アクセスコントロールルールベースのカラム

これらは、アクセスコントロールポリシーのルールカラムです。デフォルトでは、すべてが表示されるわけではありません。表示されないカラムを選択するには、ルールベースのヘッダを右クリックして選択します。

カラム

説明

No

ルールベースレイヤのルール番号。

Hits

接続がルールにマッチした回数。

参照: ルールベースのヒットカウントの分析

Name

システム管理者がこのルールに付ける名前。

Source

Destination

次を定義するネットワークオブジェクト:

  • トラフィックが始まる場所

  • トラフィックの宛先

参照: 送信元と送信先のカラム

VPN

ルールが適用されるVPNコミュニティ。

参照: VPNカラム

Services & Applications

サービス、アプリケーション、カテゴリ、サイト。
アプリケーション&URLフィルタリングが有効でない場合は、サービスのみが表示されます。

参照: サービス&アプリケーション・カラム

Content

保護するデータアセット(クレジットカード番号や医療記録など)。

データの方向は、Download Traffic(組織内)、Upload Traffic(組織外)、Any Directionのいずれかに設定できます。

参照: コンテンツ・カラム

Action

トラフィックがルールに一致したときに実行されるアクション。オプションは以下の通り:Accept、Drop、Ask、Inform(UserCheckメッセージ)、Inline Layer、Reject。

参照: アクション

Track

トラフィックがルールに一致したときに行われるアクションを追跡し、ログに記録します。

参照: トラッキング・カラム

Install On

ポリシーのルールを取得するネットワークオブジェクト。

参照: アクセスコントロールポリシーのインストール

Time

このルールが適用される期間。

Comment

ルールを要約するオプションのフィールド。

送信元と送信先のカラム

アクセスコントロールポリシールベースの送信元カラムと宛先カラムには、あらゆるタイプのグループを含むネットワークオブジェクトを追加できます。

ここでは、設定可能なネットワークオブジェクトを紹介します。

ネットワークオブジェクトについての詳細

アクセスコントロールポリシーのSourceDestinationカラムにネットワークオブジェクトを追加できます。参照: オブジェクトの管理

VPNカラム

サイト間VPN、リモートアクセスVPN、モバイルアクセス ポータルおよびクライアントに対するルールを設定できます。

VPNコミュニティのルールを作成するには、このカラムにSite-to-Site CommunityまたはRemote Access VPN Communityオブジェクトを追加するか、Anyを選択してすべてのVPNコミュニティにルールを適用させます。

Security GatewayでMobile Accessを有効にすると、Security Gatewayは自動的にRemoteAccess VPNコミュニティに追加されます。ルールのVPNカラムにそのコミュニティを含めるか、Anyを使用して、ルールをモバイルアクセスセキュリティゲートウェイに適用させることができます。セキュリティゲートウェイがVPNコミュニティから削除された場合、VPNカラムにAnyを含める必要があります。

IPsec VPN

IPsec VPNソリューションは、セキュリティゲートウェイが他のセキュリティゲートウェイやクライアントとの間でトラフィックを暗号化および復号できるようにします。SmartConsoleを使用する SmartConsoleは、セキュリティゲートウェイとリモートデバイス間のVPN接続を簡単に設定できます。

サイト間コミュニティでは、VPNネットワークにスター型トポロジとメッシュ型トポロジを設定し、サードパーティゲートウェイを含めることができます。

VPNトンネルでは次を確実に行います。

  • 認証 - 標準的な認証方法を使用

  • プライバシー - VPNデータはすべて暗号化

  • 整合性 - 業界標準の整合性保証方式を採用

IKEとIPsec

Check PointのVPNソリューションは、安全なVPNプロトコルを使用して暗号化キーを管理し、暗号化されたパケットを送信します。IKE (Internet Key Exchange) は、VPN トンネルを作成するために使用される標準的な鍵管理プロトコルです。IPsecは、プライベートネットワークやパブリックネットワーク上で認証・暗号化された安全なIP通信をサポートするプロトコルです。

ネットワークへのモバイル・アクセス

Check Pointのモバイルアクセスを使用することで、リモートユーザがインターネットを利用して簡単かつ安全に社内ネットワークに接続できます。リモートユーザは、Mobile Access Security Gatewayに対して標準的なHTTPSリクエストを開始し、1つまたは複数の安全な認証方式で認証を行います。

モバイルアクセスポータルは、モバイルワーカーやリモートワーカーがインターネット経由で重要なリソースに簡単かつ安全に接続することを可能にします。Check Pointのモバイルアプリは、管理されていないスマートフォンやタブレットから企業のリソースへの安全な暗号化通信を可能にします。アクセスには、社内アプリ、メール、カレンダー、連絡先などがあります。

モバイルアクセスアプリケーションへのアクセスをルールベースに含めるには、Services & ApplicationsカラムにMobile Applicationを含めます。

指定したリモートアクセスクライアントを介してリソースにアクセスできるようにするには、クライアント用のアクセスロールを作成し、ルールのSourceカラムに含めます。

VPNの詳細について

サイト間VPNとリモートアクセスVPNの詳細については、次のガイドを参照してください。

サービス&アプリケーション・カラム

アクセスコントロールルールベースのServices & Applicationsカラムで、ルールに含まれるアプリケーション、サイト、およびサービスを定義します。ルールには、1つまたは複数の以下を含めることができます。

  • サービス

  • アプリケーション

  • モバイルアクセスのアプリケーション

  • Webサイト

  • インターネットトラフィックのデフォルトのカテゴリ

  • Check Pointのアプリケーションデータベースには含まれない、ユーザが作成したカスタムグループ/カスタムカテゴリ。

サービスマッチング

セキュリティ・ゲートウェイは、IPプロトコル、TCPおよびUDPポート番号プロトコル署名に従ってサービスを識別(マッチング)する。

セキュリティ・ゲートウェイがプロトコル・シグネチャでサービスを照合できるようにするには、セキュリティ・ゲートウェイとオーダード・レイヤーでApplication & URL Filtering を有効にする必要がある(詳細はアクセス制御機能の有効化)。

TCPおよびUDPサービスをソース・ポートでマッチングするように設定できます。

アプリケーションマッチング

ポリシーでアプリケーションが許可されている場合、ルールはアプリケーションのRecommended サービスにのみマッチする。このデフォルト設定は、すべてのサービスでアプリケーションを許可するよりも安全です。たとえば、Facebookを許可するルールは、アプリケーションコントロールWeb Browsing Services:httphttpsHTTP_proxyHTTPS_proxy上でのみ許可します。

ポリシーでブロックされているアプリケーションは、すべてのサービスでブロックされます。そのため、すべてのポートでブロックされます。

アプリケーションのデフォルトのマッチング設定は変更できます。

ルールがポリシーで許可されているアプリケーションまたはカテゴリとどのように一致するかを設定できます。アプリケーションにマッチするルールは、次のいずれかの方法で設定できます。

  • 任意のサービス

  • 特定のサービス

そのためには、アプリケーションまたはカテゴリのMatch Settingsを変更します。アプリケーションまたはカテゴリは、ポリシーで使用されているすべての場所で変更されます。

許可されたアプリケーションまたはカテゴリのサービスを変更するには

  1. Services & Applicationsカラムにアプリケーションまたはカテゴリがあるルールで、アプリケーションまたはカテゴリをダブルクリックします。

  2. Match Settingsを選択します。

  3. オプションを選択します。

    • デフォルトは、Recommendedサービスです。Webサービスのデフォルトは、アプリケーションコントロールWeb Browsing Services

    • アプリケーションとすべてのサービスを一致させるには、Anyをクリックします。

    • 指定したサービスでアプリケーションを一致させるには、Customizeをクリックし、サービスを追加または削除します。

    • アプリケーションをすべてのサービスと一致させ、特定のサービスを除外するには、Customizeをクリックし、除外するサービスを追加して、Negateを選択します。

  4. クリックOK

デフォルトでは、ポリシーでアプリケーションがブロックされると、すべてのサービスでブロックされます。そのため、すべてのポートでブロックされます。

ブロックされたアプリケーションのマッチングを推奨サービス上で行うように設定できます。Webアプリケーションの場合、推奨サービスはアプリケーションコントロールのWebブラウジングサービスである。

アプリケーションのマッチ設定がCustomize に設定されている場合、ブロックされたアプリケーションはカスタマイズされたサービスサービスでマッチングされます。すべてのポートでマッチするわけではない。

ブロックされたアプリケーションのマッチングを設定するには

  1. SmartConsoleで、Manage & Settings >Blades >Application & URL Filtering >Advanced Settings > に進みます。Application Port Match

  2. Match application on 'Any' port when used in 'Block' ruleを設定します:

    • 選択済み - これがデフォルトです。アプリケーションがルールベースでブロックされている場合、アプリケーションは任意のポートにマッチします。

    • 選択されていない - アプリケーションがルールベースでブロックされている場合、アプリケーションは、アプリケーションのアプリケーションオブジェクトで構成されているサービスに一致します。ただし、一部のアプリケーションはAny(任意)でマッチングされます。標準的なサービスセットに制限されないアプリケーション(Skypeなど)がこれに当たります。

ブロックルールのアプリケーションマッチングのサマリ

アプリケーション - マッチング設定

チェックボックス:ブロック」ルールで使用する場合、「任意の」ポートのWebアプリケーションに一致させます。

ブロックされたアプリケーションはサービスで一致

推奨サービス(デフォルト)

選択(デフォルト)

Any

推奨サービス(デフォルト)

未選択

推奨サービス

カスタマイズ

関連なし

カスタマイズ

Any

関連なし

Any

ルールにサービス、アプリケーション、サイトを追加できます。

:アプリケーションまたはカテゴリによるルールは、セキュリティゲートウェイからの接続またはセキュリティゲートウェイへの接続には適用されません。

サービス、アプリケーション、またはサイトをルールに追加するには

  1. SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  2. アプリケーションをルールに追加するには、Applications and URL Filteringが有効なレイヤを選択します。

  3. ルールのServices & Applicationsセルを右クリックし、Add New Itemsを選択します。

  4. サービス、サイト、アプリケーション、カテゴリを検索します。

  5. 追加する対象の横にある+をクリックします。

Check Pointのアプリケーションデータベースには含まれないカスタムアプリケーション、カテゴリ、またはグループを作成できます。

アプリケーションやサイトを新規に作成するには

  1. SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  2. Applications and URL Filteringが有効になっているレイヤーを選択します。

  3. ルールのServices & Applicationsセルを右クリックし、Add New Itemsを選択します。

    アプリケーションビューアのウィンドウが開きます。

  4. New >Custom Applications/Site >Application/Site をクリック。

  5. オブジェクトの名前を入力します。

  6. 1つまたは複数のURLを入力します。

    URLに正規表現を使用した場合は、URLs are defined as Regular Expressionsをクリックします。

    - アプリケーションまたはサイトのURLが正規表現で定義されている場合、正しい構文を使用する必要があります。sk165094を参照してください。

  7. クリックOK

  1. SmartConsoleのセキュリティポリシービューで、Access ControlPolicyに移動します。

  2. Applications and URL Filteringが有効になっているレイヤーを選択します。

  3. ルールのServices & Applicationsセルを右クリックし、Add New Itemsを選択します。

    アプリケーションビューアのウィンドウが開きます。

  4. New >Custom Applications/Site >User Category をクリック。

  5. オブジェクトの名前を入力します。

  6. オブジェクトの説明を入力します。

  7. クリックOK

R77.30以下のセキュリティゲートウェイにおけるサービスとアプリケーション、およびアップグレード後について

Security Gateway R77.30以下の場合:

  • セキュリティ・ゲートウェイは、TCPおよびUDPサービスをポート番号でマッチングする。Security Gatewayはプロトコル署名でサービスを照合できません。

  • Security Gatewayは、アプリケーションの署名によってアプリケーションを照合します。

Security Management ServerをR80以降に、Security GatewayをR80.10以降にバージョンアップすると、この動作が変更されます。

  • アプリケーション&URLフィルタリングルールベースで定義されたアプリケーションは、推奨ポートで受け入れられます。

コンテンツ・カラム

アクセスコントロールポリシーのルールの「コンテンツ」カラムにデータタイプを追加できます。

「コンテンツ」カラムを使用するには、セキュリティゲートウェイの一般プロパティページで、Content Awarenessを有効にし、レイヤー上で使用する必要があります。

データタイプはデータの分類です。ファイアウォールは、データタイプに従って着信トラフィックと発信トラフィックを分類し、それに応じてポリシーを適用します。

ポリシーのデータの方向は、Download Traffic(組織内)、Upload Traffic (組織外)、またはAny Direction に設定できます。

データタイプには2種類ある:コンテンツタイプ(ファイルの内容を分析して分類)とファイルタイプ(ファイルIDを分析して分類)である。

コンテンツタイプの例:

  • PCI - クレジットカード番号

  • HIPAA - 医療記録番号 - MRN

  • 国際銀行口座番号 - IBAN

  • ソースコード - JAVA

  • 米国の社会保障番号 - SSAによる

  • 給与調査用語

ファイルタイプの例:

  • ビューアファイル - PDF

  • 実行ファイル

  • データベースファイル

  • ドキュメントファイル

  • プレゼンテーションファイル

  • 表計算ファイル

  • Content Awareness Software Bladeは、すべてのポートで HTTP、HTTPS、SMTP、FTP プロトコルをサポートしています。アクセスコントロール統一ルールベースと完全に統合されています。QUICとWebSocketを経由するトラフィックは検査されません。新しいアプリケーションルールで「Quicプロトコル」/「WebSocketプロトコル」を使用して、このトラフィックをドロップまたは許可することができます。RFCに準拠していないHTTP接続は、検査されません。

  • Content Awareness Software Bladeは、バイナリ証明書*.cerファイルを「証明書と秘密鍵」のデータタイプにマッチさせません。

  • コンテンツアウェアネスとDLP(Data Loss Prevention)は、どちらもデータタイプを使用します。しかし、両者には異なる特徴や機能があります。それぞれ独立して動作し、セキュリティゲートウェイで別々に実施されます。

  • インラインレイヤの親ルールのcontentカラムにArchive File 、サブルールのcontentカラムに別の値(例えば: Presentation File)がある場合、マッチしたアーカイブに別の値(この例ではプレゼンテーションファイル)が含まれていると、そのルールはマッチしない。両方のコンテンツタイプに通常のルールを使用する。

  • ルールのコンテンツカラムに、Compound Data Type Group またはTraditional Data Type Group と、Archive File データタイプおよび別のデータタイプ (例:PCI - Credit Card Numbers) が含まれる場合、クレジットカードを含むファイルを含むアーカイブファイルがアップロードまたはダウンロードされると、そのルールは一致しません。

  • contentカラムにArchive File を持つルールがマッチし、ルールベースの下位ルールがアーカイブファイルに含まれるデータタイプを持つ場合、ルールベースの下位ルールもマッチする。

制限

  • Content Awarenessは、日本語、韓国語、ギリシャ語、アラビア語を含む、テキストファイル用の60以上の文字セット(charset)をサポートしています。検査されたトラフィックにサポートされている文字セットが含まれていない場合、デコードにUTF-8を使用する。サポートされている文字セットのリストと、デフォルトの文字セットを変更する方法については、sk116155 を参照のこと。

  • コンテンツ・アウェアネスは、ファイル名に基づくデータタイプをサポートしています。ファイル名がURLまたはcontent-dispositionヘッダーの一部でない特定のHTTPトラフィックでは、ファイル名が正しくない可能性があります。

データタイプの詳細については、SmartConsoleでデータタイプのオブジェクトを開き、?ボタン (またはF1キー) を押してヘルプを確認します。

DLPの詳細についてはR81.20 Data Loss Prevention Administration Guide

アクション

アクション

意味

Accept

トラフィックを許可

Drop

トラフィックを破棄します。セキュリティゲートウェイは接続の発信側に応答を送信せず、接続は最終的にタイムアウトを起こします。このアクションにUserCheckオブジェクトが定義されていない場合、ページは表示されません。

Ask

ユーザに質問し、確認用のチェックボックス、または理由ボックスを追加します。UserCheckオブジェクトを使用します。

Inform

アプリケーションやコンテンツにアクセスしようとするユーザに対して、メッセージを送信します。UserCheckオブジェクトを使用します。

これらのアクションを確認するには、右クリックしてMoreを選択:

Reject

トラフィックを拒否します。セキュリティゲートウェイは接続元に対してRSTパケットを送信し、接続を終了します。

UserCheck Frequency

アクションが「Ask」、「Inform」、「Block」のとき、ユーザが設定したメッセージを見る頻度を設定します。

Confirm UserCheck

UserCheckメッセージのトリガとなるアクションを選択します。

  • Per rule- UserCheckメッセージは、トラフィックがルールに一致した場合に1度だけ表示されます。

  • Per category- UserCheckメッセージは、ルールの各マッチングカテゴリに表示されます。

  • Per application/Site- UserCheckメッセージは、ルール内の一致するアプリケーション/サイトごとに表示されます。

  • Per Data type- UserCheckメッセージは、一致するデータタイプごとに表示されます。

Limit

ルールに許可される帯域幅を制限します。

Limit オブジェクトを追加して、アップロードとダウンロードの最大スループットを設定する。

重要:

ポリシーのインストール後、これらのシナリオのいずれかでアクション"Limit"を持つアクセスコントロールルールに一致する接続に帯域幅の制限が適用されません。

  • セキュリティオブジェクトで'Keep all connections'オプションが選択されています。

  • このルールで使用されるサービスオブジェクトでは、'Keep connections open after the policy has been installed'オプションが選択されています。

Enable Identity Captive Portal

HTTPトラフィックを認証(Captive)ポータルにリダイレクトします。ユーザが認証された後、このソースからの新しい接続は、認証を必要とせずに検査されます。

重要 - SourceおよびDestinationパラメータをAnyと定義してトラフィックをドロップするルールは、Captive Portalへのトラフィックとそこからのトラフィックもドロップします。

トラッキング・カラム

Trackingのオプションには次のようなものが含まれます。

  • None- ログを生成しない。

  • LogこれはデフォルトのTrack 。セキュリティゲートウェイが接続をマッチングするために使用したすべての情報が表示されます。

  • Accounting- これを選択すると、10分間隔でログが更新され、接続中にどれだけのデータが経過したかが表示されます:アップロードバイト、ダウンロードバイト、ブラウズ時間。

追跡(トラッキング)の詳細について

トラッキングオプションの詳細についてはR81.20 Logging and Monitoring Administration Guide