本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
ファイアウォールルールの作成
ファイアウォールルールは、個々のパケットの制御情報を確認し、定義された条件に従ってブロックまたは許可します。ファイアウォールルールは、ポリシー、または直接コンピュータに割り当てることができます。
ここでは、ファイアウォールルールの作成方法を具体的に説明します。ファイアウォールモジュールの設定方法については、Deep Securityファイアウォールの設定を参照してください。
新しいファイアウォールルールを作成するには、次の手順を実行する必要があります。
ファイアウォールルールを作成したら、次の方法も学習できます。
新しいルールを追加する
[ポリシー]→[共通オブジェクト]→[ルール]→[ファイアウォールルール] ページで新しいファイアウォールルールを追加する方法は3つあります。次の手順を実行します。
- 新しいルールを作成します。[新規]→[新規ファイアウォールルール] の順にクリックします。
- XMLファイルからルールをインポートします。[新規]→[ファイルからインポート] をクリックします。
- 既存のルールをコピーして変更します。[ファイアウォールルール] リストで、該当のルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、そのルールを選択し、[プロパティ] をクリックします。
ルールの動作とプロトコルを選択する
-
ルールの [名前] と [説明] を入力します。
ファイアウォールルールへの変更をそのルールの [説明] フィールドに記録することを推奨します。ファイアウォールのメンテナンスを簡単にするため、ルールを作成または削除した日付とその理由を記録してください。
-
ルールがパケットに対して実行する [処理] を選択します。次の5つの処理のいずれかを選択できます。
1つのパケットに適用されるのは、1つのルール処理だけです。同じ優先度のルールが複数ある場合は、下記の優先順序で適用されます。-
トラフィックにファイアウォールのバイパスを許可できます。バイパスルールにより、トラフィックはファイアウォールと侵入防御エンジンを可能な限り早く通過できます。バイパスルールは、フィルタリングを望まないマルチメディア系プロトコルを使用するトラフィックや、信頼済みソースからのトラフィックに対して使用します。
ポリシーで信頼済みソース用のバイパスルールを作成して使用する方法の例については、信頼済みトラフィックに対するファイアウォールのバイパス許可を参照してください。
バイパスルールは単一方向です。トラフィックの各方向に対して明確なルールが必要です。
次の設定を使用して、バイパスルールで最大のスループットパフォーマンスを達成できます。- 優先度: 最高
- フレームの種類: IP
- プロトコル:TCP、UDP、またはその他のIPプロトコル (「任意」オプションは使用しないでください)
- 送信元および送信先のIPおよびMAC: すべて「任意」
- プロトコルがTCPまたはUDPでトラフィックの方向が「受信」の場合は、送信先ポートを「任意」ではなく1つ以上指定する必要があり、送信元ポートを「任意」にする必要があります。
- プロトコルがTCPまたはUDPでトラフィックの方向が「送信」の場合は、送信元ポートを「任意」ではなく1つ以上指定する必要があり、送信先ポートを「任意」にする必要があります。
- スケジュール: なし
- ログ記録のみが可能です。この処理では、ログにエントリは作成されますが、トラフィックは処理されません。
- 定義済みのトラフィックを強制的に許可できます (他のトラフィックを除外することなく、このルールによって定義されたトラフィックを許可できます)。
- トラフィックの拒否が可能です (このルールによって定義されたトラフィックを拒否します)。
- トラフィックの許可が可能です (このフィルタによって定義されたトラフィックを例外的に許可します)。
コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。 -
-
ルールの [優先度] を選択します。優先度により、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」、または「バイパス」を選択した場合は、0 (最低) から4 (最高) の優先度を設定できます。優先度を設定すると、ルール処理を組み合わせて、階層型のルール効果を実現できます。
ログのみルールでの優先度は4のみ設定でき、許可ルールでは0のみが設定できます。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。たとえば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。処理と優先度の関係の詳細については、ファイアウォールルールの処理と優先度を参照してください。
-
[パケットの方向] を選択します。このルールを受信 (ネットワークからコンピュータ) または送信 (コンピュータからネットワーク) トラフィックのどちらに適用するかを選択します。
個々のファイアウォールルールは、単一のトラフィック方向にのみ適用されます。特定の種類のトラフィックに対しては、受信および送信ファイアウォールルールをペアで作成する必要があります。 -
イーサネットの [フレームの種類] を選択します。「フレーム」とはイーサネットフレームを指し、フレームで送信されるデータは、使用可能なプロトコルによって指定されます。フレームの種類として「その他」を選択する場合は、フレーム番号を指定する必要があります。
-
[IP] は、IPv4とIPv6両方をサポートしています。[IPv4] または [IPv6] を個別に選択することもできます。LinuxのAgentは、フレームの種類がIPまたはARPのパケットのみ確認します。その他のフレームの種類のパケットは許可されます。Virtual Applianceにはこのような制限事項はありません。保護する仮想マシンのOSに関係なく、すべてのフレームの種類を確認できます。
フレームの種類としてインターネットプロトコル (IP) を選択した場合は、トランスポートの [プロトコル] を選択する必要があります。プロトコルとして「その他」を選択する場合は、プロトコル番号も指定する必要があります。
パケットの送信元と送信先を選択する
[IP] アドレスと [MAC] アドレスの組み合わせを選択し、フレームの種類で使用できる場合は、パケット送信元およびパケット送信先の [ポート] および [指定フラグ] を選択します。
以前に作成したIP、MAC、またはポートリストを使用できます。
サポートされているIPベースのフレームの種類は次のとおりです。
IP | MAC | ポート | フラグ | |
任意 | ✔ | ✔ | ||
ICMP | ✔ | ✔ | ✔ | |
ICMPV6 | ✔ | ✔ | ✔ | |
IGMP | ✔ | ✔ | ||
GGP | ✔ | ✔ | ||
TCP | ✔ | ✔ | ✔ | ✔ |
PUP | ✔ | ✔ | ||
UDP | ✔ | ✔ | ✔ | |
IDP |
✔ | ✔ | ||
ND | ✔ | ✔ | ||
RAW | ✔ | ✔ | ||
TCP+UDP | ✔ | ✔ | ✔ | ✔ |
ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。
[任意のフラグ] を選択することも、以下のフラグを個別に選択することもできます。
- URG
- ACK
- PSH
- RST
- SYN
- FIN
ルールイベントとアラートを設定する
ファイアウォールルールがトリガされると、Deep Security Managerでイベントがログに記録され、パケットデータが記録されます。
アラート
イベントのログを記録した場合に、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。
ルールのスケジュールを設定する
予約された時間のみファイアウォールルールを有効化するかどうかを選択します。
その方法の詳細については、ルールに適用するスケジュールの定義を参照してください。
ルールにコンテキストを割り当てる
ルールコンテキストを使用すると、さまざまなネットワーク環境に独自のファイアウォールルールを設定できます。コンテキストは一般的に、オンサイトとオフサイトのノートパソコンで異なるルールを有効にするために使用されます。
コンテキストの作成方法については、ポリシーで使用するコンテキストの定義を参照してください。
ルールが割り当てられているポリシーとコンピュータを確認する
ファイアウォールルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。
ルールをエクスポートする
すべてのファイアウォールルールを、.csvまたは.xmlファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のルールを選択し、[エクスポート] をクリックして、リストから該当するエクスポート処理を選択すると、特定のルールをエクスポートすることもできます。
ルールを削除する
ルールを削除するには、[ファイアウォールルール] リストで該当のルールを右クリックしてから、[削除]→[OK] の順にクリックします。