ファイアウォールルールの処理と優先度

ファイアウォールルールでは、次の処理が可能です。

許可ルールには、次の2つの機能があります。

許可ルールで明示的に許可されていないトラフィックは破棄され、ポリシーで未許可のファイアウォールイベントとして記録されます。

一般的に適用される許可ルールは、次のとおりです。

バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。

バイパスルールの条件と一致するパケットは、次のように処理されます。

バイパスされるトラフィックにはステートフルインスペクションが適用されないので、一方向のトラフィックがバイパスされても、逆方向の応答は自動的にはバイパスされません。受信トラフィック用と送信トラフィック用のバイパスルールは、必ずペアで作成および適用する必要があります。

バイパスルールのイベントは記録されません。この動作は変更できません。

Workload Security は自動的に優先順位4のバイパスルールを実装します。このルールでは、 エージェントを実行しているコンピュータのハートビート用に、クライアントの待機ポートで受信TCPトラフィックを開きます。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。

ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。このポートでのAgentのセキュリティを強化するには、このポート用に、より厳しいバイパスルールを作成します。エージェントは、次の特性を備えている場合は、新しいカスタムルールに合わせて、初期設定の Workload Security トラフィックルールを実際に無効にします。

初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。

強制的に許可オプションでは、拒否処理の対象となるトラフィックの一部を除外します。他の処理との関係を下に示します。強制的に許可ルールは、バイパスルールと同じ効果があります。ただし、バイパスルールとは異なり、この処理によってファイアウォールを通過するトラフィックは侵入防御モジュールによる監視の対象となります。強制的に許可ルールの処理は、基本的なネットワークサービスがDSAコンピュータとの通信を確保するのに便利です。一般に、[許可]ルールは、[許可]ルールと組み合わせてのみ使用し、[許可]ルールと[拒否]ルールで禁止されているトラフィックのサブセットを許可する必要があります。また、ICMPおよびUDPステートフルが有効になっている際に、未承諾のICMPおよびUDPトラフィックを許可するように強制的に許可ルールを設定する必要があります。

コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。

次の順序でファイアウォールルールが適用されます (受信および送信):

コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。

同じ優先度のコンテキスト内で、拒否ルールは許可ルールより優先され、強制的に許可ルールは拒否ルールより優先されます。ルールの優先度システムを使用すると、優先度の高い拒否ルールを作成して、優先度の低い強制許可ルールをオーバーライドできます。

DNSサーバポリシーの例を考えてみましょう。このポリシーは、すべての受信DNSクエリを許可する強制的に許可ルールを使用します。[強制的に許可]ルールよりも優先度の高いDenyルールを作成することで、同じパブリックサーバへのアクセスを禁止すべき特定のIPアドレスの範囲を指定できます。

優先度ベースのルールセットを使用すると、ルールが適用される順序を設定できます。最優先の拒否ルールが設定されており、同じ優先度の強制許可ルールがない場合、拒否ルールに一致するパケットは自動的に破棄され、残りのルールは無視されます。逆に、最優先の強制許可ルールが存在する場合、強制許可ルールに一致するすべての受信パケットは、他のルールと照合されることなく自動的に許可されます。

バイパスルールによってイベントが生成されることはありません。これは設定できません。

ログのみルールは、対象のパケットが、次のいずれかのルールによって、それ以降に停止されない場合にのみイベントを生成します

これら2つのルールのいずれかによってパケットが停止された場合、それらのルールはイベントを生成しますが、ログのみのルールは生成しません。後続のルールでパケットを停止しない場合は、ログのみルールによってイベントが生成されます。

Workload Security ファイアウォールルールには、ルール処理とルール優先度の両方があります。この2つのプロパティを同時に使用することによって、非常に柔軟で強力なルール設定を作成できます。他のファイアウォールで使用されるルールセットとは異なり、 Workload Securityファイアウォール ルールは、ルール処理とルール優先順位に基づいて決定的な順序で実行されます。これは、それらが定義または割り当てられている順序に依存しません。

各ルールには、次のいずれかの処理を設定できます。

許可ルールを実装すると、許可ルールに一致しないその他すべてのトラフィックが拒否されます。

拒否ルールを許可ルールに優先して適用すると、特定の種類のトラフィックをブロックすることができます。

強制的に許可ルールを拒否トラフィックに適用すると、例外のみ通過させることができます。

拒否および強制許可のタイプのルールアクションは、許可ルールのセットによって定義された許可されたトラフィックをさらに精緻化するために、5つの優先順位のいずれかで定義できます。ルールは、最高 (優先順位4) から最低 (優先順位0) までの優先順位順に実行されます。特定の優先順位レベル内では、ルールアクション (強制許可、拒否、許可、ログのみ) に基づいてルールが順番に処理されます。

優先度のコンテキストによって、ユーザは拒否および強制的に許可の組み合わせを使用してトラフィック管理をさらに詳細に定義することが可能になります。同じ優先度のコンテキスト内では、拒否ルールによって許可ルールを無効にし、また、強制的に許可ルールによって拒否ルールを無効にすることもできます。

許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。

ルールは、最も高い優先度 (優先度4) から最も低い優先度 (優先度0) までの順に実行されます。特定の優先度レベル内では、ルールはルールアクションに基づいて順番に処理されます。同じ優先度のルールが処理される順序は次のとおりです:

次の点に注意してください。