ファイアウォール アクセス ポリシーとブレードの設定

これらのセクションでは、合理化されたワークフローでファイアウォールアクセスポリシーとブレードを設定する方法を説明します。デフォルトのアクセスポリシーコントロールレベルの設定、ブロックするデフォルトのアプリケーションとURLの設定、安全なブラウジングの許可、およびユーザアウェアネスの設定を行うことができます。

以下の手順に従って、組織のセキュリティポリシーを効果的に設定し、管理してください。

ファイアウォールのアクセスポリシー設定

アクセスポリシーは、ファイアウォールのセキュリティ要件を定義します。受信、内部、送信トラフィックを管理し、以下のコンポーネントが含まれます。

  • ファイアウォールポリシー - パケットインスペクションルールを管理します。

  • アプリケーションとURLフィルタリング - インターネットの閲覧やアプリケーションの使用を制御します。

以下の手順に従って、組織のセキュリティポリシーを設定および管理します。

  1. アクセス ポリシービュー > [ファイアウォール] セクション > [ブレード コントロール] ページで、ファイアウォールのアクセスポリシーを設定します。

    このインタフェースは、組織との間の受信、内部、および送信トラフィックのデフォルトポリシーを定義するためのインタフェースです。[ファイアウォール ブレード コントロール]ページの設定は、自動生成のシステム ルールとしてルール ベースの下に表示されます。

  2. このページで定義されたデフォルトポリシーの例外となる手動ルールを定義するには、ファイアウォールポリシーページに進みます。また、ルールベースのポリシーを定義し、表示することもできます。

  3. ファイアウォールサーバ ページでは、組織内の特定のサーバーに対するデフォルトのアクセスポリシーを定義し、自動的に生成されるシステムルールを管理します。

ファイアウォールアクセスポリシーの設定

  1. アクセスポリシービュー > ファイアウォールセクション >ブレードコントロールページに移動します。

  2. デフォルトのアクセス ポリシーを設定するオプションのいずれかを選択します。

    • 厳格 - 明示的に許可されていない限り、すべてのトラフィックをブロック。最大限のセキュリティを確保するにはこのオプションを使用します。

      このモードでは、ポリシーは[サーバ]ページと、[アクセスポリシー]>[ファイアウォールポリシー]ページでアクセスポリシールールを手動で定義することによってのみ定義できます。

    • 標準 - デフォルトのオプション。発信トラフィックと内部通信を許可し、信頼できないソースからの暗号化されていないトラフィックの着信をブロック。

    • オフ - ファイアウォールを無効にし、無制限のトラフィックを許可します。手動で定義したルールは適用されません。セキュリティで保護された環境では、このオプションを使用しないでください。

- Cloud Service がブレードを管理する場合、ロックアイコンが表示されます。オン/オフの切り替えはできません。他のポリシー設定を変更しても、変更は一時的なものに過ぎません。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。

  1. すべての サービスをクリックします。

  2. 以下のいずれかを選択します。

    • 以下で指定したサービスを除くすべてをブロック - 許可するサービスを選択します。

    • 外部へのサービスをすべて許可 - すべてのサービスを許可します。

  3. [保存]をクリックします。。

  1. アクセスポリシーブレードコントロールページに進みます。

  2. 例外や特定要件の手動ルールを追加します:

    • 手動ルールが設定されていない場合は、ファイアウォール ポリシーのリンクをクリックして、ファイアウォールポリシーに手動ルールを追加します。

    • 既存のルールを表示および変更するには、手動ルールをクリックします。

  3. アプライアンスに定義されているサーバの数を確認し、サーバ固有のポリシーを定義するには、[サーバ]をクリックします。サーバオブジェクトは、特定のアクセスポリシーを割り当てることができるIPアドレスです。

    1. サーバが設定されていない場合は、サーバを追加をクリックします。

    2. 該当する場合はNATルールを定義します(ポート転送など)。

  4. 自動的に生成されたサーバへのアクセス ルールは、デフォルトのポリシー ルールの上に作成され、[アクセス ポリシー]>[ファイアウォール ポリシー]ページで確認できます。サーバの例外ルールを作成することもできます。

アプリケーション& URLフィルタリング

アプリケーション&URLフィルタリング セクションでは、組織からインターネットへのトラフィックにおけるアプリケーションとURLカテゴリの処理方法を定義できます。

アプリケーション& URLフィルタリングはサービス ベースの機能です。新しいアプリケーションの最新シグネチャ パッケージをダウンロードしたり、URLカテゴリをダウンロードするためにCheck Pointクラウドに通信するためには、インターネット接続が必要です。

ベストプラクティス - セキュリティリスクのあるカテゴリやアプリケーションの閲覧は、デフォルトでブロックすることをお勧めします。

会社のポリシーに従って、デフォルトでブロックするアプリケーションやカテゴリを追加設定できます。また、特定のアプリケーションによる帯域幅の消費を制限するように選択して、帯域幅の制御を改善することもできます。

  1. アクセスポリシー]>[ファイアウォール]>[ブレードコントロール]ページで、[アプリケーション& URLフィルタリング]セクションに進みます。

  2. 該当するオプションを選択します:

    • セキュリティ リスク カテゴリをブロック - 潜在的なセキュリティ リスク、またスパイウェア、フィッシング、ボットネット、スパム、アノニマイザ、ハッキングとして区別されるアプリケーションや URL をブロックします。このオプションはデフォルトで有効になっています。

    • 不適切なコンテンツをブロック - 不適切なコンテンツを持つ Webサイト (ポルノ、暴力、武器、ギャンブル、酒など) へのインターネット アクセスをブロックします。

    • ファイル共有アプリケーションをブロック - TorrentやP2Pアプリケーションといった違法なファイル共有をブロックします。

    • その他の好ましくないアプリケーションをブロック - このオプションをクリックして、基本的なアプリケーションとURLフィルタリングポリシーを管理します。好ましくないアプリケーションのグループに、アプリケーションやURLのカテゴリを手動で追加し、ブロックします。URLやアプリケーションがデータベースにない場合は、新しく作成することもできます。

    • 帯域幅を大量消費するアプリケーションを制限 - 帯域幅を大幅に消費するアプリケーションは、大切な業務に必要なアプリケーションのパフォーマンスを低下させる可能性があります。このオプションで、アプリケーションのQoSを強化(帯域幅コントロール)します。このオプションを選択すると、デフォルトでP2Pファイル共有、メディア共有、メディアストリームが選択されますが、グループを編集して、消費帯域幅を制限したいアプリケーションやカテゴリを追加できます。

      - インターネット接続のアップロードおよびダウンロードの帯域幅に応じて、最大帯域幅の制限を指定する必要があります。この情報については、ISPに關閉 用於封鎖流量和檔案並顯示UserCheck訊息的UserCheck規則動作。使用者可以同意允許活動。い合わせてください。制限を有効にするには、ISPから供給される実際の帯域幅よりも低くする必要があります。アップロードとダウンロードの帯域幅は、通常異なる値が設定されています。

このモードは、URLカテゴリのみに基づくルールベースを適用する場合に使用します:

  • 定義済みのアプリケーションはブロックされません。

  • カスタムアプリケーションとURLは対象となります。

ここで定義されるデフォルトのポリシーは、自動的に生成されたルールとして、[アクセス ポリシー]>[ポリシー]ページの外部へのトラフィック ルール ベースの下に表示されます。

追跡とログ

追跡のログを設定するには

  1. アクセスポリシーコントロールページで、追跡に進みます。

  2. ログのオプションを指定します。

    • ブロックしたトラフィック - オプション:すべて発信着信、内部

    • 許可したトラフィック - オプション:すべて送信着信、内部

  • 設定は、デフォルトのファイアウォール ポリシーとアプリケーション& URLフィルタリング ポリシーで自動生成されるルールによってブロック/許可するすべての発着信トラフィックに適用されます。

  • VPN、DMZ、ワイヤレス ネットワークの自動生成されたルールには適用されません。

ユーザ認識

個々のユーザおよびグループに対してアクセスコントロールを実施し、IPアドレスベースのログではなくユーザベースのログを表示するようにアプライアンスを設定します。

  1. [設定]をクリックしますユーザ認識でユーザを認識する方法を設定します。設定が完了したら、ログでユーザを確認することができ、ユーザ ベースのアクセス ポリシー ルールも設定可能になります。

    • ユーザ認識が設定されている場合、User Awarenessを有効にするチェックボックスが表示されます。

    • ユーザ認識を無効にするには、チェックボックスをオフにします。

    • 設定を変更するには、[設定の編集]をクリックします。

  2. シームレスなユーザ認識のためにADベースの認証を使用します。ユーザデータベースと認証はすべてADサーバを介して行われます。ユーザがADサーバにログインすると、アプライアンスに通知が送られます。ADサーバのユーザは、アクセスポリシー ルールのソースとして使用できます。

    ADサーバを定義するには、Active Directoryサーバをクリックします。ADサーバの作成は、設定の編集ウィザードでも可能です。

  3. 手動で追加したローカルユーザに対して、ブラウザベースの認証を有効にします。

    ユーザは、ユーザとオブジェクト > ユーザページで、パスワードを使ってローカルに定義することができます。アプライアンスがこれらのユーザのトラフィックを認識するには、ブラウザベース認証と、アクセスする前に最初に識別する必要がある特定の宛先を構成する必要があります。

    ブラウザベース認証は、エンドユーザが専用のポータルから手動でログインする必要があるため、通常はすべてのトラフィックに使用されることはなく、特定の宛先にのみ使用されます。

アップデート

正確なURL分類とアプリケーションの認識を確実にするために、データベースを定期的に更新してください。

  1. アプリケーションとURLフィルタリング > 更新ステータスで更新ステータスを確認します。

    • 最新

    • 更新されたサービスが届かない - 通常、インターネット接続の障害が原因です。デバイス>インターネットページでインターネット接続を確認し、問題が解決しない場合はISPに連絡してください。

    • 最新でない - 新しいアップデートパッケージをダウンロードする準備はできているが、アップデートの予定時刻に達していない状態。アップデートは、通常ピーク時を避けた時間帯に予定されています(週末や夜間など)。

  2. スケジュールの更新

    1. 更新ステータスの横にあるアイコンにカーソルを合わせ、[更新のスケジュール]をクリックします。

    2. アップデートのスケジュールを設定するブレードを選択します。新しいアップデートパッケージが利用可能になり、WebUIアプリケーションの下部にあるステータスバーに「最新ではありません」というメッセージが表示された場合は、残りのブレードを手動でアップデートする必要があります。

    3. 定期的な実行の間隔を選択します。

      • 毎時 - x 時ごとに時間間隔を入力します。

      • 毎日 - 時間を選択します。

      • 毎週 - 曜日時間を選択します。

      • 毎月 - 曜日時間を選択します。

    4. [保存]をクリックします。。

追加情報

Check Pointのアプリケーションデータベースには、4,500以上のアプリケーションと9,600万以上の分類された URL が登録されています。

各アプリケーションでは、説明、カテゴリ、追加カテゴリ、リスク レベルが確認できます。アプリケーション コントロール& URLルールに、アプリケーションとカテゴリを追加できます。アプライアンスにApplication Control & URL Filtering Software Bladeのライセンスがある場合、データベースは定期的にアップデートされ、新しいアプリケーション、カテゴリ、ソーシャル ネットワーキング ウィジェットが追加されます。このため、常に最新のポリシーを簡単に作成することが可能です。

アプリケーションデータベースは、WebUIの以下のリンクから見ることができます:

  • その他の好ましくないアプリケーションをブロック

  • アプリケーション & URL- ユーザ & オブジェクト > アプリケーション & URLページが開きます。

  • Check Point AppWiki- アプリケーション & URL フィルタリングデータベースを検索およびフィルタリングするには、このツールを使用します。