メインコンテンツまでスキップ

ネイティブFPolicyファイルブロッキング

Views:
706
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

すべてのとおり  

環境

ONTAP 9

回答

概要:

一部の管理者は、特定のファイルタイプをファイルサーバに保存できないポリシーを設定したいと考えています。これらは、音楽、ビデオ、またはその他のそのようなファイルタイプである可能性があります。このようなファイルのスキャンは、次のいずれかに基づいて実行できます。
ファイル拡張子に基づく(Data ONTAPでのネイティブサポート)-たとえば、*。mp3に一致するすべてのファイルをブロックします。これは信頼性の低いアプローチです。ファイルへのデータアクセスは必要ありません。ファイル拡張子に基づくファイルブロッキングのネイティブサポートでは、外部FPolicyサーバへの接続は必要ありません。

ファイルマジックシグネチャに基づいて(外部サーバーが必要です)-たとえば、mp3形式に一致するマジックとシグネチャを持つすべてのファイルをブロックします。これは、ウイルスを検出するためにアンチウイルススキャナが行うのと同様に、シグネチャマッチングが行われるため、より正確です。

詳細については、次のリンクを参照してください。

ONTAP 9のFPolicyファイルブロッキング

管理者は、リクエストの作成、オープン、クローズ、名前変更のイベントを有効にします。FPolicyサーバは、これらのイベントトリガーが通知されると、2つのメカニズム(ファイル拡張子またはファイルシグネチャ)のいずれかに基づいてチェックを実行し、一致が見つかった場合は要求を拒否できます。

構成例:

ネイティブFPolicyを設定するには、次の手順を実行します。

  1. ポリシーイベントを設定します。

Cluster::> vserver fpolicy policy event create -vserver SvmName -event-name Event -protocol cifs -file-operations create,open,rename
 

Cluster::> vserver fpolicy policy event show -vserver SvmName -event-name Event -instance
                     Vserver: SvmName
                       Event: Event
                    Protocol: cifs
                 File Operations: create, open, rename
                     Filters: -
          Is Volume Operation Required: false

  1. ポリシーの設定:

Cluster::> vserver fpolicy policy create -vserver SvmName -policy-name blockext -events Event -engine native -is-mandatory true -allow-privileged-access no -is-passthrough-read-enabled false
 

Cluster::> vserver fpolicy policy show -vserver SvmName -instance 
                                  Vserver: SvmName
                                 Policy: blockext
                       Events to Monitor: Event
                          FPolicy Engine: native
              Is Mandatory Screening Required: true
                   Allow Privileged Access: no
               User Name for Privileged Access: -
                 Is Passthrough Read Enabled: false
                   Configure Policy Scope:

Cluster::> vserver fpolicy policy scope create -vserver SvmName -policy-name blockext -file-extensions-to-include mp3,mp4,flv,wmv -shares-to-include "*" -is-file-extension-check-on-directories-enabled true
 

Cluster::> vserver fpolicy policy scope show -vserver SvmName -instance
                                        Vserver: SvmName
                            Policy: blockext
                              Shares to Include: *
                              Shares to Exclude: -
                             Volumes to Include: -
                             Volumes to Exclude: -
                     Export Policies to Include: -
                     Export Policies to Exclude: -
                     File Extensions to Include: mp3, mp4, flv, wmv
                    File Extensions to Exclude: -
  Is File Extension Check on Directories Enabled: true

  1. ポリシーの有効化:

Cluster::> vserver fpolicy enable -vserver SvmName -policy-name blockext -sequence-number 1

Cluster::> vserver fpolicy show -vserver SvmName
                      Sequence
Vserver  Policy Name  Number    Status  Engine
-------  -----------  --------  ------  ------
SvmName  blockext     1         on      native

Cluster::> event log show -time > 2m
Time                Node         Severity      Event
------------------- ------------ ------------- --------------------------
3/27/2017 10:35:34  cm2520n2-ams INFORMATIONAL mgmt.fpolicy.policy.enabled: FPolicy policy blockext is enabled on Vserver SvmName.

  1. Windowsクライアントから上記のポリシーを使用して結果をテストします。

Attempt to rename a file using mp3, mp4, flv, or wmv extension is Denied
Attempt to open a file with mp3, mp4, flv, or wmv extension is Denied
Attempt to delete a file with mp3, mp4, flv, or wmv extension is Denied
Attempt to copy a file with mp3, mp4, flv, or wmv extension to the share is Denied

 
詳細については、ご使用のONTAPバージョンに対応したCIFSおよびNFS監査ガイドを参照してください。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.