[コンピュータ]エディターには[インタフェース]ページが含まれ、[ポリシー]エディターには[Interface Types]ページが含まれています。どちらもコンピュータで検出されたインターフェースを表示します。複数のインターフェース割り当てを持つポリシーがコンピュータに割り当てられている場合、ポリシーで定義されたパターンに一致するインターフェースが識別されます。
[ポリシー]エディターの[Interface Types]ページでは、インターフェースの分離や複数のインターフェースなど、追加の設定オプションを提供します。
複数のインタフェースに対してポリシーを設定する
複数のインタフェースを備えたコンピュータがある場合は、ファイアウォールルールなど、ポリシーのさまざまな要素を各インタフェースに割り当てることができます。
- [ポリシー]エディターで、[Interface Types]をクリックします。
- [Network Interface Specificity]で[Rules can apply to specific interfaces]を選択します。
- [Interface Type]で、名前とパターンマッチング文字列を入力します。
インタフェースタイプ名は参照目的でのみ使用されます。一般的な名前には、LAN、WAN、DMZ、Wi-Fiなどがありますが、ネットワークのトポロジにマッピングするために任意の名前を使用できます。
すべてのコンテナネットワークインタフェースおよびホスト仮想インタフェースに使用されるインタフェース名はintegrated_vethで、MACアドレスは02:00:00:00:00:00です。
一致はワイルドカードベースのインターフェース名を定義し、インターフェースを適切なインターフェースタイプに自動的にマッピングします。例えば、「ローカルエリア接続 *」、「eth*」、または「ワイヤレス
*」です。インターフェースが自動的にマッピングできない場合、アラートが発生します。特定のコンピュータに対して、[コンピュータ]エディターの[インタフェース]ページから手動でマッピングすることができます。
これらのエントリのいずれにも一致しないインタフェースがコンピュータ上で検出された場合は、アラートが表示されWorkload Security。
インタフェース制限を強制する
[Interface Isolation]が有効になっている場合、ファイアウォールはローカルコンピュータ上のインターフェース名に正規表現パターンを一致させようとします。インターフェースの分離を強制するには、
タブで[Enable Interface Isolation]をクリックし、コンピュータ上のインターフェース名に一致する文字列パターンを優先順位の順に入力してください。[Interface Isolation]を有効にする前に、インターフェースパターンが正しい順序で設定されていること、必要な文字列パターンがすべて追加または削除されていることを確認してください。最も優先度の高いパターンに一致するインターフェースのみがトラフィックを送信することが許可されます。リスト上の残りのパターンに一致する他のインターフェースは制限されます。制限されたインターフェースは、特定のトラフィックを通過させるために許可ファイアウォールルールが使用されない限り、すべてのトラフィックをブロックします。
[Limit to one active interface]を選択すると、最も優先度の高いパターンに複数のインターフェースが一致しても、トラフィックは単一のインターフェースにのみ制限されます。
Workload SecurityはPOSIX基本正規表現を使用してインターフェイス名を一致させます。詳細については、基本正規表現を参照してください。