ファイアウォールルールの処理
ファイアウォールルールでは、次の処理が可能です。
-
[許可 ―] ルールに一致するトラフィックの通過を明示的に許可し、それ以外は暗黙的に拒否します。
-
[放置 ―] トラフィックがファイアウォールと侵入防御の両方の分析をバイパスすることを許可します。この設定は、メディアを多用するプロトコル、または信頼できる送信元から送信されるトラフィックに使用します。バイパスルールは、IP、ポート、トラフィックの方向、およびプロトコルに基づいて作成できます。
-
[拒否:] ルールに一致するトラフィックを明示的にブロックします。
-
[強制的に許可:] 他のルールでは拒否されるトラフィックを強制的に許可します。
注意
強制的に許可ルールで許可されるトラフィックは、侵入防御モジュールによる分析の対象となります。 -
[ログのみ:] トラフィックのみがログに記録されます。他の処理は行われません。
許可ルールの詳細
注意許可ルールで明示的に許可されていないトラフィックは破棄され、「ポリシーで未許可」のファイアウォールイベントとして記録されます。
|
一般的に適用される許可ルールは、次のとおりです。
許可ルールには、次の2つの機能があります。
手順
- 明示的に許可されているトラフィックを許可
- その他のトラフィックを黙示的に拒否
次に進む前に
- [ARP]: 受信アドレス解決プロトコル (ARP) トラフィックを許可します。
- [要請されたTCP/UDP返信を許可]: コンピュータが自身のTCPおよびUDPメッセージへの応答を受信できるようにします。これは、TCPおよびUDPのステートフル設定と組み合わせて機能します。
- [要請されたICMP返信を許可]: コンピュータが自身のICMPメッセージへの応答を受信できるようにします。これは、ICMPステートフル設定と連携して機能します。
バイパスルールの詳細
バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。
バイパスルールの条件と一致するパケットは、次のように処理されます。
- ステートフル設定の条件の対象にならない。
- ファイアウォールと侵入防御分析の両方をバイパスする。
バイパスされたトラフィックにはステートフルインスペクションが適用されないため、トラフィックを一方向にバイパスしても、逆方向の対応は自動的にバイパスされません。バイパスルールは常にペアで作成および適用する必要があります。1つは受信トラフィック用、もう1つは送信トラフィック用です。
注意バイパスルールイベントは記録されません。これは設定可能な動作ではありません。
|
Server & Workload Protection トラフィックの初期設定のバイパスルール
Server & Workload Protection は、エージェントを実行しているコンピュータのハートビート用に、エージェントの待機ポートで受信TCPトラフィックを開く優先度4のバイパスルールを自動的に実装します。優先度4では、このルールが拒否ルールよりも前に適用されます。バイパスでは、トラフィックが損なわれないことが保証されます。バイパスルールは内部で作成されるため、ファイアウォールルールリストには明示的に表示されません。
ただし、このルールでは、任意のIPアドレスおよび任意のMACアドレスからのトラフィックが許可されます。このポートに対するAgentのセキュリティを強化するには、このポートに対してより制限の厳しいバイパスルールを作成します。エージェントは、次の特性がある場合、新しいカスタムルールを優先してデフォルトの
Server & Workload Protection トラフィックルールを実際に無効にします。
- [優先度:] 4 - 最高
- [パケット方向:] 受信
- [フレームの種類:] IP
- [プロトコル: ] TCP
- Server & Workload Protectionからのハートビートを待機する[パケット送信先ポート:] エージェントのポート番号
カスタムルールでは、上記のパラメータを使用して初期設定のルールを置き換える必要があります。 Server & Workload Protection のIPアドレスまたはMACアドレスをルールのパケット送信元として使用するのが理想的です。
強制的に許可ルールの詳細
[強制的に許可] オプションは、拒否処理の対象となるトラフィックのサブセットを除外します。他の処理との関係を以下に示します。強制的に許可は、バイパスルールと同じ効果があります。ただし、バイパスとは異なり、この処理によってファイアウォールを通過するトラフィックは、引き続き侵入防御モジュールによる検査の対象となります。
[強制的に許可] 処理は、重要なネットワークサービスが DSA コンピュータと通信できるようにする場合に特に便利です。通常、強制的に許可ルールは、許可ルールおよび拒否ルールによって禁止されたトラフィックのサブセットを許可するルールと組み合わせてのみ使用する必要があります。
ICMPおよびUDPステートフルが有効な場合に、要求されていないICMPおよびUDPトラフィックを許可するには、強制的に許可ルールも必要です。
ファイアウォールルールのシーケンス
コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。
受信および送信でファイアウォールルールが適用される順序は次のとおりです。
手順
- 優先度が [4 (最高)]のファイアウォールルール
- [バイパス]
- [ログのみ] (ログオンリールールには [4 (最高)]の優先度のみを割り当てることができます)
- [強制的に許可]
- [拒否]
- 優先度が [3 (高)]のファイアウォールルール
- [バイパス]
- [強制的に許可]
- [拒否]
- 優先度が [2 (標準)]のファイアウォールルール
- [バイパス]
- [強制的に許可]
- [拒否]
- 優先度が [1 (低)]のファイアウォールルール
- [バイパス]
- [強制的に許可]
- [拒否]
- 優先度が [0 (最低)]のファイアウォールルール
- [バイパス]
- [強制的に許可]
- [拒否]
- [許可] (許可ルールには [0 (最低)]の優先度のみを割り当てることができます)
次に進む前に
注意コンピュータで有効な許可ルールがない場合は、拒否ルールによって明確にブロックされていない限り、すべてのトラフィックが許可されます。許可ルールを1つ作成すると、許可ルールの条件を満たさない限り、他のすべてのトラフィックがブロックされます。これには
1 つの例外があります。ICMPv6 トラフィックは、拒否ルールによって明確にブロックされない限り、常に許可されます。
|
同じ優先度のコンテキスト内で、拒否ルールは許可ルールより優先され、強制的に許可ルールは拒否ルールより優先されます。ルールの優先度システムを使用すると、優先度の高い拒否ルールを作成して、優先度の低い強制許可ルールをオーバーライドできます。
強制的に許可ルールを使用してすべてを許可するDNSサーバポリシーの例を考えてみましょう。受信DNSクエリ。強制的に許可ルールよりも優先度の高い拒否ルールを作成すると、同じ公開サーバへのアクセスを禁止するIPアドレスの特定の範囲を指定できます。
優先度ベースのルールセットでは、ルールを適用する順序を設定できます。優先度が最も高い拒否ルールが設定されていて、同じ優先度の強制許可ルールがない場合、拒否ルールに一致するパケットはすべて自動的にドロップされ、残りのルールは無視されます。逆に、最も優先度の高いフラグが設定された強制許可ルールが存在する場合、強制許可ルールに一致する受信パケットは、他のルールと照合されることなく自動的に許可されます。
ログに関する注意
バイパスルールによってイベントが生成されることはありません。これは設定できません。
ログのみルールは、対象のパケットが、次のいずれかのルールによって、それ以降に停止されない場合にのみイベントを生成します。
- 拒否ルール
- そのパケットを除外する許可ルール
これら2つのルールのいずれかによってパケットが停止された場合、それらのルールはイベントを生成しますが、ログのみのルールは生成しません。後続のルールでパケットを停止しない場合は、ログのみルールによってイベントが生成されます。
各ファイアウォールルールの関係
Server & Workload Protection ファイアウォール ルールには、ルール アクションとルール優先度の両方があります。これら 2 つのプロパティを組み合わせて使用すると、非常に柔軟で強力なルールセットを作成できます。他のファイアウォールで使用されるルール
セットとは異なり、ルールを実行する順序で定義する必要がある場合がありますが、 Server & Workload Protection ファイアウォール ルールは、ルール アクションとルールの優先順位に基づいて決定的な順序で実行されます。それらが定義または割り当てられる順序。
ルール処理
各ルールには、以下の5つのルール処理のいずれかを設定できます。
手順
- [放置 ―] バイパスルールに一致するパケットは、同じ優先度の他のルールに関係なく、ファイアウォールと侵入防御エンジンの両方を通過します。
- [ログのみ:] パケットがログのみルールに一致する場合、パケットは通過し、イベントがログに記録されます。
- [強制的に許可:] パケットが強制的に許可ルールに一致する場合、そのパケットは他のルール (同じ優先度レベル) に関係なく通過します。
- [拒否:] 拒否ルールに一致するパケットは破棄されます。
- [許可 ―] パケットが許可ルールに一致する場合、そのパケットは通過します。いずれの許可ルールにも一致しないトラフィックは拒否されます。
次に進む前に
許可ルールを実装すると、許可ルールに一致しないその他すべてのトラフィックが拒否されます。
拒否ルールを許可ルールに優先して適用すると、特定の種類のトラフィックをブロックすることができます。
強制的に許可ルールを拒否トラフィックに適用すると、例外のみ通過させることができます。
ルールの優先度
[拒否] および [強制的に許可] のルール処理を 5 つの優先度のいずれかで定義して、一連の許可ルールで定義された許可トラフィックをさらに絞り込むことができます。ルールは、最高
(優先度 4) から最低 (優先度 0) の順に実行されます。特定の優先度の範囲内で、ルールはルールの処理 (強制的に許可、拒否、許可、ログのみ) に基づいて処理されます。
優先度コンテキストでは、ユーザが拒否ルールと強制的に許可ルールの組み合わせを使用して、トラフィック制御を継続的に調整できます。同じ優先度のコンテキスト内で、許可ルールは拒否ルールで無効にでき、拒否ルールは強制的に許可ルールで無効にできます。
注意許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
|
ルール処理およびルール優先度を集約する
ルールは、最高 (優先度 4) から最低 (優先度 0) の順に実行されます。特定の優先度レベル内では、ルールはルール処理に基づいた順序で処理されます。優先度が同じルールが処理される順序は次のとおりです。
- Bypass (処理なし)
- ログのみ
- 強制的に許可
- 拒否
- 許可
注意許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
|
注意強制的に許可ルールと拒否ルールが同等の優先度の場合、強制的に許可ルールが拒否ルールよりも優先されるので、強制的に許可ルールと一致するトラフィックが許可されます。
|