ファイアウォールルールの追加

ファイアウォールルールを作成して、ゾーンおよびネットワーク間のトラフィックフローを許可または禁止したり、セキュリティポリシーやアクションを適用したりできます。

IPv4 または IPv6 ネットワークに対するルールを作成します。一定期間の条件 (送信元、宛先、サービス、ユーザーなど) を指定します。適用するポリシーとスキャンアクションを選択します。Synchronized Security で同期されたエンドポイントおよびサーバーに適用するアクションを選択します。
  1. ルールとポリシー > ファイアウォールルールに進んでください。IPv4またはIPv6のプロトコルを選択して、ファイアウォールルールの追加を選択します。新しいファイアウォールルールを選択します
  2. ルールは、デフォルトで有効になります。条件を適用したくない場合は、ルールを無効にできます。
  3. 一般的な情報を入力します。
    名前説明
    ルール名 名前を入力します。
    ルールの位置 ルールテーブル内のルールの位置を指定します:
    • 最上位
    • 最下位

    XG Firewall では、一致するルールが見つかるまで、上から下に向かってルールが評価されます。一致するルールが見つかると、後続のルールは評価されません。ルールテーブル内のルールの順番は、変更できます。

    ルールグループ

    ルールグループを選択するか、作成します。ファイアウォールルールはこのグループに属します。

    自動」を選択すると、ルールの種類、送信元ゾーン、宛先ゾーンが一致する最初の既存のグループに、ルールが追加されます。

    処理 アクションの選択:

    許可: トラフィックを許可します

    破棄: 通知せずにトラフィックを破棄します

    拒否: トラフィックを破棄し、送信元に ICMP port unreachable というメッセージを送信します。

    Web サーバープロテクションで保護する: Web サーバープロテクション (WAF) の詳細を指定し、Web アプリケーショントラフィックを制御します。

    事前設定済みのテンプレート

    Web サーバープロテクションを選択した場合は、適用するテンプレートを選択します:

    なし: Web サーバープロテクションの詳細を指定します。

    Exchange 自動検出

    Exchange Outlook Anywhere

    Exchange 全般

    Microsoft Lync

    Microsoft Remote Desktop Gateway 2008 and R2

    Microsoft Remote Desktop Web 2008 and R2

    Microsoft Sharepoint 2010 and 2013

    ファイアウォールトラフィックのログ

    このルールに一致するすべてのトラフィックをログに記録します。デフォルトでは、ログは XG Firewall に保存されます。

    Syslog サーバーを追加してそのサーバーにログを保存するには、システムサービス > ログ設定にアクセスしてください。

    接続の「破棄」イベントを受けて接続を終了した場合、ログに記録されます。インターネット接続が失われた場合など、「破棄」イベントが確認されることなく接続が終了した場合は、ログに記録されません。
    自動または手動でファイアウォールルールを作成した場合は、その位置を確認し、ルールが想定どおりにトラフィックに一致するようにしましょう。

    メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。 後で手動でファイアウォールルールを作成してルールの位置最上位に設定した場合や、別のルールが自動的に作成された場合、それらのルールがルールテーブルの最上位に配置されます。 既存ルールと同じ条件が新しいルールに設定されている場合は、新しいルールのポリシーとアクションが適用され、メール配信エラーが発生したり、トンネルが確立されないなど、予期しない結果につながることがあります。

  4. 送信元の条件を選択します。
    名前説明

    送信元ゾーン

    トラフィックの送信元ゾーンを選択します。

    送信元ネットワークとデバイス

    送信元ネットワークおよびデバイスを選択または作成します。

    スケジュールされた時間内

    スケジュールを選択または作成します。選択した期間および曜日に、ルールの照合を行います。

  5. 宛先とサービスの条件を入力します。
    名前説明

    宛先ゾーン

    トラフィックの宛先ゾーンを選択します。

    宛先ネットワーク

    宛先ネットワークを選択または作成します。

    サービス

    サービスを選択または作成します。サービスは、プロトコルとポートの組み合わせです。

  6. ユーザー ID の条件を指定します。
    名前説明

    既知のユーザーを一致

    ユーザー ID の条件を追加します。

    不明なユーザーに Web 認証を使用する

    Web にアクセスする未知のユーザー(エンドポイントデバイスにサインインして、まだ認証を受けていないユーザー) を認証します。

    Web 認証の設定を指定するには、認証 > Web 認証」にアクセスします。AD SSO (Kerberos および NTLM) またはキャプティブポータルの認証を指定できます。

    AD SSO およびキャプティブポータルにアクセスできるゾーンを指定するには、管理 > デバイスのアクセスにアクセスします。

    ユーザーやグループ

    ユーザーとグループを選択します。指定したユーザ-およびグループから送信されたトラフィックにのみルールが適用されます。

    データ利用通信量の計算からこのユーザーアクティビティを除外

    指定したユーザーのトラフィックを利用通信量計算から除外します。

    デフォルトでは、ルールの条件に一致するトラフィックは、個々のユーザーのデータ転送量として加算されます。

    指定したユーザーにデータ使用量の制限を設けたくない場合は、このオプションを使用してください。

  7. ルールに除外を追加するには、除外の追加を選択します。次のオブジェクトに対して除外条件を指定できます。
    • 送信元ゾーン
    • 送信元ネットワークとデバイス
    • 宛先ゾーン
    • 宛先ネットワーク
    • サービス
  8. このルールの送信元ネットワークおよびデバイスに対してアドレス変換を強制的に適用するには、リンク NAT ルールの作成を選択します。

    リンク NAT ルールは送信元 NAT ルールであり、NAT ルールテーブルに表示されます。これらのルールは、ファイアウォールルール ID と名前で識別できます。

    リンク NAT ルールで変更できるのは、変換後の送信元と、アウトバウンドインターフェース固有の送信元変換の設定のみです。それ以外については、リンク先のファイアウォールルールの条件 (ユーザーおよびグループを含む) が適用されます。
    注意 リンク NAT ルールは、リンク先のファイアウォールルールに定義されたトラフィックにのみ適用されます。ただし、リンク NAT ルールの上に配置された NAT ルールの条件に一致した場合は、そのルールがトラフィックに適用されます。一致するルールが見つかると、後続のルールは評価されません。
  9. Web フィルタリングを選択して、設定を指定します。

    Web ポリシー、マルウェアスキャンおよびコンテンツスキャン、およびフィルタリングの設定を選択します。

    マルウェアスキャンとコンテンツスキャン: Web > 全般設定で指定した設定が適用されます。

    フィルタリング: 一般的な Web ポートで Web トラフィックをフィルタリングする設定を選択します。Web プロキシフィルタリングを選択する場合は、HTTP および復号化された HTTPS に対する Web ポリシーまたはマルウェアスキャンおよびコンテンツスキャンを最初に選択する必要があります。

    XG Firewall では、Dropbox などのマイクロアプリや、Gmail の添付ファイルなどのアップロードやダウンロードを、URL に基づいて識別します。ファイアウォールルールでこれらのマイクロアプリに対するアプリケーションフィルタポリシーを指定し、SSL/TLS インスペクションルールを設定して復号化すると、DPI エンジンは復号化された URL に基づいてマイクロアプリを識別します。これは、Web ポリシーなしに設定し、マルウェアスキャンおよび ATP (高度な脅威対策) を無効にした場合でも適用されます。XG Firewall は、アプリケーションフィルタポリシーで指定されたアクションを実行します。

    IP アドレスのないブリッジインターフェースに Web プロキシフィルタリングを設定すると、トラフィックは破棄されます。

    名前説明
    Web ポリシー

    Web ポリシーを選択するか、作成します。

    Web カテゴリベースのトラフィックシェーピングの適用

    ポリシー内の Web カテゴリに指定した帯域幅設定を適用します。

    QUIC プロトコルのブロック

    ポート 80 および 443 への送信 UDP パケットから、ルールの条件に一致するものを破棄することにより、QUIC プロトコルをブロックします。Web ポリシーを選択するか、または HTTP および復号化された HTTPS のスキャンをオンにすると、デフォルトで選択されます。

    Chrome では、デフォルトでこのプロトコルを使用して Google サービスとのセッションを確立します。QUIC トラフィックはスキャンできず、Web フィルタリングでバイパスされます。

    HTTP および復号化した HTTPS をスキャン

    Web トラフィックからマルウェアをスキャンします。

    このオプションを選択しても、HTTPS 復号化は有効になりません。HTTPS トラフィックを復号化してスキャンできるようにするには、DPI モードでSSL/TLS インスペクションルールを使用するか、Web プロキシでのフィルタリング中に HTTPS を復号化するを選択します。

    Sandstorm でゼロデイ脅威を検出

    HTTP および復号化した HTTPS のスキャンを選択した場合に、HTTP または HTTPS 経由でダウンロードしたファイルを Sandstorm 分析に送信します。Sandstorm は、ネットワークをゼロデイ脅威 (未知または未公開の脅威) から保護します。

    FTP のマルウェアをスキャン

    FTP トラフィックからマルウェアをスキャンします。

    DPI エンジンではなく Web プロキシを使用する Web プロキシを使用して、ポート 80 (HTTP) および 443 (HTTPS) のトラフィックをフィルタリングします。その他のポートの HTTP および SSL/TLS トラフィックは、DPI エンジンによって引き続きフィルタリングされます。

    次の場合はプロキシモードが必要です: セーフサーチや YouTube の制限を適用する、Google アプリ (Gmail、ドライブなど) へのサインインを特定のドメインアカウントに制限する、ファーミング対策や Web コンテンツのキャッシュを有効にする、親プロキシに接続する。

    Web フィルタリングに DPI エンジンを使用するには、このチェックボックスをオフにします。すると、DPI エンジンによって、すべてのポートの HTTP および SSL/TLS トラフィックがフィルタリングされます。この設定では、XG Firewall は直接モードを使用します。この場合、SSL/TLS インスペクションルールが適用され、その条件と復号化プロファイルに基づいて、暗号化されたトラフィックのインターセプト、復号化、検査が行われます。

    SSL/TLS インスペクションルールが有効になっていることを確認し、SSL/TLS インスペクションルールを作成するには、ルールとポリシー > SSL/TLS インスペクションルールにアクセスします。

    Web プロキシでのフィルタリング中に HTTPS を復号化する

    このオプションをオンにすると、直接プロキシモードで HTTPS トラフィックも復号化されます。

    ヒント ファイアウォールルールに Web プロキシフィルタリングを含めて、あらかじめ設定されている FQDN ホストグループを指定することによって、セーフサーチを適用したり、YouTube の使用や G Suite アプリケーションへのサインインを制限することができます。 このファイアウォールルールを作成するには、このページにリンクされている学習コンテンツを参照してください。
    直接プロキシモードは、「DPI エンジンではなく Web プロキシを使用する」を選択しなくても使用できます。直接プロキシモードを使用するには、プロキシの設定で XG Firewall を使用するようにクライアントを設定する必要があります。XG Firewall を直接 Web プロキシとして使用するには、Web > 全般設定の「Web プロキシ設定」にアクセスしてください。
    Web > 例外で指定した例外に基づき、復号化、マルウェアおよびコンテンツのスキャン、Sandstorm 分析、ポリシーチェックがスキップされます。例外は DPI モードとプロキシモードの両方に適用されます。
  10. Synchronized Security ハートビートの設定を選択して、ハートビート の設定を指定します。そうすると、XG Firewall を介してネットワーク内のエンドポイントデバイスおよびサーバーを保護することができます。

    Synchronized Security を設定したエンドポイントデバイスおよびサービスは、一定間隔で XG Firewall にハートビート (セキュリティ状態) を送信します。

    名前説明
    送信元ハートビートの最小値

    トラフィックの送信元デバイスのハートビートの最小値を選択します。 デバイスが最小ハートビートを送信しない場合、そのデバイスのユーザーにはこのルールで定義されているアクセス権が与えられません。

    緑色: このセキュリティステータスを送信するエンドポイントだけがアクセスできます。

    黄色: 緑色または黄色のセキュリティステータスを送信するエンドポイントだけがアクセスできます。

    制限なし: すべてのエンドポイントがアクセスできます (ハートビートを送信していないエンドポイントや、赤色のステータスを送信するエンドポイントを含む)。

    ハートビートがないクライアントをブロック

    ハートビートを送信しないデバイスをブロックする場合に選択します。

    宛先ハートビートの最小値

    トラフィックの宛先デバイスのハートビートの最小値を選択します。 デバイスが最小ハートビートを送信しない場合、そのデバイスのユーザーにはこのルールで定義されているアクセス権が与えられません。

    緑色: このセキュリティステータスを送信するエンドポイントだけがアクセスできます。

    黄色: 緑色または黄色のセキュリティステータスを送信するエンドポイントだけがアクセスできます。

    制限なし: すべてのエンドポイントがアクセスできます (ハートビートを送信していないエンドポイントや、赤色のステータスを送信するエンドポイントを含む)。

    宛先のハートビートに基づく制御は、内部ネットワーク内のデバイスに対して行えます (WAN ゾーンでは行えません)。

    ハートビートがない宛先へのリクエストをブロック

    ハートビートを送信しないデバイスをブロックする場合に選択します。

  11. その他のセキュリティ機能の設定を選択します。アプリケーションコントロール、IPS、およびトラフィックシェーピングのポリシーを選択または作成できます。
    名前説明
    アプリケーションの特定・制御 (アプリケーションコントロール)

    アプリケーションフィルタポリシーを選択します。

    アプリケーションベースのトラフィックシェーピングポリシーの適用

    アプリケーションカテゴリ内のアプリケーションに、指定した帯域幅の設定が適用されます。

    エクスプロイトの検出・防止 (IPS)

    IPS ポリシーを選択します。

    トラフィックシェーピング

    トラフィックシェーピングポリシーを選択し、帯域幅を保証または制限します。

    既知のユーザーを一致」を選択した場合は、指定したユーザーのトラフィックシェーピングポリシーが適用されます。ユーザーポリシーがない場合は、グループポリシーが適用されます。

    DSCP マーキング

    パケットの優先度を示す DSCP マーキング のレベルを選択します。 詳細については、DSCP 値を参照してください。

    Expedited forwarding (EF: 完全優先転送): 遅延やパケットロスを防止する優先度付きキュー。リアルタイムサービスに最適です。

    Assured forwarding (AF: 相対的優先転送): 必ず配信されますが、混雑した場合にはパケットが破棄されます。ベストエフォートよりも高い優先度が付きます。

    Class selector (CS: クラスセレクタ): ToS (Type of Service) に転送の優先度 (IP Precedence) を使用するネットワークデバイスと下位互換性があります。

  12. メールコンテンツをスキャンするには、IMAP、IMAPS、POP3、POP3S、SMTP、および SMTPS のプロトコルを選択します。

    ここでプロトコルを選択し、その標準ポートをこのルールでサービスに追加していない場合は、Add portsを選択します。選択したプロトコルの標準ポートがサービスに追加されます。

  13. 保存」をクリックします。