SMA 100 シリーズ: アクセスポリシーの階層情報

アクセスポリシーの階層情報

アクセスポリシーの階層情報

管理者は、事前定義されたネットワークオブジェクト、IPアドレス、アドレス範囲、またはすべてのIPアドレス、およびさまざまなSMAサービスに対して、ユーザー、グループ、およびグローバルレベルのポリシーを定義できます。


SonicWall SMAポリシー階層と優先順位：

• ユーザーポリシーはグループポリシーより優先されます。
• グループポリシーはグローバルポリシーより優先されます。
• もし2つ以上のポリシーがユーザー、グループ、またはグローバルポリシーに設定されている場合、より限定的なポリシーが優先されます。
  
  

限定的とは：

• 単一のIPアドレス用に構成されたポリシーは、アドレス範囲用に構成されたポリシーより優先されます。
• IPアドレスの範囲に適用されるポリシーは、すべてのIPアドレスに適用されるポリシーより優先されます。
• 2つ以上のIPアドレス範囲が設定されている場合、範囲の狭いアドレス範囲が優先されます。
• ホスト名は、個々のIPアドレスと同様に扱われます。
• ネットワークオブジェクトは、他のアドレス範囲と同様に優先順位が付けられます。
• ただし、優先順位付けはネットワークオブジェクト全体ではなく、個々のアドレスまたはアドレス範囲に基づいて行われます。

例：

• ポリシー１： IPアドレス範囲10.0.0.0-10.0.0.255へのすべてのサービスをブロックするDenyルールが構成されています。
  
• ポリシー２：10.0.1.2-10.0.1.10へのFTPアクセスをブロックするDenyルールが構成されています。
  
• ポリシー３： 事前定義された”FTP Servers"ネットワークオブジェクトへのFTPアクセスを許可するPermitルールが構成されています。FTP Serversには、次のアドレスが含まれます: 10.0.0.5-10.0.0.20、およびftp.company.comは10.0.1.3に名前解決されます。
  

矛盾するユーザーまたはグループポリシーが構成されていないことを前提とすると、上記のポリシー設定は以下の通りの結果となります。

• ユーザーが10.0.0.1のFTPサーバーにアクセスしようとした場合、ユーザーはポリシー1によってブロックされます。
• もしユーザーが10.0.1.5のFTPサーバーにアクセスしようとした場合、ユーザーはポリシー2によってブロックされます。
• もしユーザーが10.0.0.10のFTPサーバーにアクセスしようとした場合、ユーザーはポリシー3によってアクセスが許可されます。IPアドレス範囲10.0.0.5-10.0.0.20は、ポリシー1で定義されたIPアドレス範囲よりも範囲が限定的です。
• ftp.company.comのFTPサーバーにアクセスしようとした場合、ユーザーはポリシー3によってアクセスが許可されます。 単一のホスト名は、ポリシー2で構成されたIPアドレス範囲よりも優先されます。
  参考： この例では、ユーザーがftp.company.comのIPアドレス10.0.1.3を使用してアクセスした場合は、ポリシー2により、アクセスがブロックされます。SMAポリシーエンジンはリバースDNSルックアップを実行しません。