アクセス制御ルールのベストプラクティス

  1. 以下のルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。があることを確認します。

    • Security Gatewayへの直接アクセスを防止するステルスルール

    • ポリシー内の以前のルールで許可されていないすべてのトラフィックをドロップするクリーンアップルール。

  2. ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。内のルールの構造と階層を追加するには、レイヤーを使用します。

  3. 送信元と送信先のIPアドレスとポートのみに基づくすべてのルールを、ルールベースの最上部にあるFirewall/Network Ordered Layerに追加します。

  4. 安全なトラフィックを明示的に受け入れるFirewall/Networkルールを作成し、Ordered Layerの一番下にexplicit cleanup rule 、それ以外をドロップするようにします。

  5. Firewall/Network Ordered Layerの後に、Application Control Ordered Layerを作成します。不要なトラフィックや安全でないトラフィックを明示的にドロップするルールを追加します。Ordered Layerの下部に明示的なクリーンアップルールを追加し、それ以外のものを受け入れるようにする。

    または、アプリケーション制御ルールをファイアウォール/ネットワークルールの一部としてインラインレイヤ閉じた セキュリティ ポリシーの別のルールで使用されるルールのセット。ーに配置します。インラインレイヤの親ルールで、ソースとデスティネーションを定義します。

  6. 可能な限り、Ordered Layers と Inline Layers を共有します。

  7. Security Gateway R80.10以降の場合。ファイアウォール/ネットワークルールのオーダーレイヤーとアプリケーションコントロール閉じた セキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語:APPI。のオーダーレイヤーがある場合 - アプリケーション、データタイプ閉じた コンテンツ認識ソフトウェアブレードのCheck Pointセキュリティポリシーにおけるデータの分類。モバイルアクセス閉じた 管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語:MAB。要素を検査するすべてのルールを、アプリケーションコントロールのオーダーレイヤー、またはその次のオーダーレイヤーに追加します。

  8. Security Gatewayがプロキシサーバの背後にある場合を除き、XFFインスペクションをオフにしてください。詳しくは、sk92839をご覧ください。

  9. 作業中のルールを無効化する。使用する場合は、ルールを有効にします。無効化されたルールは、Security Gatewayのパフォーマンスに影響を与えません。ルールを無効にするには、ルールのNo 列で右クリックし、Disable を選択します。

ルールマッチングを効率的に行うためのベストプラクティス

  1. 送信元、送信先、ポートをチェックするルール(ネットワークルール)は、ルールベースの上位に配置します。

    理由ネットワークルールはより早くマッチングされ、検査エンジンの起動回数も少なくなります。

  2. アプリケーションやコンテンツ(データタイプ)をチェックするルールは、ネットワークルールの下に配置します。

  3. SourceとDestinationにAny 、ApplicationやData Typeを含むルールは定義しないでください。例えば、このようなルールは推奨されません。

    発信元

    宛先

    サービス内容 &
    アプリケーション

    内容

    Any

    Any

    Facebook

     

    Any

    Any

     

    クレジットカード番号

    代わりに、以下の推奨ルールのいずれかを定義してください。

    発信元

    宛先

    サービス内容 &
    アプリケーション

    内容

    Any

    インターネット

    Facebook

     

    Any

    サーバ

     

    クレジットカード番号

    2と3の理由。アプリケーションコントロールとコンテンツアウェアネスルールでは、コンテンツの検査が必要です。したがって、彼らは

    • Security Gatewayがコネクションヘッダとボディを検査するまで接続を許可する。

    • 性能に影響を与える可能性があります。

  4. データタイプを持つルールの場合。ファイルタイプをチェックするルールは、コンテンツタイプをチェックするルールよりもルールベースの上位に配置します。コンテンツコラム参照。

    理由ファイルタイプは、コンテンツタイプよりも早くマッチングされます。

  5. アプリケーションコントロールとURLフィルタリングを同じルールで使用しないでください。アプリケーション制御とURLフィルタリングを別々のルールで使用する。これにより、カテゴリが特定されると同時に、URLフィルタリングルールが使用されるようになります。詳細については、sk111158を参照してください。

これらのベストプラクティスのいくつかの例を見るには、「ユニファイドルールベースの活用事例」と「基本的なアクセス制御ポリシーの作成」をご覧ください。