インターネットファイアウォールポリシーの管理

この記事では、組織のインターネットアクセスを制御するためのインターネットファイアウォールポリシーの管理方法を説明します。

Catoのインターネットファイアウォールポリシーに関する詳細は、Catoインターネットファイアウォールとは？をご覧ください。.

概要

インターネットファイアウォールは、WANとインターネット間のトラフィックを検査し、このトラフィックを制御するルールを作成することができます。 WANファイアウォールと同様に、インターネットファイアウォールは、最初のルールから始まる順序付きルールベースを使用し、各ルールに従って接続が検査されます。

インターネットファイアウォールでは、複数の管理者がポリシーを並行して編集できます。各管理者はルールを編集し、それらの変更を自身のプライベートリビジョンに保存し、それから公開してアカウントポリシーに反映させることができます（公開済みリビジョン）。ポリシー管理の詳細については、ポリシーリビジョンの作業を参照してください。

インターネットファイアウォール設定ウィザードは、これらのチェックとインサイトを使用してポリシーを自律的に確認します。チェックが失敗した場合、個別のルールを編集することなくウィザード内で直接ポリシーを確認および更新できます。これにより、ポリシー管理を簡素化しながらセキュリティを維持できます。

インターネットファイアウォールポリシーの設定

このセクションでは、インターネットファイアウォールルールの作成、ロック解除の編集、未公開リビジョンの公開または破棄の手順について説明します。

順序ありインターネットファイアウォールの有効化

Cato Cloudのインターネットファイアウォールを使用すると、企業ネットワークのインターネットアクセスを制御できます。ユーザーがビジネス関連のウェブコンテンツにアクセスを許可し、不適切なウェブサイトやアプリケーションなどをブロックするインターネットセキュリティポリシーを簡単に作成できます。

インターネットファイアウォールを有効化または無効化するには:

ナビゲーションメニューから、セキュリティ > インターネットファイアウォール をクリックします。
ルールベース上のファイアウォール有効化のところで、スライダーをクリックして、アカウントのインターネットファイアウォールを有効に（緑）または無効に（灰色）します。
保存をクリックしてください。

新しいインターネットファイアウォールルールの作成

インターネットファイアウォールルールを作成し、変更を未公開リビジョンに保存します。

ルールの送信元、アプリ、およびカテゴリアイテムの詳細については、ルールオブジェクトの参照を参照してください。

時間オプションは、ルールが有効になる時間範囲を定義します。ルールにカスタムオプションを設定するか、アカウントに定義されたデフォルトの作業時間を選択できます。

インターネットファイアウォールの新規ルールを作成するには:

ナビゲーションメニューからセキュリティ > インターネットファイアウォールを選択します。

インターネットファイアウォールページが既存の未公開リビジョン、または最新の公開済みリビジョンに開きます。
ルールの新規をクリックします。
ルールの名前を入力します。
スライダーを使用してルールを有効（緑）または無効（灰色）にします。
このルールのルール順序を構成します。

ルール順序オプションの詳細については、Catoインターネットファイアウォールとは？を参照してください。.
ソースを展開して、ソースタイプを選択します。
- 種類を選択します (例えば：ホスト、ネットワークインタフェース、IP、全て)。デフォルト値は全てです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
基準セクションを展開し、デバイス条件をルールに追加します。詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。デフォルト値は全てです。
アプリ/カテゴリーセクションを展開し、ルールの1つ以上のアプリケーションを選択します。

ルールに1つ以上のアプリ/カテゴリーオブジェクトがある場合、それらの間にはOR関係があります。デフォルト値は任意です。
サービス/ポートセクションを展開し、このルールに適用されるタイプ（サービス、ポート/プロトコル、カスタムサービス、またはすべて）の種類を定義します。

ルールに1つ以上のサービス/ポートオブジェクトがある場合、それらの間にはOR関係があります。デフォルト値は任意です。
このルールのアクションを選択します。オプションは許可、ブロック、確認です。
（オプション）トラッキングオプションを構成してイベントを生成し、通知を送信します。頻度は最初の通知が送信された後にカウントを開始します。

通知に関する詳細情報は、セクションにあるサブスクリプショングループ、メーリングリスト、アラート統合の記事を参照してください。
(Optional) このルールが有効になる時間オプションを設定します。
適用をクリックします。新規ルールはルールベースに追加されます。
保存をクリックします。

変更は未公開リビジョンに保存され、それが公開または破棄されるまで編集可能です。

例外を使用してインターネット接続を許可

インターネットファイアウォールのルールベースで例外を使用すると、特定のルールを無視し、優先度の低いルールを適用し続けることができます。優先度の低いルールがトラフィックを一致させてブロックしないように注意してください。最終的な暗黙のANY ANY許可ルールは、すべてのトラフィックを許可します。例えば、ルール#3がHiringカテゴリーへのアクセスをブロックする場合、Human Resources (HR) 部門のアクセスをブロックしない例外を作成することができます。

ルールの例外はルールのサブセットであり、いくつかの設定はルールと例外の両方に適用されます：

ルールを無効にすると、例外も無効になります。
ルールを移動して優先順位を変更すると、例外も移動されます。

ファイアウォールルールに例外を追加するには:

ナビゲーションメニューから、セキュリティ > インターネットファイアウォール を選択します。
ルールの右側でをクリックし、例外を追加を選択します。

例外を追加パネルが開きます。
ルール例外の設定を展開して構成します。

親ルールのアクションはルール例外には適用されません。
適用をクリックします。例外はルールの下に追加されます。
保存をクリックしてください。例外は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

ファイアウォールルールから例外を削除するには:

ナビゲーションメニューから、セキュリティ > インターネットファイアウォール を選択します。
ルールの右側の列からをクリックし、ポップアップウィンドウで例外を削除を選択します。

例外がルールから削除されます。
保存をクリックしてください。例外は未公開の改訂から削除され、リビジョンを公開してアカウントポリシーから例外を削除できます。

既知の制限

Facebook Messengerアプリでは、MessengerとFacebookがリソースをロードするために同じドメインを共有しているため、インターネットファイアウォールを使用してMessengerアプリをブロックし、Facebookアプリを許可することはできません。これらのアプリケーションへのアクセスを管理するには、CASBアプリケーション制御ポリシーを使用できます。