FPolicy設定タイプ
変更を提案
PDF
FPolicyの基本設定には2つのタイプがあります。一方の設定では、外部FPolicyサーバを使用して通知の処理と対応を行います。もう一方の設定では外部FPolicyサーバを使用しません。代わりに、ONTAP内部のネイティブFPolicyサーバを使用して、拡張子に基づく単純なファイルブロッキングを行います。
-
* 外部 FPolicy サーバ構成 *
FPolicyサーバに通知が送信され、FPolicyサーバが要求をスクリーニングし、要求されたファイル操作をノードで許可するかどうかを決定するルールを適用します。同期ポリシーの場合、FPolicyサーバは要求されたファイル操作を許可またはブロックする応答をノードに送信します。
-
* ネイティブ FPolicy サーバ構成 *
通知は内部的にスクリーニングされます。要求は、FPolicyスコープで設定されているファイル拡張子に基づいて許可または拒否されます。
*注:拒否されたファイル拡張子要求はログに記録されません。
ネイテイフFPolicyセツテイヲサクセイスルシヨウコウ
ネイティブFPolicyの設定では、ONTAP内部のFPolicyエンジンを使用して、ファイルの拡張子に基づいてファイル操作を監視およびブロックします。このソリューションでは、外部FPolicyサーバ(FPolicyサーバ)は必要ありません。このシンプルなソリューションが必要な場合は、ネイティブファイルブロッキング構成を使用することをお勧めします。
ネイティブファイルブロッキングを使用すると、設定された処理およびフィルタリングイベントに一致するすべてのファイル操作を監視し、特定の拡張子を持つファイルへのアクセスを拒否できます。これがデフォルトの設定です。
この設定では、ファイルの拡張子のみに基づいてファイルへのアクセスをブロックすることができます。たとえば、拡張子を含むファイルをブロックするには mp3、拡張子がのファイルをターゲットとする特定の処理について通知を送信するようにポリシーを設定し `mp3`ます。このポリシーは、通知を生成する操作のファイル要求を拒否するように設定されて `mp3`います。
ネイティブFPolicy設定には次の事項が適用されます。
-
FPolicyサーバベースのファイルスクリーニングでサポートされているフィルタとプロトコルのセットが、ネイティブファイルブロッキングでもサポートされます。
-
ネイティブファイルブロッキングとFPolicyサーバベースファイルスクリーニングアプリケーションは同時に設定できます。
そのためには、Storage Virtual Machine(SVM)に2つのFPolicyポリシーを設定します。1つはネイティブファイルブロッキング用に設定されたポリシー、もう1つはFPolicyサーバベースのファイルスクリーニング用に設定されたポリシーです。
-
ネイティブファイルブロッキング機能は、ファイルの内容ではなく、拡張子に基づいてファイルをスクリーニングするだけです。
-
シンボリックリンクの場合、ネイティブファイルブロッキングはルートファイルのファイル拡張子を使用します。
詳細については、をご覧ください "FPolicy:ネイティブファイルブロッキング"。
外部FPolicyサーバを使用する設定を作成する状況
通知の処理と管理に外部FPolicyサーバを使用するFPolicy設定は、ファイル拡張子に基づく単純なファイルブロッキング以上のことが必要なユースケースに、堅牢なソリューションを提供します。
ファイルアクセスイベントの監視と記録、クォータサービスの提供、単純なファイル拡張子以外の条件に基づくファイルブロッキングの実行、階層型ストレージ管理アプリケーションを使用したデータ移行サービスの提供、Storage Virtual Machine(SVM)のデータのサブセットのみを監視するきめ細かなポリシーセットの提供などを行う場合は、外部FPolicyサーバを使用する設定を作成する必要があります。