2.1.8. ファイアウォール ポリシーの設定

2.1.8.1. ファイアウォール ポリシー 初期値

初期状態で ファイアウォール ポリシー は設定されていない為、お客さまの環境に応じて設定してください。

2.1.8.2. ファイアウォール ポリシー 設定項目

ファイアウォール ポリシー の設定項目は、以下の通りです。

項目

説明

ID

(自動付与)
作成順に付与されるIDです。編集できません。
並び順ではない点に注意してください。

Move rule

No Move または Move before または Move after
このポリシーの並び順を指定します。
Move before と Move afterを選択すると[move_index]という項目の入力が求められます。

  • No Move:既存のポリシーの下に追加

  • Move before:[move_index]で指定したIDの上にこのポリシーを挿入

  • Move after:[move_index]で指定したIDの下にこのポリシーを挿入

[変更を保存]で設定を適用するまでは、追加したポリシーが一番下に表示されます。
[変更を保存]後、ポリシーはインターフェイスの組み合わせごとに、指定した順番に並びます。

Enable

□ または ✔

チェックするとこのポリシーを有効にします。

Incoming Interface

Port[4-10]

このポリシーの通信方向として、入ってくるインターフェイスを選択します。

Source Address

(Address ObjectまたはAddress Group)

このポリシーを適用する送信元アドレスを選択します。

Outgoing Interface

Port[4-10]

このポリシーの通信方向として、出ていくインターフェイスを選択します。

Destination Address Type

(Address ObjectまたはNAT Object)

このポリシーを適用する宛先のタイプを選択します。

  • Address Object:Outgoing Interfaceで指定したPortにアサインされたアドレスから選択する

  • NAT Object:Incoming Interfaceで指定したPortと同じPortがExternal Interfaceとして登録されたDestination NATオブジェクトから選択する

Service

(Service ObjectまたはService Group)

このポリシーを適用するサービスを選択します。

Action

ACCEPTまたはDENY
このポリシーを適用する通信に対するアクションを選択します。

  • ACCEPT:通信を許可する(UTM機能で処理する)

  • DENY:通信を拒否する(UTM機能で処理しない)

DENYを選択すると、NATとUTM機能を設定できません。

NAT

□ または ✔

チェックするとSource NATの指定を有効にします。

Log

ALLまたはDisableまたはSecurity Log
このポリシーに合致したときログをどうするかを選択します。

  • ALL:通信のログとUTM機能のログを有効にする

  • Disable:ログを無効にする

  • Security Log:UTM機能のログだけ有効にする(通信のログは記録されない)

尚、ActionがDENYの場合以下の仕様となります。

  • ALL:通信のログのみ有効になる

  • Disable:ポリシーに合致し破棄された通信のログは出力される

  • Security Log:選択不可となる

Antivirus ( Managed UTM のみ有効)

(Antivirusプロファイル)

ActionをACCEPTとしたとき有効にするアンチウイルス機能のプロファイルを選択します。

IPS ( Managed UTM のみ有効)

(既定のIPSプロファイル)
ActionをACCEPTとしたとき有効にするIDS/IPS機能のプロファイルを選択します。

  • IDS_Monitor:検知する(ブロックしない)

  • IPS_Block:検知してブロックする

Web Filter ( Managed UTM のみ有効)

(Web Filterプロファイル)

ActionをACCEPTとしたとき有効にするウェブ フィルター機能のプロファイルを選択します。

Spam Filter ( Managed UTM のみ有効)

(Spam Filterプロファイル)

ActionをACCEPTとしたとき有効にするスパム フィルター機能のプロファイルを選択します。

Scan Ports ( Managed UTM のみ有効)

(Scan Portsプロファイル)

ActionをACCEPTとしたとき有効にするアンチウイルス機能、ウェブ フィルター機能、スパム フィルター機能の、スキャン対象ポートのプロファイルを選択します。

Comment

(半角英数字)
コメントをつけたい場合は入力します。
255文字以内で、日本語など2バイトの文字は使用できません。

NATをチェックした場合の追加設定項目は、以下の通りです。

項目

説明

NAT mode

Use Outgoing Interface AddressまたはUse NAPT Object
NATのモードを選択します。

  • Use Outgoing Interface Address:前述のOutgoing Interfaceで指定したポートに付与されたIPアドレスを使用する

  • Use NAPT Object:あらかじめ定義したSource NATから送信元となるアドレス プールを選択して使用する

NAPT Object

(Source NATオブジェクト)

NATのモードで[Use NAPT Object]を選択した場合は、Source NATオブジェクトを選択します。

注釈

HA構成の場合、Use Outgoing Interface Addressは選択できません。そのため、NAT modeは表示されません。HA構成でSourceNATを実施される場合は、SourceNATオブジェクトを作成のうえ、「NAPT Object」にてご指定ください。



2.1.8.3. ファイアウォール ポリシー 追加

  1. 画面左側のオブジェクト画面から Firewall Policy をクリックします。

    Firewall Policy ‣ Firewall Policy

    画面右側の Firewall Policy 画面で[オブジェクトを追加]をクリックします。
ClickAdd

  1. 設定値を入力して、[保存]をクリックします。 設定項目の詳細は、 ファイアウォール ポリシー 設定項目 を参照してください。

saveconfig

注釈

  • ファイアウォール ポリシーは上から順に判定し、合致するものがあればそのポリシーを適用する(それより下のポリシーでは判定されない)ので、ポリシーの並び順に注意してください。IDはポリシーの作成順であり並び順を示しません。

  • ポリシーのオブジェクト画面で[Move befor/Move after]を指定しても[変更を保存]で設定を適用するまで画面上の並び順は追加順のまま表示されます。

  • UTM Functionは Managed UTM 利用時のみ表示されます。


  1. [変更を保存]をクリックして、設定をデバイスへ適用します。

save


2.1.8.4. ファイアウォール ポリシー 変更(編集/移動/複製/削除)

  1. 画面左側のオブジェクト画面からFirewall Policy をクリックします。

    Firewall Policy ‣ Firewall Policy

    画面右側のFirewall Policy画面で変更対象の行を選択して、操作内容に応じてボタンをクリックします。

changeconfig

ボタン

説明

編集

選択した ファイアウォール ポリシー の設定を変更します。

行を削除

選択した ファイアウォール ポリシー を削除します。

Duplicate
選択した ファイアウォール ポリシー を複製して、同じ設定値が入力されたファイアウォール ポリシー設定画面が開きます。
同じような値で別の ファイアウォール ポリシー を定義したいときに便利です。

注釈

  • ファイアウォール ポリシーは上から順に判定し、合致するものがあればそのポリシーを適用する(それより下のポリシーでは判定されない)ので、ポリシーの並び順に注意してください。IDはポリシーの作成順であり並び順を示しません。

  • ポリシーのオブジェクト画面で[Move befor/Move after]を指定しても[変更を保存]で設定を適用するまで画面上の並び順は追加順のまま表示されます。

  • UTM Functionは Managed UTM 利用時のみ表示されます。


削除の場合、確認メッセージが表示されます。本当に削除する場合は[OK]をクリックしてください。

deleteconfig

  1. [変更を保存]をクリックして、設定をデバイスへ適用します。

save
2.1.7.5. IPS(IPS機能のプロファイル)
2.1.9. Pingリクエストの応答設定