ファイアウォール アクセス ポリシー

ファイアウォール ポリシー

[アクセス ポリシー]>[ファイアウォール ポリシー]ページでは、ファイアウォール アクセス ポリシー ルールを管理できます。ここでは、ルールを作成、編集、削除したり、有効/無効にすることが可能です。

[アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページでは、基本的なファイアウォール ポリシーのモードを決定します。

  • 標準モードの場合、デフォルトのポリシー設定に基づいて自動生成されたルールと、このデフォルト ポリシーの例外として手動で定義したルールが両方表示されます。

  • 厳格モードの場合、デフォルトですべてのアクセスがブロックされ、このページでのみ組織のアクセス ルールを設定することができます。

ルール ベースは2つのセクションに分かれています。各セクションには異なるセキュリティ ポリシーが表示されます。組織からインターネットへのブラウジング方法(組織の外部)と、組織のリソースにアクセスする際のセキュリティ ポリシー(組織の内部からと外部からの両方)です。ページの上部には3つのリンクがあり、両方を表示する、またはどちらか一方のセクションのみを表示するよう変更できます。

  • [インターネットへの外部アクセス] - 外部へのすべてのトラフィック ルール。このルール ベースでは、組織の外部であるインターネットへアクセスする際のポリシーを決定します。通常、ここでのポリシーは、基本的なトラフィックは許可し、企業が判断したアプリケーションとURLをブロックします。[アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページでは、ブロックするアプリケーションとURLのデフォルト ポリシーを設定できます。このページでは、デフォルト ポリシーの例外となるルールを手動で追加できます。また、ルール ベースでブロック/許可されたとき、特定のWebサイトに対してユーザに表示するメッセージのカスタマイズを行うことも可能です(以下を参照)。さらに、アプリケーションまたはURLの確認アクションを使用して、アクセスが業務関連の目的かどうかをエンドユーザに確認することもできます。たとえば、カテゴリに分類されていないURLへアクセスするユーザに確認するルールを追加することは、推奨される設定です。このようなルールを設定すれば、潜在的なボット攻撃を防ぐことが可能です。

  • [着信、内部およびVPNトラフィック] - すべての着信、内部、VPNトラフィックのルール。このルール ベースでは、組織の外部であるインターネットへアクセスする際のポリシーを決定します。すべての内部ネットワーク、ワイヤレス ネットワーク、そして外部VPNサイトは、企業の一部としてみなされ、これらに送られるトラフィックはこのルール ベースで検査されます。通常、ここでのポリシーは、組織の外部から中に送られるトラフィックはブロックし、組織の中のトラフィックは許可します。

    標準モードでは、複数のページにわたってさらに詳細なデフォルト ポリシーを設定できます。

    • 特定のソースから組織へのトラフィックは、デフォルトでブロックまたは許可することができます。この設定は各ソースの編集モードで確認できます。

    • 外部のVPNサイト - [VPN]>[サイト間のブレード コントロール]ページで、VPNサイトへのデフォルト アクセスを設定します。

    • リモート アクセスVPNユーザ - デフォルト アクセスを[VPN]>[リモート アクセス ブレード コントロール]ページから設定します。

    • ワイヤレス ネットワーク - 各ワイヤレス ネットワークの編集ウィンドウ([デバイス]>[ワイヤレス ネットワーク]ページ)の[アクセス]タブから、各ワイヤレス ネットワークのデフォルト アクセスを設定します。

    • DMZネットワーク - DMZオブジェクトの編集ウィンドウ([デバイス]>[ローカル ネットワーク]ページ)からデフォルト アクセスを設定します。

      - DMZは1530/1550アプライアンスではサポートされていません。

  • 各サーバの編集ウィンドウ([アクセス ポリシー]>[ファイアウォール サーバ]ページ)で設定した定義したサーバ オブジェクトへのトラフィック

    このページでは、デフォルト ポリシーの例外となるルールを手動で追加できます。厳格モードでは、デフォルト ポリシーですべてのトラフィックがブロックされ、アクセスは手動のルールで設定します。

各セクションには、以下があります。

  • 手動ルール - 手動で作成するルール。

  • 自動生成ルール - 上記で説明した初期のファイアウォール ポリシー モード(厳格または標準)に基づき、システムで判断したルール。このルールは、システムのそれ以外の要素も考慮されています。たとえば、サーバを追加した場合、対応するルールが[着信、内部およびVPNトラフィック]セクションに追加されます。

以下は、ファイアウォール アクセス ポリシーのルールを管理するフィールドです。

ルール ベース フィールド

内容

No.

ファイアウォール ルール ベースのルール番号。

ソース

接続を開始するIPアドレス、ネットワーク オブジェクト、ユーザ グループ。

宛先

接続の送信先となるIPアドレスまたはネットワーク オブジェクト。

アプリケーション

許可/ブロックするアプリケーションまたはWebサイト。一般的なアプリケーション、カテゴリ、カスタム定義のアプリケーション、URL、グループなどでリストを絞り込むことができます。詳細については、[アプリケーション& URLの管理]を参照してください。

このフィールドは、インターネットへの外部へのアクセス セクションのみに表示されます。

サービス

許可/ブロックするネットワーク サービスのタイプ。

アクション

トラフィックがルールに一致した場合に実行するファイアウォールのアクション。

外部へのトラフィック ルールの場合、通常のブロック/許可アクションのほかに、メッセージのカスタマイズ オプションを使用して"確認"、"通知"アクションを設定することができます。

メッセージは、「許可して通知」「ブロックして通知」「確認」の各アクション タイプの場合に表示されます。メッセージは、「許可して通知」「ブロックして通知」「確認」の各アクション タイプの場合に表示されます。「確認」アクションは、トラフィックが業務目的かプライベート目的かをエンドユーザに確認させるアクションです。以下のメッセージのカスタマイズのセクションを参照してください。ユーザはポータルにリダイレクトされ、そこでメッセージまたは質問が表示されます。

ルールに時間の範囲が設定されている場合、時計アイコンが表示されます。

ログ

トラフィックがルールに一致した場合に実行する追跡とログ記録のアクション。

コメント/
自動生成ルール

上記フィールドのすぐ下に表示される各詳細。

  • ルールの作成時に入力したコメント。

  • システムで自動的に生成されるルール。コメントのオブジェクト名のリンクをクリックすると、設定タブが開きます。

"確認"アクション

外部へのルール ベースでは、許可/ブロックの単純な処理ではなく、ブラウザベースのアプリケーションに「確認」アクションを設定できます。この設定は、次のような状況において役立ちます。

  • 組織において通常はブロックし、業務関連の目的でアクセスする場合には許可したいトラフィックに使用します。エンドユーザは、業務に関連するための必要なアクセスであることを確認し、このイベントのために管理者がアクセスポリシーを変更することなく、続行できます。たとえば、Facebookへのトラフィックは通常はブロックしますが、人事の担当者が業務関連でアクセスする場合は許可したい場合があります。

  • カテゴリ分類されていないURLへのトラフィックに対してこのアクションを使うことで、組織の内部にインストールされる可能性のあるマルウェアの防御対策にもなります。このようなマルウェアは"確認"アクションでブロックされます。

アクセス ルールの設定

新しく手動で定義したアクセス ルールを作成するには

  1. [新規]の横にある矢印をクリックします。ルール ベースが両方表示されたら、該当するテーブルで[新規]をクリックします。

  2. ルールに指定可能な位置をいずれか1つクリックします。

    [一番上]、[一番下]、[選択したルールの上]、[選択したルールの下]から選んでクリックします。

    [ルールの追加]ウィンドウが開きます。次の2種類のルール フィールドが表示されます。

    • ルールの概要文とデフォルト値

    • テーブル形式のルール ベース フィールド。

  3. ルール サマリのリンク、またはテーブルのセルをクリックして、ネットワーク オブジェクトを選択するか、ルール ベースのフィールド オプションを選択します。上述の説明を参照してください。

    - [アプリケーション]フィールドは、外部へのトラフィックのルールのみに該当します。

    [ソース]フィールドでは、オプションで手動でIPアドレス(ネットワーク)、ネットワーク オブジェクト、ユーザ グループ(ユーザ ベースのポリシーを設定するにはユーザ認識ブレードがアクティブになっている必要があります)を入力できます。ユーザはアプライアンスでローカルに定義することも、Active Directoryで外部に定義することも可能です。

    詳細については、[アクセス ポリシー]>[ユーザ認識ブレード コントロール]ページを参照してください。

  4. [コメントの記入]フィールドには、ルールを説明するテキストを入力します(オプション)。このテキストは[アクセス ポリシー]のルールの下にコメントとして表示されます。

  5. ルールを特定の時間に制限する場合は、[時間の設定]を選択して、開始時間と終了時間を指定します。

  6. 発信ルールでダウンロード トラフィック レートを制限する場合は、[アプリケーション トラフィックのダウンロード制限]を選択して、レート(Kpbs)を入力します。

  7. 発信ルールでアップロード トラフィック レートを制限する場合は、[アプリケーション トラフィックのアップロード制限]を選択して、レート(Kpbs)を入力します。

  8. 着信ルールで、暗号化されたVPNトラフィックのみを一致させるには、[暗号化トラフィックだけを一致]を選択します。

  9. 適用をクリックします。

    ルールは[アクセス ポリシー]の発信/着信のセクションに追加されます。

ルールを複製するには

既存のルールとほとんど同じ内容のルールを作成する場合、ルールを複製して追加できます。

  1. ルールを選択して[複製]をクリックします。

  2. 必要に応じてフィールドを編集します。

  3. 適用をクリックします。

ルールを編集するには

- アクセス ポリシー ルールでは、自動生成されたルールの追跡オプションのみ編集できます。

  1. ルールを選択して、[編集]をクリックします。

  2. 必要に応じてフィールドを編集します。

  3. 適用をクリックします。

ルールを削除するには

  1. ルールを選択して、[削除]をクリックします。

  2. 確認メッセージで[はい]をクリックします。

ルールを有効/無効にするには

  • ルール ベースに追加した、手動で定義したルールを無効にするには、ルールを選択して[無効]をクリックします。

  • 一度無効にした、手動で定義したルールを有効にするには、ルールを選択して[有効]をクリックします。

ルールの順番を変更するには

  1. 移動するルールを選択します。

  2. 移動する場所へドラッグアンドドロップします。

    - 変更できるのは、手動で定義したルールの順番のみです。

アップデート可能なオブジェクト

アップデート可能なオブジェクトをインポートして、ファイアウォール ポリシールールで使用することができます。現在、国別保護のみが使用可能です。特定の国を任意のファイアウォール ルールのソースまたは宛先として選択できます。

アップデート可能なオブジェクトをインポートするには

  1. [ファイアウォール アクセス ポリシー]ページのルール ベースで、新規をクリックします。必要であればルールの順番を指定します。

  2. アップデート可能なオブジェクトをクリックします。国名のリストが表示されます。選びたい国の名前の横にあるチェックボックスをオンにします。

  3. [インポート]をクリックします。

  4. ソースと宛先が指定された国を使用するようにルールを編集します。

  5. [アクション]と[ログ]を選択します。

  6. オプション - コメントを入力します。

  7. オプション - 時間制限またはトラフィック制限などの制限を適用します。

  8. 適用をクリックします。

メッセージのカスタマイズ

メッセージをカスタマイズして、セキュリティ ゲートウェイからユーザへコミュニケートさせることができます。これにより、一部のWebサイトへのアクセスが企業のセキュリティ ポリシーに違反することだとユーザに教えることができます。また、Webサイトやアプリケーションのインターネット ポリシーの変更についても伝えることが可能です。メッセージを設定すると、メッセージが関連するアクションを指定したルールにトラフィックが一致した際、ユーザのインターネット ブラウザで新しいウィンドウにメッセージが表示されます。

アクションのオプションと関連する通知は以下のとおりです。

ルール ベース アクション

通知

許可して通知

ユーザにメッセージを表示します。ユーザはアプリケーションを使い続けるか、リクエストをキャンセルできます。

ブロックして通知

ユーザにメッセージが表示され、アプリケーションのリクエストはブロックします。

確認

ユーザにメッセージが表示され、リクエストを続行するかどうかを確認します。詳細については、上述を参照してください。

メッセージをカスタマイズするには:

  1. [インターネットへの外部アクセス]セクションで[メッセージのカスタマイズ]をクリックします。

  2. 次のタブでオプションを設定します。

    • 許可して通知

    • ブロックして通知

    • 確認

  3. 各通知のフィールドを設定します。

    • タイトル - デフォルトのままにするか、新しくタイトルを入力します。

    • サブジェクト - デフォルトのままにするか、新しくサブジェクトを入力します。

    • 本文 - デフォルトのままにするか、新しく本文を入力します。オプション キーワードをクリックして、ユーザへの情報の本文に使用できるキーワードのリストを表示できます。

    • 無視する場合(確認の場合のみ) - ユーザへの確認メッセージになります。デフォルトのままにするか、新しくテキストを入力します。

    • ユーザは必ず理由を入力(確認の場合のみ) - ユーザがアクティビティの理由を入力する必要があるときにこのチェックボックスを選択します。ユーザ メッセージには理由を入力するテキストボックスがあります。

    • フォールバック - 通知がブラウザまたはアプリケーションに表示されない場合に、代わりのアクション(ブロック/許可)を選択します。通知がブラウザまたはアプリケーションで表示されない場合、動作は次のようになります。

      • フォールバックが許可の場合 - ユーザはWebサイトまたはアプリケーションにアクセスできます。

      • フォールバックがブロックの場合 - セキュリティ ゲートウェイで通知をアプリケーション(通知を発生させたもの)に表示させようと試みます。できない場合、Webサイトまたはアプリケーションはブロックされ、ユーザに通知は表示されません。

    • 頻度 - ユーザに通知を表示する回数、またはポリシーで許可されていないアプリケーションにアクセスできる回数を設定できます。設定オプションは以下のとおりです。

      • 毎日

      • 毎週

      • 毎月

        たとえば、アプリケーション - ソーシャル ネットワーキングのカテゴリを含むルールの場合、頻度に毎日を選択すると、Facebookに何度もアクセスするユーザには一度だけ通知が表示されます。

    • ユーザをURLにリダイレクト - ユーザを外部のポータル(ゲートウェイ以外)にリダイレクトできます。[URL]フィールドに、外部ポータルのURLを入力します。URLには外部システムを指定できます。ユーザから認証情報(ユーザ名/パスワードなど)を受け取り、この情報をゲートウェイに送りします。[ブロック]と[通知]だけに該当します。

  4. [カスタマイズ]タブをクリックしてアプライアンスで表示されるすべてのポータルのロゴをカスタマイズします(ホットスポットとユーザ認識のキャプティブ ポータル)。アップロードをクリックしてロゴ ファイルの場所を参照し、適用をクリックします。必要な場合は、デフォルトを使用をクリックしてデフォルトのロゴに戻すことができます。

  5. 適用をクリックします。