ACL パラメーター
ACL はルールの順序付きリストで、Gateway ユーザーがインターネットまたはプライベートネットワーク上の宛先にアクセスしようとしたときの動作を定義します。各ルールには、宛先、ユーザー、およびルールが一致する可能性があるその他の要素、およびルールが一致するときに実行するアクションを指定できる複数のパラメーターが含まれています。ネットワークアクセス試行がどの ACL ルールとも一致しない場合、アクセスはブロックされます。
ACL ルールを追加または編集すると、更新はコミットされるまでドラフトルールのリストに追加されます。管理者ごとに各自のドラフトルールのリストがあります。管理者がルールの更新をコミットすると、ドラフトルールリストを持つ他のすべての管理者に、続行する前にドラフトルールリストを削除または更新するよう通知されます。
各ルールには、次のパラメーターを含めることができます。
|
項目 |
説明 |
|---|---|
|
一般的な情報 |
|
|
名前 |
これはルールの名前です。 |
|
説明 |
これは、ルールの目的の簡単な説明です。 |
|
有効 |
この設定は、ルールが ACL の一部であるかどうかを指定します。このオプションをオフにすると、ルールを削除せずに無効にできます。 |
|
アクション |
|
|
アクション |
この設定は、試行がルールに一致する場合にアクセスを許可するかブロックするかを指定します。アクセス試行を続行できる場合は、試行の次の段階で再評価される可能性があります。 |
|
ネットワーク保護に対してアドレスを確認 |
ルールのアクションでアクセスが許可されている場合でも、潜在的なネットワークの脅威が検出されたときには、Gateway は接続をブロックするかどうかをこの設定で指定します。特定のユーザーが潜在的に悪意のある宛先に接続する必要がない限り、このオプションは選択したままにしてください。 |
|
ブロックされた通知メッセージをデバイスに表示します |
ルールのアクションがアクセスをブロックする場合、この設定は、アクセス試行がブロックされたときにデバイスに表示される通知メッセージを指定します。 |
|
トラフィックプライバシー |
この設定は、ネットワークアクセス試行を[ネットワークイベント]画面(Gateway > [イベント])に表示するかどうかを指定します。法的責任やプライバシー上の事情がある場合は、[トラフィックプライバシー]を有効にすることをおすすめします。この設定を有効にすると、ネットワークアクセス試行は[ネットワークイベント]画面に表示されません。イベントを SIEM ソリューションまたは syslog サーバーに送信する際に、接続試行がトラフィックプライバシーのルールと一致する場合、そのイベントは SIEM ソリューションにも syslog サーバーにも送信されません。 |
|
コンテンツログの記録 |
この設定では、[ネットワークイベント] > [イベントの詳細]ページに、プレーンテキストで暗号化されていない元の HTTP 接続データを含めるかどうかを指定します。HTTP フローは復号化されません。この設定を有効にすると、イベントの要求と応答の詳細のサマリーが[イベントの詳細]ページに表示されます。イベント内のすべての HTTP トランザクションを表示できます。[イベントの詳細]ページには、イベントの総数のうち最初の 3 つの HTTP イベントが含まれます。すべてのイベントと、それぞれに関連する詳細を表示できます。[トラフィックプライバシー]と[コンテンツログの記録]の両方を含むルールを作成した場合は、トラフィックプライバシーが優先されます。 |
|
ポートを無視 |
この設定は、アクセス制御の試行の宛先ポートをこのルールの一部として評価するか、それとも無視するかを指定します。 |
|
移行先 |
|
|
ターゲット |
ターゲットの定義としては、ネットワークサービス、アドレスのセット、定義されたプロトコルとポートを持つアドレスのセット、または定義されたプロトコルとポートのみがあります。次のいずれかのオプションを選択できます。
|
|
ネットワークサービス |
1 つまたは複数のネットワークサービスを選択できます。 |
|
アドレス |
この設定では、宛先アドレスの IP アドレス、FQDN、またはワイルドカードドメインを指定します。IP アドレスは IPv4 または IPv6 形式で、単一の IP アドレス、IP 範囲、または CIDR 表記で表すことができます。たとえば、次のアドレス形式がサポートされています。
たとえば、コンテンツ配信ネットワーク(CDN)の背後にある FQDN の宛先、または IP アドレスが頻繁に変更される Web サイトをターゲットにする場合などの一部のケースでは、FQDN への接続を許可するルールを追加し、同じ宛先に解決される IP アドレスへの接続をブロックする第 2 ルールを追加すると、接続はブロックされることがあります。環境に次の 2 つのルールが含まれているシナリオについて考えてみましょう。
|
|
プロトコル |
この設定では、ルールが TCP、UDP、またはその両方を使用した接続試行と一致するかどうかを指定します。オプションを選択しない場合、デフォルトはすべてのポートで TCP と UDP の両方です。 |
|
ポート |
この設定では、宛先が使用するポートを指定します。単一のポートまたはポートの範囲を指定できます。 |
|
カテゴリ |
カテゴリは、サイトで利用可能なコンテンツのタイプを定義します。 Gateway は、利用可能な情報に基づいて、ベストフォートにより、宛先サイトのカテゴリを決定します。次のいずれかのオプションを選択できます。
指定できる有効なカテゴリの詳細情報については、次を参照してください。 宛先コンテンツのカテゴリ |
|
条件 |
|
|
ユーザープロパティ |
この設定では、ルールに含めるユーザー、ユーザーグループ、またはオペレーティングシステムを指定します。任意の数のユーザー、ユーザーグループ、およびオペレーティングシステム、またはそれらの組み合わせを指定できます。[ユーザープロパティ]ドロップダウンをクリックし、条件を指定するユーザープロパティを選択します。次のいずれかのオプションを選択できます。
名前またはユーザーグループの入力を開始すると、一致するユーザー名のリストがリストに表示されます。オペレーティングシステムを指定する場合は、リストから選択する必要があります。次の OS オプションから選択できます。
行を追加して、任意の数のユーザー、グループ、およびオペレーションシステムを指定できます。 |
|
リスク |
この設定では、Aurora Protect Mobile ポリシーで設定されているとおりにデバイスの許容リスクレベルを指定します。
|