セキュリティポリシーでblockリストとallowリストを同時に利用する方法を教えてください。

FSG, 構築

2022年9月27日 (2024年8月6日:更新)

任意のURLリストを作成し、優先順位をつけてフィルタリングを行いたい場合、下記例のような設定ができます。

・設定方法1: URLフィルタリングプロファイルでフィルタする設定手順
・設定方法2: セキュリティポリシーのカテゴリ欄でフィルタする設定手順(非推奨)

設定方法1: URLフィルタリングプロファイルでフィルタする設定手順

STEP1 カスタムURLカテゴリを作成します。

blockリスト、allowリストそれぞれに対応するカスタムURLカテゴリを作成し、URLを個別に登録します。

ここではblockリスト用のカテゴリをblock_category、allowリスト用のカテゴリをallow_categoryとしています。

Step2 URLフィルタリングプロファイルを作成します。

URLフィルタリングプロファイルを作成します。

こちらもカスタムURLカテゴリ同様、blockリスト用のものとallowリスト用のもので二種類使用するため、ここではblock_filterとallow_filterを作成します。それぞれ対応するカスタムURLカテゴリに適用したいアクションを設定します。


Step3 セキュリティポリシーを設定します。

block_policyとallow_policyの二つを作成します。

block_policyの設定内容
ポリシー名: block_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: block_category
アクション: allow
URLフィルタリングプロファイル: block_filter
(注意: URLフィルタリングプロファイルでブロックするため、セキュリティポリシールールのアクションは’allow’を選択してください)

allow_policyの設定内容
ポリシー名: allow_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: allow_category
アクション: allow
URLフィルタリングプロファイル: allow_filter

セキュリティポリシールールは上から順に評価されるため、上記図の順に並んでいない場合はセキュリティポリシーの配置を調整してください。
allowリストの処理をblockリストよりも優先したい場合、allow_policyはblock_policyの上に配置します。

blockリストの処理をallowリストよりも優先したい場合、allow_policyはblock_policyの下に配置します。
なお、block_categoryおよびallow_categoryに含まれない宛先への通信はこれらのセキュリティポリシーにマッチしないため、必要に応じて別途セキュリティポリシーを設定することで管理できます。
コンフィグ反映操作を行い、設定を完了します。以降、URLリストに変更を加えたい場合はカスタムURLカテゴリの中身を編集してください。

設定方法2: セキュリティポリシーのカテゴリ欄でフィルタする設定手順(非推奨)

一部手順はURLフィルタリングでblockする場合と共通だが、URLフィルタリングプロファイルを使用しない点で異なります。

STEP1 カスタムURLカテゴリを作成します。

blockリスト、allowリストそれぞれに対応するカスタムURLカテゴリを作成し、URLを個別に登録します。

ここではblockリスト用のカテゴリをblock_category、allowリスト用のカテゴリをallow_categoryとしています。

Step2 セキュリティポリシーを設定します。

block_policyとallow_policyの二つを作成します。

block_policyの設定内容
ポリシー名: block_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: block_category
アクション: deny

allow_policyの設定内容
ポリシー名: allow_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: allow_category
アクション: allow

allowリストの処理をblockリストよりも優先したい場合、allow_policyはblock_policyの上に配置します。

blockリストの処理をallowリストよりも優先したい場合、allow_policyはblock_policyの下に配置します。
なお、block_categoryおよびallow_categoryに含まれない宛先への通信はこれらのセキュリティポリシーにマッチしないため、必要に応じて別途セキュリティポリシーを設定することで管理できます。
コンフィグ反映操作を行い、設定を完了します。

関連するページ

2024年4月23日

FIC-Connection Portの申し込み/設定変更に関するよくある質問

Flexible InterConnect, 仕様, 構築

2023年12月12日解消済み

FRAクライアントソフトの無効化およびアンインストールに関する一部の設定が正常に動作しない不具合について

Flexible Remote Access

2024年7月30日

異なるWasabiアカウント間でレプリケーションを設定したい

Wasabiオブジェクトストレージ, クラウド/サーバー, 仕様, 構築

2023年8月25日

Juniper Networks社vSRXの脆弱性(JSA72300)に関するお知らせ

クラウド/サーバー