前述のように、動的アドレスは動的 IP アドレス情報をセキュリティ ポリシーに提供します。動的アドレスエントリ(DAE)は、単一のIPプレフィックスだけでなく、手動で入力したり、外部ソースからインポートしたりできるIPアドレスのグループです。DAE機能を使用すると、フィードベースのIPオブジェクトをセキュリティポリシーで使用して、送信元または宛先IPの条件に基づいてトラフィックを拒否または許可できます。たとえば、DAEには、特定のドメインや、脅威をもたらす特定の望ましくない場所など、共通の属性を持つエンティティのIPアドレスが含まれている場合があります。DAEが更新されると、その変更は自動的にセキュリティ・ポリシーの一部になります。ポリシーを手動で更新する必要はありません。設定のコミット・アクションは必要ありません。
このトピックでは、DAEを作成してポリシーに関連づける簡単な例を紹介します。Security Directorでのファイアウォールポリシーの作成の詳細については、 ファイアウォールポリシーの作成を参照してください。
- 構成>脅威防御>フィード ソース をクリックします。
- 「カスタム・フィード」タブで、「 ローカル・ファイルで>フィードを作成」をクリックします。
- 名前として入力します DAE_example1 。
- [フィードの種類] リストから [ 動的アドレス ] を選択します。
- 「レルム」フィールドからATPクラウド・レルムを選択します。
- [カスタム リスト] フィールドで、プラス記号 (+) をクリックして、個々のエントリをカスタム リストに追加します。
- 次の IP アドレスを追加します。サポートされている形式については、オンライン ヘルプを参照してください。
- カスタム リスト内のすべてのエントリがオフになっていることを確認し、[ OK] をクリックします。
- [ ファイアウォール ポリシー>> ポリシーの構成] をクリックします。
メモ:
この例では、単純なルールを使用して、DAEを許可リストのファイアウォールポリシーに関連付ける方法を示します。独自のファイアウォールポリシーを作成する場合は、会社の要件を満たすルールを構成する必要があります。
- プラス記号 (+) をクリックして、新しいファイアウォール ポリシーを作成します。
- 名前として入力します dynamic_address_test 。
- [プロファイル] プルダウン メニューから [ すべてのログ記録の有効化] を選択します。
- [種類] として [デバイス ポリシー ] を選択し、[デバイス] プルダウン メニューからデバイスを選択します。
- OK をクリックします。
数秒後、dynamic_address_testポリシーがリストに表示されます。
- ポリシーの横にある
dynamic_address_test
[ルールの追加] をクリックして、ルール ウィザードを開始します。
- 名前として入力 dynamic_rule し、[ 次へ] をクリックします。
- 「ソース」ウィンドウで、「ゾーン」プルダウン・メニューから 「untrust 」を選択し、「アドレス」フィールドの下にある 「選択 」をクリックします。
- [送信元アドレス] ウィンドウで、[ 特定のものを含める ] ラジオ ボタンを選択します。
- 左側のテーブルを選択し
DAE_example1
、右矢印をクリックして右側のテーブルに移動します。[ 次へ] をクリックします。
[ソース] ウィンドウが再び表示され DAE_example1
、アドレス フィールドに表示されます。
- 「宛先」ウィンドウで、「ゾーン」プルダウン・メニューから 「信頼 」を選択し、「 次へ」をクリックします。
- [高度なセキュリティ]ウィンドウで、[ルールの処理]プルダウンメニューから [許可 ]を選択し、[ 次へ]をクリックします。
- [ルール オプション] ウィンドウで、[ 次へ ] をクリックして既定の設定を使用します。
- [アドレス] セクションで [ 選択 ] をクリックし、[ 詳細を含める] ラジオ ボタンをクリックします。
- 「ルール分析」ウィンドウで、「 新規ルールを分析して、異常を回避するための配置を提案 する」チェック・ボックスを選択し、「 次へ」をクリックします。
数秒後、ルールを配置する場所など、ルールの分析が表示されます。
- [ 完了] をクリックし、[ OK ] をクリックしてウィザードを終了します。
- 表示されたページで、[ 保存 ] (ウィンドウの上部近くにあります) をクリックします。
- ポリシーの
dynamic_rule
チェックボックスをオンにして、[ Publish] をクリックします。
ルールを公開すると、プロセスでは、ポリシーに設定された優先度と優先度の値、およびデバイス上のルールの順序が考慮されます。