プロキシ ポリシーと ALG について
すべての WatchGuard ポリシーは、パケット フィルタ ポリシーまたはプロキシ ポリシーまたはアプリケーション層ゲートウェイ (ALG) のいずれの場合でも、ネットワーク セキュリティの観点から重要なツールです。パケット フィルタは各パケットの IP および TCP/UDP ヘッダーを検査し、プロキシは全体の接続を監視およびスキャンします。また、ALG はプロキシ機能の他に透過的な接続管理を行います。プロキシ ポリシーおよび ALGs は、接続で使用されるコマンドを検証してコマンドが正しい構文および順序であることを確認し、さらに、コンテンツ インスペクションを使用して接続がセキュリティ保護されていることを確認します。
プロキシ ポリシーまたは ALG は、各パケットを順番に開き、ネットワーク レイヤ ヘッダーを削除し、パケットのペイロードを検査します。ALG が元のネットワーク情報を復元してパケットを送信しているとき、プロキシはネットワーク情報を書き換えて、パケットを送信先に送信します。その結果、プロキシまたは ALG により、データ ペイロード内に隠れた (または埋め込まれた) 禁止コンテンツまたは悪意のあるコンテンツを検出することができます。たとえば、SMTP プロキシは、受信する SMTP パケット (電子メール) をすべて検証し、実行可能プログラムやスクリプト言語で記述されたファイルなどの禁止コンテンツを検出します。多くの場合、攻撃者はこれらの方法を使用してコンピュータにウイルスを送信します。プロキシまたは ALG は、これらのコンテンツ タイプを禁止するポリシーを強制することができますが、パケット フィルタは、パケットのデータ ペイロード内に存在する不正なコンテンツを検出することはできません。
別のセキュリティ サービス (Gateway AntiVirus、Intrusion Prevention Service、spamBlocker、WebBlocker) を購入して有効にしている場合、WatchGuard プロキシはそのサービスをネットワーク トラフィックに適用できます。
プロキシの構成
パケット フィルタのように、プロキシ ポリシーには、トラフィックネットワークおよびスケジュールの機能のあるトラフィックを管理する共通オプションが含まれます。しかし、プロキシ ポリシーには、指定したネットワーク プロトコルに関する設定も含まれます。これらの設定は、ルールセット、または指定したアクションに一致するオプションのグループで構成されます。たとえば、個別のユーザーまたはデバイスからのトラフィックを拒否する、または使用したいコーデックに一致するVoIP (Voice over IP) トラフィックを許可するようにルールセットを構成できます。プロキシのすべての構成オプションを設定した場合、このオプションのセットをユーザー定義のプロキシ アクションとして保存して、他のプロキシで使用することができます。
Firebox は以下のプロキシ ポリシーおよび ALG をサポートしています。
| DNS プロキシについて | IMAP プロキシについて |
| 明示的プロキシについて | POP3 プロキシについて |
| FTP プロキシについて | SMTP プロキシについて |
| H.323 ALG について | SIP ALG について |
| HTTP プロキシについて | TCP/UDP プロキシについて |
| HTTPS プロキシについて |