目次
このページのトピック
ファイアウォールルールの処理
許可ルール
バイパスルール
Workload Security トラフィックの初期設定のバイパスルール
強制的に許可ルール
ファイアウォールルールのシーケンス
ログ出力
ファイアウォールルールの連携
ルール処理
ルール優先度
ルール処理およびルール優先度を集約する

ファイアウォールルールの処理と優先度

ファイアウォールルールの処理

ファイアウォールルールでは、次の処理が可能です。

  • 許可: 明示的にルールに一致するトラフィックを通過させ、暗黙的にすべてのトラフィックを拒否します。
  • バイパス: トラフィックがファイアウォールと侵入防御の両方の分析をバイパスできるようにします。この設定は、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィックに対して使用します。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。
  • 拒否: ルールに一致するトラフィックを明示的にブロックします。

  • 強制許可: その他のルールで拒否されるトラフィックを強制的に許可します。

    強制的に許可ルールによって許可されたトラフィックは、引き続き侵入防御モジュールによる分析の対象となります。

  • ログのみ: トラフィックのみがログに記録されます。他の処理は行われません。

許可ルール

許可ルールには、次の2つの機能があります。

  1. 明示的に許可されているトラフィックを許可
  2. その他のトラフィックを黙示的に拒否

許可ルールで明示的に許可されていないトラフィックは破棄され、ポリシーで未許可のファイアウォールイベントとして記録されます。

一般的に適用される許可ルールは、次のとおりです。

  • ARP:受信アドレス解決プロトコル(ARP)トラフィックを許可します。
  • Allow solicited TCP/UDP replies:コンピュータが、送信したTCPやUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフル設定と連携します。
  • Allow solicited ICMP replies:コンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフル設定と連携します。

バイパスルール

バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。

バイパスルールの条件と一致するパケットは、次のように処理されます。

  • ステートフル設定の条件の対象にならない。
  • ファイアウォールと侵入防御分析の両方をバイパスする。

バイパスされるトラフィックにはステートフルインスペクションが適用されないので、一方向のトラフィックがバイパスされても、逆方向の応答は自動的にはバイパスされません。受信トラフィック用と送信トラフィック用のバイパスルールは、必ずペアで作成および適用する必要があります。

バイパスルールのイベントは記録されません。この動作は変更できません。

Workload Security トラフィックの初期設定のバイパスルール

Workload Security は自動的に優先順位4のバイパスルールを実装します。このルールでは、 エージェントを実行しているコンピュータのハートビート用に、クライアントの待機ポートで受信TCPトラフィックを開きます。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。

ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。このポートでのAgentのセキュリティを強化するには、このポート用に、より厳しいバイパスルールを作成します。エージェントは、次の特性を備えている場合は、新しいカスタムルールに合わせて、初期設定の Workload Security トラフィックルールを実際に無効にします。

  • 優先度: 4 - 最高
  • パケットの方向: 受信
  • フレームタイプ: IP
  • プロトコル: TCP
  • パケット宛先ポート: Workload Security からのハートビートを受信するエージェントのリスニングポート番号

初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。

強制的に許可ルール

強制的に許可オプションでは、拒否処理の対象となるトラフィックの一部を除外します。他の処理との関係を下に示します。強制的に許可ルールは、バイパスルールと同じ効果があります。ただし、バイパスルールとは異なり、この処理によってファイアウォールを通過するトラフィックは侵入防御モジュールによる監視の対象となります。強制的に許可ルールの処理は、基本的なネットワークサービスがDSAコンピュータとの通信を確保するのに便利です。一般に、[許可]ルールは、[許可]ルールと組み合わせてのみ使用し、[許可]ルールと[拒否]ルールで禁止されているトラフィックのサブセットを許可する必要があります。また、ICMPおよびUDPステートフルが有効になっている際に、未承諾のICMPおよびUDPトラフィックを許可するように強制的に許可ルールを設定する必要があります。

ファイアウォールルールのシーケンス

コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。

次の順序でファイアウォールルールが適用されます (受信および送信):

  1. 優先度4 (最高) のファイアウォールルール
    1. バイパス
    2. ログ記録のみ: ログ記録のみルールは優先度4 (最高) にのみ割り当て可能
    3. 強制的に許可
    4. 拒否
  2. 優先度3 (高) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
  3. 優先度2 (標準) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
  4. 優先度1 (低) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
  5. 優先度0 (最低) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
    4. 許可: このルールには0 (最低)の優先度しか割り当てられません

コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。

同じ優先度のコンテキスト内で、拒否ルールは許可ルールより優先され、強制的に許可ルールは拒否ルールより優先されます。ルールの優先度システムを使用すると、優先度の高い拒否ルールを作成して、優先度の低い強制許可ルールをオーバーライドできます。

強制的に許可ルールを使用して受信DNSクエリをすべて許可するDNSサーバ用のポリシーを例に考えてみます。強制的に許可ルールよりも優先度の高い拒否ルールを作成し、この公開サーバへのアクセスを禁止する必要がある特定範囲のIPアドレスを指定します。

優先度ベースのルールセットを使用すると、ルールが適用される順序を設定できます。最優先の拒否ルールが設定されており、同じ優先度の強制許可ルールがない場合、拒否ルールに一致するパケットは自動的に破棄され、残りのルールは無視されます。逆に、最優先の強制許可ルールが存在する場合、強制許可ルールに一致するすべての受信パケットは、他のルールと照合されることなく自動的に許可されます。

ログ出力

バイパスルールによってイベントが生成されることはありません。これは設定できません。

ログのみルールは、対象のパケットが、次のいずれかのルールによって、それ以降に停止されない場合にのみイベントを生成します

  • 拒否ルール
  • それを除外する許可ルール

これら2つのルールのいずれかによってパケットが停止された場合、それらのルールはイベントを生成しますが、ログのみのルールは生成しません。後続のルールでパケットを停止しない場合は、ログのみルールによってイベントが生成されます。

ファイアウォールルールの連携

Workload Security ファイアウォールルールには、ルール処理とルール優先度の両方があります。この2つのプロパティを同時に使用することによって、非常に柔軟で強力なルール設定を作成できます。他のファイアウォールで使用されるルールセットとは異なり、 Workload Securityファイアウォール ルールは、ルール処理とルール優先順位に基づいて決定的な順序で実行されます。これは、それらが定義または割り当てられている順序に依存しません。

ルール処理

各ルールには、次のいずれかの処理を設定できます。

  1. バイパス: パケットがバイパスルールに一致した場合は、同じ優先度の他のルールにかかわらずファイアウォールと侵入防御エンジンを通過します。
  2. ログ記録のみ: パケットがログ記録のみルールに一致した場合は、通過してイベントがログ記録されます。
  3. 強制許可: パケットが強制的に許可ルールに一致した場合は、同じ優先度の他のルールにかかわらず通過します。
  4. 拒否: パケットが拒否ルールに一致した場合は、破棄されます。
  5. 許可: パケットが許可ルールに一致する場合、そのパケットは通過します。許可ルールのいずれにも一致しないトラフィックは拒否されます。

許可ルールを実装すると、許可ルールで特にカバーされていないすべての他のトラフィックが拒否されます:
許可ルールを示す図

拒否ルールは、特定の種類のトラフィックをブロックする[許可]に対して実装できます。
拒否ルールを示す図

特定の除外を通過させるには、拒否されたトラフィックに対して強制許可ルールを設定できます。
強制的に許可ルールを示す図

ルール優先度

拒否および強制許可のタイプのルールアクションは、許可ルールのセットによって定義された許可されたトラフィックをさらに精緻化するために、5つの優先順位のいずれかで定義できます。ルールは、最高 (優先順位4) から最低 (優先順位0) までの優先順位順に実行されます。特定の優先順位レベル内では、ルールアクション (強制許可、拒否、許可、ログのみ) に基づいてルールが順番に処理されます。

優先度のコンテキストによって、ユーザは拒否および強制的に許可の組み合わせを使用してトラフィック管理をさらに詳細に定義することが可能になります。同じ優先度のコンテキスト内では、拒否ルールによって許可ルールを無効にし、また、強制的に許可ルールによって拒否ルールを無効にすることもできます。

許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。

ルール処理およびルール優先度を集約する

ルールは、最も高い優先度 (優先度4) から最も低い優先度 (優先度0) までの順に実行されます。特定の優先度レベル内では、ルールはルールアクションに基づいて順番に処理されます。同じ優先度のルールが処理される順序は次のとおりです:

  • バイパス
  • ログのみ
  • 強制的に許可
  • 拒否
  • 許可

次の点に注意してください。

  • 許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
  • 強制許可ルールと拒否ルールの優先度が同じ場合、強制許可ルールが拒否ルールよりも優先されるため、強制許可ルールに一致するトラフィックが許可されます。