• SonicOS 7 ルールとポリシー
• アクセス ルール
  • ファイアウォール アクセス ルールの設定
    • ステートフル パケット検査の既定のアクセス ルールについて
    • 接続の制限について
    • アクセス ルールによる帯域幅管理の使用
      • アクセス ルールでの帯域幅管理の有効化
    • アクセス ルールの設定
      • 詳細設定の構成
      • QoS 設定値の構成
      • 詳細帯域幅管理での帯域幅管理の設定
      • グローバル帯域幅管理での帯域幅管理の設定
      • 地域 IP 設定値の構成
      • アクセス ルールの確認
      • IPv6 のアクセス ルールの設定
      • NAT64 のアクセス ルールの設定
      • DNS プロキシのアクセス ルール
      • アクセス ルールのユーザ優先順位
      • アクセス ルールの表示
        • ゾーン別
        • 列ごと
      • ゾーン間アクセス ルールの最大数の指定
      • ゾーンのアクセス ルールの設定
    • アクセス ルールの有効化と無効化
    • アクセス ルールの編集
    • アクセス ルールの削除
    • アクセス ルールの既定の設定の復元
    • アクセス ルールのトラフィック統計の表示
  • アクセス ルールの設定例
    • Ping の有効化
    • 特定のサービスへの LAN アクセスの遮断
    • LAN ゾーンからの WAN プライマリ IP アクセスの許可
• NAT ルール
  • SonicOS での NAT について
  • NAT 負荷分散について
    • 使用する NAT LB 方式の決定
    • 注意
    • 負荷分散アルゴリズムの適用方法
    • スティッキー IP アルゴリズムの例
      • 例 1 - ネットワークへの割付
      • 例 2 - IP アドレス範囲への割付
  • NAT64 について
    • Pref64::/n の使用
  • FQDN ベースの NAT について
  • 送信元 MAC アドレスの置き換えについて
  • NAT ポリシー エントリの表示
    • 表示の変更
    • 表示のフィルタリング
    • ポリシーに関する情報の表示
  • 「NAT または NAT64 の追加または編集」ポリシー
  • NAT ポリシーの削除
  • NAT ルール ポリシーの作成 例
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
    • 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
    • WAN IP アドレス経由の着信ポート アドレス変換
    • 多対 1 の NAT ポリシーの作成
    • 多対多の NAT ポリシーの作成
    • 1 対多の NAT 負荷分散ポリシーの作成
    • 2 台のウェブ サーバの NAT 負荷分散ポリシーの作成
    • NAT64 ポリシーのための WAN から WAN へのアクセス ルールの作成
    • DNS 改竄
• ルーティング ルール
  • ルーティングについて
    • メトリックと管理距離
      • メトリックについて
      • 管理距離について
    • ルート通知
    • ECMP ルーティング
    • ポリシーベース ルーティング
    • ポリシーベース TOS ルーティング
    • PBR のメトリックベースの優先順位
    • ポリシー ベースのルーティングと IPv6
    • OSPF および RIP の高度なルーティング サービス
      • ルーティング サービスについて
        • プロトコル種別
        • 最大ホップ数
        • スプリット ホライズン
        • ポイズン リバース
        • ルーティング テーブル更新
        • サブネット サイズのサポート
        • 自律システム トポロジ
      • OSPF の条件
    • ドロップ トンネル インターフェース
    • アプリベースのルーティング
  • ルールとポリシー > ルーティング ルール
    • ルーティング ルールの設定
      • 静的ルートの追加
      • プローブに対応したポリシーベース ルーティングの設定
• コンテンツ フィルタ ルール
  • コンテンツ フィルタ ルール (CFS) について
    • コンテンツ フィルタ ルールについて
    • CFS ポリシーの UUID について
    • コンテンツ フィルタ オブジェクトについて
    • CFS の動作
  • CFS ポリシーの設定
    • コンテンツ フィルタ ルール テーブルについて
      • コンテンツ フィルタ ルール テーブルの検索
    • コンテンツ フィルタ ルールの追加
    • コンテンツ フィルタ ルールの編集
    • コンテンツ フィルタ ルールの削除
• アプリケーション ルール
  • アプリケーション ルールについて
    • アプリケーション ルールとは？
      • アプリケーション ルール ポリシーについて
      • アプリケーション ルールの性能について
    • アプリケーション ルールのメリット
    • アプリケーション制御の仕組み
    • アプリケーション制御ポリシーの作成について
    • アプリケーション ルール ポリシーの作成について
    • プリケーション ルールとアプリケーション制御 のライセンス
    • 用語
  • ルールとポリシー > アプリケーション ルール
    • アプリケーション ルール ポリシーの設定
    • アプリケーション ルール ウィザードを使用する
  • アプリケーション ルール設定の確認
    • 便利なツール
      • Wireshark
      • 16 進エディタ
  • アプリケーション ルールの使用例
    • 一致オブジェクトでの正規表現の作成
    • ポリシーベースのアプリケーション ルール
    • アプリケーション シグネチャベース ポリシーのログ
    • コンプライアンスの施行
    • サーバの保護
    • ホストされる電子メール環境
    • 電子メール制御
    • ウェブ ブラウザ制御
    • HTTP POST 制御
    • 禁止するファイル タイプ制御
    • ActiveX コントロール
    • FTP 制御
      • 機密ファイルの FTP 送信の遮断
      • 送信 UTF-8/UTF-16 エンコード ファイルの遮断
      • FTP コマンドの遮断
    • 帯域幅管理
    • DPI をバイパス
    • 個別のシグネチャ
    • リバース シェル悪用の防御
      • ネットワーク アクティビティの生成
      • Wireshark を使用したペイロードのキャプチャおよびテキスト ファイルへのエクスポート
      • 一致オブジェクトの作成
      • ポリシーの定義
• エンドポイント ルール
• SonicWall サポート

アプリケーション ルール ポリシーの設定

必要な一致オブジェクトと動作オブジェクトを作成すると、これらのオブジェクトを使用するポリシーを作成できるようになります。

アプリケーション制御ウィザードを使ったポリシーの作成については、「アプリケーション ルール ウィザードを使用する」を参照してください。

ポリシーおよびポリシー種別については、「アプリケーション ルール ポリシーの作成について」を参照してください。

「ポリシー | ルールとポリシー > アプリケーション制御」ページで設定されたポリシーは、「ポリシー | ルールとポリシー > アプリケーション ルール」ページで設定されたポリシーよりも優先されます。

アプリケーション ルール ポリシーを設定するには、以下の手順に従います。

1. 「ポリシー | ルールとポリシー > アプリケーション ルール」ページに移動します。

   

2. ページの上部にある「+ ルールの追加」をクリックします。「アプリケーション ルールの追加」ダイアログが表示されます。

   

3. 「ポリシー名」フィールドに、わかりやすい名前を入力します。

4. ドロップダウン メニューから「ポリシー種別」を選択します。ここでの選択によって、ダイアログに表示されるオプションが変わります。使用可能なポリシー種別については、「アプリケーション ルール ポリシーの作成について」を参照してください。

5. 送信元および送信先のアドレス グループまたはアドレス オブジェクトを「アドレス」ドロップダウン メニューから選択します。「IPS コンテンツ」、「アプリケーション制御コンテンツ」、または「CFS」のポリシー種別では、単一の「アドレス」フィールドのみを使用できます。

6. 「サービス」ドロップダウン メニューから送信元または送信先サービスを選択します。ポリシー種別によってはサービスを選択できない場合があります。

7. 「除外アドレス」で、ドロップダウン メニューからアドレス グループまたはアドレス オブジェクトを必要に応じて選択します。このアドレスは、ポリシーの影響を受けません。

8. 「一致オブジェクト」で、ポリシー種別に当てはまる定義済みの一致オブジェクトを含むドロップダウン メニューから一致オブジェクトを選択します。ポリシー種別が「HTTP クライアント」の場合、必要に応じて「除外一致オブジェクト」を選択できます。

   除外一致オブジェクトを使用すると、ポリシーのサブドメインを区別できます。例えば、news.yahoo.com は許可するが、その他すべての yahoo.com サイトは遮断したい場合は、yahoo.com と news.yahoo.com の両方に対して一致オブジェクトを作成します。さらに、一致オブジェクト yahoo.com を遮断するポリシーを作成し、「除外一致オブジェクト」を news.yahoo.com に設定します。

   一致オブジェクト種別が「個別オブジェクト」に設定されている場合、「除外一致オブジェクト」は有効になりません。個別オブジェクトは除外一致オブジェクトとして選択できません。

9. 「動作オブジェクト」で、ポリシー種別に当てはまる動作を含むドロップダウン メニューから動作を選択します。使用可能なオブジェクトには、定義済みのアクションと、適用可能なユーザ定義のアクションが含まれます。既定値は、いずれのポリシー種別も「リセット/破棄」です。

   ログのみのポリシーの場合は、「動作なし」を選択します。

10. 「ユーザ/グループ」で、「包含」と「除外」の両方についてドロップダウン メニューから選択を行います。「除外」で選択されたユーザまたはグループは、ポリシーの影響を受けません。

11. ポリシー種別が「SMTP クライアント」の場合は、「包含」と「除外」の両方について「メール送信者」と「メール受信者」のドロップダウン メニューから選択を行います。「除外」で選択されたユーザまたはグループは、ポリシーの影響を受けません。

12. 「スケジュール」で、ポリシーを有効にするさまざまなスケジュールを含むドロップダウン メニューから選択を行います。

    既定である「常に有効」以外のスケジュールを指定すると、スケジュールで設定された時間帯にのみルールが有効になります。例えば、業務に関係のないサイトへのアクセスを遮断するポリシーに対して「勤務時間」を指定すると、業務時間外にそうしたサイトへのアクセスを許可することができます。

13. 一致が見つかったときにログ エントリを作成するポリシーにする場合は、「ログを有効にする」を選択します。

14. ログに詳細な情報を記録するには、「個々のオブジェクト内容をログする」を選択します。

15. ポリシー種別が「IPS コンテンツ」の場合は、「IPS メッセージ形式を使用してログする」を選択します。これで、ログ エントリ内の種別は "アプリケーション制御" ではなく "侵入防御" と表示され、ログ メッセージ内では "アプリケーション制御の警告" ではなく "IPS 検知警告" のような接頭辞が使われるようになります。これは、ログ フィルタを使用して IPS に関する警告を検索する場合に便利です。

16. ポリシー種別が「アプリケーション制御コンテンツ」の場合は、ログ エントリ内の種別を "アプリケーション制御" と表示し、ログ メッセージ内で "アプリケーション制御検知警告" のような接頭辞を使用するために、「アプリケーション制御メッセージ形式を使用してログする」を選択します。これは、ログ フィルタを使用してアプリケーション制御に関する警告を検索する場合に便利です。

17. 「ログ冗長フィルタ」で、「グローバル設定」を選択して「ポリシー | ルールとポリシー > アプリケーション制御」ページで設定されたグローバル値を使用するか、このポリシーの各ログエントリどうしの間隔を秒数で入力します。グローバル設定よりも優先されるローカル設定の対象となるのはこのポリシーのみです。 他のポリシーは影響を受けません。

18. 「接続側」で、ドロップダウン メニューから目的の接続側を選択します。利用できる選択肢はポリシー種別に依存し、含まれる可能性があるのは「クライアント側」、「サーバ側」、または「両方」であり、これらはトラフィックがどちら側で発生したかを表します。ポリシー種別が「IPS コンテンツ」または「アプリケーション制御コンテンツ」の場合、この設定オプションはありません。

19. 「方向」で、「基本」または「詳細」のどちらかを選択し、ドロップダウン メニューから方向を選択します。「基本」の場合は、「受信」、「送信」、または「両方」を選択できます。「詳細」の場合は、ゾーン間の方向 (例えば LAN から WAN) を選択できます。ポリシー種別が「IPS コンテンツ」または「アプリケーション制御コンテンツ」の場合、この設定オプションはありません。

20. ポリシー種別が「IPS コンテンツ」または「アプリケーション制御コンテンツ」の場合は、「ゾーン」ドロップダウン メニューからゾーンを選択します。ポリシーはこのゾーンに適用されます。

21. 「OK」をクリックします。