目次

ファイアウォールルールの処理と優先度

ファイアウォールルールの処理

ファイアウォールルールでは、次の処理が可能です。

  • 許可: 明示的にルールに一致するトラフィックを通過させ、暗黙的にすべてのトラフィックを拒否します。
  • バイパス: トラフィックがファイアウォールと侵入防御の両方の分析をバイパスできるようにします。この設定は、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィックに対して使用します。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。
  • 拒否: ルールに一致するトラフィックを明示的にブロックします。
  • 強制許可: その他のルールで拒否されるトラフィックを強制的に許可します。

    強制的に許可ルールによって許可されたトラフィックは、引き続き侵入防御モジュールによる分析の対象となります。

  • ログのみ: トラフィックのみがログに記録されます。他の処理は行われません。

許可ルールについて

許可ルールには、次の2つの機能があります。

  1. 明示的に許可されているトラフィックを許可
  2. その他のトラフィックを黙示的に拒否

許可ルールで明示的に許可されていないトラフィックはドロップされ、「許可」ポリシー違反のファイアウォールイベントとして記録されます。

一般的に適用される許可ルールは、次のとおりです。

  • ARP:受信アドレス解決プロトコル(ARP)トラフィックを許可します。
  • Allow solicited TCP/UDP replies:コンピュータが、送信したTCPやUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフル設定と連携します。
  • Allow solicited ICMP replies:コンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフル設定と連携します。

バイパスルールについて

バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。

バイパスルールの条件と一致するパケットは、次のように処理されます。

  • ステートフル設定の条件の対象にならない。
  • ファイアウォールと侵入防御分析の両方をバイパスする。

バイパスされるトラフィックにはステートフルインスペクションが適用されないので、一方向のトラフィックがバイパスされても、逆方向の応答は自動的にはバイパスされません。受信トラフィック用と送信トラフィック用のバイパスルールは、必ずペアで作成および適用する必要があります。

バイパスルールのイベントは記録されません。この動作は変更できません。

Workload Security トラフィックの初期設定のバイパスルール

Workload Security は自動的に優先順位4のバイパスルールを実装します。このルールでは、 エージェントを実行しているコンピュータのハートビート用に、クライアントの待機ポートで受信TCPトラフィックを開きます。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。

ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。このポートでのAgentのセキュリティを強化するには、このポート用に、より厳しいバイパスルールを作成します。エージェントは、次の特性を備えている場合は、新しいカスタムルールに合わせて、初期設定の Workload Security トラフィックルールを実際に無効にします。

  • 優先度: 4 (最高)
  • パケット方向: 受信
  • フレームの種類: IP
  • プロトコル: TCP
  • パケット宛先ポート: Workload Security エージェントの待機ポート番号Workload Security

初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。

強制許可ルールについて

強制的に許可オプションでは、拒否処理の対象となるトラフィックの一部を除外します。他の処理との関係を下に示します。強制的に許可ルールは、バイパスルールと同じ効果があります。ただし、バイパスルールとは異なり、この処理によってファイアウォールを通過するトラフィックは侵入防御モジュールによる監視の対象となります。強制的に許可ルールの処理は、基本的なネットワークサービスがDSAコンピュータとの通信を確保するのに便利です。一般に、[許可]ルールは、[許可]ルールと組み合わせてのみ使用し、[許可]ルールと[拒否]ルールで禁止されているトラフィックのサブセットを許可する必要があります。また、ICMPおよびUDPステートフルが有効になっている際に、未承諾のICMPおよびUDPトラフィックを許可するように強制的に許可ルールを設定する必要があります。

ファイアウォールルールのシーケンス

コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。

受信および送信でファイアウォールルールが適用される順序は次のとおりです。

  1. 優先度4 (最高) のファイアウォールルール
    1. バイパス
    2. ログのみ (ログのみのルールには の優先度4(最高)のみ割り当てることができます)
    3. 強制的に許可
    4. 拒否
  2. 優先度3 (高) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
  3. 優先度2 (標準) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
  4. 優先度1 (低) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
  5. 優先度0 (最低) のファイアウォールルール
    1. バイパス
    2. 強制的に許可
    3. 拒否
    4. Allow 許可ルールには 0 (最低)の優先度のみを割り当てることができます。

コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。

同じ優先度のコンテキスト内で、拒否ルールは許可ルールより優先され、強制的に許可ルールは拒否ルールより優先されます。ルールの優先度システムを使用すると、優先度の高い拒否ルールを作成して、優先度の低い強制許可ルールをオーバーライドできます。

強制的に許可ルールを使用して受信DNSクエリをすべて許可するDNSサーバ用のポリシーを例に考えてみます。強制的に許可ルールよりも優先度の高い拒否ルールを作成し、この公開サーバへのアクセスを禁止する必要がある特定範囲のIPアドレスを指定します。

優先度に基づいたルール設定によって、ルールを適用する順序を設定できます。拒否ルールに最も高い優先度を設定し、同じ優先度の強制的に許可ルールがない場合、拒否ルールに一致するパケットはすべて自動的に破棄されて残りのルールは無視されます。反対に、強制的に許可ルールに最も高い優先度が設定されている場合、強制的に許可ルールに一致する受信パケットは他のルールに対して確認されることなくすべて自動的に許可されます。

ログについて

バイパスルールによってイベントが生成されることはありません。これは設定できません。

ログのみのルールは、問題のパケットが次のいずれかによって停止されない場合にのみイベントを生成します。

  • 拒否ルール
  • それを除外する許可ルール

これら2つのルールのいずれかによってパケットが停止された場合、それらのルールはイベントを生成しますが、ログのみのルールは生成しません。後続のルールでパケットを停止しない場合は、ログのみルールによってイベントが生成されます。

連携するファイアウォールルールについて

Workload Security ファイアウォールルールには、ルール処理とルール優先度の両方があります。この2つのプロパティを同時に使用することによって、非常に柔軟で強力なルール設定を作成できます。他のファイアウォールで使用されるルールセットとは異なり、 Workload Securityファイアウォール ルールは、ルール処理とルール優先順位に基づいて決定的な順序で実行されます。これは、それらが定義または割り当てられている順序に依存しません。

ルール処理

各ルールには、次のいずれかの処理を設定できます。

  1. Bypass: パケットがバイパスルールに一致すると、他のルール (同じ優先度レベル) に関係なく、ファイアウォールと侵入防御エンジンの両方を通過します。
  2. ログのみ:パケットがログのみのルールと一致する場合は が渡され、イベントがログに記録されます。
  3. 強制的に許可: パケットが強制許可ルールに一致した場合、そのルールは他のルール(優先度レベルが同じ)にかかわらずに渡されます。
  4. 拒否: パケットが拒否ルールと一致した場合、パケットは破棄されます。
  5. 許可:パケットが許可ルールに一致する場合は 、それが渡されます。許可ルールのいずれにも一致していないトラフィックはすべて拒否されます。

許可ルールを実装すると、許可ルールに一致しないその他すべてのトラフィックが拒否されます。
許可ルールを示す図

拒否ルールは、特定の種類のトラフィックをブロックする[許可]に対して実装できます。
拒否ルールを示す図

特定の除外を通過させるには、拒否されたトラフィックに対して強制許可ルールを設定できます。
強制的に許可ルールを示す図

ルール優先度

拒否および強制的に許可のルール処理を5つの優先度のいずれかで定義できます。これにより、許可されるトラフィックを許可ルールのセットでさらに細かく定義できます。ルールは、最高 (優先度4) から最低 (優先度0) の順に実行されます。特定の優先度内では、ルール処理 (強制的に許可、拒否、許可、ログのみ) に基づいた順序で処理されます。

優先度のコンテキストによって、ユーザは拒否および強制的に許可の組み合わせを使用してトラフィック管理をさらに詳細に定義することが可能になります。同じ優先度のコンテキスト内では、拒否ルールによって許可ルールを無効にし、また、強制的に許可ルールによって拒否ルールを無効にすることもできます。

許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。

ルール処理およびルール優先度を集約する

ルールは、最高 (優先度4) から最低 (優先度0) の順に実行されます。特定の優先度内では、ルール処理に基づいた順序で処理されます。同じ優先度のルールが処理される順序は次のとおりです。

  • バイパス
  • ログのみ
  • 強制的に許可
  • 拒否
  • 許可

次の点に注意してください。

  • 許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
  • 強制許可ルールと拒否ルールの優先度が同じ場合、強制許可ルールが拒否ルールよりも優先されるため、強制許可ルールに一致するトラフィックが許可されます。