オーダーレイヤーとインラインレイヤー

ポリシーとは、セキュリティゲートウェイが送受信トラフィックに適用するルールのセットです。アクセスコントロールと脅威対策には、それぞれ異なるポリシーがあります。

アクセスコントロールルールは、Ordered LayersとInline Layersを使用して、より管理しやすいルールのサブセットに整理することができます。

オーダレイヤーとインラインレイヤーの必要性

オーダーレイヤーとインラインレイヤーにより、サイバーセキュリティの管理を効率的に行うことができます。以下を実行できます。

  • ルールベースを簡素化したり、特定の目的のためにその一部を整理します。

  • フラットなルールベースではなく、インラインレイヤーを用いて、ポリシーを階層的に整理します。

    インラインレイヤーはルールベースの残りの部分から独立したサブポリシーである。

  • Ordered Layersを複数のポリシーパッケージで再利用し、Inline Layersを複数のレイヤーで再利用します。

  • 異なるレイヤーの所有権を異なる管理者に与えることで、ポリシーの管理を簡素化することができます。

  • レイヤーのルール数を減らすことで、パフォーマンスを向上させます。

インラインレイヤーにおけるルール実行の順序

オーダレイヤーはインラインレイヤーを含むことができます。

インラインレイヤーの例:

No.

発信元

宛先

VPN

サービス

アクション

1

 

 

 

 

 

2

Lab_network

Any

Any

Any

Lab_rules

2.1

Any

Any

Any

https

http

許可

2.2

Any

Any

Any

Any

ドロップ

3

 

 

 

 

 

インラインレイヤーは、親ルール(例ではルール2)とサブルール(ルール2.1、2.2)を持っています。親ルールのアクションは、インラインレイヤーの名前です。

パケットがインラインレイヤーの親ルールにマッチしない場合、オーダレイヤの次のルール(ルール3)にマッチングが行われます。

パケットがインラインレイヤーの親ルール(ルール2)に一致すると、セキュリティゲートウェイはサブルールと照合します。

  • パケットがインラインレイヤのサブルール(ルール2.1)にマッチした場合、それ以上のルールマッチは行われません。

  • 順序付きレイヤーの上位ルールのいずれもパケットとマッチしない場合、明示的なクリーンアップルールが適用されます(ルール2.2)。このルールがない場合、暗黙のクリーンアップルールが適用される(ルールベースにおけるルールの種類)。それ以上のルールマッチングは行われません。

重要

  • 各 Inline Layer の最後には必ず明示的なクリーンアップルールを追加し、そのActionImplicit Cleanup RuleAction と同じであることを確認します。

  • Security Gateway R80.10以前では、2番目のレイヤーはアプリケーションコントロールポリシーのように動作します。

Ordered Layersにおけるルール実行の順序

セキュリティゲートウェイにパケットが到着すると、セキュリティゲートウェイはそのパケットを上から順番に最初のOrdered Layerのルールと照合し、パケットにマッチした最初のルールを適用します。

一致するルールのActionDropの場合、セキュリティゲートウェイはポリシールールベースのそれ以降のルールとのマッチングを停止し、パケットをドロップします。ActionAcceptの場合、セキュリティゲートウェイは次のOrdered Layerのルールをチェックし続けます。

項目

説明

1

Ordered Layer 1

2

Ordered Layer 2

3

Ordered Layer 3

Ordered Layerのどのルールもパケットにマッチしない場合、明示的なDefault Cleanup Ruleが適用されます。このルールがない場合、暗黙のクリーンアップルールが適用される(ルールベースにおけるルールの種類)。

すべてのOrdered Layerは、個別の暗黙のクリーンアップルールを持ちます。 (参照)で、AcceptまたはDropにLayer settingsルールを設定できる。暗黙のクリーンアップ・ルールの設定)。

重要- 各Ordered Layerの最後には必ず明示的なCleanupルールを追加し、そのActionActionImplicit Cleanupルールの と同じであることを確認してください。

インラインレイヤーの作成

インライン・レイヤーは、ルールベースの他の部分とは独立したサブポリシーである。

インラインレイヤー作成のワークフローは、以下の通りです。

  1. インラインレイヤーの親ルールを作成する。インラインレイヤーのすべてのルールに共通するプロパティを1つ以上持つルールを作成します。例えば、同じソースやサービス、またはユーザのグループを持つルール。

  2. インラインレイヤーのサブルールを作成する。これらは、セキュリティゲートウェイが親ルールへの接続にマッチした場合の処理をより詳細に定義するルールです。例えば、各サブルールは、特定のホスト、ユーザ、サービス、データタイプに適用することができます。

  1. Ordered Layerにルールを追加します。これが親ルールだ。

  2. SourceDestinationVPNServices & Applicationsの各セルで、インラインレイヤーのマッチング条件を定義します。

  3. ルールのActionセルをクリックします。標準的なアクションを選択する代わりに、Inline Layer >New Layer を選択します。

  4. Layer Editorウィンドウが開きます。

  5. インラインレイヤーのプロパティを設定します。

    1. インラインレイヤーのルールのために、これらのBladesを1つ以上有効にします。

      • Firewall

      • Application & URL Filtering

      • Content Awareness

      • Mobile Access

    2. オプション: 可能であれば、他の Policy パッケージと Layers を共有するのがベストプラクティスです。これを有効にするには、Multiple policies can use this layerを選択します。

    3. Advancedをクリックします。

    4. Implicit Cleanup RuleDropまたはAcceptに設定する。ルールベースにおけるルールの種類)。

    5. クリックOK

    インラインレイヤーの名前は、ルールのActionセルに表示されます。

  6. インラインレイヤーの親ルールの下に、サブルールを追加する。

  7. インライン・レイヤーの最後のルールとして、明示的なクリーンアップ・ルールがあることを確認する (ルールベースにおけるルールの種類)。

- リモートアクセスVPNコミュニティオブジェクトは、アクションが "Inline Layer "の場合、Inline Layerの親ルールではサポートされません。

この問題を解決するにはリモートアクセスVPNコミュニティオブジェクトの代わりに、親ルールで「*Any」を使用します。インラインレイヤーのルールで、リモートアクセスVPNコミュニティオブジェクトを使用することができます。

Ordered Layerの作成

  1. SmartConsole で、Menu >Manage Policies and Layers をクリックします。

  2. 左側のペインでLayersをクリックします。

    レイヤーのリストが表示されます。Show only shared Layersを選択できます。

  3. 上部にあるツールバーのNewアイコンをクリックします。

  4. Layer Editorウィンドウで設定を行います。

  5. オプション: 可能であれば、他の Policy パッケージと Layers を共有するのがベストプラクティスです。これを有効にするには、Multiple policies can use this layerを選択します。

  6. クリックOK

  7. クリックClose

  8. SmartConsoleセッションを公開する。

    このOrdered Layerはまだポリシーパッケージに割り当てられていません。

  1. SmartConsoleで、Security Policiesをクリックします。

  2. アクセスコントロールポリシーセクションのレイヤーを右クリックし、Edit Policyを選択します。

    Policyウィンドウが開きます。

  3. Access Controlセクションで、プラス記号をクリックします。

    追加可能なレイヤーのリストが表示されます。これらは、Multiple policies can use this layerが有効になっているレイヤーです。

  4. レイヤーを選択します。

  5. クリックOK

  6. SmartConsoleセッションを公開する。

  1. SmartConsoleで、Security Policiesをクリックします。

  2. Access Control Policyセクションのレイヤーを右クリックし、Edit Policyを選択します。

    Policyウィンドウが開きます。

  3. Access Controlセクションで、プラス記号をクリックします。

  4. New Layerをクリックします。

    Layer Editorウィンドウが開き、Generalビューが表示されます。

  5. レイヤーのアプリケーションとURLフィルタリングを有効にする。

    1. レイヤーの名前を入力します。

      Applicationという名前を推奨します。

    2. Blades 」セクションで、「アプリケーション&URLフィルタリング」を選択する。

    3. クリックOKと表示され、Layer Editor ウィンドウが閉じる。

    4. クリックOKと表示され、Policy ウィンドウが閉じる。

  6. SmartConsoleセッションを公開する。

アクセス制御機能の有効化

アクセスコントロールポリシーを作成する前に、ポリシーで使用するアクセスコントロール機能を有効にする必要があります。

以下の機能を有効にします。

  1. SmartConsoleの左側のナビゲーションパネルから、Gateways & Serversをクリックし、セキュリティゲートウェイオブジェクトをダブルクリックします。

    セキュリティゲートウェイのGeneral Propertiesウィンドウが開きます。

  2. ナビゲーションツリーでGeneral Propertiesをクリックします。

  3. Network Securityタブで、アクセスコントロール機能を1つ以上選択します。

    • IPsec VPN

    • Mobile Access

    • Application Control

    • URL Filtering

    • Content Awareness

    • Identity Awareness

  4. クリックOK

Ordered Layerでアクセスコントロール機能を有効にするには

  1. SmartConsoleで、Security Policiesをクリックします。

  2. Access Controlで、Policyを右クリックし、Edit Policyを選択します。

  3. レイヤーのオプション をクリックする。

  4. Edit Layerをクリックします。

    Layer Editorウィンドウが開き、Generalビューが表示されます。

  5. Ordered Layerで使用するBladesを有効にします。

    • Firewall

    • Application & URL Filtering

    • Content Awareness

    • Mobile Access

  6. クリックOK

  1. SmartConsoleで、Security Policiesをクリックします。

  2. Ordered Layerを選択します。

  3. インラインレイヤーの親ルールで、Action カラムを右クリックし、Inline Layer >Edit Layer を選択する。

  4. インラインレイヤーで使用するBladesを有効にします。

    • Firewall

    • Application & URL Filtering

    • Content Awareness

    • Mobile Access

    - Ordered Layerで有効になっていないBladeは有効にしないでください。

  5. クリックOK

ルールベースにおけるルールの種類

ルールベースには、明示的暗示的暗黙的の3種類のルールが存在します。

明示的なルール

管理者が明示的に設定するルールで、指定された条件に基づいてトラフィックを許可またはブロックするもの。

重要 -デフォルトのクリーンアップルールは、すべての新しいレイヤーにデフォルトで追加される明示的なルールです。デフォルトのクリーンアップルールは、変更または削除することができます。各レイヤーの最後のルールとして、明示的なクリーンアップルールを設定することをお勧めします。

暗黙のルール

Global properties設定の一部として利用可能で、編集することができないデフォルトのルールです。暗黙のルールの選択とルールベースでの位置の設定のみ可能です。

  • First- ルールベース内の他のすべてのルール(明示的か黙示的かを問わない)の前に、最初に適用される。

  • Last- ルールベース内の他のすべてのルール(明示的であれ暗示的であれ)の後に、最後に適用される。Implicit Cleanup Rule

  • Before Last- ルールベース内の最後の明示的ルールの前に適用される

暗黙のルールは、セキュリティゲートウェイが利用するさまざまなサービスの接続を許可するために設定されます。例えば、Accept Control Connections のルールは、次のサービスを制御するパケットを許可します。

  • セキュリティゲートウェイへのセキュリティポリシーのインストール

  • セキュリティゲートウェイからSecurity Management Serverへのログの送信

  • RADIUSやTACACS認証サーバなど、サードパーティのアプリケーションサーバへの接続

暗黙のクリーンアップルール

レイヤーのデフォルトの「キャッチオール」ルールは、レイヤー内のどの明示的または暗示的ルールにも一致しないトラフィックを処理します。これは、レイヤーを作成する際に自動的に作成されます。

暗黙のクリーンアップルールは、ルールベースに表示されません。

Security Gateways R80.10以降では、暗黙のクリーンアップルールのデフォルトのアクションはDropです。これは、ほとんどのポリシーがAllow Listルール(Acceptアクション)を持っているからです。レイヤーにブラックリストルール(ドロップアクション)がある場合、レイヤーエディタで暗黙のクリーンアップルールのアクションを「Accept(許可)」に変更することができます。

Security Gateway R77.30以前では、暗黙のルールの動作はOrdered Layerに依存します。

  • ドロップ - Networkレイヤー用

  • Accept - Applications and URL Filteringが有効になっているレイヤーの場合。

- デフォルト値を変更した場合、Security Gateway R77.30以下ではポリシーのインストールに失敗します。

セキュリティゲートウェイがルールを適用する順序

  1. 最初の暗黙のルール - このルールの前に明示的なルールは置けません。

  2. 明示的ルール - これは管理者が作成するルール。

  3. Before Last Implied Rules - 最後の明示的ルールの前に適用されます。

  4. 最後の明示的ルール - 最後の明示的ルールとして、クリーンアップルールを使用することをお勧めします。

    - クリーンアップルールを最後の明示的ルールとして使用する場合、最後の暗黙的ルール暗黙的なクリーンアップルールは実行されません。

  5. 最後の暗黙のルール - このルールは他のすべての明示的および暗黙のルールの後に適用されますが、暗黙のクリーンアップルールが一番最後に適用されることを忘れないでください。

  6. 暗黙のクリーンアップルール - レイヤーのルールがどれも一致しない場合に適用されるデフォルトのルール。

一部の暗黙ルールは、デフォルトで有効になっています。必要に応じて、デフォルトの設定を変更できます。

暗黙ルールを設定するには

  1. SmartConsoleで、Access Control Policyを選択します。

  2. ポリシーの上にあるツールバーから、Actions >Implied Rules を選択します。

    Implied Policyウィンドウが開きます。

  3. 左側のペインでConfigurationをクリックします。

  4. ルールを選択すると有効になり、ルールをクリアすると無効になります。

  5. 有効なルールについては、ルールベース内のルールの位置を選択します:First,Last, またはBefore Last (ルールベースにおけるルールの種類)。

  6. クリックOKをインストールしてください。

SmartConsole で、Security Policies ビューから、Actions >Implied Rules を選択する。

Implied Policyウィンドウが開きます。

暗黙ルールだけが表示され、明示的なルールは表示されません。

暗黙のクリーンアップルールを設定するには

  1. SmartConsole で、Menu >Manage Policies and Layers をクリックします。

  2. 左側のペインでLayersをクリックします。

  3. レイヤーを選択し、Editをクリックします。

    Layer Editorが開きます。

  4. クリックAdvanced

  5. Implicit Cleanup RuleDropまたはAcceptに設定する。

  6. クリックOK

  7. クリックClose

  8. SmartConsoleセッションを公開する。

アクセスコントロールレイヤーの管理者

アクセスコントロールのロール専用の管理者アカウントを作成し、独自のインストール権限とSmartConsoleの読み取り/書き込み権限を持たせることができます。

また、異なるレイヤーの所有権を異なる管理者に委任することも可能です。参照: アクセスコントロールレイヤーの権限の設定

レイヤーの共有

ポリシーの異なる部分で同じルールを使用したり、複数のポリシーパッケージで同じルールを持つことが必要な場合があります。

何度もルールを作成する必要はありません。Ordered LayerやInline Layerを1度だけ定義し、共有としてマークします。そして、Inline LayerやOrdered Layerを複数のポリシーパッケージで再利用したり、Inline LayerをOrdered Layer内の複数の場所で使用したりすることができます。例えば、企業の管理者が複数の支店間でルールの一部を共有したい場合などに便利です。

  • 時間の節約にもつながり、ミスも防ぐことができます。

  • 企業の全支店の共有ルールを変更する場合、変更するのは一度だけです。

  1. SmartConsole で、Menu >Manage policies and layers をクリックします。

  2. 左側のペインでLayersをクリックします。

  3. Access ControlまたはThreat Preventionでレイヤーを選択します。

  4. 右クリックして、Edit Layerを選択します。

  5. Layer Editorウィンドウで設定を行います。

  6. Generalで、Multiple policies and rules can use this layerを選択します。

  7. クリックOK

  8. クリックClose

  9. SmartConsoleセッションを公開する。

  1. SmartConsole で、Menu >Manage policies and layers >Policies に進みます。

  2. 必要なポリシーを右クリックしてEditをクリックします。ポリシーのプロパティウィンドウが表示されます。

  3. Threat Preventionボックスで、+ 記号をクリックします。

  4. このポリシーパッケージに含めたいレイヤーを選択します。

  5. クリックOK

  6. ポリシーのプロパティウィンドウを閉じます。

  7. SmartConsoleで、ポリシーをインストールします。

  8. すべてのポリシーパッケージについて、この手順を繰り返します。

インライン・レイヤーとオーダード・レイヤーの例については、以下を参照のこと。統一ルールベースの使用例

ルールベースのセクションによる視覚的分割

多数のルールを持つポリシーをよりよく管理するために、セクションを使用してルールベースをより小さな論理的なコンポーネントに分割することができます。この分割はあくまで視覚的なものであり、異なるセクションの管理を異なる管理者に委任することはできません。

レイヤーのルールは.CSVファイルにエクスポートできます。.CSVファイルは、Microsoft Excelなどの表計算アプリケーションで開いて変更することができます。

レイヤールールを.CSVファイルにエクスポートするには

  1. SmartConsole で、Menu >Manage Policies and Layers をクリックします。

    Manage Layersウィンドウが開きます。

  2. Layersをクリックします。

  3. レイヤーを選択し、Actions >Export selected Layer をクリックします。

  4. パスとファイル名を入力します。

ポリシーとレイヤーの管理

Access Control PolicyでOrdered LayersとInline Layersを操作するには、SmartConsoleでMenu >Manage policies and layers を選択します。

Manage policies and layersウィンドウが表示されます。

ポリシーパッケージのレイヤーとその属性を確認するには

ウィンドウのLayersペインで次が確認できます。

  • Name- レイヤー名

  • Number of Rules- レイヤーのルール数

  • Modifier- 最後にレイヤ構成を変更した管理者。

  • Last Modified-レイヤーが変更された日付。

  • Show only Shared Layers- 共有レイヤーはMultiple policies and rules can use this Layer オプションが選択されている (レイヤーの共有)。

  • Layer Details

    • Used in policies- レイヤーを使用するポリシーパッケージ

    • Mode:

      • Ordered- 秩序ある層。マルチドメインセキュリティ管理環境では、グローバルルールと、ローカル、ドメインルールのプレースホルダーが含まれます。

      • Inline- インラインレイヤーはサブポリシーとも呼ばれる。

      • Not in use- Policy パッケージで使用されないレイヤ。

レイヤーのルールを確認するには

  1. レイヤーを選択します。

  2. 右クリックして、Open layer in policyを選択します。