ファイアウォールの設定

ファイアウォールモジュールは、双方向のステートフルファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。

[コンピュータ]または[ポリシー]エディターの[ファイアウォール]セクションには、次のタブ付きセクションがあります。

ファイアウォールのオン/オフの状態を親ポリシーから継承するようにこのポリシーまたはコンピュータを設定することも、ローカルで設定をロックすることもできます。

このポリシーに適用するファイアウォールのステートフル構成を選択してください。このポリシーに複数のインターフェイスを定義している場合、各インターフェイスに対して独立した構成を指定できます。ステートフル構成の作成に関する詳細は、ステートフル構成の定義を参照してください。

このポリシーまたはコンピュータに適用されているファイアウォールルールを表示します。ファイアウォールルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。これにより、選択または選択解除できるすべての利用可能なファイアウォールルールを表示するウィンドウが表示されます。

[コンピュータ]または[ポリシー]エディターウィンドウから、ファイアウォールルールを編集して、変更をエディターのコンテキスト内でのみローカルに適用するか、ルールを使用しているすべての他のポリシーおよびコンピューターにグローバルに適用するように編集できます。

ルールをローカルで編集するには、ルールを右クリックして[プロパティ]を選択します。

ルールをグローバルに編集するには、ルールを右クリックして[プロパティ (グローバル)]を選択します。

ファイアウォールルールの作成に関する詳細は、ファイアウォールルールの作成を参照してください。

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

インタフェース制限ポリシーを設定するには

インタフェース制限を有効にすると、ファイアウォールは正規表現パターンをローカルコンピュータのインタフェース名と照合します。

Workload Security では、POSIXの基本正規表現を使用してインタフェース名を照合します。

最も優先度の高いパターンに一致するインターフェースのみがトラフィックの送信を許可されます。リスト内の残りのパターンに一致する他のインターフェースは制限されます。制限されたインターフェースは、特定のトラフィックを通過させるために[許可]ファイアウォールルールが使用されない限り、すべてのトラフィックをブロックします。

[1つのアクティブインタフェースに制限]を選択すると、トラフィックが単一のインターフェースにのみ制限されます (複数のインターフェースが最優先パターンに一致している場合でも)。

[攻撃の予兆]ページでは、コンピュータ上のトラフィック分析設定を有効化および構成することができます。この機能は、攻撃者が標的型攻撃を開始する前に弱点を発見するためによく使用する偵察スキャンを検出することができます。

攻撃の予兆 検索は、TAPモードでは機能しません。攻撃の予兆 検索は、IPv4トラフィックでしか検出できません。

偵察保護を有効にするには、[コンピュータエディタとポリシーエディタ] → [ファイアウォール] → [一般]タブでファイアウォールとステートフルインスペクションを有効にする必要があります。また、[コンピュータエディタとポリシーエディタ] → [ファイアウォール] → [詳細]タブに移動し、[「ポリシーの許可外」のパケットのファイアウォールイベントを生成]設定を有効にする必要があります。これにより、偵察に必要なファイアウォールイベントが生成されます。

攻撃の予兆を設定する場合、次のオプションがあります。

各攻撃タイプに対して、エージェントは情報をWorkload Securityに送信するよう指示され、そこでアラートが発生します。アラートが発生した際にメール通知を送信するようにWorkload Securityを設定できます。詳細については、[管理] → [システム設定] → [アラート]を参照してください。このオプションを選択するには[DSMにただちに通知]を選択してください。

DSMにただちに通知オプションを機能させるには、エージェントを[Agentから開始]または[双方向]通信に設定する必要があります。[コンピュータエディタとポリシーエディタ] → [設定] → [一般] 有効にすると、エージェントは攻撃またはプローブを検出した際にWorkload Securityに即座にハートビートを開始します。

攻撃が検出されたら、エージェントに対して一定期間、送信元IPからのトラフィックをブロックするよう指示できます。[トラフィックをブロック]フィールドを使用して分数を設定してください。

アラートは次のとおりです。

ネットワーク検索またはポート検索は、他の種類の攻撃の予兆とは異なり、単一のパケットでは認識できず、一定期間トラフィックを監視する必要がありWorkload Security。エージェントは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、コンピュータまたはポートの検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としては、ポート検索が最も一般的です。ただし、コンピュータがルータまたはブリッジとして機能している場合は、他の多数のコンピュータ宛てのトラフィックが検出される可能性があるため、エージェントはコンピュータの検索 (たとえば、サブネット全体でポート80が開いているコンピュータを検索) を検出できます。 。

エージェントが失敗した接続を追跡し、比較的短時間で、単一のコンピュータから来て失敗した接続の異常な数が存在することを決定できるようにする必要があるので、これらのスキャンを検出することは、数秒かかることがあります。

ブラウザーアプリケーションを使用しているWindowsコンピューターで実行されているエージェントは、閉じた接続からの残留トラフィックにより、時折誤検知の攻撃の予兆スキャンを報告することがあります。攻撃の予兆警告の対処方法については、警告: 攻撃の予兆検出を参照してください。

許可されたポリシー外のパケットに対してイベントを生成するかどうかを定義します。これらは、[許可]ファイアウォールルールによって特に許可されていないためにブロックされたパケットです。このオプションを[はい]に設定すると、適用されているファイアウォールルールによっては大量のイベントが生成される可能性があります。

ファイアウォールイベントは、メインのWorkload Securityコンソールウィンドウと同じ方法で表示されますが、このポリシーまたは特定のコンピュータに関連するイベントのみが表示されます。