ファイアウォール アクセス ポリシーとブレードの設定

[アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページでは、デフォルトのアクセス ポリシー コントロールのレベルを設定する、デフォルトのアプリケーション& URLを指定して安全なブラウジングのブロック/許可を設定する、ユーザ認識を設定するといったことを実行できます。

アクセス ポリシーは、アプライアンスの着信、内部、発信トラフィックに関するセキュリティ要件を定義するルールの集合です。

アクセス ポリシーには以下が含まれます。

  • ファイアウォール ポリシー - パケットのインスペクション方法を定義します。

  • アプリケーション& URLフィルタリング - インターネットのブラウジングとアプリケーションの使用の制御方法を定義します。

[アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページでは、組織のデフォルト ポリシーを簡単に定義できます。また、ルール ベースのポリシーを[アクセス ポリシー]>[ファイアウォール ポリシー]ページで定義および表示できます。[ファイアウォール ブレード コントロール]ページの設定は、自動生成のシステム ルールとしてルール ベースの下に表示されます。[アクセス ポリシ]>[ファイアウォール ポリシー]ページで、このページで定義されたデフォルト ポリシーの例外となるルールを手動で定義することをお勧めします。

[アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページでは、組織を対象にした着信、内部、発信トラフィックのデフォルト ポリシーを定義します。また、[アクセス ポリシー]>[ファイアウォール サーバ]ページでは、組織内の特定サーバのデフォルト アクセス ポリシーを簡単に定義できます。自動的に生成されるシステム ルールも定義されます。

ファイアウォール ポリシー

デフォルトのアクセス ポリシーを設定するオプションのいずれかを選択します。

  • 厳格 (Strict)

    デフォルトで、方向にかかわらずすべてのトラフィックをブロックします。このモードでは、ポリシーは[サーバ]ページでのみ定義することができ、また[アクセス ポリシー]>[ファイアウォール ポリシー]ページでアクセス ポリシー ルールを手動で定義することができます。

  • 標準

    • 設定したサービスでインターネットへの発信トラフィックを許可します。サービスリンクをクリックして、すべてのサービスまたは特定のサービスを許可するよう設定できます。

    • 内部ネットワークとトラスト ワイヤレス ネットワーク間のトラフィックを許可します(該当するデバイス)。

    • インターネットからの暗号化されていない着信トラフィックをブロックします(組織外部からのトラフィック)。

      標準ポリシーのオプションはデフォルトで、多くの場合、推奨される設定です。セキュリティ レベルを上げる/下げる特別な必要性がない限り、この設定を維持しておくことをお勧めします。

  • オフ

    すべてのトラフィックが許可されます。ファイアウォールが無効になると、ネットワークは危険にさらされます。手動で定義したルールは適用されません。

- ブレードがクラウド サービスで管理されていると、ロック アイコンが表示されます。オン/オフの切り替えはできません。ポリシー設定を変更した場合、その変更は一時的なものになります。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。

特定の外部へのサービスを標準ファイアウォール ポリシーに設定するには

  1. アクセス ポリシーのコントロール レベルが標準の場合、すべてのサービスリンクをクリックします。

  2. [以下で指定したサービスを除くすべてをブロック]をオンにします。

  3. 許可するサービスを選択します。

  4. すべてのサービスを許可するには、[すべての外部へのサービスを許可]をオンにします。

  5. 適用をクリックします。

アクセス ポリシー ルールを手動で設定するには

[アクセス ポリシー]>[ポリシー]ページへ移動します。

[アクセス ポリシー]>[ブレード コントロール]ページで、以下を実行します。

  • 手動のルールが設定されていない場合は、ファイアウォール ポリシーのリンクをクリックして、ファイアウォール ポリシーに手動ルールを追加できます。
  • 手動ルールを設定すると、追加されたルールの数が表示されます。手動ルールのリンクをクリックすると、[アクセス ポリシー]で確認できます。

サーバのリンクをクリックして、アプライアンスで定義されたサーバの数を確認することもできます。サーバが設定されていない場合はサーバの追加をクリックして追加します。サーバ オブジェクトは定義されたIPアドレスで、必要に応じて、特定のアクセス ポリシーや外部からのNATルールを定義することも可能です。例えば、ポート転送NATを定義できます。自動的に生成されたサーバへのアクセス ルールは、デフォルトのポリシー ルールの上に作成され、[アクセス ポリシー]>[ファイアウォール ポリシー]ページで確認できます。サーバへの例外ルールも、[アクセス ポリシー]>[ファイアウォール ポリシー]ページで作成できます。

アプリケーション& URLフィルタリング

アプリケーション& URLフィルタリングのセクションでは、組織からインターネットへのトラフィックにおけるアプリケーションとURLカテゴリの処理方法を定義します。

アプリケーション& URLフィルタリングはサービス ベースの機能です。新しいアプリケーションの最新シグネチャ パッケージをダウンロードしたり、URLカテゴリをダウンロードするためにCheck Pointクラウドに通信するためには、インターネット接続が必要です。このページでは、アプリケーション& URLフィルタリングを制御するデフォルトのポリシーを定義できます。セキュリティ リスクとなるカテゴリとアプリケーションのブラウジングは、デフォルトでブロックすることをお勧めします。企業のポリシーに基づいて、アプリケーションやカテゴリをデフォルトでブロックするように追加で追加することもできます。また、帯域幅を消費するアプリケーションを制限するよう選択して、帯域幅をコントロールしやすく設定することもできます。

オン/オフのボタンのほか、URLフィルタリング モードを選択することができます。これは、URLとカスタム アプリケーションのみをブロックするオプションです。コンピュータに初期インストールされていたり、自動アップデートで追加された定義済みアプリケーションはブロックされません。

URLフィルタリングのみのモードを選択すると、以下のような動作になります。

  • URLを含むルールが実施されます。ルール内のアプリケーションは実施されません。
  • カスタムのURLやアプリケーションを含むルールが実施されます。
  • 事前定義されたアプリケーションとURLがあるアプリケーション グループを含むルールは、URLとカスタム アプリケーションのみに実施されます。定義済みのアプリケーションには実施されません。
  • アプリケーションは自動アップデートではアップデートされません。

ここで定義されるデフォルトのポリシーは、自動的に生成されたルールとして、[アクセス ポリシー]>[ポリシー]ページの外部へのトラフィック ルール ベースの下に表示されます。

次の1つ以上のオプションを選択します。

  • [セキュリティ リスク カテゴリをブロック] - セキュリティのリスクとなりうるアプリケーションとURLをブロックし、スパイウェア、フィッシング、ボットネット、スパム、アノニマイザ、ハッキングといったカテゴリに分類します。このオプションはデフォルトで有効になっています。
  • [不適切なコンテンツをブロック] - コンテンツ制御を行い、好ましくないコンテンツのWebサイト(アダルト、暴力、武器、ギャンブル、アルコールなど)へのインターネット アクセスをブロックします。
  • [ファイル共有アプリケーションをブロック] - TorrentやP2Pアプリケーションを利用した違法なソースからのファイル共有をブロックします。
  • [その他の好ましくないアプリケーションをブロック] - 好ましくないアプリケーションのグループに、アプリケーションやURLカテゴリを手動で追加してブロックします。URLやアプリケーションがデータベースにない場合は、新しく作成することもできます。このオプションをクリックして、基本的なアプリケーション& URLフィルタリング ポリシーでブロックする項目を管理します。さらに詳細なポリシーの設定については、[アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページに移動してください。
  • [帯域幅を大量消費するアプリケーションを制限] - 帯域幅を大幅に消費するアプリケーションは、大切な業務に必要なアプリケーションのパフォーマンスを低下させる可能性があります。このオプションで、アプリケーションのQoS強化(帯域幅コントロール)が可能です。このオプションを選択すると、P2Pファイル共有、メディア共有、メディア ストリームがデフォルトで選択されています。グループを編集して、帯域幅の消費量を制限すべきアプリケーションやカテゴリを追加することができます。実際のインターネット接続のアップロードおよびダウンロード帯域幅に基づいて、帯域幅の上限を設定することが重要です。この情報については、ISPに問い合わせてください。制限を有効に設定するには、ISPが提供する実際の帯域幅より小さい値である必要があります。アップロードとダウンロードの帯域幅は、通常異なる値が設定されています。

アップデート

サービス ベースの機能として、このページにはアップデートのステータスも表示されます。

  • 最新
  • アップデート サービスにアクセスできません - インターネットに接続されていない場合などに表示されます。インターネット接続を確認します。[デバイス]>[インターネット]ページから確認し、問題が続く場合はISPに連絡してください。
  • 最新ではありません - ダウンロード可能な新しいアップデート パッケージがある状態で、アップデートのスケジュール時間になっていない場合などに表示されます。アップデートは、通常ピーク時を避けた時間帯に予定されています(週末や夜間など)。

アップデートをスケジュールするには

  1. アップデート ステータスの横にあるアイコン上でアップデートのスケジュールリンクを選択します。

  2. アップデートのスケジュールを設定するブレードを選択します。それ以外のブレードについては、新しいアップデート パッケージが利用可能になり、「最新ではありません」というメッセージがステータス バー(WebUIアプリケーションの下部)に表示されていたら、手動でアップデートする必要があります。

  3. [繰り返し]の間隔を選択します。

    • [毎時] - x 時ごとに時間間隔を入力します。

    • [毎日] - 時刻を指定します。

    • [毎週] - 曜日と時刻を指定します。

    • [毎月] - 日にちと時刻を指定します。

  4. 適用をクリックします。

ユーザ認識

ユーザ認識では、個別のユーザとグループのアクセス制御を実施するCheck Pointアプライアンスを設定し、IPアドレスに基づくログではなく、ユーザ ベースのログを確認することができます。

初めて設定する場合は、[設定]をクリックしてユーザ認識でユーザの認識する方法をセットアップします。設定が完了したら、ログでユーザを確認することができ、ユーザ ベースのアクセス ポリシー ルールも設定可能になります。ユーザ認識は、組織のADサーバを使用してアプライアンスでシームレスに行われます。ユーザ データベースと認証は、すべてADサーバを通して行われます。ユーザがADサーバにログインすると、アプライアンスに通知が送られます。ADサーバからのユーザはアクセス ポリシー ルールのソースとして使用できます。

また、[ユーザ&オブジェクト]>[ユーザ]ページで、パスワードを使ってローカルでユーザを定義することも可能です。これらユーザのトラフィックをアプライアンスで認識させるためには、ブラウザ ベースの認証を設定して、アクセスする前に認識する必要がある特定の宛先を設定します。通常、ブラウザ ベースの認証はすべてのトラフィックに使われるのではなく、特定の宛先のみが対象になります。これは、エンドユーザが専用のポータルで、手動でログインする必要があるためです。

ユーザ認識を設定すると、[ユーザ認識を有効にする]チェックボックスが表示されます。ユーザ認識を無効にするには、チェックボックスをオフにします。設定を変更するには、[設定の編集]をクリックします。

また、[Active Directoryサーバ]をクリックして、ゲートウェイと連動させるADサーバをいつでも定義できます。ADサーバの作成は、設定の編集ウィザードで行うことができます。

追跡

ログ記録するトラフィックを選択します。

ブロックしたトラフィック

  • すべて

  • 発信

  • 着信および内部

許可するトラフィック

  • すべて

  • 発信

  • 着信および内部

設定は、デフォルトのファイアウォール ポリシーとアプリケーション& URLフィルタリング ポリシーでブロック/許可するすべてのトラフィックに適用されます。

VPN、DMZ、ワイヤレス ネットワークの自動生成されたルールには適用されません。

詳細情報

Check Pointアプリケーション データベースには、4,500個以上のアプリケーションと9600万以上のカテゴリ分類されたURLが登録されています。

各アプリケーションでは、説明、カテゴリ、追加カテゴリ、リスク レベルが確認できます。アプリケーション コントロール& URLルールに、アプリケーションとカテゴリを追加できます。アプライアンスにApplication Control & URL Filtering Software Bladeのライセンスがある場合、データベースは定期的にアップデートされ、新しいアプリケーション、カテゴリ、ソーシャル ネットワーキング ウィジェットが追加されます。このため、常に最新のポリシーを簡単に作成することが可能です。

アプリケーション データベースは、以下から確認できます。

  • その他の好ましくないアプリケーションをブロックするリンクから。

  • アプリケーション& URLリンク - [ユーザ&オブジェクト]>[アプリケーション& URL]ページが開きます。

  • Check Point AppWikiリンク - AppWikiは、アプリケーション& URLフィルタリングのデータベースを検索して絞り込める、便利なツールです。

 

 
2019年 10月28日
© 2020 Check Point Software Technologies Ltd.

1500アプライアンス シリーズR80.20ローカル管理 管理ガイド