ファイアウォールルールの作成

ビュー:

ファイアウォールルールは、個々のパケット内の制御情報を調べ、定義した条件に従って、パケットをブロックまたは許可します。ファイアウォールルールは、ポリシーに割り当てることも、コンピュータに直接割り当てることもできます。

ファイアウォールモジュールの設定方法については、Server & Workload Protectionファイアウォールのセットアップを参照してください。

新しいファイアウォールルールを作成するには

新しいルールの追加。
ルールの動作とプロトコルを選択します。
パケット送信元とパケット送信先の選択。

ファイアウォールルールの作成が完了したら、次のことを行うこともできます。

ルールのイベントとアラートを設定する
ルールのスケジュールを設定する
ルールにコンテキストを割り当てます
ルールが割り当てられているポリシーとコンピュータを表示する

新しいルールの追加

[ポリシー] → [Common Objects] → [ルール] → [ファイアウォールルール]を通じて新しいファイアウォールルールを追加する方法は3つあります。次のいずれかを行うことができます。

新規ルールを作成する場合は、[新規] → [New Firewall Rule] を順にクリックします。
XMLファイルからルールをインポートするには、[新規] → [ファイルからインポート]をクリックします。
既存のルールをコピーして変更します。これを行うには、[ファイアウォールルール]リストでルールを右クリックし、[複製]をクリックします。新しいルールを編集するには、それを選択し、[プロパティ]をクリックします。

ルールの動作とプロトコルを選択します

ルールの[名前]と[説明]を入力してください。

ファイアウォールルールの [説明] フィールドに、すべてのファイアウォールルールの変更を記録することをお勧めします。ファイアウォールのメンテナンスを容易にするために、ルールが作成または削除された日時と理由を書き留めます。
ルールがパケットに対して実行する[処理]を選択してください。5つのアクションから選択できます。1つのルールアクションのみがパケットに適用され、同じ優先度のルールは次の優先順位で適用されます。
- このルールは、ファイアウォールを[bypass]するトラフィックを許可できます。バイパスルールは、ファイアウォールおよびIPSエンジンを最速で通過するトラフィックを許可します。バイパスルールは、フィルタリングが望ましくないメディア集約型プロトコルを使用するトラフィックや、信頼できるソースからのトラフィックを対象としています。
  バイパスルールは一方向であるため、トラフィックの各方向に対して明示的なルールが必要です。
  次の設定を使用して、バイパスルールで最大のスループットパフォーマンスを達成できます。
  - 優先度: 最高
  - Frame Type: IP
  - プロトコル: TCP、UDP、またはその他のIPプロトコル。Anyは使用しないでください。
  - Source and Destination IP and MAC: すべて、任意。
  - プロトコルがTCPまたはUDPで、トラフィックの方向が受信の場合、宛先ポートは1つ以上の指定されたポートでなければならず (Anyではない)、送信元ポートはAnyでなければなりません。
  - プロトコルがTCPまたはUDPで、トラフィックの方向が送信の場合、送信元ポートは1つ以上の指定されたポート (Anyではない) であり、宛先ポートはAnyでなければなりません。
  - 予約: なし。
  信頼できるソースのバイパスルールをポリシーで作成および使用する方法の例については、信頼できるトラフィックがファイアウォールをバイパスすることを許可するを参照してください。
- ルールは[log only]ことができます。このアクションはログにエントリを作成しますが、トラフィックを処理しません。
- ルールは[force allow]定義されたトラフィックを許可できます (このルールで定義されたトラフィックを許可し、他のトラフィックを除外しません)。
- このルールは[拒否]トラフィックを処理できます (このルールで定義されたトラフィックを拒否します)。
- このルールは[allow (許可)]トラフィックを許可できます (このルールで定義されたトラフィックのみを許可します)。
コンピュータで許可ルールが有効でない場合、すべてのトラフィックは拒否ルールによって特にブロックされない限り許可されます。一度許可ルールを作成すると、許可ルールの要件を満たさない限り、他のすべてのトラフィックはブロックされます。この場合の除外は1つあります: ICMPv6トラフィックは拒否ルールによって特にブロックされない限り常に許可されます。
ルールの[優先度]を選択します。優先度はルールが適用される順序を決定します。ルールアクションとして強制許可、拒否、またはバイパスを選択した場合、優先度を0 (低) から4 (最高) に設定できます。優先度を設定することで、ルールのアクションを組み合わせてカスケードルール効果を実現できます。

[ログのみ]ルールは[4]の優先度のみを持つことができ、[許可]ルールは[0]の優先度のみを持つことができます。

優先度の高いルールは、優先度の低いルールよりも先に適用されます。たとえば、優先度3のポート80の受信拒否ルールは、優先度2のポート80の受信強制許可ルールが適用される前にパケットをドロップします。

アクションと優先度がどのように連携するかの詳細については、ファイアウォールルールのアクションと優先度を参照してください。
[パケット方向]を選択して、このルールが受信 (ネットワークからコンピュータへの) または送信 (コンピュータからネットワークへの) トラフィックに適用されるかどうかを定義します。

個別のファイアウォールルールは、単一方向のトラフィックにのみ適用されます。特定の種類のトラフィックに対しては、受信および送信のファイアウォールルールをペアで作成する必要がある場合があります。
[ユーザリスト]を選択してください—これにより、このルールがどのユーザリストに適用されるかが決まります。トラフィックは[User Identity]に基づいてフィルタリングされます。以前に作成したユーザリストを使用できます。

[ユーザ名]は管理されたリリースの一部であり、プレビュー中です。関連するコンテンツは変更される可能性があります。

ユーザリストを選択する際に考慮すべき制約とガイドラインがいくつかあります。
- プロトコルはTCPまたはUDPに設定し、トラフィックの方向は送信でなければなりません。
- 重要なトラフィックの誤ったブロックを避けるために、まず[log only]アクションを選択し、動作とユーザIDの一致を確認してください。その後、アクションを[allow (許可)]または[deny.]に変更できます
- ユーザを許可するために、ファイアウォールルールは外向きアクセスを許可から制限に変換します。したがって、特定のユーザを除き、すべてのユーザがブロックされます。詳細については、制限的または許可的なファイアウォール設計を参照してください。
- ユーザIDは新しいポリシーがDeep Security Agentに送信されるときに定義されます。ユーザ情報が変更された場合、ユーザIDを更新するために設定を再送信する必要があります。
- ユーザリストはWindowsおよびLinuxオペレーティングシステムでサポートされています。
Ethernet[Frame Type]を選択します。フレームという用語はEthernetフレームを指し、利用可能なプロトコルはフレームが運ぶデータを指定します。フレームタイプとしてその他を選択した場合、フレーム番号を指定する必要があります。

IPはIPv4とIPv6の両方をカバーします。 IPv4またはIPv6を個別に選択することもできます。

Solarisでは、エージェントはIPフレームタイプのパケットのみを検査し、LinuxエージェントはIPまたはARPフレームタイプのパケットのみを検査します。他のフレームタイプのパケットは通過が許可されます。

IPフレームタイプを選択した場合、トランスポートプロトコルを選択する必要があります。プロトコルとしてその他を選択した場合は、プロトコル番号も入力する必要があります。

パケットの送信元と送信先を選択してください

[IP] アドレスと [MAC] アドレスの組み合わせを選択します。フレームタイプとして使用可能な場合は、[Packet Source] および [Packet Destination] に [ポート] と [指定フラグ] を選択します。

以前に作成したIP , MACまたはポートリスト。

サポートされているIPベースのフレームの種類は次のとおりです。

	IPアドレス	MAC	ポート	フラグ
任意	✔	✔
ICMP	✔	✔		✔
ICMPV6	✔	✔		✔
IGMP	✔	✔
GGP	✔	✔
TCP	✔	✔	✔	✔
PUP	✔	✔
UDP	✔	✔	✔
IDP	✔	✔
ND	✔	✔
RAW	✔	✔
TCP+UDP	✔	✔	✔	✔

ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。

[Any Flags]を選択するか、以下のフラグを個別に選択できます。

URG
ACK
PSH
RST
SYN
FIN

ルールイベントとアラートを設定する

ファイアウォールルールがトリガーされると、 Server & Workload Protection にイベントが記録され、パケットデータが記録されます。

[許可]、[強制的に許可]、および [バイパス] 処理を使用するルールでは、イベントはログに記録されません。

警告

イベントを記録した場合にアラートをトリガーするようにルールを設定できます。そのためには、ルールのプロパティを開き、[オプション]をクリックし、[Alert when this rule logs an event]を選択します。

アラートをトリガーするように設定できるのは、処理が [拒否] または [ログのみ記録] に設定されているファイアウォールルールのみです。

ルールのスケジュールを設定する

ファイアウォールルールを予約された時間のみ有効化するかどうかを定義します。

詳細については、ルールに適用できるスケジュールを定義するを参照してください。

ルールにコンテキストを割り当てる

ルールコンテキストを使用すると、さまざまなネットワーク環境に固有のファイアウォールルールを設定できます。コンテキストは通常、オンサイトとオフサイトのラップトップに対して異なるルールを適用できるようにするために使用されます。

コンテキストの作成方法については、ポリシーで使用するコンテキストの定義を参照してください。

コンテキストを使用してファイアウォールルールを実装するポリシーの例については、Windowsモバイルラップトップポリシーのプロパティを参照してください。

ルールが割り当てられているポリシーとコンピュータを表示する

[割り当て対象]タブを通じて、ファイアウォールルールに割り当てられているポリシーとコンピュータを確認できます。リスト内のポリシーまたはコンピュータをクリックして、そのプロパティを表示します。

ルールをエクスポートする

すべてのファイアウォールルールを.csvまたは.xmlファイルにエクスポートするには、[エクスポート]をクリックし、リストから対応するエクスポートアクションを選択します。特定のルールをエクスポートする場合は、まずそれらを選択し、[エクスポート]をクリックしてから、リストから対応するエクスポートアクションを選択します。

ルールを削除する

ルールを削除するには、[ファイアウォールルール]リスト内のルールを右クリックし、[削除]をクリックしてから[OK]をクリックします。

1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。