アプリケーションコントロールとURLフィルタリングのルールの作成

SmartConsoleのAccess Controlビューのアクセスコントロールポリシーで、アプリケーションコントロールとURLフィルタリングのポリシーを作成し、管理します。アプリケーションコントロールとURLフィルタリングのルールは、どのユーザが組織内から特定のアプリケーションやサイトを利用できるか、またどのようなアプリケーションやサイトの利用がログに記録されるかを定義します。

どのアプリケーションやカテゴリが高リスクであるかを知るには、Security PoliciesビューのAccess Tools部分にあるApplication Wikiに目を通してください。ポリシーに盛り込むべきアプリケーションやカテゴリのアイデアを探します。

アクセスコントロールポリシーとトラフィックの概要を見るには、Access Control > Logs & Monitor > New TabViewsビューを参照してください。

ベストプラクティスアプリケーションコントロールとURLフィルタリングを同じルールで使用しないでください。ルールが正しく一致しなくなる場合があります。アプリケーションコントロールとURLフィルタリングは別々のルールで使用します。これにより、カテゴリが特定されると同時に、URLフィルタリングルールが使用されるようになります。詳細は、sk174045を参照してください。

シナリオ:組織内のすべてのFacebookトラフィックをモニタしたい。どうすればいいですか?

すべてのFacebookアプリケーションのトラフィックを監視するには

  1. SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  2. Applications and URL Filteringが有効になっているレイヤーを選択します。

  3. Add ruleツールバーボタンのいずれかをクリックすると、ルールベース内で選択した位置にルールが追加されます。最初にマッチしたルールが適用されます。

  4. 次のコンポーネントを含むルールを作成します。

    • Name- Monitor Facebookといった名前をルールに付けます。

    • Source- 組織からのすべてのトラフィックに適用されるよう、Anyとして保持します。

    • Destination- インターネットまたはDMZに向かうすべてのトラフィックに適用されるよう、Internetとして保持します。

    • Services & Applications- プラス記号をクリックしてアプリケーションビューアを開きます。ルールにFacebookのアプリケーションを追加します。

      1. 検索フィールドに「face」と入力していきます。利用可能なリストにFacebookアプリケーションが表示されます。

      2. 各項目をクリックすると、説明ペインに詳細が表示されます。

      3. ルールに追加する項目を選択します。

      - アプリケーションは、デフォルトで推奨サービスにマッチングされます。これを変更することができます (許可されたアプリケーションのマッチングを設定する)。各サービスは特定のポートで実行されます。推奨するWeb Browsing Servicesは、httphttpsHTTP_proxyHTTPS_proxyです。

    • Action- 選択Accept

    • Track- 選択Log

    • Install On- すべてのセキュリティゲートウェイをPolicy Targets 、または特定のセキュリティゲートウェイを選択してルールをインストールする。

このルールは、すべてのFacebookトラフィックを許可し、ログ記録します。ログはLogs & MonitorビューのLogsタブで見ることができます。組織内のFacebookの利用状況を監視するには、Access Controlビュー(SmartEvent Serverが必要)を確認します。

シナリオ:組織内でポルノサイトをブロックし、違反についてユーザに伝えたい。どうすればよいですか?

アプリケーションまたはアプリケーションのカテゴリをブロックし、ポリシー違反についてユーザに伝えるには

  1. SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  2. Applications and URL Filteringが有効になっているレイヤーを選択します。

  3. 次のコンポーネントを含むルールを作成します。

    • Services & Applications- Pornographyカテゴリを選択します。

    • Action- Drop、UserCheckBlocked Message - Access Control

      メッセージは、ユーザの行為が会社のポリシーに反していることを知らせるとともに、Webサイトが誤ったカテゴリに含まれている場合に報告するためのリンクを含めることができます。

    • Track-Log

      - このルールベース例には、ここに関連するカラムのみが含まれています。

      名前

      発信元

      宛先

      サービス&アプリケーション

      アクション

      追跡

      インストール

      ポルノをブロック

      Any

      インターネット

      ポルノ(カテゴリ)

      ドロップ
      ブロック・メッセージ

      ログ記録

      ポリシーの対象

このルールは、ポルノサイトへのトラフィックをブロックし、それらのサイトへのアクセス試行をログに記録します。ルールに違反したユーザには、会社のセキュリティポリシーに基づきアプリケーションがブロックされたことを知らせるUserCheckメッセージが表示されます。メッセージには、Webサイトが不正なカテゴリに含まれている場合に報告するためのリンクを含めることができます。

重要 - SourceおよびDestinationパラメータがAnyとして定義されているトラフィックをブロックするルールは、Captive PortalへのトラフィックおよびCaptive Portalからのトラフィックもブロックします。

シナリオ:業務に支障をきたさないよう、従業員のストリーミングメディアへのアクセスを制限したい。

アプリケーションやカテゴリをブロックしたくない場合、従業員のアクセス制限を設定するさまざまな方法があります。

  • ルールにLimitオブジェクトを追加して、ルールに許可される帯域幅を制限します。

  • ルールに1つまたは複数のTimeオブジェクトを追加して、指定した時間帯のみアクティブにすることができます。

例として、次のようなルールがあります。

  • ピーク時以外の営業時間内に限り、ストリーミングメディアへのアクセスを許可する。

  • 社内のストリーミングメディアのアップロードスループットを1Gbpsに制限する。

時間と帯域幅の制限付きでストリーミングメディアを許可するルールを作成するには

  1. SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  2. Applications and URL Filteringが有効になっているレイヤーを選択します。

  3. Add Ruleツールバーボタンのいずれかをクリックすると、ルールベース内で選択した位置にルールが追加されます。

  4. 次のコンポーネントを含むルールを作成します。

    • Services & Applications- Media Streamsカテゴリ

      - アプリケーションは、推奨されるサービスにマッチします。各サービスは、デフォルトのApplication ControlWeb browsing Services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するにはサービス&アプリケーション・カラム

    • Action- Moreをクリックし、Action:AcceptLimitオブジェクトを選択します。

    • Time- ルールが有効な時間または期間を指定するTime オブジェクトを追加する。

      - Timeカラムは、デフォルトではルールベーステーブルに表示されません。これを見るには、テーブルのヘッダを右クリックし、Timeを選択します。

      名前

      発信元

      宛先

      サービスとアプリケーション

      アクション

      追跡

      インストール

      時間

      ストリーミングメディアの制限

      Any

      インターネット

      メディアストリーム(カテゴリ)

      許可
      Upload_1Gbps

      ログ記録

      すべて

      営業時間外

重要

  • ClusterXL負荷分散モードでは、指定された帯域幅の上限は、クラスタの状態に関係なく、構成されたすべてのクラスタメンバ間で分割されます。たとえば、最大制限要件が30 GbEで、クラスタメンバが3人いる場合、ルールのLimitオブジェクトを30 GbE / 3 = 10 GbEに設定する必要があります。

  • Scalable PlatformSecurity Groupでは、指定された帯域幅の上限は、その状態に関係なく、すべてのSecurity Groupメンバ間で分割される。例えば、最大制限要件が30 GbEで、セキュリティグループメンバが3人いる場合、ルールのLimitオブジェクトを30 GbE / 3 = 10 GbEに設定する必要があります。

シナリオ:指定したユーザグループにはリモートアクセスアプリケーションを許可し、その他のユーザには同じアプリケーションをブロックしたい。他のリモート・アクセス・アプリケーションもブロックしたい。どうすればいいですか?

セキュリティゲートウェイで Identity Awareness を有効にすると、アプリケーションコントロールと併用して、アクセスロールに適用するルールを作成できる。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

  • 組織内のすべての識別されたユーザを表すアクセスロールIdentified_Usersはすでに作成されています。セキュリティゲートウェイ上で識別されたユーザのみにアプリケーションへのアクセスを許可するために使用できます。

  • すべてのユーザに対して Radminリモートアクセスツールへのアクセスを許可したい。

  • 組織内のすべてのユーザに対して、他のすべてのリモートアクセスツールをブロックしたい。また、リモート接続やリモートコントロールを確立できる他のアプリケーションもブロックしたい。

これらを実現するには、2つの新しいルールをルールベースに追加します。

  1. ルールを作成し、次のコンポーネントを含めます。

    • Source-Identified_Usersアクセスロール

    • Destination-Internet

    • Services & Applications - Radmin

    • Action-Accept

  2. 下に別のルールを作成し、次のコンポーネントを含めます。

    • Source-Any

    • Destination-Internet

    • Services & Applications- カテゴリ:Remote Administration

    • Action-Block

      名前

      発信元

      宛先

      サービス&アプリケーション

      アクション

      追跡

      インストール

      識別されたユーザにRadminを許可

      Identified_Users

      インターネット

      Radmin

      許可

      ログ記録

      すべて

      他のリモート管理者をブロック

      Any

      インターネット

      リモート管理

      ブロック

      ログ記録

      すべて

これらのルールに関する注

  • Radminを許可するルールは他のリモート管理ツールをブロックするルールよりも上位にあるため、最初にマッチングされます。

  • 最初のルールのソースはIdentified_Usersのアクセスロールです。テクニカルサポート部門を表すアクセスロールを使用する場合、テクニカルサポート部門のユーザのみがRadminを使用することが許可されます。

  • アプリケーションは、推奨されるサービスでマッチングされます。各サービスは、デフォルトのアプリケーションコントロール Web browsing services: http, https, HTTP_proxy, HTTPS_proxyのように、特定のポートで実行されます。これを変更するには、「アプリケーションとカテゴリのサービスの変更」を参照してください。

アクセスロールとアイデンティティアウェアネスについては、以下を参照してください。R81.20 Identity Awareness Administration Guide

シナリオ:責任問題を引き起こす可能性のあるカテゴリに関連するサイトをブロックしたい。これらのカテゴリのほとんどはアプリケーションデータベースに存在するが、カスタム定義されたサイトも含まれなければならない。どうすればいいですか?

カスタムグループを作成し、該当するすべてのカテゴリとサイトをそのグループに追加することでこれを行うことができます。セキュリティゲートウェイで Identity Awareness を有効にすると、URL フィルタリングと一緒に使用して、アクセスロールに適用するルールを作成できます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

  • 以下が既に作成されています。

    • 組織内のすべての識別されたユーザ(Identified_Users)を表すアクセスロール。

    • FreeMoviesというサイトのカスタムアプリケーション。

  • 組織内のすべての人に責任問題を引き起こす可能性のあるサイトをブロックしたい。

  • アプリケーションデータベースカテゴリと、以前に定義したFreeMoviesというカスタムサイトを含むカスタムグループを作成します。

  1. オブジェクトエクスプローラで、New > More > Custom Application/Site > Application/Site Groupをクリックします。

  2. グループに名前をつけます。例えば、Liability_Sites

  3. +をクリックして、グループメンバを追加します。

    • カスタムアプリケーションFreeMoviesを検索し、追加します。

    • Categories を選択し、ブロックしたいものを追加します(例:AnonymizerCritical RiskGambling)。

    • クリックClose

  4. クリックOK

これで、アクセスコントロールルールベースでLiability_Sitesグループを使用できるようになります。

SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  • Source-Identified_Usersアクセスロール

  • Destination-Internet

  • Services & Applications- 賠償責任サイト

  • Action-Drop

    - アプリケーションは、推奨されるサービスにマッチします。各サービスは、デフォルトのApplication ControlWeb Browsing Services:http,https,HTTP_proxy,HTTPS_proxy のように、特定のポートで実行されます。これを変更するには、「アプリケーションとカテゴリのサービスの変更」を参照してください。

名前

発信元

宛先

サービス&アプリケーション

アクション

追跡

法的責任の発生する可能性のあるサイトをブロック

Identified_Users

インターネット

Liability_Sites

ドロップ

ログ記録

URLカテゴリのブロック

シナリオ:ポルノサイトをブロックしたい。どうすればいいですか?

そのためには、ポルノを含むすべてのサイトを「ポルノ」カテゴリでブロックするルールを作成します。セキュリティゲートウェイで Identity Awareness を有効にすると、URL フィルタリングと一緒に使用して、アクセスロールに適用するルールを作成できます。アクセスロールオブジェクトを使用して、ユーザ、マシン、ネットワークロケーションを1つのオブジェクトとして定義します。

この例では

  • 組織内のすべての識別されたユーザを表すアクセス・ロール(Identified_Users)を作成済みです。

  • ポルノ関連のサイトをブロックしたい。

手順としてはアプリケーションのブロックとユーザへの通知