8.4. Policies

ポリシーの追加、変更、削除の手順について説明します。
PoliciesではセキュリティポリシーとSSL復号化用ポリシーの作成、変更、削除を行うことができます。

8.4.1. 注意事項、前提条件

  • 各変更手順にて注意事項・前提条件をご確認ください。

  • 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。

  • 設定変更後、0系/1系で必ずコミットを実施してください。

  • 設定変更後、FRAクライアントソフトを再接続すると設定が反映されます。

  • FRAポータルで主に使用するゾーンの概要について以下に記載します。
    【ゾーン】
    VPN:VPN接続ユーザーに払い出されるIPアドレスが所属するインターフェイス
    VPNINET:VPN接続後FRAから直接インターネットに通信する際に利用するインターフェイス
    VPNFIC:VPN接続後FIC-Connection向けに通信する際に利用するインターフェイス

8.4.3. お申し込みの流れ、全体説明

図8.4.3.1. 設定変更の流れ

8.4.4. セキュリティポリシーを作成する

8.4.4.1. 注意事項、前提条件

  • ポリシーの変更はUSER-VPN-to-VPNFICまたはUSER-VPN-to-VPNINETのみ可能です。作成する場合は、変更可能なルールの間または直上直下に設定してください。

  • セキュリティポリシーは一番上から順番に評価されます。例えば本来実行させたい許可ポリシーの上に拒否ポリシーがある場合、拒否ポリシーが優先されるため許可ポリシーが実行されません。
    セキュリティポリシーの登録順序に注意してください。

  • ポリシーを作成する際は必要な通信先のみ許可するなど、最小限の設定にして頂くことを推奨します。

8.4.4.2. 事前に準備いただくもの

なし

8.4.4.3. セキュリティポリシーの作成手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ①[Policies]をクリックします。
    ②[セキュリティ]をクリックします。
    ③[追加]をクリックします。

図8.4.4.3.1. Policies画面

  1. [全般]の以下の項目を入力します。

図8.4.4.3.2. セキュリティポリシールール(全般)

表 8.4.4.3.1. [全般]で変更可能な項目

項番

項目

説明

1

名前

任意の名前を入力します。

2

内容

作成したポリシーの説明を記載します。

3

監査コメント

ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。

  1. [送信元]の以下の項目を選択します。

図8.4.4.3.3. セキュリティポリシールール(送信元)

表 8.4.4.2. [送信元]で変更可能な項目

項番

項目

説明

1

送信元ゾーン

通信の送信元ゾーンを指定します。すべてのゾーンを対象にする場合はいずれかにチェックをします。特定のゾーンを送信元に指定する場合は[追加]をクリックし対象のゾーンを選択します。

2

送信元アドレス
通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

3

送信元ユーザー

通信の送信元ユーザーまたはユーザーグループを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。

4

送信元デバイス

HIP機能を使用する場合に[追加]をクリックし対象のHIPプロファイルを選択します。HIPプロファイルを使用しない場合はanyを選択します。

  1. [宛先]の以下の項目を選択します。

図8.4.4.3.4. セキュリティポリシールール(宛先)

表 8.4.4.3.3. [宛先]で変更可能な項目

項番

項目

説明

1

宛先ゾーン

通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は[追加]をクリックし対象のゾーンを選択します。

2

宛先アドレス
通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

  1. [アプリケーション]の以下の項目を選択します。

図8.4.4.5. セキュリティポリシールール(アプリケーション)

表 8.4.4.3.4. [アプリケーション]で変更可能な項目

項番

項目

説明

1

アプリケーション

通信で使用するアプリケーションを指定します。すべてのアプリケーションを対象にする場合はいずれかにチェックをします。特定のアプリケーションを対象に指定したい場合は[追加]をクリックし対象のアプリケーションを選択します。

2

次に依存

特定のアプリケーションを指定する場合、指定したアプリケーションに関連するアプリケーションを同時に指定する必要があります。依存関係にあるアプリケーションにチェックを入れます。

注釈

  1. [サービス/URLカテゴリ]の以下の項目を選択します。

図8.4.4.3.6. セキュリティポリシールール(サービス/URLカテゴリ)

表 8.4.4.3.5. [サービス/URLカテゴリ]で変更可能な項目

項番

項目

説明

1

サービス

通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は[追加]をクリックし対象のサービスを選択します。

2

URLカテゴリ

URLカテゴリに設定したいカテゴリを指定します。

  1. [アクション]の以下の項目を選択します。

図8.4.4.3.7. セキュリティポリシールール(アクション)

表 8.4.4.3.6. [アクション]で変更可能な項目

項番

項目

説明

1

アクション設定

通信を許可する場合はallowを選択します。通信を拒否する場合はdenyを選択します。その他のアクションは選択しないでください。

2

ログ設定

通信開始時のログを記録したい場合はセッション開始時にログにチェックをします。通信終了時のログを記録したい場合はセッション終了時にログにチェックをします。通信の開始/終了を記録したい場合は両方にチェックをします。Syslogサーバーにログを転送する場合はログ転送からログ転送プロファイルを選択します。

3

プロファイル設定
UTM機能(アンチウイルス/アンチスパイウェア/脆弱性防御(IDS/IPS))を使用する場合は以下のプロファイルタイプから使用したいプロファイルを選択します。
アンチウイルス :FRA-Antivirus-Strict/FRA-Antivirus-Medium/FRA-Antivirus-LogOnly
アンチスパイウェア :FRA-Antispyware-High/FRA-Antispyware-Medium/FRA-Antispyware-Low/FRA-Antispyware-LogOnly
脆弱性防御(IDS/IPS) :FRA-IPS-High/FRA-IPS-Medium/FRA-IPS-Low/FRA-IPS-Log-Only/FRA-IDS-High/FRA-IDS-Medium/FRA-IDS-Low
URLフィルタリングはdefaultか作成したURLフィルタリングプロファイルを選択します。
推奨設定を設定したい場合は 「4.2. UTM機能の推奨設定をする」 を参照してください。

  1. [OK]ボタンを押下します。

図8.4.4.3.8. セキュリティポリシールール(アクション)

  1. ➀追加したポリシーを選択します。
    ➁画面下部の[移動]をクリックします。
    ➂[上へ]をクリックし変更可能なルールの間または直上直下に移動します。

図8.4.4.3.9. ルール移動

  1. 以下のように変更可能なルールの直上に移動しポリシーの移動が完了となります。

図8.4.4.3.10. ルール移動完了後の画面

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.5. セキュリティポリシーを変更する

8.4.5.1. 注意事項、前提条件

  • ポリシーの変更はUSER-VPN-to-VPNFICまたはUSER-VPN-to-VPNINETのみ可能です。変更したポリシーを移動する際は変更可能なルールの間または直上直下に設定してください。

  • ポリシーを変更する際は必要な通信先のみ許可するなど、最小限に設定して頂くことを推奨します。

8.4.5.2. 事前に準備いただくもの

なし

8.4.5.3. セキュリティポリシーの変更手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ①[Policies]をクリックします。
    ②[セキュリティ]をクリックします。
    ③変更対象のポリシー名をクリックします。

図8.4.5.3.1. Policies画面

  1. 変更内容を入力し[OK]ボタンを押下します。

図8.4.5.3.2. ポリシー変更

  1. ➀変更したポリシーを選択します。
    ➁画面下部の[移動]をクリックします。
    ➂[上へ]または[下へ]をクリックし変更可能なルールの間または直上直下に移動します。

図8.4.5.3.3. ルール移動

  1. 以下のように変更可能なルールの間または直上直下に移動しポリシーの移動が完了となります。

図8.4.5.3.4. ルール移動完了後の画面

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.6. セキュリティポリシーを削除する

8.4.6.1. 注意事項、前提条件

  • お客様自身で作成したポリシーとUSER-VPN-to-VPNFIC、USER-VPN-to-VPNINET以外は削除しないでください。

8.4.6.2. 事前に準備いただくもの

なし

8.4.6.3. セキュリティポリシーの削除手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ①[Policies]をクリックします。
    ②[セキュリティ]をクリックします。
    ③削除対象のポリシーをクリックします。

図8.4.6.3.1. Policies画面

  1. [削除]をクリックします。

図8.4.6.3.2. [削除]ボタン

  1. 確認画面が表示されますので[はい]ボタンを押下します。

図8.4.6.3.3. ポリシー削除確認

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.7. セキュリティポリシーを有効化または無効化する

8.4.7.1. 注意事項、前提条件

  • お客様自身で作成したポリシーとUSER-VPN-to-VPNFIC、USER-VPN-to-VPNINET以外は無効化しないでください。

8.4.7.2. 事前に準備いただくもの

なし

8.4.7.3. セキュリティポリシーの有効化・無効化手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ①[Policies]をクリックします。
    ②[セキュリティ]をクリックします。
    ③有効化または無効化対象のポリシーをクリックします。

図8.4.7.3.1. Policies画面

  1. 有効化したい場合は[有効化]、無効化したい場合は[無効化]をクリックします。

図8.4.7.3.2. [有効化・無効化]ボタン

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.8. SSL復号化用ポリシーを作成する

8.4.8.1. 注意事項、前提条件

  • 作成したポリシーを移動する際はFRA-Dec-UserPortalより下に設定してください。

8.4.8.2. 事前に準備いただくもの

なし

8.4.8.3. SSL復号化用ポリシーの作成手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ➀[Policies]をクリックします。
    ➁[復号]をクリックします。
    ➂[追加]をクリックします。

図8.4.8.3.1. Policiesタブ

  1. [全般]の以下の項目を入力します。

図8.4.8.3.2. 復号ポリシールール(全般)

表 8.4.8.3.1. [全般]で設定可能な項目

項番

項目

設定値

1

名前

任意の名前を入力します。

2

内容

作成した復号ポリシーの説明を記載します。

3

監査コメント

ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。

  1. [送信元]の以下の項目を選択します。

図8.4.8.3.3. 復号ポリシールール(送信元)

表 8.4.8.3.2. [送信元]で設定可能な項目

項番

項目

設定値

1

送信元ゾーン

VPNを指定します。

2

送信元アドレス
通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

3

送信元ユーザー

通信の送信元ユーザーまたはユーザーグループ指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。

  1. [宛先]の以下の項目を選択します。

図8.4.8.3.4. 復号ポリシールール(宛先)

表 8.4.8.3.3. [宛先]で設定可能な項目

項番

項目

設定値

1

宛先ゾーン

通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は[追加]をクリックし対象のゾーンを選択します。

2

宛先アドレス
通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

  1. [サービス/URLカテゴリ]の以下の項目を選択します。

図8.4.8.3.5. 復号ポリシールール(サービス/URLカテゴリ)

表 8.4.8.3.4. [サービス/URLカテゴリ]で設定可能な項目

項番

項目

設定値

1

サービス
通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は[追加]をクリックし対象のサービスを選択します。
サービスの追加手順については 「8.5.4. サービスを追加する」 を参照してください。

2

URLカテゴリ

「8.5.13. URLカテゴリを追加する」 を参照してください。
  1. ➀オプションタブの以下の項目を選択します。
    ➁入力が完了したら[OK]ボタンを押下します。

図8.4.8.3.6. 復号ポリシールール(オプション)

表 8.4.8.3.5. [オプション]で設定可能な項目

項番

項目

設定値

1

アクション

復号なし/復号のいずれかにチェックします。復号しない場合は復号なしにチェックし、復号する場合は復号にチェックします。

2

タイプ

SSLフォワードプロキシを選択します。

3

復号プロファイル

復号プロファイルを選択します。
  1. ➀追加したポリシーを選択します。
    ➁画面下部の[移動]をクリックします。
    ➂[上へ]をクリックしFRA-Dec-UserPortalより下の任意の位置に移動します。

図8.4.8.3.7. ルール移動

  1. ポリシーの移動が完了となります。

図8.4.8.3.8. ルール移動完了後の画面

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.9. SSL復号化用ポリシーを変更する

8.4.9.1. 注意事項、前提条件

  • ポリシーの変更はFRA-Dec-UserPortal以外のポリシーが可能です。変更したポリシーを移動する際はFRA-Dec-UserPortalより下に設定してください。

8.4.9.2. 事前に準備いただくもの

なし

8.4.9.3. SSL復号化用ポリシーの変更手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ➀[Policies]をクリックします。
    ➁[復号]をクリックします。
    ➂変更対象のポリシー名をクリックします。

図8.4.9.3.1. Policiesタブ

  1. 変更内容を入力し[OK]ボタンを押下します。

図8.4.9.3.2. 復号ポリシールール変更

  1. ➀変更したポリシーを選択します。
    ➁画面下部の[移動]をクリックします。
    ➂いずれかをクリックしFRA-Dec-UserPortalより下の任意の位置に移動します。

図8.4.9.3.3. ルール移動

  1. ポリシーの移動が完了となります。

図8.4.9.3.4. ルール移動完了後の画面

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.10. SSL復号化用ポリシーを削除する

8.4.10.1. 注意事項、前提条件

  • FRA-Dec-UserPortalは削除しないでください。

8.4.10.2. 事前に準備いただくもの

なし

8.4.10.3. SSL復号化用ポリシーの削除手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ➀[Policies]をクリックします。
    ➁[復号]をクリックします。
    ➂削除対象のポリシーをクリックします。

図8.4.10.3.1. Policiesタブ

  1. [削除]をクリックします。

図8.4.10.3.2. [削除]ボタン

  1. 確認画面が表示されますので[はい]ボタンを押下します。

図8.4.10.3.3. 復号ポリシールール削除確認

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.4.11. SSL復号化用ポリシーを有効化または無効化する

8.4.11.1. 注意事項、前提条件

  • FRA-Dec-UserPortalは無効化しないでください。

8.4.11.2. 事前に準備いただくもの

なし

8.4.11.3. SSL復号化用ポリシーの有効化・無効化手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ➀[Policies]をクリックします。
    ➁[復号]をクリックします。
    ➂有効化または無効化対象のポリシーをクリックします。

図8.4.11.3.1. Policiesタブ

  1. 有効化したい場合は[有効化]、無効化したい場合は[無効化]をクリックします。

図8.4.11.3.2. [有効化・無効化]ボタン

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

8.3. Monitor
8.5. Objects