インターネットファイアウォールポリシーの管理

この記事では、組織のインターネットアクセスを制御するために、インターネットファイアウォールポリシーを管理する方法を説明します。

Catoのインターネットファイアウォールポリシーの詳細については、Catoのインターネットファイアウォールとは?をご覧ください。

概要

インターネットファイアウォールはWANとインターネット間のトラフィックを検査し、このトラフィックを制御するためのルールを作成できます。 WANファイアウォールと同様に、インターネットファイアウォールは順序付けられたルールベースを使用し、最初のルールから始めて、各ルールに従って接続を検査します。

インターネットファイアウォールは、異なる管理者がポリシーを並行して編集することを可能にします。 各管理者はルールを編集し、変更を自分のプライベートなリビジョンに保存してから、アカウントポリシー(公開リビジョン)にそれらを公開することができます。 ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作 を参照してください。

インターネットファイアウォール構成ウィザードは、これらのチェックと洞察を使用してポリシーを自律的にレビューします。 チェックが失敗した場合、個々のルールを編集せずにウィザードでポリシーを直接確認および更新できます。 これにより、ポリシー管理を簡素化しながら安全性を維持できます。

インターネットファイアウォールポリシーの設定

このセクションでは、インターネットファイアウォールルールの作成、ロックの上書きによるルールの編集、未発行のリビジョンの発行または破棄の手順について説明します。

インターネットファイアウォール

新規作成インターネットファイアウォールルール

インターネットファイアウォールルールを作成し、変更を未公開のリビジョンに保存します。

ルールの 送信元アプリ、および カテゴリ アイテムの詳細については、ルールオブジェクトの参照を参照してください。

時間 オプションは、ルールが有効になる時間範囲を定義します。 ルールに対してカスタムオプションを設定するか、アカウントに定義されたデフォルトの就業時間を選択できます。

インターネットファイアウォールに新しいルールを作成するには:

  1. ナビゲーションメニューから、セキュリティ > インターネットファイアウォール を選択します。

    インターネットファイアウォールのページが、既存の未公開リビジョンまたは最新の公開リビジョンに開きます。

  2. 新規をクリックしてください。

  3. ルールの名前を入力してください。

  4. スライダーを使用してルールを有効または無効にします(緑は有効、灰色は無効)。

  5. このルールのルール順序を設定します。

    ルール順序オプションの詳細については、Catoインターネットファイアウォールとは?を参照してください。

  6. ソースを展開してソースタイプを選択します。

    • 種類を選択します(例:ホスト、ネットワークインタフェース、IP、いずれか)。 デフォルト値はいずれかです。

    • 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。

  7. デバイス セクションを展開し、ルールにデバイス条件を追加します。 詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 デフォルト値はいずれかです。

  8. アプリ/カテゴリ セクションを展開し、ルールに適用するアプリケーションを一つまたは複数選択します。

    ルールに複数のアプリ/カテゴリオブジェクトがある場合、それらの間にはまたはの関係があります。 デフォルト値はいずれかです。

  9. サービス/ポートセクションを展開し、このルールに適用されるタイプ(サービス、ポート/プロトコル、いずれか)を定義します。

    ルールに複数のサービス/ポートオブジェクトがある場合、それらの間にはまたはの関係があります。 デフォルト値はAnyです。

  10. このルールのアクションを選択します。 オプションは許可ブロック確認です。

  11. (任意) トラッキングオプションを設定してイベントを生成し、通知を送信します。 頻度は、最初の通知が送信された後にカウントを開始します。

    通知についての詳細は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連する記事を参照してください。

  12. (オプション) このルールが有効になるタイミングを定義する時間のオプションを設定します。

  13. 適用をクリックします。 新しいルールがルールベースに追加されます。

  14. 保存をクリックしてください。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

インターネットアクセスを許可するための例外を使用

インターネットファイアウォールのルールベースで例外を使用することで、特定のルールを無視し、優先順位が低いルールを続行できます。 低い優先順位のルールがトラフィックにマッチしてブロックしないことを確認してください。 最終的な暗黙のANY ANY許可ポリシーはすべてのトラフィックを許可します。 例えば、ルール#3が採用カテゴリへのアクセスをブロックする場合、人事部門(HR)がアクセスをブロックされない例外を作成できます。

ルールに対する例外は、ルールのサブセットであり、いくつかの設定はルールと例外の両方に適用されます:

  • ルールを無効にすると、例外も無効になります

  • ルールを移動して優先度を変更すると、例外も移動されます

ファイアウォールルールに例外を追加するには:

  1. ナビゲーションメニューから、セキュリティ > インターネットファイアウォールを選択します。

  2. ルールの右側で、More_icon.png をクリックし、例外の追加を選択します。

    例外の追加パネルが開きます。

  3. 例外ルールの設定を展開して設定します。

    親ルールのアクションは、例外ルールに適用されません。

  4. 適用をクリックします。 例外がルールの下に追加されます。

  5. 保存をクリックしてください。 この例外は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

ファイアウォールルールから例外を削除するには:

  1. ナビゲーションメニューから、セキュリティ > インターネットファイアウォール を選択します。

  2. ルールの右側の列から、More_icon.png をクリックし、ポップアップウィンドウで 例外の削除 を選択します。

    例外はルールから削除されます。

  3. 保存をクリックしてください。 例外は未公開の改訂から削除され、改訂を公開することでアカウントのポリシーから例外を削除できます。

既知の制限

  • Facebook Messengerアプリでは、MessengerアプリをブロックしてFacebookアプリを許可するためにインターネットファイアウォールを使用することはできません。これは、MessengerがFacebookと同じドメインを共有してリソースを読み込むためです。 これらのアプリへのアクセスを管理するには、CASBアプリケーション制御ポリシーを使用できます。

この記事は役に立ちましたか?

5人中5人がこの記事が役に立ったと言っています

0件のコメント