High-Risk アプリケーションをブロックする Application Filterの作成方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Create an Application Filter to Block High-Risk Applications

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Filter-to-B...

 

 

 

概要

本ドキュメントでは、 peer-to-peer テクノロジーを利用したhigh-risk (5) file-sharing applicationsをブロックするためのセキュリティポリシーの作成方法を説明しています。

 

手順

  1. Policies タブからSecurityを選択し、セキュリティ ポリシーの追加を行います。
  2. General, Source,User,Destination タブの必要情報を入力します。その後、Applicationタブを選択します。
  3. Addを選択し、 ドロップダウン リストの一番下までスクロールさせ、Application Filterを選択します。
    Screen Shot 2013-07-29 at 3.11.06 PM.png
  4. 作成するApplication Filterに対し、名前をつけます。
  5. peer-to-peer technologyベースのhigh-risk (5) file-sharing applicationsに対して制御を行いたいため、以下の流れで指定します。
    • Category カラムの下にある、 highlight general-internetをクリックします。
    • Subcategoryの下にあるfile-sharingを選択します。
    • 技術的な部分では、peer-to-peer
    • Risk が 5
      Screen Shot 2013-07-29 at 3.13.04 PM.png
  6. OKをクリックし、保存します。Application Filterがルール上に表示されます。
  7. Security Policyの設定の残りを入力します。 Service/Urlカテゴリは、Anyを選択し、ActionについてはDenyを選択することが推奨となります。

    Application filter 5.JPG

 

これまでの手順を実施することで、ファイアウォールを経由するトラフィックは、application filterによりカテゴライズされます。

 

注: アプリケーション フィルターは、動的なものです。ビルト イン カテゴリ が選択された場合は、グループがルール内で利用できるようになります。この結果、選択されたカテゴリに該当するものはすべてグループに含まれる結果となります。

アプリケーションはリカテゴライズされたり、 もしくは、新しいアプリケーションがそのカテゴリに追加されるため、 そういったアプリケーションは、アプリケーションフィルターから動的に追加されたり、削除されたりすることになります。この動作により問題が発生する可能性があります。なぜなら、リカテゴライズにより、過去許可していたアプリケーションが突然ブロックされたり、過去ブロックしていたアプリケーションが突然許可されることが発生するからです。アプリケーション グループを使用していたケースでも、アプリケーションは、サービス グループやアドレス グループと同様に分類されます。ブロック、許可を行う対象のアプリケーションが追加されるたび、使用しているアプリケーション グループに手動で追加していく必要が見込まれます。

 

参考情報

セキュリティ ポリシー内で、効果的にHigh-Risk Appを活用したい場合、アプリケーションの依存関係について深い理解を得る必要があります。こちらのドキュメントをご参照ください。

How to Check if an Application Needs to have Explicitly Allowed Dependency Apps  (英文)

 

著者: sodhegba