コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=web-policies

ポリシー

Web ポリシーには、エンドユーザーの Web 閲覧アクティビティを制御するルールを指定することができます。

このポリシーはファイアウォールルールに追加すると有効になります。デフォルトのポリシーセットには、一般的な制限が指定されています。独自の要件を満たすようにするには、デフォルトのポリシーの 1つを変更するか、または新しいポリシーを作成します。

  • ポリシーを編集するには、変更したいポリシーを見つけて、「編集」「編集」ボタン。 をクリックします。
  • ポリシーのテストやトラブルシューティングを実行するには、「ポリシーテスター」をクリックします。

ポリシールール

ルールは次の条件を指定します。

  • ルールを適用するユーザー。

    ファイアウォールルールに指定されているユーザーが、ポリシーに指定されているユーザーよりも優先されます。

  • 使用の制限を説明するアクティビティ。これらには、ユーザーアクティビティ、カテゴリ、URL グループ、ファイル形式、動的カテゴリが含まれます。

  • 特定の単語を含む Web コンテンツを制限するコンテンツフィルタ。
  • ファイアウォールルールの条件に一致する HTTP トラフィックを検出した時の処理。

HTTPS トラフィックに適用するアクションを別に指定したり、ルールのスケジュールを設定することもできます。

ルールを有効にするには、オンにする必要があります。

  • ルールをオンにするには、「状態」スイッチをクリックします。
  • ルールをポリシーに追加するには、「追加」「追加」ボタン。 をクリックします。
  • ルールを複製するには、「複製」複製ボタン。 をクリックします。
  • ポリシー内でルールの配置を変えるには、ルールハンドル 「ルールハンドル」ボタン。 をクリックしてドラッグします。

ルールの配置

たとえば、すべてのトラフィックを許可するルールが特定の種類のトラフィックをブロックするルールよりも上に配置されている場合、すべてのトラフィックを許可するルールが有効なルールとなります。たとえば、すべてのトラフィックを許可するルールが特定の種類のトラフィックをブロックするルールよりも上に配置されている場合、すべてのトラフィックを許可するルールが有効なルールとなります。

次に例を示します。

以下のポリシーでは、.mdb ファイルのルールを個別に指定しています。このルールがデータベースファイルのルールの上に配置されているので、データベースファイルのうち .mdb だけはアクセスが許可されますが、.mdb 以外のデータベースファイルはブロックされます。

ルールの配置。

このサンプルポリシーにカテゴリブロックを追加する場合は、.mdb ファイルの許可ルールの上に追加する必要があります。以下のポリシーでは、Peer-to-peer & torrents カテゴリへのアクセスをブロックし、それ以外の Web サイトからの .mdb ファイルへのアクセスのみを許可しています。

Web カテゴリの配置。

警告

ファイルの種類を許可するルールの下にカテゴリブロックルールを配置すると、ファイアウォールは次の処理を行います。

  • 許可ルールは最初に評価されるため、任意の Web サイトからの .mdb ファイルへのアクセスが許可されます。
  • DPI エンジンを使用する場合、ファイアウォールは Peer-to-peer & torrents の Web サイトへの接続をいったん許可したうえで、ファイル形式が .mdb であるかどうかをチェックします。.mdb ファイルでない場合、接続は破棄され、ブロックページは表示されません。

ポリシークォータ

制限事項

DPI モードは、ポリシークォータをサポートしていません。ポリシークォータを使用する場合は、Web プロキシモードを使用する必要があります。

クォータを使用すると、制限された Web サイトへのアクセスを一定時間、許可できます。これは、クォータアクションが適用されたポリシーで制限されているすべての Web カテゴリに適用されます。クォータは、Web ポリシー内のすべてのルールに適用されます。ユーザーには、Web ポリシーごとに個別のクォータを設定できます。

クォータを変更しても、以下の場合は変更が適用されません: Web ポリシーが無効な場合、ユーザーにクォータが残っていない場合、Web ポリシーにアクティブなクォータセッションがある場合。

クォータの詳細:

  • クォータトラフィックが、アクションが「拒否」に設定された SSL/TLS インスペクションルールと一致する場合、クォータは有効にならず、Web サイトは引き続きブロックされます。これを回避するには、「Web > 例外」に移動して例外を作成し、条件に一致したときに HTTPS 復号化をスキップするようにします。
  • 残りのクォータを確認してリセットするには、「Web > ポリシーのクォータのステータス」に移動します。
  • クォータ通知ページをカスタマイズするには、「Web > ユーザー通知」に移動します。

ポリシー無効化時間割り当て (クォータ): Web ポリシーの無効化を許可されたユーザーは、クォータを使用する代わりに、ユーザーポータルにサインインして、通常は Web ポリシーによってブロックされる Web サイトへの一時的なアクセスを自ら許可することができます。ポリシーオーバーライドを使用する場合、クォータは適用されません。

ユーザーのアクション: ユーザーが時間割り当てで制限されたページにアクセスしようとすると、クォータブロックページが表示されます。使用するクォータを指定し、「続行」を選択できます。クォータを使用しない場合は、「前のページへ戻る」を選択する必要があります。期間の終了時にブロックページが再表示されます。ユーザーがクォータを超えると、時間クォータが残っていないことを示すメッセージが表示されます。

その他のリソース