ビュー:
[ファイアウォール] モジュールは、双方向のステートフルファイアウォール保護を提供します。サービス拒否攻撃を防ぎ、すべてのIPベースのプロトコルとフレームタイプをカバーし、ポート、IPアドレス、およびMACアドレスのフィルタリングを提供します。
コンピュータエディタまたはポリシーエディタの [ファイアウォール] セクションには、次のタブセクションがあります。

一般 親トピック

ファイアウォール 親トピック

ファイアウォールのオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

ファイアウォールステートフル設定 親トピック

このポリシーに適用するファイアウォールステートフル設定を選択します。このポリシーに複数のインタフェースを定義している場合 (上記)、インタフェースごとに個別の設定を指定できます。ステートフル設定の作成の詳細については、を参照してください。ステートフル設定の定義

割り当てられたファイアウォールルール 親トピック

このポリシーまたはコンピュータに有効なファイアウォールルールが表示されます。ファイアウォールルールを追加または削除するには、 [割り当て/割り当て解除] をクリックします。これにより、使用可能なすべてのファイアウォールルールが表示されたウィンドウが表示されます。この画面から、ルールを選択または選択解除できます。
コンピュータエディタまたはポリシーエディタウィンドウから、ファイアウォールルールを編集して、エディタのコンテキスト内でローカルにのみ変更を適用するか、ルール。
[ルールをローカルで編集するには] ルールを右クリックし、 [プロパティ]を選択します。
[ルールをグローバルに編集するには] ルールを右クリックし、 [プロパティ (グローバル)]を選択します。
ファイアウォールルールの作成の詳細については、を参照してください。ファイアウォールルールの作成

インタフェース制限 親トピック

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。
警告
警告
インタフェースの分離を有効にする前に、インタフェースパターンが正しい順序で設定されていること、および必要な文字列パターンがすべて削除または追加されていることを確認してください。最も優先度の高いパターンに一致するインタフェースのみがトラフィックの送信を許可されます。その他のインタフェース (リストの残りのパターンのいずれかに一致) は「制限」されます。ファイアウォールの許可ルールを使用して特定のトラフィックの通過を許可しない限り、制限付きインタフェースはすべてのトラフィックをブロックします。
インタフェースの分離ポリシーを設定するには、次の手順を実行します。

手順

  1. [インタフェースの分離] タブで、 [インタフェースの分離を有効にする]を選択します。
  2. インターフェイスパターンを設定します。 (下記参照)
  3. [保存]をクリックします。

インタフェースパターン 親トピック

インタフェース制限が有効な場合、ファイアウォールでは、ローカルコンピュータのインタフェース名が、正規表現パターンと照合されます。
注意
注意
Server & Workload Protection では、POSIXの基本正規表現を使用してインタフェース名を照合します。
最も優先度の高いパターンに一致するインタフェースのみがトラフィックの送信を許可されます。その他のインタフェース (リストの残りのパターンのいずれかに一致) は「制限」されます。制限付きインタフェースでは、 [許可] ファイアウォールルールを使用して特定のトラフィックの通過を許可しない限り、すべてのトラフィックがブロックされます。
[1つのアクティブインタフェースに制限] を選択すると、トラフィックが1つのインタフェースのみに制限されます (最も優先度の高いパターンに一致するインタフェースが複数ある場合でも)。

調査 親トピック

[ [攻撃の予兆] では、コンピュータのトラフィック分析を有効にして設定できます。この機能により、標的型攻撃を開始する前に脆弱性を発見するために攻撃者がよく使用する可能性のある偵察スキャンを検出できます。
注意
注意
TAPモードでは、偵察検索は機能しません。偵察検索は、IPv4トラフィックでのみ検出できます。
偵察保護を有効にするには、ファイアウォールとステートフルインスペクションも有効にする必要があります。[コンピュータエディタとポリシーエディタ] [ファイアウォール] [一般]タブをクリックします。また、[コンピュータエディタとポリシーエディタ] [ファイアウォール] [詳細]タブをクリックし、 [「許可ポリシー外」のパケットに対してファイアウォールイベントを生成する] 設定を有効にします。これにより、偵察に必要なファイアウォールイベントが生成されます。
偵察検索を設定する場合は、次のオプションを使用できます。
  • [攻撃の予兆の検出の有効化:] 偵察検索の検出機能のオン/オフを切り替えます。初期設定では、すべての検索が通知付きレポートモードで有効になっています。通知をオフにする場合、またはレポートモードから一時的なブロックモードに切り替える場合は、ドロップダウンリストから [はい] を選択して変更を加えます。
  • [検出を実行するコンピュータ/ネットワーク:] 保護するIPをリストから選択します。既存のIPリストから選択します。 ([Policies] [共通オブジェクト] [リスト] [IPリスト] ] をクリックして、この目的専用のIPリストを作成します)。
  • [検出を実行しないIPリスト:] IPリストから無視するコンピュータとネットワークを選択します。 (上記のように、[Policies] [共通オブジェクト] [リスト] [IPリスト] ] をクリックして、この目的専用のIPリストを作成します)。
攻撃の種類ごとに、アラートがトリガーされる Server & Workload Protection に情報を送信するようにエージェントに指示できます。アラートがトリガーされたときにメール通知を送信するように Server & Workload Protection を設定できます。詳細については、[管理] [システム設定] [アラート] 。このオプションには [DSMにただちに通知] を選択します。
注意
注意
[DSMにすぐに通知] オプションを機能させるには、エージェントを次のように設定する必要があります。エージェント起動または双方向での通信コンピュータエディタまたはポリシーエディタ設定一般。 ) 有効にすると、エージェントは攻撃またはプローブを検出するとすぐに、 Server & Workload Protection へのハートビートを開始します。
攻撃が検出されたら、一定期間、送信元IPからのトラフィックをブロックするようにAgentに指示できます。 Block Traffic ドロップダウンを使用して、分数を設定します。
アラートは、
  • Computer OS Fingerprint Probe: エージェントは、コンピュータOSの検出試行を検出しました。
  • Network or Port Scan: エージェントは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、ネットワークまたはポートの検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としてはポート検索が最も一般的です。コンピュータまたはポートスキャンの検出で使用される統計分析方法は、2006年にIPCCCで発表された論文「Connectionless Port Scan Detection on the Backbone」で提案された「TAPS」アルゴリズムに基づいています。
  • TCP Null Scan: エージェントは、フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN Scan: エージェントは、SYNフラグとFINフラグのみが設定されたパケットを検出します。
  • TCP Xmas Scan: エージェントは、FIN、URG、およびPSHフラグのみが設定されているパケット、または値が0xFF (すべてのフラグが設定されている) のパケットを検出します。
注意
注意
「ネットワークまたはポート スキャン」は、単一のパケットでは認識できず、 Server & Workload Protection が一定期間トラフィックを監視する必要があるという点で他のタイプの偵察とは異なります。エージェントは、リモート IP がポートに対する IP の比率が異常であることを検出した場合、コンピュータまたはポート スキャンを報告します。通常、エージェントコンピュータは自分宛てのトラフィックのみを認識するため、検出されるプローブの最も一般的なタイプはポート スキャンです。ただし、コンピュータがルーターまたはブリッジとして機能している場合、他の多数のコンピュータ宛てのトラフィックが認識され、エージェントがコンピュータ スキャン (ポート 80 が開いているコンピュータのサブネット全体をスキャンするなど) を検出できる可能性があります。エージェントは失敗した接続を追跡し、比較的短期間に 1 台のコンピュータからの異常な数の失敗した接続があると判断できる必要があるため、これらのスキャンの検出には数秒かかることがあります。
注意
注意
ブラウザアプリケーションがインストールされたWindowsコンピュータで実行されているAgentは、クローズされた接続からのトラフィックが残っているため、偵察検索の誤検出が報告されることがあります。偵察警告の処理方法については、「警告: 偵察が検出されました

詳細 親トピック

イベント 親トピック

「許可ポリシー外」のパケットに対してイベントを生成するかどうかを設定します。これらは、 Allow ファイアウォールルールによって明確に許可されていないためにブロックされたパケットです。このオプションを Yes に設定すると、有効なファイアウォールルールによっては、大量のイベントが生成される場合があります。

ファイアウォールイベント 親トピック

ファイアウォールイベントは、このポリシーまたは特定のコンピュータに関連するイベントのみが表示されることを除いて、 Server & Workload Protection コンソールのメインウィンドウと同じように表示されます。