icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

ファイアウォール機能について

Zscalerクラウドは、組織のアウトバウンドTCP、UDP、ICMPトラフィックをきめ細かくコントロールできる、統合されたクラウドベースの次世代ファイアウォール機能を提供します。

Zscalerは複数のファイアウォール パートナーと連携し、パートナーごとに別個の展開ガイドを提供します

以下のファイアウォールポリシーを設定することができます。

  • ファイアウォールフィルタリングポリシー:ネットワークからインターネットへの特定の種類のトラフィックを許可またはブロックするルールを追加します。また、セッションのログを取る方法を指定することもできます。
  • NAT制御ポリシー:宛先NATを実行するためのルールを追加します。トラフィックを特定のIPアドレスやポートにリダイレクトすることができます。
  • DNS制御ポリシー:DNSリクエストを許可またはブロックしたり、リクエストを別のDNSサーバーにリダイレクトしたり、DNSレスポンスのIPアドレスを事前に設定したIPアドレスに置き換えてリダイレクトするためのルールを追加します。
  • IPSコントロールポリシー:シグネチャベースの検出を使用して、すべてのポートとプロトコルのトラフィックを制御し、侵入から保護するためのルールを追加します。

ファイアウォール ポリシーの構成には、先行リストの4つのポリシーを該当するように構成し、お客様のロケーションのファイアウォールを有効にする必要があります。また、IPv6構成の有効化、送信元宛先IPグループの作成、ネットワーク サービスの変更、ネットワーク アプリケーション グループの作成、およびカスタム ポートの構成が必要になる場合もあります。

ファイアウォールポリシーを構成するには、次のものも必要です。

  • 組織は、既知の場所からIPトラフィックを転送する必要があります。
  • 組織がユーザー レベルでファイアウォール ポリシーを適用したい場合は、ユーザー認証とサロゲートIPを有効にする必要があります。それ以外の場合、 Zscalerファイアウォールサービスは組織と場所のポリシーを適用します。

標準および高度なファイアウォール

次の表に、標準ファイアウォールおよびアドバンストファイアウォール サブスクリプションによって提供される機能を示します。

特長と機能Standardファイアウォール高度なファイアウォール

[次の条件に基づくファイアウォール ポリシー]:

  • [ネットワークおよびアプリケーション サービス]:特定のIPアドレス、ポートおよびプロトコル(5タプル ファイアウォール)を使用するように指定されたネットワーク サービスとアプリケーション サービスに基づいてトラフィックを管理します。
  • [FQDNフィルタリング]: 完全修飾ドメイン名(FQDN)とワイルドカードFQDN*に基づいてネットワーク トラフィックを制御します。
  • [ロケーション認識:]既知のロケーション(ZIA管理ポータルで構成されたロケーション)、サブロケーションおよびリモート ユーザーからのインターネット トラフィックにポリシーを適用します。
  • ユーザーの認識:ユーザーグループおよび部署に基づいて詳細なポリシーを定義します。
  • [アプリケーション認識]:ディープ パケット インスペクション(DPI)を使用して、ネットワーク アプリケーションに属するパケットを識別および制御します。

制限付きで対応しています。

  • ユーザー認識とアプリケーション認識の基準には対応していません
  • 10個のファイアウォールフィルタリングルールのみが許可されます
対応
[宛先NAT]:宛先NATを使用して、トラフィックをネットワーク内の特定のIPアドレスとポートにリダイレクトするルールを作成します。対応対応
[FTPトラフィック コントロール]:構成設定を使用して、ネイティブFTPトラフィックとFTP over HTTPトラフィックを管理します。特定のFTPサイトへのアクセスを許可するポリシーを設定します。対応対応
[DNSセキュリティとコントロール]:詳細なDNSフィルタリング ポリシーを定義して、DNS属性、リクエストおよびレスポンスを制御します。Zscalerデータ センターでホストされる、Zscalerの信頼されたDNSリゾルバーを使用して、DNS解決を最適化します。対応しています(64個のルールのみが許可されます)対応
[DNSトンネルとDNSアプリケーション コントロール]: DNSトンネリング、悪意あるドメイン、マルウェア、フィッシング攻撃からDNSトラフィックを保護します。Webページ、ソーシャル ネットワーキング サイト、検索エンジン、ネットワーク サービスなどのDNSアプリケーションをDNSレベルで制御します。N/A対応
[IPSコントロール]:シグネチャーベースのIPSを使用してトラフィックをリアル タイムで監視し、すべてのポートとプロトコルで特定済み脅威からネットワークを保護します。N/A対応
[非標準のトラフィック リダイレクト]:非標準ポート宛てのアウトバウンドHTTP、HTTPS、FTP、DNS、RTSPおよびPPTPトラフィックを特定し、トラフィックをWebプロキシ(セキュアWebゲートウェイ)にリダイレクトして、Webの完全な可視性とセキュリティを確保します。N/A対応
[ファイアウォールとIPSダッシュボード、インサイト、ログ]:カスタマイズ可能なダッシュボード、インタラクティブなチャートおよびリアルタイム ログを使用して、トラフィック情報を分析します。

サポートされています。

標準ファイアウォールのログ記録の制限には、ブロックされた各フローの完全なログ記録が含まれますが、許可されたフローのログ記録は15分ごとに集約されます。

対応
[DNSダッシュボード、インサイト、ログ]:カスタマイズ可能なダッシュボード、インタラクティブなグラフ、リアルタイム ログを使用して、トラフィック情報を分析します。

サポートされています。

ログ記録の制限事項:DNSトンネルとDNSアプリケーション情報はDNSログに入力されません。

対応
[その他]:転送制御ポリシー(送信元IPアンカリングを含む)制限付きでサポートされます:ユーザー、グループおよび部署の条件は、転送制御ポリシーではサポートされません。対応

*Web以外のトラフィックに対するワイルドカードFQDNのサポートには、DNSコントロール/セキュリティ経由のDNSトラフィックのパーシングを含むZIAエディションが必要です。この機能は、すべての新しいZIAエディション(2023エディション)および高度なファイアウォールを備えた早期のZIAエディションにわたって利用できます。Webトラフィック(HTTPおよびTLS/SNI)に対するワイルドカードFQDN一致は、DNSパケットを解析しなくても機能します。

関連記事s
ファイアウォール機能についてファイアウォールポリシーの設定ロケーション用ファイアウォールの有効化ファイアウォールHTTPトンネル接続カスタムポートの設定ZIAおよびアプリケーションレイヤゲートウェイ対応アプリケーション