ファイアウォールモジュールは、双方向のステートフルファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。

[コンピュータ] または [ポリシー] エディタの [ファイアウォール] セクションには、次のタブがあります。

ファイアウォールのオン/オフの状態を親ポリシーから継承するようにこのポリシーまたはコンピュータを設定することも、ローカルで設定をロックすることもできます。

このポリシーに適用するファイアウォールのステートフル構成を選択してください。このポリシーに複数のインターフェイスを定義している場合、各インターフェイスに対して独立した構成を指定できます。ステートフル構成の作成に関する詳細は、ステートフル構成の定義を参照してください。

このポリシーまたはコンピュータに有効なファイアウォールルールが表示されます。ファイアウォールルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。

[コンピュータ] または [ポリシー] エディタウィンドウから、ファイアウォールルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。

ルールをローカルで編集するには、ルールを右クリックし、[プロパティ] の順に選択します。

ルールをグローバルで編集するには、ルールを右クリックし、[Properties (Global)] の順に選択します。

ファイアウォールルールの作成に関する詳細は、ファイアウォールルールの作成を参照してください。

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

インタフェース制限ポリシーを設定するには

インタフェース制限を有効にすると、ファイアウォールは正規表現パターンをローカルコンピュータのインタフェース名と照合します。

Workload Security では、POSIXの基本正規表現を使用してインタフェース名を照合します。

最も優先度の高いパターンに一致するインタフェースのみがトラフィックの送信を許可されます。その他のインタフェース (リストの残りのパターンのいずれかに一致するインタフェース) は制限されます。制限付きインタフェースは、[Allow] ファイアウォールルールを使用して特定のトラフィックの通過を許可しない限り、すべてのトラフィックをブロックします。

[アクティブなインタフェースを1つに制限する]を選択し、最も優先度の高いパターンに一致するインタフェースが複数ある場合でも、トラフィックを1つのインタフェースのみに制限します。

[攻撃の予兆] 画面では、コンピュータのトラフィック分析を有効にして設定することができます。この機能により、標的型攻撃の前段階として脆弱性を見つけるために使用されることの多い予兆を特検出することができます。

攻撃の予兆 検索は、TAPモードでは機能しません。攻撃の予兆 検索は、IPv4トラフィックでしか検出できません。

攻撃の予兆保護を有効にするには、[コンピュータエディタ または ポリシーエディタ] → [ファイアウォール] → [一般]タブで、ファイアウォールとステートフルインスペクションも有効にする必要があります。また、[コンピュータエディタ または ポリシーエディタ] → [ファイアウォール] → [詳細]タブの順に選択し、[ポリシーの許可外のパケットのファイアウォールイベントを生成します]設定を有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されます。

攻撃の予兆を設定する場合、次のオプションがあります。

攻撃の種類ごとに、アラートが発生する Workload Security に情報を送信するようにエージェントに指示することができます。アラートが発生したときにメール通知を送信するように Workload Security を設定できます。詳細については、[管理] → [システム設定] → [アラート]を参照してください。このオプションには[DSMにただちに通知]を選択してください。

[DSMにすぐに通知] オプションを機能させるには、 [コンピュータエディタまたはポリシーエディタ] → [設定] → [一般。] で、[エージェントが開始する] または [双方向] 通信用にエージェントを設定する必要があります。有効な場合、エージェントは攻撃またはプローブを検出するとすぐに、Workload Securityへのハートビートを開始します。

攻撃が検出されたら、一定期間、送信元IPからのトラフィックをブロックするようにAgentに指示できます。 [トラフィックのブロック] フィールドを使用して、分数を設定します。

アラートは次のとおりです。

ネットワーク検索またはポート検索は、他の種類の攻撃の予兆とは異なり、単一のパケットでは認識できず、一定期間トラフィックを監視する必要がありWorkload Security。エージェントは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、コンピュータまたはポートの検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としては、ポート検索が最も一般的です。ただし、コンピュータがルータまたはブリッジとして機能している場合は、他の多数のコンピュータ宛てのトラフィックが検出される可能性があるため、エージェントはコンピュータの検索 (たとえば、サブネット全体でポート80が開いているコンピュータを検索) を検出できます。 。

エージェントが失敗した接続を追跡し、比較的短時間で、単一のコンピュータから来て失敗した接続の異常な数が存在することを決定できるようにする必要があるので、これらのスキャンを検出することは、数秒かかることがあります。

ブラウザーアプリケーションを使用しているWindowsコンピューターで実行されているエージェントは、閉じた接続からの残留トラフィックにより、時折誤検知の攻撃の予兆スキャンを報告することがあります。攻撃の予兆警告の対処方法については、警告: 攻撃の予兆検出を参照してください。

許可ポリシー外のパケットに対してイベントを生成するかどうかを設定します。これらは、[Allow] ファイアウォールルールによって明確に許可されていないためにブロックされたパケットです。このオプションを[Yes]に設定すると、有効なファイアウォールルールによっては、大量のイベントが生成される場合があります。

ファイアウォール イベントは、メインの Workload Security コンソールウィンドウと同じ方法で表示されますが、このポリシーまたは特定のコンピュータに関連するイベントだけが表示されます。