ルール名 |
数字または文字で始まり、文字、数字、ダッシュ、アンダースコアで構成される一意の文字列を入力します。スペースは使用できず、最大長は 63 文字です。名前を入力しない場合、ルールはJuniper Secure Edgeによって割り当てられたデフォルト名で保存されます。 |
形容 |
ポリシー ルールの説明を入力します。最大長は 900 文字です。説明は、'&'、'<'、'>'、および '\n' 文字を除いた文字列である必要があります。 |
ソース |
追加アイコン(+)をクリックして、表示されたサイト、アドレス、およびユーザーグループのリストから、Secure Edgeポリシールールが適用されるソースエンドポイントを選択します。 |
目的 地 |
追加アイコン(+)をクリックして、表示されたアドレスとURLカテゴリのリストから、Secure Edgeポリシールールが適用される宛先エンドポイントを選択します。 |
アプリケーション/サービス |
追加アイコン(+)をクリックして、アプリケーションとサービスを選択します。
手記:
CASB でサポートされているクラウド アプリケーションに依存するアプリケーションを選択します。依存アプリケーションの詳細については、 CASB プロファイルの作成を参照してください。
|
アクション |
ドロップダウンメニューから、送信元と宛先間のトラフィックに対するアクションを選択します。
- 許可—デバイスはトラフィックを許可します。
- Deny:デバイスはセッションのすべてのパケットをサイレントにドロップし、TCP リセットや ICMP unreachable などのアクティブな制御メッセージを送信しません。
- 拒否—デバイスはパケットをドロップし、トラフィックタイプに基づいて次のメッセージを送信します。
- TCPトラフィック:デバイスがTCPリセットメッセージを送信元ホストに送信します。
- UDPトラフィック:デバイスはICMPメッセージ「宛先到達不能、ポート到達不能」を送信します。
- その他のすべてのトラフィックの場合:デバイスは送信元ホストに通知せずにパケットをドロップします。
- リダイレクト—ポリシーが拒否アクションでHTTPまたはHTTPSトラフィックをブロックする場合、接続されたクライアントに通知するための応答を統合ポリシーで定義できます。リダイレクトオプション:
|
セキュリティサブスクリプション |
手記:
すべてのセキュリティ サブスクリプション オプションを構成できるのは、アクションに対して [許可] を選択した場合のみです。
- IPS:アクションを許可に設定すると、IPSプロファイルを有効にできます。
IPS プロファイルを有効にして、侵入を監視および防止します。
- プロファイルの復号化:アクションを [許可(Permit)] または [拒否(Eject)] に設定すると、リストからプロファイルを選択して復号化プロファイルを指定できます。
復号化プロファイルを使用して、Secure Edgeによる復号化または復号化のためにバイパスされる可能性のあるトラフィックを指定することができます。 新しい復号化プロファイルを追加する場合は、[ 新規作成] をクリックします。 CASB プロファイルを選択した場合は、復号化プロファイルを選択する必要があります。
手記:
CASB 対応の Microsoft Teams アプリケーションを使用する場合は、暗号化解除プロファイルを編集してアクティビティーを識別する必要があります。
既定では、復号化プロファイル (除外リスト) には、次の Microsoft URL が含まれています。
- *.delivery.mp.microsoft.com
- *.teams.microsoft.com
- *.update.microsoft.com
- *.vortex-win.data.microsoft.com
- activation.sls.microsoft.com
- update.microsoft.com
- windowsupdate.microsoft.com
- *.windowsupdate.microsoft.com
除外リストから *.teams.microsoft.com を削除して、Microsoft Teamsアクティビティを識別する必要があります。
- Web フィルタリング:アクションを [許可(Permit)] に設定すると、リストからプロファイルを選択して Web フィルタリング プロファイルを指定できます。
Web フィルタリングプロファイルを使用すると、HTTP 経由での不適切な Web コンテンツへのアクセスを防止することで、インターネットの使用を管理できます。 新しい Web フィルタリング プロファイルを追加する場合は、[ 新規作成(Create New)] をクリックします。
- コンテンツ フィルタリング:アクションを [許可(Permit)] に設定すると、リストからプロファイルを選択してコンテンツ フィルタリング プロファイルを指定できます。
コンテンツフィルタプロファイルを使用して、ファイルタイプ、アプリケーション、および方向に基づいてコンテンツをフィルタリングできます。コンテンツフィルタポリシーは、他のすべてのコンテンツセキュリティポリシーよりも先にトラフィックを評価します。したがって、トラフィックがコンテンツ フィルタで設定された基準を満たす場合、コンテンツ フィルタはこのトラフィックに対して最初に動作します。 新しいコンテンツフィルタプロファイルを追加する場合は、[ 新規作成]をクリックします。
- SecIntel グループ - アクションを [許可] に設定すると、リストからプロファイルを選択して SecIntel プロファイル グループを指定できます。
SecIntel プロファイル グループを使用して、異なる SecIntel プロファイルのグループを割り当てます。 新しい SecIntel グループを追加する場合は、[ 新規作成] をクリックします。
- マルウェア対策:アクションを [許可] に設定すると、リストからプロファイルを選択してマルウェア対策プロファイルを指定できます。
マルウェア対策プロファイルを使用して、マルウェアをスキャンするコンテンツと、マルウェアが検出されたときに実行するアクションを定義できます。 新しいマルウェア対策プロファイルを追加する場合は、[ 新規作成 ] をクリックします。
-
CASB:アクションを [許可] に設定すると、リストからプロファイルを選択して CASB プロファイルを指定できます。CASB プロファイルを割り当てるには、復号化プロファイルを選択する必要があります。 CASBプロファイルをSecure Edgeポリシーに割り当てると、ポップアップウィンドウが開きます。デフォルトでは、CASB でサポートされている各クラウドアプリケーションに対してクラウドアプリケーショングループが選択されます。このオプションはグレー表示されているため、これらのグループを編集することはできません。クラウドアプリケーショングループの詳細については、「 CASB プロファイルの作成」を参照してください。 CASBプロファイルを使用して、異常な使用状況や疑わしい動作を自動的に検出できます。 新しい CASB プロファイルを追加する場合は、[ 新規作成 ] をクリックします。詳細については、「 CASB プロファイルの作成」を参照してください。
|
オプション |
リストから事前に保存されたスケジュールを選択します。 ポリシースケジュールは、ポリシーがいつアクティブになるかを定義できるため、暗黙的な一致条件となります。[ スケジュールの作成] をクリックして、新しいスケジュールを定義します。ポリシーがアクティブな曜日と時刻を定義できます。たとえば、営業時間に基づいてアクセスを開始または終了するセキュリティポリシーを定義できます。 [ ログ記録 ] オプションを有効にして、セッションの作成時にイベントをログに記録します。 [サイトトラフィック用キャプティブポータル]オプションを有効にして、認証されたオンプレミスサイトユーザーがJuniper Secure Edgeにログインできるようにします。既定では、キャプティブ ポータル オプションはローミング ユーザーに対して有効になり、オンプレミス サイト ユーザーに対しては無効になります。 |