ファイアウォールルールの作成

ビュー:

ファイアウォールルールは、個々のパケット内の制御情報を調べ、定義した条件に従って、パケットをブロックまたは許可します。ファイアウォールルールは、ポリシーに割り当てることも、コンピュータに直接割り当てることもできます。

注意

この記事では、特にファイアウォールルールの作成方法について説明します。ファイアウォールモジュールの設定方法については、を参照してください。 Server & Workload Protection ファイアウォールの設定。

新しいファイアウォールルールを作成するには、次のことを行う必要があります。

新しいルールの追加。
ルールの動作とプロトコルを選択します。
パケット送信元とパケット送信先の選択。

ファイアウォールルールを作成したら、次の方法も学習できます。

ルールのイベントとアラートを設定する
ルールのスケジュールを設定する
ルールにコンテキストを割り当てます
ルールが割り当てられているポリシーとコンピュータを表示する

新しいルールの追加

新しいファイアウォールルールを追加するには、次の3つの方法があります。[Policies] → [共通オブジェクト] → [ルール] → [ファイアウォールルール]にアクセスします。次の操作を実行できます。

新しいルールを作成します。クリック[新規] → [新規ファイアウォールルール] 。
XMLファイルからルールをインポートします。クリック[新規] → [ファイルからインポート] 。
既存のルールをコピーして変更します。 [ファイアウォールルール] の一覧でルールを右クリックし、 [複製]をクリックします。新しいルールを編集するには、ルールを選択して [プロパティ]をクリックします。

ルールの動作とプロトコルを選択します

ルールの [名前] と [説明] を入力します。

注意

ファイアウォールルールの [説明] フィールドに、すべてのファイアウォールルールの変更を記録することをお勧めします。ファイアウォールのメンテナンスを容易にするために、ルールが作成または削除された日時と理由を書き留めます。

ルールがパケットに対して実行する [処理] を選択します。次の5つの処理のいずれかを選択できます。

注意

1つのパケットに適用されるのは、1つのルール処理だけです。同じ優先度のルールが複数ある場合は、下記の優先順序で適用されます。

このルールでは、次のトラフィックを許可できます。バイパスファイアウォール。バイパスルールを使用すると、トラフィックはファイアウォールと侵入防御エンジンを可能な限り高速で通過できます。バイパスルールは、フィルタリングが望ましくない可能性のあるメディア集約型プロトコルを使用するトラフィック、または信頼できる送信元からのトラフィックを対象としています。

ヒント

ポリシーで信頼できる送信元に対するバイパスルールを作成して使用する方法の例については、を参照してください。信頼済みトラフィックによるファイアウォールのバイパスを許可する。

注意

バイパスルールは一方向です。トラフィックの方向ごとに明示ルールが必要です。

ヒント

次の設定を使用して、バイパスルールで最大のスループットパフォーマンスを達成できます。

[優先度: 最高]
[フレームの種類:] IP
[プロトコル: ] TCP、UDP、またはその他のIPプロトコル。 (「任意」オプションは使用しないでください)。
[送信元および送信先のIPおよびMAC:] all "Any"
プロトコルがTCPまたはUDPでトラフィックの方向が「受信」の場合は、送信先ポートを「任意」ではなく1つ以上指定する必要があり、送信元ポートを「任意」にする必要があります。
プロトコルがTCPまたはUDPでトラフィックの方向が「送信」の場合は、送信元ポートを「任意」ではなく1つ以上指定する必要があり、送信先ポートを「任意」にする必要があります。
[予約:] なし。

ルールには [ログのみ]を指定できます。この処理によりログにエントリが作成されますが、トラフィックは処理されません。
ルールは、定義されたトラフィックを [強制的に許可] できます (他のトラフィックを除外せずに、このルールで定義されたトラフィックを許可します)。
このルールはトラフィックを [拒否する] できます (このルールで定義されたトラフィックは拒否されます)。
このルールは [allow (許可)] トラフィックを許可できます (このルールで定義されたトラフィックのみを許可します)。

注意

コンピュータで許可ルールが有効になっていない場合、拒否ルールによって明確にブロックされていない限り、すべてのトラフィックが許可されます。許可ルールを1つ作成すると、許可ルールの要件を満たさない限り、他のすべてのトラフィックがブロックされます。これには 1 つの例外があります。ICMPv6 トラフィックは、拒否ルールによって明確にブロックされない限り、常に許可されます。

ルールの [優先度] を選択します。優先度によって、ルールが適用される順序が決まります。ルールの処理として「強制的に許可」、「拒否」、または「バイパス」を選択した場合は、0 (低) ～ 4 (最高) の優先度を設定できます。優先度を設定すると、ルールの処理を組み合わせて、カスケードルールの効果を実現できます。

注意

[ログのみ] ルールの優先度は 4のみ、 [許可] ルールの優先度は 0のみです。

注意

優先度の高いルールは、優先度の低いルールよりも先に適用されます。たとえば、優先度3のポート80の受信拒否ルールは、優先度2のポート80の受信強制許可ルールが適用される前にパケットをドロップします。

処理と優先度の連携の詳細については、を参照してください。ファイアウォールルールの処理と優先度。

[パケット方向]を選択します。このルールを受信トラフィック (ネットワークからコンピュータへ) または送信トラフィック (コンピュータからネットワーク) のどちらに適用するかを選択します。

注意

個々のファイアウォールルールは、一方向のトラフィックにのみ適用されます。特定の種類のトラフィックに対して、受信ファイアウォールルールと送信ファイアウォールルールをペアで作成する必要がある場合があります。

イーサネット [フレームの種類]を選択します。「フレーム」という用語はイーサネットフレームを指し、使用可能なプロトコルによって、フレームが伝送するデータが指定されます。フレームの種類で「その他」を選択した場合は、フレームの種類を指定する必要があります。フレーム番号。

注意

IPはIPv4とIPv6の両方をカバーします。 IPv4またはIPv6を個別に選択することもできます。

注意

Solarisでは、エージェントはフレームタイプがIPのパケットのみを調べ、LinuxエージェントはフレームタイプがIPまたはARPのパケットのみを調べます。他のフレームタイプのパケットは通過を許可されます。

インターネットプロトコル (IP) フレームタイプを選択した場合は、転送プロトコルを選択する必要があります。プロトコルとして「その他」を選択した場合は、プロトコル名も入力する必要があります。プロトコル番号。

パケット送信元とパケット送信先の選択

[IP] アドレスと [MAC] アドレスの組み合わせを選択します。フレームタイプとして使用可能な場合は、[Packet Source] および [Packet Destination] に [ポート] と [指定フラグ] を選択します。

ヒント

以前に作成したIP , MACまたはポートリスト。

サポートされているIPベースのフレームの種類は次のとおりです。

	IPアドレス	MAC	ポート	フラグ
任意	✔	✔
ICMP	✔	✔		✔
ICMPV6	✔	✔		✔
IGMP	✔	✔
GGP	✔	✔
TCP	✔	✔	✔	✔
PUP	✔	✔
UDP	✔	✔	✔
IDP	✔	✔
ND	✔	✔
RAW	✔	✔
TCP+UDP	✔	✔	✔	✔

注意

ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。

[任意のフラグ] を選択するか、次のフラグを個別に選択できます。

[URG]
[ACK]
[PSH]
[RST]
[SYN]
[FIN]

ルールイベントとアラートを設定する

ファイアウォールルールがトリガーされると、 Server & Workload Protection にイベントが記録され、パケットデータが記録されます。

注意

「許可」、「強制的に許可」、および「バイパス」処理を使用するルールでは、イベントはログに記録されません。

警告

イベントがログに記録された場合にアラートをトリガーするようにルールを設定できます。これを行うには、ルールのプロパティを開き、 [オプション]をクリックしてから [このルールによってイベントが記録された場合にアラート]を選択します。

注意

アラートをトリガするように設定できるのは、処理が [拒否] または [ログ記録のみ] に設定されているファイアウォールルールのみです

ルールのスケジュールを設定する

予約された時間のみファイアウォールルールを有効化するかどうかを選択します。

その方法の詳細については、を参照してください。ルールに適用できるスケジュールを定義する。

ルールにコンテキストを割り当てる

ルールコンテキストを使用すると、さまざまなネットワーク環境に固有のファイアウォールルールを設定できます。コンテキストは通常、オンサイトとオフサイトのラップトップに対して異なるルールを適用できるようにするために使用されます。

コンテキストの作成方法の詳細については、「ポリシーで使用するコンテキストの定義。

ヒント

コンテキストを使用してファイアウォールルールを実装するポリシーの例については、「Windows Mobile Laptop」ポリシーのプロパティを参照してください。

ルールが割り当てられているポリシーとコンピュータを確認する

ファイアウォールルールに割り当てられているポリシーとコンピュータは、 [割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、それらのプロパティが表示されます。

ルールをエクスポートする

すべてのファイアウォールルールを.csvファイルまたは.xmlファイルにエクスポートするには、 [エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のルールを選択し、 [エクスポート] をクリックして、リストから対応するエクスポート処理を選択することで、特定のルールをエクスポートすることもできます。

ルールを削除する

ルールを削除するには、[ファイアウォールルール] の一覧でルールを右クリックし、 [削除] をクリックしてから [OK]をクリックします。

注意

1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。