アプリケーションコントロールとURLフィルタリングのルールを作成する

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。のAccess Control ビューのアクセスコントロールポリシーで、アプリケーションコントロールセキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語：APPI。とURLフィルタリングのポリシーを作成し、管理します。アプリケーションコントロールとURLフィルタリングのルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。は、どのユーザが組織内から特定のアプリケーションやサイトを利用できるか、またどのようなアプリケーションやサイトの利用がログに記録されるかを定義します。

どのアプリケーションやカテゴリが高リスクであるかを知るには、Security Policies ビューのAccess Tools 部分にあるApplication Wiki に目を通してください。ポリシーに盛り込むべきアプリケーションやカテゴリーのアイデアを探す。

アクセスコントロールポリシーとトラフィックの概要を見るには、Logs & Monitor > New Tab > Views のAccess Control ビューをご覧ください。

ベストプラクティス - アプリケーションコントロールとURLフィルタリングを同じルールで使用しないでください。アプリケーション制御とURLフィルタリングを別々のルールで使用する。これにより、カテゴリが特定されると同時に、URLフィルタリングルールが使用されるようになります。詳細については、sk111158を参照してください。

モニタリング用途

Scenario: I want to monitor all Facebook traffic in my organization. How can I do this?

すべてのFacebookアプリケーションのトラフィックを監視するため。

SmartConsoleのSecurity Policiesビューで、Access Control Policyに移動します。
Applications and URL Filtering が有効になっているレイヤーを選択します。
Add rule ツールバーボタンのいずれかをクリックすると、ルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。内で選択した位置にルールが追加されます。最初にマッチしたルールが適用されます。
これらのコンポーネントを含むルールを作成します。
- Name -Monitor Facebook などのように、ルールに名前をつけます。
- Source - 組織からのすべてのトラフィックに適用されるように、Any としておく。
- Destination - インターネットまたはDMZに向かうすべてのトラフィックに適用されるように、Internet としておいてください。
- Services & Applications - プラス記号をクリックすると、アプリケーションビューワが表示されます。ルールにFacebook のアプリケーションを追加します。
  - 検索フィールドに「face」と入力し始める。利用可能なリストで、Facebook のアプリケーションをご覧ください。

各項目をクリックすると、説明ペインに詳細が表示されます。
ルールに追加する項目を選択します。

注 - アプリケーションは、デフォルトで推奨サービスにマッチングされます。これは変更可能です（「許可されたアプリケーションのマッチングを設定する」を参照してください）。各サービスは特定のポートで実行されます。推奨するWeb Browsing Services は、http 、https 、HTTP_proxy 、HTTPS_proxy です。

Action - Acceptを選択
Track - Logを選択
Install On - すべてのセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。にPolicy Targets 、または特定のセキュリティゲートウェイを選択して、ルールをインストールします。

このルールは、すべてのFacebookトラフィックを許可しますが、ログは記録します。ログはLogs & Monitor のビューのLogs タブで見ることができます。組織内の人々のFacebookの利用状況を監視するには、Access Control ビュー（SmartEvent Serverが必要）をご覧ください。

アプリケーションのブロックとユーザへの情報提供

Scenario: I want to block pornographic sites in my organization, and tell the user about the violation. How can I do this?

アプリケーションまたはアプリケーションのカテゴリをブロックし、ポリシー違反についてユーザに伝えること。

SmartConsoleのSecurity Policiesビューで、Access Control Policyに移動します。
Applications and URL Filtering が有効になっているレイヤーを選択します。

これらのコンポーネントを含むルールを作成します。

Services & Applications -Pornography カテゴリを選択します。
Action -Drop 、およびUserCheck Blocked Message - Access Control

メッセージは、ユーザーの行為が会社のポリシーに反していることを知らせるとともに、ウェブサイトが誤ったカテゴリーに含まれている場合に報告するためのリンクを含めることができます。

Track - Log

注：このルールベース例には、この主題に適用される列のみが含まれています。

名前	発信元	宛先	サービス&アプリケーション	アクション	追跡	インストール
ポルノをブロックする	Any	インターネット	ポルノグラフィー（カテゴリー）	ドロップブロック・メッセージ	Log	ポリシーの対象

このルールは、ポルノサイトへのトラフィックをブロックし、それらのサイトへのアクセス試行をログに記録します。ルールに違反したユーザには、会社のセキュリティポリシーに基づきアプリケーションがブロックされたことを知らせるUserCheckメッセージが表示されます。メッセージには、ウェブサイトが不正なカテゴリに含まれている場合に報告するためのリンクを含めることができます。

重要-Source およびDestination パラメータをAny と定義してトラフィックをブロックするルールは、Captive Portal へのトラフィックとそこからのトラフィックもブロックします。

アプリケーションのトラフィックを制限する

Scenario: I want to limit my employees' access to streaming media so that it does not impede business tasks.

アプリケーションやカテゴリーをブロックしたくない場合、従業員のアクセス制限を設定するさまざまな方法があります。

ルールにLimit オブジェクトを追加して、ルールに許可される帯域幅を制限します。
ルールに1つまたは複数のTime オブジェクトを追加して、指定した時間帯のみアクティブにすることができます。

以下、例のルール。

ピーク時以外の営業時間内に限り、ストリーミングメディアへのアクセスを許可する。
社内のストリーミングメディアのアップロードスループットを1Gbpsに制限する。

時間と帯域幅の制限付きでストリーミングメディアを許可するルールを作成する。

SmartConsoleのSecurity Policiesビューで、Access Control Policyに移動します。
Applications and URL Filtering が有効になっているレイヤーを選択します。
Add Rule ツールバーボタンのいずれかをクリックすると、ルールベース内で選択した位置にルールが追加されます。

これらのコンポーネントを含むルールを作成します。

Services & Applications -Media Streams のカテゴリーです。

注 - アプリケーションは、推奨されるサービスにマッチします。各サービスは、デフォルトのApplication ControlWeb browsing Services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するには、サービス&アプリケーションカラム参照してください。

Action -More をクリックし、Action:Accept, およびLimit オブジェクトを選択します。

Time - ルールが有効な時間または期間を指定するTime オブジェクトを追加します。

注 - Timeカラムは、デフォルトではルールベーステーブルに表示されません。これを見るには、テーブルのヘッダーを右クリックし、Time を選択します。

名前	発信元	宛先	サービス・アプリケーション	アクション	追跡	インストール	時間
ストリーミングメディアの制限	Any	インターネット	メディアストリーム（カテゴリー）	許可 Upload_1Gbps	Log	すべて	Off-Work

注 - ClusterXL Load Sharingモードでは、クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。の状態に関係なく、指定された帯域幅の上限は定義されたすべてのクラスタメンバ間で分割されます。たとえば、3人のメンバーを持つクラスタでルールが1Gbpsの制限を設定した場合、各メンバーは333Mbpsの固定制限を持つことになります。

ルールでアイデンティティ認識機能を使用する

Scenario: I want to allow a Remote Access application for a specified group of users and block the same application for other users. I also want to block other Remote Access applications for everyone. How can I do this?

Security Gateway で Identity Awareness を有効にすると、Application Control と共に使用して、access role に適用するルールを作成することができます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

組織内のすべての識別されたユーザを表すアクセスロールIdentified_Users はすでに作成されています。Security Gateway上で識別されたユーザのみにアプリケーションへのアクセスを許可するために使用できます。
すべてのユーザーに対して Radmin リモートアクセスツールへのアクセスを許可したい。
組織内のすべての人のために、他のすべてのリモートアクセスツールをブロックする必要があります。また、リモート接続やリモートコントロールを確立できる他のアプリケーションもブロックしたい。

そのために、2つの新しいルールをルールベースに追加します。

ルールを作成し、これらのコンポーネントを含めます。
- Source -Identified_Users アクセスロール
- Destination -Internet
- Services & Applications - Radmin
- Action -Accept

以下に別のルールを作成し、これらのコンポーネントを含めます。

Source - Any
Destination - Internet
Services & Applications - カテゴリーです。 Remote Administration

Action - Block

名前	発信元	宛先	サービス&アプリケーション	アクション	追跡	インストール
識別されたユーザに Radmin を許可する	Identified_Users	インターネット	ラドミン	許可	Log	すべて
他のリモートアドミニストレータをブロックする	Any	インターネット	リモート管理	ブロック	Log	すべて

本ルールに関する注：。

Radmin を許可するルールは他のリモート管理ツールをブロックするルールよりも上位にあるため、最初にマッチングされます。
最初のルールのソースは、Identified_Users のアクセスロールです。テクニカルサポート部門を表すアクセスロールを使用する場合、テクニカルサポート部門のユーザのみが Radmin を使用することが許可されます。
アプリケーションは、推奨されるサービスでマッチングされます。各サービスは、デフォルトのApplication ControlWeb browsing services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するには、「アプリケーションとカテゴリのサービスを変更する」を参照してください。

Access RolesとIdentity Awarenessの詳細については、R81.10 Identity Awareness Administration Guide を参照してください。

サイトのブロック

Scenario: I want to block sites that are associated with categories that can cause liability issues. Most of these categories exist in the Application Database but there is also a custom defined site that must be included. How can I do this?

これは、custom group を作成し、該当するすべてのカテゴリとサイトを追加することで実現できます。Security Gateway で Identity Awareness を有効にすると、URL Filtering と一緒に使用して、access role に適用するルールを作成することができます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

すでに作成されている
- 組織内のすべての識別されたユーザーを表すアクセスロール(Identified_Users)。
- FreeMovies というサイト用のカスタムアプリケーション。
組織内のすべての人に責任問題を引き起こす可能性のあるサイトをブロックしたい。
アプリケーションデータベースのカテゴリと、以前に定義したカスタムサイト（FreeMovies ）を含むカスタムグループを作成します。

カスタムグループを作成するには

オブジェクトエクスプローラで、New > More > Custom Application/Site > Application/Site Group をクリックします。
グループに名前をつける。例： Liability_Sites
+ をクリックして、グループメンバーを追加します。
- カスタムアプリケーションFreeMovies を検索して追加します。
- Categories を選択し、ブロックしたいものを追加します（例：Anonymizer,Critical Risk, andGambling ）。
- Closeをクリックします。
OKをクリックします。。

これで、アクセスコントロールルールベースで、Liability_Sites グループを使用できるようになりました。

ルールベースに、次のようなルールを追加します。

SmartConsoleのSecurity Policiesビューで、Access Control Policyに移動します。

Source -Identified_Usersのアクセスロール
Destination - Internet
Services & Applications - Liability_Sites

Action - Drop

注 - アプリケーションは、推奨されるサービスにマッチします。各サービスは、デフォルトのApplication ControlWeb Browsing Services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するには、「アプリケーションとカテゴリのサービスを変更する」を参照してください。

名前	発信元	宛先	サービス&アプリケーション	アクション	追跡
法的責任の発生する可能性のあるサイトをブロック	Identified_Users	インターネット	Liability_Sites	ドロップ	Log

URLのカテゴリをブロックする

Scenario: I want to block pornographic sites. How can I do this?

これを行うには、ポルノを含むすべてのサイトをブロックするルールをPornography category で作成します。Security Gateway で Identity Awareness を有効にすると、URL Filtering と一緒に使用して、access role に適用するルールを作成することができます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

組織内のすべての識別されたユーザを表すアクセスロール(Identified_Users)はすでに作成されています。
ポルノに関連するサイトをブロックしたい。

手順は、アプリケーションのブロックとユーザへの情報提供と同様です。