クラウド管理の Firebox にポリシーを追加する際には、ポリシーの種類を指定します。ポリシーの種類によって、ポリシーで構成できる設定や、ポリシーでサポートされるサービスが決まります。
ポリシーの種類は以下のとおりです。
ポリシーの種類は、ポリシー全体の優先順位も決定します。同じ種類のポリシーでも、ポリシーの優先順位は、ポリシーの送信元、宛先、およびトラフィックの種類によって異なります。詳細については、ファイアウォール ポリシーの優先度 を参照してください 。
コア ポリシー
コア ポリシーは、パケット ヘッダー情報とコンテンツの両方に基づいてトラフィックを許可または拒否します。ポリシーの種類は、どのセキュリティ サービスとポリシー設定が利用できるかを制御します。コア ポリシーの優先度は通常で、ほとんどのトラフィックに適しています。
コア ポリシーの種類は以下のとおりです。
送信 — 内部ネットワークから外部ネットワークへの接続用
送信ポリシーは、内部ネットワークから外部ネットワークへの接続に適した設定をサポートしています。送信ポリシーは、すべてのセキュリティ サービスをサポートしています。必要に応じて、送信ポリシーで HTTPS トラフィックを復号化するように構成することで、HTTPS 接続でコンテンツ スキャン サービスを有効にすることができます。
受信— 外部ネットワークから内部ネットワークへの接続用
受信ポリシーは、外部ネットワークから内部ネットワークへの接続に適した設定とサービスをサポートします。受信ポリシーは、HTTPS の復号化や HTTPS のコンテンツ スキャンをサポートしていません。また、コンテンツ フィルタリング サービスもサポートしていません。
カスタム — プライベート ネットワーク間の接続用
カスタム ポリシーには、プライベート ネットワーク間の接続に適した設定が含まれています。他のポリシーとは異なり、カスタム ポリシーは、ポリシーの送信元アドレスまたは宛先アドレスのいずれかから発信される接続に対して適用するよう構成できます。
初回実行ポリシーと最終実行ポリシー
初回実行ポリシーと最終実行ポリシーは、以下のようなパケットのヘッダー情報のみに基づいてトラフィックを許可または拒否します。
- 送信元
- 宛先
- ポート
- プロトコル
上記の種類のポリシーではトラフィックのコンテンツの検証は行われないため、コンテンツ スキャン サービスや WebBlocker コンテンツ フィルタリング サービスはサポートされていません。
コンテンツ スキャンや WebBlocker サービスを使用せずに、コア ポリシーの前または後にポリシーを適用する場合は、初回実行ポリシーまたは最終実行ポリシーを例外として追加します。
最初の実行
初回実行ポリシーの優先度は、すべてのコア ポリシーおよび最終実行ポリシーよりも高くなっています。初回実行ポリシーは、コア ポリシーの例外として特定の種類のトラフィックを常に許可または拒否したい場合に構成します。
初回実行ポリシーを追加すると、たとえば以下のようなことを実施できます。
- 内部ネットワーク上のセキュリティ カメラからの送信接続を拒否する
- ネットワーク クライアントから外部の VPN endpoint への送信 VPN 接続を許可する
最終実行
最終実行ポリシーの優先度は、すべてのコア ポリシーおよび初回実行ポリシーよりも低くなっています。最終実行ポリシーは、構成されたコア ポリシーまたは初回実行ポリシーに一致しないトラフィックにのみ適用されます。
Firebox では、ポリシーに一致しない接続は拒否されます。構成されたポリシーに一致しない接続を拒否するために、最終実行ポリシーを追加する必要はありません。
システム ポリシー
Firebox の構成には、編集不可のシステム ポリシーも含まれています。システム ポリシーは、既定で非表示になっています。詳細については、システム ファイアウォール ポリシー を参照してください 。