システム ファイアウォール ポリシー

適用:クラウド管理の Firebox

システム ポリシーとは、Fireware の機能や WatchGuard のサービスが動作するために必要な、特定の種類のトラフィックを許可または拒否するファイアウォール ポリシーです。既定では、システム ポリシーはファイアウォール ポリシー ページに表示されません。システム ポリシーを表示するには、ファイアウォール ポリシー ページの上部にある システム ポリシーの表示 を有効にします。

システム ポリシーを削除することはできません。特定のシステム ポリシーを無効化または編集することしかできません。無効化または編集できるシステム ポリシーの詳細については、システム ポリシーを無効化する を参照してください。

優先度の高いシステム ポリシー

優先度の高いシステム ポリシーは、初回実行ポリシーよりも上に表示されます。これらのポリシーは、他に構成されているポリシーを無視して、特定の種類のトラフィックを許可します。

Screen shot of the System Policies list

優先度の高いシステム ポリシーは、以下のとおりです。

WatchGuard SSLVPN

外部ネットワークから Firebox への SSL-VPN トラフィックを許可します。このポリシーは、Firebox への Mobile VPN with SSL 接続を許可します。このポリシーは、Firebox で Mobile VPN with SSL を構成すると自動的に作成されます。

Allow-IKE-to-Firebox

任意の送信元から Firebox への IKE、ESP、および AH トラフィックを許可します。このポリシーは、Firebox への Mobile VPN with IKEv2 および BOVPN 接続を許可します。このポリシーは、Firebox で BOVPN や Mobile VPN with IKEv2 を構成すると自動的に作成されます。

Any From Firebox

Firebox 自体から任意の宛先へのすべてのトラフィックを許可します。

WatchGuard 認証ポータル

内部ネットワークから Firebox の認証ポータルへの接続を許可します。このポリシーは、Firebox の認証設定で認証ポータルを有効にすると、自動的に作成されます。

WatchGuard Threat Detection and Response

内部ネットワークから WatchGuard Threat Detection and Response サーバーへのすべてのトラフィックを許可します。

WatchGuard Cloud

内部ネットワークから WatchGuard Cloud へのすべてのトラフィックを許可します。

Ping To Firebox

Ping の詳細オプションが有効になっている内部ネットワークから Firebox への ping トラフィックを許可します。

WatchGuard Web UI

Web UI アクセス オプションが有効になっている内部ネットワークから Fireware Web UI への接続を許可します。

内部ネットワークでは、Ping および Web UI アクセス オプションが既定で有効になっています。これらの設定を変更する方法については、次を参照してください:ネットワーク詳細設定を構成する

優先度の低いシステム ポリシー

優先度の低いシステム ポリシーは、最終実行より下に表示されます。

Screen shot of the low-priority System Policies list

これらのポリシーは、以下のとおりです。

BOVPN-Allow-Any.in

任意の BOVPN から任意の宛先へのトラフィックを許可します。このポリシーは、Firebox で BOVPN を構成すると自動的に作成されます。

BOVPN-Allow-Any.out

任意の送信元から任意の BOVPN へのトラフィックを許可します。このポリシーは、Firebox で BOVPN を構成すると自動的に作成されます。

Allow SSLVPN-Users

Mobile VPN with SSL 構成からすべてのネットワークへのユーザー トラフィックを許可します。このポリシーは、Firebox で Mobile VPN with SSL を構成すると自動的に作成されます。

Allow IKEv2-Users

Mobile VPN with IKEv2 構成からすべてのネットワークへのユーザー トラフィックを許可します。このポリシーは、Firebox で Mobile VPN with IKEv2 を構成すると自動的に作成されます。

Unhandled Internal Packet

任意の内部ネットワークから任意の宛先へのトラフィックを拒否します。

Unhandled External Packet

任意の送信元から任意の宛先へのトラフィックを拒否します。

Allow DNS-Forwarding

内部ネットワークから Firebox への DNS トラフィックを許可することができます。

これらのポリシーによって Firebox 経由のトラフィックが拒否された場合、そのポリシー名が Firebox ログ メッセージに表示されます。

システム ポリシーを無効化する

既定のシステム ポリシーの制限が不十分で、これでニーズを満たせない場合は、特定のシステム ポリシーを無効化することができます。WatchGuard Cloud で無効化できるシステム ポリシーは以下の通りです。

  • WatchGuard SSLVPN
  • WatchGuard Cloud
  • WatchGuard Threat Detection and Response
  • Allow-IKE-to-Firebox
  • BOVPN-Allow-Any.in
  • BOVPN-Allow-Any.out
  • Allow SSLVPN-Users
  • Allow IKEv2-Users
  • Allow RADIUS SSO Service
  • Allow RADIUS SSO Users
  • Allow DNS-Forwarding

システム ポリシーを無効化するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
    選択された Firebox のステータスと設定が表示されます。
  3. デバイス構成 を選択します。
    デバイス構成ページが開きます。
  4. ファイアウォール タイルで、ファイアウォール ポリシー をクリックします。

    ファイアウォール ポリシー ページが開きます。
  5. システム ポリシーを表示する を有効化します。

システム ポリシーのトグルを表示する

  1. 無効化するシステム ポリシーの名前をクリックします。
  2. ポリシー名の横にあるトグルを無効化します。

ポリシーのトグルを無効化する

  1. 保存 をクリックします。
    ポリシーは Firebox の構成に残ったまま、無効になります。
  2. 変更を Firebox に反映するには、構成の更新を Firebox に配備する必要があります。詳細については、デバイス構成の配備を管理する を参照してください。

関連トピック

ファイアウォール ポリシーの優先度

ファイアウォール ポリシーの種類