AppControlAdvanced
「ファイアウォール > アプリケーション制御詳細」ページでは、種別、アプリケーション、シグネチャを使用してグローバルなアプリケーション制御ポリシーを設定できます。このページで設定されるポリシーはアプリケーション ルール ポリシーとは独立しており、アプリケーション ルール ポリシーに追加しなくても有効になります。
このページでは次の設定を使用できます。
• 種別、アプリケーション、またはシグネチャを選択する。
• 遮断またはログ記録、あるいはこれら両方の動作を選択する。
• 動作に含めたり除外したりするユーザ、グループ、または IP アドレス範囲を指定する。
• 制御を執行するスケジュールを設定する。
これらのアプリケーション制御設定はアプリケーション ルール ポリシーとは独立したものですが、ここで使用できる任意の種別、アプリケーション、またはシグネチャでアプリケーション一致オブジェクトを作成して、それらの一致オブジェクトをアプリケーション ルール ポリシーで使用することもできます。詳細については、アプリケーション リスト オブジェクト を参照してください。
「ファイアウォール > アプリケーション制御詳細」ページには、次のグローバル設定が用意されています。
• アプリケーション制御を有効にする
• アプリケーション制御の設定
• アプリケーション制御の設定とポリシーをリセット
アプリケーション制御はライセンスされたサービスであり、この機能を使用するには該当するサービスも有効にする必要があります。
アプリケーション制御を有効にし、グローバル設定を行うには:
1. アプリケーション制御をグローバルに有効にするために、「アプリケーション制御を有効にする」チェックボックスをオンにします。
2. ネットワーク ゾーンでアプリケーション制御を有効にするには、「ネットワーク > ゾーン」ページを表示して、必要なゾーンの設定アイコンを選択します。
「アプリケーション制御サービスを有効にする」チェックボックスを選択し、「OK」を選択します。
補足 アプリケーション制御ポリシーがあるネットワーク ゾーン内のトラフィックに適用されるのは、そのゾーンでアプリケーション制御サービスを有効にしている場合に限ります。アプリケーション ルール ポリシーは独立しており、ネットワーク ゾーンに対するアプリケーション制御の設定には影響されません。
「ネットワーク > ゾーン」ページでは、アプリケーション制御サービスが有効になっているすべてのゾーンの「アプリケーション制御」列に緑色のインジケータが表示されます。
アプリケーション制御ポリシーのグローバル除外リストは、「ファイアウォール > アプリケーション制御詳細」ページで設定できます。除外リストを設定するには、「アプリケーション制御の設定」ボタンを選択します。「アプリケーション制御除外リスト」ウィンドウが開きます。
IPS 除外リスト (「セキュリティ サービス > 侵入防御」ページで設定できます) を使用するには、「IPS 除外リストを有効にする」ラジオ ボタンを選択します。
6. アドレス オブジェクトを除外リストで使用するには、「アプリケーション制御除外アドレス オブジェクトを使用する」ラジオ ボタンを選択した後、アドレス オブジェクトをドロップダウン リストから選択します。
「OK」を選択します。
8. アプリケーション制御設定とポリシー設定を工場出荷時の状態にリセットするには、「ファイアウォール > アプリケーション制御詳細」ページで「アプリケーション制御の設定とポリシーをリセット」ボタンを選択し、確認用のダイアログ ボックスで「OK」を選択します。
種別に基づく設定は、「ファイアウォール > アプリケーション制御詳細」ページで最も広範囲にわたるポリシー設定の方法です。種別のリストは、「種別」ドロップダウン リストで使用できます。
アプリケーション制御ポリシーをアプリケーション種別に対して設定するには:
1. 「ファイアウォール > アプリケーション制御詳細」ページに移動します。
2. 「アプリケーション制御の詳細」の下にある「シグネチャ種別」ドロップダウン リストからアプリケーション種別を選択します。種別を選択すると、フィールドの右側に「設定」ボタンが表示されます。
3. 「設定」ボタンを選択して、選択した種別の「アプリケーション制御種別の設定」ウィンドウを開きます。
この種別のアプリケーションを遮断するには、「遮断」ドロップダウン リストで「有効」を選択します。
5. この種別のアプリケーションが検出されたときにログ エントリを作成するには、「ログ」ドロップダウン リストで「有効」を選択します。
6. 選択した遮断やログ記録の動作の対象を特定のユーザまたはユーザのグループに設定するには、「包含するユーザ/グループ」ドロップダウン リストから個々のユーザまたはユーザ グループを選択します。「すべて」を選択すると、このポリシーがすべてのユーザに適用されます。
7. 選択した遮断やログ記録の動作の対象から特定のユーザまたはユーザのグループを除外するには、「除外するユーザ/グループ」ドロップダウン リストから個々のユーザまたはユーザ グループを選択します。「なし」を選択すると、このポリシーがすべてのユーザに適用されます。
8. 選択した遮断やログ記録の動作の対象を特定の IP アドレスまたはアドレス範囲に設定するには、「包含する IP アドレス範囲」ドロップダウン リストからアドレス グループまたはアドレス オブジェクトを選択します。「すべて」を選択すると、このポリシーがすべての IP アドレスに適用されます。
9. 選択した遮断やログ記録の動作の対象から特定の IP アドレスまたはアドレス範囲を除外するには、「除外する IP アドレス範囲」ドロップダウン リストからアドレス グループまたはアドレス オブジェクトを選択します。「なし」を選択すると、このポリシーがすべての IP アドレスに適用されます。
10. このポリシーを特定の曜日や特定の時間だけ有効にするには、「スケジュール」ドロップダウン リストから次のスケジュールのいずれかを選択します。
– 常に有効 - ポリシーを常時有効にします。
– 勤務時間 - ポリシーを月曜日から金曜日の午前 8:00 から午後 5:00 まで有効にします。
– 月-火-水-木-金 08:00 から 17:00 - ポリシーを月曜日から金曜日の午前 8:00 から午後 5:00 まで有効にします。
– 時間外 - ポリシーを月曜日から金曜日の午後 5:00 から翌午前 8:00 まで有効にします。
– 月-火-水-木-金 00:00 から 08:00 - ポリシーを月曜日から金曜日の深夜 0:00 から午前 8:00 まで有効にします。
– 月-火-水-木-金 17:00 から 24:00 - ポリシーを月曜日から金曜日の午後 5:00 から深夜 0:00 まで有効にします。
– 土-日 00:00 から 24:00 - ポリシーを常時 (日曜日から土曜日まで毎日 24 時間) 有効にします。
– 週末時間 - ポリシーを金曜日の午後 5:00 から月曜日の午前 8:00 まで有効にします。
11. 繰り返し発生するイベントでログ エントリ間の遅延を指定するには、「ログ冗長フィルタ」フィールドに遅延の秒数を入力します。
12. 「OK」を選択します。
アプリケーションに基づく設定は、「ファイアウォール > アプリケーション制御詳細」ページでの中間レベルのポリシー設定であり、種別に基づくレベルとシグネチャに基づくレベルの中間に位置付けられます。
この設定方法では、同じ種別内の他のアプリケーションに影響を及ぼすことなく単一のアプリケーションのシグネチャに対してのみポリシーを執行する場合に、そのアプリケーションに特定のポリシー ルールを作成できます。
アプリケーション制御ポリシーを特定のアプリケーションに対して設定するには:
1. 「ファイアウォール > アプリケーション制御詳細」ページに移動します。
2. 最初に、「アプリケーション制御の詳細」の下にある「種別」ドロップダウン リストから種別を選択します。
3. 次に、この種別のアプリケーションを「アプリケーション」ドロップダウン リストから選択します。アプリケーションを選択すると、フィールドの右側に「設定」ボタンが表示されます。
「設定」ボタンを選択して、選択したアプリケーションの「アプリケーション制御アプリケーションの設定」ウィンドウを開きます。このウィンドウの上部にあるフィールドは編集できません。これらのフィールドには、アプリケーション種別とアプリケーション名の値が表示されます。アプリケーション設定パラメータには、アプリケーションが属する種別の現在の設定が既定で設定されます。種別の設定に対するこの関係を 1 つ以上のフィールドで維持するには、それらのフィールドでのこうした選択をそのままにしておきます。
このアプリケーションを遮断するには、「遮断」ドロップダウン リストで「有効」を選択します。
6. このアプリケーションが検出されたときにログ エントリを作成するには、「ログ」ドロップダウン リストで「有効」を選択します。
7. 選択した遮断やログ記録の動作の対象を特定のユーザまたはユーザのグループに設定するには、「包含するユーザ/グループ」ドロップダウン リストから個々のユーザまたはユーザ グループを選択します。「すべて」を選択すると、このポリシーがすべてのユーザに適用されます。
8. 選択した遮断やログ記録の動作の対象から特定のユーザまたはユーザのグループを除外するには、「除外するユーザ/グループ」ドロップダウン リストからユーザまたはユーザ グループを選択します。「なし」を選択すると、このポリシーがすべてのユーザに適用されます。
9. 選択した遮断やログ記録の動作の対象を特定の IP アドレスまたはアドレス範囲に設定するには、「包含する IP アドレス範囲」ドロップダウン リストからアドレス グループまたはアドレス オブジェクトを選択します。「すべて」を選択すると、このポリシーがすべての IP アドレスに適用されます。
10. 選択した遮断やログ記録の動作の対象から特定の IP アドレスまたはアドレス範囲を除外するには、「除外する IP アドレス範囲」ドロップダウン リストからアドレス グループまたはアドレス オブジェクトを選択します。「なし」を選択すると、このポリシーがすべての IP アドレスに適用されます。
11. このポリシーを特定の曜日や特定の時間だけ有効にするには、「スケジュール」ドロップダウン リストから次のスケジュールのいずれかを選択します。
– 常に有効 - ポリシーを常時有効にします。
– 勤務時間 - ポリシーを月曜日から金曜日の午前 8:00 から午後 5:00 まで有効にします。
– 月-火-水-木-金 08:00 から 17:00 - ポリシーを月曜日から金曜日の午前 8:00 から午後 5:00 まで有効にします。
– 時間外 - ポリシーを月曜日から金曜日の午後 5:00 から翌午前 8:00 まで有効にします。
– 月-火-水-木-金 00:00 から 08:00 - ポリシーを月曜日から金曜日の深夜 0:00 から午前 8:00 まで有効にします。
– 月-火-水-木-金 17:00 から 24:00 - ポリシーを月曜日から金曜日の午後 5:00 から深夜 0:00 まで有効にします。
– 土-日 00:00 から 24:00 - ポリシーを常時 (日曜日から土曜日まで毎日 24 時間) 有効にします。
– 週末時間 - ポリシーを金曜日の午後 5:00 から月曜日の午前 8:00 まで有効にします。
12. 繰り返し発生するイベントでログ エントリ間の遅延を指定するには、「ログ冗長フィルタ」フィールドに遅延の秒数を入力します。
13. アプリケーションに関する詳細な情報を確認するには、ウィンドウ下部の「補足」にあるここを選択します。
14. 「OK」を選択します。
シグネチャに基づく設定は、「ファイアウォール > アプリケーション制御詳細」ページでの最下位 (最も具体的な) レベルの設定です。
特定のシグネチャに基づくポリシーを設定すると、同じアプリケーションの他のシグネチャに影響を及ぼすことなく個々のシグネチャに対してポリシーを設定できます。
アプリケーション制御ポリシーを特定のシグネチャに対して設定するには:
1. 「ファイアウォール > アプリケーション制御詳細」ページに移動します。
2. 最初に、「アプリケーション制御の詳細」の下にある「種別」ドロップダウン リストから種別を選択します。
3. 次に、この種別のアプリケーションを「アプリケーション」ドロップダウン リストから選択します。
4. このアプリケーションの特定のシグネチャを表示するには、「表示方法」ドロップダウン リストで「シグネチャ」を選択します。フリースタイルのゲーム アプリケーションには 2 つのシグネチャがあります。
有効にするシグネチャの行にある設定ボタンを選択します。「アプリケーション制御シグネチャの設定」ウィンドウが開きます。このウィンドウの上部にあるフィールドは編集できません。これらのフィールドには、このシグネチャで検出できるシグネチャ種別、シグネチャ名、シグネチャ ID、危険度、トラフィックの方向の値が表示されます。
シグネチャに対する既定のポリシー設定には、シグネチャが属するアプリケーションの現在の設定が使用されます。アプリケーションの設定に対するこの関係を 1 つ以上のフィールドで維持するには、それらのフィールドでのこうした選択をそのままにしておきます。
このシグネチャを遮断するには、「遮断」ドロップダウン リストで「有効」を選択します。
7. このシグネチャが検出されたときにログ エントリを作成するには、「ログ」ドロップダウン リストで「有効」を選択します。
8. 選択した遮断やログ記録の動作の対象を特定のユーザまたはユーザのグループに設定するには、「包含するユーザ/グループ」ドロップダウン リストから個々のユーザまたはユーザ グループを選択します。「すべて」を選択すると、このポリシーがすべてのユーザに適用されます。
9. 選択した遮断やログ記録の動作の対象から特定のユーザまたはユーザのグループを除外するには、「除外するユーザ/グループ」ドロップダウン リストから個々のユーザまたはユーザ グループを選択します。「なし」を選択すると、このポリシーがすべてのユーザに適用されます。
10. 選択した遮断やログ記録の動作の対象を特定の IP アドレスまたはアドレス範囲に設定するには、「包含する IP アドレス範囲」ドロップダウン リストからアドレス グループまたはアドレス オブジェクトを選択します。「すべて」を選択すると、このポリシーがすべての IP アドレスに適用されます。
11. 選択した遮断やログ記録の動作の対象から特定の IP アドレスまたはアドレス範囲を除外するには、「除外する IP アドレス範囲」ドロップダウン リストからアドレス グループまたはアドレス オブジェクトを選択します。「なし」を選択すると、このポリシーがすべての IP アドレスに適用されます。
12. このポリシーを特定の曜日や特定の時間だけ有効にするには、「スケジュール」ドロップダウン リストから次のスケジュールのいずれかを選択します。
– 常に有効 - ポリシーを常時有効にします。
– 勤務時間 - ポリシーを月曜日から金曜日の午前 8:00 から午後 5:00 まで有効にします。
– 月-火-水-木-金 08:00 から 17:00 - ポリシーを月曜日から金曜日の午前 8:00 から午後 5:00 まで有効にします。
– 時間外 - ポリシーを月曜日から金曜日の午後 5:00 から翌午前 8:00 まで有効にします。
– 月-火-水-木-金 00:00 から 08:00 - ポリシーを月曜日から金曜日の深夜 0:00 から午前 8:00 まで有効にします。
– 月-火-水-木-金 17:00 から 24:00 - ポリシーを月曜日から金曜日の午後 5:00 から深夜 0:00 まで有効にします。
– 土-日 00:00 から 24:00 - ポリシーを常時 (日曜日から土曜日まで毎日 24 時間) 有効にします。
– 週末時間 - ポリシーを金曜日の午後 5:00 から月曜日の午前 8:00 まで有効にします。
13. 繰り返し発生するイベントでログ エントリ間の遅延を指定するには、「ログ冗長フィルタ」フィールドに遅延の秒数を入力します。
14. シグネチャに関する詳細な情報を確認するには、ウィンドウ下部の「補足」にあるここを選択します。
15. 「OK」を選択します。