Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

Deep Securityでのiptablesの使用

Deep Security Agent 10.1以前をLinuxにインストールした場合は、ファイアウォールの競合を避けるために、初期設定でiptablesサービスが無効になっていました (ただし、この変更を防止する設定ファイルが追加されていた場合は例外です)。iptablesサービスはファイアウォール以外にも使用されているため (たとえば、Dockerは通常動作の一貫としてiptablesルールを管理します)、iptablesを無効にすると、悪影響を及ぼすことがありました。

Deep Security 10.2以降 (Deep Security 11を含む) では、iptablesに関連する動作が変更されています。Deep Security Agentによりiptablesが無効化されなくなりました(iptablesが有効な場合は、Agentのインストール後も有効のままです。iptablesが無効な場合は、無効のままです)。ただし、iptablesサービスが実行されている場合、Deep Security Agentが必要です。Deep Security Managerでは、以下に示すように、通信を有効にするために特定のiptablesルールを する必要があります。

Deep Security Managerの実行に必要なルール

Deep Security Managerがインストールされているコンピュータでiptablesが有効な場合に必要なiptablesルールが2つあります。初期設定では、Deep Security Managerの起動時にこれらのルールが追加され、Managerを停止またはアンインストールするとこれらのルールが削除されます。あるいは、Deep Securityによるiptablesルールの自動追加を防ぐ、手動で次のルールを追加することもできます。

  • ポート4119で受信トラフィックを許可します。このルールは、Deep Security ManagerのWeb UIおよびAPIへのアクセスに必要です。
  • ポート4120で受信トラフィックを許可します。このルールは、Agentのハートビートの待機に必要です

これらは初期設定のポート番号です。ポート番号が異なる場合があります。Deep Securityで使用するすべてのポートのリストについては、ポート番号、URL、およびIPアドレスを参照してください。

Deep Security Agentの実行に必要なルール

Deep Security Agentがインストールされているコンピュータでiptablesが有効な場合は、iptablesルールの追加が必要になる場合があります。初期設定では、Deep Security Agentが起動または停止されたときにエージェントが停止またはアンインストールされたときにこれらのルールが適用されます。あるいは、Deep Securityによるiptablesルールの自動追加を防ぐ、手動で次のルールを追加することもできます。

  • ポート4118で受信トラフィックを許可します。このルールは、AgentがManagerからの通信または双方向通信を使用している場合に必要です(詳細については、AgentとManagerの通信を参照してください)。
  • ポート4122で受信トラフィックを許可します。このルールは、AgentがRelayとして機能する場合に、ソフトウェアのアップデートを配信できるようにするために必要です(詳細については、Relayによるセキュリティとソフトウェアのアップデートの配布を参照してください)。

これらは初期設定のポート番号です。ポート番号が異なる場合があります。Deep Securityで使用するすべてのポートのリストについては、ポート番号、URL、およびIPアドレスを参照してください。

Deep Securityによるiptablesルールの自動追加を防ぐ

必要なルールを自動ではなく手動で追加する場合は、Deep Security ManagerとDeep Security Agentによるiptablesの変更を防ぐことができます。iptablesの自動変更を防ぐには、Deep Security ManagerとDeep Security Agentをインストールする予定があるコンピュータ上で次のファイルを作成します。

/etc/do_not_open_ports_on_iptables