Firewall ルールの作成 (6)

 ^{その他のカラム}

– Hits

：ルールにマッチした通信が何回あったかをレポートしています

–

ルール

No

の右クリックで、表示方法を変更できます

–

カーソルを上に合わせると情報がポップアップします

– Install On

：ポリシーを実施する場所を設定します

–

復数のセキュリティ・ゲートウェイがあり、異なるルールを適用したい場合 などに利用します

– Time

：ルールを有効にする時間帯を設定します

– Comment

：コメントを記入します

–

日本語の入力はサポートされていません

ルールの作成に便利な機能 (1)

 ^Negate

–

オブジェクトに定義しているネットワーク以外という意味になります

–

例えば、

192.168.1.0/24

というネットワークオブジェクトを

Negate

すると、

192.168.1.0/24

以外のネットワークとのマッチングになります

–

ルールに定義しているオブジェクトを右クリックして

Nagate Cell

を選択 します

–

オブジェクトに赤い×が付きます

Nagete Cell

を選択した状態

ルールの作成に便利な機能 (3)

 Section Title の挿入

–

復数のルールを

1

つのセクションとしてまとめることが出来ます

–

例えば、最初のセクションは外部からのルール、次のセクションは内部か らのルールといった具合に整理でき、折りたたむこともできます

–

ルール

No.

を右クリックして、

Add Section Title

から

Above/Below

を選 択して設定します

 Section Title の例

– Rule2とRule3はSection Titleによって折りたたまれています

ルールの作成に便利な機能 (3)

 ^{ルールの移動}

–

ルールの順番を変えたい場合は、ルール

No

をクリック

(

ドラッグ

)

したま ま目的の場所でドロップすることにより、簡単に移動することが出来ま す

–

通信量

(Hit Count)

が多いルールは、なるべく上の

(No.

が少ない

)

ほうに ある方がパフォーマンス面で有利です

Rule3

を

Rule1

と

Rule2

の間にドラッグして移動している状態

ルールの作成に便利な機能 (4)

 ^Disable

–

必要がないルールを削除すること無く、残したまま無効にすることが出 来ます

–

一時的に無効したい場合などに利用します

–

ルールNo.を右クリックしてDisable Rule(s)を選択することで、ルール が無効になります

– Control +

クリックで復数のルールを一度に無効にすることも出来ます

Rule2

を

Disable

にした状態

(

ルールがグレイアウトしている

)

ポリシーのインストール (1)

 Install Policy ボタンでポリシーをインストールします

– Install Policy

を選択すると、ルールなどをコンパイルし、

Security Gateway

にプッシュします

–

ポリシーをインストールしない限り、Security Gatewayの動作は変更さ れません

 ダイアログが表示されますので、ポリシーをインストールする

Security Gateway を選択し、 OK を押します

ポリシーのインストール (2)

 OK を押すと、ルールなどがコンパイルできるか検証します

–

エラーが出た場合は、エラーメッセージを確認して、対応してください

 正常にポリシーがインストールされると OK が表示されます

–

エラーが出た場合は、エラーメッセージを確認して、対応してください

– Verifyでエラーがなくてもインストール時にエラーが出る場合があります

 ポリシーのインストールはバックグラウンドに回しておけます

–

右下の

Policy Installation Status

をクリックすると確認できます

ポリシーの管理

 ^{作成された} Firewall ルールなどはポリシーと呼ばれ、それらは 1 つの ポリシーパッケージとして定義されています

–

デフォルトでは、

Standard

というパッケージ名で保存されています

– File

メニューの

Save

で、現在編集中のポリシーを

(

上書き

)

保存出来ます

– File

メニューの

New

から、新しいポリシーパッケージを作成できます

– File

メニューの

Save as

で、現在編集中のポリシーを別の名前で保存す ることが出来ます

 ポリシーのインストール時に、ポリシーパッケージは自動的に保存さ

れます

ポリシーパッケージの注意点

 すべてのポリシーパッケージにおいて、オブジェクトは共通です

–

ポリシーパッケージにはオブジェクトの情報は含まれていません

–

オブジェクトを修正すれば、すべてのポリシーパッケージに影響します

–

例えばポリシーパッケージ

A

と、ポリシーパッケージ

B

があった場合

–

ポリシーパッケージ

A

でネットワークオブジェクトの変更を行い

Save

したと します

–

この後、ポリシーパッケージ

B

を

Open

しても、変更したネットワークオブジェ クトの情報は変更後のままです

 ポリシーをインストールしない限り、 Security Gateway における処理 は変更されません

–

ポリシーパッケージは編集中での

Save

や、新規の

Open

ができます

 オブジェクトの情報を含め、ポリシーを管理したい場合は次のリビ

ジョンコントロール機能をご利用ください

ポリシーのリビジョン管理 (1)

 ポリシーのリビジョンコントロール機能を使うことにより、ポリシーのリ ビジョン管理を行うことが出来ます

–

リビジョンコントロールには、すべての情報が含まれています

(

例えば

IPSのシグニチャ情報など

 リビジョンコントロールを使うことにより、リビジョンを作成した時点に ロールバックすることが出来ます

 リビジョンコントロールを利用するためには、 File メニューの Database Revision Control を選択します

– Database Revision Controlのダイアログが表示されます

ポリシーのリビジョン管理 (2)

 Create

をクリックし、新たなリビジョンを作成します

–

最初にポリシーを

Save

する旨のダイアログがでます

–

リビジョンに名前と、必要であればコメントを付けて

OK

を押します



過去のリビジョンにロールバックしたい場合は、ロールバックしたいリビジョ ンを選択し、

Action

から

Restore Version

を選択します

ポリシーのリビジョン管理 (3)

 ポリシーのインストール時に、自動的に新しいリビジョンを作成するこ とが出来ます

–

ポリシーのインストールダイアログの

Revision Control

の

Create database versionにチェックを入れます

–

リビジョンに名前と、必要であればコメントを付けます

–

ポリシーをインストールする前に、ポリシーが保存され、新しいリビジョ ンが作成されます

暗黙のルール

 ^{ユーザが作成する} Firewall ルール以外に、モジュール間などの通信 を許可する暗黙のルール (Implied Rule) が定義されています

–

確認するためには、メニューの

View

から

Implied Rule

を選択します

–

設定はグローバルプロパティから設定できます

その他ルール

 Security Gateway を保護する Firewall ルール

– Security Gateway

はインターネットの境界に置かれることが多く、常に 脅威にさらされています

– Security Gateway

を保護するための

Firewall

ルールを最初に書くことを おすすめします

– Security Gateway

への一部通信は、

Implied Rule

で許可されています

(Global Properties

の

Firewall

で設定出来ます

)

 クリーンナップ・ルール

–

すべての

Firewall

ルールの、一番最後に書くルールです

–

設定した

Firewall

ルールが間違っていて

Drop

されているかもしれない ので、かならずログを取っておきます

ドキュメント内 PowerPoint プレゼンテーション (ページ 49-63)