ファイアウォールの設定 · Customer Self-Service

ビュー:

[ファイアウォール] モジュールは、双方向のステートフルなファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。

[コンピュータエディタとポリシーエディタ] の [ファイアウォール] セクションには、次のタブがあります。

一般
インタフェース制限
攻撃の予兆
詳細
ファイアウォールイベント

一般

ファイアウォール

ファイアウォールのオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

ファイアウォールステートフル設定

このポリシーに適用するファイアウォールステートフル設定を選択します。上記のポリシーに対して複数のインタフェースを定義した場合は、各インタフェースに対して個別に設定することができます。ステートフル設定作成の詳細については、ステートフルファイアウォールの設定の定義を参照してください。

ポート検索 (コンピュータエディタのみ)

前回のポートの検索::このコンピュータでDeep Security Managerがポート検索を最後に実行した時刻。

検索されたポート::直近のポート検索で検索されたポート。

オープンポート::ローカルコンピュータのIPアドレスの下に、オープンポートのリストが表示されます。

オープンポートの検索]ボタンと[ポート検索のキャンセル]ボタンを使用して、このコンピュータでポートスキャンを開始またはキャンセルできます。Deep Security Managerは[コンピュータまたはポリシーエディタ]→[設定]→[一般]→[開いているポート]→[検索するポート]で定義されたポート範囲をスキャンします。

注意

検索対象のポートに関係なく、Deep Security Managerは常に検索を実行します。Managerからのハートビート接続のエージェントまたはアプライアンスの待機ポート番号。

割り当てられたファイアウォールルール

このポリシーまたはコンピュータで有効になっているファイアウォールルールを表示します。ファイアウォールルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。使用可能なすべてのファイアウォールルールが表示され、ルールを選択したり選択を解除したりできます。

[コンピュータエディタとポリシーエディタ] 画面では、ファイアウォールルールを編集してエディタのコンテキストで変更内容をローカルにのみ適用するか、ルールを編集してそのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用できます。

[ルールをローカルに編集するには、] ルールを右クリックして、[プロパティ] をクリックします。

[ルールをグローバルに編集するには、] ルールを右クリックして [プロパティ (グローバル)] をクリックします。

ファイアウォールルール作成については、ファイアウォールルールの作成を参照してください。

インタフェース制限

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

警告

インタフェース制限を有効にする前に、インタフェースパターンを適切な順序で設定し、必要な文字列パターンをすべて追加し、不要なパターンは削除してください。優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

インタフェース制限ポリシーを設定するには

インタフェース制限タブで、[インタフェース制限の有効化]を選択します。
[インタフェースパターン]を設定します。(以下を参照)
[保存]をクリックします。

インタフェースパターン

インタフェース制限が有効な場合、ファイアウォールでは、ローカルコンピュータのインタフェース名が、正規表現パターンと照合されます。

注意

Deep Securityは、POSIX基本正規表現を使用してインタフェース名を照合します。基本的なPOSIX正規表現の詳細については、https://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap09.html#tag_09_03を参照してください

優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

[1つのアクティブインタフェースに制限] を選択すると、優先度が最も高いパターンのインタフェースが複数見つかった場合でも、1つのインタフェースからのトラフィックのみ許可されます。

攻撃の予兆

攻撃の予兆検索

[攻撃の予兆] 画面では、コンピュータのトラフィック分析を有効にして設定することができます。この機能により、標的型攻撃の前段階として脆弱性を見つけるために使用されることの多い攻撃の予兆を特検出することができます。

注意

攻撃の予兆検索は、TAPモードでは機能しません。攻撃の予兆検索は、IPv4トラフィックでしか検出できません。

攻撃の予兆保護を有効にするには、[コンピュータエディタとポリシーエディタ]→ [ファイアウォール]→ [一般]タブでファイアウォールとステートフルインスペクションも有効にする必要があります。また、[コンピュータエディタとポリシーエディタ]→ [ファイアウォール]→ [詳細]タブに移動して[「ポリシーの許可外」のパケットのファイアウォールイベントを生成]設定を有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されます。

攻撃の予兆を設定する場合、次のオプションがあります。

攻撃の予兆の検出の有効化::攻撃の予兆の検出のオン/オフを切り替えできます。初期設定では、すべての検索が通知付きのレポートモードで有効になっています。通知をオフにするか、レポートをさらに一時的なブロックモードに切り替える場合は、ドロップリストから[はい]を選択して、変更を加えます。
検出を実行するコンピュータ/ネットワーク::保護するIPをリストから選択します。既存のIPリストから選択します (このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)
検出を実行しないIPリスト::無視するコンピュータとネットワークをIPリストセットから選択します (上で述べたように、このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト]画面を使用して作成できます)

攻撃の種類ごとに、エージェントまたはアプライアンスに対して、アラートが実行されるDeep Security Managerに情報を送信するように指示することができます。アラートが発生したときに通知を送信するようDeep Security Managerを設定できます。詳細については、[管理]→ [システム設定]→ [アラート]を参照してください。このオプションには [DSMにただちに通知] を選択してください。

注意

[DSMにただちに通知] オプションを動作させるには、AgentおよびApplianceの通信方法を [agent or appliance-initiated] または [双方向] に設定する必要があります ([コンピュータエディタとポリシーエディタ]→ [設定]→General.])。有効にすると、エージェントまたはアプライアンスは攻撃またはプローブの検出時にただちにDeep Security Managerに対するハートビートを開始します。

攻撃が検出されると、一時的に送信元IPからのトラフィックをAgentおよびApplianceでブロックするように設定できます。[トラフィックのブロック]ドロップダウンリストを使用して分数を設定します。

アラートは次のとおりです。

OSのフィンガープリント調査::AgentまたはApplianceは、コンピュータOSを検出しようとする動作を検出します。
ネットワークまたはポートの検索::AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
TCP Null検索::AgentまたはApplianceはフラグが付いていないパッケージを検出します。
TCP SYNFIN検索::AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。
TCP Xmas検索::AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。

注意

それは、単一のパケットによって認識され、一定の期間のトラフィックを監視するのDeep Securityを必要とすることができないという点で、偵察の他の種類の「ネットワークまたはポートスキャン」異なります。エージェントまたはアプライアンスは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、コンピュータまたはポート検索をレポートします。ポートスキャンがはるかに検出されたプローブの最も一般的なタイプですので、通常はエージェントまたはアプライアンスのコンピュータは、自身宛てのトラフィックが表示されます。ただし、コンピュータがルータまたはブリッジとして動作している場合は、多数の他のコンピュータ宛てのトラフィックを監視して、エージェントまたはアプライアンスがコンピュータ検索 (サブネット全体でポート80が開いているコンピュータを検索するなど) を検出できます。こうした検索を検出するには数秒かかります。これは、エージェントまたはアプライアンスが接続の失敗を追跡して、比較的短い期間に単一のコンピュータからの異常な数の接続の失敗があることを確認する必要があるためです。

注意

ブラウザアプリケーションを使用してWindowsコンピュータで実行されているDeep Security Agentは、閉じられた接続から到着するトラフィックが残っているため、偽陽性の偵察検索を報告することがあります。

攻撃の予兆警告に対応する方法の詳細については、「警告: 攻撃の予兆の検出を参照してください。

詳細

イベント

「ポリシーで未許可」のパケットに対して、イベントを生成するかどうかを設定します。これらは、[許可] ファイアウォールルールで明確に許可されていないため、ブロックされているパケットです。このオプションを [はい] に設定すると、有効なファイアウォールルールに応じて、大量のイベントが生成される場合があります。

ファイアウォールイベント

ファイアウォールイベントは、このポリシーまたは特定のコンピュータに関連するイベントのみが表示される点を除き、 Deep Security Managerのメイン画面と同じ方法で表示されます。