アプリケーションファイアウォール設定ガイド
このセクションでは、SASEプラットフォームでアプリケーションファイアウォールを正常に設定するための簡単な設定ガイドを提供します。
アプリケーションファイアウォールの構成
1) 左サイドメニューから「FWaaS」に移動し、アプリケーションファイアウォールを選択します。
2) 作成をクリックしてポリシー生成メニューを開きます。
3) 送信元と宛先を選択します
この部分はルールがどのような条件で動作するかを決定します。IPを選択すると、コネクタエージェントに接続されたすべてのIPに対して該当するファイアウォールポリシーが適用されます。ユーザーまたはユーザーグループを選択すると、該当するユーザーのみにポリシーが適用されます。宛先も同様の原理で動作しますが、ユーザーから発信されるトラフィックがどこに向かうかによって適用されます。
4) 対象サービスの設定
サービスは合計4つのカテゴリで構成されます:アプリプロトコル、アプリケーション、TCP、UDP
4a) アプリプロトコル
アプリプロトコルを選択すると、DPIを使用して各パケットのプロトコルを検査し、選択したプロトコルと一致するかどうかを確認します。1つのルールで複数のアプリプロトコルを選択することもできます。
4b) アプリケーション
アプリケーションはプロトコルではなく、特定のソフトウェアに基づいて制御します。カテゴリ別に分類されており、全カテゴリまたは個別のアプリケーションを選択できます。
4c) TCP
TCPは頻繁に使用される様々なポートを設定できます。例は以下の通りです:
| 80 | HTTP | ウェブトラフィック(非暗号化) |
| 443 | HTTPS | ウェブトラフィック(暗号化) |
| 21 | FTP | ファイル転送プロトコル |
| 22 | SSH | セキュリティリモートアクセス |
| 23 | Telnet | リモートアクセス |
| 25 | SMTP | 送信メール |
| 110 | POP3 | 受信メール |
| 143 | IMAP | 受信メール |
| 3389 | RDP | リモートデスクトッププロトコル |
| 3306 | MySQL | データベース接続 |
4b) UDP
UDPでは、以下のように頻繁に使用される複数のポートを設定できます:
| 53 | DNS | ドメイン名解決 |
| 123 | NTP | ネットワーク時刻同期 |
| 161 | SNMP | ネットワーク監視 |
| 500 | IKE | VPN(IPsecキー交換) |
| 67/68 | DHCP | IPアドレス管理 |
| 69 | TFTP | 単純なファイル転送 |
5) 動作の設定
- ブロック – 設定した条件に一致するすべてのトラフィックをブロック
- 許可 – 条件に合致するトラフィックを明示的に許可する
- ロギング – 該当ルールがトリガーされた際にログを生成する