※ 2021 年 7 月 8 日現在の情報をもとに作成しています
1. はじめに
DNS ポリシー、 Web ポリシーには複数のポリシーコンポーネント(接続先リスト、コンテンツカテゴリなど) を含めることができますが、どのポリシーコンポーネントの検査が優先して行われるかについては公式には公開されていません。
本記事では、Umbrella の実際の動作を通して、ポリシーコンポーネントの優先順位が現在どうなっているかについて紹介します。
2. DNS ポリシーの優先順位
1 つの DNS ポリシーの中で、接続先リスト、コンテンツカテゴリ、アプリケーション設定、セキュリティ設定を行った際の検査の優先順位は以下のとおりです。
- 接続先リストまたはアプリケーション設定の許可
- セキュリティ設定のブロック
- 接続先リストのブロック
- コンテンツカテゴリのブロック
- アプリケーション設定のブロック
以上のことから、ポリシー内で許可設定が行われた通信は、同時にブロック対象となっていたとしても通信は許可されます。
3. Web ポリシーの優先順位
Web ポリシーについては、これまで DNS ポリシーと同じ優先順位が使われていましたが、先ごろポリシーそのものがルールセットをベースとしたものに変更となったため、優先順位も以下のとおり変更になりました。
- セキュリティ設定のブロック
- ルールセットルールの上位から順に検査し、合致した許可またはブロック。どちらにも合致しない場合は次の検査へ
- ファイルの種類のコントロールのブロック
- ファイル分析・テナントコントロールのブロック
※ 例外として、2 で許可となった通信でも、4でブロックと判断された場合、最終的に通信はブロックされる
※ 一つのルールの中に複数のポリシーコンポーネントが設定されている場合の検査順はアプリケーション設定 > コンテンツカテゴリ > 接続先リスト
DNS ポリシーと大きく違う点としては、ルールセットルール内で許可設定がされていたとしても、セキュリティ設定でブロック対象の通信はブロックされることです。