ブロックされたサイトについて
ブロックされたサイトとは、Firebox を介して接続できないIPアドレスです。Firebox に、セキュリティ リスクがあることがわかっている、またはセキュリティ リスクがある可能性がある特定のサイトをブロックするように指示します。疑わしいトラフィックのソースを検出した場合は、その IP アドレスからの接続をすべてブロックできます。そのソースがネットワークへの接続を試みるたびにログ メッセージを送信するように Fireboxを構成することもできます。ログ ファイルからは、ソースが攻撃に使用したサービスを確認できます。
定義できるブロックされた IP アドレスには、自動的にブロックされた IP アドレスと永続的にブロックされた IP アドレスの 2 種類があります。
永続的にブロックされたサイト
Firebox は、永久にブロックされたサイトへの、またはそのサイトからの接続を拒否します。これらのサイト アドレスはブロックされたサイトリストに保存されており、手動で追加する必要があります。たとえば、常時ネットワークのスキャンを試みる IP アドレスを ブロックされたサイト のリストに追加すると、そのサイトからのポート スキャンを防止できます。
Firebox は、永久にブロックされたサイトへの、またはそのサイトからの接続を拒否します。
ポートをブロックするには、次を参照してください 永続的にサイトをブロックする。
自動的にブロックされたサイト/一時的にブロックされたサイトのリスト
Firebox は、指定された期間中一時的にブロックされたサイトからの接続を拒否します。
Firebox は、サイトをブロックするかどうかを決定するポリシーごとに指定されたパケット処理ルールを利用します。たとえば、ポート23 (Telnet) へのすべてのトラフィックを拒否するポリシーを作成した場合、そのポートを経由して Telnet トラフィックの送信を試みる IP アドレスは、指定した期間、自動的にブロックされます。Firebox が、一時的にブロックされたサイト リストにあるサイトから何らかの接続を受信する度に、そのサイトのタイマーがリセットされます。ブロックされたサイトの構成内の 自動ブロックされたサイトの期間 設定で指定された期間にわたり、そのサイトからトラフィックが受信されなかった場合にのみ、その IP アドレスは一時的にブロックされたサイト リストから削除されます。
拒否されたトラフィックを送信するサイトからの接続を自動的にブロックするためには、次を参照してください: ポリシー設定で一時的にサイトをブロックする。
また、どのポリシー ルールにもパケットのソースが一致しないサイトも、自動的にブロックできます。詳細については、未処理のパケットについて を参照してください。
Fireware Web UI のブロックされたサイトに、一時的にブロックされたサイトを手動で追加することができます。詳細については、ブロックされたサイト を参照してください。
ブロックされたサイトの例外
安全だと判断したサイトへのトラフィックを Firebox がブロックする場合は、ブロックされたサイトの例外リストにそのサイトを追加すると、そのサイトからのトラフィックがブロックされなくなります。
ブロックされたサイトの例外は、スプーフィング攻撃および IP ソース ルーティング攻撃を除く、すべての既定のパケット処理チェックをバイパスします。通常、既定のパケット処理によってブロックされた例外サイトからのすべてのトラフィックは、トラフィック ログに攻撃として表示されません。Fireware v12.5.6/12.6.3 以降では、フラッド攻撃対策として通常はブロックされるトラフィックが、例外サイトからのフラッド攻撃としてトラフィック ログに表示されます。
Botnet Detection、Geolocation、またはブロックされたサイトの例外リストにサイトを追加した場合、そのサイトはこれらのサービスや既定のパケット処理ではブロックされません。
ブロックされたサイトの例外を追加する方法についての詳細は、次を参照してください: ブロックされたサイトの例外を作成する。
Fireware v11.12.2 以降では、ブロックされたサイトの例外リストには、WatchGuard 製品および登録サービスが必ず接続しなければならない既定の例外が含まれています。既定のブロックされたサイトの例外には以下が含まれます:
| 製品とサービス | ブロックされたサイトの例外 |
|---|---|
| WatchGuard がホストするすべてのサービス | *.watchguard.com |
| WatchGuard Wi-Fi Cloud |
*.cloudwifi.com *.mojonetworks.com *.airtightnetworks.com redirector.online.spectraguard.net |
| spamBlocker |
*.ctmail.com (Fireware v12.1.3 以前、Fireware v12.2.x から Fireware v12.5.3 まで、および Panda の URL フィルタリングとスパム対策の場合) *.cloudfilter.net (Fireware v12.5.4 以降、または Fireware v12.1.4 から Fireware v12.1.x までの場合) |
| WebBlocker |
rp.cloud.threatseeker.com download.websense.com |
| APT Blocker |
analysis.nl.emea.lastline.com analysis.lastline.com |
| Panda Security がホストするすべてのサービス |
*.pandasecurity.com |
| Panda Aether Comms |
*.pandasecurity.com aether100proservicebus.servicebus.windows.net aether100pronotification.table.core.windows.net |
| Panda パス管理 | content.ivanti.com |
| Panda ルート証明書 |
*.globalsign.net *.globalsign.com *.digicert.com |
これらの例外は、その他の構成設定 (Geolocation Blocking など) がそれらのサイトへの接続をブロックするかどうかに関係なく、Firebox を介したそれらのサイトへの接続を許可します。
ブロックされたサイトリストを閲覧・管理する
現在、ブロックされたサイトリストに載っているすべてのサイトのリストを確認することができます。
Fireware Web UI から、システムステータス>ブロックされたサイト の順に選択します。ブロックされたサイト ページでは、現在ブロックされているサイトの確認、一時的にブロックするサイトの追加・編集・削除を行うことができます。詳細については、ブロックされたサイト を参照してください。
Firebox System Manager で ブロックされたサイト タブを選択します。ブロックされたサイト タブでは、現在ブロックされているサイトの確認、一時的にブロックするサイトの追加・編集・削除を行うことができます。詳細については、次を参照してください:ブロックされたサイトリスト (ブロックされたサイト) を管理する