アプリケーション制御の仕組み

アプリケーション制御では、SonicOS の精密パケット検査を利用して、ゲートウェイを通過するアプリケーション層ネットワーク トラフィックをスキャンし、設定されているアプリケーションに一致するコンテンツを検索します。一致するものが見つかると、これらの機能は設定されている動作を実行します。アプリケーション制御ポリシーの設定時には、アプリケーションの遮断とログ記録のどちらを行うか、どのユーザ、グループ、または IP アドレスを対象として含めるか除外するか、また執行のスケジュールを定義するグローバル ルールを作成します。さらに、以下を定義するアプリケーション ルール ポリシーも作成できます。

以下のセクションでは、アプリケーション制御のメイン コンポーネントについて説明します。

帯域幅管理を用いた動作

アプリケーション層帯域幅管理 (BWM) を利用すると、プロトコル内の特定のファイル タイプに対しては帯域幅の消費を制限する一方で、それ以外のファイル タイプに対しては帯域幅を無制限に使用するポリシーを作成できます。これにより、同じプロトコル内で好ましいトラフィックと好ましくないトラフィックを区別できます。アプリケーション層帯域幅管理は、すべてのアプリケーション一致や、HTTP クライアント、HTTP サーバ、個別、および FTP ファイル転送の種別を使用する個別アプリケーション ルール ポリシーでサポートされます。ポリシー種別の詳細については、アプリケーション ルール ポリシーの作成 を参照してください。

ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」が「グローバル」に設定されている場合、アプリケーション層帯域幅管理機能は、「ファイアウォール > アプリケーション ルール」ページからのポリシーの追加時に使用できる、定義済みの 8 つの既定の帯域幅管理優先順位レベルによってサポートされます。また、「ファイアウォール > 動作オブジェクト」ページからの新しい動作の追加時に使用できる、カスタマイズ可能な「帯域幅管理種別」動作もあります。

帯域幅管理は、「AppFlow 監視」ページからも、サービス種別アプリケーションまたはシグネチャ種別アプリケーションを選択してから「ルールの作成」ボタンを選択することで設定できます。利用可能な帯域幅管理オプションは、「ファイアウォール設定 > 帯域幅管理」ページのグローバル優先順位キュー テーブル内の有効な優先順位レベルに依存します。この有効な優先順位は既定では、高、中、低です。

すべてのアプリケーション帯域幅管理は、「ファイアウォール設定 > 帯域幅管理」ページで設定されるグローバル帯域幅管理と関連しています。

次の 2 種類の帯域幅管理が利用可能です。詳細およびグローバルです。

種別が「詳細」に設定されている場合、帯域幅管理はアプリケーション ルール」に対して個別に設定できます。
種別が「グローバル」に設定されている場合、設定済みの帯域幅管理をすべてのゾーン内のすべてのインターフェースに対してグローバルに適用できます。

ベスト プラクティスとして、「ファイアウォール設定 > 帯域幅管理」ページのグローバル帯域幅管理の設定は、常にいかなる帯域幅管理ポリシーの設定よりも前に行う必要があります。

ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」を「詳細」からグローバル」に変更すると、すべてのアクセス ルールで帯域幅管理が無効になります。ただし、アプリケーション制御ポリシー内の既定の帯域幅管理動作オブジェクトは、グローバル帯域幅管理設定に変換されます。

帯域幅管理種別」を「グローバルから「詳細」に変更すると、すべてのアプリケーション ルール ポリシーで使用されている既定の帯域幅管理動作は、変更前にどのようなレベルに設定されていても、「高度な帯域幅管理 - 中」に自動変換されます。

トピック:
既定の帯域幅管理動作

詳細」と「グローバル」を切り替えると、既定の帯域幅管理動作が「帯域幅管理グローバル - 中」に変換されます。動作種別を切り替えても、ファイアウォールによって以前の優先順位レベルが保存されることはありません。変換の内容は、「ファイアウォール > アプリケーション ルール」ページで確認できます。

個別帯域幅管理動作

個別帯域幅管理動作は既定の帯域幅管理動作と異なる振舞いをします。個別帯域幅管理動作は、「ファイアウォール > 動作オブジェクト」ページで動作オブジェクトを作成することで設定されます。個別帯域幅管理動作と、そうした動作を使用するポリシーでは、「帯域幅管理種別」が「グローバル」と「詳細」の間で切り替えられるたびに、それぞれの優先順位設定が保持されます。

次の図に、グローバル帯域幅管理種別が「グローバル」に設定された後の同じポリシーを示します。ツールチップには優先順位のみが表示されています。これは、レベル 5 の保証帯域幅または最大帯域幅のグローバル優先順位キューに値がまったく設定されていないからです。

図 34. 帯域幅管理種別がグローバルであるポリシーでの個別帯域幅管理動作

帯域幅管理種別」が「グローバル」に設定されている場合、「動作オブジェクトの追加/編集」画面には、帯域幅優先順位のオプションが提示されますが、使用される値は、保証帯域幅および最大帯域幅の「ファイアウォール設定 > 帯域幅管理」ページにある「優先順位」テーブルで指定されているものです。

Figure 35 は、「ファイアウォール設定 > 帯域幅管理」ページでグローバル帯域幅管理種別が「グローバル」に設定されている状態での「動作オブジェクトの追加/編集」画面内の帯域幅優先順位の選択肢を示します。

図 35. 帯域幅管理種別がグローバルでの「動作オブジェクトの追加/編集」ページ

補足:設定されているかどうかに関係なく、すべての優先順位 (リアルタイム~最低) が表示されます。どの優先順位が有効かを確認するには、「ファイアウォール設定 > 帯域幅管理」ページを参照します。「帯域幅管理種別」が「グローバル」に設定されていて、有効になっていない帯域幅優先順位を選択した場合、トラフィックは自動的に優先順位 4 (中) にマップされます。

アプリケーション層の帯域幅管理の設定は、アクセス ルールの帯域幅管理の設定と同じ方法で処理されます。どちらもグローバル帯域幅管理設定に関連付けられています。しかしながら、アクセスルールではできないすべての内容種別を指定することが、アプリケーション制御では可能です。

帯域幅管理の 1 つの利用例として、あなたが管理者として就業時間内の .mp3 および実行可能ファイルのダウンロードを 1Mbps を超えないように制限して、同時に、.doc や .pdf といった生産性の高い種別のファイルのダウンロードを利用可能な最大帯域幅まで許可するか、生産性の高いコンテンツのダウンロードに可能な最大優先順位を与えたい、というケースがあります。もう 1 つの例として、特定の種別のピアツーピア (P2P) トラフィックに帯域幅制限をかけたいが、その他の種別の P2P は制限無しの帯域幅を許可したい、というケースがあります。アプリケーション層の帯域幅管理により、これらを実施するポリシーを作成することが可能になります。

多くの帯域幅管理動作オプションも、あらかじめ定義された既定の動作リストで利用可能です。この帯域幅管理動作オプションは、「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」の設定に応じて変化します。「帯域幅管理種別」が「グローバル」に設定されている場合は、8 つの優先順位すべてが選択可能です。「帯域幅管理種別」が「詳細」に設定されている場合は、どの優先順位も選択できませんが、ポリシーの追加時には定義済みの優先順位を使用できます。

以下の表は、ポリシー追加時に利用可能なあらかじめ定義されている既定の動作を示します。

 

表 100. ポリシーの追加:既定の動作

常時利用可

帯域幅管理種別 = グローバル

帯域幅管理種別 = 詳細

リセット / 破棄

動作なし

DPI をバイパス

パケット監視

0 — リアルタイム

1 — 最高

2 — 高

3 — 中高

4 — 中

5 — 中低

6 — 低

7 — 最低

高度な帯域幅管理 - 低

高度な帯域幅管理 - 中

高度な帯域幅管理 - 高

パケット監視を用いた動作

事前定義済みのパケット監視動作がポリシーに対して選択されていると、SonicOS は「ダッシュボード > パケット監視」または「システム > パケット監視」ページ上で構成した設定に応じてトラフィックをキャプチャまたはミラーします。既定では、Wireshark で参照可能なキャプチャ ファイルを作成します。パケット監視動作を用いてポリシーを設定してから、実際にパケットをキャプチャするために、「パケット監視」ページで「キャプチャの開始」を選択する必要があります。欲しいパケットをキャプチャした後で、「ミラーの停止」を選択します。

ポリシーに関連するパケットのみをキャプチャするようにパケット監視動作を制御するには、「パケット監視」ページで「設定」を選択して、「監視フィルタ」タブで「ファイアウォール/アプリケーション ルールによるフィルタを有効にする」を選択します (Figure 36 参照)。このモードでは、「パケット監視」ページで「キャプチャの開始」を選択した後で、トラフィックがアプリケーション制御ポリシー (またはファイアウォール アクセス ルール) を始動させるまではパケットはキャプチャされません。ポリシーが始動されると、「ログ > 表示」ページでそれに関連する警告メッセージを見ることができます。これは、「ルールの作成」ボタンを使って、または、動作オブジェクトを使うアプリケーション ルール方式を使って、またはファイアウォール アクセス ルール内で作成されたアプリケーション制御ポリシーでパケット監視が選択された場合に動作して、キャプチャまたはミラーする対象に対する設定またはフィルタを指定することができます。例えば、キャプチャを異なる形式でダウンロードして、ウェブ ページ内で参照できます。

図 36. パケット監視 -「監視フィルタ」タブ

ミラーリングを設定するには、「ミラー」タブに移動して、「ローカル ミラー設定」の下の「受信したリモートのミラーされたパケットをインターフェースに送信する」フィールドでミラーされたパケットを送信する先のインターフェースを選択します。また、リモート設定のうち 1 つを設定できます。これにより、アプリケーション パケットを別のコンピュータにミラーしてすべてをハードディスク上に保存することが可能です。例えば、全員の MSN インスタント メッセンジャー トラフィックをキャプチャして会話を読むことができます。

AppFlow 監視からのルールの作成

「ダッシュボード > AppFlow 監視」ページには、「ルールの作成」ボタンが提供されます。AppFlow 監視の参照中に疑わしい、または過度の帯域幅を使っているアプリケーションを見つけた場合、簡単にリスト内のアプリケーションを選択してから、「ルールの作成」を選択してそれに対するアプリケーション制御ポリシーを即座に設定できます。複数のアプリケーションを選択してから、それらすべてに適用するポリシーを設定するために「ルールの作成」を使うこともできます。

Figure 37 は、「ダッシュボード > AppFlow 監視」ページの上に表示された「ルールの作成」ウィンドウを示します。

図 37. 「ダッシュボード > AppFlow 監視」ページと「ルールの作成」ウィンドウ

この「ルールの作成」機能は、リスト表示設定の AppFlow 監視ページから利用可能です。円グラフとグラフ監視表示では、「ルールの作成」ボタンは見えますが無効です。

「ルールの作成」ウィンドウからは、以下の種別のポリシーを設定できます。

ルールに対して希望する動作を選択した後で、「ルールの作成」ウィンドウ内の「ルールの作成」を選択すると、アプリケーション制御ポリシーは自動的に作成されて「ファイアウォール > アプリケーション ルール」ページのアプリケーションルール ポリシー テーブルに追加されます。

「ルールの作成」ウィンドウには、「帯域幅管理」セクションの隣に、グローバル優先順位キューを設定できる「ファイアウォール設定 > 帯域幅管理」ページに移動するための「設定」ボタンがあります。グローバル帯域幅管理と「ファイアウォール設定 > 帯域幅管理」ページの詳細については、帯域幅管理を用いた動作 を参照してください。「ルールの作成」ウィンドウ内にある帯域幅管理オプションは、グローバル優先順位キューで有効になっているオプションを反映しています。既定の値は、以下の通りです。

アプリケーション制御詳細ポリシーの作成

「ファイアウォール > アプリケーション制御詳細」ページの設定手法では、特定の種別、アプリケーション、またはシグネチャをきめ細かく制御できます。これには、きめ細かなログ制御や、ユーザ、グループ、または IP アドレス範囲の包含および除外、スケジュールのきめ細かな設定が含まれます。ここでの設定はグローバルなポリシーであり、どんな個別のアプリケーション ルール ポリシーからも独立しています。以下に「ファイアウォール > アプリケーション制御詳細」ページを示します。

このページでは次の設定を使用できます。

これらのアプリケーション制御設定はアプリケーション ルール ポリシーとは独立したものですが、ここの場所または「ファイアウォール > 一致オブジェクト」ページで使用できる任意の種別、アプリケーション、またはシグネチャでアプリケーション一致オブジェクトを作成して、それらの一致オブジェクトをアプリケーション ルール ポリシーで使用することもできます。これにより、アプリケーション制御で設定できる動作やその他の多様な設定を使用できます。アプリケーション制御に関するこうしたポリシーベースのユーザ インターフェースの詳細については、アプリケーション リスト オブジェクト を参照してください。

アプリケーション ルール ポリシーの作成

アプリケーション制御を使用すると、ネットワーク上のトラフィックの特定の側面を制御する個別アプリケーション ルール ポリシーを作成できます。ポリシーは一致オブジェクト、プロパティ、および特定の防御動作のセットです。 ポリシーを作成するときは、最初に一致オブジェクトを作成したうえで、動作を選択 (オプションでカスタマイズ) し、これらをポリシー作成時に参照します。

ファイアウォール > アプリケーション ルール」ページでは、「ポリシー設定」画面にアクセスできます。以下に、ポリシー種別が「SMTP クライアント」のものを示します。この画面は、選択したポリシー種別に応じて変化します。

ポリシーの例を次に示します。

ポリシーを作成するときは、ポリシー種別を選択します。それぞれのポリシー種別は、ポリシーの送信元、送信先、一致オブジェクト種別、および動作フィールドに有効な値または値タイプを指定します。さらに、ポリシーを定義することで、特定のユーザまたはグループを対象として含めるかまたは除外するかの指定、スケジュールの選択、ログ記録の有効化、接続側の指定、および基本または詳細方向タイプの指定を行うこともできます。基本方向タイプは、受信または送信のみを単に示します。詳細方向タイプでは、ゾーン間の送信の方向 (例えば LAN から WAN) を設定できます。

次の表に、使用可能なアプリケーション ポリシー種別の特徴を示します。

 
 

表 101. アプリケーション ルール:ポリシー種別

ポリシー
種別

説明

有効な送信元サービス/既定

有効な送信先サービス/既定

有効な一致オブジェクト
種別

有効な動作種別

接続側

アプリケーション制御コンテンツ

任意のアプリケーション層プロトコルの動的なアプリケーション制御関連オブジェクトを使用するポリシー

すべて/すべて

すべて/すべて

アプリケーション種別リスト、アプリケーション リスト、アプリケーションシグネチャ リスト

リセット/破棄、動作なし、DPI をバイパス、パケット監視、
BWM グローバル-*、WAN BWM *

N/A

CFS

コンテンツ フィルタのポリシー

N/A

N/A

CFS 種別リスト

CFS 遮断ページ、パケット監視、動作なし、
BWM グローバル-*、WAN BWM *

N/A

個別ポリシー

任意のアプリケーション層プロトコルの個別オブジェクトを使用するポリシー、IPS 形式の個別のシグネチャを作成するのに使用可

すべて/すべて

すべて/すべて

個別オブジェクト

リセット/破棄、DPI をバイパス、パケット監視、動作なし、
BWM グローバル-*、WAN BWM *

クライアント側、サーバ側、両方

FTP クライアント

FTP 制御チャンネルで転送されるすべての FTPコマンド

すべて/すべて

FTP 制御/FTP 制御

FTP コマンド、FTP コマンド+値、個別オブジェクト

リセット/破棄、DPI をバイパスする、パケット監視、動作なし

クライアント側

FTP クライアント ファイル アップロード要求

FTP でファイルをアップロードしようとする試み (STOR コマンド)

すべて/すべて

FTP 制御/FTP 制御

ファイル名、ファイル拡張子

リセット/破棄、DPI をバイパス、パケット監視、動作なし、
BWM グローバル-*、WAN BWM *

クライアント側

FTP クライアント ファイル ダウンロード要求

FTP でファイルをダウンロードしようとする試み (RETR コマンド)

すべて/すべて

FTP 制御/FTP 制御

ファイル名、ファイル拡張子

リセット/破棄、DPI をバイパス、パケット監視、動作なし、
BWM グローバル-*、WAN BWM *

クライアント側

FTP データ転送ポリシー

FTP データ チャンネルで転送されるデータ

すべて/すべて

すべて/すべて

ファイル内容オブジェクト

リセット/破棄、DPI をバイパスする、パケット監視、動作なし

両方

HTTP クライアント

ウェブ ブラウザ トラフィックまたはクライアント上で発生するすべての HTTP 要求に適用されるポリシー

すべて/すべて

すべて/HTTP
(設定可能)

HTTP ホスト、HTTP Cookie、HTTP リファラ、HTTP Request 個別ヘッダー、HTTP URI コンテンツ、HTTP ユーザ エージェント、ウェブ ブラウザ、ファイル名、ファイル拡張子個別オブジェクト

リセット/破棄、DPI をバイパス、パケット監視1、動作なし、
BWM グローバル-*、WAN BWM *

クライアント側

HTTP
サーバ

HTTP サーバから発信される応答

すべて/HTTP (設定可能)

すべて/すべて

ActiveX クラス ID、HTTP Set Cookie、HTTP Response、ファイル内容オブジェクト、個別ヘッダー、個別オブジェクト

リセット/破棄、DPI をバイパスする、パケット監視、動作なし、BWM グローバル-*、WAN BWM *

サーバ側

IPS コンテンツ

任意のアプリケーション層プロトコルの動的な侵入防御関連オブジェクトを使用するポリシー

N/A

N/A

IPSシグネチャ種別リスト、IPSシグネチャ リスト

リセット/破棄、DPI をバイパス、パケット監視、動作なし、
BWM グローバル-*、WAN BWM *

N/A

POP3 クライアント

POP3 クライアントによって生成されたトラフィックを検査するポリシー、通常は POP3サーバ管理者にとって有用

すべて/すべて

POP3 (電子メールの取得)/
POP3 (電子メールの取得)

個別オブジェクト

リセット/破棄、DPI をバイパスする、パケット監視、動作なし

クライアント側

POP3サーバ

POP3 サーバからPOP3 クライアントにダウンロードされた電子メールを検査するポリシー、電子メール フィルタに使用

POP3 (電子メールの取得)/POP3
(電子メールの取得)

すべて/すべて

電子メール本文、電子メール CC、電子メール送信元、電子メール送信先、電子メール件名、ファイル拡張子、MIME 個別ヘッダー

リセット/破棄、添付ファイルを無効にする、DPI をバイパスする、動作なし

サーバ側

SMTP クライアント

クライアント上で発生するSMTP トラフィックに適用されるポリシー

すべて/すべて

SMTP (電子メールの送信)/
SMTP (電子メールの送信)

電子メール本文、電子メール CC、電子メール送信元、電子メール送信先、電子メール サイズ、電子メール件名、個別オブジェクト、ファイル内容、ファイル名、ファイル拡張子、MIME 個別ヘッダー

リセット/破棄、応答を返さずに SMTP 電子メールを遮断、DPI をバイパス、パケット監視、動作なし

クライアント側


1
パケット監視動作は、ファイル名またはファイル拡張子個別オブジェクトに対してサポートされていません。

一致オブジェクト

一致オブジェクトは、動作を実行するために満たす必要がある条件のセットを表します。これには、オブジェクト種別、一致する種別 (完全、部分、正規表現、前方、または後方)、入力形式 (テキストまたは16 進)、および照合する実際のコンテンツが含まれます。一致オブジェクトは、以前のリリースではアプリケーション オブジェクトと呼ばれていました。

実行可能ファイルなどのバイナリ コンテンツを照合する場合は 16 進入力形式を使用し、ファイルや電子メールのコンテンツなどを照合する場合は英数字 (テキスト) 入力形式を使用します。また、16 進入力形式は、グラフィック イメージ内のバイナリ コンテンツに対しても使用できます。グラフィックのいずれかのプロパティ フィールドに特定の文字列が含まれている場合は、テキスト入力形式を使用して同じグラフィックを照合することもできます。正規表現 (regex) は、特定の文字列や値ではなくパターンを照合するためのもので、英数字入力形式を使用します。

ファイル内容一致オブジェクト種別は、ファイル内のパターンやキーワードを照合するための方法を提供します。この種別の一致オブジェクトは、FTP データ転送、HTTP サーバ、またはSMTP クライアント ポリシーでのみ使用できます。

Table 102 に、サポートされている一致オブジェクト種別を示します。

 

表 102. サポートされている一致オブジェクト種別

オブジェクト種別

説明

一致する種別

不一致検索

追加のプロパティ

ActiveX クラス ID

ActiveX コンポーネントのクラス ID。例えば、Gator ActiveXコンポーネントのクラス ID は“c1fb8842-5281-45ce-a271-8fd5f117ba5f"
です。

完全

いいえ

なし

アプリケーション種別リスト

アプリケーション種別
(マルチメディア、P2P、ソーシャル ネットワーキングなど) を指定できます。

N/A

いいえ

なし

アプリケーション リスト

選択したアプリケーション種別内で個々のアプリケーションを指定できます。

N/A

いいえ

なし

アプリケーションシグネチャ リスト

選択したアプリケーションや種別に対して個々のアプリケーションを指定できます。

N/A

いいえ

なし

CFS 許可/禁止リスト

コンテンツ フィルタの許可ドメインと禁止ドメインを指定できます。

完全、部分、
前方、後方

いいえ

各 URL は、最大で 255 文字までです。

すべての URL とそれらの間の区切り文字は、合わせて 8192 文字までです。

CFS 種別リスト

1 つ以上のコンテンツ フィルタ種別を選択できます。

N/A

いいえ

選択対象として 64の種別のリストが用意されています。

個別オブジェクト

IPS 形式の条件の個別セットを指定できます。

完全

いいえ

4 つのオプション パラメータを追加で設定できます。 それらはオフセット、深度、最小ペイロード サイズ、最大ペイロード サイズです。 オフセットは、パケット ペイロード内のどのバイトからパターンの照合を開始するかを指定します (値は 1 から始まり、照合における誤検出を最小限にする働きをします)。 深度は、パケット ペイロード内のどのバイトでパターンの照合を終了するかを指定します (値は 1 から始まります)。

電子メール本文

電子メール本文内のすべての内容。

処理中

いいえ

なし

電子メール CC の送信先 (MIME ヘッダー)

CC MIME ヘッダー内のすべての内容。

完全、部分、
前方、後方

はい

なし

電子メール送信元
(MIME ヘッダー)

From MIME ヘッダー内のすべての内容。

完全、部分、
前方、後方

はい

なし

電子メール サイズ

送信を許可する最大電子メール サイズを指定できます。

N/A

いいえ

なし

電子メール件名
(MIME ヘッダー)

Subject MIME ヘッダー内のすべての内容。

完全、部分、
前方、後方

はい

なし

電子メール送信先
(MIME ヘッダー)

To MIME ヘッダー内のすべての内容。

完全、部分、
前方、後方

はい

なし

MIME 個別ヘッダー

MIME 個別ヘッダーを作成できます。

完全、部分、
前方、後方

はい

個別ヘッダー名を指定する必要があります。

ファイル内容

ファイル内容で照合するパターンを指定できます。パターンは、ファイルが圧縮されている場合でも照合されます。

処理中

いいえ

このオブジェクトには“添付ファイルを無効にする"動作を適用しないでください。

ファイル名

電子メールの場合、これは添付ファイルの名前です。HTTP の場合、これはウェブ メール アカウントにアップロードされた添付ファイルの名前です。FTP の場合は、アップロードまたはダウンロードされたファイルの名前です。

完全、部分、
前方、後方

はい

なし

ファイル拡張子

電子メールの場合、これは添付ファイルのファイル拡張子です。HTTP の場合、これはウェブ メール アカウントにアップロードされた添付ファイルのファイル拡張子です。FTP の場合は、アップロードまたはダウンロードされたファイルのファイル拡張子です。

完全

はい

なし

FTP コマンド

特定の FTP コマンドを選択できます。

N/A

いいえ

なし

FTP コマンド+値

特定の FTP コマンドと値を選択できます。

完全、部分、
前方、後方

はい

なし

HTTP Cookie ヘッダー

ブラウザから送信される Cookie を指定できます。

完全、部分、
前方、後方

はい

なし

HTTP Host ヘッダー

HTTP Host ヘッダー内の内容。HTTP 要求における送信先サーバのホスト名を表します (例えば、www.google.com)。

完全、部分、
前方、後方

はい

なし

HTTP Referrer ヘッダー

ブラウザから送信される Referrer ヘッダーの内容を指定できます。 この機能は、ユーザがどのウェブ サイトから顧客のウェブ サイトにリダイレクトされたかの統計情報を制御または収集するのに便利です。

完全、部分、
前方、後方

はい

なし

HTTP Request 個別ヘッダー

個別 HTTP Requestヘッダーを処理できます。

完全、部分、
前方、後方

はい

個別ヘッダー名を指定する必要があります。

HTTP Response 個別ヘッダー

個別 HTTP Response ヘッダーを処理できます。

完全、部分、
前方、後方

はい

個別ヘッダー名を指定する必要があります。

HTTP Set Cookieヘッダー

Set-Cookie ヘッダー。ブラウザに特定の Cookie を設定できないようにするための方法を提供します。

完全、部分、
前方、後方

はい

なし

HTTP URI コンテンツ

HTTP 要求の URI 内のすべての内容。

完全、部分、
前方、後方

いいえ

なし

HTTP User-Agentヘッダー

User-Agent ヘッダー内のすべての内容。以下に例を示します。User-Agent:Skype。

完全、部分、
前方、後方

はい

なし

ウェブ ブラウザ

特定のウェブ ブラウザを選択できます (MSIE、Netscape、Firefox、Safari、Chrome)。

N/A

はい

なし

IPSシグネチャ種別リスト

1 つ以上の IPSシグネチャ グループを選択できます。各グループに複数の定義済み IPSシグネチャが含まれます。

N/A

いいえ

なし

IPSシグネチャ リスト

粒度を高めるために1 つ以上の特定のIPSシグネチャを選択できます。

N/A

いいえ

なし

使用できる一致オブジェクトの種別は、「一致オブジェクトの追加/編集」ウィンドウのドロップダウン メニューで確認できます。

一致オブジェクトの追加/編集」ウィンドウでは、複数のエントリを追加して、照合する内容要素のリストを作成できます。一致オブジェクトで指定したすべての内容は、照合の目的で大文字と小文字が区別されることはありません。バイナリ内容を照合するには 16 進形式を使用します。16 進エディタや、Wiresharkのようなネットワーク プロトコル アナライザを使用すると、バイナリ ファイルの 16 進形式を取得できます。これらのツールの詳細については、次のセクションを参照してください。

ファイルからロード」ボタンを使用すると、照合する一致オブジェクトの複数のエントリを含む定義済みのテキスト ファイルから内容をインポートできます。ファイル内のエントリは、それぞれ 1 行に 1 つずつ記述されている必要があります。「ファイルからロード」機能を使用すると、SonicWALL セキュリティ装置間でアプリケーション制御の設定を容易に移行できます。

複数のエントリ (テキスト ファイルから読み込まれたエントリまたは手動で入力されたエントリ) は「リスト」領域に表示されます。リストされたエントリは論理和を使用して照合されるため、リスト内のいずれかのアイテムが一致すると、当該ポリシーの動作が実行されます。

1 つの一致オブジェクトには、合計で 8000 文字まで含めることができます。一致オブジェクト内の各要素に含まれる文字数が約 30 である場合、約 260 個の要素を入力できることになります。最大要素サイズは 8000 バイトです。

トピック:
正規表現

アプリケーション ルール ポリシーで使用するため、特定の一致オブジェクト種別に正規表現を設定できます。「一致オブジェクトの設定」ページでは、個別正規表現を設定したり、あらかじめ定義された正規表現から選択したりできます。Dell SonicWALL セキュリティ装置は、ネットワーク トラフィックに対して再組み立て不要の正規表現による照合をサポートしています。このため、入力ストリームのバッファリングが不要で、パターンはパケット境界をまたがって照合されます。

SonicOS には、以下の定義済み正規表現が用意されています。

 

VISA CC

VISA クレジット カード番号

US SSN

米国の社会保障番号

CANADIAN SIN

カナダの社会保険番号

ABA ROUTING NUMBER

米国銀行協会のルーティング番号

AMEX CC

American Express クレジット カード番号

MASTERCARD CC

Mastercard クレジット カード番号

DISCOVER CC

Discover クレジット カード番号

正規表現を使用するポリシーは、ネットワーク トラフィックに最初に出現するパターンを照合します。そのため、一致に対して可能な限り速やかに動作できます。照合は、人間が読み取れるテキストだけではなくネットワーク トラフィックに対しても実行されるので、照合可能な英字には ASCII 文字セット全体 (全 256 文字) が含まれます。

'.'、(任意の文字ワイルドカード)、'*'、'?'、'+'、繰り返しカウント、代替、および否定などの一般的な正規表現の基本命令がサポートされています。構文とセマンティクスは Perl や vim などの一般的な正規表現の実装と似ていますが、わずかな違いがあります。例えば、行頭演算子 (^) と行末演算子 ($) はサポートされていません。また、'\z' は、PERL のように文字列の終わりを指すのではなく、0 以外の数字、すなわち [1-9] を指します。詳細については、正規表現の構文 を参照してください。

Perl 正規表現エンジンとの大きな違いの 1 つは、後方参照と置換がサポートされていないことです。これらの機能は実際には正規表現に無関係で、調べているデータについて線形時間では実行できません。したがって、最高のパフォーマンスを維持するため、これらの機能はサポートされていません。置換または変換機能がサポートされていないのは、ネットワーク トラフィックを検査するだけで、変更はしないからです。

よく使用されるパターン (米国の社会保障番号や VISA のクレジットカード番号など) 向けにあらかじめ定義された正規表現は、一致オブジェクトの作成時に選択できます。ユーザは、同じ一致オブジェクト内に独自の表現を記述することもできます。ユーザが入力した表現は解析され、正しく解析されなかった表現があれば、「一致オブジェクトの設定」ウィンドウの下部に構文エラーが表示されます。解析が正しく完了した後、正規表現はコンパイラに渡され、ネットワーク トラフィックをリアルタイムでスキャンするのに必要なデータ構造が作成されます。

決定性有限オートマトン (DFA) というデータ構造を作成することによって、正規表現が効率的に照合されます。DFA のサイズはユーザが入力した正規表現によって決定され、機器のメモリ容量によって制約を受けます。複雑な正規表現のコンパイル処理には長い時間がかかり、装置のメモリを大量に消費することがあります。含まれる表現によっては、DFA の作成に最大 2 分かかることもあります。

装置管理の応答性に対する影響が大きすぎるだけでなく、悪用やサービス拒否攻撃を防ぐため、コンパイラは処理を中止し、データ構造が機器に対して大きくなりすぎる正規表現を拒否できます。ウィンドウの下部に、"悪用を検出しました" というエラー メッセージが表示されます。

大きなカウンタを含む表現の DFA を作成すると、多くの時間とメモリが消費されます。そのような表現は、'*' 演算子と '+' 演算子などの無制限のカウンタを使用する表現よりも拒否される可能性が高くなります。

同様に、拒否されるおそれがある表現としては、文字範囲や文字クラスよりも多数の文字を含む表現があります。つまり、すべて小文字のセットを指定する '(a|b|c|d|.。.|z)' という表現は、同等の文字クラス '\l' よりも拒否される可能性が高くなります。'[a-z]' という範囲を使用すると、内部的に '\l' に変換されます。ただし、'[d-y]' または '[0-Z]' という範囲は、文字クラスに変換できず、長いので、この断片を含む表現は拒否される可能性があります。

表現が拒否されたときはいつでも上記のヒントを利用して、拒否されないように、より効率的な方法で書き直すことができます。詳細については、正規表現の構文 を参照してください。例えば、個別正規表現の記述方法については、一致オブジェクトでの正規表現の作成 を参照してください。

正規表現の構文

以下の表に、正規表現の作成に使用する構文を示します。

 

表 103. 正規表現の構文:単一文字

表現

定義

'\n' 以外の任意の文字。'\n' も照合するには、/s (ストリーム モード、または 1 行モードとも呼ばれる) 修飾子を使用します。

[xyz]

文字クラス。エスケープ文字も指定できます。かっこ ([ ]) で囲まれた特殊文字は特別な意味を持たないので、エスケープする必要はありません。

[^xyz]

文字クラスを打ち消します。

\xdd

16 進数入力。"dd" は文字の 16 進値です。2 つの数字が必須です。例えば、\r\x0d で、\xd ではありません。

[a-z][0-9]

文字範囲。

 

表 104. 正規表現の構文:複合

表現

定義

xy

xy が続く

x|y

x または y

(x)

x と同等です。優先をオーバーライドするのに使用できます。

 

表 105. 正規表現の構文:繰り返し

表現

定義

x*

0 個以上の x

x?

0 または 1 個の x

x+

1 個以上の x

x{n, m}

最小 n 個、最大 m 個の連続した x。そのため、不当に大きい m を使用することは賢明ではありません。

x{n}

正確に n 個の x

x{n,}

最小 n 個の x

x{,n}

最大 n 個の x

 

表 106. 正規表現の構文:エスケープ シーケンス

表現

定義

\0、\a、\b、\f、\t、\n、\r、\v

C プログラミング言語のエスケープ シーケンス (\0 は NULL 文字 (ASCII 文字のゼロ))

\x

16 進数入力。\x とそれに続く 2 つの 16 進数字は、対象の文字の 16 進値を示します。

\*、\?、\+、\(, \)、
[, ]、\{, \}、\\、\/、
\<スペース>、\#

特殊文字をエスケープします。

 

表 107. 正規表現の構文:Perl に似た文字クラス

表現

定義

\d、\D

数字、数字以外。

\z、\Z

0 以外の数字 ([1-9])、それ以外のすべての文字。

\s、\S

ホワイト スペース、ホワイト スペース以外。[\t\n\f\r] と同等です。\v は Perl のホワイト スペースには含まれません。

\w、\W

単語文字、単語文字以外。[0-9A-Za-z_] と同等です。

 

表 108. 正規表現の構文:その他の ASCII 文字クラスの基本命令

文字クラス

表現

 

[:cntrl:]

\c、\C

制御文字。[\x00 - \x1F\x7F]

[:digit:]

\d、\D

数字、数字以外。Perl 文字クラスと同じです。

[:graph:]

\g、\G

スペース以外の任意の印刷可能文字。

[:xdigit:]

\h、\H

任意の 16 進数字。[a-fA-F0-9]。水平スペースを意味する Perl の \h とは異なります。

[:lower:]

\l、\L

任意の小文字。

[:ascii:]

\p、\P

正の ASCII 文字、負の ASCII 文字。[0x00 – 0x7F][0x80 – 0xFF]

[:upper:]

\u、\U

任意の大文字。

その他の一般的な文字クラスの一部は、上記の基本命令から作成できます。以下の文字クラスに関しては、使用できる残りの文字に適切なニーモニックがないため、独自の簡略表現はありません。

 

表 109. 正規表現の構文:複合文字クラス

文字クラス

表現

 

[:alnum:]

= [\l\u\d]

すべての文字と数字のセット。

[:alpha:]

= [\l\u]

すべての文字のセット。

[:blank:]

= [\t<space>]

空白文字のクラス: タブとスペース。

[:print:]

= [\g<space>]

すべての印刷可能文字のクラス: スペースを含むすべてのグラフィカル文字。

[:punct:]

= [^\P\c<space>\d\u\l]

すべての句読文字のクラス: 否定 ASCII 文字、制御文字、スペース、数字、大文字または小文字を含みません。

[:space:]

= [\s\v]

すべてのホワイト スペース文字。Perl のホワイト スペースと垂直タブ文字を含みます。

 

表 110. 正規表現の構文:修飾子

表現

定義

/i

大文字と小文字を区別する

/s

入力を 1 行として扱います。ストリームモードと考えることもできます。つまり、'.' は '\n' にも一致します。

 

表 111. 正規表現の構文:演算子の優先順位 (降順)

演算子

結合規則

[ ]、[^]

左から右

()

左から右

*、+、?

左から右

(連結)

左から右

|

左から右

コメント

SonicOS は、正規表現でコメントをサポートしています。コメントの前には、任意の数のスペースと 1 個のポンド記号 (#) を付けます。スペースとポンド記号の後のテキストはすべて、表現の終わりまで破棄されます。

不一致検索

不一致検索は、遮断するコンテンツを指定するための別の方法を提供します。不一致検索は、特定のコンテンツ種別を除くすべてのコンテンツを遮断する場合に、一致オブジェクト内で有効にできます。この一致オブジェクトをポリシー内で使用すると、そのポリシーは、一致オブジェクトに指定されているコンテンツの欠如に基づいて動作を実行します。不一致検索オブジェクト内にある複数のリスト登録が論理条件 AND を使用して照合されます。つまり、ポリシーの動作は、指定された不一致検索登録のすべてが一致した場合に限り実行されます。

すべてのアプリケーション ルール ポリシーは禁止ポリシーですが、不一致検索を使用することで許可ポリシーを再現できます。例えば、.txt 形式の電子メール添付ファイルは許可しつつ、その他すべてのファイル種別の添付ファイルを遮断できます。また、いくつかの種別を許可してその他すべてを遮断することもできます。

すべての一致オブジェクト種別で不一致検索を利用できるわけではありません。それができるものについては、「一致オブジェクトの設定」画面で「不一致検索を有効にする」チェックボックスが表示されます。

アプリケーション リスト オブジェクト

「ファイアウォール > 一致オブジェクト」ページには、「アプリケーション リスト オブジェクトの作成」ボタンもあり、これを使用すると「一致オブジェクトの作成」ウィンドウが開きます。このウィンドウには、次の 2 つのタブがあります。

アプリケーション - このタブではアプリケーション フィルタ オブジェクトを作成できます。この画面では、アプリケーション種別、脅威度、技術の種類、属性を選択できます。選択が終わると、それらの条件に一致するアプリケーションのリストが表示されます。「アプリケーション」タブは、アプリケーション リスト タイプの一致オブジェクトを作成する別の方法を提供します。
種別 - このタブでは種別フィルタ オブジェクトを作成できます。アプリケーション種別のリストとそれぞれの説明が提供されます。「種別」ページは、アプリケーション種別タイプの一致オブジェクトを作成する別の方法を提供します。
トピック:
アプリケーション フィルタ

アプリケーション」タブは、選択するアプリケーションのリストを提供します。表示するアプリケーションは、1 つ以上のアプリケーション種別、脅威度、技術を選択することによって制御できます。また、あるキーワードをすべてのアプリケーション名から検索するには、画面の右上付近にある「検索」フィールドにそのキーワードを入力します。例えば、「検索」フィールドに“bittorrent"と入力して「検索」アイコンを選択すると、名前に“bittorrent" (大文字と小文字の区別なし) が含まれる複数のアプリケーションが見つかります。

アプリケーション リストが適切に絞り込まれたリストに縮小されると、アプリケーションの隣にあるプラス (+) アイコンによってフィルタ向けに個々のアプリケーションを選択して、選択結果をアプリケーション フィルタ オブジェクトとして個別の名前または自動的に生成された名前で保存できます。以下の図に示す画面では、個々のアプリケーションを選択する前に、すべての種別、脅威度、技術が選択されています。

フィルタ向けに選択したアプリケーションは、右側の「アプリケーション グループ」フィールドに表示されます。このフィールド内のリストは、個々のアイテムを削除したり、イレイサーを選択してすべてのアイテムを削除したりして、編集できます。以下の図では、「アプリケーション グループ」フィールドにいくつかのアプリケーションが表示されています。また、左側のアプリケーション リストの選択されているアプリケーションには緑色のチェックマークが付いています。

対象として含めるアプリケーションの選択が終了すると、「一致オブジェクト名」フィールドにオブジェクトの名前を入力し (最初に「一致オブジェクト名を自動生成する」チェックボックスをオフにする)、「アプリケーション一致オブジェクトの保存」ボタンを選択できます。「ファイアウォール > 一致オブジェクト」ページには、オブジェクト種別が「アプリケーション リスト」であるオブジェクト名が表示されます。このオブジェクトは、その後のアプリケーション ルール ポリシーの作成時に選択できます。

一致オブジェクト名を自動生成する」オプションを使用して作成された一致オブジェクトには、オブジェクト名の最初の文字としてチルダ (~) が表示されます。

種別フィルタ

種別」タブは、選択するアプリケーション種別のリストを提供します。種別の任意の組み合わせを選択し、選択結果を種別フィルタ オブジェクトとして個別の名前で保存できます。以下の図に示す画面には、IM 種別の説明が表示されています。

リスト内の各種別の上にマウス ポインタを置くと、その説明を確認できます。個別の種別フィルタ オブジェクトを作成するには、「一致オブジェクト名」フィールドにオブジェクトの名前を入力し (最初に「一致オブジェクト名を自動生成する」チェックボックスをオフにする)、1 つ以上の種別を選択して、「種別一致オブジェクトの保存」ボタンを選択します。「ファイアウォール > 一致オブジェクト」ページには、オブジェクト種別が「アプリケーション種別リスト」であるオブジェクト名が表示されます。このオブジェクトは、その後のアプリケーション ルール ポリシーの作成時に選択できます。

一致オブジェクト名を自動生成する」オプションを使用して作成された一致オブジェクトには、オブジェクト名の最初の文字としてチルダ (~) が表示されます。

動作オブジェクト

動作オブジェクトは、一致イベントに対するアプリケーション ルール ポリシーの動作を定義します。カスタマイズ可能な動作を選択するか、あらかじめ定義されている既定の動作のうちの 1 つを選択できます。

あらかじめ定義されている動作は、アプリケーション ルール ページでポリシーを追加または編集する際にアプリケーション制御ポリシー設定ページに表示されます。

多くの帯域幅管理動作オプションも、あらかじめ定義された既定の動作リストで利用可能です。この帯域幅管理動作オプションは、「ファイアウォール設定 > 帯域幅管理」ページの「帯域幅管理種別」の設定に応じて変化します。「帯域幅管理種別」が「グローバル」に設定されている場合は、8 つの優先順位すべてが選択可能です。「帯域幅管理種別」が「詳細」に設定されている場合は、どの優先順位も選択できませんが、ポリシーの追加時には定義済みの優先順位を使用できます。

以下の表は、ポリシー追加時に利用可能なあらかじめ定義されている既定の動作を示します。

 

表 112. ポリシーの追加:既定の動作

常時利用可

帯域幅管理種別 = グローバル

帯域幅管理種別 = 詳細

リセット / 破棄

動作なし

DPI をバイパス

パケット監視

帯域幅管理グローバル-リアルタイム

帯域幅管理グローバル-最高

帯域幅管理グローバル-高

帯域幅管理グローバル-中高

帯域幅管理グローバル-中

帯域幅管理グローバル-中低

帯域幅管理グローバル-低

帯域幅管理グローバル-最低

高度な帯域幅管理 - 低

高度な帯域幅管理 - 中

高度な帯域幅管理 - 高

 

帯域幅管理動作の詳細については、帯域幅管理を用いた動作 を参照してください。

以下のカスタマイズ可能な動作は、「ファイアウォール > 動作オブジェクト」ページで「動作オブジェクトの作成」を選択した際の「動作オブジェクトの追加/編集」ウィンドウ内に表示されます。

動作種別の説明については、Table 113 を参照してください。

補足:動作オブジェクトの設定」ウィンドウでは、カスタマイズ可能な動作のみを編集できます。あらかじめ定義されている動作は編集も削除もできません。ポリシーを作成する場合、「ポリシー設定」ウィンドウでは、あらかじめ定義されている動作や定義したカスタマイズ済み動作を選択できます。
 

表 113. 動作オブジェクトの設定:動作種別

動作種別

説明

事前定義または個別

帯域幅管理グローバル-リアルタイム

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 0 に設定されています。

事前定義

帯域幅管理グローバル-最高

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 1 に設定されています。

事前定義

帯域幅管理グローバル-高

受信と送信帯域幅を管理し、変動可能な値 (既定は30%) で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 2 に設定されています。

事前定義

帯域幅管理グローバル-中高

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 3 に設定されています。

事前定義

帯域幅管理グローバル-中

受信と送信帯域幅を管理し、変動可能な値 (既定は50%) で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 4 に設定されています。

事前定義

帯域幅管理グローバル-中低

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 5 に設定されています。

事前定義

帯域幅管理グローバル-低

受信と送信帯域幅を管理し、変動可能な値 (既定は20%) で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 6 に設定されています。

事前定義

帯域幅管理グローバル-最低

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能で、優先順位 7 に設定されています。

事前定義

DPI をバイパス

精密パケット検査コンポーネントの IPS、GAV、アンチスパイウェア、およびアプリケーション制御をバイパスします。この動作は、トリガーされた直後から接続期間全体にわたって維持されます。アプリケーション制御検査用にバイパスされることのない FTP 制御チャンネルに対しては特殊な操作が適用されます。この動作は、FTP データ チャンネルの適切な処理をサポートします。DPI のバイパスでは、「ファイアウォール設定 > SSL 制御」ページで有効化されたフィルタの停止が行われません。

事前定義

動作なし

動作を指定しないでポリシーを指定することができます。これで“ログのみ"のポリシー種別を使用できます。

事前定義

パケット監視

SonicOS のパケット監視機能を使用して、セッション内の着信パケットと発信パケットを監視するか、ミラーリングが設定されている場合はパケットを別のインターフェースにコピーします。キャプチャ結果は WireSharkで表示や分析ができます。

事前定義

WAN 帯域幅管理-高

受信と送信帯域幅を管理し、変動可能な値で保証された帯域幅、および利用可能帯域幅全体の最大 100%までの最大/バースト帯域幅使用率の設定が可能です。事前定義

事前定義

SMTP 電子メールを遮断 -
エラー応答の送信

SMTP 電子メールを遮断し、カスタマイズされたエラー メッセージを送信者に通知します。

個別

電子メール添付ファイルを無効化 - テキストの追加

電子メールの添付ファイルを無効にし、カスタマイズされたテキストを追加します。

個別

電子メール - テキストの追加

電子メールの末尾に個別テキストを追加します。

個別

FTP 通知の応答

接続を終了せずに FTP 制御チャンネルを介してクライアントにテキストを返します。

個別

HTTP 遮断ページ

個別 HTTP 遮断ページを設定できます。 色も選択できます。

個別

HTTP リダイレクト

HTTP リダイレクト機能を提供します。例えば、Googleウェブ サイトにリダイレクトする場合は、カスタマイズ可能な部分を次のように設定します。 〈http://www.google.com〉フォームが開いているブラウザにアプリケーション 制御から HTTP リダイレクトが送信されると、フォーム内の情報は失われます。

個別

帯域幅管理

アクセス ルール BWM ポリシー定義と同じセマンティクスを持つ帯域幅管理制限を定義できます。

個別

優先順位 0 の設定は、最高優先順位です。すべての帯域幅管理レベルに対する保証帯域幅の合計は、100% を超えることはできません。

電子メール アドレス オブジェクト

アプリケーション制御では、電子メール アドレス オブジェクトとして個別電子メール アドレス リストを作成できます。電子メール アドレス オブジェクトは、SMTP クライアント ポリシー設定内でのみ使用できます。電子メール アドレス オブジェクトは、個別ユーザまたはドメイン全体を表すことができます。さらに、個別アドレスのリストをオブジェクトに追加することで、グループを表す電子メール アドレス オブジェクトを作成することもできます。これにより、SMTP クライアント ポリシーを作成するときに、ユーザ グループを容易に対象に含めたり対象から除外したりできます。

例えば、サポート グループを表す電子メール アドレス オブジェクトを作成できます。

電子メール アドレス オブジェクトにグループを定義した後、そのグループを対象として含める SMTP クライアント ポリシーまたは対象から除外する SMTP クライアント ポリシーを作成します。

以下のスクリーンショットでは、送信電子メールへの実行可能ファイルの添付を禁止するポリシーからサポート グループが除外されています。電子メール アドレス オブジェクトは、SMTP クライアント ポリシーの「メール送信者」フィールドまたは「メール受信者」フィールドで使用できます。「メール送信者」フィールドは、電子メールの送信者を表します。「メール受信者」フィールドは、電子メールの受信者を表します。

アプリケーション制御では Outlook Exchange または類似のアプリケーションからグループ メンバーを直接抽出することはできませんが、Outlook のメンバー リストを使用して、グループ メンバーがリストされたテキスト ファイルを作成することはできます。次に、このグループの電子メール アドレス オブジェクトを作成するときに、「ファイルからロード」ボタンを使用してテキスト ファイルからリストをインポートできます。テキスト ファイル内で電子メール アドレスが 1 行に 1 つずつ記述されていることを確認してください。