SonicOS 7 ルールとポリシー --- TZ シリーズ用
- SonicOS 7 ルールとポリシー
- アクセス ルール
- NAT ルール
- ルーティング ルール
- コンテンツ フィルタ ルール
- アプリケーション ルール
- エンドポイント ルール
- SonicWall サポート
アプリケーション ルール ポリシーの作成について
アプリケーション ルールを使用すると、ネットワーク上のトラフィックの特定の側面を制御する個別アプリケーション ルール ポリシーを作成できます。ポリシーは、一致オブジェクト、プロパティ、および特定の防御動作のセットです。ポリシーを作成するときは、最初に一致オブジェクトを作成したうえで、動作を選択 (オプションでカスタマイズ) し、これらをポリシー作成時に参照します。
「ポリシー | ルールとポリシー > アプリケーション ルール」ページで、「アプリケーション ルールの追加」ダイアログにアクセスできます。ダイアログのオプションは、選択するポリシー種別によって変化します。例えば、「SMTP クライアント」が選択されている場合、オプションは「アプリケーション制御コンテンツ」の「ポリシー種別」とは大きく異なります。
ポリシーの例を次に示します。
- ギャンブルのようなアクティビティに関するアプリケーションを遮断する。
.exeおよび.vbs形式の電子メール添付ファイルを無効にする。- 送信 HTTP 接続で Mozilla ブラウザを許可しない。
- 発信元が CEO と CFO の場合を除き、"
SonicWall Confidential(SonicWall 社外秘)" というキーワードを含む、送信電子メールまたは MS Word 添付ファイルを許可しない。 - すべての機密文書内でグラフィックまたは透かしが検出された送信電子メールを許可しない。
ポリシーを作成するときは、ポリシー種別を選択します。それぞれのポリシー種別は、ポリシーの送信元、送信先、一致オブジェクト種別、および動作フィールドに有効な値または値タイプを指定します。さらに、ポリシーを定義することで、特定のユーザまたはグループを対象として含めるかまたは除外するかの指定、スケジュールの選択、ログ記録の有効化、接続側の指定、および基本または詳細方向タイプの指定を行うこともできます。基本方向タイプは、受信または送信のみを単に示します。詳細方向タイプでは、ゾーン間の送信の方向 (例えば LAN から WAN) を設定できます。
アプリケーション ルール: ポリシー種別の表に、使用可能なアプリケーション ルール ポリシー種別の特徴を示します。
| ポリシー種別 | 説明 | 有効な送信元サービス/既定 | 有効な送信先サービス/既定 | 有効な一致オブジェクト種別 | 有効な動作種別 | 接続側 |
|---|---|---|---|---|---|---|
| アプリケーション制御コンテンツ | 任意のアプリケーション層プロトコルの動的なアプリケーション ルール関連オブジェクトを使用するポリシー | すべて/すべて | すべて/すべて | アプリケーション種別リスト、アプリケーション リスト、アプリケーションシグネチャ リスト | リセット/破棄、動作なし、DPI をバイパス、パケット監視、帯域幅管理グローバル-*、WAN 帯域幅管理 * | 該当なし |
| ユーザ定義ポリシー | 任意のアプリケーション層プロトコルの個別オブジェクトを使用するポリシー、IPS 形式の個別のシグネチャを作成するのに使用可 | すべて/すべて | すべて/すべて | 個別オブジェクト | リセット/破棄、DPI をバイパス、パケット監視、動作なし、帯域幅管理グローバル-*、WAN 帯域幅管理 * | クライアント側、サーバ側、両方 |
| FTP クライアント | FTP 制御チャンネルで転送されるすべての FTPコマンド | すべて/すべて | FTP 制御/FTP 制御 | FTP コマンド、FTP コマンド+値、個別オブジェクト | リセット/破棄、DPI をバイパス、パケット監視、動作なし | クライアント側 |
| FTP クライアント ファイル アップロード要求 | FTP でファイルをアップロードしようとする試み (STOR コマンド) | すべて/すべて | FTP 制御/FTP 制御 | ファイル名、ファイル拡張子 | リセット/破棄、DPI をバイパス、パケット監視、動作なし、帯域幅管理グローバル-*、WAN 帯域幅管理 * | クライアント側 |
| FTP クライアント ファイル ダウンロード要求 | FTP でファイルをダウンロードしようとする試み (RETR コマンド) | すべて/すべて | FTP 制御/FTP 制御 | ファイル名、ファイル拡張子 | リセット/破棄、DPI をバイパス、パケット監視、動作なし、帯域幅管理グローバル-*、WAN 帯域幅管理 * | クライアント側 |
| FTP データ転送ポリシー | FTP データ チャンネルで転送されるデータ | すべて/すべて | すべて/すべて | ファイル内容オブジェクト | リセット/破棄、DPI をバイパス、パケット監視、動作なし | 両方 |
| HTTP クライアント | ウェブ ブラウザ トラフィックまたはクライアント上で発生するすべての HTTP 要求に適用されるポリシー | すべて/すべて | すべて/HTTP (設定可能) | HTTP ホスト、HTTP Cookie、HTTP リファラ、HTTP Request 個別ヘッダー、HTTP URI コンテンツ、HTTP ユーザ エージェント、ウェブ ブラウザ、ファイル名、ファイル拡張子個別オブジェクト | リセット/破棄、DPI をバイパス、パケット監視1 動作なし、帯域幅管理グローバル-*、WAN 帯域幅管理 * | クライアント側 |
| HTTP サーバ | HTTP サーバから発信される応答 | すべて/HTTP (設定可能) | すべて/すべて | ActiveX クラス ID、HTTP Set Cookie、HTTP Response、ファイル内容オブジェクト、個別ヘッダー、個別オブジェクト | リセット/破棄、DPI をバイパス、パケット監視、動作なし、帯域幅管理グローバル-*、WAN 帯域幅管理 * | サーバ側 |
| IPS コンテンツ | 任意のアプリケーション層プロトコルの動的な侵入防御関連オブジェクトを使用するポリシー | 該当なし | 該当なし | IPSシグネチャ種別リスト、IPSシグネチャ リスト | リセット/破棄、DPI をバイパス、パケット監視、動作なし、帯域幅管理グローバル-*、WAN 帯域幅管理 * | 該当なし |
| POP3 クライアント | POP3 クライアントによって生成されたトラフィックを検査するポリシー、通常は POP3 サーバ管理者にとって有用 | すべて/すべて | POP3 (電子メールの取得)/POP3 (電子メールの取得) | 個別オブジェクト | リセット/破棄、DPI をバイパス、パケット監視、動作なし | クライアント側 |
| POP3 サーバ | POP3 サーバからPOP3 クライアントにダウンロードされた電子メールを検査するポリシー、電子メール フィルタに使用 | POP3 (電子メールの取得)/POP3 (電子メールの取得) | すべて/すべて | 電子メール本文、電子メール CC、電子メール送信元、電子メール送信先、電子メール件名、ファイル拡張子、MIME 個別ヘッダー | リセット/破棄、電子メール添付ファイルを無効化 - テキストの追加、DPI をバイパス、動作なし | サーバ側 |
| SMTP クライアント | クライアント上で発生するSMTP トラフィックに適用されるポリシー | すべて/すべて | SMTP (電子メールの送信)/SMTP (電子メールの送信) | 電子メール本文、電子メール CC、電子メール送信元、電子メール送信先、電子メール サイズ、電子メール件名、個別オブジェクト、ファイル内容、ファイル名、ファイル拡張子、MIME 個別ヘッダー | リセット/破棄、応答を返さずに SMTP 電子メールを遮断、DPI をバイパス、パケット監視、動作なし | クライアント側 |
Was This Article Helpful?
Help us to improve our support portal