FQDN オブジェクト

FQDN 一致オブジェクト

完全修飾ドメイン名(FQDN)一致オブジェクトは、TLS 暗号化トラフィックに関連付けられたサーバー名表示(SNI)、または暗号化されていない HTTP トラフィックのホストヘッダーを評価します。その評価結果をルールマッチングに利用します。トラフィックがルールに関連付けられたすべての一致オブジェクト(アドレス、FQDN、サービス)と一致する場合、そのルールを使用してトラフィックが処理されます。FQDN を評価するには、トラフィックが TLS で暗号化されており、暗号化されていない TLS Hello ヘッダーに SNI が含まれること、または暗号化されていない HTTP であり、ホストヘッダーが含まれていることが必要です。FQDN は、[転送(Forwarding)] ルールまたは [転送プロキシ(Forward Proxy)] ルールのいずれかによって処理されるトラフィックについて評価できます。プロファイル内の一連の FQDN は、完全なドメインを表す文字列として、またはPerl 互換正規表現(PCRE)で表される文字列として指定されます。


(注)  

FQDN 一致オブジェクトは、ユーザー指定の行(FQDN)を含むテーブルとして編成されます。

行には、実行するログ関連のアクションは含まれません。これは、FQDN 一致オブジェクトが第 1 レベルの一致基準であるためです。FDQN の明確な許可リストがある場合は、FQDN 一致オブジェクトを使用できます。ルールの一致後に、基準に基づいて許可するカテゴリがある場合は、FQDN フィルタリングを使用してください。詳細については、完全修飾ドメイン名のフィルタプロファイルを参照してください。

各 FQDN 一致オブジェクトの制限は次のとおりです。

  • ユーザー指定の行の最大数:254(スタンドアロンまたはスタンドアロンのグループ)

  • 行あたりの FQDN の最大数:60

  • FQDN 文字の最大長:255 文字

マルチレベルドメイン(www.example.com など)を指定する場合は、. 文字をエスケープ処理することが重要です(www\.example\.com など)。そうしないと、任意の 1 文字を表すワイルドカードとして扱われます。

スタンドアロンとグループ

FQDN 一致オブジェクトは、スタンドアロンまたはグループタイプとして指定できます。

FQDN 一致スタンドアロンオブジェクトには、FQDN が含まれています。オブジェクトは、1 つ以上のポリシールールセットルールのセットに直接適用されるか、FQDN 一致グループオブジェクトに関連付けられます。

FQDN 一致グループオブジェクトには、スタンドアロン FQDN オブジェクトの順序付きリストが含まれており、さまざまな目的のために定義したり、組み合わせてグループオブジェクトにまとめたりすることができます。グループオブジェクトは、1 つ以上のポリシールールセットルールのセットに直接適用できます。各チームは、特定のスタンドアロンプロファイルを作成および管理できます。これらのスタンドアロンプロファイルは、グループプロファイルにまとめて階層を作成したり、ユースケースに基づいてさまざまな組み合わせを作成したりできます。組み合わせの例としては、すべてに適用されるグローバル FQDN リスト、異なる CSP ごとに適用される CSP 固有のリスト、および異なるアプリケーションごとに適用されるアプリケーション固有のリストなどがあります。

スタンドアロン FQDN 一致オブジェクトの作成

手順

ステップ 1

[管理(Manage)] > [セキュリティポリシー(Security Policies)] > [FQDN]に移動します。

ステップ 2

[作成(Create)] をクリックします。

ステップ 3

プロファイル名と説明を入力します。

ステップ 4

[タイプ(Type)] に [スタンドアロン(Standalone)] を指定します。

ステップ 5

[追加(Add)] をクリックして新しい行を作成します。

ステップ 6

個々の FQDN を指定します(例:www.twitter.com、.*.google.com)

  1. 各 FQDN は PCRE(Perl 互換正規表現)として指定されます。

  2. 「.」文字はエスケープ処理することを検討してください。そうしないと、一文字を表すワイルドカードとして扱われます。

ステップ 7

(任意)復号が不要または不可能な場合は、任意の FQDN に対して [復号の例外(Decryption Exception)] を指定します。復号の例外を検討する理由としては、次のものが考えられます。

ステップ 8

暗号化されたトラフィックを検査したくない(金融サービス、防衛、ヘルスケアなど)。

ステップ 9

SSO 認証トラフィックで復号が不可能。

ステップ 10

プロキシ化できない NTLMトラフィック。

ステップ 11

完了したら、[保存(Save)] をクリックします。

グループ FQDN 一致オブジェクトの作成

手順

ステップ 1

[管理(Manage)] > [セキュリティポリシー(Security Policies)] > [FQDN]に移動します。

ステップ 2

[作成(Create)] をクリックします。

ステップ 3

プロファイル名と説明を入力します。

ステップ 4

[タイプ(Type)] に [グループ(Group)] を指定します。

ステップ 5

最初のスタンドアロンプロファイルを選択します(少なくとも 1 つのスタンドアロンプロファイルが必要です)。

ステップ 6

追加のスタンドアロンプロファイルを指定します。

ステップ 7

[FQDNプロファイルの追加(Add FQDN Profile)] をクリックして新しい行を作成します。

ステップ 8

スタンドアロンプロファイルを選択します。

ステップ 9

完了したら、[保存(Save)] をクリックします。