ファイアウォールルールは、個々のパケットの制御情報を確認し、定義された条件に従ってブロックまたは許可します。ファイアウォールルールは、ポリシー、または直接コンピュータに割り当てることができます。
ファイアウォールルールの作成に加えて、Workload Securityファイアウォールの設定に記載されているように、ファイアウォールモジュールを構成できます。
新しいファイアウォールルールを作成するには、次の手順を実行する必要があります。
  1. 新しいルールを追加
  2. ルールの動作とプロトコルを選択します
  3. パケットソースとパケット宛先を選択
ファイアウォールルールを作成した後、設定できます:

新しいルールを追加する

[ポリシー][共通オブジェクト][ルール][ファイアウォールルール]ページで新しいファイアウォールルールを追加する方法は3つあります:
  • [新規][新しいファイアウォールルール]をクリックして新しいルールを作成します。
  • XMLファイルからルールをインポートするには、[新規][ファイルからインポート]をクリックします。
  • 既存のルールをコピーして変更します。 [ファイアウォールルール] リストでルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、ルールを選択して [プロパティ] をクリックします。

ルールの動作とプロトコルを選択する

  1. ルールの [名前][説明] を入力します。
    すべてのファイアウォールルールの変更を、ファイアウォールルールの [Description] フィールドに記録する必要があります。メンテナンスを容易にするために、ルールが作成または削除された日時と理由を記録します。
  2. ルールがパケットに対して実行する[アクション]を選択してください:
    • このルールにより、トラフィックがファイアウォールを[バイパス]できるようになります。バイパスルールは、トラフィックがファイアウォールおよび侵入防御エンジンを最速で通過できるようにします。バイパスルールは、フィルタリングが望ましくないメディア集約型プロトコルを使用するトラフィックや、信頼できるソースからのトラフィックを対象としています。信頼できるソースのトラフィックをポリシーでバイパスルールとして作成および使用する方法の例については、信頼できるトラフィックをファイアウォールでバイパスするを参照してください。バイパスルールは一方向です。トラフィックの各方向に対して明示的なルールが必要です。
      次の設定を使用すると、バイパスルールで最大のスループットパフォーマンスを実現できます。 [優先度: 最高; [フレーム タイプ: IP; [プロトコル: TCP、UDP、またはその他のIPプロトコル; [送信元IPと宛先IPおよびMAC: すべて、任意; [スケジュール: なし;プロトコルがTCPまたはUDPで、トラフィックの方向が受信の場合、宛先ポートは 1 つ以上の指定されたポート (任意ではなく) である必要があり、送信元ポートは任意である必要があることに注意してください。プロトコルがTCPまたはUDPで、トラフィックの方向が送信の場合、送信元ポートは 1 つ以上の指定されたポート (任意ではなく) である必要があり、宛先ポートは 任意である必要があります。
    • ルールは[ログのみ]にできます—このアクションはログにエントリを作成しますが、トラフィックを処理しません。
    • このルールは定義済みのトラフィックを[強制的に許可]できます— 他のトラフィックを除外することなく、このルールによって定義されたトラフィックを許可します。
    • ルールはトラフィックを[拒否]できます—このルールによって定義されたトラフィックを拒否します。
    • このフィルタはトラフィックを[許可]できます—このフィルタによって定義されたトラフィックを例外的に許可します。
    1つのパケットに適用されるのは、1つのルール処理だけです。同じ優先度のルールが複数ある場合は、優先順序で適用されます。
    コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。
  3. ルールの[優先度]を選択します—これはルールが適用される順序を決定します。ルールアクションとして強制許可、拒否、またはバイパスを選択した場合、優先度を0 (低) から4 (最高) に設定できます。優先度を設定することで、ルールのアクションを組み合わせてカスケードルール効果を実現できます。
    ログ専用ルールの優先度は4のみ、許可ルールの優先度は0のみです。
    優先度の高いルールは、優先度の低いルールよりも先に適用されます。たとえば、優先度3のポート80の受信拒否ルールは、優先度2のポート80の受信強制許可ルールが適用される前にパケットをドロップします。
    詳細については、ファイアウォールルールのアクションと優先順位を参照してください。
  4. [パケット方向]を選択してください—このルールが受信 (ネットワークからコンピュータへのトラフィック) または送信 (コンピュータからネットワークへのトラフィック) のどちらに適用されるかを決定します。
    個々のファイアウォールルールは、単一のトラフィック方向にのみ適用されます。特定の種類のトラフィックに対しては、受信および送信ファイアウォールルールをペアで作成する必要があります。
  5. [ユーザリスト]を選択してください—これはこのルールがどのユーザリストに適用されるかを決定します。トラフィックは[ユーザID]に基づいてフィルタリングされます。以前に作成したユーザリストを使用できます。
    [ユーザ名]はコントロールリリースの一部であり、プレビューにあります。関連コンテンツは変更される可能性があります。{ .preview }
    ユーザリストを選択する際には、いくつかの制約とガイドラインを考慮する必要があります
    • プロトコルはTCPまたはUDPに設定し、トラフィックの方向は送信にする必要があります。
    • 重要なトラフィックを誤ってブロックしないようにするために、最初に[ログのみ]アクションを選択し、動作とユーザの識別が一致するか確認してください。その後、アクションを[許可]または[拒否]に変更できます
    • ユーザを許可するために、ファイアウォールルールは送信アクセスを許可から制限付きファイアウォールに変換します。したがって、特定のユーザを除いて、すべてのユーザがブロックされます。詳細については、制限付きまたは許可ファイアウォールの設計を参照してください。
    • ユーザIDは新しいポリシーがDeep Securityエージェントに送信されると定義されます。ユーザ情報が変更された場合、ユーザIDを更新するために設定を再送信する必要があります。
    • ユーザリストは、WindowsおよびLinuxオペレーティングシステムでサポートされています。
  6. イーサネット[フレームタイプ]を選択してください—フレームという用語はイーサネットフレームを指し、利用可能なプロトコルはフレームが運ぶデータを指定します。フレームタイプとしてその他を選択した場合は、フレーム番号を指定する必要があります。
    IP には IPv4 と IPv6 の両方が含まれます。IPv4 または IPv6 を個別に選択することもできます。
    Solaris では、Deep Security エージェントは IP フレームタイプのパケットのみを検査し、Linux エージェントは IP または ARP フレームタイプのパケットのみを検査します。他のフレームタイプのパケットは通過が許可されます。
    IPフレームタイプを選択した場合、トランスポート[プロトコル]を選択する必要があります。プロトコルとしてその他を選択した場合は、プロトコル番号も入力する必要があります。

パケットの送信元と送信先を選択する

[IP]アドレスと[MAC]アドレスの組み合わせを選択します。フレームタイプとして使用可能な場合は、[ポート]および[パケットの送信元][パケットの送信先][特定のフラグ]を選択します。
以前に作成したIPMAC、またはポートリストを使用できます。
次の表は、IPベースのフレームタイプのサポートに関する詳細を示しています。
IP
MAC
ポート
フラグ
任意
ICMP
ICMPV6
IGMP
GGP
TCP
PUP
UDP
IDP
ND
RAW
TCP+UDP
ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。
[任意のフラグ] を選択することも、以下のフラグを個別に選択することもできます。
  • 緊急
  • ACK
  • PSH
  • RST
  • SYN
  • FIN

ルールイベントとアラートを設定する

ファイアウォールルールがトリガされると、Workload Securityでイベントがログに記録され、パケットデータが記録されます。
[許可]、[強制的に許可]、および [バイパス] 処理を使用するルールでは、イベントはログに記録されません。

アラート

イベントのログを記録した場合に、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。
アラートをトリガーするように設定できるのは、処理が [拒否] または [ログのみ記録] に設定されているファイアウォールルールのみです。

ルールのスケジュールを設定する

予約された時間のみファイアウォールルールを有効化するかどうかを選択します。
詳細については、ルールに適用できるスケジュールを定義するを参照してください。

ルールにコンテキストを割り当てる

ルールコンテキストを使用すると、さまざまなネットワーク環境に独自のファイアウォールルールを設定できます。コンテキストは一般的に、オンサイトとオフサイトのノートパソコンで異なるルールを有効にするために使用されます。
詳細については、ポリシーで使用するコンテキストの定義を参照してください。
コンテキストを使用してファイアウォールルールを実装するポリシーの例については、Windows Mobileラップトップポリシーのプロパティを参照してください。

ルールが割り当てられているポリシーとコンピュータを表示する

ファイアウォールルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする

すべてのファイアウォールルールを .csv または .xml ファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポートを選択します。特定のルールを選択してエクスポートすることもできます。次に、[エクスポート] をクリックし、リストから対応するエクスポートを選択します。

ルールを削除する

ルールを削除するには、[ファイアウォールルール] リストでルールを右クリックし、[削除] をクリックし 、[OK] をクリックします。
1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。