本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

ファイアウォールの設定

[ファイアウォール] モジュールは、双方向のステートフルなファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。

コンピュータエディタとポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [ファイアウォール] セクションには、タブで区切られた次のセクションがあります。

一般

ファイアウォール

ファイアウォールのオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

ファイアウォールステートフル設定

このポリシーに適用するファイアウォールステートフル設定を選択します。上記のポリシーに対して複数のインタフェースを定義した場合は、各インタフェースに対して個別に設定することができます。ステートフル設定作成の詳細については、ステートフルファイアウォールの設定の定義を参照してください。

ポート検索 (コンピュータエディタのみ)

前回のポートの検索: Deep Security Managerがこのコンピュータ上で前回ポート検索を実行した日時。

検索されたポート: 直近のポート検索で検索されたポート。

オープンポート: ローカルコンピュータのIPアドレスの下に、オープンポートのリストが表示されます。

[オープンポートの検索] ボタンと [ポート検索のキャンセル] ボタンを使用して、このコンピュータのポート検索を開始またはキャンセルできます。Deep Security Managerは、コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [設定]→[一般]→[オープンポート]→[検索するポート] で指定したポートの範囲を検索します。

また、検索対象として設定したポートの他に、AgentまたはApplianceがDeep Security Managerからのハートビート接続を待機するポート番号も検索します。

割り当てられたファイアウォールルール

このポリシーまたはコンピュータで有効になっているファイアウォールルールを表示します。ファイアウォールルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。使用可能なすべてのファイアウォールルールが表示され、ルールを選択したり選択を解除したりできます。

コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。画面では、ファイアウォールルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。

ルールをローカルに編集するには、ルールを右クリックして [プロパティ] をクリックします。

ルールをグローバルに編集するには、ルールを右クリックして [プロパティ (グローバル)] をクリックします。

ファイアウォールルール作成については、ファイアウォールルールの作成を参照してください。

インタフェース制限

インタフェース制限

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

インタフェース制限を有効にする前に、インタフェースパターンを適切な順序で設定し、必要な文字列パターンをすべて追加し、不要なパターンは削除してください。優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

インタフェースパターン

インタフェース制限が有効な場合、ファイアウォールでは、ローカルコンピュータのインタフェース名が、正規表現パターンと照合されます。

Deep Securityは、POSIX基本正規表現を使用してインタフェース名を照合します。基本的なPOSIX正規表現の詳細については、
https://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap09.html#tag_09_03を参照してください。

優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

[1つのアクティブインタフェースに制限] を選択すると、優先度が最も高いパターンのインタフェースが複数見つかった場合でも、1つのインタフェースからのトラフィックのみ許可されます。

攻撃の予兆

攻撃の予兆検索

[攻撃の予兆] 画面では、コンピュータのトラフィック分析を有効にして設定することができます。この機能により、標的型攻撃の前段階として脆弱性を見つけるために使用されることの多い「予兆」を特検出することができます。

Reconnaissance 検索は、TAPモードでは機能しません。Reconnaissance 検索は、IPv4トラフィックでしか検出できません。

  • 攻撃の予兆の検出の有効化: 攻撃の予兆の検出のオン/オフを切り替えできます。
  • 検出を実行するコンピュータ/ネットワーク: 保護するIPをリストから選択します。既存のIPリストから選択します(このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)。
  • 検出を実行しないIPリスト: 無視するコンピュータとネットワークをIPリストセットから選択します(上で述べたように、このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)。
攻撃の予兆の保護を有効にする場合は、コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。[ファイアウォール]→[一般] タブで、ファイアウォールおよびステートフルインスペクションも有効にする必要があります。また、コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。[ファイアウォール]→[詳細] タブで、[「ポリシーの許可外」のパケットのファイアウォールイベントを生成] 設定も有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されるようになります。

攻撃の種類ごとに、Deep Security Managerに情報を送信するようAgentまたはApplianceClosedDeep Security AgentとDeep Security Virtual Applianceは、ユーザが定義したDeep Securityポリシーを適用するためのコンポーネントです。 Agentはコンピュータに直接インストールされ、 ApplianceはAgentレスの保護を提供するためにVMware vSphere環境で使用されます。どちらもDeep Security as a Serviceでは使用できません。を設定し、Managerでアラートをトリガできます。また、アラートのトリガ時にメール通知を送信するようにDeep Security Managerを設定できます([管理]→[システム設定]→[アラート] を参照してください。アラートは、「ネットワークまたはポートの検索」、「OSのフィンガープリント調査」、「TCP Null検索」、「TCP SYNFIN検索」、および「TCP Xmas検索」です)。このオプションには [DSMにただちに通知] を選択してください。

攻撃が検出されると、一時的に送信元IPからのトラフィックをAgentおよびApplianceでブロックするように設定できます。[トラフィックのブロック] リストを使用して分数を設定します。

  • OSのフィンガープリント調査: AgentまたはApplianceは、コンピュータOSを検出しようとする動作を検出します。
  • ネットワークまたはポートの検索: AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
  • TCP Null検索: AgentまたはApplianceはフラグが付いていないパッケージを検出します。
  • TCP SYNFIN検索: AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。
  • TCP Xmas検索: AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。
「ネットワークまたはポートの検索」は、他の攻撃の予兆と違って単一のパケットでは確認できず、Deep Securityでトラフィックを一定期間監視する必要があります。
AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、コンピュータまたはポート検索をレポートします。ポートスキャンがはるかに検出されたプローブの最も一般的なタイプですので、通常はエージェントまたはアプライアンスのコンピュータは、自身宛てのトラフィックが表示されます。ただし、コンピュータがルータまたはブリッジとして動作している場合は、多数の他のコンピュータ宛てのトラフィックを監視して、AgentまたはApplianceがコンピュータ検索 (サブネット全体でポート80が開いているコンピュータを検索するなど) を検出できます。
こうした検索を検出するには数分かかります。これは、AgentまたはApplianceが接続の失敗を追跡して、比較的短い期間に単一のコンピュータからの異常な数の接続の失敗があることを確認する必要があるためです。
Windowsコンピュータでブラウザアプリケーションを使用してDeep Security Agentを実行している場合、切断された接続からの残存トラフィックが原因で、攻撃予兆の誤検索 (偽陽性) が報告されることがあります。

攻撃の予兆警告に対応する方法の詳細については、警告: 攻撃の予兆の検出を参照してください。

詳細

イベント

「ポリシーで未許可」のパケットに対して、イベントを生成するかどうかを設定します。これらは、[許可] ファイアウォールルールで明確に許可されていないため、ブロックされているパケットです。このオプションを [はい] に設定すると、有効なファイアウォールルールに応じて、大量のイベントが生成される場合があります。

イベント

ファイアウォールイベントは、Deep Security Managerのメイン画面と同じように表示されますが、表示される内容はこのポリシーまたは特定のコンピュータに関するイベントのみです。