ポリシーのアクセス ルールを設定する

各ポリシーで、ポリシーが接続を許可または拒否するかを判断するアクセス ルールを構成し、ポリシーが適用される接続の送信元と送信先を定義します。

ポリシーのアクセス ルールを構成するには、Fireware Web UI では 設定 タブを選択します。

ポリシーのアクセス ルールを構成するには、Policy Manager では ポリシー プロパティの編集 ダイアログ ボックスの ポリシー タブを選択します。

処置を指定する

処置 は、ポリシー内のルールに当てはまる接続に対してポリシーが行うアクションを指定します。接続は ドロップダウン リストには、ポリシー内のルールに当てはまる接続をポリシーが許可または拒否するかを指定するアクションが記載されています。処置を構成するには、以下のうちいずれかの設定を選択します:

許可

Firebox は、このポリシーを使用するトラフィックが、ポリシーに設定するルールに一致する場合に許可します。ネットワーク トラフィックがポリシーに合致するとき、ログ メッセージを作成するためにポリシーを構成できます。

拒否

Firebox は、このポリシーのルールに一致するすべてのトラフィックを拒否し、トラフィックを送信したデバイスには通知を送信しません。コンピュータがこのポリシーを使用しようとした場合にログ メッセージを作成するようポリシーを構成できます。このポリシーによって、このポリシーを使用して接続を開始しようとしたコンピュータまたはネットワークが ブロックされたサイト リストに自動的に追加されます。

詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。

拒否 (送信リセット)

Firebox は、このポリシーのルールに一致するトラフィックをすべて拒否します。コンピュータがこのポリシーを使用しようとした場合にログ メッセージを作成するよう構成できます。このポリシーによって、このポリシーを使用して接続を開始しようとしたコンピュータまたはネットワークが ブロックされたサイト リストに自動的に追加されます。

詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。

このオプションは、Firebox からネットワーク トラフィックの送信元のデバイスに、セッションが拒否され、接続を終了したことを知らせるパケットを送信します。代わりに、ポート、プロトコル、ネットワークまたはホストは到達不能であることをデバイスに伝える他のエラーを戻すポリシーを設定できます。このオプションを使用するときは、ネットワークが他のネットワークと正常に連動することを確認してください。

ポリシー アクション ドロップダウン リストおよび 応答拒否 ドロップダウン リスト

Policy Manager における接続の選択

ポリシー アクション ドロップダウン リストおよび 応答拒否 ドロップダウン リスト

Fireware Web UI における接続の選択

送信元および送信先を指定する

各ポリシーにおいて、ポリシーが適用される接続の送信元および送信先を指定する必要があります。接続は、トラフィックに適用されるポリシーの送信元および送信先の両方に当てはまる必要があります。

各ポリシーで、以下を構成します:

  • このポリシーが適用される接続の送信元を指定する 送信元 リスト (または送信元)。
  • このポリシーが適用される送信先である 発信先 リスト(または 送信先)

たとえば、外部ネットワーク上のすべてのコンピュータからオプショナル ネットワーク上の単一の Web サーバーへ ping 接続を許可するよう、ping パケット フィルタ ポリシーを構成できます。ただし、ポリシーが制御しているポート経由での接続またはポリシーを制御するポートを開くと、宛先ネットワークが脆弱になります。脆弱性を回避するために、ポリシーの構成は必ず注意して行ってください。

発信元および送信先リストのメンバーには、IPv4 または IPv6 ホスト IP アドレス、ホスト範囲、またはネットワーク アドレス、ホスト名、ユーザー名、エイリアス、VPN トンネル、FQDN (ワイルドカード ドメインを含む)、またはこれらのオブジェクトの組み合わせを指定できます。

Fireware v11.12 以降のプロキシ ポリシーおよび登録サービスでは、IPv6 がサポートされています。IPv6 は、SIP-ALG および H323-ALG ポリシーではサポートされていません。

ポリシーで FQDN を使用する方法の詳細については、次を参照してください: ドメイン名別のポリシーについて (FQDN)

  1. 設定 タブで、送信元 または 送信先 リストの下の 追加 をクリックします。
    メンバーを追加する ダイアログ ボックスが表示されます。

Screen shot of the Add Member dialog box

メンバー リストには、送信元 または 送信先 リストに追加できるメンバーが表示されています。メンバーとは、エイリアス、ユーザー、グループ、IP アドレス、または IP アドレス範囲、または FQDN (ワイルドカード ドメインを含む) です。

  1. メンバーの種類 ドロップダウン リストから、追加するメンバーの種類を選択します。
    メンバー リストが更新され、選択した種類のメンバーのみ表示されます。
  2. メンバー リストから、メンバーを選択します。
  3. OK をクリックします。
    設定 タブのメンバーリストにメンバーが表示されます。
  4. 送信元 または 送信先 リストに他のメンバーを追加するには、上記の手順を繰り返します。
  5. 保存 をクリックします。
  1. 送信元 または 送信先 メンバーリストの横にある 追加 をクリックします。
    アドレスを追加する ダイアログ ボックスが表示されます。

Screen shot of the Add Address dialog box

使用可能なメンバー リストには、送信元 または 送信先 リストに追加できるメンバーが表示されます。メンバーとは、エイリアス、ユーザー、グループ、IP アドレス、または IP アドレス範囲、または FQDN (ワイルドカード ドメインを含む) です。

使用可能なメンバー リストに表示されないホスト、ユーザー、エイリアス、またはトンネルをポリシーに追加するには、次のトピックの手順に従ってください: ポリシーに新しいメンバーを追加する

  1. 使用可能なメンバー リストから、メンバーを選択して 追加 をクリックするか、またはリストでメンバーをダブルクリックします。
    選択したグループが 選択されたメンバーとアドレス リストに表示されます。
  2. OK をクリックします。
    選択されたメンバーが、送信元 または 送信先 リストに表示されます。
  3. 送信元 または 送信先 リストに他のメンバーを追加するには、上記の手順を繰り返します。
  4. OK をクリックします。

送信元 および 送信先 リストに表示されるエイリアスの詳細については、次を参照してください: エイリアスについて

新しいエイリアスを作成する方法、またはユーザー定義のエイリアスを編集する方法の詳細については、次を参照してください: エイリアスを作成する

関連情報:

ポリシー プロパティについて

静的 NAT (SNAT) を構成する