ネイティブ FPolicy ファイルブロッキング
環境
ONTAP 9
回答
概要:
管理者によっては、ファイルフィルタリクエストを要求し、特定のファイルタイプをファイルサーバーに保存できないようにするポリシーを設定する場合があります。音楽、動画、その他のファイルタイプがこれに該当します。これらのファイルのスキャンは、以下のいずれかの基準に基づいて行われます。
ファイル拡張子に基づいてブロックする(Data ONTAPのネイティブサポート)。例えば、*.mp3に一致するすべてのファイルをブロックするなど。これは信頼性の低いアプローチです。ファイルへのデータアクセスは必要ありません。ファイル拡張子に基づくファイルブロッキングのネイティブサポートでは、外部FPolicyサーバへの接続は必要ありません。
ファイル マジック署名に基づきます (外部サーバーが必要) - たとえば、マジックと署名が mp3 形式に一致するすべてのファイルをブロックします。これは、ウイルスを検出するためにアンチウイルススキャナが行うのと同様に、シグネチャマッチングが行われるため、より正確です。
詳細については、次のリンクを参照してください。
管理者は、CREATE、OPEN、CLOSE、および RENAME リクエストのイベントを有効にします。FPolicyサーバは、これらのイベントトリガーが通知されると、2つのメカニズム(ファイル拡張子またはファイルシグネチャ)のいずれかに基づいてチェックを実行し、一致が見つかった場合は要求を拒否できます。
サンプル構成:
ネイティブ FPolicy を設定するには、次の手順を実行します。
- ポリシーイベントを設定します。
Cluster::> vserver fpolicy policy event create -vserver SvmName -event-name Event -protocol cifs -file-operations create,open,rename
Cluster::> vserver fpolicy policy event show -vserver SvmName -event-name Event -instance
Vserver: SvmName
Event: Event
Protocol: cifs
File Operations: create, open, rename
Filters: -
Is Volume Operation Required: false
- ポリシーの設定:
Cluster::> vserver fpolicy policy create -vserver SvmName -policy-name blockext -events Event -engine native -is-mandatory true -allow-privileged-access no -is-passthrough-read-enabled false
Cluster::> vserver fpolicy policy show -vserver SvmName -instance
Vserver: SvmName
Policy: blockext
Events to Monitor: Event
FPolicy Engine: native
Is Mandatory Screening Required: true
Allow Privileged Access: no
User Name for Privileged Access: -
Is Passthrough Read Enabled: false
Configure Policy Scope:
Cluster::> vserver fpolicy policy scope create -vserver SvmName -policy-name blockext -file-extensions-to-include mp3,mp4,flv,wmv -shares-to-include "*" -is-file-extension-check-on-directories-enabled true
Cluster::> vserver fpolicy policy scope show -vserver SvmName -instance
Vserver: SvmName
Policy: blockext
Shares to Include: *
Shares to Exclude: -
Volumes to Include: -
Volumes to Exclude: -
Export Policies to Include: -
Export Policies to Exclude: -
File Extensions to Include: mp3, mp4, flv, wmv
File Extensions to Exclude: -
Is File Extension Check on Directories Enabled: true
- ポリシーの有効化: 単一の vserver の下にある複数のポリシーに同じシーケンス番号を割り当てることはできませんが、異なる vserver のポリシーには、以前の vserver で使用された同じシーケンス番号を使用できます。
Cluster::> vserver fpolicy enable -vserver SvmName -policy-name blockext -sequence-number 1
Cluster::> vserver fpolicy show -vserver SvmName
Sequence
Vserver Policy Name Number Status Engine
------- ----------- -------- ------ ------
SvmName blockext 1 on native
Cluster::> event log show -time > 2m
Time Node Severity Event
------------------- ------------ ------------- --------------------------
3/27/2017 10:35:34 cm2520n2-ams INFORMATIONAL mgmt.fpolicy.policy.enabled: FPolicy policy blockext is enabled on Vserver SvmName.
- Windows クライアントから上記のポリシーを使用して結果をテストします。
Attempt to rename a file using mp3, mp4, flv, or wmv extension is Denied
Attempt to open a file with mp3, mp4, flv, or wmv extension is Denied
Attempt to delete a file with mp3, mp4, flv, or wmv extension is Denied
Attempt to copy a file with mp3, mp4, flv, or wmv extension to the share is Denied
詳細については、ご使用の ONTAP バージョンの『CIFS および NFS 監査ガイド』を参照してください。
追加情報
ネイティブ ファイル ブロッキングの問題に関する一般的な KB:
- 何もブロックしない:
- ブロックしていますが、拡張子または場所が正しくありません。