ファイアウォールモジュールは、双方向のステートフルファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。
[コンピュータ]または[ポリシー]エディターの[ファイアウォール]セクションには、次のタブ付きセクションがあります。
一般
ファイアウォール
ファイアウォールのオン/オフの状態を親ポリシーから継承するようにこのポリシーまたはコンピュータを設定することも、ローカルで設定をロックすることもできます。
ファイアウォールステートフル設定
このポリシーに適用するファイアウォールのステートフル構成を選択してください。このポリシーに複数のインターフェイスを定義している場合、各インターフェイスに対して独立した構成を指定できます。ステートフル構成の作成に関する詳細は、ステートフル構成の定義を参照してください。
割り当てられたファイアウォールルール
このポリシーまたはコンピュータに適用されているファイアウォールルールを表示します。ファイアウォールルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。これにより、選択または選択解除できるすべての利用可能なファイアウォールルールを表示するウィンドウが表示されます。
[コンピュータ]または[ポリシー]エディターウィンドウから、ファイアウォールルールを編集して、変更をエディターのコンテキスト内でのみローカルに適用するか、ルールを使用しているすべての他のポリシーおよびコンピューターにグローバルに適用するように編集できます。
ルールをローカルで編集するには、ルールを右クリックして[プロパティ]を選択します。
ルールをグローバルに編集するには、ルールを右クリックして[プロパティ (グローバル)]を選択します。
ファイアウォールルールの作成に関する詳細は、ファイアウォールルールの作成を参照してください。
インタフェース制限
インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。
![]() |
警告[ インタフェース制限] を有効にする前に、インターフェイスパターンが正しい順序で設定されていること、および必要な文字列パターンがすべて削除または追加されていることを確認してください。最も優先度の高いパターンに一致するインタフェースのみがトラフィックの送信を許可されます。その他のインタフェース
(リストの残りのパターンのいずれかに一致するインタフェース) は制限されます。制限付きインタフェースでは、ファイアウォールの許可ルールを使用して特定のトラフィックの通過を許可しない限り、すべてのトラフィックがブロックされます。
|
インタフェース制限ポリシーを設定するには
- インターフェイス分離タブで、[インタフェース制限の有効化]を選択します。
- [インターフェースパターン]を設定します。
- [保存] をクリックします。
インターフェースパターン
インタフェース制限を有効にすると、ファイアウォールは正規表現パターンをローカルコンピュータのインタフェース名と照合します。
Workload Security では、POSIXの基本正規表現を使用してインタフェース名を照合します。
最も優先度の高いパターンに一致するインターフェースのみがトラフィックの送信を許可されます。リスト内の残りのパターンに一致する他のインターフェースは制限されます。制限されたインターフェースは、特定のトラフィックを通過させるために[許可]ファイアウォールルールが使用されない限り、すべてのトラフィックをブロックします。
[1つのアクティブインタフェースに制限]を選択すると、トラフィックが単一のインターフェースにのみ制限されます (複数のインターフェースが最優先パターンに一致している場合でも)。
攻撃の予兆
[攻撃の予兆]ページでは、コンピュータ上のトラフィック分析設定を有効化および構成することができます。この機能は、攻撃者が標的型攻撃を開始する前に弱点を発見するためによく使用する偵察スキャンを検出することができます。
攻撃の予兆 検索は、TAPモードでは機能しません。攻撃の予兆 検索は、IPv4トラフィックでしか検出できません。
偵察保護を有効にするには、
タブでファイアウォールとステートフルインスペクションを有効にする必要があります。また、 タブに移動し、[「ポリシーの許可外」のパケットのファイアウォールイベントを生成]設定を有効にする必要があります。これにより、偵察に必要なファイアウォールイベントが生成されます。攻撃の予兆を設定する場合、次のオプションがあります。
-
[攻撃の予兆の検出の有効化:] 偵察スキャンの検出を有効または無効にします。デフォルトでは、すべてのスキャンが通知付きのレポートモードで有効になっています。通知を無効にするか、レポートモードから一時的なブロックモードに切り替えたい場合は、リストから[はい]を選択して変更を行ってください。
-
[検出を実行するコンピュータ/ネットワーク:] リストから保護するIPを選択します。既存のIPリストから選択してください。ページを使用して、この目的のために特別なIPリストを作成できます。
-
[検出を実行しないIPリスト:] IPリストのセットから無視するコンピュータとネットワークを選択します。この目的のために特定のIPリストを作成するには、ページを使用できます。
各攻撃タイプに対して、エージェントは情報をWorkload Securityに送信するよう指示され、そこでアラートが発生します。アラートが発生した際にメール通知を送信するようにWorkload
Securityを設定できます。詳細については、
を参照してください。このオプションを選択するには[DSMにただちに通知]を選択してください。DSMにただちに通知オプションを機能させるには、エージェントを[Agentから開始]または[双方向]通信に設定する必要があります。
有効にすると、エージェントは攻撃またはプローブを検出した際にWorkload Securityに即座にハートビートを開始します。攻撃が検出されたら、エージェントに対して一定期間、送信元IPからのトラフィックをブロックするよう指示できます。[トラフィックをブロック]フィールドを使用して分数を設定してください。
アラートは次のとおりです。
- [OSのフィンガープリント調査:] エージェントがコンピューターのOSを検出しようとする試みを検知しました。
- ネットワークまたはポート検索: エージェントは、リモートIPが異常な割合でIPとポートを訪問していると検出した場合、ネットワークまたはポート検索を報告します。通常、エージェントコンピュータは自分自身に向けられたトラフィックしか見ないため、ポート検索は検出される最も一般的なプローブのタイプです。コンピュータまたはポート検索検出に使用される統計分析手法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」文書で提案されたTAPSアルゴリズムに由来します。
- [TCP Null検索:] エージェントはフラグが設定されていないパッケージを検出します。
- [TCP SYNFIN検索:] エージェントはSYNとFINフラグのみが設定されたパケットを検出します。
- [TCP Xmas検索:] エージェントは、FIN、URG、PSHフラグのみが設定されているパケット、または0xFF (すべての可能なフラグが設定されている) の値を持つパケットを検出します。
ネットワーク検索またはポート検索は、他の種類の攻撃の予兆とは異なり、単一のパケットでは認識できず、一定期間トラフィックを監視する必要がありWorkload Security。エージェントは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、コンピュータまたはポートの検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としては、ポート検索が最も一般的です。ただし、コンピュータがルータまたはブリッジとして機能している場合は、他の多数のコンピュータ宛てのトラフィックが検出される可能性があるため、エージェントはコンピュータの検索
(たとえば、サブネット全体でポート80が開いているコンピュータを検索) を検出できます。 。
エージェントが失敗した接続を追跡し、比較的短時間で、単一のコンピュータから来て失敗した接続の異常な数が存在することを決定できるようにする必要があるので、これらのスキャンを検出することは、数秒かかることがあります。
ブラウザーアプリケーションを使用しているWindowsコンピューターで実行されているエージェントは、閉じた接続からの残留トラフィックにより、時折誤検知の攻撃の予兆スキャンを報告することがあります。攻撃の予兆警告の対処方法については、警告: 攻撃の予兆検出を参照してください。
詳細
イベント
許可されたポリシー外のパケットに対してイベントを生成するかどうかを定義します。これらは、[許可]ファイアウォールルールによって特に許可されていないためにブロックされたパケットです。このオプションを[はい]に設定すると、適用されているファイアウォールルールによっては大量のイベントが生成される可能性があります。
ファイアウォールイベント
ファイアウォールイベントは、メインのWorkload Securityコンソールウィンドウと同じ方法で表示されますが、このポリシーまたは特定のコンピュータに関連するイベントのみが表示されます。