ユーザー/ネットワークルールの追加 (IPv4)

このページでは、IPv4 プロトコルを使用するトラフィックを制御するためのファイアウォールルールを作成することができます。ファイアウォールルールは内部ネットワークと外部ネットワーク間のトラフィックを制御して、未承認アクセスからネットワークを保護します。デバイスは、ファイアウォールルールで構成した送信元ゾーンおよび宛先ゾーンに基づいて適用するルールを決定します。このページでは、ID ベースのファイアウォールルールをユーザーに適用して、ルールを作成します。

  1. 「ファイアウォール」に移動して、「ファイアウォールルールの追加」 > 「ユーザー/ネットワークのルール」の順にクリックします。
  2. 「ルール概要」の詳細を入力します。
    ルール名
    ルール名を入力します。
    説明
    ルールの説明を入力します。
    ルールの位置
    利用可能なオプションからルールの位置を指定します。
    利用可能なオプション:
    • 最上位
    • 最下位
    ルールグループ
    ファイアウォールルールの追加先となるルールグループを指定します。リストから新規作成を選択して、新規ルールグループを作成することもできます。
    「自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。
    処理
    利用可能なオプションからルールトラフィックの処理を指定します:
    • 許可: アクセスの許可
    • 破棄する: 警告なしで破棄
    • 拒否: アクセスを拒否 (「「ICMP ポートが到達できません」」というメッセージが送信元に送られます)
    レスポンスの送信時に、要求を受信したインターフェースとは異なるインターフェースでレスポンスを送信することができます。これは、デバイス上のルーティング構成に基づいて行われます。
    例: 要求をなりすまし IP アドレス (パブリック IP アドレスまたは IP アドレスが LAN ゾーンのネットワーク内にない状態) を使用して LAN ポート上で受信し、特定のルートが定義されていない場合、デバイスはデフォルトのルートを使用してこれらのホストにレスポンスを送信します。従って、レスポンスは WAN ポートから送信されます。
  3. 「送信元」の詳細を入力します。
    送信元ゾーン
    そのユーザーに許可されている送信元ゾーンを選択します。

    新しいゾーンはこのページから直接作成できます。または、「ネットワーク」 > 「ゾーン」の順にアクセスした先のページからも作成できます。

    送信元ネットワークとデバイス
    そのユーザーに許可されている送信元ネットワーク/デバイスを選択します。
    新しいネットワークホストはこのページから直接作成できます。または、「ホストとサービス」からも作成できます。
    スケジュールされた時間内
    そのユーザーに許可されているサービスを選択します。
    新しいスケジュールはこのページから直接作成できます。または、「プロファイル」 > 「スケジュール」の順にアクセスした先のページからも作成できます。
  4. 「宛先」と「サービス」の詳細を入力します。
    宛先ゾーン
    そのユーザーに許可されている宛先ゾーンを選択します。
    宛先ネットワーク
    そのユーザーに許可されている宛先ゾーンを選択します。

    新しいネットワークホストはこのページから直接作成できます。または、「ホストとサービス」からも作成できます。

    サービス
    そのユーザーに許可されているサービスを選択します。
    新しいサービスはこのページから直接作成できます。または、「ホストとサービス」 > 「サービス」の順にアクセスした先のページからも作成できます。
  5. 「ID」の詳細を入力します。ユーザールールを設定する場合は、この手順に従ってください。
    既知のユーザーを一致
    選択して、ユーザー ID に基づいてルールを有効にします。
    不明なユーザーにキャプティブポータルを表示する (「既知のユーザーを一致」が選択されている場合にのみ利用可能)
    不明なユーザーからのトラフィックを許可するには、このチェックボックスを選択します。「キャプティブポータル」ページには、ユーザーがインターネットにアクセスするためのログイン場所が表示されます。
    不明なユーザーからのトラフィックを破棄するには、このチェックボックスの選択を解除します。
    ユーザーまたはグループ (「既知のユーザーを一致」が選択されている場合にのみ利用可能)
    利用可能なオプションのリストから、ユーザーまたはグループを選択します。
    このユーザーアクティビティをデータ通信量の計算から除外する (「既知のユーザーを一致」が選択されている場合にのみ利用可能)。
    選択して、データ通信量の計算からユーザートラフィックのアクティビティを除外します。言い換えると、このルールで許可されたトラフィックは、そのユーザーのデータ転送量には含まれません。
    デフォルトにより、データ通信量の計算でユーザーのネットワークトラフィックが考慮されます。
  6. Web マルウェアスキャンとコンテンツスキャンの詳細を入力します (トラフィックの「処理」「許可」を選択した場合のみ利用可能)。
    HTTP のスキャン
    HTTP トラフィックのスキャンを有効にします。
    HTTPS の暗号化解除/スキャン
    HTTPS トラフィックの復号化とスキャンを有効にします。
    Google QUIC (QUIC UDP Internet Connections) のブロック
    Google サービスの QUIC プロトコル (UDP) トラフィックを無効にします。
    Sandstorm によるゼロデイ脅威の検出
    HTTP または HTTPS でダウンロードしたファイルを Sandstorm に送信して分析します。Sandstorm は、未知および非公開の脅威 (「ゼロデイ」脅威) からネットワークを保護します。
    FTP のスキャン
    FTP トラフィックのスキャンを有効にします。
  7. 詳細設定を入力します (トラフィックの「処理」「許可」を選択した場合のみ利用可能)。
    1. ユーザーアプリケーションのポリシーを指定します。
      侵入防御
      ルールの IPS ポリシーを選択します。新しい IPS ポリシーはこのページから直接作成できます。または、「侵入防御」 > 「IPS ポリシー」の順にアクセスした先のページからも作成できます。
      トラフィックシェーピング ポリシー
      「既知のユーザーを一致」を選択している場合、ユーザーのトラフィックシェーピングポリシーは自動的に適用されます。
      「既知のユーザーを一致」が選択されていない場合は、ルールのトラフィックシェーピングポリシーを選択するか、ルールを新規作成する必要があります。
      「新規作成」 > 「トラフィックシェーピング (QoS) ポリシーの追加」から新規ポリシーを作成することができます。ポリシーの関連付けを指定し、ポリシーを「Web カテゴリ」または「アプリケーション」のいずれかに割り当てます。
      Webポリシー
      ルールの Web ポリシーを選択します。
      新しい Web ポリシーはこのページから直接作成できます。または、「Web」 > 「ポリシー」の順にアクセスした先のページからも作成できます。
      Web カテゴリーベースのトラフィックシェーピングポリシーの適用

      クリックして、Web カテゴリに分類された URL の帯域幅を制限します。

      アプリケーションコントロール
      ルールのアプリケーションフィルタのポリシーを選択します。新しいアプリケーションフィルタポリシーはこのページから直接作成できます。または、「アプリケーション」 > 「アプリケーションフィルタ」の順にアクセスした先のページからも作成できます。
      アプリケーションベースのトラフィックシェーピングポリシーの適用
      クリックして、アプリケーションカテゴリに分類されたアプリケーションの帯域幅を制限します。
    2. Synchronized Security 設定を構成します。
      送信元ハートビートの最小値
      送信元デバイスがこのルールで最低限遵守する必要のある正常性の状態を選択します。正常性の状態には「緑」「黄色」または「制限なし」のいずれかを選択できます。正常性の条件を満たしていない場合は、このルールで定義したアクセスと権限はそのユーザーに付与されません。
      ハートビートがないクライアントをブロック
      ハートビート対応デバイスを使用して、正常性の状態についての情報を定義された間隔で送信します。これは、ハートビートと呼ばれます。
      その情報に基づいて、特定のサービスやネットワークへの送信元デバイスのアクセスを制限できます。

      ハートビートの送信を義務付けるオプションを有効/無効にします。

      宛先ハートビートの最小値 (唯一の宛先ゾーン「WAN」が選択されている場合は利用不可)
      宛先デバイスがこのルールで最低限遵守する必要のある正常性の状態を選択します。正常性の状態には「緑」「黄色」または「制限なし」のいずれかを選択できます。正常性の条件を満たしていない場合は、このルールで定義したアクセスと権限はそのユーザーに付与されません。
      注: 「WAN」とともに複数のゾーンが選択されている場合は、このオプションを使用できます。
      ハートビートがない宛先へのリクエストをブロック (唯一の宛先ゾーン「WAN」が選択されている場合は利用不可)
      ハートビート対応デバイスを使用して、正常性の状態についての情報を定義された間隔で送信します。これは、ハートビートと呼ばれます。
      その情報に基づいて、ハートビートを送信していない宛先へのリクエストをブロックできます。
      ハートビートの送信を義務付けるオプションを有効/無効にします。
      注: 「WAN」とともに複数のゾーンが選択されている場合は、このオプションを使用できます。
    3. 「NAT」と「ルーティング」の詳細を入力します。
      送信元アドレスの書き換え (マスカレード)
      送信元アドレスを書き換えるか、NAT ポリシーを指定するか選択します。
      デフォルト: 無効
      ゲートウェイ固有のデフォルト NAT ポリシーを使用 (「仮」が選択されている場合にのみ利用可能)
      選択して、デフォルトの NAT ポリシーをゲートウェイ固有のポリシーで上書きします。
      ゲートウェイ固有のデフォルト NAT ポリシーを上書き (「ゲートウェイ固有のデフォルト NAT ポリシーを使用」が選択されている場合にのみ利用可能)
      選択して、ゲートウェイと関連する NAT ポリシーを指定します。複数のゲートウェイと NAT ポリシーを追加できます。
      送信用アドレスの使用 (「送信元アドレスの書き換え」が選択されている場合にのみ利用可能)
      利用可能な NAT ポリシーのリストから適用する NAT ポリシーを選択します。
      新しい NAT ポリシーはこのページから直接作成できます。または、「プロファイル」 > 「ネットワークアドレス変換」の順にアクセスした先のページからも作成できます。
      デフォルト: MASQ
      MASQ (インターフェースデフォルト IP)
      • ネットワーク > インターフェース で構成した宛先ゾーンの IP アドレスが (インターフェースデフォルト IP) の代わりに表示されます (単一の宛先ゾーンが選択されている場合)。
      • 複数の宛先ゾーンが選択されている場合、(インターフェースデフォルト IP) が表示されます。
      プライマリゲートウェイ
      プライマリゲートウェイを指定するか、ゲートウェイホストをこのページから追加します。これは、1 つ以上のゲートウェイが定義されている場合にのみ適用可能です。
      注: このゲートウェイを削除すると、プライマリゲートウェイは、WAN 宛先ゾーンには「WAN リンク負荷分散」、他のゾーンには「なし」と表示されます。このような場合、ファイアウォールルールはルーティングの決定を行いません。
      バックアップゲートウェイ
      バックアップゲートウェイを指定します。これは、1 つ以上のゲートウェイが定義されている場合にのみ適用可能です。
      注: このゲートウェイを削除すると、バックアップゲートウェイ「なし」と表示されます。
      DSCP マーキング
      DSCP マーキングを選択します。
      パケットが QoS に基づいてローカルネットワークに入ると、DSCP (DiffServ Code Point) はパケットのフローを分類します。フローは次の 5 つの要素で定義されます: source IP address、destination IP address、source port、destination port、transport protocol
  8. ユーザーアプリケーショントラフィックのログオプションを定義します。
    ファイアウォールトラフィックのログ
    選択して、許可/拒否されるトラフィックのログを有効にします。
  9. 「保存」をクリックします。