ファイアウォール ポリシーは、クラウド管理の Firebox で接続がどのように許可または拒否されるかのルールを定めます。ファイアウォール ポリシーを構成する際には、以下のベストプラクティスを考慮してください。
適切なポリシーの種類を選択する
ファイアウォール ポリシーを追加する際は、ポリシーの送信元、宛先、および目的を考慮してポリシーの種類を選択します。
ほとんどのポリシーにはコア ポリシーを使用する
コア ポリシーは、ヘッダー情報と接続コンテンツの両方に基づいてトラフィックを許可または拒否します。コア ポリシーはすべてのセキュリティ サービスをサポートしており、ほとんどのトラフィックに適しています。
送信元と宛先に基づいてコア ポリシーの種類を選択する
ポリシーの設定やサービスの中には、インバウンド接続とアウトバウンド接続で適用方法が異なるものがあります。ポリシーを適用するトラフィックの送信元と宛先に基づいて、コア ポリシーの種類を選択します。
- 送信 ─ 内部ネットワーク デバイスから外部ネットワークへのトラフィックに使用
- 受信 ─ Firebox を介して内部ネットワークに入るトラフィックに適用
- カスタム ─ Firebox 経由のプライベート ネットワーク間のトラフィックに適用
例外には初回実行ポリシーと最終実行ポリシーを使用する
初回実行ポリシーと最終実行ポリシーは、発信元、宛先、ポート、プロトコルなどのヘッダー情報のみに基づいてトラフィックを許可または拒否します。これらの種類のポリシーでは、コンテンツ スキャンや WebBlocker コンテンツ フィルタリング サービスはサポートされていません。
- 初回実行 — 最も高い優先度。構成されたコア ポリシーの例外として、常に接続を許可または拒否したい場合は、このポリシーの種類を選択します。
- 最終実行 — 最も低い優先度。構成されたコア ポリシーに一致しない接続を常に許可または拒否したい場合は、このポリシーの種類を選択します。
セキュリティ サービスを有効にする
セキュリティ サービスを有効にしてネットワークを保護するには、以下を行います。
- ポリシー 設定でセキュリティ サービスを有効にする
- グローバル セキュリティ サービス設定でセキュリティ サービスを有効にする
セキュリティ サービスは、クラウド管理の Firebox では既定で有効になっています。
ポリシーで有効にできるセキュリティ サービスは、ポリシーの種類によって異なります。
| ポリシーの種類 | コンテンツ フィルタリング | Geolocation | コンテンツ スキャン |
|---|---|---|---|
| 送信 |
|
|
|
| 受信 |
|
|
|
| カスタム |
|
|
|
| 最初の実行 | Application Control のみ |
|
|
| 最終実行 | Application Control のみ |
|
Firebox の デバイス構成 ページにある セキュリティ サービス セクションには、構成されているサービスの設定の概要が表示されます。
ファイアウォール ポリシー ページの セキュリティ 列に表示されているアイコンは、各ポリシーで有効になっているサービスを表しています。セキュリティ サービス名を表示するには、各アイコンにマウスを合わせます。
ポリシーでサービスを構成する方法の詳細については、ファイアウォール ポリシーでセキュリティ サービスを構成する を参照してください。