケーションを URL リソースとして定義した

り、セキュリティを向上させるためにホスト名を「エイリアス化」したりすることができます。また、 Web アプリケーションがネットワークリソースとして存在するドメインを定義することで、リモートの従業員が、 1 つのドメイン内で複数の Web リソースにアクセスできるよう便宜を図ることもできます。

Web リソース

Web アプリケーション、 Web ポータル、 Web サーバーなどの Web リソースは、 URL リソースとして定義す

ることができます。これは、 AMC で標準的な「http://」や「https://」などの URL 構文を使用して指定しま

す。たとえば、 Microsoft Outlook Web Access などの Web ベースの電子メールプログラム、 Web ポータ

ル、企業イントラネット、標準 Web サーバーなどがこれに該当します。

Web リソースを URL として定義すると、次のような利点があります。

• ASAP WorkPlace で Web ショートカットを作成することができます。これにより、ユーザーが素早くそ

の URL にアクセスできるようになります。

• 非常に詳細なアクセスルールを定義することができます。これにより、どのユーザーがその URL にアク

セスできるか制御できるようになります。

• 内部ホスト名が公開されないよう、これを隠す ( 「エイリアス化」する ) オプションがあります。ユー

ザーがトランスレーテッドモードでエイリアスにアクセスすると、 Aventail Web アクセスサービスが、

その要求を下流の Web リソースにプロキシし、定義されているエイリアス名を使用して、対応する未公

開の URL に変換します。ユーザーは、公開されている ( つまり「エイリアス化」されている ) URL のみ

を目にすることになります。

Web トラフィックは、 Aventail Web プロキシサービスを介してプロキシされます。ユーザーは、このセキュ

アなゲートウェイを経由して、インターネットからプライベートな Web リソースにアクセスできるようにな

ります。

トランスレーテッド Web アクセス


















ネットワークリソース

「ネットワークリソース」は、その名前が表すように、アプリケーション、ファイルサーバー、複数の Web リソースなど、ネットワーク上にある事実上すべてのものを柔軟に包括しています。ネットワークリソース

は、ドメイン、サブネット、 IP 範囲、ホスト名、 IP アドレスなどを使用して、 AMC で指定します。

次に、ネットワークリソースの例をいくつか示します。

• クライアント / サーバーアプリケーション。特定のオペレーティングシステム用に開発された「従来型

の」アプリケーションや、 Web 経由で動作するよう設計されたシンクライアントアプリケーションがこ

れに該当します。ユーザーは、 Aventail Connect または Aventail OnDemand のトンネルシクライア

ントまたはプロキシクライアントや、 Connect Mobile クライアントなどを使用して、クライアント / サーバーアプリケーションにアクセスします。

• ネットワーク共有。 Windows ファイルサーバーやファイル共有がこれに該当します。ネットワーク共有

をネットワークリソースとして定義すると、 Aventail Connect または Aventail OnDemand を使用し

てアクセスできるようになります (Web ブラウザを使用してネットワーク共有にアクセスする場合は、

ファイルシステムリソースとして定義しなければならない )。

• 接続先リソースへの接続を許可または拒否する段階で、要求を出したロケーションに基づいて、接続元

ネットワークをアクセスルールで参照します。これによって、セキュリティが一層向上します。たとえ

ば、特定のドメイン限定で接続を許可できる他、個別の IP アドレスを指定することもできます。

• 端末サーバーホスト。アプリケーションのグラフィカルユーザーインタフェース (GUI) を、この機能自

体を持たないユーザー端末に提供します。 Windows Terminal Services および Citrix エージェントを Aventail アプライアンスから直接管理できるようになります。

• ネットワーク上の複数の Web リソース。ドメイン、サブネット、 IP 範囲のどれに含まれているかに関

係なく、ネットワークリソースとして定義することができます。このアプローチでは、管理者が AMC で、複数の Web サーバーを単一のオブジェクトによって管理することができます。たとえば、特定のド

メインを指定 ( さらに適切なアクセスルールを作成 ) すると、ユーザーが、 Web ブラウザから ( または Aventail OnDemand や Aventail Connect から ) そのドメイン内の任意の Web リソースにアクセスで

きるようになります。

ただしその下流にいるユーザーは、 ASAP WorkPlace のリンクからこれらのリソースにアクセスするこ

とができず、そのリソースの内部ホスト名を知っていなければなりません。 Web プロキシエージェント

が動作している場合は、任意の URL を直接ブラウザに入力することができます。ただし、トランスレー

テッドモードの場合、ユーザーは、 WorkPlace の [Intranet Address] ボックスに手作業で URL を入力しなければなりません。

ドメインやサブネットから単一のホストや IP アドレスに至るまで、広範囲のリソースでこのような広範囲の

リソース定義を行う場合、ネットワークリソース定義を行う上でどの方法が適かわからなくなる可能性もあ

ります。広範囲のリソース定義を使用する場合、ネットワーク管理者の作業が簡単になりますが、通常はオー

プンアクセスポリシーでリモートアクセス VPN を管理するときに使用されます。たとえば、内部 DNS ネー

ムスペースをドメインとして定義し、従業員にアクセス権限を与える単一のポリシールールを作成するなどの

使い方をします。

一方、制限の多いセキュリティポリシーの場合は、ネットワークリソースを狭い範囲で定義しなければなり

ません。このアプローチは通常、パートナー VPN を管理する場合に使用されます。たとえば、外部サプライ

ヤーに在庫管理アプリケーションへのアクセスを許可する場合、そのホスト名をリソースとして定義し、サプ

ライヤー単位で個別にアクセス権限を与えるポリシールールを作成します。

ファイルシステムリソース

ファイルシステムリソースには、ユーザーが ASAP WorkPlace を介してアクセスできる共有フォルダや共有

ファイルがある Windows ネットワークサーバーまたはコンピュータが含まれます。

ファイルシステムリソースの場合、 UNC パスを入力して個々のリソースを定義できる他、完全な Windows ドメインを定義することもできます。

• 完全な Windows ドメインを定義すると、そのドメイン内のすべてのネットワークファイルリソースに

対してユーザーアクセスを許可することができます。

• 個々のファイルシステムリソースは、完全なサーバー、共有フォルダ、ネットワークフォルダとして設

定することができます。

• ファイルシステムリソースから、ユーザーの個人フォルダを参照することもできます。この機能を使用

すると、 ASAP WorkPlace で単一のショートカットを作成し、カレントユーザーの個人フォルダを動的

に参照するよう設定することができます。

ファイルシステムリソースは、さまざまな方法で定義することができるため、ドメイン全体にアクセスを与

えるオープンポリシーを作成したり、サーバー、共有、フォルダのレベルでアクセスを制御する、より詳細な

ポリシーを作成したりすることができ、非常に柔軟性があります。


アクセスポリシーによるアクセス制御の管理

VPN リソースを定義したら、アクセスポリシーを作成することにより、ユーザーがどのリソースを利用でき

るか制御します。

ユーザーの認証が成功 ( つまりユーザーの身元を確認 ) したら、次に、特定のリソースに対する権限を制御す

るアクセスルールが評価されます。ルールは、 [Access Control] ページに表示されます。

アクセス制御ルールは、リストとして保管され、それぞれのルールには、個別の順序が割り当てられています。

アプライアンスが接続要求を評価するとき、リストの上から下へ ( つまり数字の昇順で ) 一致するものがない

か順に検索します。一致するものが見つかれば、「許可」か「拒否」のいずれかのルールで求められているアク

ションが適用され、それ以降ルールの評価が行われなくなります。一致するものが見つからずにリストの後

まで到達したら、暗黙的に「拒否」のルールが適用され、そのユーザーにアクセスが許可されなくなります。

リソースへのアクセスは、複数の基準に基づいて決定することができます。ほとんどのアクセスルールでは、

ユーザーの身元 ( つまりユーザーの名前や所属するグループ ) および接続先のリソースに基づいてアクセスを

制御します。 ( アクセスを特定のユーザーや特定のリソースに制限しない場合、「Any」という言葉がアクセス

制御リストに登場します。 )

他にも、次のような基準に基づいてアクセスを制御することができます。

• 接続要求の発信元になっている End Point Control ゾーン。たとえば、重要な財務アプリケーションに

ユーザーがアクセスできるようにし、セッション終了後にキャッシュクリーナーが動作するようにした

い場合を考えます。この場合、 Aventail Secure Desktop が動作する「信頼されている」ゾーンのシス

テムに、アクセスを限定するルールを構成します。

• 接続要求の発信元になっているユーザーのネットワークアドレス。ルールで評価されるソースネット

ワークの名前に基づいて、リソースへのアクセスを制御することができます。

• リソースへのアクセスで使用されたアクセス方式。ネットワークトンネルまたはプロキシエージェント

から、内部ドメイン内のリソースに対して広範囲にアクセスできるようにしながら、そのドメイン内の Web サーバーに対するブラウザベースのアクセスを禁止することができます。

• 接続の暗号化の強度。特に重要性の高いリソースに接続する場合、強力な 128 ビット暗号化を使用する

よう要求することができます。

• 要求の日時。たとえば、ビジネスパートナーに対して、ウィークデイの午前 9 時から午後 5 時限定で、

特定のアプリケーションに対するアクセスを許可することができます。

承認プロセスをまとめると次のようになります。

1. ユーザーが接続を開始します。

2. アプライアンスが、接続要求を分析し、その属性 ( ユーザーおよびグループの情報、要求された接続先、

要求の発信元のネットワーク、要求の日時など ) を識別します。

3. アプライアンスが、アクセス制御リストの初のルールを読み込み、それを要求の基準と比較します。

• 一致するものが見つかった場合、ルールで指定されているアクション ( 「許可」か「拒否」 ) が適用

されます。それ以降のルールは評価されません。

• 一致するものが見つからない場合、リスト内の次のルールが評価され、要求と一致するかどうか確認

されます。

4. 一致するものが見つからないまますべてのルールの処理が終わったら、暗黙的な終了ルールが適用され、

アクセスが拒否されます。


双方向接続のアクセス制御

VPN 接続には通常、いわゆる順方向接続 ( ネットワークリソースに対してユーザーが始動する ) が伴います。

ただし、Aventail のネットワークトンネルクライアント (Connect トンネルまたは OnDemand トンネル ) をユーザーに設定する場合、双方向接続が可能になります。

Aventail VPN 内では、双方向接続によって次の機能が実行されます。

• VPN ユーザーからネットワークリソースへの順方向接続。

• ネットワークリソースから VPN ユーザーへの逆方向接続。逆方向接続の例には、ユーザーのマシンにソ

フトウェアアップデートを「プッシュ」する SMS サーバーがあります。

• 相互接続。 VPN ユーザーが他の VPN ユーザーに電話できるようにする Voice over Internet Protocol (VoIP) アプリケーションを特に指します。相互接続では、順方向接続に使用するアクセス制御ルールと

逆方向接続に使用するアクセス制御ルールのペアが必要です。

• その他の双方向接続の例には、 VPN ユーザーとの間でファイルをダウンロードまたはアップロードする FTP サーバーや、リモートヘルプデスクアプリケーションなどがあります。

アクセスルールの設計ガイドライン

アプライアンスは、アクセス制御ルールを順番に処理するため、アクセスを許可するか拒否するかという点で

ルールの順序が非常に重要になります。セキュリティポリシーの設定を慎重に検討し、ルールを誤った順序で

指定しないよう気を付けてください。

• も範囲が狭いルールをリストの初に配置します。そのため、一般的にはも範囲が狭いルールをリス

トの初に配置するのがベストです。も範囲が狭いルールをリストの初に配置すると、アプライアン

スは、範囲の広いルールを処理する前に一致を見つけます。

• 「Any」ルールは慎重に扱います。アクセスを特定のユーザーや特定のリソースに制限しないルールを作

成する場合、「Any」という言葉がアクセス制御リストに登場します。「Any」がポリシールールで持つ意

味について慎重に検討します。「許可」ルールの場合、「Any」基準が多すぎると、セキュリティホールを

さらすことにもなりかねません。一方、「拒否」ルールで「Any」基準が多すぎる場合は、ネットワークアクセスを不必要に制限してしまう可能性があります。

• パフォーマンスを適化します。ルールは順序に従って評価されるため、も頻繁にアクセスされるネッ

トワークリソースをリストの先頭に置くようにすることで、パフォーマンスを適化することができま

す。

• リソースおよびアクセス方式の非互換の問題を回避します。非常に特殊なケースですが、一定のリソースタイプとアクセス方式の組み合わせが、アクセスポリシーの問題の原因になることがあります。 AMC は、ルールを検証し、問題が起こる可能性があれば、保存時にユーザーに警告します。非互換の問題を解

消する方法については、『インストールおよび管理ガイド』の第 7 章「システム管理」を参照してくださ

い。


End Point Control

従来の VPN ソリューションでは通常、企業のノート型 PC からの比較的安全なアクセスのみを許可していま

す。このような環境で、セキュリティ上大きな懸念になるのが、許可されていないネットワークアクセスで

す。 SSL VPN では、任意の Web 対応システムからアクセスできるため、空港やホテルのキオスク端末、従業

員が所有するコンピュータなど、信頼されていない環境の PC からアクセスがあった場合、危険性が増大しま

す。

Aventail アプライアンスには、重要なデータを保護し、信頼されていない環境の PC からアクセスされた場合

にネットワークが危険にさらされることのないようにする、複数の End Point Control (EPC) コンポーネント

をサポートする機能があります。 Aventail の「データ保護」エージェント Aventail Secure Desktop および Aventail Cache Control は、 PC からセッションを自動的に削除します。

また、このアプライアンスでは、アクセスを許可する前にクライアントシステム上のマルウェアを自動的に

チェックする、サードパーティのクライアントインテグリティエージェントとも統合できるようになってい

ます。これらのクライアントインテグリティエージェントは、認証以前のあらゆる接続に対してグローバル

に適用されます。

このアプライアンスの EPC 構成オプションでは、デバイスプロファイルおよびゾーンを使用することで、

VPN アクセスについて詳細に制御することができます。

• デバイスプロファイルは、接続を要求するデバイスの特性を示す属性のセットです。この属性には、ア

プリケーション名やファイル名、パーソナルファイアウォールやアンチウイルスプログラムなどの存在、

レジストリのエントリなど、クライアントコンピュータを識別するための固有の特性を指定することが

できます。

• ゾーンは、デバイスプロファイルが存在するかどうかに基づいて接続要求を分類し、データ保護コン

ポーネントのプロビジョニングの制御や、使用可能なリソースの決定のために使用されます。

ユーザーがアプライアンスに接続するとき、アプライアンスはユーザーのコンピュータに照会し、その属性が、

そのゾーンのデバイスプロファイルで定義されている属性と一致するかどうか判定します。デバイスがプロ

ファイルと一致する場合、アプライアンスは、そのコンピュータをそのゾーンに分類します。

次の図は、ユーザーがアプライアンスに接続するときに、アプライアンスによって実行される End Point Control 評価プロセスを示しています。

Aventail VPN では、共通のアクセスシナリオに合わせて構成されている、デフォルトの EPC ゾーンとデバイ

スプロファイルがあらかじめいくつか用意されています。

構成済みの EPC ゾーンには、次のようなものがあります。

• Antivirus and cache control required。このゾーンは、 Windows XP/2000 コンピュータと Apple Macintosh コンピュータで使用するもので、Norton または McAfee のいずれかのアンチウイルスソフトウェアがインストールされており、しかも Aventail Cache Cleaner が有効で、ユーザーセッショ

ンの後ブラウザのキャッシュが削除されるようになっていなければなりません。このゾーンは、構成済み

の Windows Antivirus および Macintosh Antivirus デバイスプロファイルを参照します。

• Windows firewall enabled。このゾーンでは、 Windows XP または 2000 コンピュータが必要で、

そのコンピュータに、 Sygatge、 Microsoft、 Zone Labs 製のパーソナルファイアウォールプログラム

がインストールされていなければなりません。このゾーンは、構成済みの Windows firewall デバイスプロファイルを参照します。

• Default。このゾーンは、接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可または

ブロックするためのグローバルな安全装置として機能します。


構成済みのデバイスプロファイルには、次のようなものがあります。

• Windows Antivirus。このデバイスプロファイルは、 Windows XP または 2000 が動作するコン

ピュータに、アンチウイルスプログラムとパーソナルファイアウォールプログラムの両方が存在するか

どうかを検出するよう構成されています。

• Macintosh Antivirus。このデバイスプロファイルは、 Apple Macintosh コンピュータに、アンチウ

イルスプログラムとパーソナルファイアウォールプログラムの両方が存在するかどうかを検出するよう

構成されています。

• Windows firewall。このデバイスプロファイルは、 Windows XP または 2000 が動作するコン

ピュータに、パーソナルファイアウォールがインストールされているかどうかを検出するよう構成され

ています。

• Macintosh computer。このデバイスプロファイルは、 Macintosh オペレーティングシステムが動作

するコンピュータを識別するよう構成されています。

構成済みのデバイスプロファイルが、個別のセキュリティ要件やコンピューティング環境に対応していない場

合、新しいプロファイルを作成することができます。アプライアンスは、これを使用して、指定されている属

性をユーザーのデバイスで検出するようになります。

EPC を構成するときは、初に、検索対象のクライアント属性を識別するデバイスプロファイルを 1 つまた

は複数作成します。次に、 EPC ゾーンを定義し、デバイスをそのゾーンに分類する上で必要なデバイスプロ

ファイルを参照します。一方でこのゾーンが、コミュニティで参照されます。これにより、どのユーザーが指

定のゾーンに分類され、そのユーザーに対してどのデータ保護エージェントが設定されるかが決定されます。

オプションとして、そのゾーンのユーザーがどのリソースを使用できるか決定するため、アクセス制御ルール

で特定のゾーンを参照することもできます。

デバイスプロファイル属性説明

アンチウイルスプログラム • Norton または McAfee アンチウイルスソフトウェアを検索。

• Microsoft Windows XP/ 2000、 Apple Macintosh で使用可能。

アプリケーション • クライアントデバイスで動作している特定のアプリケーションプロセスを検索。

• 「*」と「?」のワイルドカードをサポート。

• Microsoft Windows XP/ 2000、 Apple Macintosh、 Linux で使用可能。

ディレクトリ名 • デバイスのハードドライブで特定のディレクトリを検索。


ファイル名 • デバイス上で特定のファイル名および拡張子を検索。

• オプションで、ファイルサイズの他、絶対修正日や相対修正日を指定可能。

• オプションとして、 Windows デバイスでファイルの整合性を検証。


• 比較演算子をサポート。


パーソナルファイアウォールプログラム

• Sygate、 Microsoft、 ZoneLabs などのパーソナルファイアウォールを検索。

• Microsoft Windows XP/ 2000 で使用可能。

Windows ドメイン • ユーザーが特定のドメインに属しているかどうかを判定。


Windows レジストリエントリ • 特定の Windows レジストリエントリーキー名を検索。

• オプションで、特定の値の名前とデータを検索。


• 比較演算子をサポート。


Windows バージョン • Microsoft Windows XP/ 2000 のメジャーバージョン番号を検索。

• オプションで、マイナーバージョン番号およびビルド番号を検索。

デバイス名および記述 • pocket PC / PDA、携帯電話で使用可能。


End Point Control のシステム要件

ユーザーのデバイスが End Point Control のシステム要件に合致しているか確認するときは、次の表を参照し

てください。

まとめ : レルムとコミュニティの使用

レルムは、認証、ユーザー管理、アクセスエージェントのプロビジョニング、 End Point Control などを統合

し簡単にする上位のオブジェクトです。

レルムでは、 Microsoft Active Directory、 LDAP、 RADIUS などの認証サーバーを参照します。ユーザー認

証を管理するには、 AMC で認証サーバーを定義して、ユーザーによるアプライアンスへのログインのために

セットアップするレルムから参照されるようにしなければなりません。

ユーザーがアプライアンスにログインすると、ユーザーに特定のコミュニティ ( 同様のアクセス要件とセキュ

リティ要件を持つユーザー集団 ) が割り当てられます。コミュニティは、どのアクセス方式をメンバーユー

ザーに提供するか決定すると同時に、エンドポイントデバイスに対して制約を設定するかどうか決定します。


オペレーティングシステム

ブラウザその他

End Point Control (Interrogator および Installer)

















Aventail Cache Control • Windows XP Pro、Service Pack 2








• Sun JVM 1.5.1








Aventail Secure Desktop • Service Pack 1 または 2 がインストールされた Windows XP Pro

• Service Pack 1 または 2 がインストールされた Windows XP Home





• Sun JVM 1.5.1



次の図は、レルムがユーザーを認証して、これをコミュニティに割り当て、アクセスエージェントをプロビ

ジョニングして、 End Point Control が有効であれば、コンピュータの信頼性に基づいてコミュニティメン

バーをさまざまなゾーンに割り当てる過程を示しています。

ネットワークで 1 台の認証サーバーのみにユーザー情報を保管している場合、 AMC に認証レルムを 1 つだけ

作成する必要があります。ただし、ネットワークで複数の認証サーバーを使用している場合、それぞれのサー

バーごとに、レルムを 1 つ以上作成する必要があります。

認証レルムを 1 つしか使用しない場合でも、ユーザーアクセスや End Point Control について詳細なレベル

で構成することができます。 AMC では、アクセス要件やその他のセキュリティ条件に基づいてユーザーのサブ

セットを作成することができます。コミュニティは、レルム内のすべてのユーザーで構成できる他、選択した

ユーザーやグループのみを入れることもできます。

も単純なシナリオでは、 1 つのレルムを 1 台の認証サーバーに対応させます。このレルムは、 AMC でデ

フォルトとして構成されているグローバルコミュニティを参照することができます。この設定は、同一のアク

セス要件を持つ同種のユーザー集団が存在する場合に使用すると便利です。

組織やユーザー集団の複雑さによっては、複数のコミュニティが必要になることもあります。たとえば、 VPN アクセスを必要としている 2 つの異なるグループ、従業員グループとビジネスパートナーグループを作成し

ます。従業員グループは、 (IT 部門が支給したノート型 PC などの ) 信頼されているコンピューティング環境

から接続し、ネットワークリソースに対して広範囲のアクセスを必要とするユーザー集団です。一方、ビジネ

スパートナーグループは、安全でないコンピューティング環境を介して接続し、一定の限定的なリソースに

対するアクセスのみを必要とするユーザー集団です。たとえば、従業員コミュニティについては、従業員に対

してトンネルクライアントを設定し、 Web リソース、ネットワークリソース、ファイル共有リソースにアク

セスできるようにして、ビジネスパートナーについては、より限定的な Web 限定のアクセスを提供するよう

構成します。

End Point Control が有効な場合、メンバーを特定の「信頼ゾーン」に割り当てるためにコミュニティを使用

することもできます。たとえば、従業員とビジネスパートナーに別々のコミュニティを設定した先ほどの例の

場合、 EPC を使用することにより、従業員のコンピュータでアンチウイルスプログラムやファイアウォールが

動作しているか検出した上で、信頼されているゾーンにそのコンピュータを入れるなどの設定が可能になりま

す。ビジネスパートナーや従業員が、必要なセキュリティプログラムが動作していないコンピュータを使っ

て接続している場合、これを信頼性の低いゾーンに割り当て、 Aventail Secure Desktop や Aventail Cache Control でプロビジョニングする設定にしておきます。

End Point Control

AD.example.com

CompanyXYZ Employees

Partners

= "Employees"

= "Partners"

? ?

OnDemandWeb

IT PC PC

Web PC



第 3 章インストールおよび設定の準備

この章では、 Aventail アプライアンスのインストールと構成、ユーザーへのリソースの設定などの基本手順

と、それに関連する情報を紹介します。

インストール

Aventail VPN アプライアンスは、 2 種類の方法でインストールすることができます。 1 つは、 Web ブラウザ

を使用して Setup Wizard を実行する方法で、その場合は基本ネットワーク設定などのオプションを順に構成

していきます。もう 1 つの方法は、アプライアンスとシリアル接続する方法で、その場合はコマンドラインか

ら Setup Tool を実行します。アプライアンスの使用経験が少ない管理者にとっては、 Setup Wizard の方が

簡単ですが、 Linux などの経験者であれば、コマンドライン方式の方が馴染み深いでしょう。

Setup Wizard では、アプライアンスの基本ネットワーク設定を構成する以外にも、ライセンスファイルのイ

ンポート、トラフィックのプロキシで必要な SSL 証明書の構成、日時の設定などを行うことができます。

Setup Wizard では、アプライアンスのセットアップ後のテストで使用するために、アプライアンスでテストユーザーを作成し、基本リソースおよびアクセス制御ルールを作成することもできます。

インストールチェックリスト

アプライアンスの構成を始める前に、次の情報を収集する必要があります。この情報の一部については、

Setting Wizard または Setup Tool を実行するときに指定しますが、ほとんどの情報については、 AMC でア

プライアンスを構成するときに使用することになります。

• アプライアンスの管理の際に使用する root パスワード。

• 内部 IP アドレスおよび ( オプションで ) 外部 IP アドレス。

• デフォルトゲートウェイアドレス。

• ドメインネームサーバーや検索ドメインなど、名前解決のための情報。

• 一方または両方のネットワークアダプタのインタフェース速度。 ( インタフェース速度は、ネットワークデバイス間で自動的に決定されるようにするのではなく、 AMC で個別に設定する )。

• アプライアンスの名前。 ( この名前はログファイルでのみ使用されるため、 DNS に追加する必要はない )

• クラスタをインストールするときは、他にも情報が必要になります。詳細については、『インストールおよび管理ガイド』を参照してください。

証明書情報サーバー証明書および AMC 証明書を生成するときは、次の情報が使用されます。

• アプライアンスの完全修飾ドメイン名 (FQDN)。この名前をパブリック DNS に追加すると、ユーザーが Web ベースのリソースに接続するときに、この名前を参照できるようになります。

• ASAP Management Console (AMC) の FQDN。アプライアンスを管理するために AMC にアクセスす

るときは、この名前を使用します。

ネームルックアップ情報

• アプライアンスを接続するネットワークの内部 DNS ドメイン名

• プライマリ内部 DNS サーバーアドレス ( 追加 DNS サーバーはオプション )

• 内部 WINS サーバーの IP アドレスと Windows ドメインの名前 ( これらは、Aventail ASAP WorkPlace を使用して Windows ネットワークのファイルをブラウズする場合は必要ですが、それ以外はオプション )

28 | 第 3 章 - インストールおよび設定の準備

認証情報

• 認証サーバー (LDAP、 Microsoft Active Directory、 Netegrity SiteMinder、 RSA ClearTrust、RADIUS など ) のサーバー名とログイン情報

ルーティング情報

• デフォルトゲートウェイアドレス。 AMC にアクセスする際、アクセス元のコンピュータがアプライアン

スと異なるネットワーク上にある場合、 Setup Tool の実行時にゲートウェイを指定する必要があります。

AMC では、インターネットに接続する際のデフォルトゲートウェイを指定します。

• 内部リソースへのルーティング情報。これには、静的ルートや動的ルートを入れることができます。動的

ルーティングを使用する場合は、サイトがルーティング情報プロトコル (RIP) をサポートしていなければ

なりません。

仮想アドレスプール情報

• ネットワークトンネルクライアント (Connect トンネルまたは OnDemand トンネル ) を設定する場合、

1 つまたは複数のアドレスプールから IP アドレスを割り当てるか、 DHCP サーバーを使用しなければな

りません ( 明示的に指定するか自動的に配置 )。

オプションの構成情報

• リモートマシンから SSH アクセスできるようにするときは、リモートホストの IP アドレスが必要にな

ります。

• NTP サーバーと同期させるときは、 1 つまたは複数の NTP サーバーの IP アドレスが必要になります。

• データを syslog サーバーに送信するときは、1 つまたは複数の syslog サーバーの IP アドレスとポート

番号が必要になります。

ファイアウォールポリシーの確認

アプライアンスが正しく機能するためには、外部 ( インターネット側 ) ファイアウォールおよび内部ファイア

ウォールのポートを開かなければなりません。

外部ファイアウォール

Web ブラウザ、 Aventail Connect、 Aventail OnDemand からアプライアンスへアクセスできるようにする

には、サイトのファイアウォールでポート 80 とポート 443 を開いておかなければなりません。 SSH アクセ

スを許可するためにファイアウォールを開いておくというのは必須条件ではありませんが、リモートシステム

から管理作業ができるようになるため便利です。

トラフィックタイプポート / プロトコル用途必須 ?

HTTP 80/tcp 非暗号化ネットワークアクセス ○

HTTPS 443/tcp 暗号化ネットワークアクセス ○

SSH 22/tcp アプライアンスへの管理アクセス


内部ファイアウォール

内部ネットワークにファイアウォールがある場合、ポリシーを調整して、アプライアンスが通信するバックエ

ンドアプリケーションのためにポートを開く必要があります。場合によっては、 DNS や電子メールなどの標

準ネットワークサービス用のポートを開く以外に、アプライアンスが次のサービスにアクセスできるようにす

るため、ファイアウォールポリシーを修正する必要があります。

インストールと構成の概要

インストールプロセスは、ここで概説されているいくつかの手順で構成されています。詳細については、『インストールおよび管理ガイド』を参照してください。

1. アプライアンスをラックマウントし、ケーブルを接続します。

2. Web ブラウザのアドレスバーに、 Setup Wizard に対する静的な URL (192.168.0.10) を入力します。

3. Setup Wizard を実行して基本的なネットワーク設定を構成し、オプションで基本リソース、アクセスルール、テストユーザーを設定します ( コマンドラインから Setup Tool を実行することもできる )。

4. AMC にログインし、ネットワーク構成を行います。

5. サーバー証明書を構成します。 (AMC を使用して作成した自己署名サーバー証明書または商用認証局から

得た証明書 )。

6. 1 つまたは複数の認証サーバーを定義します。

7. 1 つまたは複数のコミュニティを含むレルムを定義し、アクセスエージェントを設定して、オプション

で End Point Control ツールをプロビジョニングするようにします。

8. アプリケーションリソースを定義します。

9. ユーザーおよびグループを定義します。

10. アクセス制御ルールを作成します。

11. ASAP WorkPlace で、 Web、ネットワーク、グラフィカルターミナルのショートカットを構成します。

12. 変更を適用します。

13. システムのアクセス性能をテストします。

トラフィックタイプポート / プロトコル使用法

Microsoft ネットワーキング

• 138/tcp および 138/udp

• 137/tcp および 137/udp

• 139/udp

• 162/snmp

• 445/smb

ASAP WorkPlace による WINS 名前解決、要求のブラウズ、ファイル共有へのアクセスの際に使用

LDAP ( 非暗号化 ) 389/tcp LDAP ディレクトリまたは Microsoft Active Directory との通信

LDAP over SSL ( 暗号化 ) 636/tcp SSL を介した LDAP ディレクトリまたは Microsoft Active Directory との通信

RADIUS 1645/udp または 1812/udp RADIUS 認証サーバーとの通信

NTP 123/udp アプライアンスのクロックと NTP サーバーとの同期

Syslog 514/tcp システムログ情報の syslog サーバーへの送信

SNMP 161/udp SNMP 管理ツールからのアプライアンスの監視


設定

リソースやアクセスポリシーの定義が終わったら、これらのリソースをユーザーが使用できるようにします。

Web リソース、 Windows ファイル共有、ターミナルサーバーは、 ASAP WorkPlace を使用することで簡単

に設定することができます。 Aventail OnDemand トンネルエージェントとプロキシエージェントの他、

Connect Mobile を使用して、クライアント / サーバーアプリケーションにアクセスできるようにします。ま

た、 Aventail Connect トンネルクライアントおよびプロキシクライアントを使用することで、 Windows ユーザーが、ネットワークを介して、リソースに広範囲にアクセスできるようにします。

ASAP WorkPlace の設定

ASAP WorkPlace は、ネットワークに対するユーザーのアクセスを動的にパーソナライズする Web ポータル

で、アプライアンスからリソースを直接、簡単に設定できるようになります。 WorkPlace では、 VPN の主要

なコンポーネントに対するアクセスを提供します。

• Web ショートカットを作成すると、ユーザーが Web リソースにアクセスできるようになります。ネッ

トワークショートカットを作成すると、ユーザーがファイルシステムリソースにアクセスできるように

なります。グラフィカルターミナルショートカットを作成すると、Windows Terminal Services または Citrix ホストで提供されるリソースに対して、ユーザーが Web ベースでアクセスできるようになります。

• [Network Explorer] ページからは、 Windows ファイル共有に対して Web ベースのアクセスが可能

になります。これは、 Windows の Explorer 風のインタフェースで、ファイルのオープン、アップロー

ド、ダウンロード、コピーなどといった、ほとんどの一般的なファイル管理作業を行うことができます。

それぞれのユーザーのアクセス権限を制御する場合、アプライアンスのファイルシステムアクセスポリ

シーが使用されます。また、 ASAP WorkPlace からファイルのアップロードを禁止したり、ファイル共

有へのアクセスを全面的に禁止したりすることもできます。

• [Intranet Address] ボックスでは、ユーザーが URL や UNC パス名を入力することによって、個別の

リンクを作成していないリソースにアクセスすることができます。たとえば、ユーザーが Web サーバー

のホスト名を入力したり、 Windows ファイル共有の特定フォルダの名前を入力したりすることができま

す。

さまざまなユーザー集団に応じて複数の WorkPlace サイトを作成することができます。それぞれのサイトに

は、独特の外観 ( ロゴ、見出し、あいさつ文 ) と固有の外部 URL を設定することができます。

WorkPlace では、 PDA、 Pocket PC、スマートフォン、 WAP 互換電話、 iMode などの小型携帯端末について

もサポートしています。ユーザーが小型携帯端末から WorkPlace にログインするとき、 WorkPlace は、その

デバイスタイプを検出し、クライアントデバイスの機能にも適した形式に自動的に変換されます。

ASAP WorkPlace の構成の詳細については、『インストールおよび管理ガイド』を参照してください。

Aventail アクセス方式の設定

この節では、 Aventail アクセスクライアントおよびエージェントをユーザーに設定する方法について簡単に

説明します。詳細については、 Aventail の『インストールおよび管理ガイド』を参照してください

アクセスクライアントまたはエージェント設定オプション

Aventail Connect トンネルクライアント

• ASAP WorkPlace のプロビジョニングページのリンクをクリックして、Windows クライアントをダウンロードしインストールする方法です。

• 管理者は、 Connect トンネルクライアントのカスタムンストーラパッケージを作成し、ユーザーが ASAP WorkPlace にログインしなくても、他のネットワークロケーションからインストールできるようにします。

Aventail OnDemand トンネルエージェント

• このエージェントは、ユーザーが Web ブラウザを使用して ASAP WorkPlace にログインし認証を受けるたびに、自動的に起動されます。

Aventail OnDemand プロキシエージェント

• 埋め込みモードの場合、 OnDemand は、ユーザーが ASAP WorkPlace に接続するときに自動的に起動します。

• スタンドアロンモードの場合、ユーザーは WorkPlace をクリックして OnDemand を手作業で開始します。 OnDemand は、別のブラウザウィンドウに表示されます。

Aventail Connect プロキシクライアント

• クライアントは、Aventail Connect Configuration Tool という名前の、独立した Windows プログラムを使用して構成します。

• Aventail Connect Customizer ツールを使用して、Connect セットアップパッケージをカスタマイズできます。

Aventail Connect Mobile client • クライアントは、アプリケーションファイルを抽出し、ユーザーの Pocket PC デバイスにファイルをコピーする Windows セットアッププログラムを使用してインストールします。


End Point Control エージェントの設定

この節では、 End Point Control コンポーネントがユーザーに設定される方法について簡単に説明します。

Aventail とサードパーティの両方の EPC ツールについて、 AMC の [Agent Configuration] ページから起

動するよう設定することができます。詳細については、『インストールと管理ガイド』を参照してください。

Web プロキシエージェント • このエージェントは、ユーザーが Web ブラウザを使用して ASAP WorkPlace にログインし認証を受けるたびに、自動的に起動されます。

トランスレーテッド Web エージェント • トランスレーテッド Web エージェントでは、 Web プロキシエージェントをサポートしないシステムが、代わりに ASAP WorkPlace ポータルを使用してアクセスできるようにします。

アクセスクライアントまたはエージェント設定オプション

EPC コンポーネント設定の手順

Aventail Secure Desktop • [Manage License] ページから Aventail Secure Desktop ライセンスをアプライアンスにアップロードします。

• [Configure Data Protection] ページで有効にして構成します。

• EPC についても、 [End Point Control] ページで有効にしなければなりません。

• レルム単位で設定します。

Aventail Cache Control • [Configure Data Protection] ページで有効にして構成します。

• EPC についても、 [End Point Control] ページで有効にしなければなりません。

• Aventail Secure Desktop がクライアントデバイスでサポートされていない場合は、代替システムとして使用します。

• レルム単位で設定します。

Sygate On-Demand • 個別に購入、アップロードする必要があります。

• [Configure Data Protection] ページで有効します。

• グローバルに設定します。

Zone Labs Integrity Clientless Security • 個別に購入する必要があります。

• すべてのセキュリティエージェントが存在する URL を [Configure Client Integrity] ページで構成します。


WholeSecurity Confidence Online • 個別に購入する必要があります。

• すべてのセキュリティエージェントが存在する URL を [Configure Client Integrity] ページで構成します。




第 4 章一般的な VPN 構成

この章では、 VPN アクセスを構成しユーザーに設定する場合の一般的なシナリオの実践例を紹介します。特に

記述していない限り、ここで紹介する構成手順は AMC を使用して実行しています。

リモートアクセス VPN のシナリオ

リモートアクセス VPN の設定方法について理解しやすくするため、ここではいくつか一般的なシナリオを紹

介します。

特定の Web リソースに対するアクセスの提供

特定の Web アプリケーションなどの Web リソースに対するアクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで URL リソースを定義します。

2. [Add/Edit Access Rule] ページで、この URL を参照するアクセス制御ルールを作成します。

3. [WorkPlace Shortcuts] ページで、 WorkPlace への Web ショートカットを追加します。

ネットワーク上のすべての Web リソースに対するアクセスの提供

ネットワーク上のすべての Web リソースに対するアクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで、すべての内部 DNS ドメインに対するネットワークリソース ( ドメ

インやサブネットなど ) を定義します。

2. [Add/Edit Access Rule] ページで、このネットワークオブジェクトを参照するルールを作成します。

3. WorkPlace の [Intranet Address] ボックスに Web リソースに対するホスト名または URL を入力す

るよう、ユーザーに伝えます。

ネットワークの特定部分上にあるすべての Web リソースに対するアクセスの提供

ネットワークの特定部分限定ですべての Web リソースに対するアクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで、対応する Web リソースを含むネットワーク部分に対するネット

ワークリソース ( ドメインやサブネットなど ) を定義します。

2. [Add/Edit Access Rule] ページで、このネットワークオブジェクトを参照するルールを作成します。

3. WorkPlace の [Intranet Address] ボックスに Web リソースに対するホスト名または URL を入力す

るよう、ユーザーに伝えます。

Windows ユーザーに対する、ネットワークリソースへの広範囲のアクセスの提供

Windows ユーザーに、ネットワークリソースに対する包括的なアクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで、 DNS ドメインを参照するリソースを定義します。

2. [Add/Edit Access Rule] ページで、そのドメインを参照するルールを作成します。

3. ネットワークトンネルクライアントまたは Connect プロキシクライアントを構成し、ユーザーに配布

します。

34 | 第 4 章 - 一般的な VPN 構成

ネットワーク全体に対する Web ベースのファイルアクセスの提供

ファイルシステムリソースに対する、ネットワーク経由の Web ベースのファイルアクセスを提供する場合、

次のようにします。

1. [Add/Edit Resource] ページで、 Windows ドメインを参照するリソースを定義します。

2. [Add/Edit Access Rule] ページで、このドメインを参照するルールを作成します。

3. [WorkPlace Shortcuts] ページで、このドメインを参照するネットワークショートカットを追加しま

す。

4. WorkPlace の [Network Explorer] タブが表示されていることを確認します ( これがデフォルトの状

態 )。

5. [Network Explorer] で、ファイルシステムリソースに対する適切なリンクをクリックするよう、

ユーザーに伝えます。

パートナー VPN のシナリオ

ここでは、ビジネスパートナーに VPN を設定するための一般的な手順をいくつか例で紹介します。これらの

シナリオは、ネットワークリソースへのアクセスが必要な請負業者やその他のサードパーティユーザーに対

して、 VPN アクセスを提供するときに使用すると便利です。

特定の Web リソースに対するアクセスの提供と内部ホスト名の隠匿

内部ホスト名が明らかにならないようにするためエイリアスを使用することで、特定の Web リソースに対す

るアクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで URL リソースを定義し、このページの [Advanced] セクションで、

このリソースに対するエイリアスを指定します。

2. [Add/Edit Access Rule] ページで、この URL を参照するルールを作成します。


クライアント / サーバーアプリケーションに対する Web ベースのアクセスの提供

クライアント / サーバーアプリケーションに対する Web アクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで、ネットワークリソースを定義して、対応するアプリケーションのホ

スト名または IP アドレスを指定します。

2. [Add/Edit Access Rule] ページで、このネットワークリソースを参照するルールを作成します。

3. OnDemand プロキシエージェントを構成します ( シンクライアントにアクセスする場合は、オプショ

ンで OnDemand を構成し、このアプリケーションが自動的に起動するよう構成することもできる )。



End Point Control のシナリオ

この節では、 End Point Control を設定する方法を基本的な例を示しながら紹介します。 End Point Control を設定すると、ネットワーク上の重要なデータを保護できるだけでなく、信頼されていない環境のデバイスか

らアクセスされた場合でもネットワークが危険にさらされることのないようにします。

信頼されていないシステムの従業員を対象とした、 Aventail Cache Control の設定

信頼されていない環境から接続している従業員に対して、 Aventail Cache Control を設定する場合、次の構成

手順を実行します。この構成では、デバイスプロファイルと一致しないデバイスから接続している従業員に対

する安全装置として、グローバルなデフォルト EPC ゾーンを使用します。

1. 信頼されているシステムを識別する属性 (Windows レジストリキー、企業アプリケーションの名前、

Windows ドメイン名など ) を記述したデバイスプロファイルを定義します。

2. 特定のゾーンでこのデバイスプロファイルを参照し、そのゾーンでデータ保護ツールを使用しないよう

構成します。

3. 従業員が使用するコミュニティで、このゾーンを参照します。

4. Aventail Cache Control を使用するグローバルデフォルトゾーンを構成します。

信頼されているプロファイルと一致しないデバイスからの接続要求は、自動的にデフォルトゾーンに割

り当てられるようになります。このゾーンの場合、 Web セッションが終わった時点で、 Aventail Cache Control が履歴、一時ファイル、パスワード、クッキーをユーザーのシステムから削除します。

自身のドメインから接続するパートナーに対する Aventail Secure Desktop の設定

自身の企業ドメインから接続するビジネスパートナーに Aventail Secure Desktop を設定するには、次の手

順を実行します。

1. パートナーの Windows ドメイン名に対する属性を記述したデバイスプロファイルを定義します。

2. 特定のゾーンでこのデバイスプロファイルを参照し、そのゾーンで Aventail Secure Desktop を使用す

るよう構成します。

3. パートナーが使用するコミュニティで、このゾーンを参照します。

4. VPN アクセスをブロックするデフォルトゾーンを構成します ( 未知のシステムがネットワークにアクセ

スすることを防止 )。

選択した従業員について Aventail Cache Control をバイパスするよう設定

ホームコンピュータを使用する従業員がネットワークに接続するとき、 Aventail Cache Control (ACC) をバ

イパスするよう設定する場合、次の構成手順を実行します。

1. [Device Profile Definition] ページで、アプリケーションを参照する属性や、その組織に固有の属性

を記述したデバイスプロファイルを定義します。

2. [Zone Definition] ページでこのデバイスプロファイルを参照し、そのゾーンで EPC を使用しないよ

う構成します。

3. 従業員が使用するコミュニティで、このゾーンを参照します。

4. Aventail Cache Control を使用するデフォルトゾーンを構成します。


アクセスポリシーのシナリオ

アクセス制御ルールは、ユーザーまたはグループがどのリソースを使用できるか定義するものです。ルールは、

Aventail のアクセス方式からのアクセスを受け入れるよう広く定義できる他、特定のアクセス方式のみを許可

するよう狭く定義することもできます。

VPN 接続には通常、いわゆる順方向接続 ( ネットワークリソースに対してユーザーが始動する ) が伴います。

Aventail のすべてのアクセス方法で、順方向接続がサポートされています。ただし、 Aventail ネットワークトンネルサービスが動作しており、 Aventail のネットワークトンネルクライアントをユーザー環境に設定す

る場合、双方向接続に対するアクセス制御ルールを作成することもできます。

Aventail VPN では、双方向接続によって次の機能が実行されます。

• ネットワークリソースから VPN への逆方向接続。逆方向接続の例には、ソフトウェアアップデートを

ユーザーのコンピュータに「プッシュ」する SMS サーバーがあります。

• VPN ユーザーが他の VPN ユーザーに電話できるようにする Voice over Internet Protocol (VoIP) アプ

リケーションを使用した相互接続。相互接続では、順方向接続に使用するアクセス制御ルールと逆方向接

続に使用するアクセス制御ルールのペアが必要です。 VoIP シナリオについては、 37 ページの「Voice Over IP (VoIP) に対するアクセスの提供」を参照してください。

• その他の双方向接続タイプには、 VPN ユーザーとの間でファイルをダウンロードまたはアップロードす

る FTP サーバーや、リモートヘルプデスクアプリケーションなどがあります。

順方向接続

順方向接続のためのアクセス制御ルールを作成するには

1. [Add/Edit Resource] ページで、アクセス制御ルールによって制御されるリソースを定義します。

2. [Add/Edit Access Rule] ページでルールを作成します。

3. ルールを構成します。このとき、ルールを適用するユーザーを [From] ボックスで指定して、ユーザー

がアクセスできる対象リソースを [To] ボックスで指定します。

4. ユーザーがリソースに接続する際に使用するアクセス方式を指定します。

逆方向接続

リソースから VPN ユーザーに対する逆方向接続のためのアクセス制御ルールを作成するには、次の手順を実

行します。

1. AMC のホームページまたは [Services] ページを使用して、アプライアンスでネットワークトンネルサービスが動作していることを確認します。

2. [Configure Network Tunnel Service] ページで、ネットワークトンネルクライアント (Connect トンネルや OnDemand トンネル ) に対する IP アドレスプールを作成します。

3. [Access Methods] ページを使用して、 VoIP アプリケーションにアクセスするユーザーが、ネット

ワークトンネルクライアントをコンピュータに設定する構成のコミュニティに所属していることを確認

します。

4. [Add/Edit Resource] ページで、アクセス制御ルールによって制御されるリソースを定義します。

5. ルールを構成します。このとき、ルールが適用されるリソースを [From] ボックスで指定して、リソー

スへのアクセスを許可するユーザーを [To] ボックスで指定します。

6. ユーザーがリソースに接続する際に使用するアクセス方式を指定します。


アプリケーション別のシナリオ

ここでは、リモートユーザーが、 Microsoft Outlook Web Access や Citrix などといった一般的に使用され

るアプリケーションにアクセスできるよう、アプライアンスを構成する手順をいくつか例で紹介します。

Outlook Web Access (OWA) に対するアクセスの提供

AMC では、便宜のため、 Microsoft Outlook Web Access (OWA) など、いくつかの Web アプリケーション

用のプロファイルがすでに構成されています。 OWA に対するアクセスを提供する場合、次のようにします。

1. [Add/Edit Resource] ページで、 Outlook Web Access サーバーに対する URL リソースを定義しま

す。

2. [Add/Edit Resource] ページで、 Web アプリケーションプロファイルとして [OWA/Single Sign-On] を選択します。これにより、 OWA に対して、シングルサインオンとコンテンツ変換が自動

的に構成されます。

3. [Add/Edit Access Rule] ページで、この OWA サーバーリソースを参照するアクセス制御ルールを

作成します。

4. [Add/Edit Web Shortcut] ページで、 ASAP WorkPlace ユーザーが使用可能な OWA への Web ショートカットを追加します。

5. [Add/Edit Web Shortcut] ページの [Start page] ボックスを使用して、 OWA の URL に固有の情

報を追加します。たとえば、リンクがルート以外のディレクトリやファイルをポイントするようにしたい

場合、 OWA がルート以外のロケーションに内容を保管しているため、 [Start page] ボックスにその相

対パスを入力します。選択した Outlook Web Access 用の URL が、 mail.example.com をポイントす

る場合、スタートページを /exchange/root.asp. に設定することができます。この結果、 URL は https://mail.example.com/exchange/root.asp. になります。

Voice Over IP (VoIP) に対するアクセスの提供

Aventail ネットワークトンネルクライアントを実行しているユーザー同士が、 Voice over IP (VoIP) テレ

フォニーアプリケーションを使用して互いに通話できるようにする場合、次のようにします。

1. AMC のホームページまたは [Services] ページを使用して、アプライアンスでネットワークトンネルサービスが動作していることを確認します。

2. [Configure Network Tunnel Service] ページで、ネットワークトンネルクライアント (Connect トンネルや OnDemand トンネル ) に対する IP アドレスプールを作成します。

3. [Add/Edit Resource] ページで、この IP アドレスプールに対応する IP 範囲またはサブネットを使

用するネットワークリソースを定義します。

4. [Configure Community] ページの [Access Methods] セクションを使用して、 VoIP アプリケー

ションにアクセスするユーザーが、ネットワークトンネルクライアントをコンピュータに設定する構成

のコミュニティに所属していることを確認します。

5. [Add/Edit Access Rule] ページで、 VoIP ユーザーから、 VoIP アプリケーションで使用されるアド

レスプールに対するアクセス制御ルールを作成します。

6. [Add/Edit Access Rule] ページで、 VoIP アプリケーションのアドレスプールからこの VoIP ユー

ザーに対する 2 番目のアクセス制御ルールを作成します。

Windows Terminal Services または Citrix に対するアクセスの提供

Windows Terminal Services ホストまたは Citrix ホストに対するアクセスを提供する場合、次のようにしま

す。

1. [Configure Graphical Terminal Agents] ページで、 Windows Terminal Services エージェント

または Citrix エージェントに対する適切なエージェントファイルまたは URL を構成します。

2. [Add/Edit Resource] ページで、 Windows Terminal Services ホストまたは Citrix ホストに対する

ネットワークリソースを定義します。

3. [Add/Edit Access Rule] ページで、このネットワークリソースを参照するルールを作成します。

4. [Add/Edit Terminal Shortcut] ページで、 Windows Terminal Services ホストまたは Citrix ホス

トにアクセスするための WorkPlace リンクを作成します。


認証のシナリオ

レルムは、次のような目的のためにアプライアンスで使用されます。

• 外部認証サーバーを参照するため

• コミュニティのメンバーシップに基づいてアクセスエージェントを VPN ユーザーにプロビジョニングす

るため

• ユーザーのデバイスにどの End Point Control を課すか決定するため

• WorkPlace ポータルでのユーザーのログインエクスペリアンスを制御するため

複数のレルムと単一のレルムの使用

ネットワークで 1 台の認証サーバーを使用している場合、AMC にレルムを 1 つだけ作成する必要があります。

ただし、複数の認証リポジトリにユーザーを保管している場合、リポジトリごとに別々のレルムを作成する必

要があります。たとえば、従業員が LDAP サーバーに保管されておりビジネスパートナーが Active Directory サーバーに保管されている場合、それぞれのサーバーを参照する独立したレルムを作成します。

アプライアンスで独立した認証レルムを作成するシナリオとして、それぞれのユーザーに固有のルックアンドフィールを提供するような状況があります。これは、 1 台の外部認証サーバーを使用しているか、複数のサー

バーを使用しているかに関係なく当てはまります。この場合、それぞれのレルムを、独特の色、ロゴ、あいさ

つ文を持つカスタム WorkPlace サイトと対応させます。また、カスタム URL を設定することもできます。

複数のレルムを作成する場合、次の構成手順を実行します。

1. [Configure Realm] ページの [General] セクションで、それぞれの外部認証サーバーごとに個別の

レルムを作成します。

2. [Configure Realm] ページの [Communities] セクションで、それぞれのレルムに 1 つまたは複数

のコミュニティを対応させます。

3. それぞれのコミュニティで、それに属するレルムメンバーを定義し、設定されるアクセスエージェント

を選択して、 End Point Control を指定します。

4. それぞれのレルムで、メイン WorkPlace ポータルのリストからレルムを選択してログインするユー

ザー、カスタム WorkPlace ポータルから直接ログインするユーザーなどを決定します。

単一のコミュニティの使用

AMC で認証レルムを作成するとき、そのレルムに対応するデフォルトコミュニティが自動的に作成されます。

リソースの要件やアクセス方式などが同一の同種のユーザーグループしかない場合はこの単一のコミュニティ

で十分ですが、多様なリモートユーザーのグループがある場合は、次の節で説明する方法で複数のコミュニ

ティを作成する必要があります。

単一のコミュニティを作成する場合、次の構成手順を実行します。

1. [Configure Realm] ページの [General] セクションで、 1 台の外部認証サーバーを参照する単一の

レルムを作成します。この操作により、このレルムが参照するデフォルトコミュニティが自動的に作成

されます。デフォルトコミュニティ設定はグローバルであり、それを参照するすべてのレルムに適用さ

れます。

2. このコミュニティに属するユーザーまたはグループ、 VPN への接続で使用されるアクセス方式、 End Point Control オプション ( オプション ) などを選択することにより、コミュニティを構成します。


複数のコミュニティの使用

複数のコミュニティを使用すると、異なるアクセスエージェントを異なるユーザー集団に柔軟にプロビジョニ

ングできる他、異なる End Point Control 構成も設定することができます。このシナリオは、すべてのユー

ザーが単一の外部認証サーバーに保管されているにもかかわらず、組織内での役割、アクセス対象のリソース

のタイプ、その他のセキュリティ上の理由などによって、それをさらに分割したい場合に使用すると便利です。

たとえば、 IT 部門が管理するノート型 PC でリモートアクセスする従業員に対応するコミュニティを 1 つ作

成し、 Connect トンネルクライアントでそれをプロビジョニングして、ネットワークリソースに対して広範

にアクセスできるようにすることができます。一方でビジネスパートナーに対しては、 Web アクセスに制約

を設け、データ保護ツールをプロビジョニングして、ログオフ後にすべてのセッションを削除する End Point Control ゾーンを割り当てるコミュニティを作成することができます。

複数のコミュニティを作成する場合、次の構成手順を実行します。

1. [Configure Realm] ページで、 1 台の外部認証サーバーを参照する単一のレルムを作成します。

2. 選択したユーザーまたはグループをそのメンバーシップとして含むコミュニティを 2 つ以上作成します。

3. それぞれのコミュニティで使用可能なアクセスエージェントを構成します。

4. オプションで、 End Point Control ゾーンおよびデバイスを構成し、認証前または認証後にデータイン

テグリティツールを設定するようにします。

5. この EPC ゾーンをコミュニティに追加します。

アクセスコンポーネントプロビジョニングのシナリオ

Aventail Connect プロキシクライアントおよび Connect Mobile クライアント ( 個別にインストール ) 以外

のすべての Aventail ユーザーアクセスコンポーネントは、 ASAP WorkPlace ポータルで設定し有効にしま

す。

オプションとして、 Aventail Connect トンネルクライアントコンポーネントを使用できるようにすると、

ユーザーが、 ASAP WorkPlace にログインせずに、他のネットワークロケーション (Web サーバー、 FTP サーバー、ファイルサーバーなど ) からダウンロードとインストールを行えるようになります。

ユーザーアクセスエージェントは、コミュニティ単位でインストールすることができます。ユーザーコミュ

ニティを構成するとき、コミュニティのメンバーが、どのアクセス方式を使用して、ネットワーク上のリソー

スに接続できるようにするか指定することができます。

複数のエージェントを同時にアクティブにすることもできます。たとえば、ダイナミックモードの OnDemand プロキシエージェントと Web プロキシエージェントを同時にアクティブにすることができま

す。 OnDemand をダイナミックモードで使用すると、ユーザーが TCP リソースにアクセスできるようにな

り、 Web プロキシエージェントを使用すると、ユーザーが Web リソースにアクセスできるようになります。

ユーザーが初めて ASAP WorkPlace にログインするとき、そのユーザーのコミュニティの設定に基づいて、

適切なユーザーアクセスエージェントが自動的に設定されインストールされます。デプロイされているエー

ジェントは、ユーザーのコンピュータにインストールされ、その後、同じコンピュータから同じ Web ブラウ

ザに接続されるときは、同じエージェントが自動的にデプロイされます。


WorkPlace のシナリオ

ここでは、 WorkPlace を使用して、ユーザーがネットワークリソースにアクセスするために使用する、カス

タムポータルを作成する手順をいくつか例で紹介します。

カスタム WorkPlace サイトの作成

異なるユーザー集団に対して、複数の WorkPlace サイトを作成することができます。それぞれのカスタム WorkPlace サイトには、独自の外部 URL および外観を割り当てることができます。

カスタム WorkPlace サイトを作成するには、次の手順を実行します。

1. [Configure WorkPlace Site] ページで WorkPlace サイトを作成します。

• [General] セクションにサイトの名前と完全修飾ドメイン名を入力し、ユーザーがログインするレ

ルムを指定します。

• [Appearance] セクションで、サイトのフォント、カラースキーム、ロゴ、その他のビジュアル

属性をカスタマイズします。

• WorkPlace サイトに対する完全修飾ドメイン名を指定します。ユーザーは、 WorkPlace にアクセ

スするとき、「http://」接頭辞を付けてこの名前を入力します。ただしこの外部 FQDN は、ユー

ザーに通知して、 WorkPlace にアクセスする方法を知らせなければなりません。またこの FQDN は、パブリック DNS にも追加しなければなりません。

2. [Add/Edit Resource] ページで、ユーザーがアクセスできるリソースを定義します。

3. [WorkPlace Shortcuts] ページで、リソースに対する適切なショートカットを作成します。

WorkPlace へのショートカットの追加

カスタム WorkPlace サイトを作成する必要がない場合は、構成済みのデフォルト WorkPlace サイトを修正す

ることができます。 WorkPlace の [Home] ページに表示されるショートカットを利用すれば、ユーザーが Web、ネットワークファイルシステム、その他のリソースなどに素早くアクセスできるようになります。そ

の場合、ユーザーが個別の URL、ホスト、ファイルシステムパスを知っておく必要もありません。

WorkPlace のショートカットを構成するには、次の手順を実行します。

1. [Add/Edit Resource] ページで、ユーザーがアクセスできるリソース (Web、ネットワーク、グラ

フィカルターミナル ) を定義します。

2. [WorkPlace Shortcuts] ページで、作成するショートカットのタイプを選択します。

3. 関連するショートカットオプションを構成します。

Documents

Aventail SSL VPN - SonicWallsoftware.sonicwall.com/Aventail/Documentation/860/ST_v8...Aventail SSL VPN 入門ガイド | 1第 1 章 はじめに この章では、Aventail SSL VPN

Aventail SSL VPN - SonicWallsoftware.sonicwall.com/Aventail/Documentation/860/ST_v8...Aventail SSL VPN 入門ガイド | 1第 1 章はじめにこの章では、Aventail SSL VPN