ポリシーの優先順位について

優先順位とは、Firebox がネットワーク トラフィックを検査して、ポリシー ルールを適用する順位です。Firebox は、最も詳細なポリシーから汎用的なポリシーにポリシーを自動的にソートします。パケット内の情報は、先頭のポリシーのルール リストと比較されます。リストされているルールの中で、パケットの条件と最初に一致したルールがパケットに適用されます。2 つのポリシーの詳細レベルが同じ場合、プロキシ ポリシーがパケット フィルタ ポリシーより常に優先されます。

自動ポリシーの順番

Firebox は自動的に最も限定的なポリシーの優先順位を高くし、最も汎用的なポリシーの優先順位を低くします。Firebox は、基準の特異性をポリシーで調べます。最初の条件で優先順位を判断できなかった場合は、次の条件の検査に移り、判断できるまでこの処理を繰り返します。基準の優先順位は、以下の順で評価されます:

  1. ポリシーの限定性
  2. ポリシーの種類に設定されているプロトコル
  3. 送信先 リストのトラフィック ルール
  4. 送信元 フィールドのトラフィック ルール
  5. ポリシーに適用されるファイアウォール アクション (許可済み、拒否済み、拒否済み (リセットの送信))
  6. ポリシーに適用されるスケジュール
  7. アルファベット順に基づくポリシーの種類
  8. アルファベット順に基づくポリシーの名前

ポリシーの限定性およびプロトコル

Firebox はこれらの基準を順番に使用して 2 つのポリシーを比較し、同等のポリシーか、または一方がより詳細なポリシーかの判定を出します。

  1. 任意ポリシーは、常に低い優先順位に適用されます。
  2. TCP 0 (任意) または UDP 0 (任意) プロトコルの番号を確認します。より少数のポリシーは優先順位が高くなります。
  3. TCP と UDP プロトコルの固有のポート番号を確認します。より少数のポリシーは優先順位が高くなります。
  4. 固有の TCP および UDP ポート番号を追加します。より少数のポリシーは優先順位が高くなります。
  5. IP プロトコル値に基づいてプロトコルを計算します。よりスコアの少ないポリシーは優先順位が高くなります。

ポリシーの特異性とプロトコルを比較して優先順位を設定できない場合、Firebox はトラフィック ルールを検査します。

トラフィック ルール

Firebox はこれらの基準を順番に使用して、あるポリシーと 2 番目のポリシーのルールのうち、最も汎用的なトラフィック ルールを比較します。これは最も詳細なトラフィック ルールがあるポリシーに高い優先順位を指定します。

  1. ホスト アドレス
  2. IP アドレス範囲 (比較するサブネットより小さい)
  3. サブネット
  4. IP アドレス範囲 (比較するサブネットより多い)
  5. 認証ユーザー名
  6. 認証グループ
  7. インターフェイス、Firebox
  8. Any-External、Any-Trusted 、Any-Optional
  9. Any

たとえば、次の 2 つのポリシーを比較します。

(HTTP-1) From: Trusted、user1

(HTTP-2) From: 10.0.0.1、Any-Trusted

Trusted は HTTP-1 の汎用的なエントリです。Any-Trusted は HTTP-2 の汎用的なエントリです。TrustedAny-Trusted のエイリアスに含まれているので、HTTP-1 はより詳細なトラフィック ルールです。HTTP-2 には IP アドレスが含まれていますが、これが正しい順番です。その理由は、Firebox は 2 つのポリシーで最も汎用的なトラフィック ルールを比較してポリシーの優先順位を設定するからです。

トラフィック ルールを比較しても優先順位を設定できない場合、Firebox はファイアウォール アクションを調べます。

ファイアウォール オプション

Firebox は、2 つのポリシーのファイアウォール アクションを比較して優先順位を設定します。ファイアウォール アクションの優先順位 (高から低) は、以下の通りです。

  1. 拒否または拒否 (送信リセット)
  2. 許可プロキシ ポリシー
  3. 許可パケット フィルタ ポリシー

ファイアウォール アクションを比較しても優先順位を設定できない場合、Firebox はスケジュールを調べます。

スケジュール

Firebox は、2 つのポリシーのスケジュールを比較して優先順位を設定します。スケジュールの優先順位 (高いから低い) は以下の通りです。

  1. 常にオフ
  2. ときどきオン
  3. 常にオン

スケジュールを比較しても優先順位を設定できない場合、Firebox はポリシーの種類と名前を調べます。

ポリシーの種類とポリシー名

2 つのポリシーがどの優先基準にも一致しない場合、Firebox はポリシーをアルファベット順に並べます。最初に、ポリシーの種類を使用します。そして、ポリシー名を使用します。どの2 つのポリシーも同じ種類と同じ名前を持たないため、これは優先順位の最後の条件です。

優先順位を手動で設定する

手動順序指定モードに変更して、Firebox のポリシーの優先順位を設定できます。

自動順序モードを使用して、ポリシーの優先順位を設定することをお勧めします。手動順序モードに変更する場合は、ポリシーの順序を慎重にテストしてください。

手動順序モードに切り替えるには、Fireware Web UI から以下の手順を実行します:

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
    ファイアウォール ポリシー ページが表示されます。
  2. ポリシー リストの下で、ポリシーの自動順序モードを無効化する をクリックします。
    確認メッセージが表示されます。
  3. はい をクリックします。
  4. ポリシーの順序を変更するには、ポリシーのチェックボックスを選択し、上に移動 または 下に移動 をクリックしてリストの上または下に移動します。または、ポリシー リスト内の新しい位置にドラッグします。
  5. ポリシー順序の保存 をクリックします。

手動順序モードに切り替えるには、Policy Manager から以下の手順を実行します:

  1. 表示 > 自動順序指定モード の順に選択します。
    メニューに表示されていたチェックマークを解除し、確認メッセジが表示されます。
  2. はい をクリックして、手動順序指定モードに切り替えることを確認します。
    手動順序指定モードに切り替えると、Policy Manager のウィンドウが 詳細 ビューに切り替わります。大きいアイコン ビューでポリシーの順序を変更することはできません。
  3. ポリシーの順序を変更するには、以下のいずれかの方法を使用します:
    • ポリシーを選択して、新しい位置にドラッグします。
    • ポリシーの順序の番号を選択し、新しい位置の番号を入力します。
    • ポリシーを選択して、ポリシー順序ツール バーの 上向き 矢印と 下向き 矢印を使用します。

関連情報:

ポリシー ビューについて

ポリシーのアクセス ルールを設定する