VMware SASE Orchestrator のグローバル設定レベルで拡張ファイアウォール サービス (EFS) 機能が有効になっているカスタマーは、URL フィルタリング(URL カテゴリのフィルタリング、URL レピュテーションのフィルタリング)、悪意のある IP アドレスのフィルタリング、侵入検知システム (IDS)、侵入防止システム (IPS) などのセキュリティ サービスを個別に設定および管理できるようになりました。URL または IP アドレスの IDS/IPS シグネチャの一致、カテゴリ、レピュテーションに基づいてユーザー トラフィックをブロックするには、事前設定されたセキュリティ サービスを使用してセキュリティ サービス グループを作成し、そのセキュリティ サービス グループをファイアウォール ルールに関連付ける必要があります。
開始する前に
- URL フィルタリング(URL カテゴリと URL レピュテーション)と悪意のある IP フィルタリングが期待どおりに動作するには、Edge のバージョンが 6.0.0 であることを確認します。IDS および IPS サービス設定の場合は、Edge のバージョンが 5.2.0 以降であることを確認します。
- EFS 機能がエンタープライズ レベルで有効になっていることを確認します。EFS 機能を有効にする必要がある場合は、オペレータにお問い合わせください。オペレータは、[SD-WAN] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [SD-WAN 設定 (SD-WAN Settings)] > [機能アクセス (Feature Access)] ユーザー インターフェイス ページから EFS 機能を有効にできます。
URL カテゴリ サービスの設定
現在、ソーシャル ネットワーキング、金融サービス、フィッシングなど、80 を超える URL カテゴリがあります。
- エンタープライズ ポータルの [SD-WAN] サービスで、 に移動します。[セキュリティ サービス (Security Services)] ページが表示されます。
- [URL カテゴリ (URL Categories)] タブをクリックして、[+ルールの追加 (+ADD RULE)] をクリックします。[URL カテゴリ サービスの設定 (Configure URL Category Service)] ポップアップ ウィンドウが表示されます。
- URL Categories サービスの一意の名前を入力し、必要に応じて説明を入力します。
- [カテゴリを許可 (Allow Categories)] リストから、ブロックするカテゴリを選択し、左矢印ボタンを使用して [ブロックされたカテゴリ (Blocked Categories)] リストに移動できます。同様に、許可してログに記録するカテゴリを選択し、右矢印ボタンを使用して [カテゴリの監視 (Monitor Categories)] リストに移動できます。
注: ブロックおよび監視カテゴリに一致するファイアウォール ルールのログが自動的にキャプチャされます。カテゴリを許可 の場合、トラフィックは許可されますが、ログには記録されません。
- [不明 (Unknown)] カテゴリの URL を許可するには、下部にあるチェックボックスの選択を解除します。
注: デフォルトでは、 [不明 (Unknown)] カテゴリはブロックされます。
- [変更の保存 (Save Changes)] をクリックします。URL カテゴリ サービス ルールが作成され、[URL カテゴリ (URL Categories)] ページのテーブルに表示されます。
- セキュリティ サービスへのリンクをクリックして、設定を変更します。セキュリティ サービスを削除するには、グループの前のチェックボックスをオンにして、[削除 (Delete)] をクリックします。
注: 使用中のセキュリティ サービスは削除できません。セキュリティ サービスを削除する場合は、まず関連付けられたセキュリティ サービス グループおよびファイアウォール ルールから削除する必要があります。
セキュリティ サービスに関連付けられているブロックされたカテゴリ、監視カテゴリ、およびセキュリティ グループのリストを表示するには、[ブロックされたカテゴリ (Blocked Categories)]、[カテゴリの監視 (Monitor Categories)]、および [使用中 - セキュリティ グループ (Used By - Security Group)] 列の下にあるそれぞれのリンクをクリックします。
URL レピュテーション サービスの設定
URL レピュテーションは、Web サイトの信頼性を提供します。URL と IP アドレスのレピュテーション スコアの分類は、次のとおりです。
- 81-100:信頼できる
- 61-80: 低リスク
- 41~60:中リスク
- 21~40: 不審
- 01~20: 高リスク
-
注: 信頼性は最も安全なレピュテーションであり、リスク量が最も少なくなります。
URL レピュテーション サービスは宛先 URL のスコアを検出し、そのスコアが脅威を示す場合は Edge トラフィックをブロックします。
- エンタープライズ ポータルの [SD-WAN] サービスで、 に移動します。[セキュリティ サービス (Security Services)] ページが表示されます。
- [URL レピュテーション (URL Reputation)] タブをクリックして、[+ルールの追加 (+ADD RULE)] をクリックします。[URL レピュテーション サービスの設定 (Configure URL Reputation Service)] ポップアップ ウィンドウが表示されます。
- URL レピュテーション サービスの一意の名前を入力し、必要に応じて説明を入力します。
- [受け入れ可能な最小レピュテーション (Minimum Acceptable Reputation)] ドロップダウン メニューから、URL との間のトラフィックを許可する受け入れ可能なレピュテーションを選択します。受け入れ可能な最小レピュテーションを設定すると、ブロックする必要がある他のすべてのレピュテーションが [ブロックされたレピュテーション (Blocked Reputation(s))] ボックスに自動的に一覧表示されます。選択した URL レピュテーション レベル未満の URL との間のトラフィックは自動的にブロックおよびログに記録され、選択した URL レピュテーション レベルを超えるトラフィックは許可されますが、自動的にはログに記録されません。[キャプチャ ログ (Capture Logs)] ドロップダウン メニューを使用して、ログに記録するレピュテーションを指定できます。
- [不明 (Unknown)] レピュテーションの URL を許可するには、下部にあるチェックボックスの選択を解除します。[URL フィルタリング (URL Filtering)] サービスから利用できるレピュテーション情報がない場合、URL は「不明」レピュテーションとして分類されます。
注: デフォルトでは、 [不明 (Unknown)] レピュテーションはブロックされます。
- [変更の保存 (Save Changes)] をクリックします。URL レピュテーション サービス ルールが作成され、[URL レピュテーション (URL Reputation)] ページのテーブルに表示されます。
- セキュリティ サービスへのリンクをクリックして、設定を変更します。セキュリティ サービスを削除するには、グループの前のチェックボックスをオンにして、[削除 (Delete)] をクリックします。
悪意のある IP サービスの設定
IP アドレスのブロックは、ネットワークまたは Web サイトを悪意のあるアクティビティから保護するのに役立ちます。Webroot によって割り当てられた IP レピュテーション スコアは、IP の信頼性を提供します。悪意のある IP サービスは、宛先 IP アドレスの IP レピュテーション スコアを参照し、スコアが悪意のあるアクティビティを示している場合は Edge トラフィックをブロックします。
- エンタープライズ ポータルの [SD-WAN] サービスで、 に移動します。[セキュリティ サービス (Security Services)] ページが表示されます。
- [悪意のある IP アドレス (Malicious IP)] タブをクリックして、[+ルールの追加 (+ADD RULE)] をクリックします。[悪意のある IP フィルタリング サービスの設定 (Configure Malicious IP Filtering Service)] ポップアップ ウィンドウが表示されます。
- 悪意のある IP サービスの一意の名前を入力し、必要に応じて説明を入力します。
- [アクション (Action)] ドロップダウン メニューから、悪意のある IP アドレスとの間の IPv4 トラフィックが検出された場合に実行するアクションを選択します。次のいずれかのオプションを選択できます。
- 監視 (Monitor) - 悪意のある IP サービスから IPv4 トラフィックを自動的に許可してログに記録します。
- ブロック (Block) - 悪意のある IP サービスから IPv4 トラフィックを自動的にブロックしてログに記録します。
注: IP アドレスが悪意のない場合、IPv4 トラフィックは許可されますが、ログには記録されません。 - [変更の保存 (Save Changes)] をクリックします。悪意のある IP サービス ルールが作成され、[悪意のある IP アドレス (Malicious IP)] ページのテーブルに表示されます。
- セキュリティ サービスへのリンクをクリックして、設定を変更します。セキュリティ サービスを削除するには、グループの前のチェックボックスをオンにして、[削除 (Delete)] をクリックします。
IDS/IPS セキュリティ サービスの設定
- エンタープライズ ポータルの [SD-WAN] サービスで、 に移動します。[セキュリティ サービス (Security Services)] ページが表示されます。
- [IDS/IPS] タブをクリックして、[+ルールの追加 (+ADD RULE)] をクリックします。[IDS/IPS セキュリティ サービスの設定 (Configure IDS/IPS Security Service)] ポップアップ ウィンドウが表示されます。
- IDS/IPS サービスの一意の名前を入力し、必要に応じて説明を入力します。
- [侵入検知と侵入防止 (Intrusion Detection and Prevention)] セクションで、[侵入検知 (IDS) (Intrusion Detection (IDS) )] または [侵入防止 (IPS) (Intrusion Prevention (IPS))] トグルを有効にします。ユーザーが IPS のみを有効にすると、IDS が自動的に有効になります。EFS エンジンは、Edge を介して送受信されたトラフィックを検査し、コンテンツを EFS エンジンで設定された署名と照合します。IDS/IPS シグネチャは、有効な EFS ライセンスを使用して継続的に更新されます。EFS の詳細については、拡張ファイアウォール サービスの概要を参照してください。
- [侵入検知] - Edge で IDS が有効になっている場合、Edge は、エンジンで設定された特定のシグネチャに基づいてトラフィック フローが悪意のあるものかどうかを検出します。攻撃が検出されると、Orchestrator でファイアウォールのログ作成が有効になっている場合、EFS エンジンはアラートを生成し、アラート メッセージを SASE Orchestrator/Syslog サーバに送信します。パケットはドロップされません。
- [侵入防止] - Edge で IPS が有効になっている場合、Edge は、エンジンで設定された特定のシグネチャに基づいてトラフィック フローが悪意のあるものかどうかを検出します。攻撃が検出されると、EFS エンジンはアラートを生成し、署名ルールのアクションが「拒否」の場合、クライアントへのトラフィック フローをブロックします。シグネチャ ルールのアクションが「アラート (Alert)」の場合、IPS を設定している場合でもパケットをドロップせずにトラフィックが許可されます。
注: VMwareでは、Edge で IDS/IPS がアクティベーションされている場合は VNF をアクティベーションしないことをお勧めします。 - IDS/IPS ログを Orchestrator に送信する場合は、[ログ (Log)] ドロップダウン メニューから [はい (Yes)] を選択します。
- [変更の保存 (Save Changes)] をクリックします。IDS/IPS サービス ルールが作成され、[IDS/IPS] ページのテーブルに表示されます。
- セキュリティ サービスへのリンクをクリックして、設定を変更します。セキュリティ サービスを削除するには、グループの前のチェックボックスをオンにして、[削除 (Delete)] をクリックします。
セキュリティ サービス グループの設定
- エンタープライズ ポータルの [SD-WAN] サービスで、 に移動します。[セキュリティ サービス (Security Services)] ページが表示されます。
- [セキュリティ サービス グループ (Security Service Group)] タブをクリックし、[+ グループの作成 (+ CREATE GROUP)] をクリックします。[新しいセキュリティ サービス グループ (New Security Service Group)] ページが表示されます。
- 既存のサービス グループから新しいサービス グループを作成する場合は、[重複するセキュリティ サービス グループ (Duplicate Security Service Group)] ドロップダウン メニューからオプションを選択し、ルール名のみを変更します。その他のすべての設定は、選択したセキュリティ サービス グループから自動的に適用されます。
- 新しいサービス グループを作成するには、セキュリティ サービス グループの一意の名前を入力し、必要に応じて説明を入力します。
- [セキュリティ サービス グループを作成 (Create Security Service Group)] セクションで、URL カテゴリ、URL レピュテーション、悪意のある IP アドレス、IDS/IPS に対する事前に作成されたセキュリティ サービスを選択し、それらをグループ化してセキュリティ グループを作成できます。事前に作成されたサービスを使用しない場合は、[新規 (New)] ボタンをクリックし、新しいセキュリティ サービスを作成してセキュリティ グループに関連付けることができます。[表示 (View)] ボタンをクリックすると、選択したセキュリティ サービスの設定の詳細が表示されます。
- [変更の保存 (Save Changes)] をクリックします。セキュリティ サービス グループが作成され、[セキュリティ サービス グループ (Security Service Group)] ページのテーブルに表示されます。
- セキュリティ サービス グループへのリンクをクリックして、設定を変更します。セキュリティ サービス グループを削除するには、グループの前のチェックボックスをオンにして、[削除 (Delete)] をクリックします。
注: 使用中のセキュリティ サービス グループは削除できません。セキュリティ サービス グループを削除する場合は、最初に関連付けられたファイアウォール ルールから削除する必要があります。
プロファイル レベルでのファイアウォール ルールへのセキュリティ サービス グループの関連付け
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順に移動します。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
- ファイアウォール ルールを設定するプロファイルを選択し、[ファイアウォール (Firewall)] タブをクリックします。
- [ファイアウォールの設定 (Configure Firewall)] セクションに移動し、[ファイアウォール ルール (Firewall Rules)] 領域で、[+ 新規ルール (+ NEW RULE)] をクリックします。[新規ルール (New Rule)] ページが表示されます。
- [ルール名 (Rule Name)] テキスト ボックスに、ルールの一意の名前を入力します。既存のルールからファイアウォール ルールを作成するには、[ルールの複製 (Duplicate Rule)] ドロップダウン メニューから複製するルールを選択します。
- [一致 (Match)] および [ファイアウォール アクション (Firewall Action)] セクションで、それぞれ、ルールの一致条件とトラフィックが定義された基準に一致したときに実行されるアクションを設定します。詳細については、ファイアウォール ルールの設定を参照してください。
- [セキュリティ サービス (Security Services)] セクションで、ドロップダウン メニューからセキュリティ サービス グループを選択して、ルールのセキュリティ サービスを設定します。セキュリティ サービス グループ内で設定されているすべてのセキュリティ サービスのサマリが表示されます。各セキュリティ サービスに対して [表示 (View)] ボタンをクリックすると、設定の詳細を表示できます。
注: ファイアウォール アクションが [許可 (Allow)] の場合にのみ、ルールでセキュリティ サービスを有効にできます。ファイアウォール アクションが [許可 (Allow)] 以外の場合、セキュリティ サービスは無効になります。
- 必要なすべての設定を行った後、[保存 (Save)] をクリックします。選択したプロファイルに対してファイアウォール ルールが作成され、[プロファイルのファイアウォール (Profile Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域に表示されます。
- [変更の保存 (Save Changes)] をクリックします。
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順に移動します。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
- ファイアウォール ルールを設定するプロファイルを選択し、[ファイアウォール (Firewall)] タブをクリックします。
- [ファイアウォールの設定 (Configure Firewall)] セクションに移動し、[ファイアウォール ルール (Firewall Rules)] 領域で、セキュリティ サービスの設定を変更するルールの名前を選択します。
- [セキュリティ サービス (Security Services)] セクションで、ルールに関連付ける別のサービス グループを選択し、[編集 (Edit)] をクリックします。
- [変更の保存 (Save Changes)] をクリックします。
Edge レベルでのファイアウォール ルールへのセキュリティ サービス グループの関連付け
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順に移動します。[Edge (Edges)] ページに既存の Edge が表示されます。
- Edge を設定するには、Edge へのリンクをクリックするか、Edge の [ファイアウォール (Firewall)] 列にある [表示 (View)] リンクをクリックします。
- [ファイアウォール (Firewall)] タブをクリックします。
- [ファイアウォールの設定 (Configure Firewall)] セクションに移動し、[ファイアウォール ルール (Firewall Rules)] 領域から、セキュリティ サービスの設定を使用して新しいルールを作成したり、既存のルールのセキュリティ サービス設定を変更したりできます。「プロファイル レベルでのファイアウォール ルールへのセキュリティ サービス グループの関連付け」セクションの手順 6 で説明する手順に従います。
注: プロファイル レベルで作成されたルールは、Edge レベルでは更新できません。ルールを上書きするには、ユーザーはプロファイル レベルのルールを上書きするための新しいパラメータを使用して、Edge レベルで同じルールを作成する必要があります。
- 必要なすべての設定を行った後、[保存 (Save)] をクリックします。選択した Edge に対してファイアウォール ルールが作成され、[Edge のファイアウォール (Edge Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域に表示されます。
- [変更の保存 (Save Changes)] をクリックします。