ファイアウォールルールの作成

ファイアウォールルールは、個々のパケットの制御情報を確認し、定義された条件に従ってブロックまたは許可します。ファイアウォールルールは、ポリシー、または直接コンピュータに割り当てることができます。

ここでは、ファイアウォールルールの作成方法を具体的に説明します。ファイアウォールモジュールを設定する方法については、 Workload Security ファイアウォールの設定を参照してください。

新しいファイアウォールルールを作成するには、次の作業が必要です。

  1. 新しいルールを追加する
  2. ルールの動作とプロトコルを選択する
  3. パケットの送信元と送信先を選択する

ファイアウォールルールを作成したら、次の方法も学習できます。

新しいルールを追加する

[ Policies]→[Common Objects]→[Rules]→[ ファイアウォール Rules ]画面に新しいファイアウォールルールを追加するには、次の3つの方法があります。次の手順を実行します。

  • 新しいルールを作成します。[新規]→[新規ファイアウォールルール] の順にクリックします。
  • XMLファイルからルールをインポートします。 新規/ファイルからのインポートをクリックします。
  • 既存のルールをコピーして変更します。[ファイアウォールルール] リストで、該当のルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、そのルールを選択し、[プロパティ] をクリックします。

ルールの動作とプロトコルを選択する

  1. ルールの [名前][説明] を入力します。

    ファイアウォールルールへの変更をそのルールの [説明] フィールドに記録することを推奨します。ファイアウォールのメンテナンスを簡単にするため、ルールを作成または削除した日付とその理由を記録してください。

  2. ルールがパケットに対して実行する [処理] を選択します。次の5つの処理のいずれかを選択できます。

    1つのパケットに適用されるのは、1つのルール処理だけです。同じ優先度のルールが複数ある場合は、下記の優先順序で適用されます。

    • トラフィックにファイアウォールのバイパスを許可できます。バイパスルールにより、トラフィックはファイアウォールと侵入防御エンジンを可能な限り早く通過できます。バイパスルールは、フィルタリングを望まないマルチメディア系プロトコルを使用するトラフィックや、信頼済みソースからのトラフィックに対して使用します。

    ポリシーで信頼済みソース用のバイパスルールを作成して使用する方法の例については、「信頼済みトラフィックに対するファイアウォールのバイパス許可」を参照してください。

    バイパスルールは単一方向です。トラフィックの各方向に対して明確なルールが必要です。

    次の設定を使用して、バイパスルールで最大のスループットパフォーマンスを達成できます。
    • 優先度: 最高
    • フレームの種類: IP
    • プロトコル: TCP、UDP、またはその他のIPプロトコル(「任意」オプションは使用しないでください)
    • 送信元および送信先のIPおよびMAC: すべて「任意」
    • プロトコルがTCPまたはUDPでトラフィックの方向が「受信」の場合は、送信先ポートを「任意」ではなく1つ以上指定する必要があり、送信元ポートを「任意」にする必要があります。
    • プロトコルがTCPまたはUDPでトラフィックの方向が「送信」の場合は、送信元ポートを「任意」ではなく1つ以上指定する必要があり、送信先ポートを「任意」にする必要があります。
    • スケジュール: なし

    • ログ記録のみが可能です。この処理では、ログにエントリは作成されますが、トラフィックは処理されません。
    • 定義済みのトラフィックを強制的に許可できます (他のトラフィックを除外することなく、このルールによって定義されたトラフィックを許可できます)。
    • トラフィックの拒否が可能です (このルールによって定義されたトラフィックを拒否します)。
    • トラフィックの許可が可能です (このフィルタによって定義されたトラフィックを例外的に許可します)。

    コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。

  3. ルールの [優先度] を選択します。優先度により、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」、または「バイパス」を選択した場合は、0 (最低) から4 (最高) の優先度を設定できます。優先度を設定すると、ルール処理を組み合わせて、階層型のルール効果を実現できます。

    ログのみルールでの優先度は4のみ設定でき、許可ルールでは0のみが設定できます。

    優先度の低いルールよりも優先度の高いルールが優先的に適用されます。たとえば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。

    処理と優先度の関係の詳細については、「ファイアウォールルールの処理と優先度」を参照してください。

  4. [パケットの方向] を選択します。このルールを(ネットワークからコンピュータへの)受信トラフィックまたは(コンピュータからネットワークへの)送信トラフィックに適用するかどうかを選択します。

    個々のファイアウォールルールは、単一のトラフィック方向にのみ適用されます。特定の種類のトラフィックに対しては、受信および送信ファイアウォールルールをペアで作成する必要があります。

  5. イーサネットの [フレームの種類] を選択します。用語「フレーム」はイーサネット(登録商標)フレームを指し、利用可能なプロトコルはそのフレームが運ぶデータを特定する。フレームの種類として「その他」を選択する場合は、フレーム番号を指定する必要があります。

    IPはIPv4とIPv6の両方をカバーします。IPv4またはIPv6を個別に選択することもできます。

    Solarisでは、 Deep Security AgentはIPフレームタイプのパケットのみを検査し、LinuxエージェントはIPタイプまたはARPフレームタイプのパケットのみを調べます。その他のフレームの種類のパケットは許可されます。Virtual Applianceにはこのような制限事項はありません。

    インターネットプロトコル(IP)フレームタイプを選択した場合は、トランスポートプロトコルを選択する必要があります。プロトコルとして「その他」を選択する場合は、プロトコル番号も指定する必要があります。

パケットの送信元と送信先を選択する

[IP] アドレスと [MAC] アドレスの組み合わせを選択し、フレームの種類で使用できる場合は、パケット送信元およびパケット送信先の [ポート] および [指定フラグ] を選択します。

以前に作成したIPMAC、またはポートリストを使用できます。

サポートされているIPベースのフレームの種類は次のとおりです。

  IP MAC ポート フラグ
任意    
ICMP  
ICMPV6  
IGMP    
GGP    
TCP
PUP    
UDP  

IDP

   
ND    
RAW    
TCP+UDP

ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。

[任意のフラグ] を選択することも、以下のフラグを個別に選択することもできます。

  • URG
  • ACK
  • PSH
  • RST
  • SYN
  • FIN

ルールイベントとアラートを設定する

ファイアウォールルールが起動されると、 Workload Security にイベントが記録され、パケットデータが記録されます。

[許可]、[強制許可]、[放置]の各ルールを使用してもイベントは記録されません。

アラート

イベントのログを記録した場合に、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。

アラートをトリガするように設定できるのは、処理が [拒否] または [ログ記録のみ] に設定されているファイアウォールルールのみです

ルールのスケジュールを設定する

予約された時間のみファイアウォールルールを有効化するかどうかを選択します。

その方法の詳細については、「ルールに適用するスケジュールの定義」を参照してください。

ルールにコンテキストを割り当てる

ルールコンテキストを使用すると、さまざまなネットワーク環境に独自のファイアウォールルールを設定できます。コンテキストは一般的に、オンサイトとオフサイトのノートパソコンで異なるルールを有効にするために使用されます。

コンテキストの作成方法については、「ポリシーで使用するコンテキストの定義」を参照してください。

コンテキストを使用してファイアウォールルールを実装するポリシーの例については、「Windows Mobile ラップトップ」ポリシーのプロパティを参照してください。

ルールが割り当てられているポリシーとコンピュータを確認する

ファイアウォールルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする

すべてのファイアウォールルールを、.csvまたは.xmlファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のルールを選択し、[エクスポート] をクリックして、リストから該当するエクスポート処理を選択すると、特定のルールをエクスポートすることもできます。

ルールを削除する

ルールを削除するには、[ファイアウォールルール] リストで該当のルールを右クリックしてから、[削除][OK] の順にクリックします。

1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。