アプリケーション ネットワーク アクセス制御

このセクションの内容

• アプリケーション ネットワーク アクセス制御
• ネットワーク接続項目
• ネットワーク接続の追加
• ネットワーク項目を直接ルールに追加
• ルールで直接ネットワーク接続を編集
• ネットワーク接続項目をグループに割り当て
• グループのネットワーク接続項目の編集
• アプリケーション ネットワーク アクセス制御とリバース DNS ルックアップ
• リバース DNS ルックアップ エントリの構成
• 分散ファイル システム

アプリケーション ネットワーク アクセス制御

アプリケーション ネットワーク アクセス制御 (ANAC) により、ルール処理の結果に基づいて、IP アドレス、ホスト名、URL、UNC、またはポートで送信ネットワーク接続を制御できます。たとえば、VPN 経由または直接ネットワークに接続する要求者の位置情報に基づくアクセスがあります。

アプリケーション ネットワーク アクセス制御は、会社のネットワーク インフラストラクチャ内でアクセスを制御するように設計されています。この制御は、WINSOCK レイヤ経由で行われるアプリケーション要求を受信することで実現されます。例:

ネットワーク接続項目は、個別に作成するか、グループの一部として作成できます。グループおよび項目は、許可された項目のルールに適用してアクセスを許可するか、拒否された項目に適用してアクセスを拒否できます。Application Control はネットワーク アクセスを傍受し、ネットワーク リソースを拒否する要求があった場合にはブロックします。アプリケーションの実行は制御されません。

アクティブに拒否されるまで、すべてのネットワークリソースへのアクセスが許可されます。

ネットワーク接続項目

次の方法で、ネットワーク リソースのネットワーク接続項目を作成し、構成に追加できます。

• ルールに直接 - より粒度の高い制御が必要なとき、または巣項目のみが必要なときには、単一のネットワーク接続項目を許可および拒否された項目リストに追加すると役立ちます。ただし、この方法を使用すると、時間がかかる場合があります。
• グループに割り当て - 重複するネットワーク接続項目は同じグループで許可されません。
• コピーして貼り付け - ネットワーク接続項目は、ルール間で切り取り、コピー、ドラッグできます。構成には既定のネットワーク接続項目がありません。ネットワーク接続項目の完全パスは400文字以下でなければなりません。

ネットワーク接続の追加

接続タイプ

次のタイプのいずれかを選択します。

• IP アドレス - 選択すると、特定の IP アドレスへのアクセスを制御します。
• ネットワーク共有 - 選択すると、UNC パスへのアクセスを制御します。プレフィックス \\ が [ホスト] フィールドに追加されます。
• ホスト名 - 選択すると、特定のホスト名へのアクセスを制御します。

接続オプション

すべての3つのフィールドのホスト、ポート、パスを合わせた文字数は、400文字以下でなければなりません。

ホスト

ネットワーク接続の IP アドレスまたはホスト名。これは、選択した接続タイプによって異なります。? および * ワイルドカードを使用できます。- (ハイフン) を使用して範囲を指定できます。ただし、[IP アドレス] が選択されている場合のみです。

IP アドレスは IP4オクテット形式でなければなりません。例: n.n.n.n

ネットワーク共有が接続タイプとして選択されている場合、\\ プレフィックスが必要です。

ターゲット リソースの完全パスをホストで入力できます。

例:

ホスト フィールドに、http://server1.company.local:80/resource1/ を入力します。

ホストからフォーカスを移動します。パスは自動的に別の接続オプションに分割されます。

• http:// は [ホスト] フィールドから削除され、server1.company.local が残ります。
• : が削除され、80がポートに移動します。
• /resource1/ はパスに移動します。

これにより、完全パスを簡単にコピーして貼り付けることができます。

ポート

ネットワーク接続のポート番号。これは IP アドレスまたはホスト名と組み合わせて使用し、特定のポートへのアクセスを制御できます。範囲とカンマ区切り値はポート番号の一部として許可されています。

[ポート] をクリックして、一般的に使用されるポートのリストを表示します。必要な数のポートを選択します。

パス

ネットワーク接続のパス。? および * ワイルドカードを使用できます。使用方法

パスは、HTTP の制御でのみ使用できます

• テキストにワイルドカード文字を使用する - 選択すると、文字 ? および * をワイルドカードとしてパスで使用できます。選択しない場合、? および * は URL 区切り文字として処理されます。
• 正規表現を使用する - このオプションを選択すると、選択したパスで正規表現を使用します。
• サブディレクトリを含める - 選択すると、ルール処理にサブディレクトリを含めます。
• 接続タイプ ネットワーク共有が選択されている場合にのみ適用されます。

説明

ネットワーク接続を説明するわかりやすい説明を入力します。

ネットワーク項目を直接ルールに追加

ネットワーク項目は、許可された項目または拒否された項目ノードに追加できます。たとえば、IP アドレスの A ネットワーク接続項目を設定します。ネットワーク接続項目は、グループ ルールで、拒否された項目に割り当てられます。そのルールのグループ メンバーは、その IP アドレスのネットワーク リソースにはアクセスできません。

1. 特定のユーザ グループの拒否された項目または許可された項目など、目的のノードに移動します。

2. [ルール項目] リボンで、[項目の追加] > [拒否 (または許可)] > [ネットワーク接続項目] を選択します。

   [ネットワーク接続の追加] ダイアログが表示されます。

3. 接続タイプの詳細を入力します。
4. 追加 をクリックします。

ルールで直接ネットワーク接続を編集

1. 修正するネットワーク接続項目があるナビゲーション ツリーの [ルール] ノードに移動します。
2. 該当する作業領域が表示されます。
3. ネットワーク接続の下で、修正するネットワーク接続項目をクリックします。
4. [ルール項目] リボンで、[ネットワーク接続の編集] を選択します。
5. [ネットワーク接続の編集] ダイアログが表示されます。
6. 必要な修正を行います。
7. [OK] をクリックして、変更を保存し、ダイアログを閉じます。

ネットワーク接続項目をグループに割り当て

1. [グループ管理]ノードに移動します。
2. ナビゲーション ツリーで、ネットワーク接続項目を追加するグループを選択します。

3. 作業領域内を右クリックし、[追加] > [ネットワーク接続] を選択します。

   [ネットワーク接続の追加] ダイアログが表示されます。

4. ネットワーク接続詳細を指定し、[追加] をクリックします。

グループのネットワーク接続項目の編集

1. ナビゲーション ツリーの関連するグループに移動します。

   [グループ管理] 作業領域が表示されます。

2. ネットワーク接続の下で、修正するネットワーク接続項目を選択します。

3. [グループ] リボンで [項目の編集] を選択します。

   [ネットワーク接続の編集] ダイアログが表示されます。

4. 必要な修正を行います。
5. [OK] をクリックして、変更を保存し、ダイアログを閉じます。

アプリケーション ネットワーク アクセス制御とリバース DNS ルックアップ

アプリケーション ネットワーク アクセス制御機能は、ネットワーク接続ルールを評価するときに、リバース DNS ルックアップを使用できます。この機能は既定でオフです。この情報を DNS サーバから取得するためにかかる時間がネットワーク アプリケーションのパフォーマンスを劣化させる可能性があるためです。

この機能を有効にすると、構成がホスト名に基づいているときに、ユーザまたはアプリケーションがIP アドレスを使用してネットワーク リソースの要求を行うときに、ネットワーク ルールがより効果的になることが保証されます。

リバース DNS ルックアップを有効にするには、エンジニアリング キーのセットを構成します。

この機能には、管理者が DNS サーバでリバース DNS ゾーンを有効にし、構成する必要があります。

リバース DNS ルックアップ エントリの構成

エンジニアリング キーを使用して、リバース DNS ルックアップ エントリを構成するには、会社ネットワーク インフラストラクチャ内の IP アドレスを該当するエンジニアリング キーに追加するだけです。

分散ファイル システム

分散ファイル システムまたはネットワーク ファイル システムでは、コンピュータ ネットワーク経由で共有される複数のホストからのファイル アクセスを許可します。これにより、複数のコンピュータの複数のユーザがファイルとストレージ リソースを共有できます。DFS を使用すると、システム管理者は、ユーザがネットワーク上に物理的に分散されているファイルに容易にアクセスして管理できるようにすることができます。

サーバで DFS を実装するには、次の2つの方法があります。

• スタンドアロン DFS 名前空間
• ドメインに基づいた DFS 名前空間

ドメインおよびスタンドアロン シナリオの両方に含めることができる例については、Microsoft ガイドラインをご参照ください。

ネットワーク共有を使用したり、DFS 共有上の項目を参照するファイルまたはフォルダを使用する Application Network Access Control (ANAC) ルールについては、UNC パスの名前空間サーバではなく、ターゲット サーバを指定する必要があります。Application Control エージェントは名前空間サーバ パスをターゲット サーバ パスで置き換えるため、名前空間サーバはルール エンジンを通過しません。

関連トピック

ルール オプション