Deep Securityでの脆弱性管理検索トラフィックのバイパス

(PCI準拠等の目的で) QualysやNessusなどの脆弱性管理プロバイダを使用している場合、このプロバイダの検索トラフィックをバイパスし、そのまま許可するようにDeep Securityを設定する必要があります。

これらのファイアウォールルールを新規ポリシーに割り当てると、Deep Security ManagerはIPリストに追加したIPからのトラフィックをすべて無視します。

Deep Securityは、脆弱性管理プロバイダのトラフィックについては、ステートフルの問題または脆弱性の有無を検索せず、そのまま許可します。

脆弱性検索プロバイダのIP範囲またはアドレスから新しいIPリストを作成する

脆弱性検索プロバイダから受け取ったIPアドレスを手元に用意します。

  1. Deep Security Managerで、[ポリシー] に進みます。
  2. 左側の画面で [リスト][IPリスト] の順に展開します。
  3. [新規][新規IPリスト] の順にクリックします。
  4. 「Qualys IP list」など、新規IPリストの [名前] を入力します。
  5. 脆弱性管理プロバイダから受け取ったIPアドレスを、1行に1つずつ [IP] ボックスに貼り付けます。
  6. [OK] をクリックします。

受信および送信検索トラフィック用のファイアウォールルールを作成する

IPリストの作成後、受信トラフィック用と送信トラフィック用の2つのファイアウォールルールを作成する必要があります。

それぞれ、次のように名前を付けます。
<プロバイダ名> Vulnerability Traffic - Incoming



<プロバイダ名> Vulnerability Traffic - Outgoing

  1. メインメニューで [ポリシー] をクリックします。
  2. 左側の画面で [ルール] を展開します。
  3. [ファイアウォールルール][新規][新規ファイアウォールルール] の順にクリックします。
  4. 脆弱性管理プロバイダとの間で送受信するTCPおよびUDP接続の受信および送信をバイパスする、最初のルールを作成します。

    ヒント: 以下に記載しない設定については、初期設定のままにします。

    名前: (推奨) <プロバイダ名>Vulnerability Traffic – Incoming

    処理: バイパス

    プロトコル: 任意

    パケット送信元: [IPリスト] を選択し、前の手順で作成した新しいIPリストを指定します。
  5. 2番目のルールを作成します。

    名前:<プロバイダ名> Vulnerability Traffic – Outgoing

    処理:バイパス

    プロトコル: 任意

    パケット送信先: [IPリスト] を選択し、前の手順で作成した新しいIPリストを指定します。

コンピュータでファイアウォールルールを機能させるには、ファイアウォールの 設定 を「オン」または「継承(オン)」に設定する必要があります([コンピュータ]→[ファイアウォール]→[一般])。ファイアウォールルールがポリシーで機能するようにするには、 ファイアウォール状態 を「オン」に設定する必要があります([ポリシー]→[ファイアウォール]→[一般])。

新規ファイアウォールルールをポリシーに割り当てて、脆弱性検索をバイパスする

脆弱性管理プロバイダによって検索されるコンピュータですでに使用されているポリシーを特定します。

ポリシーを個別に編集し、ファイアウォールモジュールでルールを割り当てます。

  1. メインメニューで [ポリシー] をクリックします。
  2. 左側の画面で [ポリシー] をクリックします。
  3. 右側の画面で、各ポリシーをダブルクリックしてポリシー詳細を開きます。
  4. 左側の画面のポップアップで [ファイアウォール] をクリックします。
  5. [割り当てられたファイアウォールルール][割り当て/割り当て解除] をクリックします。
  6. 左上のリストにすべてのファイアウォールルールが表示されていることを確認します。
  7. 検索ウィンドウを使用し、作成したルールを探して選択します。
  8. [OK] をクリックします。