オーダーレイヤーとインラインレイヤー

ポリシーとは、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。が送受信トラフィックに適用するルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。のセットです。アクセス制御と脅威防御には、それぞれ異なるポリシーがあります。

アクセスコントロールルールは、Ordered LayersとInline Layersを使用して、より管理しやすいルールのサブセットに整理することができます。

オーダレイヤーとインラインレイヤーの必要性

オーダーレイヤーとインラインレイヤ閉じた セキュリティ ポリシーの別のルールで使用されるルールのセット。ーにより、サイバーセキュリティの管理を効率的に行うことができます。以下を実行できます。

  • ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を簡素化したり、特定の目的のためにその一部を整理する。

  • フラットなルールベースではなく、インラインレイヤーを用いて、ポリシーを階層的に整理する。

    インラインレイヤーは、ルールベースの他の部分から独立したsub-policy

  • Ordered Layers を複数の Policy パッケージで再利用し、Inline Layers を複数の Layers で再利用します。

  • 異なるLayerの所有権を異なる管理者に委任することで、Policyの管理を簡素化することができます。

  • レイヤーのルール数を減らすことで、パフォーマンスを向上させます。

インラインレイヤーにおけるルール実行の順序

オーダレイヤーはインラインレイヤーを含むことができます。

インラインレイヤーの例です。

いいえ

発信元

宛先

VPN

サービス内容

アクション

1

 

 

 

 

 

2

Lab_network

Any

Any

Any

Lab_rules

2.1

Any

Any

Any

https

http

許可

2.2

Any

Any

Any

Any

ドロップ

3

 

 

 

 

 

インラインレイヤーは、親ルール(例ではルール2)とサブルール(ルール2.1、2.2)を持っています。親ルールのActionは、インラインレイヤーの名前です。

パケットがインラインレイヤの親ルールにマッチしない場合、マッチングはオーダレイヤの次のルール(ルール3)に続けられる。

パケットがインラインレイヤの親ルール(ルール2)に一致すると,セキュリティゲートウェイはサブルールと照合する.

  • パケットがインラインレイヤのサブルール(ルール2.1)にマッチした場合、それ以上のルールマッチは行われない。

  • 順序付きレイヤーの上位ルールのいずれもがパケットにマッチしない場合、明示的なクリーンアップルールが適用される(ルール2.2)。このルールがない場合、暗黙のクリーンアップルールが適用されます(「ルールベース」の「ルールベースにおけるルールの種類」を参照)。それ以上のルールマッチングは行われない。

重要

順序付きレイヤーにおけるルール実行の順序

Security Gatewayにパケットが到着すると、Security Gatewayはそのパケットを上から順番に最初のOrdered Layerのルールと照合し、パケットにマッチした最初のルールを適用する。

一致するルールのActionDrop の場合、Security Gateway は Policy Rule Base のそれ以降のルールとのマッチングを停止し、パケットをドロップします。ActionAccept の場合、Security Gatewayは次のOrdered Layerのルールをチェックし続ける。

項目

説明

1

オーダーレイヤ1

2

オーダーレイヤ2

3

オーダーレイヤ3

Ordered Layerのどのルールもパケットにマッチしない場合、明示的なDefault Cleanup Ruleが適用されます。このルールがない場合、暗黙のクリーンアップルールが適用されます(「ルールベース」の「ルールベースにおけるルールの種類」を参照)。

すべてのOrdered Layerは、それ自身の暗黙のクリーンアップルールを持ちます。Drop ルールの設定は、Accept またはLayer settings で行います(「暗黙のクリーンアップルールの設定」を参照)。

重要

  • 各Ordered Layerの最後には必ず明示的なCleanup Ruleを追加し、そのActionImplicit Cleanup Ruleの Action と同じであることを確認します。

  • Security Gateway R80.10以下では、第2層はアプリケーションコントロールポリシーのように動作します。

インラインレイヤーの作成

インラインレイヤーは、sub-policy 、ルールベースの残りの部分から独立しています。

インラインレイヤー作成のワークフローは、以下の通りです。

  1. インラインレイヤのparent ルールを作成します。インラインレイヤーのすべてのルールに共通するプロパティを1つ以上持つルールを作成します。例えば、同じソース、またはサービス、またはユーザのグループを持つルール。

  2. インラインレイヤー用のsub-rules を作成します。これらは、Security Gatewayが親ルールへの接続にマッチした場合の処理をより詳細に定義するルールです。例えば、各サブルールは、特定のホスト、ユーザ、サービス、データタイプ閉じた コンテンツ認識ソフトウェアブレードのCheck Pointセキュリティポリシーにおけるデータの分類。に適用することができます。

  1. Ordered Layerにルールを追加します。これは、parent のルールです。

  2. Source,Destination,VPN,Services & Applications の各セルで、インラインレイヤーのマッチング条件を定義します。

  3. ルールのAction セルをクリックします。標準アクションを選択する代わりに、Inline Layer > New Layer を選択します。

  4. Layer Editorウィンドウが開きます。

  5. インラインレイヤーのプロパティを設定します。

    1. インラインレイヤーのルールのために、これらのBlades を1つ以上有効にします。

      • Firewall

      • Application & URL Filtering

      • Content Awareness

      • Mobile Access

    2. オプション:可能であれば、他のポリシーパッケージ閉じた アクセス制御、脅威対策、QoS、デスクトップセキュリティなど、さまざまな種類のセキュリティポリシーのコレクション。インストール後、セキュリティゲートウェイはポリシーパッケージ内のすべてのポリシーを適用します。とレイヤーを共有することがベストプラクティスです。これを有効にするには、Multiple policies can use this layer を選択します。

    3. Advancedをクリックします。

    4. Implicit Cleanup RuleDrop またはAccept に設定します (「ルールベース」の「ルールベースにおけるルールの種類」を参照)。

    5. OKをクリックします。。

    インラインレイヤの名前は、ルールのAction セルに表示されます。

  6. インラインレイヤーの親ルールの下に、sub-rules を追加します。

  7. インライン・レイヤーの最後のルールとして、明示的なクリーンアップ・ルールがあることを確認してください。(ルールベースのルールベースにおけるルールの種類種類を参照)。

- リモートアクセスVPNコミュニティオブジェクトは、アクションが "Inline Layer "の場合、Inline Layerの親ルールではサポートされません。

この問題を解決するために親ルールでは、リモートアクセスVPNコミュニティオブジェクトの代わりに "*Any "を使用します。インライン層のルールで、リモートアクセスVPNコミュニティオブジェクトを使用することができます。

順序付きレイヤーを作成する

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Menu > Manage Policies and Layers をクリックします。

  2. 左ペインで、Layers をクリックします。

    レイヤーのリストが表示されます。Show only shared Layersを選択できます。

  3. 上部にあるツールバーのNewアイコンをクリックします。

  4. Layer Editor ウィンドウで設定する。

  5. オプション:可能であれば、他のポリシーパッケージとレイヤーを共有することがベストプラクティスです。これを有効にするには、Multiple policies can use this layer を選択します。

  6. OKをクリックします。。

  7. Closeをクリックします。。

  8. SmartConsoleセッションを公開する。

    このオーダーされたレイヤーはまだポリシーパッケージに割り当てられていません。

  1. SmartConsoleで、Security Policies をクリックします。

  2. アクセスコントロールポリシーセクションのレイヤーを右クリックし、Edit Policy を選択します。

    Policyウィンドウが開きます。

  3. Access Control の項目で、プラス記号をクリックします。

    追加可能なレイヤーのリストが表示されます。これらは、Multiple policies can use this layer が有効になっているレイヤーです。

  4. レイヤーを選択します。

  5. OKをクリックします。。

  6. SmartConsoleセッションを公開する。

  1. SmartConsoleで、Security Policies をクリックします。

  2. Access Control Policy セクションのレイヤーを右クリックし、Edit Policy を選択します。

    Policyウィンドウが開きます。

  3. Access Control の項目で、プラス記号をクリックします。

  4. New Layerをクリックします。

    Layer Editor ウィンドウが開き、General のビューが表示されます。

  5. レイヤーでアプリケーション& URL フィルタリング閉じた セキュリティゲートウェイ上のCheck Point Software Bladeにより、特定のユーザ、コンピュータ、またはネットワークのグループがアクセスできるWebサイトをきめ細かく制御できます。頭字語:URLFを有効にする。

    1. レイヤーの名前を入力します。

      私たちは、Application という名前をお勧めします。

    2. Blades 」セクションで、「Application& URL Filtering」を選択します。

    3. OKをクリックします。 と表示され、Layer Editor のウィンドウが閉じます。

    4. OKをクリックします。 と表示され、Policy のウィンドウが閉じます。

  6. SmartConsoleセッションを公開する。

アクセスコントロール機能の有効化

アクセスコントロールポリシーを作成する前に、ポリシーで使用するアクセスコントロール機能を有効にする必要があります。

以下の機能を有効にします。

  1. SmartConsoleの左側のナビゲーションパネルから、Gateways & Servers をクリックし、Security Gatewayオブジェクトをダブルクリックします。

    Security Gatewayの「General Properties 」ウィンドウが開きます。

  2. ナビゲーションツリーでGeneral Properties をクリックします。

  3. Network Security タブで、これらのアクセスコントロール機能を1つ以上選択します。

    • IPsec VPN

    • Mobile Access

    • Application Control

    • URL Filtering

    • Content Awareness

    • Identity Awareness

  4. OKをクリックします。。

オーダレイヤーでアクセスコントロール機能を有効にするには、次のようにします。

  1. SmartConsoleで、Security Policies をクリックします。

  2. Access Control の下で、Policy を右クリックし、Edit Policy を選択します。

  3. クリックオプション をレイヤーに設定します。

  4. Edit Layerをクリックします。

    Layer Editor ウィンドウが開き、General のビューが表示されます。

  5. Ordered Layerで使用するBlades を有効にします。

    • Firewall

    • Application & URL Filtering

    • Content Awareness

    • Mobile Access

  6. OKをクリックします。。

  1. SmartConsoleで、Security Policies をクリックします。

  2. オーダリングレイヤーを選択します。

  3. インラインレイヤーの親ルールで、Action の列を右クリックし、Inline Layer > Edit Layer を選択します。

  4. インラインレイヤーで使用するBlades を有効化します。

    • Firewall

    • Application & URL Filtering

    • Content Awareness

    • Mobile Access

    - Ordered Layerで有効になっていないBladeは有効にしないでください。

  5. OKをクリックします。。

ルールベースにおけるルールの種類

ルールベースには、明示的暗示的暗黙的の3種類のルールが存在します。

明示的なルール

管理者が明示的に設定するルールで、指定された条件に基づいてトラフィックを許可またはブロックするもの。

重要-デフォルトのクリーンアップルールは、すべての新しいレイヤーにデフォルトで追加される明示的なルールです。デフォルトのクリーンアップルールは、変更または削除することができます。各レイヤーの最後のルールとして、明示的なクリーンアップ・ルールを設定することをお勧めします。

暗黙のルール

Global properties 設定の一部として利用可能で、編集することができないデフォルトのルールです。暗黙のルールの選択とルールベースでの位置の設定のみ可能です。

  • First - ルールベース内の他のすべてのルール(明示的または暗示的)よりも先に、最初に適用されます。

  • Last - ルールベース内の他のすべてのルール(明示的または暗示的)の後に、最後に適用されます。 Implicit Cleanup Rule

  • Before Last - ルールベース内の最後の明示的なルールの前に適用されます。

インプライドルールは、セキュリティゲートウェイが利用するさまざまなサービスの接続を許可するために設定されます。例えば、Accept Control Connections のルールは、これらのサービスを制御するパケットを許可します。

暗黙のクリーンアップルール

レイヤーのデフォルトの「キャッチオール」ルールで、レイヤー内のどの明示的または暗示的ルールにも一致しないトラフィックを処理します。レイヤーを作成する際に自動的に作成されます。

暗黙のクリーンアップルールは、ルールベースに表示されません。

Security Gateways R80.10以降では、暗黙のクリーンアップルールのデフォルトのアクションはDropです。これは、ほとんどのPoliciesがWhitelistルール(Acceptアクション)を持っているためです。レイヤーにブラックリストルール(ドロップアクション)がある場合、レイヤーエディターで暗黙のクリーンアップルールのアクションを「受け入れる」に変更することができます。

Security Gateway R77.30 以下では,暗黙のルールの動作は Ordered Layer に依存する.

  • ドロップ-Network レイヤー用

  • Accept-Applications and URL Filtering が有効になっているレイヤーの場合。

- デフォルト値を変更した場合、Security Gateway R77.30以下ではポリシーのインストールに失敗します。

セキュリティゲートウェイがルールを適用する順序

  1. 第一暗黙のルール- その前に明示的なルールを置くことはできない。

  2. 明示的なルール- これはあなたが作成するルールです。

  3. Before Last Implied Rules- 最後の明示的なルールの前に適用されます。

  4. 最後の明示的ルール- 最後の明示的ルールとして、クリーンアップ・ルールを使用することをお勧めします。

    クリーンアップ規則を最後の明示的規則として使用する場合、最後の暗黙的規則と 暗黙的クリーンアップ規則は実行されません。

  5. 最後の暗黙のルール- このルールは他のすべての明示的および暗黙のルールの後に適用されますが、暗黙のクリーンアップルールはまだ最後に適用されることを忘れないでください。

  6. 暗黙のクリーンアップ規則- レイヤーの規則がどれも一致しない場合に適用されるデフォルトの規則です。

いくつかの暗黙のルールは、デフォルトで有効になっています。必要に応じて、初期設定を変更することができます。

暗黙のルールを設定するには

  1. SmartConsoleで、Access Control Policyを選択します。

  2. ポリシーの上にあるツールバーから、Actions > Implied Rules を選択します。

    Implied Policyウィンドウが開きます。

  3. 左ペインで、Configuration をクリックします。

  4. ルールを選択すると有効になり、ルールをクリアすると無効になります。

  5. 有効なルールについて、ルールベースでのルールの位置を選択します。First,Last, またはBefore Last (「ルールベースのルールベースにおけるルールの種類」参照)。

  6. OKをクリックします。してポリシーをインストールします。

SmartConsole で、Security Policies ビューから、Actions > Implied Rules を選択します。

Implied Policyウィンドウが開きます。

暗黙のルールだけを示し、明示的なルールは示さない。

暗黙のクリーンアップルールを設定する。

  1. SmartConsoleで、Menu > Manage Policies and Layers をクリックします。

  2. 左ペインで、Layers をクリックします。

  3. レイヤーを選択し、Edit をクリックします。

    Layer Editorが開きます。

  4. Advancedをクリックします。

  5. Implicit Cleanup RuleDrop またはAccept に設定します。

  6. OKをクリックします。。

  7. Closeをクリックします。。

  8. SmartConsoleセッションを公開する。

アクセス制御レイヤーの管理者

Access Controlのロール専用の管理者アカウントを作成し、独自のインストール権限とSmartConsoleの読み取り/書き込み権限を持たせることができます。

また、異なるレイヤーの所有権を異なる管理者に委譲することも可能です。アクセスコントロールレイヤーのパーミッションの設定」を参照してください。

レイヤーの共有

ポリシーの異なる部分で同じルールを使用したり、複数のポリシーパッケージで同じルールを持つことが必要な場合があります。

何度もルールを作成する必要はありません。オーダリングレイヤーやインラインレイヤーを1回だけ定義し、共有としてマークします。そして、インラインレイヤーやオーダーレイヤーを複数のポリシーパッケージで再利用したり、インラインレイヤーをオーダーレイヤー内の複数の場所で使用したりすることができます。これは、例えば、あなたが企業の管理者であり、企業の複数の支店間でルールの一部を共有したい場合に便利です。

  • 時間の節約にもなり、ミスも防げます。

  • 法人の全支店の共有ルールを変更する場合は、一度だけ変更する必要があります。

  1. SmartConsoleで、Menu > Manage policies and layers をクリックします。

  2. 左ペインで、Layers をクリックします。

  3. Access Control またはThreat Prevention でレイヤーを選択します。

  4. 右クリックして、Edit Layer を選択します。

  5. Layer Editor ウィンドウで設定する。

  6. General で、Multiple policies and rules can use this layer を選択します。

  7. OKをクリックします。。

  8. Closeをクリックします。。

  9. SmartConsoleセッションを公開する。

  1. SmartConsoleで、Menu > Manage policies and layers > Policies にアクセスします。

  2. 必要なポリシーを右クリックし、Edit をクリックします。ポリシーのプロパティウィンドウが表示されます。

  3. Threat Prevention]ボックスで、+ の記号をクリックします。

  4. このポリシーパッケージに含めたいレイヤーを選択します。

  5. OKをクリックします。。

  6. ポリシーのプロパティウィンドウを閉じます。

  7. SmartConsoleで、ポリシーをインストールします。

  8. すべてのポリシーパッケージについて、この手順を繰り返します。

インラインレイヤーとオーダードレイヤーの例については、「ユニファイドルールベースの活用事例」を参照してください。

ルールベースのセクションによる視覚的分割

多数のルールを持つポリシーをよりよく管理するために、セクションを使用してルールベースをより小さな論理的なコンポーネントに分割することができます。この分割はあくまで視覚的なものであり、異なるセクションの管理を異なる管理者に委任することはできません。

レイヤーのルールを.CSVファイルに書き出すことができます。.CSVファイルは、Microsoft Excelなどの表計算アプリケーションで開いて変更することができます。

レイヤーのルールを.CSVファイルに書き出すには、次のようにします。

  1. SmartConsoleで、Menu > Manage Policies and Layers をクリックします。

    Manage Layersウィンドウが開きます。

  2. Layersをクリックします。

  3. レイヤーを選択し、Actions > Export selected Layer をクリックします。

  4. パスとファイル名を入力します。

ポリシーとレイヤーの管理

Access Control PolicyでOrdered LayersとInline Layersを操作するには、SmartConsoleでMenu > Manage policies and layers を選択します。

Manage policies and layers ウィンドウに表示されます。

ポリシーパッケージ内のレイヤーとその属性を確認することができます。

ウィンドウのLayers ペインにある。

  • Name - レイヤー名

  • Number of Rules - レイヤーのルール数

  • Modifier - 最後にレイヤーのコンフィグレーションを変更した管理者。

  • Last Modified -レイヤーが変更された日付。

  • Show only Shared Layers - 共有レイヤーは、Multiple policies and rules can use this Layer オプションが選択されています。(レイヤーの共有参照)。

  • Layer Details

    • Used in policies - レイヤーを使用するポリシーパッケージ

    • Mode:

      • Ordered - オーダリングレイヤー。マルチドメインセキュリティ管理環境では、グローバルルールと、ローカル、ドメインルールのプレースホルダーが含まれます。

      • Inline - インラインレイヤーはサブポリシーとも呼ばれる。

      • Not in use - ポリシーパッケージで使用されないレイヤー。

レイヤーのルールを見るには

  1. レイヤーを選択します。

  2. 右クリックして、Open layer in policy を選択します。