このページのトピック
ファイアウォールルールの作成
ファイアウォールルールは、個々のパケットの制御情報を確認し、定義された条件に従ってブロックまたは許可します。ファイアウォールルールは、ポリシー、または直接コンピュータに割り当てることができます。
この記事では、ファイアウォールルールの作成方法について具体的に説明します。ファイアウォールモジュールの設定方法については、Workload Securityファイアウォールの設定 を参照してください。
新しいファイアウォールルールを作成するには、次の手順を実行する必要があります。
ファイアウォールルールの設定が完了したら、次の方法についても学習できます。
新しいルールを追加する
[ Policies]→[Common Objects]→[Rules]→[ ファイアウォール Rules ]画面に新しいファイアウォールルールを追加するには、次の3つの方法があります。次の手順を実行します。
- 新しいルールを作成します。[新規]→[新規ファイアウォールルール] の順にクリックします。
- XMLファイルからルールをインポートします。新規/ファイルからのインポートをクリックします。
- 既存のルールをコピーして変更します。[ファイアウォールルール] リストで、該当のルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、そのルールを選択し、[プロパティ] をクリックします。
ルールの動作とプロトコルを選択する
-
ルールの [名前] と [説明] を入力します。
ファイアウォールルールへの変更をそのルールの [説明] フィールドに記録することを推奨します。ファイアウォールのメンテナンスを簡単にするため、ルールを作成または削除した日付とその理由を記録してください。
-
ルールがパケットに対して実行する [処理] を選択します。次の5つの処理のいずれかを選択できます。
1つのパケットに適用されるルール処理は1つのみで、同じ優先度のルールは次の優先順位で適用されます。
-
このルールでは、トラフィックがファイアウォールをバイパスすることを許可できます。バイパスルールを使用すると、トラフィックはファイアウォールと侵入防御エンジンを可能な限り高速で通過できます。バイパスルールは、フィルタリングが望ましくない可能性のあるメディア集約型プロトコルを使用するトラフィック、または信頼できる送信元からのトラフィックを対象としています。
ポリシーで信頼済みソース用のバイパスルールを作成して使用する方法の例については、「信頼済みトラフィックに対するファイアウォールのバイパス許可」を参照してください。
バイパスルールは単一方向です。トラフィックの各方向に対して明確なルールが必要です。
次の設定を使用して、バイパスルールで最大のスループットパフォーマンスを達成できます。- 優先度: 最高
- フレームの種類: IP
- プロトコル: TCP、UDP、またはその他のIPプロトコル。 [任意] オプションは使用しないでください。
- 送信元および送信先のIPおよびMAC: すべて「任意」
- プロトコルがTCPまたはUDPで、トラフィックの方向が「incoming」の場合、宛先ポートは1つ以上の指定されたポート (「Any」ではない) である必要があり、送信元ポートは「Any」である必要があります。
- プロトコルがTCPまたはUDPで、トラフィック方向が「送信」の場合、送信元ポートは1つ以上の指定されたポート (「Any」ではない) であり、宛先ポートは「Any」である必要があります。
- スケジュール:なし。
- ログ記録のみが可能です。この処理により、ログにエントリが作成されますが、トラフィックは処理されません。
- このルールでは、定義されたトラフィックを強制的に許可できます (このルールで定義されたトラフィックは、他のトラフィックを除外せずに許可します)。
- このルールでは、トラフィックを拒否できます (このルールで定義されたトラフィックは拒否されます)。
- このルールでは、 トラフィックを許可できます (このルールで定義されたトラフィックのみを許可します)。
コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。
-
ルールの [優先度] を選択します。優先度により、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」、または「バイパス」を選択した場合は、0 (最低) から4 (最高) の優先度を設定できます。優先度を設定すると、ルール処理を組み合わせて、階層型のルール効果を実現できます。
ログのみルールでの優先度は4のみ設定でき、許可ルールでは0のみが設定できます。
優先度の高いルールは、優先度の低いルールよりも先に適用されます。たとえば、優先度3のポート80の受信拒否ルールは、優先度2のポート80の受信強制許可ルールが適用される前にパケットをドロップします。
処理と優先度の関係の詳細については、[「ファイアウォールルールの処理と優先度」](../firewall-actions-priorities)を参照してください。
-
[ Packet Direction] を選択します。このルールを受信トラフィック (ネットワークからコンピュータへ) または送信トラフィック (コンピュータからネットワーク) のどちらに適用するかを選択します。
個々のファイアウォールルールは、単一のトラフィック方向にのみ適用されます。特定の種類のトラフィックに対しては、受信および送信ファイアウォールルールをペアで作成する必要があります。
-
[Ethernet Frame Type]を選択します。フレームという用語はイーサネットフレームを指し、使用可能なプロトコルによってフレームが伝送するデータが指定されます。フレームタイプとして[その他]を選択した場合は、フレーム番号 を指定する必要があります。
IPはIPv4とIPv6の両方をカバーします。IPv4またはIPv6を個別に選択することもできます。
Solarisでは、エージェントはフレームタイプがIPのパケットのみを調べ、LinuxエージェントはフレームタイプがIPまたはARPのパケットのみを調べます。他のフレームタイプのパケットは通過できます。
インターネットプロトコル (IP) フレームタイプを選択した場合は、転送プロトコルを選択する必要があります。プロトコルとして [その他] を選択した場合は、プロトコル番号 も入力する必要があります。
パケットの送信元と送信先を選択する
[IP] アドレスと [MAC] アドレスの組み合わせを選択し、フレームの種類で使用できる場合は、パケット送信元およびパケット送信先の [ポート] および [指定フラグ] を選択します。
以前に作成したIP、MAC、またはポートリストを使用できます。
サポートされているIPベースのフレームの種類は次のとおりです。
IP | MAC | ポート | フラグ | |
任意 | ✔ | ✔ | ||
ICMP | ✔ | ✔ | ✔ | |
ICMPV6 | ✔ | ✔ | ✔ | |
IGMP | ✔ | ✔ | ||
GGP | ✔ | ✔ | ||
TCP | ✔ | ✔ | ✔ | ✔ |
PUP | ✔ | ✔ | ||
UDP | ✔ | ✔ | ✔ | |
IDP |
✔ | ✔ | ||
ND | ✔ | ✔ | ||
RAW | ✔ | ✔ | ||
TCP+UDP | ✔ | ✔ | ✔ | ✔ |
ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。
[任意のフラグ] を選択することも、以下のフラグを個別に選択することもできます。
- URG
- ACK
- PSH
- RST
- SYN
- FIN
ルールイベントとアラートを設定する
ファイアウォールルールが起動されると、 Workload Security にイベントが記録され、パケットデータが記録されます。
「許可」、「強制的に許可」、および「バイパス」処理を使用するルールでは、イベントはログに記録されません。
アラート
イベントのログを記録した場合に、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。
アラートをトリガするように設定できるのは、処理が [拒否] または [ログ記録のみ] に設定されているファイアウォールルールのみです
ルールのスケジュールを設定する
予約された時間のみファイアウォールルールを有効化するかどうかを選択します。
その方法の詳細については、「ルールに適用するスケジュールの定義」を参照してください。
ルールにコンテキストを割り当てる
ルールコンテキストを使用すると、さまざまなネットワーク環境に独自のファイアウォールルールを設定できます。コンテキストは一般的に、オンサイトとオフサイトのノートパソコンで異なるルールを有効にするために使用されます。
コンテキストの作成方法については、「ポリシーで使用するコンテキストの定義」を参照してください。
コンテキストを使用してファイアウォールルールを実装するポリシーの例については、Windows Mobileラップトップポリシーのプロパティを参照してください。
ルールが割り当てられているポリシーとコンピュータを表示する
ファイアウォールルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。
ルールをエクスポートする
すべてのファイアウォールルールを .csv
または .xml
ファイルにエクスポートするには、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。特定のルールを選択してエクスポートすることもできます。次に、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。
ルールを削除する
ルールを削除するには、[ ファイアウォールルール ] リストでルールを右クリックし、[ 削除] をクリックし 、[ OK] をクリックします。
1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。