3.2. セキュリティポリシールールを作成する¶
3.2.1. 注意事項、前提条件¶
各変更手順にて注意事項・前提条件をご確認ください。
3.2.2. 事前に準備いただくもの¶
- カスタマイズしたプロファイル作成方法については 3.3.4. URLフィルタリングプロファイルを作成する および 3.4.4. アプリケーションフィルタリングプロファイルを作成する を参照してください。※プロファイルを作成しなくても設定することは可能です※URLフィルタリング設定ではデフォルトとしてNTT Com定義済みのプロファイルを利用することができます。
3.2.4. セキュリティポリシールールを作成する¶
SDPFポータルメニューより、「vUTM2」を選択しvUTMコンソールにアクセスします。
- ①左メニューの「vUTM一覧」から作成したvUTMリソースを選択します。➁左メニューの[セキュリティポリシールール設定]をクリックします。
図3.2.4.1. セキュリティポリシールール設定画面¶
「セキュリティポリシールール設定」画面の[追加]ボタンを押下します。
図3.2.4.2. [追加]ボタン¶
注釈
図3.2.4.3. プルダウンメニューの[設定をコピーして新規追加]ボタン¶
「セキュリティポリシールール追加」画面で以下の項目を入力または選択します。
図3.2.4.4. セキュリティポリシールール作成画面①¶
項番 |
項目 |
説明 |
1 |
ポリシールール名 |
任意のポリシールール名を入力します
|
2 |
FW設定 |
適合したトラフィックに対し、「許可」または「拒否」を選択します
|
3 |
送信元IPアドレス |
通信の送信元アドレスを指定します。すべてのアドレスを対象とする場合は「any」を選択します。特定のアドレスを指定したい場合は「custom」を選択し、対象のIPアドレスを入力します。IPアドレスは以下のアドレスで最大10個まで指定することが可能です。
・ホストアドレス(Ex 192.168.1.1)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
・サブネットマスク(Ex 192.168.1.1/32)
|
4 |
宛先IPアドレス |
通信の宛先アドレスを指定します。すべてのアドレスを対象とする場合は「any」を選択します。特定のアドレスを指定したい場合は「custom」を選択し、IPアドレスを入力します。IPアドレスは以下のアドレスで最大10個まで指定することが可能です。
・ホストアドレス(Ex 192.168.1.1)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
・サブネットマスク(Ex 192.168.1.1/32)
|
5 |
TCPポート |
TCPのポートを1~65535の範囲で指定します。すべてのTCPポートを対象とする場合は「any」と選択します。特定のポートを指定したい場合は「custom」を選択し、ポート番号を入力します。ポートはハイフンを使ってレンジで指定することも可能です。複数のポートを指定したい場合、最大50個指定することが可能です。
|
6 |
UDPポート |
UDPのポートを1~65535の範囲で指定します。すべてのUDPポートを対象とする場合は「any」と選択します。特定のポートを指定したい場合は「custom」を選択し、ポート番号を入力します。ポートはハイフンを使ってレンジで指定することも可能です。複数のポートを指定したい場合、最大50個指定することが可能です。
|
注釈
図3.2.4.7. [一括入力ダイアログが開きます]ボタン¶
図3.2.4.8. 一括入力画面¶
図3.2.4.5. セキュリティポリシールール作成画面➁¶
項番 |
項目 |
説明 |
1 |
アプリケーションフィルタリング |
アプリケーションフィルタリング設定で作成したプロファイルを選択します。アプリケーションフィルタリングを設定しない場合は「any」を選択します。
アプリケーションフィルタリングプロファイルの作成方法については 3.4.4. アプリケーションフィルタリングプロファイルを作成する を参照してください。
|
2 |
URLフィルタリング |
URLフィルタリング設定で作成したプロファイルを選択します。あらかじめ用意されているNTT Com定義済みのプロファイルを利用する場合は「デフォルト」を選択します。
URLフィルタリングプロファイルの作成方法については 3.3.4. URLフィルタリングプロファイルを作成する を参照してください。設定しない場合は「設定なし」を選択します。
|
3 |
IPS/IDS |
クライアントサーバーシステム上の脆弱性に対するネットワークを利用した攻撃を検出し通信制御を行います。セキュリティレベルに応じて、「IPS 高」「IPS 中」「IPS 低」「IPS ログのみ」「IDS 高」「IDS 中」「IDS 低」の中から一つプロファイルを選択します。設定しない場合は「無効」を選択します。
|
4 |
アンチウイルス |
アンチウイルス機能を有効にできます。セキュリティレベルに応じて、「中」「高」「ログのみ」の中から一つプロファイルを選択します。設定しない場合は「無効」を選択します。
|
5 |
アンチスパイウェア |
スパイウェアおよびマルウェアのネットワーク通信を検知し防御できます。セキュリティレベルに応じて、「中」「高」「低」「ログのみ」の中から一つプロファイルを選択します。設定しない場合は「無効」を選択します。
|
図3.2.4.6. セキュリティポリシールール設定画面③¶
項番 |
項目 |
説明 |
1 |
ログ設定 |
ポリシールールが適用された場合に、ログとして記録する場合は「有効」、記録しない場合は「無効」を選択します。
|
2 |
FW許可ログ設定 |
FW設定を許可にしたログを記録する場合は、「有効」、記録しない場合は「無効」を選択します。
※ログ設定が「無効」の場合、FW許可ログはチェックの有無に関わらず記録されません。FW許可ログを記録したい場合は必ずログ設定も「有効」にしてください。
|
3 |
有効/無効 |
ポリシー単位で有効/無効を選択することができます。
ポリシールールを有効にする場合は「有効」、無効にする場合は「無効」を選択します。
※すべてのセキュリティポリシールールを「無効」にすることはできません。
|
4 |
備考 |
ポリシールールの説明の用途として、任意の文字列を入力します。
|
注釈
入力が完了したら[確認]ボタンを押下します。
図3.2.4.9. [確認]ボタン
内容を確認し、[実行]ボタンを押下します。
図3.2.4.10. セキュリティポリシールールの確認¶
[OK]ボタンを押下します。
図3.2.4.11. 申し込み完了¶
「セキュリティポリシールール設定」画面でセキュリティポリシールールが追加されたことを確認します。
図3.2.4.12. 申し込み完了後の「セキュリティポリシールール設定」画面¶
左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
警告
セキュリティポリシールールの優先度を変更したい場合は、 3.2.5. セキュリティポリシールールの優先度を変更する を参照し優先度変更を行います。
左メニューの[コンフィグ反映]ボタンを押下します。
図3.2.4.13. [コンフィグ反映]ボタン¶
「コンフィグ反映」画面が表示されるので、[実行]ボタンを押下します。
図3.2.4.14. コンフィグ反映の確認¶
[OK]ボタンを押下します。
図3.2.4.15. 申し込み完了¶
3.2.5. セキュリティポリシールールの優先度を変更する¶
SDPFポータルメニューより、「vUTM2」を選択しvUTMコンソールにアクセスします。
- ①左メニューの「vUTM一覧」から作成したvUTMリソースを選択します。➁左メニューの[セキュリティポリシールール設定]をクリックします。
図3.2.5.1. セキュリティポリシールール設定画面¶
「セキュリティポリシールール設定」画面の[優先度変更]ボタンを押下します。
図3.2.5.2. [優先度変更]ボタン¶
「優先度変更」画面でポリシールール名の左側にある[=]をドラッグさせて優先度を変更します。
図3.2.5.3. 優先度変更画面¶
項番 |
項目 |
説明 |
1 |
ポリシールール優先度設定 |
ポリシールールは画面内の①から順番に評価されます。
各ポリシールールの詳細を確認したい場合は右側のアイコンにカーソルを合わせることで表示されます。
|
移動が完了したら[確認]ボタンを押下します。
図3.2.5.4. [確認]ボタン
変更内容を確認し、[実行]ボタンを押下します。
図3.2.5.5. 優先度確認¶
[OK]ボタンを押下します。
図3.2.5.6. 申し込み完了¶
「セキュリティポリシールール設定」画面でセキュリティポリシールールの優先度が変更されたことを確認します。
図3.2.5.7. 申し込み完了後の「セキュリティポリシールール設定」画面¶
左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
警告
左メニューの[コンフィグ反映]ボタンを押下します。
図3.2.5.8. [コンフィグ反映]ボタン¶
「コンフィグ反映」画面が表示されるので、[実行]ボタンを押下します。
図3.2.5.9. コンフィグ反映の確認¶
[OK]ボタンを押下します。
図3.2.5.10. 申し込み完了¶