ユニファイドルールベースの活用事例

ここでは、アクセスコントロールポリシーに定義できるルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。の例を示すユースケースをいくつか紹介します。

ユースケース - アプリケーションコントロールとコンテンツ認識オーダードレイヤー

このユースケースは、統一されたアクセスコントロールポリシーの例を示しています。アプリケーションとコンテンツを1つのOrdered Layerで制御します。

いいえ	名前	発信元	宛先	VPN	サービス&アプリケーション	内容	アクション	追跡
コンプライアンス管理サーバのCheck Point Software Bladeを使用して、セキュリティのベストプラクティスを表示し、管理対象セキュリティゲートウェイに適用します。このSoftware Bladeには、セキュリティゲートウェイとポリシーを適切に設定するためのベースラインとして使用する、チェックポイントで定義されたセキュリティベストプラクティスのライブラリが含まれています。全般 (1)
1	ブロックカテゴリ	Any	インターネット	Any	アノニマイザークリティカルリスク	Any	ドロップブロックメッセージ	Log
危険な実行ファイルをブロックする (2)
2	未分類のサイトやリスクの高いサイトからの実行ファイルのダウンロードをブロックする	インターナルゾーン	インターネット	Any	未分類ハイリスク	トラフィックのダウンロード実行ファイル	ドロップ	Log
クレジットカード情報（3-4）
3	金融機関により、のクレジットカード番号のアップロードを許可し、HTTPS経由でのみ許可する。	ファイナンス（アクセスロール）	ウェブサーバ	Any	https	トラフィックをアップロードする PCI - クレジットカード番号	許可	Log
4	会社のWebサーバから他のクレジットカードを遮断する。	Any	ウェブサーバ	Any	Any	任意の方向 PCI - クレジットカード番号	ドロップ	Log
VPNで機密情報を知らせる (5)
5	VPNサイトからの機密データについてユーザへ通知	Any	Any	RemoteAccess	Any	任意の方向給与調査報告書	インフォーム	Log
クリーンアップ (6)
6	クリーンアップルール	Any	Any	Any	Any	Any	許可	Log

ルールについての説明。

ルール	説明
1	一般的なコンプライアンスセクション- 許されないWebサイトやアプリケーションへのアクセスをブロックします。
2	危険な実行ファイルをブロックするセクション - 危険性の高い実行ファイルのダウンロードをブロックします。
3-4	クレジットカードデータセクション- クレジットカード番号のアップロードを財務部門のみ許可し、HTTPS経由でのみ許可します。他のクレジットカードをブロックする。
5	VPNセクションで機密データをブロックする - 組織のVPN経由で接続したリモートユーザには、情報メッセージが表示されます。
6	cleanup rule- 先ほどのルールのいずれにも一致しないすべてのトラフィックを受け付けます。

ユースケース - Webトラフィックのためのインラインレイヤー

この使用例では、Webトラフィックを制御するアクセスコントロールポリシーの例を示しています。WebサーバのルールはInline Layerにあります。

いいえ	名前	発信元	宛先	サービス内容 & アプリケーション	内容	アクション	追跡
1	本社WEBトラフィック - プロキシ経由	HQ	プロキシ	Webプロキシ	Any	聞くウェブアクセスポリシーアクセスノーティ... 一日一回につきまして...	Log
2	インターネットへのプロキシを許可する	プロキシ	インターネット	ウェブ	Any	許可	なし
3	ローカルブランチが直接インターネットにアクセスできるようにする	現地法人	インターネット	ウェブ	Any	聞くウェブアクセスポリシーアクセスノーティ... 一日一回につきまして...	Log
4	ウェブサーバ	インターナルゾーン	ウェブサーバ	ウェブ	Any	Webサーバの保護	N/A
4.1	未承認ブラウザの閲覧をブロックする機能	Any	Any	ネガテイブ Google Chrome インターネットエクスプローラー11 Firefox サファリ	Any	ドロップ	Log
4.2	クレジットカードのアップロードはHTTPSでのみ行うことをユーザに通知	Any	Any	https	トラフィックをアップロードするクレジットカード番号	インフォームアクセスノーティ... 一日一回につきまして...	Log
4.3	クレジットカードのブロック化	Any	Any	Any	任意の方向クレジットカード番号	ドロップブロックメッセージ	Log
4.4	機密性の高いコンテンツのダウンロードをブロック	Any	Any	Any	トラフィックのダウンロード HIPAA - 医療記録ヘッダー	ドロップ	Log
4.5	クリーンアップルール	Any	Any	Any	Any	許可	なし
5	PayPalにクレジットカードを送信する際にユーザを確認する機能	インターナルゾーン	インターネット	PayPal	任意の方向クレジットカード番号	聞く会社方針アクセスノーティ... 一日一回につきまして...	Log
6	クリーンアップルール	Any	Any	Any	Any	ドロップ	Log

ルールについての説明。

ルール	説明
4	インラインレイヤセキュリティポリシーの別のルールで使用されるルールのセット。ーの親ルールです。Action は、インラインレイヤーの名前です。パケットが親ルールにマッチした場合、インラインレイヤのルール4.1にマッチングが継続される。パケットが親ルールにマッチしない場合，ルール5までマッチングが継続される。
4.1 -4.4	パケットがルール4.1にマッチした場合、そのパケットに対してルールアクションが行われ、それ以上のルールマッチは行われない。ルール4.1でパケットがマッチしない場合、ルール4.2へ進む。インラインレイヤの残りのルールも同じロジックです。
4.5	順序付きレイヤーの上位ルールのどれもがパケットにマッチしない場合、明示的なCleanup Rule が適用される。Cleanup rule は、デフォルトの明示的なルールです。ルールは変更または削除することができます。各インラインレイヤーとオーダーレイヤーの最後のルールとして、明示的なクリーンアップルールを設定することをお勧めします。

ユースケース - コンテンツ認識オーダーレイヤー

このユースケースは、組織からのデータのアップロードとダウンロードを制御するポリシーを示しています。

ルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。の下に、いくつかのルールの解説があります。

いいえ	名前	発信元	宛先	サービス&アプリケーション	内容	アクション	追跡
法規制の遵守
1	実行ファイルのダウンロードをブロックする	インターナルゾーン	インターネット	Any	トラフィックのダウンロード実行ファイル	ドロップ	Log
2	金融ユーザによるクレジットカード番号のアップロードをHTTPSでのみ許可する	ファイナンス（アクセスロール）	ウェブサーバ	https	トラフィックをアップロードする PCI - クレジットカード番号	許可	Log
3	会社のWebサーバから他のクレジットカードを遮断する。	インターナルゾーン	ウェブサーバ	Any	任意の方向 PCI - クレジットカード番号	ドロップブロックメッセージ	Log
個人を特定できる情報
4	米国に匹敵する米国で割り当てられた社会保障番号（SSN）。ソーシャル・セキュリティ・アドミニストレーション（SSA）。	インターナルゾーン	インターネット	Any	トラフィックをアップロードする米国ソーシャル・セキュリティ・ナンバーズ - SSAによると	インフォームアクセスノーティフィ... 一日一回アプリケーションごとに	Log
5	機密性の高い医療情報のダウンロードをブロック	インターナルゾーン	インターネット	Any	トラフィックのダウンロード HIPAA - 医療記録ヘッダー	ドロップブロックメッセージ	Log
人的資源
6	給与調査報告書を含む文書のアップロード時に、ユーザに問い合わせる。	インターナルゾーン	インターネット	Any	トラフィックをアップロードする給与調査報告書	聞く会社方針一日一回アプリケーションごとに	Log
知的財産権
7	ソースコードを含むデータとのマッチング	インターナルゾーン	インターネット	Any	任意の方向ソースコード	ソースコードの制限	N/A
255255255255		Any	Any	Any	トラフィックのダウンロードソースコード	許可	Log
7.2		Any	Any	Any	トラフィックをアップロードするソースコード	聞く会社方針一日一回アプリケーションごとに	Log
7.3	クリーンアップインラインレイヤー	Any	Any	Any	Any	ドロップブロックメッセージ	Log

ルールについての説明。

ルール	説明
1-3	規制遵守セクション - 実行可能ファイルやクレジットカードのアップロードとダウンロードを制御します。 Content の方向を設定することができます。ルール 1 ではDownload Traffic 、ルール 2 ではUpload Traffic 、ルール 3 ではAny Direction である。ルール1は、File Typeである実行可能ファイルを制御します。ファイルタイプのルールは、コンテンツタイプのルール（ルール2～7）よりもルールベースの上位にあります。これにより、Content TypeよりもFile Typeの方が早くマッチングされるため、ルールベースの効率が向上します。
4-5	個人識別情報セクション - 社会保障番号や医療記録のアップロードとダウンロードを制御します。ルール4のルールActionは、Inform 。社内ユーザが社会保障番号の入ったファイルをアップロードすると、ユーザがメッセージを見る。
6	人事セクション - 給与調査情報の社外への送信をコントロールする。ルールアクションは、Ask 。機密性の高いコンテンツが検出された場合、ユーザはそのアップロードが組織のポリシーに準拠していることを確認する必要があります。
7	知的財産セクション - ソースコードがどのように組織から離れるかを制御するルール群。ルール7は、インラインレイヤーの親ルールです（「オーダーレイヤーとインラインレイヤー」を参照）。Action はインラインレイヤーの名前です。パケットがルール7.1にマッチした場合、マッチングを停止する。ルール7.1でパケットがマッチしない場合、ルール7.2へ進む。同様に、一致しない場合は、7.3へ進む。インラインレイヤーの最後のルールでマッチングが停止します。各インラインレイヤーの最後のルールとして、明示的なクリーンアップルールを設定することをお勧めします。

ユースケース - アプリケーション& URL フィルタリングオーダリング層

この使用例では、インターネット閲覧を監視および制御する典型的なポリシーのURLフィルタリングおよびアプリケーション制御ルールの例をいくつか示します。(Hits, VPN とInstall On の欄は表示されていません)。

いいえ	名前	発信元	宛先	サービス&アプリケーション	アクション	追跡	時間
1	賠償責任サイト	Any	インターネット	ポテンシャル負債（グループ）	ドロップブロック・メッセージ	Log	Any
2	高リスクのアプリケーション	Any	インターネット	ハイリスク iTunes アノニマイザー（カテゴリー）	ドロップブロック・メッセージ	Log	Any
3	IT部門のリモート管理を可能にする	IT（アクセスロール）	Any	ラドミン	許可	Log	ワーク時間
4	人事部のFacebookを許可する	HR(アクセスロール)	インターネット	Facebook	許可 Download_1Gbps	Log	Any
5	これらのカテゴリーをブロックする	Any	インターネット	ストリーミングメディアプロトコルソーシャルネットワーキング P2Pファイル共有リモート管理	ドロップブロック・メッセージ	Log	Any
6	すべてのアプリケーションを記録する	Any	インターネット	Any	許可	Log	Any

ルールについての説明。

ルール

説明

Liability sites - カスタムPotential_liability グループ内のサイトとアプリケーションへのトラフィックをブロックします。UserCheckBlocked Message 、ユーザに表示され、トラフィックがブロックされる理由を説明します。サイトのブロック」をご覧ください。

Scenario: I want to block sites that are associated with categories that can cause liability issues. Most of these categories exist in the Application Database but there is also a custom defined site that must be included. How can I do this?

これは、custom group を作成し、該当するすべてのカテゴリとサイトを追加することで実現できます。Security Gateway で Identity Awareness を有効にすると、URL Filtering と一緒に使用して、access role に適用するルールを作成することができます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

すでに作成されている
- 組織内のすべての識別されたユーザを表すアクセスロール(Identified_Users)。
- FreeMovies というサイト用のカスタムアプリケーション。
組織内のすべての人に責任問題を引き起こす可能性のあるサイトをブロックしたい。
アプリケーションデータベースのカテゴリと、以前に定義したカスタムサイト（FreeMovies ）を含むカスタムグループを作成します。

カスタムグループを作成するには

オブジェクトエクスプローラで、New > More > Custom Application/Site > Application/Site Group をクリックします。
グループに名前をつける。例： Liability_Sites
+ をクリックして、グループメンバーを追加します。
- カスタムアプリケーションFreeMovies を検索して追加します。
- Categories を選択し、ブロックしたいものを追加します（例：Anonymizer,Critical Risk, andGambling ）。
- Closeをクリックします。
OKをクリックします。。

これで、アクセスコントロールルールベースで、Liability_Sites グループを使用できるようになりました。

ルールベースに、次のようなルールを追加します。

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。のSecurity Policiesビューで、Access Control Policy にアクセスします。

Source -Identified_Usersのアクセスロール
Destination - Internet
Services & Applications - Liability_Sites

Action -Drop

注 - アプリケーションは、推奨されるサービスにマッチします。各サービスは、デフォルトのApplication ControlWeb Browsing Services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するには、「アプリケーションとカテゴリのサービスを変更する」を参照してください。

名前	発信元	宛先	サービス&アプリケーション	アクション	追跡
法的責任の発生する可能性のあるサイトをブロック	Identified_Users	インターネット	Liability_Sites	ドロップ	Log

High risk applications -High Risk カテゴリ内のサイトおよびアプリケーションへのトラフィックをブロックし、iTunes アプリケーションをブロックします。UserCheckBlock Message 、ユーザに表示され、トラフィックがブロックされる理由を説明します。

Allow IT department Remote Admin -IT 部門のネットワークにあるコンピュータがRadmin アプリケーションを使用できるようにします。Radmin を使用するトラフィックは、Work-Hours （例：8:00～18:30 に設定）の間のみ許可されます。

Allow Facebook for HR -HR ネットワーク上のコンピュータがFacebook を使用できるようにする。Facebook からダウンロードされるトラフィックの合計は1Gbpsに制限されます。アップロードの制限はありません。

Block these categories - これらのカテゴリへのトラフィックをブロックします。Streaming Media,Social Networking,P2P File Sharing, およびRemote Administration 。UserCheckBlocked Message 、ユーザに表示され、トラフィックがブロックされる理由を説明します。

注 - Remote Administrationカテゴリは、Radminアプリケーションを使用するトラフィックをブロックします。このルールがルール3の前に置かれている場合、このルールはIT部門のRadmin をブロックすることも可能です。

Log all applications - URLフィルタリングとアプリケーションコントロールセキュリティゲートウェイ上のCheck Point Software Blade。ディープパケットインスペクションを使用して特定のWeb対応アプリケーションをきめ細かく制御できます。頭字語：APPI。のカテゴリのいずれかに一致するすべてのトラフィックをログに記録します。