L7 アクセス プロファイルには、属性タイプが異なる複数のエントリを含めることができます。L7 アクセス プロファイルは、Tier-0 ゲートウェイと Tier-1 ゲートウェイの両方のファイアウォール ルールで使用できます。

L7 アクセス プロファイルにはデフォルト エントリがあり、デフォルト エントリの上にさらにエントリを追加できます。プロファイル内のエントリはリスト内の順序で評価され、最初の一致時にアクションが実行されます。

Tier-0 ゲートウェイ ファイアウォールでアプリケーション ファイアウォール ルールを作成する前に、BGP、OSPF、障害検出プロトコル BFD などのルーティング プロトコルを許可するために、ゲートウェイ ファイアウォール ルールを手動で追加することが重要です。これらのルールは、アプリケーション ルールの前に追加する必要があります。これにより、アプリケーション ファイアウォール ルールの変更時に、ルーティング ピアリングのそれぞれの障害検出プロトコルが影響を受けないようにする必要があります。

手順

  1. [インベントリ] > [プロファイル] の順に選択します。
  2. [L7 アクセス プロファイル] タブを選択して、[L7 アクセス プロファイルの追加] をクリックします。
  3. [プロファイル名] に名前を入力します。必要であれば、[説明] に説明を入力します。
  4. [属性エンティティ] 列で [設定] をクリックします。
  5. [属性タイプの追加] をクリックして、ドロップダウン メニューから 1 つ以上の属性を選択します。Tier-0 ゲートウェイ ファイアウォール ルールの場合、サポートされている属性タイプはアプリケーション ID のみです。
    属性タイプ 属性値
    アプリケーション ID - 750 以上 使用可能なアプリケーション ID を表示するには、リストを下にスクロールするか、アプリケーション IDを選択します。
    URL カテゴリ - ソーシャル メディア、バンキング、フィッシングなど、80 以上のカテゴリ リストを下にスクロールして、1 つ以上の URL カテゴリを選択します。
    カスタム URL - 正規表現付き 詳細については、カスタム URLを参照してください。
    URL レピュテーション 高リスク、不審、中度のリスク、低リスク、信頼、不明のいずれかのレピュテーションを選択します
  6. ルールのアクションを選択します。
    • 許可 - 一致するトラフィックを許可します。
    • 却下 - 一致したトラフィックを却下します。
    • 応答して却下 - 却下してクライアントに応答ページを送信します。このオプションは、アプリケーション ID 属性タイプでは使用できません。[セキュリティ] > [ゲートウェイ ファイアウォール] > [設定] > [URL フィルタリング] に移動して [応答して却下] メッセージを表示し、カスタマイズします。

      [応答して却下] ページは、http トラフィックに対してのみ送信されます。応答ページには、URL(最初の 10 バイト)、カテゴリ、送信元 IP、メッセージ テキストが含まれます。[応答して却下] ページのメッセージを入力します。[プレビュー ページ] をクリックして、URL へのアクセスがポリシーによってブロックされたときに送信されるページを表示します。

  7. デフォルトでは、ログはオフになっています。ボタンを切り替えて、ログを有効にします。
  8. デフォルトでは、新規に追加されたエントリは有効になっています。ボタンを切り替えて、エントリを無効にします。
  9. [追加] をクリックします。
  10. エントリを編集または削除するには、メニュー アイコン () をクリックし、[編集] または [削除] を選択します。
  11. デフォルト エントリの設定を変更するには、メニュー アイコン () をクリックし、[編集] を選択します。デフォルト エントリを無効にすることはできません。デフォルトでは、デフォルト エントリのログは無効になっています。L7 アクセス プロファイル内のデフォルト エントリの最終処理後、ゲートウェイ ファイアウォールの評価プロセスが停止します。
  12. [追加] をクリックしてデフォルト エントリの変更された設定を有効にするか、[キャンセル] をクリックします。
  13. [適用] をクリックします。
  14. [保存] をクリックします。