このページのトピック
ファイアウォールルールの処理と優先度
ファイアウォールルールの処理
ファイアウォールルールでは、次の処理が可能です。
- 許可: 明示的にルールに一致するトラフィックを通過させ、暗黙的にすべてのトラフィックを拒否します。
- バイパス: トラフィックがファイアウォールと侵入防御の両方の分析をバイパスできるようにします。この設定は、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィックに対して使用します。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。
- 拒否: ルールに一致するトラフィックを明示的にブロックします。
-
強制許可: その他のルールで拒否されるトラフィックを強制的に許可します。
強制的に許可ルールで許可されるトラフィックは、侵入防御モジュールによる分析の対象となります。
-
ログのみ: トラフィックはログに記録されません。その他の処理は実行されません。
許可ルールの詳細
許可ルールには、次の2つの機能があります。
- 明示的に許可されているトラフィックを許可
- その他のトラフィックを黙示的に拒否
許可ルールで明示的に許可されていないトラフィックは破棄され、「ポリシーで未許可」のファイアウォールイベントとして記録されます。
一般的に適用される許可ルールは、次のとおりです。
- ARP:受信アドレス解決プロトコル(ARP)トラフィックを許可します。
- Allow solicited TCP/UDP replies:コンピュータが、送信したTCPやUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフル設定と連携します。
- Allow solicited ICMP replies:コンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフル設定と連携します。
バイパスルールの詳細
バイパスルールは、ネットワーク負荷の高いプロトコルや信頼済みソースからのトラフィック対象に設計されています。ファイアウォールや侵入防御モジュールによるフィルタリングが必要とされず、望まれてもいないためです。
バイパスルールの条件と一致するパケットは、次のように処理されます。
- ステートフル設定の条件の対象にならない。
- ファイアウォールと侵入防御分析の両方をバイパスする。
バイパスされるトラフィックにはステートフルインスペクションが適用されないので、一方向のトラフィックがバイパスされても、逆方向の応答は自動的にはバイパスされません。受信トラフィック用と送信トラフィック用のバイパスルールは、必ずペアで作成および適用する必要があります。
バイパスルールのイベントは記録されません。この動作は変更できません。
Workload Security トラフィックの初期設定のバイパスルール
Workload Security は自動的に優先順位4のバイパスルールを実装します。このルールでは、 エージェントを実行しているコンピュータのハートビート用に、クライアントの待機ポートで受信TCPトラフィックを開きます。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。
ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。このポートでのAgentのセキュリティを強化するには、このポート用に、より厳しいバイパスルールを作成します。エージェントは、次の特性を備えている場合は、新しいカスタムルールに合わせて、初期設定の Workload Security トラフィックルールを実際に無効にします。
- 優先度: 4 (最高)
- パケット方向: 受信
- フレームの種類: IP
- プロトコル: TCP
- パケット宛先ポート: Workload Security エージェントの待機ポート番号Workload Security
初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。
強制的に許可ルールの詳細
強制的に許可オプションでは、拒否処理の対象となるトラフィックの一部を除外します。他の処理との関係を下に示します。強制的に許可ルールは、バイパスルールと同じ効果があります。ただし、バイパスルールとは異なり、この処理によってファイアウォールを通過するトラフィックは侵入防御モジュールによる監視の対象となります。強制的に許可ルールの処理は、基本的なネットワークサービスがDSAコンピュータとの通信を確保するのに便利です。一般に、[許可]ルールは、[許可]ルールと組み合わせてのみ使用し、[許可]ルールと[拒否]ルールで禁止されているトラフィックのサブセットを許可する必要があります。また、ICMPおよびUDPステートフルが有効になっている際に、未承諾のICMPおよびUDPトラフィックを許可するように強制的に許可ルールを設定する必要があります。
ファイアウォールルールのシーケンス
コンピュータに届くパケットは、ファイアウォールルール、ファイアウォールステートフル設定条件、および侵入防御ルールの順に処理されます。
受信および送信でファイアウォールルールが適用される順序は次のとおりです。
- 優先度4 (最高) のファイアウォールルール
- バイパス
- ログのみ (ログのみのルールには の優先度4(最高)のみ割り当てることができます)
- 強制的に許可
- 拒否
- 優先度3 (高) のファイアウォールルール
- バイパス
- 強制的に許可
- 拒否
- 優先度2 (標準) のファイアウォールルール
- バイパス
- 強制的に許可
- 拒否
- 優先度1 (低) のファイアウォールルール
- バイパス
- 強制的に許可
- 拒否
- 優先度0 (最低) のファイアウォールルール
- バイパス
- 強制的に許可
- 拒否
- Allow (Allowルールには の優先順位のみを割り当てることができます(0))
コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。
同じ優先度のコンテキスト内では、拒否ルールが許可ルールをオーバーライドし、強制的に許可ルールが拒否ルールをオーバーライドします。ルールの優先度システムを使用すると、優先度の低い強制的に許可ルールを、優先度の高い拒否ルールでオーバーライドできます。
強制的に許可ルールを使用して受信DNSクエリをすべて許可するDNSサーバ用のポリシーを例に考えてみます。強制的に許可ルールよりも優先度の高い拒否ルールを作成し、この公開サーバへのアクセスを禁止する必要がある特定範囲のIPアドレスを指定します。
優先度に基づいたルール設定によって、ルールを適用する順序を設定できます。拒否ルールに最も高い優先度を設定し、同じ優先度の強制的に許可ルールがない場合、拒否ルールに一致するパケットはすべて自動的に破棄されて残りのルールは無視されます。反対に、強制的に許可ルールに最も高い優先度が設定されている場合、強制的に許可ルールに一致する受信パケットは他のルールに対して確認されることなくすべて自動的に許可されます。
ログに関する注意
バイパスルールはイベントを生成しません。この設定は変更できません。
ログのみルールは、対象のパケットが、次のいずれかのルールによって、それ以降に停止されない場合にのみイベントを生成します。
- 拒否ルール
- そのパケットを除外する許可ルール
この2つのルールのいずれかがパケットを停止する場合は、ログのみルールではなくこれらのルールによって、イベントが生成されます。以降のルールでパケットを停止しない場合は、ログのみルールがエントリを生成します。
各ファイアウォールルールの関係
Workload Security ファイアウォールルールには、ルール処理とルール優先度の両方があります。この2つのプロパティを同時に使用することによって、非常に柔軟で強力なルール設定を作成できます。他のファイアウォールで使用されるルールセットとは異なり、 Workload Securityファイアウォール ルールは、ルール処理とルール優先順位に基づいて決定的な順序で実行されます。これは、それらが定義または割り当てられている順序に依存しません。
ルール処理
各ルールには、以下の5つのルール処理のいずれかを設定できます。
- Bypass: パケットがBypassルールに一致する場合、他のルールに関係なくファイアウォール と 侵入防御 エンジン の両方を通過します(優先順位は同じです)。
- ログのみ:パケットがログのみのルールと一致する場合は が渡され、イベントがログに記録されます。
- 強制的に許可: パケットが強制許可ルールに一致した場合、そのルールは他のルール(優先度レベルが同じ)にかかわらずに渡されます。
- 拒否: パケットが拒否ルールと一致した場合、パケットは破棄されます。
- 許可:パケットが許可ルールに一致する場合は 、それが渡されます。許可ルールのいずれにも一致していないトラフィックはすべて拒否されます。
許可ルールを実装すると、許可ルールに一致しないその他すべてのトラフィックが拒否されます。
拒否ルールは、特定の種類のトラフィックをブロックする[許可]に対して実装できます。
特定の除外を通過させるには、拒否されたトラフィックに対して強制許可ルールを設定できます。
ルール優先度
拒否および強制的に許可のルール処理を5つの優先度のいずれかで定義できます。これにより、許可されるトラフィックを許可ルールのセットでさらに細かく定義できます。ルールは、最高 (優先度4) から最低 (優先度0) の順に実行されます。特定の優先度内では、ルール処理 (強制的に許可、拒否、許可、ログのみ) に基づいた順序で処理されます。
優先度のコンテキストによって、ユーザは拒否および強制的に許可の組み合わせを使用してトラフィック管理をさらに詳細に定義することが可能になります。同じ優先度のコンテキスト内では、拒否ルールによって許可ルールを無効にし、また、強制的に許可ルールによって拒否ルールを無効にすることもできます。
許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
ルール処理およびルール優先度を集約する
ルールは、最高 (優先度4) から最低 (優先度0) の順に実行されます。特定の優先度内では、ルール処理に基づいた順序で処理されます。同じ優先度のルールが処理される順序は次のとおりです。
- バイパス
- ログのみ
- 強制的に許可
- 拒否
- 許可
許可のルール処理は優先度0でのみ動作し、ログのみのルール処理は優先度4でのみ動作します。
強制的に許可ルールと拒否ルールが同等の優先度の場合、強制的に許可ルールが拒否ルールよりも優先されるので、強制的に許可ルールと一致するトラフィックが許可されます。