この記事では、新しいルールの作成、ルールの編集、ルールの有効化および無効化、ルールの検索、ルールの削除など、WANファイアウォールルールベースの管理方法を説明します。
CatoのWANファイアウォールポリシーの詳細については、Cato WANファイアウォールとは?を参照してください。.
CatoクラウドのWANファイアウォールは、WAN内のオブジェクトやエンティティへのアクセスを制御し、ネットワークへの不正アクセスを防ぐためのルールを作成できます。 接続を検査し、順番に各ルールをチェックして接続に一致するルールを見つけるために、順序付けされたルールベースを使用します。
WANファイアウォールでは、異なる管理者が並行してポリシーを編集できます。 各管理者はルールを編集し、変更を自身のプライベートリビジョンに保存してから、それをアカウントポリシーに公開(公開されたリビジョン)できます。 ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作 を参照してください。
WANファイアウォールが無効になっている場合、アクセス制御がなく、すべてのWANリソースが誰にでもアクセス可能です。
新しいWANファイアウォールルールを作成し、WANのアクセス制御を管理するための設定を構成します。 下にルールを追加オプションを使用して、ルールをルールベースの正しい位置に簡単に追加できます。
ルールのソース、宛先、アプリ、およびカテゴリアイテムの詳細については、Reference for Rule Objectsを参照してください。
時間オプションは、ルールが有効な時間範囲を定義します。 カスタムオプションを設定するか、アカウント用に定義されたデフォルトの勤務時間を選択できます。
WANファイアウォールの新規ルールを作成するには:
-
ナビゲーションメニューから、セキュリティ > WANファイアウォールをクリックします。
WANファイアウォールページが、既存の未発行リビジョンまたは最新の発行済みリビジョンで開きます。
- 新規をクリックします。 新規 パネルが表示されます。
- ルールの名前を入力します。
- スライダーを使用してルールを有効化または無効化します(緑は有効、灰色は無効)。
-
新しいルールの位置と方向を設定します。
- デフォルトでは、ルールはソース宛先への一方向に適用されます。 方向ドロップダウンメニューをクリックして、ルールを双方向に設定します。
- ルール順序オプションの詳細については、What is the Cato WAN Firewall?をご覧ください。.
-
ソースセクションを展開して、このルールのトラフィック送信元オブジェクトを1つ以上選択するか、IPアドレスを入力します。
- タイプを選択します (例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
宛先セクションを展開し、文字列を入力するか、このルールの宛先オブジェクトを1つ以上選択します。
- 種類を選択します (例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
- 基準セクションを展開し、ルールにデバイス条件を追加します。 詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 デフォルト値は全てです。
-
アプリ/カテゴリセクションを展開し、ルールのために1つ以上のアプリケーションを選択します。
ルールに複数のアプリ/カテゴリオブジェクトが含まれる場合、それらの間にはOR関係があります。 デフォルト値はすべてです。
-
サービス/ポートセクションを展開し、このルールに適用されるタイプ(サービス、ポート/プロトコル、任意)を定義します。
ルールに複数のサービス/ポートオブジェクトが含まれる場合、それらの間にはOR関係があります。 デフォルト値はすべてです。
- このルールのアクションを選択します。 オプションは許可、ブロック、確認です。
-
(オプショナル)トラッキングオプションを構成してイベントを生成し、通知を送信します。 頻度は最初の通知が送信されてからカウントを開始します。
通知に関する詳細情報は、「アラート」セクションのサブスクリプショングループ、メーリングリスト、そしてアラート統合に関する記事を参照してください。
- (任意)このルールが有効になる時間オプションを設定します。
- 保存をクリックします。 新しいルールがルールベースに追加されます。
-
保存をクリックします。
変更は未発行のリビジョンに保存され、公開または破棄されるまで編集可能です。
WANファイアウォールルールベースで例外を使用して、特定のルールを無視し、優先順位の低いルールを続けて使用できます。 例えば、ルール#3がVPNアクセスをRnDサブネットに許可している場合、小規模なSDPユーザーグループのVPNアクセスを許可しない例外を作成できます。 ブロックルールの例外を作成する際には、トラフィックが優先順位の低い許可ルールに一致する必要があります。そうでなければ、最終的な暗黙のANY ANYブロックルールがトラフィックをブロックします。
ルールの例外はルールのサブセットであり、一部の設定はルールと例外の両方に適用されます。
- ルールを無効化すると、例外も無効化されます。
- ルールを移動して優先順位を変更すると、例外も移動されます。
ファイアウォールルールに例外を追加するには:
- ナビゲーションメニューから、セキュリティ > WANファイアウォール をクリックします。
-
ルールの右側でアイコンをクリックし、例外の追加を選択します。
例外を追加パネルが開きます。
-
ルール例外の設定を展開して構成します。
親ルールのアクションはルール例外には適用されません。
- 保存をクリックします。 例外がルールの下に追加されます。
- 保存をクリックしてください。 例外が未公開の改訂に保存され、公開または破棄されるまで編集可能です。
WANファイアウォールルール検索を使用して、操作したいルールを見つけます。 検索機能は、次のフィールドのいずれかに検索語を含むルールを見つけて表示します。
- 名前
- ソース
- デバイス
- 宛先
- アプリ/カテゴリ
- サービス/ポート
ルールがセクションの一部である場合、結果にはそのセクション内のルールが表示されます。
ルールの位置を他のルールに対して設定することで、ルールの順序が定義されます。 例えば、特定のルールに従わせたり、セクションの先頭に配置したりします。
ルールの順序を定義するためのオプションは次のとおりです:
- ルールの前 - 選択されたルールの直前にルールが配置されます
- ルールの後 - 選択されたルールの直後にルールが配置されます
- セクションの先頭 - 選択されたセクションの先頭にルールが配置されます
- セクションの最後 - 選択されたセクションの最後にルールが配置されます
- 先頭 - ルールベースのトップにルールが配置されます
- 最後 - ルールベースの最下部にルールが配置されます
0件のコメント
サインインしてコメントを残してください。