ビュー:
このトピックの内容:

ファイアウォールルールの処理

ファイアウォールルールでは、次の処理が可能です。
  • 許可:: ルールと一致するトラフィックの通過を明示的に許可し、その他のトラフィックは黙示的に拒否します。
  • バイパス::は、トラフィックがファイアウォールおよび侵入防御の分析をバイパスすることを許可します。この設定は、メディア集約型プロトコルや信頼できるソースからのトラフィックに使用します。バイパスルールは、IP、ポート、トラフィックの方向、およびプロトコルに基づくことができます。
  • 拒否::ルールと一致するトラフィックを明示的にブロックします。
  • 強制的に許可::他のルールで拒否されるトラフィックを強制的に許可します。
    注意
    注意
    強制的に許可ルールで許可されるトラフィックは、侵入防御モジュールによる分析の対象となります。
  • ログのみ::トラフィックがルールに一致した場合、ログに記録されます。その他の処理は実行されません。

許可ルールの詳細

許可ルールには、次の2つの機能があります。
  1. 明示的に許可されているトラフィックを許可
  2. その他のトラフィックを黙示的に拒否
注意
注意
許可ルールで明示的に許可されていないトラフィックは破棄され、ポリシーで「未許可」のファイアウォールイベントとして記録されます。
一般的に適用される許可ルールは、次のとおりです。
  • ARP: 受信ARPトラフィックを許可します。
  • 要請されたTCP/UDP返信を許可: コンピュータが、送信したTCPおよびUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフル設定と連携します。
  • 要請されたICMP返信を許可: コンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフル設定と連携します。

バイパスルールの詳細

バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。
バイパスルールの条件と一致するパケットは、次のように処理されます。
  • ステートフル設定の条件の対象にならない。
  • ファイアウォールと侵入防御分析の両方をバイパスする。
バイパスされるトラフィックにはステートフルインスペクションが適用されないので、一方向のトラフィックがバイパスされても、逆方向の応答は自動的にはバイパスされません。受信トラフィック用と送信トラフィック用のバイパスルールは、必ずペアで作成および適用する必要があります。
注意
注意
バイパスルールのイベントは記録されません。この動作は変更できません。
ヒント
ヒント
Deep Security ManagerがDeep Security Agentによって保護されているリモートデータベースを使用している場合、Deep Security Managerが侵入防御ルールをデータベースに保存する際に、侵入防御に関連する誤警報が発生する可能性があります。ルール自体の内容が攻撃として誤認識されることがあります。これに対する回避策の一つは、Deep Security Managerからデータベースへのトラフィックに対してバイパスルールを作成することです。

デフォルトのバイパスルール (Deep Security Managerトラフィック用)

Deep Security Managerは、優先度4のバイパスルールを自動的に実装します。このルールは、Deep Security Agentを実行しているコンピュータ上でハートビートのエージェントの待機ポートでの着信TCPトラフィックを開きます(ハートビートの設定を参照)。優先度4なので、このルールは他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。
ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。このポートでエージェントのセキュリティを強化するには、このポートに対して代替の、より制限の厳しいバイパスルールを作成することもできます。次の特性が適用されている場合、エージェントは初期設定のDeep Security Managerトラフィックルールを新しいカスタムルールに置き換えます。
  • 優先度:: 4 - 最高
  • パケット方向:: 受信
  • フレームの種類:: IPアドレス
  • プロトコル:: TCP
  • パケット送信先ポート:: AgentのManagerからのハートビートを待機するポート番号
初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、実際のDeep Security ManagerのIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。

強制的に許可ルールの詳細

強制的に許可オプションでは、拒否処理の対象となるトラフィックの一部を除外します。他の処理との関係を下に示します。強制的に許可ルールは、バイパスルールと同じ効果があります。ただし、バイパスルールとは異なり、この処理によってファイアウォールを通過するトラフィックは侵入防御モジュールによる監視の対象となります。強制的に許可ルールの処理は、基本的なネットワークサービスがDSAコンピュータとの通信を確保するのに便利です。一般に、[許可]ルールは、[許可]ルールと組み合わせてのみ使用し、[許可]ルールと[拒否]ルールで禁止されているトラフィックのサブセットを許可する必要があります。また、ICMPおよびUDPステートフルが有効になっている際に、未承諾のICMPおよびUDPトラフィックを許可するように強制的に許可ルールを設定する必要があります。
注意
注意
複数ノード構成で複数のDeep Security Managerを使用する場合は、それらのサーバのIPリストを定義し、そのリストを使用してDeep Security Managerトラフィックのカスタムルールを作成すると便利です。

ファイアウォールルールのシーケンス

コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。
受信および送信でファイアウォールルールが適用される順序は次のとおりです。
  1. 優先度[4 (最高)]のファイアウォールルール
    1. バイパス
    2. [ログ記録のみ](ログのみのルールには[4 (highest)]の優先度しか割り当てられません)
    3. [強制的に許可]
    4. 拒否
  2. 優先度[3 (高)]のファイアウォールルール
    1. [バイパス]
    2. [強制的に許可]
    3. [拒否]
  3. 優先度[2 (通常)]のファイアウォールルール
    1. [バイパス]
    2. [強制的に許可]
    3. [拒否]
  4. 優先度[1 (低)]のファイアウォールルール
    1. [バイパス]
    2. [強制的に許可]
    3. [拒否]
  5. 優先度[0 (lowest)]のファイアウォールルール
    1. [バイパス]
    2. [強制的に許可]
    3. [拒否]
    4. [許可](許可ルールには[0 (lowest)]の優先度しか割り当てられないことに注意してください)
注意
注意
コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。
同じ優先度のコンテキスト内では、拒否ルールが許可ルールを上書きし、強制許可ルールが拒否ルールを上書きします。ルールの優先度システムを使用することで、より高い優先度の拒否ルールが、より低い優先度の強制許可ルールを上書きするように設定できます。
[強制的に許可]ルールを使用して受信DNSクエリをすべて許可するDNSサーバのポリシーの例について考えてみます。この場合、[強制的に許可]ルールよりも優先度の高い[拒否]ルールを作成することによって、特定範囲のIPアドレスを指定して、同一の公開サーバへのアクセスを禁止する必要があります。
優先度ベースのルールセットを使用すると、ルールが適用される順序を設定できます。最も高い優先度で拒否ルールが設定されており、同じ優先度の強制許可ルールがない場合、拒否ルールに一致するパケットは自動的に破棄され、残りのルールは無視されます。逆に、最も高い優先度フラグが設定された強制許可ルールが存在する場合、強制許可ルールに一致するすべての受信パケットは、他のルールと照合されることなく自動的に許可されます。

ログに関する注意

バイパスルールはイベントを生成しません。これは設定できません。
ログのみルールは、対象のパケットが、次のいずれかのルールによって、それ以降に停止されない場合にのみイベントを生成します。
  • 拒否ルール、または
  • それを除外する許可ルール
この2つのルールのいずれかがパケットを停止する場合は、ログのみルールではなくこれらのルールによって、イベントが生成されます。後続のルールがパケットを停止しない場合は、ログのみルールがイベントを生成します。

各ファイアウォールルールの関係

Deep Securityファイアウォールルールには、ルール処理とルール優先度の両方があります。これらの2つのプロパティを組み合わせて使用することで、非常に柔軟で強力なルール設定を作成できます。他のファイアウォールで使用されているルール設定では実行順にルールを定義する必要がありますが、それとは異なり、Deep Securityファイアウォールルールは、ルール処理とルール優先度に基づいて決定論的な順序で実行されます。これは、定義された順序や割り当てられた順序とは無関係です。

ルール処理

各ルールには、以下の5つのルール処理のいずれかを設定できます。
  1. バイパス::パケットがバイパスルールに一致した場合は、同じ優先度の他のルールにかかわらずファイアウォールと侵入防御エンジンを通過します。
  2. ログのみ::パケットがログのみルールに一致した場合は、通過してイベントがログ記録されます。
  3. 強制的に許可::パケットが強制的に許可ルールに一致した場合は、同じ優先度の他のルールにかかわらず通過します。
  4. 拒否::パケットが拒否ルールに一致した場合は、破棄されます。
  5. 許可::パケットが許可ルールに一致する場合、そのパケットは通過します。許可ルールのいずれにも一致しないトラフィックは拒否されます。
許可ルールを実装すると、許可ルールに一致しないその他すべてのトラフィックが拒否されます。
packet101-1=897b4fa6-a742-4b8b-bacc-60b0d0cb313c.gif
拒否ルールを許可ルールに優先して適用すると、特定の種類のトラフィックをブロックすることができます。
packet101-3=c330e5c5-2320-4e7e-a44e-0023be8addb9.gif

ルール優先度

拒否および強制許可のルールアクションは、許可ルールのセットによって定義された許可されたトラフィックをさらに精緻化するために、5つの優先度のいずれかで定義できます。ルールは、最高 (優先度4) から最低 (優先度0) までの優先度順に実行されます。特定の優先度レベル内では、ルールアクション (強制許可、拒否、許可、ログのみ) に基づいて順番に処理されます。
優先度のコンテキストによって、ユーザは拒否および強制的に許可の組み合わせを使用してトラフィック管理をさらに詳細に定義することが可能になります。同じ優先度のコンテキスト内では、拒否ルールによって許可ルールを無効にし、また、強制的に許可ルールによって拒否ルールを無効にすることもできます。
注意
注意
許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。

ルール処理およびルール優先度を集約する

ルールは、優先度の高い順 (優先度4) から低い順 (優先度0) に実行されます。特定の優先度レベル内では、ルールはルールアクションに基づいて順番に処理されます。同じ優先度のルールが処理される順序は次のとおりです:
  • バイパス
  • ログのみ
  • 強制的に許可
  • 拒否
  • 許可
注意
注意
<strong>許可</strong>のルール処理は優先度0でのみ動作し、<strong>ログのみ</strong>のルール処理は優先度4でのみ動作します。
注意
注意
Force AllowルールとDenyルールが同等の優先度の場合、Force AllowルールがDenyルールよりも優先されるので、Force Allowルールと一致するトラフィックが許可されます。