UTM機能(セキュリティポリシールール)の設定をする

セキュリティポリシールールの新規追加手順について説明します。

手順

  1. 操作対象のセルグループを左ペインの「セルグループ情報」ドロップダウンリストから選択します。
  2. 左ペインの「セキュリティポリシールール」を選択します。
fsg_console
  1. 「新規追加」を選択します。
fsg_console
  1. 各項目を記載し「確認」を選択します。
fsg_console
  • 1セルグループに登録可能なセキュリティポリシールールは最大1,000件です
項目 最大数 説明
名前
1~31文字
半角アルファベット、"0-9"、"_"、"-" 文字列長1~31文字
同一セルグループ内でnameの重複は不可能
セキュリティポリシールールの名前
ログ 最大1件 作成するセキュリティポリシールールのログの取得について ログなし / ログあり から選択
送信元IPアドレス(条件設定)
最大100件
any、CIDRまたは範囲指定
例) 192.168.0.0/16 10.0.0.0-10.1.0.0
通信の送信元のIPアドレス
セキュリティグループ(条件設定) 最大100件
作成するセキュリティポリシールールを適用するセキュリティグループを選択
選択可能なセキュリティグループは 「AD連携設定」の「Active Directory」 画面で登録することができます
宛先IPアドレス(条件設定)
最大100件
any、CIDRまたは範囲指定
例) 192.168.0.0/16 10.0.0.0-10.1.0.0
通信の宛先のIPアドレス
宛先TCPポート(条件設定)
最大500件
any,ポート番号または範囲を指定
例: 80, 443, 8080, 100-200
宛先TCPポートと宛先UDPポートはどちらかは必須で入力してください
any指定の場合、通信可能なポートは1-65534(ポート番号65535指定不可)
宛先TCPポートと宛先UDPポートはどちらかは必須で入力してください
1-65534の範囲または any指定可能(anyを指定した場合に通信可能なポート範囲は1-665534)
※ 65535ポートへの通信不可
宛先UDPポート(条件設定)
最大500件
any,ポート番号または範囲を指定
例: 80, 443, 8080, 100-200
any指定の場合、通信可能なポートは1-65534(ポート番号65535指定不可)
宛先TCPポートと宛先UDPポートはどちらかは必須で入力してください
1-65534の範囲または any指定可能(anyを指定した場合に通信可能なポート範囲は1-665534)
※ 65535ポートへの通信不可
カスタムURLカテゴリ/URLカテゴリリスト(条件設定)
カスタムURLカテゴリ: 最大100件
URLカテゴリリスト: 69件 (システムで定義)
お客様が定義したカスタムURLカテゴリまたはFSGとして定義されたURLカテゴリから選択
アプリケーションリスト(条件設定) 最大1件 any(デフォルト) のみ選択可能
アクション(条件設定) 最大1件 ポリシーに合致する通信に対する動作を allow / deny から選択
アンチウイルスプロファイル(プロファイル) 最大1件 アンチウイルスプロファイルに合致する通信に対する動作を ブロック(推奨) / ログのみ / 無効 から選択
IDS/IPSプロファイル(プロファイル) 最大1件 IDS/IPSプロファイルに合致する通信に対する動作を IPS高/中(推奨)/低 / IDS高/中/低 / 無効 から選択
アンチスパイウェアプロファイル(プロファイル) 最大1件 アンチスパイウェアプロファイルに合致する通信に対する動作を 高 /中(推奨)/ 低 / ログのみ / 無効 から選択
URLフィルタリングプロファイル(プロファイル) 最大1件 サービス推奨のデフォルトポリシー(recommended)、あるいは、個別に設定するURLフィルタリングプロファイルを選択
ファイルブロッキングプロファイル(プロファイル) 最大1件 ファイルブロッキングプロファイルに合致する通信に対する動作を 高 / 低 / ログのみ(推奨) / 無効 から選択
Wildfireプロファイル(プロファイル) 最大1件 Wildfire(サンドボックス機能)を適用する通信方向を 双方向(推奨) / ダウンロードのみ / 無効 から選択

注釈

  • セキュリティポリシールールの評価は上から順に行います
  • 通信に対してセキュリティポリシールールの条件設定を評価した後、プロファイル設定の評価を実施します
  • 条件設定にヒットしない通信に対してはプロファイル設定の評価は実施しません
  • 画面に表示されていませんが、FSGサービスでは全ての通信をblockする設定が一番下に設定されています。
    通信を許可する必要のある通信はお客様側で設定していただく必要がございます。
  1. IDS/IPSプロファイル、アンチスパイウェアプロファイルは下記を参考に設定してください。
fsg_console
  1. URLフィルタリングプロファイルは下記を参考に設定してください。
プロファイル 説明
デフォルト設定(プロファイル名recommended)
  • 全URLカテゴリの中でセキュリティおよび業務に関わる推奨カテゴリに属するWebサイトへの通信をブロックします。
  • 「コマンドアンドコントロール(C&C)」「パークドメイン」「ピアツーピア」「プロキシ回避と匿名プロキシ」「ドラッグ」「アダルト」「ギャンブル」「ハッキング」「マルウェア」「フィッシング」「疑わしいサイト」「兵器」「ランサムウェア」をブロックします。
  • 上記以外のカテゴリはalertのアクションを実行します。
個別設定 個別に各カテゴリのアクションが指定可能です。
fsg_console
  1. 記載した項目を確認し「実行」を選択します。
fsg_console
  1. 処理中のポップアップ画面が表示されます。
fsg_console
  1. 処理完了後、ポップアップ画面が表示されます。「OK」を選択します。
fsg_console

コンフィグ反映

  1. メニューバーの「コンフィグ反映」ボタンを押下してセルに設定を反映してください。 コンフィグ反映手順