セキュリティポリシーでblockリストとallowリストを同時に利用する方法を教えてください。

DSIGW, 仕様, 構築, 運用

2022年9月27日 (2022年9月27日:更新)

任意のURLリストを作成し、優先順位をつけてフィルタリングを行いたい場合、下記例のような設定を行うことができます。

・設定方法1: URLフィルタリングプロファイルでフィルタする設定手順
・設定方法2: セキュリティポリシーのカテゴリ欄でフィルタする設定手順(非推奨)

設定方法1: URLフィルタリングプロファイルでフィルタする設定手順

STEP1 カスタムURLカテゴリを作成する

blockリスト、allowリストそれぞれに対応するカスタムURLカテゴリを作成し、URLを個別に登録する。ここではblockリスト用のカテゴリをblock_category、allowリスト用のカテゴリをallow_categoryとする。

Step2 URLフィルタリングプロファイルを作成する

URLフィルタリングプロファイルを作成する。こちらもカスタムURLカテゴリ同様、blockリスト用のものとallowリスト用のもので二種類使用するため、ここではblock_filterとallow_filterを作成する。それぞれ対応するカスタムURLカテゴリに適用したいアクションを設定する。


Step3 セキュリティポリシーを設定する

block_policyとallow_policyの二つを作成する。

block_policyの設定内容
ポリシー名: block_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: block_category
アクション: allow
URLフィルタリングプロファイル: block_filter
(注意: URLフィルタリングプロファイルでブロックするため、セキュリティポリシルールのアクションは’allow’を選択してください)

allow_policyの設定内容
ポリシー名: allow_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: allow_category
アクション: allow
URLフィルタリングプロファイル: allow_filter

セキュリティポリシールールは上から順に評価されるため、上記図の順に並んでいない場合はセキュリティポリシーの配置を調整する。
allowリストの処理をblockリストよりも優先したい場合、allow_policyはblock_policyの上に配置する。blockリストの処理をallowリストよりも優先したい場合、allow_policyはblock_policyの下に配置する。
なお、block_categoryおよびallow_categoryに含まれない宛先への通信はこれらのセキュリティポリシーにマッチしないため、必要に応じて別途セキュリティポリシーを設定することで管理する。
コンフィグ反映操作を行い、設定を完了する。以降、URLリストに変更を加えたい場合はカスタムURLカテゴリの中身を編集する。

設定方法2: セキュリティポリシーのカテゴリ欄でフィルタする設定手順(非推奨)

一部手順はURLフィルタリングでblockする場合と共通だが、URLフィルタリングプロファイルを使用しない点で異なる。

STEP1 カスタムURLカテゴリを作成する

blockリスト、allowリストそれぞれに対応するカスタムURLカテゴリを作成し、URLを個別に登録する。ここではblockリスト用のカテゴリをblock_category、allowリスト用のカテゴリをallow_categoryとする。

Step2 セキュリティポリシーを設定する

block_policyとallow_policyの二つを作成する。

block_policyの設定内容
ポリシー名: block_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: block_category
アクション: deny

allow_policyの設定内容
ポリシー名: allow_policy
送信元IPリスト: any
宛先IPリスト: any
宛先ポートリスト: any
カスタムURLカテゴリリスト: allow_category
アクション: allow

allowリストの処理をblockリストよりも優先したい場合、allow_policyはblock_policyの上に配置する。blockリストの処理をallowリストよりも優先したい場合、allow_policyはblock_policyの下に配置する。
なお、block_categoryおよびallow_categoryに含まれない宛先への通信はこれらのセキュリティポリシーにマッチしないため、必要に応じて別途セキュリティポリシーを設定することで管理する。
コンフィグ反映操作を行い、設定を完了する。

関連するページ

2021年7月19日

Wasabiにおいてユーザーに特定バケットへのアクセス権のみを付与できますか?

Wasabiオブジェクトストレージ, 仕様

2022年6月1日

SDPF Web明細【2021年10月以前の明細形式】の提供終了について

IoT, クラウド/サーバー, データ利活用, ネットワーク, 仕様, 全般, 料金

2022年9月1日

(再度のご案内)SDPF Web明細【2021年10月以前の明細形式】の提供終了について

IoT, クラウド/サーバー, ネットワーク, 仕様, 全般, 料金

2022年11月1日

(再度のご案内)SDPF Web明細【2021年10月以前の明細形式】の提供終了について

IoT, クラウド/サーバー, ソリューション, データ利活用, ネットワーク, 仕様, 全般, 料金