Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

ファイアウォールルールの処理と優先度

このトピックの内容:

ファイアウォールルールの処理

ファイアウォールルールでは、次の処理が可能です。

  • 許可: ルールと一致するトラフィックの通過を明示的に許可し、その他のトラフィックは黙示的に拒否します。
  • バイパス: ファイアウォールと侵入防御分析の両方のバイパスをトラフィックに許可します。この設定は、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィックに対して使用します。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。
  • 拒否: ルールと一致するトラフィックを明示的にブロックします。
  • 強制的に許可: 他のルールで拒否されるトラフィックを強制的に許可します。
    強制的に許可ルールで許可されるトラフィックは、侵入防御モジュールによる分析の対象となります。
  • ログ記録のみ: トラフィックはログに記録されるだけです。その他の処理は実行されません。

許可ルールの詳細

許可ルールには、次の2つの機能があります。

  1. 明示的に許可されているトラフィックを許可
  2. その他のトラフィックを黙示的に拒否
許可ルールで明示的に許可されていないトラフィックは破棄され、「ポリシーで未許可」のファイアウォールイベントとして記録されます。

一般的に適用される許可ルールは、次のとおりです。

  • ARP:受信ARPトラフィックを許可します。
  • Allow solicited TCP/UDP replies:ホストコンピュータが、送信したTCPやUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフル設定と連携します。
  • Allow solicited ICMP replies:ホストコンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフル設定と連携します。

バイパスルールの詳細

バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。

バイパスルールの条件と一致するパケットは、次のように処理されます。

  • ステートフル設定の条件の対象にならない。
  • ファイアウォールと侵入防御分析の両方をバイパスする。

バイパスされるトラフィックにはステートフルインスペクションが適用されないので、一方向のトラフィックがバイパスされても、逆方向の応答は自動的にはバイパスされません。受信トラフィック用と送信トラフィック用のバイパスルールは、必ずペアで作成および適用する必要があります。

バイパスルールのイベントは記録されません。この動作は変更できません。
Deep Security Managerで、Deep Security Agentによって保護されているリモートデータベースを使用した場合、Deep Security Managerによって侵入防御ルールがデータベースに保存されるときに、侵入防御に関連するアラームが誤って発生する可能性があります。これは、ルール自体の内容が誤って攻撃と認識されることが原因です。この問題を回避するには、Deep Security Managerからデータベースホストへのトラフィックに対してバイパスルールを作成します。
バイパスルールを割り当てることで、該当の通信に対してはファイアウォールおよび侵入防御による保護が行われなくなります。通信のパフォーマンスが低下することが業務に与えるリスクと、該当の通信に対して保護が行われなくなるリスクを評価し、通信のパフォーマンスを優先することが必要と判断した場合にご使用ください。

Deep Security Managerのトラフィックに関するバイパスルールの初期設定

Deep Security Managerは、Agentのハートビートの待機ポート上で受信TCPトラフィックを許可する優先度4のバイパスルールを、Deep Security Agentを実行しているコンピュータに自動的に実装します (ハートビートを設定するを参照してください)。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。

ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。このポートでのAgentのセキュリティを強化するには、このポート用に、より厳しいバイパスルールを作成します。新しいカスタムルールを次のように設定すれば、Agentでは初期設定のDeep Security Managerトラフィックルールよりもカスタムルールが優先されます。

  • 優先度:4 (最高)
  • パケット方向: 受信
  • フレームの種類:IP
  • プロトコル: TCP
  • パケット送信先ポート: Managerからのハートビートを待機するAgentのポート番号

初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。ルールのパケット送信元として、実際のDeep Security ManagerのIPアドレスまたはMACアドレスを使用するのが理想です。

強制的に許可ルールの詳細

強制的に許可オプションでは、拒否処理の対象となるトラフィックの一部を除外します。他の処理との関係を下に示します。強制的に許可ルールは、バイパスルールと同じ効果があります。ただし、バイパスルールとは異なり、この処理によってファイアウォールを通過するトラフィックは侵入防御モジュールによる監視の対象となります。強制的に許可ルールの処理は、基本的なネットワークサービスがDSAコンピュータとの通信を確保するのに便利です。一般に、強制的に許可ルールは、許可ルールと一緒に使用して、許可および拒否ルールで禁止されているトラフィックの一部を許可します。また、ICMPおよびUDPステートフルが有効になっている際に、未承諾のICMPおよびUDPトラフィックを許可するように強制的に許可ルールを設定する必要があります。

複数ノード構成で複数のDeep Security Managerを使用する場合は、それらのサーバのIPリストを定義し、そのリストを使用してDeep Security Managerトラフィックのカスタムルールを作成すると便利です。

ファイアウォールルールのシーケンス

コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。

受信および送信でファイアウォールルールが適用される順序は次のとおりです。

  1. 優先度4 (最高) のファイアウォールルール
    1. バイパス
    2. ログ記録のみ (ログ記録のみルールは優先度4 (最高) にのみ割り当て可能)
    3. 強制的に許可
    4. 拒否
  2. 優先度3 (高) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否 (ログに記録)
  3. 優先度2 (標準) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否 (ログに記録)
  4. 優先度1 (低) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否 (ログに記録)
  5. 優先度0 (最低) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否 (ログに記録)
    4. 許可 (許可ルールは優先度0 (最低) にのみ割り当て可能)
コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。

同じ優先度のコンテキスト内では、拒否ルールが許可ルールをオーバーライドし、強制的に許可ルールが拒否ルールをオーバーライドします。ルールの優先度システムを使用すると、優先度の低い強制的に許可ルールを、優先度の高い拒否ルールでオーバーライドできます。

強制的に許可ルールを使用して受信DNSクエリをすべて許可するDNSサーバ用のポリシーを例に考えてみます。強制的に許可ルールよりも優先度の高い拒否ルールを作成し、この公開サーバへのアクセスを禁止する必要がある特定範囲のIPアドレスを指定します。

優先度に基づいたルール設定によって、ルールを適用する順序を設定できます。拒否ルールに最も高い優先度を設定し、同じ優先度の強制的に許可ルールがない場合、拒否ルールに一致するパケットはすべて自動的に破棄されて残りのルールは無視されます。反対に、強制的に許可ルールに最も高い優先度が設定されている場合、強制的に許可ルールに一致する受信パケットは他のルールに対して確認されることなくすべて自動的に許可されます。

ログに関する注意

バイパスルールはイベントを生成しません。この設定は変更できません。

ログのみルールは、対象のパケットが、次のいずれかのルールによって、それ以降に停止されない場合にのみイベントを生成します。

  • 拒否ルール
  • そのパケットを除外する許可ルール

この2つのルールのいずれかがパケットを停止する場合は、ログのみルールではなくこれらのルールによって、イベントが生成されます。以降のルールでパケットを停止しない場合は、ログのみルールがエントリを生成します。

各ファイアウォールルールの関係

Deep Securityファイアウォールルールには、ルール処理とルール優先度があります。この2つのプロパティを同時に使用することによって、非常に柔軟で強力なルール設定を作成できます。他のファイアウォールで使用されているルール設定では実行順にルールを定義する必要がありますが、それとは異なり、Deep Securityファイアウォールルールは、ルール処理とルール優先度に基づいて決定論的な順序で実行されます。これは、定義された順序や割り当てられた順序とは無関係です。

ルール処理

各ルールには、以下の5つのルール処理のいずれかを設定できます。

  1. バイパス: パケットがバイパスルールに一致した場合は、同じ優先度の他のルールにかかわらずファイアウォールと侵入防御エンジンを通過します。
  2. ログ記録のみ: パケットがログ記録のみルールに一致した場合は、通過してイベントがログ記録されます。
  3. 強制的に許可: パケットが強制的に許可ルールに一致した場合は、同じ優先度の他のルールにかかわらず通過します。
  4. 拒否: パケットが拒否ルールに一致した場合は、破棄されます。
  5. 許可: パケットが許可ルールに一致した場合は、通過します。許可ルールのいずれにも一致していないトラフィックはすべて拒否されます。

許可ルールを実装すると、許可ルールに一致しないその他すべてのトラフィックが拒否されます。

拒否ルールを許可ルールに優先して適用すると、特定の種類のトラフィックをブロックすることができます。


強制的に許可ルールを拒否トラフィックに適用すると、例外のみ通過させることができます。

ルール優先度

拒否および強制的に許可のルール処理を5つの優先度のいずれかで定義できます。これにより、許可されるトラフィックを許可ルールのセットでさらに細かく定義できます。ルールは、最高 (優先度4) から最低 (優先度0) の順に実行されます。特定の優先度内では、ルール処理 (強制的に許可、拒否、許可、ログのみ) に基づいた順序で処理されます。

優先度のコンテキストによって、ユーザは拒否および強制的に許可の組み合わせを使用してトラフィック管理をさらに詳細に定義することが可能になります。同じ優先度のコンテキスト内では、拒否ルールによって許可ルールを無効にし、また、強制的に許可ルールによって拒否ルールを無効にすることもできます。

許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。

ルール処理およびルール優先度を集約する

ルールは、最高 (優先度4) から最低 (優先度0) の順に実行されます。特定の優先度内では、ルール処理に基づいた順序で処理されます。同じ優先度のルールが処理される順序は次のとおりです。

  • バイパス
  • ログのみ
  • 強制的に許可
  • 拒否
  • 許可
許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
強制的に許可ルールと拒否ルールが同等の優先度の場合、強制的に許可ルールが拒否ルールよりも優先されるので、強制的に許可ルールと一致するトラフィックが許可されます。