ファイルフィルタでは、ファイルタイプに基づいて通過するファイルをモニターやブロックすることができます。
この記事は以下の内容が前提となります。
今回は、PDFファイルの通過をブロックする設定、動作を確認します。
セキュリティプロファイルの設定
セキュリティプロファイル >> ファイルフィルタ より 新規作成をクリックします。
以下の画面で、名前をFileFilterとし、ルールの新規作成をクリックします。
新規ファイルフィルタルールの作成 画面が出力されるので、以下の通り設定します。
- 名前:任意の名前を設定。All-PDF-Blockedとします。
- ファイルタイプ:pdf を選択します。
- アクション:ブロック を設定します。
設定後、OKをクリックします。
以下のような画面が出力されるので、OKをクリックします。
セキュリティプロファイル上に、FileFilterというポリシーが設定されました。このプロファイルをファイアウォールポリシーに適用します。
ファイアウォールポリシーに適用
ポリシー&オブジェクト >> ファイアウウォールポリシー で、LANからインターネット向けのセキュリティポリシーに設定したプロファイルを適用します。
ファイルフィルタで、先ほど設定したプロファイル(FileFIlter)を適用します。 あと、インスペクションモードを今回は、フローベースとし、SSLインスペクションはdeep-inspectionとします。
設定完了後、OKをクリックします。
動作確認
フローベースの場合
端末から、SSL復号化対象のサイトでアクセスし、PDFファイルをダウンロードしてみます。今回は、ジュニパー社で公開しているデータシートのPDFファイルをダウンロードします。
サイトにアクセスし、PDFをダウンロードすると、以下のように保存するか否かのポップアップが表示されます。
保存をクリックすると、以下の通り、ダウンロードされません。
ログ&レポート >> ファイルフィルタ でログを確認すると、該当ファイルがブロックされていることが確認できます。
プロキシベースの場合
先ほどは、ファイアウォールポリシーのインスペクションモードをフローベースで設定しましたが、今度は、プロキシベースに変更します。
端末から再度、同じPDFファイルのダウンロードを試みると以下のようなアラート画面が出力され、ファイルがブロックされます。
このようにインスペクションモードがフローベースとプロキシベースで動作が異なります。 モードの違いは以下を参照してください。
コメント
メールでファイル添付(特定のファイルではなく全てのファイル)した場合のログを取りたいんですが、その場合、[新規ファイルフィルタルールの作成]の[プロトコル]で、”SMTP” を選択し、[ファイルタイプ]では、本例のように、”PDF” を選択せず、何か、全てのファイルを指定するようなパラメータを選択し、[アクション]で、”モニタ” を選択すれば良いということでしょうか?
実機が無い中で、色々とWebで調べているんですが、なかなか見つからず、藁をも掴む気持ちでお伺いしております。勿論、個人の見解であることは承知しております。何か、ヒントを頂ければ。