ファイアウォール アクセス ポリシー

ファイアウォール ポリシー

アクセスポリシータブ>ファイアウォールセクション>ポリシーページで、ファイアウォールルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を管理できます。ここでは、ルール閉じた ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を作成、編集、削除したり、有効/無効にすることが可能です。

アクセスポリシータブ > ブレードコントロールページで、基本的なファイアウォール ポリシー モードを決定します:

ルール ベースは2つのセクションに分かれています。各セクションには異なるセキュリティ ポリシーが表示されます。組織からインターネットへのブラウジング方法(組織の外部)と、組織のリソースにアクセスする際のセキュリティ ポリシー(組織の内部からと外部からの両方)です。ページの上部には3つのリンクがあり、両方を表示する、またはどちらか一方のセクションのみを表示するよう変更できます。

  • インターネットへの発信アクセス- すべての発信トラフィックルール用。このルール ベースでは、組織の外部であるインターネットへアクセスする際のポリシーを決定します。通常、ここでのポリシーは、基本的なトラフィックは許可し、企業が判断したアプリケーションとURLをブロックします。アクセスポリシー > ファイアウォールブレードコントロールページでは、アプリケーションとURLをブロックするデフォルトポリシーを設定できます。このページでは、デフォルト ポリシーの例外となるルールを手動で追加できます。また、指定したWebサイトがルールベースでブロックされたとき、または受け入れられたときにユーザに表示されるメッセージをカスタマイズすることもできます(下記参照)。また、アプリケーションやURLに対してAskアクションを使用することで、エンドユーザに閲覧が仕事関連かどうかを判断させることもできます。たとえば、カテゴリに分類されていないURLへアクセスするユーザに確認閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。するルールを追加することは、推奨される設定です。このようなルールを設定すれば、潜在的なボット攻撃を防ぐことが可能です。

  • 着信、内部およびVPNトラフィック- すべての着信、内部およびVPNトラフィックルール用。このルール ベースでは、組織の外部であるインターネットへアクセスする際のポリシーを決定します。すべての内部ネットワーク、ワイヤレスネットワーク外部VPNサイトは組織の一部とみなされ、それらへのトラフィックはこのルールベースで検査される。通常、ここでのポリシーは、組織の外部から中に送られるトラフィックはブロックし、組織の中のトラフィックは許可します。

    標準モードでは、複数のページにわたってさらに詳細なデフォルト ポリシーを設定できます。

    • 特定のソースから組織へのトラフィックは、デフォルトでブロックまたは許可することができます。この設定は各ソースの編集モードで確認できます。

    • 外部VPNサイト -VPN>サイト間ブレードコントロールページからのデフォルトアクセスを設定します。

    • リモートアクセスVPNユーザ -VPN>リモートアクセスブレードコントロールページからデフォルトアクセスを設定します。

    • ワイヤレスネットワーク - デバイス > ワイヤレスネットワークページの各ワイヤレスネットワークの編集ウィンドウの [アクセス] タブで、各ワイヤレスネットワークのデフォルトアクセスを設定します。

    • DMZネットワーク-デバイス>ローカルネットワークページのDMZオブジェクトの編集ウィンドウからデフォルトアクセスを設定します。

      - DMZは1530/1550アプライアンスではサポートされていません。

  • アクセスポリシー>ファイアウォールサーバページの各サーバの編集ウィンドウで設定された、定義されたサーバオブジェクトへのトラフィック

    このページでは、デフォルト ポリシーの例外となるルールを手動で追加できます。厳格モードでは、デフォルト ポリシーですべてのトラフィックがブロックされ、アクセスは手動のルールで設定します。

各セクションには、以下があります。

  • 手動ルール - 手動で作成するルール。

  • 自動生成ルール - 上記で説明した初期のファイアウォール ポリシー モード(厳格または標準)に基づき、システムで判断したルール。このルールは、システムのそれ以外の要素も考慮されています。たとえば、サーバを追加した場合、対応するルールが[着信、内部およびVPNトラフィック]セクションに追加されます。

以下は、ファイアウォール アクセス ポリシーのルールを管理するフィールドです。

ルール・ベース・フィールド

説明

No.

ファイアウォール ルール ベースのルール番号。

名前

ルール名

ヒット数閉じた ルールベースにおいて、特定のルールに合致した接続の回数。

ヒット数は、指定された時間内にアクセスルールベース内の各セキュリティルールが一致した接続の数を表示します:

  • 各ルールのヒット数

  • 各ルールのヒット率

  • 相対的ヒット数レベル - ゼロ(ヒット数0)、低(ヒット数範囲の10パーセント未満)、中(10~70パーセントの間)、高(70~90パーセントの間)、超高(90パーセント以上)。相対的なレベルを見るには、ヒットカラムの数字の左にマウスカーソルを合わせる。

  • 各ルールの最初のヒットの時間

  • 各ルールの最終ヒット時間

期間(1日、7日、30日)を選択します:

送信インターネットアクセスルール[受信]、[内部]、および[VPNトラフィック] の上部ツールバーで、 [詳細]>[ヒット数設定]>[ヒット数レポート時間枠]をクリックします。

- 日数は暦日で、現地時間0:00から始まる。

発信元

接続を開始するIPアドレス、ネットワーク オブジェクト、ユーザ グループ閉じた 関連する責任を持つユーザの指定されたグループ。、またはドメイン オブジェクト。

R81.10.15から、同じルールに最大100のソースを設定できるようになりました。

宛先

接続の送信先となるIPアドレスまたはネットワーク オブジェクト。

R81.10.15から、同じルールに最大100の目的地を設定できるようになりました。

アプリケーションとサービス

許可またはブロックされるアプリケーション、Webサイト、ネットワークサービス。一般的なアプリケーション、カテゴリ、カスタム定義のアプリケーション、URL、グループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。などでリストを絞り込むことができます。詳細:アプリケーション& URLの管理

このフィールドは、インターネットへの外部へのアクセス セクションのみに表示されます。

R81.10.15からは、同じルールに最大100のアプリケーションとサービスを含めることができます。

アクション

トラフィックがルールにマッチしたときに実行されるファイアウォールのアクション:受け入れるまたはブロック

発信トラフィックルールでは、メッセージをカスタマイズするオプションを使用して、通常のブロックまたは受け入れるアクションに加えて、"Ask(聞く)"または "Inform(情報提供)"アクションを設定することができます。

メッセージは、「許可して通知」「ブロックして通知」「確認」の各アクション タイプの場合に表示されます。

  • 受け入れと情報提供

  • ブロックと情報提供

  • 質問する - このトラフィックが仕事用か個人用かはエンドユーザが決めます。以下のメッセージのカスタマイズのセクションを参照してください。ユーザはポータルにリダイレクトされ、そこでメッセージまたは質問が表示されます。

ルールに時間範囲が設定されている場合、時計のアイコンが表示されます。

ログ記録

トラフィックがルールに一致した場合に実行する追跡とログ記録のアクション。

コメント /
自動生成ルール

上記フィールドのすぐ下に表示される各詳細。

  • ルールの作成時に入力したコメント。

  • システムで自動的に生成されるルール。コメントのオブジェクト名のリンクをクリックすると、設定タブが開きます。

Ask(質問する)アクション

外部へのルール ベースでは、許可/ブロックの単純な処理ではなく、ブラウザベースのアプリケーションに「確認」アクションを設定できます。この設定は、次のような状況において役立ちます。

  • 組織において通常はブロックし、業務関連の目的でアクセスする場合には許可したいトラフィックに使用します。エンドユーザは、業務に関連するための必要なアクセスであることを確認し、このイベントのために管理者がアクセスポリシーを変更することなく、続行できます。たとえば、Facebookへのトラフィックは通常はブロックしますが、人事の担当者が業務関連でアクセスする場合は許可したい場合があります。

  • カテゴリ分類されていないURLへのトラフィックに対してこのアクションを使うことで、組織の内部にインストールされる可能性のあるマルウェアの防御対策にもなります。このようなマルウェアは"確認"アクションでブロックされます。

アクセス ルールの設定

新しく手動で定義したアクセス ルールを作成するには

  1. [新規]の横にある矢印をクリックします。ページに両方のルールベースが表示されたら、該当するテーブルの新規をクリックする。

  2. ルールに指定可能な位置をいずれか1つクリックします。

    一番上のルール一番下のルール選択した上選択した下を参照してください。

    [ルールの追加]ウィンドウが開きます。次の2種類のルール フィールドが表示されます。

    • ルールの概要文とデフォルト値

    • テーブル形式のルール ベース フィールド。

  3. ルール サマリのリンク、またはテーブルのセルをクリックして、ネットワーク オブジェクトを選択するか、ルール ベースのフィールド オプションを選択します。上述の説明を参照してください。

    - [アプリケーション]フィールドは、発信トラフィックのルールのみに適用されます。

    [ソース]フィールドでは、オプションで手動でIPアドレス(ネットワーク)、ネットワーク オブジェクト、ドメイン オブジェクト、ユーザ グループ(ユーザ ベースのポリシーを設定するにはユーザ認識閉じた ログ記録と制御を目的としてユーザをIPアドレスに関連付けるよう設計されたCheck Point Software Bladeの1つ。ブレードがアクティブになっている必要があります)を入力できます。ユーザはアプライアンスでローカルに定義することも、Active Directoryで外部に定義することも可能です。

    詳細については、アクセスポリシー>ユーザ意識向上ブレードコントロールページを参照してください。

  4. [コメントの記入]フィールドには、ルールを説明するテキストを入力します(オプション)。このテキストは[アクセス ポリシー]のルールの下にコメントとして表示されます。

  5. ルールを特定の時間帯に限定するには、この時間帯のみ適用を選択し、開始時刻と終了時刻を選択します。

  6. 送信ルールで、ダウンロードトラフィックレートを制限するには、アプリケーションのダウンロードトラフィックを制限するを選択し、Kpbsレートを入力します。

  7. 送信ルールで、アップロードトラフィックレートを制限するには、アプリケーションのアップロードトラフィックを制限するを選択し、Kpbsレートを入力します。

  8. 受信ルールで、暗号化されたVPNトラフィックにのみ一致させるには、暗号化されたトラフィックにのみ一致させるを選択します。

  9. [適用]をクリックします。

    ルールは[アクセス ポリシー]の発信/着信のセクションに追加されます。

ルールを複製するには

既存のルールとほとんど同じ内容のルールを作成する場合、ルールを複製して追加できます。

  1. ルールを選択し、クローンをクリックします。

  2. 必要に応じてフィールドを編集します。

  3. [適用]をクリックします。

ルールを編集するには

- アクセス ポリシー ルールでは、自動生成されたルールの追跡オプションのみ編集できます。

  1. ルールを選択して、[編集]をクリックします。

  2. 必要に応じてフィールドを編集します。

  3. [適用]をクリックします。

ルールを削除するには

  1. ルールを選択して、[削除]をクリックします。

  2. 確認メッセージで[はい]をクリックします。

ルールを有効/無効にするには

  • ルール ベースに追加した、手動で定義したルールを無効にするには、ルールを選択して[無効]をクリックします。

  • 一度無効にした、手動で定義したルールを有効にするには、ルールを選択して[有効]をクリックします。

ルールの順番を変更するには

  1. 移動するルールを選択します。

  2. 移動する場所へドラッグ・アンド・ドロップします。

    - 変更できるのは、手動で定義したルールの順番のみです。

更新可能なオブジェクト

更新可能なオブジェクトは、Office365、AWS、GEOロケーションなどの外部サービスを表すネットワーク オブジェクトです。更新可能なオブジェクトのリストから選択できます。カテゴリはオンライン サービス アップデートに依存します。

外部サービスプロバイダは、そのサービスへのアクセスを許可するために、IPアドレスまたはドメイン、あるいはその両方のリストを公開しています。これらのリストは動的に更新されます。更新可能オブジェクト閉じた Microsoft 365、AWS、GEOロケーションなど、外部サービスを表すネットワークオブジェクト。は、Check PointがCheck Pointクラウドにアップロードするプロバイダの公開リストからその内容を取得します。更新可能なオブジェクトは、プロバイダがリストを変更するたびに、Security Gateway上で自動的に更新されます。アップデートを有効にするために、ポリシーをインストールする必要はありません。

現在サポートされているオブジェクトのリストについては、sk173416 を参照のこと。

アップデート可能なオブジェクトをインポートして、ファイアウォール ポリシールールで使用することができます。

アップデート可能なオブジェクトをインポートするには

  1. ファイアウォールアクセスポリシーページの[ルールベース]で新規をクリックします。必要であればルールの順番を指定します。

  2. アップデート可能なオブジェクトをクリックして、オブジェクトを選択します。

  3. インポートをクリックします。

  4. ソースと宛先が指定された国を使用するようにルールを編集します。

  5. アクションログを選択します。

  6. オプション - コメントを入力します。

  7. オプション - 時間制限またはトラフィック制限などの制限を適用します。

  8. [適用]をクリックします。。

メッセージのカスタマイズ

メッセージをカスタマイズして、セキュリティ ゲートウェイからユーザへコミュニケートさせることができます。これにより、一部のWebサイトへのアクセスが企業のセキュリティ ポリシーに違反することだとユーザに教えることができます。また、Webサイトやアプリケーションのインターネット ポリシーの変更についても伝えることが可能です。メッセージを設定すると、メッセージが関連するアクションを指定したルールにトラフィックが一致した際、ユーザのインターネット ブラウザで新しいウィンドウにメッセージが表示されます。

アクションのオプションと関連する通知は以下のとおりです。

ルール ベース アクション

通知

受け入れと情報提供

ユーザに情報メッセージを表示します。ユーザはアプリケーションを使い続けるか、リクエストをキャンセルできます。

ブロックと情報提供

ユーザにメッセージを表示し、アプリケーションのリクエストをブロックします。

確認

ユーザにメッセージが表示され、リクエストを続行するかどうかを確認します。詳細については、上述を参照してください。

メッセージをカスタマイズするには:

  1. インターネットへの発信アクセスセクションのメッセージのカスタマイズをクリックします。

  2. 次のタブでオプションを設定します。

    • 受け入れと情報提供

    • ブロックと情報提供

    • 確認

  3. 各通知のフィールドを設定します。

    • タイトル - デフォルトのまま、または別のタイトルを入力します。

    • サブジェクト - デフォルトのままにするか、新しくサブジェクトを入力します。

    • 本文 - デフォルトのままにするか、新しく本文を入力します。オプション キーワードをクリックして、ユーザへの情報の本文に使用できるキーワードのリストを表示できます。

    • 無視する場合(確認の場合のみ) - ユーザへの確認メッセージになります。デフォルトのままにするか、新しくテキストを入力します。

    • ユーザは理由を入力する必要があります(Askの場合のみ) - ユーザがアクティビティに関する説明を入力する必要がある場合は、このチェックボックスを選択します。ユーザ メッセージには理由を入力するテキストボックスがあります。

    • フォールバック - 通知がブラウザまたはアプリケーションに表示されない場合に、代わりのアクション(ブロック/許可)を選択します。通知がブラウザまたはアプリケーションで表示されない場合、動作は次のようになります。

      • フォールバックが許可の場合 - ユーザはWebサイトまたはアプリケーションにアクセスできます。

      • フォールバックがブロックの場合 - セキュリティ ゲートウェイで通知をアプリケーション(通知を発生させたもの)に表示させようと試みます。できない場合、Webサイトまたはアプリケーションはブロックされ、ユーザに通知は表示されません。

    • 頻度 - ユーザに通知を表示する回数、またはポリシーで許可されていないアプリケーションにアクセスできる回数を設定できます。設定オプションは以下のとおりです。

      • 1日1回

      • 週1回

      • 月1回

        例えば、アプリケーション - ソーシャルネットワーキングカテゴリーに含まれるルールで、頻度として1日1回を選択した場合、Facebookに複数回アクセスしたユーザは1回の通知を受けます。

    • ユーザをURLにリダイレクト - ユーザを外部のポータル(ゲートウェイ以外)にリダイレクトできます。URLフィールドに、外部ポータルのURLを入力します。URLには外部システムを指定できます。ユーザから認証情報(ユーザ名/パスワードなど)を受け取り、この情報をゲートウェイに送りします。[ブロック]と[通知]だけに該当します。

  4. [カスタマイズ]タブをクリックしてアプライアンスで表示されるすべてのポータルのロゴをカスタマイズします(ホットスポット閉じた インターネットサービスプロバイダへのリンクに接続されたルータを介して、インターネットアクセス可能な無線ローカルエリアネットワークを提供するエリア。とユーザ認識のキャプティブ ポータル)。アップロードをクリックしてロゴ ファイルの場所を参照し、適用をクリックします。必要な場合は、デフォルトを使用をクリックしてデフォルトのロゴに戻すことができます。

  5. [適用]をクリックします。