1 日の時間、あるいはユーザー名またはグループに基づいて様々なアプリケーションを許可またはブロックするために、他の Application Control アクションと一緒に グローバル Application Control アクションを使用することができます。最初に、異なるアプリケーションのグループをブロックまたは許可する Application Control アクションを作成します。次に、異なるポリシーに異なる Application Control アクションを適用します。
以下の各例では、1 種類のポリシーで複数の Application Control アクションを有効にしています。ご自分の構成にTCP-UDP、またはOutgoing など、その他のポリシー タイプが含まれている場合、それらのポリシーのために同じ手順を用いて 2 段階の Application Control 構成を設定することができます。Application Control アクションの適用が必要なポリシーは、構成に存在するポリシーの定義と、ブロックしたいアプリケーションに基づいて決定されます。例えば、現在 FTP を使用しているアプリケーションをブロックしたい場合、 FTP ポリシーに対する Application Control アクションを有効にしなければなりません。
リモート ホストの例外を作成するには、ドメイン名でポリシーを作成して、ドメインを許可します。詳細については、ドメイン名別のポリシーについて (FQDN) を参照してください。
Application Control にはどのような種類のポリシー構成が推奨されるかについては、次を参照してください:Application Control のポリシー ガイドライン。
ユーザー グループにアプリケーションを許可する
グローバル Application Control アクションがアプリケーションをブロックしている場合、別の Application Control アクションを作成して、同アプリケーションを部門または他のユーザー グループに許可できます。例えば、ほとんどのユーザーに対して、MSN インスタントメッセージング アプリケーションの使用をブロックしたいが、営業部の人々だけにはこのアプリケーションを許可したい場合、別の Application Control アクションおよびポリシーを作成すれば、そのようにすることができます。
すでにすべてのユーザーに適用されている HTTP パケット フィルタ ポリシーがある場合、これらのステップを用いて、営業部に別のアプリケーションを許可することができます。
- グローバル Application Control アクションを構成し、MSN インスタント メッセージ アプリケーションや許可したくないその他のアプリケーションをブロックします。
- グローバル Application Control アクションを既存の HTTP パケット フィルタ ポリシーに適用します。
- MSN インスタントメッセージング アプリケーションを許可するためには、新しい Application Control アクションを作成します。例えば、このアクションを AllowIM とします。アプリケーションが一致しない場合に グローバル アクションが使用されるようにこのアクションを構成します。
- 営業部のユーザーに対して HTTP ポリシーを作成します。例えば、このポリシーを HTTP-Sales とします。ユーザー グループにポリシーを作成する方法の詳細については、次を参照してください:ユーザーおよびグループをポリシーで使用する。
- AllowIM Application Control アクションを HTTP-Sales ポリシーに適用します。
- HTTP と HTTP-Sales ポリシーのログ記録を有効にします。
ログ ファイルとレポート内の Application Control についての情報を見るには、ログ記録を有効にする必要があります。
この例では、最終的な 2 つのHTTP ポリシーは次のようになります。
ポリシー:HTTP-Sales
HTTP 接続は: Allowed
送信者: Sales 送信先: Any-External
Application Control: AllowIM
ポリシー: HTTP
HTTP 接続は: Allowed
送信者: Any-Trusted 送信先: Any-External
Application Control: Global
HTTP-Sales ポリシーに適用された AllowIM Application Control アクションは、グローバル Application Control アクションの例外として機能します。営業部のユーザーはMSN インスタントメッセージング アプリケーションを使用することはできますが、グローバル Application Control アクションでブロックされたその他のアプリケーションを使用することはできません。
デバイスの構成に HTTP-Proxy、TCP-UDP、または Outgoing などのその他のポリシーが含まれている場合、それはIMトラフィックに使用されている場合があり、上記のステップを繰り返して、その他のポリシー用に 2 段階の Application Control 構成を設定することができます。
営業時間中はアプリケーションをブロックする
ポリシーの適用された Application Control を使用して、1 日のうちの時間に基づいて様々なアプリケーションをブロックすることができます。例えば、営業時間中はゲームの使用をブロックしたいとは思いませんか。特定の時間の間においてアプリケーションをブロックするために、作動スケジュール付きのポリシーが適用された Application Control を使用することができます。
作動スケジュールのない HTTP プロキシ ポリシーがすでにある場合には、これらのステップを用いて、新しいポリシーや Application Control アクションを追加し、営業時間中はアプリケーションをブロックすることができます。
- 常にブロックしておきたいアプリケーションをブロックするために、グローバル Application Control アクションを構成します。
- グローバル Application Control アクションを既存の HTTP-proxy ポリシーに適用します。
- 営業時間を定めた Business-Hours というスケジュールを作成します。スケジュールの詳細については、次を参照してください:Firebox アクションのスケジュールを作成する。
- 構成した Business-Hours スケジュールを使用する新しい HTTP プロキシ ポリシーを作成します。例えば、新しいポリシーを HTTP-Proxy-Business とします。ポリシーのスケジュールを設定する方法の詳細については、次を参照してください:運用スケジュールを設定する。
- 営業時間中にブロックしたいアプリケーションをブロックする Application Control アクションを作成します。例えば、このアクションを Business とします。
- Business Application Control アクションを HTTP-Proxy-Business ポリシーに適用します。
- HTTP-Proxy と HTTP-Proxy-Business ポリシーへのログ記録を有効にします。
ログ ファイルとレポート内の Application Control についての情報を見るには、ログ記録を有効にする必要があります。
この例では、2 つの最終的なポリシーは次のようになります。
ポリシー: HTTP-Proxy-Business
HTTP 接続は: Allowed
送信者: Sales 送信先: Any-External
Application Control: Business
ポリシー: HTTP-Proxy
HTTP 接続は: Allowed
送信者: Any-Trusted 送信先: Any-External
Application Control: Global
HTTP-Proxy-Business ポリシーの Business Application Control アクションは、営業時間中だけゲームをブロックします。グローバル Application Control アクション内のその他のアプリケーションは 1 日中ブロックされます。
デバイスの構成に HTTP、TCP-UDP、または Outgoing などのその他のポリシーが含まれる場合、それはゲームトラフィックに使用されている場合があり、上記のステップを繰り返して、その他のポリシー用に 2 段階の Application Control 構成を設定することができます。
Application Control とポリシー優先度
複数の同じタイプのポリシーに異なる Application Control アクションを適用する場合、ポリシー優先度を理解すると便利で、それによってどのポリシーがどのタイプのトラフィックに適用されているかが分かります。Firebox は、最も詳細なポリシーから最も汎用的なポリシーに自動的にポリシーをソートします。リストされているルールの中で、パケットの条件と最初に一致したルールがパケットに適用されます。
ポリシー優先度の詳細については、次を参照してください:ポリシーの優先順位について。