R80.10以前のゲートウェイと統合アクセスコントロールポリシー

R77.30以下のセキュリティゲートウェイを管理するSecurity Management ServerをR80.10以降にバージョンアップすると、既存のアクセスコントロールポリシーはこのように変換されます。

• R80.10以前のFirewallのポリシーは、R80 アクセスコントロールポリシーのNetwork Policy Layerに変換されます。適用される暗黙のクリーンアップルールは、このレイヤーのどのルールにもマッチしないすべてのトラフィックをDropするように設定されます。

• R80.10以前のApplication & URL Filteringポリシーは、R80.xアクセスコントロールポリシーの第2レイヤーであるApplicationポリシーレイヤーに変換されます。適用される暗黙のクリーンアップルールは、このレイヤーのどのルールにもマッチしないすべてのトラフィックをAcceptするように設定されます。

重要 - アップグレード後は、暗黙のクリーンアップルールのActionや、ポリシーレイヤの順序を変更しないでください。その場合、ポリシーのインストールは失敗します。

R80.x Security Management Server上のR80.10以前のセキュリティゲートウェイに対する新しいアクセスコントロールポリシーは、この構造である必要があります。

1. 最初のポリシーレイヤーは、ネットワークレイヤーです（Firewallブレードが有効）。

2. 2つ目のポリシーレイヤーは、アプリケーション＆URLフィルタリングレイヤー（Application & URL Filtering ブレードが有効）である。

3. その他のポリシーレイヤーはありません。

アクセスコントロールポリシーの構造が異なる場合、ポリシーのインストールに失敗します。

レイヤーの名前を変えるなどして、よりわかりやすい名前にすることができます。

それぞれの新しいPolicy Layerには、自動的に追加される明示的なデフォルトルールがあり、そのPolicy Layerのどのルールにも一致しないすべてのトラフィックがDropされます。ネットワークポリシーレイヤーにはActionをDropに設定し、アプリケーションコントロールポリシーレイヤーにはAcceptを設定することを推奨します。

デフォルトのルールを削除すると、Implicit Cleanup Ruleが実行されます。Implicit Cleanup Ruleは、ポリシー設定ウィンドウで設定され、ルールベーステーブルには表示されません。Implicit Cleanup Ruleで、ネットワークポリシーレイヤーの一致しないトラフィックをDropし、アプリケーションコントロールポリシーレイヤーの一致しないトラフィックをAcceptするよう設定されていることを確認します。