目次
このページのトピック
新しいルールを追加する
ルールの動作とプロトコルを選択する
パケットの送信元と送信先を選択する
ルールイベントとアラートを設定する
アラート
ルールのスケジュールを設定する
ルールにコンテキストを割り当てる
ルールが割り当てられているポリシーとコンピュータを表示する
ルールをエクスポートする
ルールを削除する

ファイアウォールルールの作成

ファイアウォールルールは、個々のパケットの制御情報を確認し、定義された条件に従ってブロックまたは許可します。ファイアウォールルールは、ポリシー、または直接コンピュータに割り当てることができます。

ファイアウォールルールの作成に加えて、Workload Security ファイアウォールの設定 に記載されているように、ファイアウォールモジュールを構成できます。

新しいファイアウォールルールを作成するには、次の手順を実行する必要があります。

  1. 新しいルールを追加する
  2. ルールの動作とプロトコルを選択する
  3. パケットの送信元と送信先を選択する

ファイアウォールルールを作成した後、設定できます:

新しいルールを追加する

[ポリシー][共通オブジェクト][ルール][ファイアウォールルール] ページで新しいファイアウォールルールを追加する方法は3つあります

  • [新規] > [新規ファイアウォールルール] をクリックして新しいルールを作成します。
  • [新規]→[ファイルからインポート]の順にクリックして、XMLファイルからルールをインポートします。
  • 既存のルールをコピーして変更するには、ファイアウォールルールリストでルールを右クリックし、複製をクリックします。新しいルールを編集するには、それを選択してプロパティをクリックします。

ルールの動作とプロトコルを選択する

  1. ルールの [名前][説明] を入力します。

    ファイアウォールルールの説明フィールドにすべてのファイアウォールルールの変更を記録する必要があります。ファイアウォールの保守を容易にするために、ルールが作成または削除された日時と理由をメモしておいてください。

  2. ルールがパケットに対して実行する処理を選択します

    • このルールはトラフィックがファイアウォールをバイパスすることを許可できます—バイパスルールは、トラフィックがファイアウォールおよび侵入防御エンジンを可能な限り高速で通過することを許可します。バイパスルールは、フィルタリングが望ましくないメディア集約型プロトコルを使用するトラフィックや、信頼できるソースからのトラフィックを対象としています。信頼できるソースのためのバイパスルールをポリシーで作成および使用する方法の例については、信頼できるトラフィックをファイアウォールでバイパスする を参照してください。バイパスルールは一方向です。トラフィックの各方向に対して明示的なルールが必要です。

      次の設定を使用すると、バイパスルールで最大のスループットパフォーマンスを実現できます。 優先度: 最高;フレーム タイプ: IP; プロトコル: TCP、UDP、またはその他のIPプロトコル; 送信元IPと宛先IPおよびMAC: すべて、任意; スケジュール: なし;プロトコルがTCPまたはUDPで、トラフィックの方向が受信の場合、宛先ポートは 1 つ以上の指定されたポート (任意ではなく) である必要があり、送信元ポートは任意である必要があることに注意してください。プロトコルがTCPまたはUDPで、トラフィックの方向が送信の場合、送信元ポートは 1 つ以上の指定されたポート (任意ではなく) である必要があり、宛先ポートは 任意である必要があります。

    • このルールはログのみ記録できます—このアクションはログにエントリを作成しますが、トラフィックを処理しません。

    • ルールは定義済みのトラフィックを強制的に許可できます— これにより、他のトラフィックを除外することなく、このルールによって定義されたトラフィックを許可できます。
    • ルールはトラフィックを拒否できます—このルールによって定義されたトラフィックを拒否します。
    • トラフィックの<strong>許可</strong>が可能です—このフィルタによって定義されたトラフィックを例外的に許可します。

    1つのパケットに適用されるのは、1つのルール処理だけです。同じ優先度のルールが複数ある場合は、優先順序で適用されます。

    コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。

  3. ルールの優先度を選択します—これはルールが適用される順序を決定します。ルールアクションとして強制許可、拒否、またはバイパスを選択した場合、優先度を0 (低) から4 (最高) に設定できます。優先度を設定することで、ルールのアクションを組み合わせてカスケードルール効果を実現できます。

    ログ専用ルールの優先度は4のみ、許可ルールの優先度は0のみです。

    優先度の高いルールは、優先度の低いルールよりも先に適用されます。たとえば、優先度3のポート80の受信拒否ルールは、優先度2のポート80の受信強制許可ルールが適用される前にパケットをドロップします。

    詳細については、ファイアウォールルールのアクションと優先順位 を参照してください。

  4. パケットの方向を選択します—これにより、このルールが受信 (ネットワークからコンピュータ) または送信 (コンピュータからネットワーク) トラフィックのどちらに適用されるかが決まります。

    個々のファイアウォールルールは、単一のトラフィック方向にのみ適用されます。特定の種類のトラフィックに対しては、受信および送信ファイアウォールルールをペアで作成する必要があります。

  5. ユーザリストを選択—このルールが適用されるトラフィックを決定します。トラフィックはユーザIDに基づいてフィルタリングされます。以前に作成したユーザリスト を使用できます。

    ユーザ名 はコントロールリリースの一部であり、プレビュー にあります。関連コンテンツは変更される可能性があります。{ .preview }

    ユーザリストを選択する際には、いくつかの制約とガイドラインを考慮する必要があります

    • プロトコルはTCPまたはUDPに設定し、トラフィックの方向は送信にする必要があります。

    • 重要なトラフィックを誤ってブロックしないようにするために、最初にログのみアクションを選択し、動作とユーザの識別が一致するかを確認してください。その後、アクションを許可または拒否に変更できます

    • ユーザを許可するために、ファイアウォールルールは外向きアクセスを許可から制限付きファイアウォールに変換します。したがって、特定のユーザを除いて、すべてのユーザがブロックされます。詳細については、制限付きまたは許可ファイアウォールの設計 を参照してください。

    • ユーザIDは新しいポリシーがDeep Securityエージェントに送信されると定義されます。ユーザ情報が変更された場合、ユーザIDを更新するために設定を再送信する必要があります。

    • ユーザリストは、WindowsおよびLinuxオペレーティングシステムでサポートされています。

  6. イーサネットフレームタイプを選択します—フレームという用語はイーサネットフレームを指し、利用可能なプロトコルはフレームが運ぶデータを指定します。フレームタイプとしてその他を選択する場合は、フレーム番号 を指定する必要があります。

    IP には IPv4 と IPv6 の両方が含まれます。IPv4 または IPv6 を個別に選択することもできます。

    Solaris では、Deep Security エージェントは IP フレームタイプのパケットのみを検査し、Linux エージェントは IP または ARP フレームタイプのパケットのみを検査します。他のフレームタイプのパケットは通過が許可されます。

    IPフレームタイプを選択した場合、トランスポートプロトコルを選択する必要があります。プロトコルとしてその他を選択した場合は、プロトコル番号 も入力する必要があります。

パケットの送信元と送信先を選択する

IPアドレスMACアドレスの組み合わせを選択します。フレームタイプとして使用可能な場合は、[ポート] および [パケットの送信元] と [パケットの送信先] の [特定のフラグ] を選択します。

以前に作成したIPMAC、またはポート リストを使用できます。

次の表は、IPベースのフレームタイプのサポートに関する詳細を示しています。

  IP MAC ポート フラグ
任意    
ICMP  
ICMPV6  
IGMP    
GGP    
TCP
PUP    
UDP  

IDP

    
ND    
RAW    
TCP+UDP

ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。

[任意のフラグ] を選択することも、以下のフラグを個別に選択することもできます。

  • URG
  • ACK
  • PSH
  • RST
  • SYN
  • FIN

ルールイベントとアラートを設定する

ファイアウォールルールがトリガされると、Workload Securityでイベントがログに記録され、パケットデータが記録されます。

[許可]、[強制的に許可]、および [バイパス] 処理を使用するルールでは、イベントはログに記録されません。

アラート

イベントのログを記録した場合に、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。

アラートをトリガーするように設定できるのは、処理が [拒否] または [ログのみ記録] に設定されているファイアウォールルールのみです。

ルールのスケジュールを設定する

予約された時間のみファイアウォールルールを有効化するかどうかを選択します。

その方法の詳細については、「ルールに適用するスケジュールの定義」を参照してください。

ルールにコンテキストを割り当てる

ルールコンテキストを使用すると、さまざまなネットワーク環境に独自のファイアウォールルールを設定できます。コンテキストは一般的に、オンサイトとオフサイトのノートパソコンで異なるルールを有効にするために使用されます。

コンテキストの作成方法については、「ポリシーで使用するコンテキストの定義」を参照してください。

コンテキストを使用してファイアウォールルールを実装するポリシーの例については、Windows Mobileラップトップポリシーのプロパティを参照してください。

ルールが割り当てられているポリシーとコンピュータを表示する

ファイアウォールルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする

すべてのファイアウォールルールを .csv または .xml ファイルにエクスポートするには、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。特定のルールを選択してエクスポートすることもできます。次に、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。

ルールを削除する

ルールを削除するには、[ ファイアウォールルール ] リストでルールを右クリックし、[ 削除] をクリックし 、[ OK] をクリックします。

1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。