AT-TLS ポリシー

ポリシー条件は、AT-TLS 規則用のフィルターとして働く各種の選択基準から成っています。 トラフィックをフィルターに掛けるのは、ローカル・アドレス、リモート・アドレス、ローカル・ポート範囲、リモート・ポート範囲、ジョブ名、ユーザー識別、および方向に基づいて行えます。詳しくは、Application Transparent Transport Layer Security のデータ保護を参照してください。

AT-TLS ポリシー規則では、1 つ以上のポリシー条件を参照することができます。単一のポリシー条件のみを持つポリシー規則を単純規則と呼び、複数の条件を持つポリシー規則を複合規則と呼びます。複合 AT-TLS ポリシー規則の条件は、論理積正規形 (CNF) に従って評価されます。これは、OR 演算により求められた条件の AND 演算により求められたセットを意味します。CNF についての詳細は、ポリシー・オブジェクト・モデルの概要を参照してください。

ポリシー・エージェントは、AT-TLS 規則を読み取って解析することにより、その規則を複合規則として作成します。例えば、以下の TTLSRule ステートメントがあるとします。

TTLSRule ttlsRule1
{
  LocalAddrGroupRef    addrGroup1
  RemoteAddrGroupRef   addrGroup2
  LocalPortGroupRef    portGroup1
  RemotePortGroupRef   portGroup2
  Jobname              jobABC
  Userid               user1
  Direction            Outbound
  TTLSGroupActionRef   ttlsAction7
}

IpAddrGroup addrGroup1
{
  IpAddr
  {
    Addr 9.1.1.1
  }
  IpAddr
  {
    Addr 10.1.1.1
  }
}

IpAddrGroup addrGroup2
{
  IpAddr
  {
    Addr 200.1.1.1
  }
  IpAddr
  {
    Addr 201.1.1.1
  }
}

PortGroup portGroup1
{
  PortRange 
  {
    Port 21
  }
  PortRange
  {
    Port 23
  }
}

PortGroup2
{
  PortRange
  {
    Port 10
  }
  PortRange
  {
    Port 15
  }
}

この規則は、以下の条件レベルを持つ CNF 規則として表されます (レベルは AND 演算により結合されます)。

• レベル 1 = ローカル 9.1.1.1 または (OR) ローカル・アドレス 10.1.1.1
• レベル 2 = リモート・アドレス 200.1.1.1 または (OR) リモート・アドレス 201.1.1.1
• レベル 3 = ローカル・ポート 21 または (OR) ローカル・ポート 23
• レベル 4 = リモート・ポート 10 または (OR) リモート・ポート 15
• レベル 5 = ジョブ名は jobABC、ユーザー ID は user1、方向はアウトバウンド

pasearch コマンドは、AT-TLS ポリシーを複合規則として表示します。