セキュリティポリシーのタイプ

突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリティポリシーのタイプについて説明します。

PAシリーズの特徴として、1行のポリシーに複数の送信元ゾーン/宛先ゾーンを指定することができます。また、ゾーンはanyで指定することも可能です。これらの特徴とポリシータイプを組み合わせることで 複数のポリシーを1行に纏めることができ、ポリシー数を削減できます。

セキュリティポリシーのタイプ

セキュリティポリシーには以下3つのタイプがあります。

ルールのタイプ説明
Universal指定された送信元ゾーン/宛先ゾーンに一致するすべてのゾーンに対してルールを適用。
(デフォルトルール)
Intrazone
(イントラゾーン)
同一ゾーン間に対してのみルールを適用。(宛先ゾーンは指定できません。)
Interzone
(インターゾーン)
異なるゾーン間の(ゾーンを超える)に対してのみルールを適用。

セキュリティポリシーのタイプは、ポリシーのRule Typeで変更できます。

Rule Typeの設定

例として、以下に3つのタイプをそれぞれ指定したポリシーを作成しました。intrazoneについては、宛先ゾーンは指定できません(送信元ゾーンと同じ値が宛先ゾーンに自動的に入力されます)。

セキュリティポリシーのルールタイプ

上記のような設定をした場合、評価対象になるゾーンはそれぞれ以下のようになります。

PAシリーズのデフォルトポリシー

以下のように、PAシリーズには intrazone-default と interzone-default 、2つのデフォルトポリシーが設定されていて一番最後に評価されます。それぞれのポリシーを確認してみます。

デフォルトポリシー

intrazone-default ポリシー

intrazone-defaultポリシーは、同一ゾーン間の通信を許可するためのポリシーです。同一ゾーン間通信とは、外部からFW自身のもつインターフェイスへのアクセスと、同一ゾーンが定義された2つのインターフェイスを跨ぐ通信(L2、L3)のことです。

intrazone-defaultポリシーは、送信元ゾーン/宛先ゾーンがanyに設定されていますので、FWに設定されているすべてのゾーンに対して適用されます。たとえば、Trust、Untrust、DMZの3つのゾーンを設定している場合、Trust to Trust、Untrust to Untrust、DMZ to DMZが許可されますし、その後ゾーンを追加された場合でも同一ゾーン通信は自動的に許可されることになります。

interzone-default ポリシー

interzone-default ポリシーは、異なるゾーン間の通信をブロックするポリシーでいわゆる暗黙のDenyポリシーに相当します。

interzone-default ポリシーも送信元ゾーン/宛先ゾーンがanyで定義されていますので、FWに設定されているすべてのゾーンに対して適用されます。たとえば、Trust、Untrust、DMZの3つのゾーンを設定している場合、Trust to Untrust、Untrust to Trust、Trust to DMZ、DMZ to Trust、Untrust to DMZ、DMZ to Untrustをブロックする6つのポリシーが1行に集約されています。また、新たにゾーンが追加された場合でも異なるゾーン間の通信は自動的にブロックされることになります。

デフォルトポリシーのロギングについて

このように、intrazone-defaultとinterzone-default、2つの明示的なデフォルトポリシーにより、FWのインターフェイス宛の通信を含む同一ゾーン間通信は許可され、異なるゾーン間の通信はブロック(=暗黙のDeny)されます。

ただし、このデフォルトポリシーはデフォルトではロギングが無効になっていますので、必要に応じて有効化することをお勧めします。デフォルトポリシーの設定はそのままでは変更できないので、overrideボタンで行います。

Actionタブに移行し、Log at Session EndをチェックしてOKをクリックします。

ポリシーのアイコンが変更されているのと、OPTIONSカラムにロギングの設定が反映されていることがわかります。Commitを行なって設定を反映することで、ロギングを行うことが可能です。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました