アクセスコントロールルールベースのカラム

これらは、アクセスコントロールポリシーのルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。の列です。デフォルトでは、すべてが表示されるわけではありません。表示されない列を選択するには、ルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。のヘッダーを右クリックし、選択します。

コラム	説明
No	ルールベースレイヤのルール番号。
Hits	コネクションがルールにマッチした回数。ルールルールベースのヒット数を分析する」を参照してください。
Name	システム管理者がこのルールに付ける名前。
Source Destination	定義するネットワークオブジェクトコンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。。トラフィックが始まる場所トラフィックの宛先送信ソースとデスティネーションカラム参照してください。
VPN	ルールが適用されるVPN Community。 VPNコラムご覧ください。
Services & Applications	サービス、アプリケーション、カテゴリー、サイト。 Application& URL Filtering が有効でない場合、Services のみ表示されます。サービス&アプリケーションカラムご覧ください。
Content	保護すべきデータ資産とは、例えばクレジットカード番号や医療記録などです。データの方向は、Download Traffic（組織内）、Upload Traffic（組織外）、Any Directionのいずれかに設定することができます。コンテンツコラム参照。
Action	トラフィックがルールに一致したときに実行されるアクション。オプションは以下の通りです。Accept, Drop, Ask, Inform (UserCheck メッセージ), Inline Layer, Reject。アクションご覧ください。
Track	トラフィックがルールに一致したときに行われるアクションを追跡し、ログに記録します。トラッキングコラム参照してください。
Install On	ポリシーのルールを取得するネットワークオブジェクト。アクセスコントロールポリシーのインストール参照してください。
Time	このルールが適用される期間。
Comment	ルールを要約するためのオプションのフィールドです。

ソースとデスティネーションカラム

アクセスコントロールポリシールベースの［送信元］列と［送信先］列には、あらゆるタイプのグループを含むネットワークオブジェクトを追加できます。

ここでは、搭載可能なネットワークオブジェクトを紹介します。

ネットワーク（「ネットワークネットワークグループ」参照）
ホスト
ゾーン（セキュリティゾーン参照）
ダイナミックオブジェクト (動的オブジェクト参照)
ドメインオブジェクト（ドメイン参照）
アクセス・ロール
更新可能オブジェクト Microsoft 365、AWS、ジオロケーションなどの外部サービスを表すネットワークオブジェクト。 (更新可能なオブジェクト参照)

ネットワークオブジェクトについてもっと知るには

アクセスコントロールポリシーのSource とDestination 列にネットワークオブジェクトを追加することができます。オブジェクトの管理」を参照してください。

VPNコラム

Site-to-Site VPN、Remote Access VPN、Mobile Access Portalおよびクライアントに対するルールを設定することができます。

VPNコミュニティのルールを作成するには、この列にSite-to-Site CommunityまたはRemote Access VPN Communityオブジェクトを追加するか、Any を選択してすべてのVPNコミュニティにルールを適用させます。

Security Gatewayでモバイルアクセス管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語：MAB。を有効にすると、そのSecurity Gatewayは自動的にリモートアクセスVPNコミュニティに追加されます。ルールのVPN 列にそのコミュニティを含めるか、Any を使用して、ルールをモバイルアクセスセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。に適用させることができます。Security GatewayがVPN Communityから削除された場合、VPN 列にAny を含める必要があります。

IPsec VPN

IPsec VPN サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。ソリューションは、セキュリティゲートウェイが他のセキュリティゲートウェイやクライアントとの間でトラフィックを暗号化および復号化することを可能にします。SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。を使用する SmartConsoleは、Security Gatewayとリモートデバイス間のVPN接続を簡単に設定することができます。

Site-to-Site Communitiesでは、VPNネットワークにStarトポロジとMeshトポロジを設定し、サードパーティゲートウェイを含めることができます。

VPNトンネルが保証する。

認証 - 標準的な認証方法を使用します。
プライバシー - VPNデータはすべて暗号化されています。
完全性 - 業界標準の完全性保証方式を採用

IKEとIPsec

チェック・ポイントの VPN ソリューションは、これらのセキュアな VPN プロトコルを使用して暗号化キーを管理し、暗号化されたパケットを送信します。IKE (Internet Key Exchange) は、VPN トンネルを作成するために使用される標準的な鍵管理プロトコルです。IPsecは、プライベートネットワークやパブリックネットワーク上で認証・暗号化された安全なIP通信をサポートするプロトコルです。

ネットワークへのモバイルアクセス

チェック・ポイントのモバイル・アクセスは、リモート・ユーザがインターネットを利用して簡単かつ安全に社内ネットワークに接続することを可能にします。リモートユーザは、Mobile Access Security Gatewayに対して標準的なHTTPSリクエストを開始し、1つまたは複数の安全な認証方式で認証を行います。

モバイルアクセスポータルは、モバイルワーカーやリモートワーカーがインターネット経由で重要なリソースに簡単かつ安全に接続することを可能にします。チェック・ポイントのモバイル・アプリは、管理されていないスマートフォンやタブレットから企業のリソースへの安全な暗号化通信を可能にします。アクセスできるのは、社内アプリ、メール、カレンダー、連絡先などです。

Mobile Accessアプリケーションへのアクセスをルールベースに含めるには、Services & Applications 列にMobile Application を含めます。

指定したリモートアクセスクライアントを介してリソースにアクセスできるようにするには、クライアント用のアクセスロールを作成し、ルールのSource 列に含めます。

VPNの詳細について

Site-to-Site VPN と Remote Access VPN の詳細については、これらのガイドを参照してください。

サービス&アプリケーションカラム

アクセスコントロールルールベースのServices & Applications 列で、ルールに含まれるアプリケーション、サイト、およびサービスを定義します。ルールは1つまたはそれ以上を含むことができる。

サービス内容
アプリケーション
モバイルアクセスに対応したアプリケーション
Webサイト
インターネットトラフィックの既定のカテゴリー
チェック・ポイントのアプリケーション・データベースには含まれない、ユーザが作成したカスタム・グループまたはカスタム・カテゴリ。

サービスマッチング

セキュリティゲートウェイは、IP protocol 、TCP と UDPport number 、protocol signature に従って、サービスを識別(matches)する。

Security Gatewayがプロトコル署名によってサービスを照合できるようにするには、Security GatewayとOrdered LayerでApplication & URL Filtering を有効にする必要があります。(「アクセスコントロール機能の有効化」を参照)。

source port で一致させる TCP および UDP サービスを設定することができます。

アプリケーションマッチング

アプリケーションがポリシーでallowed 、ルールはアプリケーションのRecommended サービスにのみマッチします。このデフォルト設定は、すべてのサービスでアプリケーションを許可するよりも安全です。例: Facebook を許可するルールは、アプリケーションコントロールセキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語：APPI。Web Browsing Services:http,https,HTTP_proxy,HTTPS_proxy 上でのみ許可します。

アプリケーションがポリシーでblocked 、すべてのサービスでブロックされます。そのため、すべてのポートでブロックされます。

アプリケーションのデフォルトのマッチング設定を変更することができます。

許可されたアプリケーションのマッチングを設定する

ポリシーでallowed 、ルールがアプリケーションまたはカテゴリに一致する方法を設定することができます。アプリケーションにマッチするルールは、次のいずれかの方法で設定できます。

どのサービスでも
特定のサービス

そのためには、アプリケーションまたはカテゴリのMatch Settings を変更します。アプリケーションまたはカテゴリは、ポリシーで使用されているすべての場所で変更されます。

許可されたアプリケーションまたはカテゴリーに対応するサービスを変更する。

Services & Applications 列にアプリケーションまたはカテゴリがあるルールで、アプリケーションまたはカテゴリをダブルクリックします。
Match Settingsを選択します。
オプションを選択します。
- デフォルトは、Recommended サービスです。Webサービスのデフォルトは、アプリケーションコントロールWeb Browsing Services 。
- アプリケーションとすべてのサービスを一致させるには、Any をクリックします。
- 指定したサービスでアプリケーションを一致させるには、Customize をクリックし、サービスを追加または削除します。
- アプリケーションをすべてのサービスと一致させ、特定のサービスを除外するには、Customize をクリックし、除外するサービスを追加して、Negate を選択します。
OKをクリックします。。

ブロックされたアプリケーションのマッチングを設定する

デフォルトでは、アプリケーションがポリシーでblocked 、すべてのサービス上でブロックされます。そのため、すべてのポートでブロックされます。

ブロックされたアプリケーションのマッチングを推奨サービス上で行うように設定することができます。Webアプリケーションの場合、推奨されるサービスは、Application Control Web browsing services 。

アプリケーションのマッチング設定がCustomize になっている場合、ブロックされているアプリケーションはカスタマイズされたサービス上でマッチングされます。 It is not matched on all ports.

ブロックされたアプリケーションのマッチングを設定するには、次のようにします。

SmartConsoleで、次の操作を行います。 Manage & Settings > Blades > Application & URL Filtering > Advanced Settings > Application Port Match
Match application on 'Any' port when used in 'Block' ruleを設定します:
- Selected - これがデフォルトです。ルールベースでアプリケーションがblocked 、アプリケーションはAny ポートにマッチングされます。
- 選択しない-ルールベースでアプリケーションがblocked 、アプリケーションのアプリケーションオブジェクトに設定されているサービスにマッチングされます。ただし、一部のアプリケーションはAnyでマッチングしています。これは、標準的なサービスセットに制限されないアプリケーション（例えば、Skype）です。

ブロック」ルールにおけるアプリケーションマッチングの概要

アプリケーション - マッチセッティング	チェックボックスです。Block」ルールで使用される場合、「Any」ポートのWebアプリケーションにマッチします。	ブロックされたアプリケーションはサービスでマッチングされる
推奨サービス（デフォルト）	選択（デフォルト）	Any
推奨サービス（デフォルト）	未選択	おすすめサービス
カスタマイズ	Not relevant	カスタマイズ
Any	Not relevant	Any

カスタムアプリケーション、カテゴリー、グループの作成

チェック・ポイントのアプリケーション・データベースには含まれないカスタム・アプリケーション、カテゴリ、またはグループを作成することができます。

アプリケーションやサイトを新規に作成する場合。

SmartConsoleのSecurity Policiesビューで、Access Control Policyに移動します。
Applications and URL Filtering が有効になっているレイヤーを選択します。
ルールのServices & Applications セルを右クリックし、Add New Items を選択します。

アプリケーションビューワのウィンドウが開きます。
New > Custom Applications/Site > Application/Siteをクリックします。
オブジェクトの名前を入力します。

1つまたは複数のURLを入力します。

URLに正規表現を使用した場合は、URLs are defined as Regular Expressions をクリックします。

注 - アプリケーションまたはサイトのURLが正規表現で定義されている場合、正しい構文を使用する必要があります。

OKをクリックします。。

R77.30以下のSecurity Gatewayにおけるサービスとアプリケーション、およびアップグレード後について

Security Gateway R77.30以下の場合。

Security Gatewayは、TCPとUDPのサービスをport 番号で照合します。Security Gatewayはプロトコル署名でサービスを照合できない。
Security Gatewayは、アプリケーションの署名によってアプリケーションを照合する。

Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。をR80以降に、Security GatewayをR80.10以降にバージョンアップすると、この動作が変更されます。

Application& URL Filtering Rule Base で定義されたアプリケーションは、その推奨ポートで受理されます。

コンテンツコラム

アクセスコントロールポリシーのルールの「コンテンツ」列にデータタイプコンテンツ認識ソフトウェアブレードのCheck Pointセキュリティポリシーにおけるデータの分類。を追加することができます。

コンテンツ」列を使用するには、セキュリティゲートウェイの「一般プロパティ」ページで、「Content Awareness 」を有効にし、「レイヤー」上で使用する必要があります。

データタイプはデータの分類です。ファイアウォールは、データタイプに従って着信トラフィックと発信トラフィックを分類し、それに応じてポリシーを適用します。

ポリシーのデータの方向は、Download Traffic （組織内）、Upload Traffic （組織外）、またはAny Direction に設定できます。

データタイプは、Content Types （ファイルの内容を解析して分類）とFile Types （ファイルIDを解析して分類）の2種類です。

コンテンツタイプの例です。

PCI - クレジットカード番号
HIPAA - 医療記録番号 - MRN
国際銀行口座番号 - IBAN
ソースコード - JAVA
米国ソーシャル・セキュリティ・ナンバーズ - SSAによると
給与調査用語

ファイルタイプの例です。

ビューアファイル - PDF
実行ファイル
データベースファイル
ドキュメントファイル
プレゼンテーションファイル
表計算ファイル

注:

Content Awareness Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。は、すべてのポートで HTTP、HTTPS、SMTP、FTP プロトコルをサポートしています。Access Control unified Rule Baseと完全に統合されています。QUICとWebSocketを経由するトラフィックは検査されません。新しいアプリケーションルールで「Quicプロトコル」/「WebSocketプロトコル」を使用して、このトラフィックをドロップまたは許可することができます。RFCに準拠していないHTTP接続は、検査されません。
Content Awareness Software Bladeは、バイナリ証明書*.cerファイルを「証明書と秘密鍵」のデータタイプにマッチさせません。
コンテンツアウェアネスとDLP（Data Loss Prevention）は、どちらもデータタイプを使用します。しかし、両者には異なる特徴や機能があります。これらは独立して動作し、Security Gatewayはこれらを別々に実施する。

データタイプの詳細については、SmartConsoleでデータタイプのオブジェクトを開き、? ボタン (またはF1 キー) を押してヘルプを表示させることができます。

DLPの詳細については、R81.10 Data Loss Prevention Administration Guide を参照してください。

アクション

意味

トラフィックを受け止める

Drop

トラフィックを落とします。Security Gatewayは接続の発信側に応答を送信せず、接続は最終的にタイムアウトを起こす。このアクションにUserCheckオブジェクトが定義されていない場合、ページは表示されません。

Ask

ユーザに質問し、確認用のチェックボックス、または理由ボックスを追加します。UserCheckオブジェクトを使用します。

Inform

アプリケーションやコンテンツにアクセスしようとするユーザに対して、メッセージを送信します。UserCheckオブジェクトを使用します。

これらのアクションを確認するには、右クリックして、More を選択します。

Reject

トラフィックを拒否する。Security Gatewayは接続元に対してRSTパケットを送信し、接続を終了する。

UserCheck Frequency

アクションがask、inform、blockのとき、ユーザが設定したメッセージを見る頻度を設定します。

Confirm UserCheck

UserCheckメッセージのトリガーとなるアクションを選択します。

Per rule - トラフィックがルールに一致する場合、UserCheckメッセージが1回だけ表示されます。
Per category - ルールで一致したカテゴリーごとにUserCheckメッセージが表示されます。
Per application/Site - ルールで一致したアプリケーション/サイトごとにUserCheckメッセージが表示されます。
Per Data type - 一致するデータタイプごとにUserCheckメッセージが表示されます。

Limit

ルールに許可される帯域幅を制限します。Limitオブジェクトを追加して、アップロードとダウンロードの最大スループットを設定します。

重要:

ポリシーのインストール後、これらのシナリオのいずれかでアクション"Limit"を持つアクセス制御ルールに一致する接続に帯域幅の制限が適用されません。

セキュリティオブジェクトで「Keep all connections 」オプションが選択されています。
このルールで使用されるサービスオブジェクトでは、「Keep connections open after the policy has been installed 」オプションが選択されています。

Enable Identity Captive Portal

HTTPトラフィックを認証（Captive）ポータルにリダイレクトします。ユーザが認証された後、このソースからの新しい接続は、認証を必要とせずに検査されます。

重要-Source およびDestination パラメータをAny と定義してトラフィックをドロップするルールは、Captive Portal へのトラフィックとそこからのトラフィックもドロップします。

ユーザチェックアクション

UserCheckは、Security Gatewayが、コンプライアンス管理サーバのCheck Point Software Bladeを使用して、セキュリティのベストプラクティスを表示し、管理対象セキュリティゲートウェイに適用します。このSoftware Bladeには、セキュリティゲートウェイとポリシーを適切に設定するためのベースラインとして使用する、チェックポイントで定義されたセキュリティベストプラクティスのライブラリが含まれています。違反や危険なインターネット閲覧の可能性がある場合、ユーザにメッセージを送信する機能です。アクセスコントロールポリシーでは、URLフィルタリング、アプリケーションコントロール、コンテンツアウェアネスと連動しています。(SmartConsoleのData Loss Prevention PolicyでUserCheckを使用することも可能です)。UserCheckオブジェクトを作成し、ルールベース内で使用して、ユーザと通信します。これらのアクションは、UserCheckオブジェクトを使用します。

Inform
Ask
Drop

セキュリティゲートウェイでのUserCheck

UserCheckが有効な場合、ユーザのインターネットブラウザは、UserCheckメッセージを新しいウィンドウで表示します。

を使用するセキュリティゲートウェイでUserCheckを有効にすることができます。

コンピュータでのUserCheck

UserCheck クライアントは、エンドポイントコンピュータにインストールされます。このクライアントには、次の機能があります。

SkypeやiTunesなどインターネットブラウザをベースとしないアプリケーションや、インターネットブラウザのアドオンやプラグインなどのメッセージを送信します。
インターネットブラウザで表示できないときに、コンピュータにメッセージを表示します。

トラッキングコラム

これらは、Tracking のオプションの一部です。

None - ログを生成しない。
Log - これはデフォルトのTrackオプションです。Security Gatewayが接続を照合するために使用したすべての情報が表示されます。
Accounting - これを選択すると、10分間隔でログが更新され、接続中のデータの経過が表示されます。アップロードバイト数、ダウンロードバイト数、閲覧時間。

トラッキングについてもっと知りたい方はこちら

Trackingオプションの詳細については、R81.10 Logging and Monitoring Administration Guide を参照してください。