基本的なアクセスコントロールポリシーの作成

セキュリティゲートウェイは、アクセスコントロールルールベースを構成する一連のルールを使用して、コンピュータ、クライアント、サーバ、およびアプリケーションへのアクセスを制御します。安全なアクセスコントロールと最適化されたネットワークパフォーマンスを実現するルールベースを構成する必要があります。

強力なアクセスコントロールルールベースで、以下を実現します。

  • 許可された接続のみをアクセス許可し、ネットワークの脆弱性を防止する。

  • 許可されたユーザに適切な社内リソースへのアクセスを与える。

  • 接続を効率的に検査する。

基本ルール

ベストプラクティス - これらは、すべてのルールベースに対して推奨される基本的なアクセスコントロールルールです。

  • セキュリティゲートウェイへの直接アクセスを防止するステルスルール

  • ポリシー内の以前のルールでマッチしないすべてのトラフィックをドロップするクリーンアップルール

使用例 - 基本的なアクセスコントロール

このユースケースは、単純なアクセスコントロールセキュリティポリシーのルールベースを示しています。(Hits,VPN,Content のカラムは表示されていません)。

いいえ

名前

発信元

宛先

サービス&アプリケーション

アクション

追跡

インストール

1

セキュリティゲートウェイへの管理者アクセス

Admins (アクセスロール)

セキュリティゲートウェイのグループ

Any

許可

ログ記録

ポリシーの対象

2

ステルス

Any

セキュリティゲートウェイのグループ

Any

ドロップ

アラート

ポリシーの対象

3

クリティカルサブネット

内部

ファイナンス
HR
研究開発

Any

許可

ログ記録

CorpGW

4

テクニカルサポート

テックサポート

リモート1-web

HTTP

許可

アラート

リモート1GW

5

DNSサーバ

Any

DNS

ドメインUDP

許可

なし

ポリシーの対象

6

メールサーバ、Webサーバ

Any

DMZ

HTTP
HTTPS
SMTP

許可

ログ記録

ポリシーの対象

7

SMTP

メール

内部ではない
ネットグループ

SMTP

許可

ログ記録

ポリシーの対象

8

DMZとインターネット

IntGroup

Any

Any

許可

ログ記録

ポリシーの対象

9

クリーンアップルール

Any

Any

Any

ドロップ

ログ記録

ポリシーの対象

ルールについての説明:

ルール

説明

1

Admin Access to Gateways- SmartConsoleの管理者は、セキュリティゲートウェイへの接続が許可されます。

2

Stealth- SmartConsole管理者からセキュリティゲートウェイのいずれかに接続されていない内部トラフィックはすべてドロップされます。接続がステルスルールに一致すると、SmartView Monitorに警告ウィンドウが表示されます。

3

Critical subnet- 内部ネットワークから指定されたリソースへのトラフィックが記録される。このルールでは、3つのサブネットをクリティカルリソースとして定義している:財務、人事、研究開発である。

4

Tech support- テクニカルサポートサーバから、リモートワンセキュリティゲートウェイの背後にあるリモートワンWebサーバへのアクセスを許可します。HTTPトラフィックのみ許可されます。パケットがTech supportルールに一致した場合、アラートアクションが実行されます。

5

DNS server- 外部DNSサーバへのUDPトラフィックを許可します。このトラフィックはログに記録されません。

6

Mail and Web servers- DMZにあるメールサーバとWebサーバへの受信トラフィックを許可します。HTTP、HTTPS、SMTPのトラフィックが許可されます。

7

SMTP- メールサーバへの送信SMTP接続を許可します。危険なメールサーバの侵入を防ぐため、内部ネットワークへのSMTP接続は許可しません。

8

DMZ and Internet- 内部ネットワークからDMZおよびインターネットへのトラフィックを許可します。

9

Cleanup rule- 先のルールのいずれかにマッチしないすべてのトラフィックをドロップします。

使用例 - 各部門のインラインレイヤー

この使用例では、各部門のサブポリシーを持つ基本的なアクセスコントロールポリシーを示しています。各部門のルールは、インラインレイヤーになっています。インラインレイヤーは、ルールベースの他の部分から独立しています。異なるレイヤーの所有権を異なる管理者に委任することができます。

いいえ

名前

発信元

宛先

サービス&アプリケーション

内容

アクション

追跡

1

クリティカルサブネット

内部

ファイナンス

HR

Any

Any

許可

ログ記録

2

SMTP

メール

内部ネットワークではない(グループ)

smtp

Any

許可

ログ記録

3

研究開発部門

研究開発のロール

Any

Any

Any

テックサポートレイヤー

N/A

3.1

研究開発サーバ

Any

R&Dサーバ(グループ)

QAネットワーク

Any

Any

許可

 

ログ記録

3.2

研究開発ソース管理

InternalZone

ソースコントロールサーバ(グループ)

ssh

http

https

Any

許可

ログ記録

---

---

---

---

---

---

---

---

3.X

クリーンアップルール

Any

Any

Any

Any

ドロップ

ログ記録

4

QA部門

QAネットワーク

Any

Any

Any

QAレイヤー

N/A

4.1

研究開発サーバへのアクセスを許可する

Any

R&Dサーバ(グループ)

Webサービス

Any

許可

ログ記録

---

---

---

---

---

---

---

---

4.Y

クリーンアップルール

Any

Any

Any

Any

ドロップ

ログ記録

5

すべてのユーザの従業員ポータルアクセスを許可

Any

従業員ポータル

Webサービス

Any

許可

なし

---

---

---

---

---

---

---

---

9

クリーンアップルール

Any

Any

Any

Any

ドロップ

ログ記録

ルールについての説明:

ルール

説明

1

2

組織全体の一般ルール

3

3.1
3.2
---
3.X

研究開発部門のインラインレイヤー。

ルール3は、インラインレイヤーの親ルールです。Actionは、インラインレイヤーの名前です。

パケットが親ルール3にマッチしない場合:

マッチングはインラインレイヤーの外側にある次のルール(ルール4)に続きます。

パケットが親ルール3にマッチした場合:

マッチングは3.1まで続き、インラインレイヤー内の最初のルールになります。パケットがこのルールにマッチした場合、そのパケットに対してルールアクションが実行されます。

パケットがルール3.1にマッチしない場合、インラインレイヤー内の次のルールであるルール3.2に進みます。一致しない場合、インラインレイヤーの残りのルールに進みます。---は、1つ以上のルールを意味します。

パケットはインラインレイヤーの内部でのみマッチングされます。インラインレイヤーには暗黙のクリーンアップルールがあるため、インラインレイヤーから離れることはありません。ルール4、5、およびOrdered Layerの他のルールではマッチングされません。

ルール3.Xは、cleanup ruleです。インラインレイヤーの先のルールのいずれかにマッチしないトラフィックをすべてドロップします。これはデフォルトの明示的ルールです。ルールは変更または削除することができます。

ベストプラクティス - インラインレイヤーと順序レイヤーの最後に、明示的なクリーンアップルールを設定します。

4

4.1

---
4.Y

QA部門の、もう1つのインラインレイヤー。

5

より一般的な組織全体のルール。

--

1つまたは複数のルール。

9

Cleanup rule- Ordered Layerの先のルールのどれかにマッチしないトラフィックをすべてドロップします。これはデフォルトの明示的ルールです。ルールは変更または削除することができます。

ベストプラクティス - インラインレイヤーと順序レイヤーの最後に、明示的なクリーンアップルールを設定します。