画面遷移:NW設定 > 契約・設定 > 契約・設定一覧 > インターネットセキュリティアプライアンスポリシー設定 > ポリシー編集 > ポリシー追加/ルール追加
■インターネットType4・ポリシールール設定・追加手順
1.契約・設定一覧
① 一覧より対象のインターネットType4のデータ行をクリックしてください。
② 画面下部にインターネット・セキュリティアプライアンス契約情報と対応するボタンが表示されますので、「ポリシー設定」ボタンを押下すると「インターネットセキュリティアプライアンスポリシー設定」画面に遷移します。
2.インターネットセキュリティアプライアンスポリシー設定
※画面例は、「アクセス拠点 → インターネット」方向でアプライアンス契約が「UTM」の場合
ルール追加対象のタブ(画面例ではNAT(IP Masquerade)かUTM)を選択し、「ポリシー編集」ボタンを押下して「ポリシー編集」画面に移行してください。
※ポリシー編集を行った後に「インターネットセキュリティアプライアンスポリシー設定」画面にて「設定反映」ボタンを押下することでポリシーが反映されます。
3.ポリシー編集
「ルール追加」ボタンを押下して、「4.ポリシー・ルール追加」画面に移行して下さい。
※ルール追加を行った後に「ポリシー編集」画面にて「保存」ボタンを押下しポリシー保存後に、「インターネットセキュリティアプライアンスポリシー設定」画面で「設定反映」を押下することでポリシーが反映されます。
ポリシールール追加画面は場合により以下の4つのパターンがあります。(アプライアンスがUTM以外の場合でもUTMの情報を参考に設定をお願い致します)
■「UTM(インターネット → アクセス拠点) 」の場合
■「UTM(アクセス拠点 → インターネット) 」の場合
■「NAT(IP Forwarding)インターネット → アクセス拠点」の場合
■「NAT(IP Masquerade)アクセス拠点 → インターネット」の場合
4.ポリシー追加/ルール追加
4つのパターンのいずれの場合でも必要事項を入力し右下の「保存」ボタンを押下すると確認画面が表示されますので「はい」ボタン押下でポリシールールが保存されます。
※画面例は、グローバルゾーン → プライベートゾーンのアプライアンス契約が「UTM」
■実際の設定反映に関する注意
この時点ではまだ、ポリシーは適用されていません。
「ポリシー編集」画面にて「保存」ボタンを押下し保存後に、「インターネットセキュリティアプライアンスポリシー設定」画面にて「ポリシー設定反映」ボタンを押下することでポリシーが反映されます。画面等詳細については「インターネットType4・設定反映」ページをご参照ください。
■初期設定時の注意事項
インターネットFW、UTM、NAT(IPMasquerade)へサービス申込時に設定される編集可能なデフォルトポリシーの送信元は初回設定反映に伴い「ゾーン内に配置済み全アドレス」が対象となりますので、ポリシーの追加や編集又は他のアプライアンスを利用する場合は利用するアドレスを全て登録しゾーンへ配置する必要があります。
■UTM(インターネット → アクセス拠点) の場合
| 項目 | 設定値 | 説明 | |
|---|---|---|---|
| ポリシーID | アプライアンス毎に「1001」~「9999」 | 任意のIDを入力 ※インターネットFW、UTM、NATはデフォルトポリシーとして「1001」が設定済み | |
| 送信元アドレス | any | 全アドレス | 全アドレスを対象とします |
| アドレス | アドレスを指定 | ※FQDN・国と地域についても指定可能(別表1) 「全選択」で選択可能なもの全てを選択します ゾーン内に配置されたアドレスから選択します。 ※右側の「ギア」アイコンをクリックすると「インターネットサイト設定(Type4)」画面がポップアップし設定が出来ます。 | |
| 宛先アドレス | アドレスを指定 | ゾーン内に配置されたアドレスから選択します。 「全選択」で配置されたアドレスを全て選択可能です ※右側の「ギア」アイコンをクリックすると「エクストラサイト一覧(Type4)」画面がポップアップし設定が出来ます。 | |
| サービス | any | 全サービス | 全サービスを対象とします |
| Application-default | 自動選択 | インターネットFW、UTMのプロファイル設定でアプリケーションを指定した場合に、アプリケーションに適したサービスを自動で選択します。 | |
| Select ※1ポリシーあたり10個まで選択可能。11個以上指定する場合は複数ポリシーに分けて設定 | 定義済みサービス | あらかじめKDDIによって登録されたよく利用するサービス(別表2) 「全選択」で定義済みサービスを全て選択可能です | |
| 個別サービス | お客様任意で登録したプロトコルやPort番号を指定したサービスです 「全選択」で個別サービスを全て選択可能です 右側の「ギア」アイコンをクリックすると「個別サービス設定(追加)」画面がポップアップし設定が出来ます。 | ||
| インターネットFW | OFF | インターネットFWをOFFにします | |
| any | アプリケーションを指定しない場合は「any」を選択 | ||
| ユーザ定義プロファイル | カテゴリ、テクノロジー、リスク等から識別するアプリケーションを指定したプロファイルを作成し選択します。 右側の「ギア」アイコンをクリックすると「プロファイル-インターネットFW設定(追加)」画面がポップアップし設定が出来ます。 | ||
| IDS/IPS | シグネチャ合致時の動作として以下の設定から選択します。 | ||
| OFF | IDS/IPSをOFFにします | ||
| Default | シグネチャ毎にKDDI推奨の動作(IPS,IDS)を設定します。 | ||
| IDS | IDSモードで動作し、該当通信のログ出力を行います。 | ||
| IPS | IPSモードで動作し、該当通信をBlockしログ出力を行います | ||
| URLフィルタリング | OFF | URLフィルタリングをOFFにします | |
| ユーザ定義ファイル | カテゴリ、ホワイトリスト、ブラックリストの設定を行ったプロファイルを作成し選択します。 右側の「ギア」アイコンをクリックすると「プロファイル-URLフィルタリングプロファイル設定(追加)」画面に移行します | ||
| Webアンチウイルス /メールアンチウィルス | パターンファイル合致時の動作として以下の設定から選択します。 | ||
| OFF | Webアンチウイルス/メールアンチウィルス をOFFにします | ||
| Default | パターンファイル毎にKDDI推奨の動作(Block、Alert)を設定します。 | ||
| Block | パターンファイルに合致した通信をBlockしログ出力を行います。 | ||
| Alert | パターンファイルに合致した通信のログの出力のみ行います。 | ||
| アンチスパイウェア | OFF | ONにした場合、スパイウェアによる外部への情報送信を検知することが可能です。 ※UTMのスパイウェアチェック時はWebアンチウイルスプロファイルの設定が必要です。 | |
| ON | |||
| アクション | Allow | インターネットFW・UTM以外は「Allow」固定 | |
| Deny | |||
| ログ出力 | OFF | ログ出力をOFFにします | |
| ON | ログ出力をONにします | ||
| 有効/無効 | 有効 | このポリシー設定を有効にします | |
| 無効 | このポリシー設定を無効にします | ||
| 備考 | 任意 | ポリシー設定部に表示されます。 | |
| 項目 | 設定値 | 説明 | |
|---|---|---|---|
| ポリシーID | アプライアンス毎に「1001」~「9999」 | 任意のIDを入力 ※インターネットFW、UTM、NATはデフォルトポリシーとして「1001」が設定済み | |
| 送信元アドレス | アドレスを指定 | ゾーン内に配置されたアドレスから選択する形式になります 「全選択」で配置されたアドレスを全て選択可能です 右側の「ギア」アイコンをクリックすると「エクストラサイト一覧(Type4)」画面がポップアップし設定が出来ます。 | |
| 宛先アドレス | any | 全アドレス | 全アドレスを対象とします |
| アドレス | アドレスを指定 | ※FQDN・国と地域についても指定可能(別表1) 「全選択」で選択出来るもの全て選択します。 ゾーン内に配置されたアドレスから選択する形式になります。 ※右側の「ギア」アイコンをクリックすると「インターネットサイト設定(Type4)」画面がポップアップし設定が出来ます。 | |
| サービス | any | 全サービス | 全サービスを対象とします |
| Application-default | 自動選択 | インターネットFW、UTMのプロファイル設定でアプリケーションを指定した場合に、アプリケーションに適したサービスを自動で選択します。 | |
| Select ※1ポリシーあたり10個まで選択可能。11個以上指定する場合は複数ポリシーに分けて設定 | 定義済みサービス | あらかじめKDDIによって登録されたよく利用するサービス(別表2) 「全選択」で定義済みサービスを全て選択可能です | |
| 個別サービス | お客様任意で登録したプロトコルやPort番号を指定したサービスです 「全選択」で個別サービスを全て選択可能です 右側の「ギア」アイコンをクリックすると「個別サービス設定(追加)」画面がポップアップし設定が出来ます。 | ||
| インターネットFW | OFF | インターネットFWをOFFにします | |
| any | アプリケーションを指定しない場合は「any」を選択 | ||
| ユーザ定義プロファイル | カテゴリ、テクノロジー、リスク等から識別するアプリケーションを指定したプロファイルを作成し選択します。 右側の「ギア」アイコンをクリックすると「プロファイル-インターネットFW設定(追加)」画面がポップアップし設定が出来ます。 | ||
| IDS/IPS | シグネチャ合致時の動作として以下の設定から選択します。 | ||
| OFF | IDS/IPSをOFFにします | ||
| Default | シグネチャ毎にKDDI推奨の動作(IPS,IDS)を設定します。 | ||
| IDS | IDSモードで動作し、該当通信のログ出力を行います。 | ||
| IPS | IPSモードで動作し、該当通信をBlockしログ出力を行います | ||
| URLフィルタリング | OFF | URLフィルタリングをOFFにします | |
| ユーザ定義ファイル | カテゴリ、ホワイトリスト、ブラックリストの設定を行ったプロファイルを作成し選択します。 右側の「ギア」アイコンをクリックすると「プロファイル-URLフィルタリングプロファイル設定(追加)」画面に移行します | ||
| Webアンチウイルス /メールアンチウィルス | パターンファイル合致時の動作として以下の設定から選択します。 | ||
| OFF | Webアンチウイルス/メールアンチウィルス をOFFにします | ||
| Default | パターンファイル毎にKDDI推奨の動作(Block、Alert)を設定します。 | ||
| Block | パターンファイルに合致した通信をBlockしログ出力を行います。 | ||
| Alert | パターンファイルに合致した通信のログの出力のみ行います。 | ||
| アンチスパイウェア | OFF | ONにした場合、スパイウェアによる外部への情報送信を検知することが可能です。 ※UTMのスパイウェアチェック時はWebアンチウイルスプロファイルの設定が必要です。 | |
| ON | |||
| アクション | Allow | インターネットFW・UTM以外は「Allow」固定 | |
| Deny | |||
| ログ出力 | OFF | ログ出力をOFFにします | |
| ON | ログ出力をONにします | ||
| 有効/無効 | 有効 | このポリシー設定を有効にします | |
| 無効 | このポリシー設定を無効にします | ||
| 備考 | 任意 | ポリシー設定部に表示されます。 | |
■NAT(IP Forwarding)インターネット → アクセス拠点 の場合
インターネット側からイントラネット網内へ通信を行うためのNAT設定が可能です。
(初期状態ではインターネット側からイントラネット網内へアクセスすることはできません)
| 項目 | 設定値 | 説明 | |
|---|---|---|---|
| ポリシーID | アプライアンス毎に「1001」~「9999」 | 任意のIDを入力 ※インターネットFW、UTM、NATはデフォルトポリシーとして「1001」が設定済み | |
| 送信元アドレス | any | 全アドレスを対象とします | |
| アドレス | 配置済みアドレスから指定 「全選択」で配置されたアドレスを全て選択可能です 右側の「ギア」アイコンをクリックすると「エクストラサイト一覧(Type4)」画面がポップアップし設定が出来ます。 | ||
| IPマッピング | IPマッピングを指定 | インターネットからイントラネット内の拠点へアクセスする際のNATのマッピング変換設定を行うことが可能です。(IPマッピング設定(追加)) | |
| 有効/無効 | 有効 | このルール設定を有効にします | |
| 無効 | このルール設定を無効にします | ||
| 備考 | 任意 | ポリシー設定部に表示されます。 | |
※ 設定にあたり「NATで指定するグローバルIPアドレスの注意事項」もご参考にして頂ければ幸いです。
※ NATは登録されたルール数(ポリシー数)によって課金されるため、新しいポリシー追加時に下記メッセージが出力されます。(設定済みルール数に関係なく表示されます。)
※ IPマッピングの設定イメージ
■NAT(IP Masquerade)アクセス拠点 → インターネット の場合
イントラネットからインターネットへ通信を行う際のグローバルIPアドレスの設定が可能です。
ご利用開始にあたり初期状態でグローバルIPアドレスが設定済みのため、新たに設定を行う必要はありません。
| 項目 | 設定値 | 説明 | |
|---|---|---|---|
| ポリシーID | アプライアンス毎に「1001」~「9999」 | 任意のIDを入力 ※インターネットFW、UTM、NATはデフォルトポリシーとして「1001」が設定済み | |
| 送信元アドレス | アドレス | 配置済みアドレスから指定 「全選択」で配置されたアドレスを全て選択可能です 右側の「ギア」アイコンをクリックすると「エクストラサイト一覧(Type4)」画面がポップアップし設定が出来ます。 | |
| 宛先アドレス | any | 全アドレスを対象とします | |
| アドレス | 配置済みアドレスから指定 右側の「ギア」アイコンをクリックすると「インターネットサイト設定(Type4)」画面がポップアップし設定が出来ます。 | ||
| IP Pool | IP Poolを指定 | 設定したポリシーに合致した場合に、送信元アドレスをIP Poolで設定したグローバルIPアドレスに変換し通信を行います。 複数のグローバルIPアドレスを設定する場合は、ひとつのポリシーへ複数のIP Poolを指定します。変換するグローバルIPアドレスは設定したIP Poolの中からランダムで選択されます。 (IP Pool設定(追加)) 「全選択」で配置されたアドレスを全て選択可能です | |
| 有効/無効 | 有効 | このルール設定を有効にします | |
| 無効 | このルール設定を無効にします | ||
| 備考 | 任意 | ポリシー設定部に表示されます。 | |
※ 宅内でグローバルIPアドレス(正規・非正規とも)をご利用の際は、サイト・アドレス登録が必要です。登録しない場合はNATへルーティング情報が設定されません。
※ 設定にあたり「NATで指定するグローバルIPアドレスの注意事項」もご参考にして頂ければ幸いです。
※ NATは登録されたルール数(ポリシー数)によって課金されるため、新しいポリシー追加時に下記メッセージが出力されます。(設定済みルール数に関係なく表示されます。)
※ IP Poolの設定イメージ
