Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

Deep Securityファイアウォールの設定

Deep Securityのファイアウォールは非常に柔軟なファイアウォールで、制限の多い厳格な設定にすることも、少ない寛容な設定にすることもできます。侵入防御やWebレピュテーションモジュールと同様に、ファイアウォールモジュールもインラインまたはタップモードの2つのモードで実行できます。ファイアウォールルールをタップモードでテストし、すべてが正しく動作することを確認してからインラインモードに切り替えることを推奨します。

ファイアウォールの設定と管理は慎重に行う必要があり、すべての環境に合うルールセットは存在しません。ルールの作成を開始する前にファイアウォールの処理と優先度を理解しておく必要があります。許可ルールを作成する場合、定義されていない対象がすべて黙示的に拒否されるため、特に注意が必要です。

このトピックの内容:

ファイアウォールルールを配信前にテストする

ファイアウォールモジュール (および侵入防御モジュール、Webレピュテーションモジュール) には、パケットをブロックするか許可するかを決定するDeep Securityネットワークエンジンが含まれます。ファイアウォールモジュールと侵入防御モジュールの場合、ネットワークエンジンはパケットのサニティチェックを実行し、ファイアウォールと侵入防御のルールを各パケットが通過することも確認します。ネットワークエンジンは次の2つのモードで動作します。

  • タップモード: パケットストリームは変更されません。ファイアウォールまたは侵入防御モジュールが有効になっている場合、トラフィックはこれらによって処理されます。ただし、問題が検出されてもパケットや接続が拒否されることはありません。タップモードでは、Deep Securityはイベントのレコードを提供する以外の保護は提供しません。
  • インラインモード: パケットストリームがDeep Securityネットワークエンジンを直接流れます。すべてのルールは、プロトコルスタックの上位に伝わる前にネットワークトラフィックに適用されます。

配信前はルールの処理を [ログ記録のみ] に設定し、タップモードかインラインモードのいずれかでファイアウォールルールをテストすることが重要です。これにより、トラフィックに対するルールの影響を、処理を実行することなくプレビューできます。配信前にルールをテストしない場合、トラフィックがすべてブロックされ、コンピュータにアクセスできなくなる可能性があります。

タップモードでテストする

タップモードでは、トラフィックのフローを妨げることなくファイアウォールルールをテストできます。

  1. Deep Security Managerの [コンピュータ] または [ポリシー] に移動します。
  2. コンピュータ (またはポリシー) を右クリックして [詳細] を選択し、コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  3. [設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
  4. リストから [タップ] を選択し、[保存] をクリックします。
  5. ルールを作成し、[OK] をクリックします。ルールを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] に移動します。
タップモードではルールの処理を [ログ記録のみ] に設定する必要はありません。

ファイアウォールルールの結果に問題がない場合は、コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).に戻ってドロップダウンリストから [インライン] を選択し、[保存] をクリックします。

インラインモードでテストする

多くの場合、トラフィックを妨げることなくファイアウォールルールをテストするにはタップモードが良い方法となります。しかし、ルールの処理を [ログ記録のみ] に設定すると、インラインモードでもルールをテストできます。この方法ではトラフィック分析の実際のプロセスが発生し、パケットのブロックや拒否などの処理を実行する必要がありません。

  1. Deep Security Managerの [コンピュータ] または [ポリシー] に移動します。
  2. コンピュータ (またはポリシー) を右クリックして [詳細] を選択し、コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  3. [設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
  4. ドロップダウンメニューから [インライン] を選択し、[保存] をクリックします。
  5. ルールを作成するときは、処理を [ログ記録のみ] に設定しておきます。
  6. ルールを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] に移動します。

ファイアウォールルールの結果に問題がない場合は、処理を [ログ記録のみ] から任意の処理に変更し、[OK] をクリックします。

「Fail-Open」の動作を有効にする

ケースによっては、ファイアウォールルール (または侵入防御ルール) を適用する前にネットワークエンジンがパケットをブロックすることがあります。初期設定では、ネットワークエンジンは次の場合にパケットをブロックします。

  • AgentまたはVirtual Applianceホストにメモリ不足などのシステム上の問題がある。
  • パケットのサニティチェックでエラーが発生する。

この「Fail-Closed」動作により、高度なセキュリティが提供されます。AgentまたはVirtual Applianceが正常に機能していないときもサイバー攻撃がネットワークに侵入することはできず、不正と思われるパケットから保護できます。「Fail-Closed」の問題は、AgentまたはVirtual Applianceの問題によってサービスおよびアプリケーションが利用できなくなる場合があることです。また、パケットのサニティチェックの誤判定が多いために大量のパケットが必要以上にドロップされ、パフォーマンスの問題が発生することもあります。

サービス可用性に関して懸念がある場合は、以下の手順に従って、システムエラーやパケットチェックエラーの場合にもパケットの通過を許可する (「Fail-Open」にする) ように初期設定の動作を変更できます。

  1. Deep Security Managerの [コンピュータ] または [ポリシー] に移動します。
  2. コンピュータ (またはポリシー) を右クリックして [詳細] を選択し、コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  3. 左側にある [設定] をクリックします。
  4. [詳細] タブをクリックします。
  5. [ネットワークエンジン設定] で、[エラー発生時の処理] を次のように設定します。
  6. ネットワークエンジンホストで問題が発生した場合 (メモリ不足エラー、割り当てメモリエラー、ネットワークエンジン (DPI) デコードエラーなど) のパケットの通過を許可するには、[ネットワークエンジンのシステムエラー][Fail-Open] に設定します。ここで、Fail-Openの使用を検討するのは、高負荷やリソース不足によりAgentまたはVirtual Applianceでネットワーク例外が頻繁に発生する場合です。「Fail-Open」を使用すると、ネットワークエンジンはパケットの通過を許可し、ルールのチェックを実行せず、イベントをログに記録します。AgentまたはVirtual Applianceに問題がある場合でも、サービスとアプリケーションは利用し続けることができます。
  7. ネットワークエンジンのパケットのサニティチェックでエラーとなるパケットの通過を許可するには、[ネットワークパケットのサニティチェックエラー] を [Fail-Open] に設定します。パケットのサニティチェックの例としては、ファイアウォールのサニティチェック、ネットワーク層2、3、または4の属性チェック、TCP状態チェックなどがあります。ここで、Fail-Openの使用を検討するのは、サニティチェックを通過する「良好な」パケットでのみルールチェックを実行する場合です。Fail-Openを使用すると、ネットワークエンジンはエラーパケットの通過を許可し、ルールのチェックを実行せず、イベントをログに記録します。
  8. [保存] をクリックします。

これで、システムまたはパケットチェックエラーに対するFail-Open動作が有効になります。

ファイアウォールをオンにする

コンピュータでファイアウォール機能を有効にするには、次の手順に従います。

  1. コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).で、[ファイアウォール][一般] の順に選択します。
  2. [オン] を選択し、[保存] をクリックします。
少なくとも1つのファイアウォールルールでDeep Security ファイアウォールを有効にすると、Agentは競合を回避するためにWindows ファイアウォールを自動的に無効にします。

初期設定のファイアウォールルール

初期設定では、Deep Securityに組み込みのポリシーに送信ルールは割り当てられていませんが、受信ルールは割り当てられています。各ポリシーに割り当てられた初期設定の受信ルールは、該当するオペレーティングシステムポリシーで [ファイアウォール] タブを選択して確認できます。次の例は、Windows 10 Desktopポリシーに初期設定で割り当てられているファイアウォールルールを示しています。これらのファイアウォールルールは環境のニーズに合わせて設定できますが、すぐに始められるようにいくつかの初期設定ルールがあらかじめ用意されています。

システムパフォーマンスへの影響を最小限に抑えるには、300件より多くファイアウォールルールを割り当てないようにします。また、ファイアウォールルールへの変更をそのルールの [説明] フィールドに記録することも推奨します。より簡単にファイアウォールをメンテナンスするために、ルールを作成または削除した日付とその理由を記録してください。

Deep Security Managerのトラフィックに関するバイパスルールの初期設定

Deep Security Managerは、Deep Security Agentを実行しているコンピュータでAgentがハートビートに使用する待機ポート番号を開く優先度4のバイパスルールを自動的に実装します。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。

ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。Deep Security Agentの待機ポートのセキュリティを強化するには、このポート用により厳しいバイパスルールを作成します。新しいカスタムルールが以下の設定になっていれば、Agentはこのルールで初期設定のDeep Security Managerトラフィックルールをオーバーライドします。

初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。ルールのパケット送信元として、実際のDeep Security ManagerのIPアドレスまたはMACアドレスを使用するのが理想です。

厳格または寛容なファイアウォール設計

一般に、ファイアウォールポリシーは、2つの設計戦略のどちらかに基づいています。つまり、明示的に拒否されていないかぎりすべてのサービスを許可するか、明示的に許可されていないかぎりすべてのサービスを拒否するかのいずれかです。どちらのタイプのファイアウォールを実装するか決定しておくことを推奨します。これにより、ルールの作成とメンテナンスにかかる管理の手間を削減できます。

厳格なファイアウォール

厳格なファイアウォールは、セキュリティの観点から推奨されます。初期設定ではすべてのトラフィックがブロックされ、明示的に許可されたトラフィックだけが許可されます。計画しているファイアウォールの主な目的が不正なアクセスをブロックすることであれば、接続を許可するのではなく制限することを重視する必要があります。厳格なファイアウォールはメンテナンスが比較的容易であり、安全性にも優れています。許可ルールを使用して、ファイアウォールを通過する特定のトラフィックだけを許可し、他はすべて拒否します。

送信の許可ルールを1つ割り当てると同時に、送信ファイアウォールが制限モードで稼働します。これは受信ファイアウォールの場合も同じです。受信の許可ルールを1つ割り当てると同時に、受信ファイアウォールが制限モードで稼働します。

寛容なファイアウォール

寛容なファイアウォールは、初期設定ですべてのトラフィックを許可し、署名などの情報から不正と認識されるトラフィックのみをブロックします。寛容なファイアウォールは実装は容易ですが、提供されるセキュリティは最小限であり、複雑なルールが必要です。拒否ルールを使用して、トラフィックを明示的にブロックします。

ファイアウォールルールの処理

ファイアウォールは、以下の処理を実行するように設定できます。

受信ルールのみを割り当てると、送信トラフィックはすべて許可されます。送信許可ルールを1つ割り当てると、送信ファイアウォールは制限モードで稼働します。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。

許可 ルールと一致するトラフィックの通過を明示的に許可し、その他のトラフィックは黙示的に拒否します。

[許可] の処理は定義されていないトラフィックをすべて黙示的に拒否するため、この処理は慎重に使用する必要があります。関連するルールを正しく定義せずに許可ルールを作成すると、許可ルールで許可したトラフィックを除き、すべてのトラフィックがブロックされる可能性があります。許可ルールで明示的に許可されていないトラフィックは破棄され、ポリシーで「未許可」のファイアウォールイベントとして記録されます。
バイパス ファイアウォールと侵入防御分析の両方のバイパスをトラフィックに許可します。バイパスルールは常にペアで (受信トラフィックと送信トラフィックの両方に対して) 作成する必要があります。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。

バイパスルールは、ネットワーク負荷の高いプロトコルや、信頼済みソースからのトラフィックのために設計されたものです。
拒否 ルールと一致するトラフィックを明示的にブロックします。
強制的に許可 強制的に許可ルールに一致したパケットは通過しますが、この場合でも侵入防御によるフィルタリングは行われます。イベントはログに記録されません。

UDPおよびICMPトラフィックには、この種類のファイアウォールルール処理を使用する必要があります。
ログのみ トラフィックがルールに一致した場合、ログに記録されます。その他の処理は実行されません。

ファイアウォールルールの作成方法の詳細については、ファイアウォールルールの作成を参照してください。

ファイアウォールルールの優先度

ルールの優先度によって、フィルタが適用される順序が決定します。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。同じ優先度の処理が複数存在する場合のルールの優先度は、「バイパス」、「強制的に許可」、「拒否」の順になります。ただし、より高い優先度が適用された拒否処理は、より低い優先度が適用されたバイパス処理よりも優先されます。ルールの優先度と処理で処理順序が決まる仕組みの詳細については、「ファイアウォールルールの処理と優先度」を参照してください。

ファイアウォールルールの管理を簡略化するには、特定の処理に対して所定の優先度を固定します。たとえば、バイパスを使用するルールには初期設定の優先度3を、強制的に許可ルールには優先度2を、拒否ルールには優先度1を適用します。こうすることで、ルールの競合を削減できます。

許可ルール

許可ルールに適用できる優先度は0のみです。これは、より高い優先度の強制的に許可ルールおよび拒否ルールがすべて適用された後で許可ルールが処理されるようにするためです。許可ルールを使用してトラフィックを黙示的に拒否するときにはこの点に注意してください (許可ルールに一致しないトラフィックはすべて拒否されます)。こうすることで、拒否ルールを割り当てると、割り当てられている既存のすべての許可ルールよりも拒否ルールが優先されます。

強制的に許可ルール

強制的に許可ルールは、常に許可する必要があるトラフィック (アドレス解決プロトコル (ARP) など) に推奨されるルールで、同じまたはより高い優先度の拒否ルールに対してのみ機能します。たとえば、10.0.0.0/8サブネットから許可ポート番号へのアクセスを禁止する優先度3の拒否ルールがあり、ホスト10.102.12.56にこのポート番号へのアクセスを許可したいとします。この場合、優先度3の拒否ルールに対して優先度3または4の強制的に許可ルールを作成する必要があります。あるパケットがこのルールに該当するとそのアクセスはただちに許可され、優先度の低いルールは以降このアクセスを処理できなくなります。

バイパスルール

バイパスルールは、ファイアウォールエンジンと侵入防御 (DPI) エンジンの両方をバイパスすることをパケットに許可する特別なルールです。このルールは優先度4に設定し、ペアで作成する必要があります (各トラフィック方向に対して1つ)。

推奨されるファイアウォールポリシールール

すべてのファイアウォールポリシーに対して以下のルールを必須にすることを推奨します。

  • ARP:このルールは、ホストへの受信ARP要求を許可し、ホストがMACアドレスのクエリに応答できるようにします。このルールを割り当てないと、ネットワーク上のデバイスはホストにMACアドレスで照会できず、ホストにネットワークからアクセスできなくなります。
  • Allow solicited TCP/UDP replies:コンピュータが、送信したTCPやUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフル設定と連携します。
  • Allow solicited ICMP replies:ホストコンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフル設定と連携します。
  • DNS Server: DNSサーバが受信DNS要求を受け取ることができるようにします。
  • リモートアクセスRDP: コンピュータがリモートデスクトップ接続を受け入れることができるようにします。
  • リモートアクセスSSH: コンピュータがSSH接続を受け入れることができるようにします。

ファイアウォールルールをテストする

以降のファイアウォール設定手順に進む前に、推奨されるファイアウォールルールをテストし、それらが正しく動作することを確認します。

次の手順でRemote Access SSHルールをテストします。

  1. コンピュータに対するSSH接続の確立を試みます。ファイアウォールが有効でも、Remote Access SSHルールが有効になっていないと、接続は拒否されます。[イベントとレポート]→[ファイアウォールイベント] の順に選択し、拒否されたイベントを表示します。
  2. コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).で [ファイアウォール] に移動します。[割り当てられたファイアウォールルール][割り当て/割り当て解除] をクリックします。
  3. Remote Access SSHを検索してそのルールを有効にします。[OK] をクリックし、[保存] をクリックします。
  4. コンピュータに対するSSH接続の確立を試みます。接続が許可されます。

次の手順でRemote Access RDPルールをテストします。

  1. コンピュータに対するRDP接続の確立を試みます。ファイアウォールが有効でも、Remote Access RDPルールが有効になっていないと、接続は拒否されます。[イベントとレポート]→[ファイアウォール] イベントの順に選択し、拒否されたイベントを表示します。
  2. コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).で [ファイアウォール] に移動します。[割り当てられたファイアウォールルール][割り当て/割り当て解除] をクリックします。
  3. Remote Access RDPを検索してそのルールを有効にします。[OK] をクリックし、[保存] をクリックします。
  4. コンピュータに対するRDP接続の確立を試みます。接続が許可されます。

攻撃の予兆検索

攻撃の予兆検索を検出するようにファイアウォールを設定し、一時的に送信元IPからのトラフィックをブロックして攻撃の防止を図ることができます。攻撃が検出されると、一時的に送信元IPからのトラフィックをAgentおよびApplianceでブロックするように設定できます。ポリシーまたはコンピュータエディタ[ファイアウォール][攻撃の予兆] タブにある [トラフィックのブロック] リストを使用し、時間 (分数) を設定してください。

  • OSのフィンガープリント調査: AgentまたはApplianceはコンピュータのOSを見つけようとする動作を検出します。
  • ネットワークまたはポートの検索: AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
  • TCP Null検索: AgentまたはApplianceはフラグが付いていないパッケージを検出します。
  • TCP SYNFIN検索: AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。
  • TCP Xmas検索: AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。

攻撃の種類ごとに、オプション [DSMにただちに通知] を選択することにより、アラートがトリガされるDeep Security Managerに情報を送信するようAgentまたはApplianceを設定できます。このオプションを有効にするには、ポリシー/ コンピュータエディタ の[設定]→[一般]→[通信方向]で、クライアントまたはアプライアンスが開始した、またはアプライアンスが開始した、または双方向の通信用にクライアントとアプライアンスを設定する必要があります。この設定を有効にすると、AgentまたはApplianceは、攻撃や調査を検出後ただちにDeep Security Managerに対してハートビートを送信します。

攻撃の予兆の保護を有効にする場合は、ポリシーまたはコンピュータエディタ[ファイアウォール][一般] タブで、ファイアウォールおよびステートフルインスペクションも有効にする必要があります。また、ポリシーまたはコンピュータエディタ[ファイアウォール][詳細] タブで、[「ポリシーで未許可」のパケットのファイアウォールイベントを生成] 設定も有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されるようになります。

攻撃の予兆の検出では、1つ以上のアクティブなファイアウォールルールがAgentのポリシーに割り当てられている必要があります。

攻撃の予兆警告に対応する方法の詳細については、警告: 攻撃の予兆の検出を参照してください。

ステートフルインスペクション

Deep Securityのファイアウォールステートフル設定メカニズムを有効にする必要があります (ファイアウォールがオンのとき)。このメカニズムでは、トラフィック履歴との関連における各パケット、TCPおよびIPヘッダ値の正当性、およびTCP接続状態の推移が分析されます。UDPやICMPなどのステートレスプロトコルの場合、履歴トラフィック分析に基づいた擬似ステートフルメカニズムが実装されます。

パケットは、ステートフルメカニズムによって次のように処理されます。

  1. 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
  2. パケットを調べて、既存の接続に属しているかどうかが判断されます。
  3. TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。

ステートフルTCP、ICMP、またはUDPプロトコルが指定された初期設定が有効で、要請された応答だけが許可されている場合、Deep Securityのファイアウォールステートフル設定によってDoSなどの攻撃から防御できます。UDPステートフルオプションが有効な場合は、UDPサーバ (DHCPなど) の実行時に強制的に許可を使用する必要があります。Deep Security AgentにDNSサーバまたはWINSサーバが設定されていない場合は、NetBIOSに対して、受信のUDPポート137を強制的に許可するルールが必要になることがあります。

ステートフルログは、ICMPまたはUDPプロトコルで必要でない限り無効にする必要があります。

Webサーバ用の単純なファイアウォールポリシーを作成する方法の例を示します。

  1. オプションが有効になっているグローバルなファイアウォールステートフル設定を使用して、TCP、UDP、およびICMPのステートフルインスペクションを有効にします。
  2. ワークステーションからの要求に対するTCPおよびUDPの応答を許可するファイアウォールルールを追加します。そのためには、受信許可ルールを作成し、プロトコルセットを [TCP+UDP] に設定し、[指定フラグ] の下にある [選択以外][SYN] をオンにします。この時点で、ワークステーションのユーザからの要求に応答するTCPとUDPのパケットだけがポリシーによって許可されます。たとえば、手順1で有効にしたステートフル分析オプションと連動してこのルールを使用すると、コンピュータのユーザはDNS検索 (UDP経由) やHTTP (TCP) 経由のWeb閲覧ができるようになります。
  3. ワークステーションからの要求にICMP応答を許可するファイアウォールルールを追加します。そのためには、プロトコルを [ICMP] に設定した受信許可ルールを作成し、[任意のフラグ] チェックボックスをオンにします。このコンピュータのユーザは別のワークステーションにpingを送信して応答を受信できますが、他のユーザはこのコンピュータにpingを送信できなくなります。
  4. [指定フラグ] セクションの [SYN] チェックボックスをオンにして、受信TCPトラフィックをポート80およびポート443に対して許可するファイアウォールルールを追加します。外部ユーザがこのコンピュータのWebサーバにアクセスできるようになります。

    この時点で、他の受信トラフィックをすべて拒否するコンピュータで、承諾されたTCP、UDP、およびICMP応答とWebサーバへの外部アクセスを許可する基本的なファイアウォールポリシーが設定されます。

    拒否ルールおよび強制的に許可ルールの処理を使用してこのポリシーをさらに詳細に定義する方法の例について、ネットワーク内の他のコンピュータからのトラフィックを制限する方法を考察します。たとえば、内部ユーザに対してはこのコンピュータのWebサーバへのアクセスを許可し、DMZにあるコンピュータからのアクセスは拒否するものとします。この場合、DMZのIP範囲にあるサーバからのアクセスを禁止する拒否ルールを追加することによって設定が可能になります。

  5. 送信元IP 10.0.0.0/24 (DMZ内のコンピュータに割り当てられたIP範囲) を使用して、受信TCPトラフィック用に拒否ルールを追加します。このルールでは、DMZ内にあるコンピュータからこのコンピュータへのトラフィックをすべて拒否します。

    ただし、このポリシーをさらに詳細に定義するとDMZ内にあるメールサーバからの受信トラフィックを許可できます。

  6. 送信元IP 10.0.0.100からの受信TCPトラフィックに強制的に許可ルールを使用します。この強制的に許可ルールは、前の手順で作成した拒否ルールをオーバーライドして、DMZ内にあるコンピュータからのトラフィックを許可します。

重要事項

  • すべてのトラフィックは、まずファイアウォールルールと照合されてからステートフルインスペクションエンジンで分析されます。トラフィックがファイアウォールルールを通過した場合は、ステートフルインスペクションエンジンによって分析されます (ステートフルインスペクションがファイアウォールステートフル設定で有効になっているものとします)。
  • 許可ルールは暗黙の拒否ルールを含んでいます。許可ルールで指定されていないトラフィックは自動的に破棄されます。このルールには他の種類のフレームのトラフィックが含まれるため、他のフレームの種類の必要なトラフィックを許可するルールを含める必要があります。たとえば、静的ARPテーブルを使用していない場合にはARPトラフィックを許可するルールを忘れずに含める必要があります。
  • UDPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のUDPトラフィックを許可する必要があります。たとえば、UDPステートフルインスペクションがDNSサーバで有効になっている場合に、サーバが受信DNS要求を受け入れるように、強制的に許可ルールをポート53に設定する必要があります。
  • ICMPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のICMPトラフィックを許可する必要があります。たとえば、外部のping要求を許可する場合は、ICMPタイプ3 (エコー要求) を強制的に許可するルールが必要です。
  • 強制的に許可の処理は、同じ優先度のコンテキスト内でのみ切り札として機能します。
  • テスト環境でよく見られるようにDNSまたはWINSサーバが設定されていない場合は、受信のUDPポート137を強制的に許可するルールがNetBIOS (Windows共有) に必要となることがあります。
新しいファイアウォールポリシーのトラブルシューティング時は、まずAgentまたはApplianceClosedThe Deep Securty Agent and Deep Security Virtual Appliance are the components that enforce the Deep Security policies that you have defined. Agents are deployed directly on a computer. Appliances are used in VMware vSphere environments to provide agentless protection. They are not available with Deep Security as a Service.にあるファイアウォールルールのログを確認してください。ファイアウォールルールのログには、拒否されているトラフィックを判断するために必要な情報がすべて含まれており、必要に応じてポリシーをさらに詳細に設定できます。