このページのトピック
ファイアウォールルールの作成
ファイアウォールルールは、個々のパケットの制御情報を確認し、定義された条件に従ってブロックまたは許可します。ファイアウォールルールは、ポリシー、または直接コンピュータに割り当てることができます。
この記事では、ファイアウォールルールの作成方法について具体的に説明します。ファイアウォールモジュールの設定方法については、Workload Securityファイアウォールの設定 を参照してください。
新しいファイアウォールルールを作成するには、次の手順を実行する必要があります。
ファイアウォールルールの設定が完了したら、次の方法についても学習できます。
新しいルールを追加する
[ Policies]→[Common Objects]→[Rules]→[ ファイアウォール Rules ]画面に新しいファイアウォールルールを追加するには、次の3つの方法があります。次の手順を実行します。
- 新しいルールを作成します。[新規]→[新規ファイアウォールルール] の順にクリックします。
- XMLファイルからルールをインポートします。新規/ファイルからのインポートをクリックします。
- 既存のルールをコピーして変更します。[ファイアウォールルール] リストで、該当のルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、そのルールを選択し、[プロパティ] をクリックします。
ルールの動作とプロトコルを選択する
-
ルールの [名前] と [説明] を入力します。
ファイアウォールルールへの変更をそのルールの [説明] フィールドに記録することを推奨します。ファイアウォールのメンテナンスを簡単にするため、ルールを作成または削除した日付とその理由を記録してください。
-
ルールがパケットに対して実行する処理を選択します。 1つのパケットに適用されるルール処理は1つのみで、優先度が同じルールは優先順位に従って適用されます。
-
このルールでは、トラフィックがファイアウォールをバイパスすることを許可できます。バイパスルールを使用すると、トラフィックはファイアウォールと侵入防御エンジンを可能な限り高速で通過できます。バイパスルールは、フィルタリングが望ましくない可能性のあるメディア集約型プロトコルを使用するトラフィック、または信頼できる送信元からのトラフィックを対象としています。ポリシーで信頼できる送信元に対するバイパスルールを作成して使用する方法の例については、「信頼できるトラフィックにファイアウォールのバイパスを許可する」を参照してください。バイパスルールは一方向です。トラフィックの方向ごとに明示ルールが必要です。
次の設定を使用すると、バイパスルールで最大のスループットパフォーマンスを実現できます。 優先度: 最高;フレーム タイプ: IP; プロトコル: TCP、UDP、またはその他のIPプロトコル; 送信元IPと宛先IPおよびMAC: すべて、任意; スケジュール: なし;プロトコルがTCPまたはUDPで、トラフィックの方向が受信の場合、宛先ポートは 1 つ以上の指定されたポート (任意ではなく) である必要があり、送信元ポートは任意である必要があることに注意してください。プロトコルがTCPまたはUDPで、トラフィックの方向が送信の場合、送信元ポートは 1 つ以上の指定されたポート (任意ではなく) である必要があり、宛先ポートは 任意である必要があります。
-
ログ記録のみが可能です。この処理により、ログにエントリが作成されますが、トラフィックは処理されません。
-
このルールでは、定義されたトラフィックを強制的に許可できます (このルールで定義されたトラフィックは、他のトラフィックを除外せずに許可します)。
- このルールでは、トラフィックを拒否できます (このルールで定義されたトラフィックは拒否されます)。
- このルールでは、 トラフィックを許可できます (このルールで定義されたトラフィックのみを許可します)。
コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていない限り、常に許可されます。
-
-
ルールの Priority を選択します。優先度によって、ルールが適用される順序が決まります。ルール処理として強制的に許可、拒否、またはバイパスを選択した場合は、0 (低) ~ 4 (最高) の優先度を設定できます。優先度を設定すると、ルールの処理を組み合わせて、カスケードルールの効果を実現できます。
ログ専用ルールの優先度は4のみ、許可ルールの優先度は0のみです。
優先度の高いルールは、優先度の低いルールよりも先に適用されます。たとえば、優先度3のポート80の受信拒否ルールは、優先度2のポート80の受信強制許可ルールが適用される前にパケットをドロップします。
処理と優先度の連携の詳細については、「ファイアウォールルールの処理と優先度」を参照してください。
-
[ Packet Direction] を選択します。このルールを受信トラフィック (ネットワークからコンピュータへ) または送信トラフィック (コンピュータからネットワーク) のどちらに適用するかを選択します。
個々のファイアウォールルールは、単一のトラフィック方向にのみ適用されます。特定の種類のトラフィックに対しては、受信および送信ファイアウォールルールをペアで作成する必要があります。
-
ユーザリストを選択します。このルールが適用されるユーザリストを選択します。
以前に作成されたユーザリストを使用できます
**ユーザリスト** はコントロールリリースの一部であり、[プレビュー](https://cloudone.trendmicro.com/docs/jp/preview/) にあります。関連する内容は変更される可能性があります。 { .preview }
-
[Ethernet Frame Type]を選択します。フレームという用語はイーサネットフレームを指し、使用可能なプロトコルによってフレームが伝送するデータが指定されます。フレームタイプとして[その他]を選択した場合は、フレーム番号 を指定する必要があります。
IPはIPv4とIPv6の両方をカバーします。IPv4またはIPv6を個別に選択することもできます。
Solarisでは、エージェントはフレームタイプがIPのパケットのみを調べ、LinuxエージェントはフレームタイプがIPまたはARPのパケットのみを調べます。他のフレームタイプのパケットは通過できます。
IPフレームタイプを選択した場合は、転送プロトコルを選択する必要があります。プロトコルとして [その他] を選択した場合は、プロトコル番号 も入力する必要があります。
パケットの送信元と送信先を選択する
IPアドレスとMACアドレスの組み合わせを選択します。フレームタイプとして使用可能な場合は、[ポート] および [パケットの送信元] と [パケットの送信先] の [特定のフラグ] を選択します。
以前に作成したIP、MAC、またはポートリストを使用できます。
次の表に、IPベースのフレームタイプのサポートの詳細を示します。
IP | MAC | ポート | フラグ | |
任意 | ✔ | ✔ | ||
ICMP | ✔ | ✔ | ✔ | |
ICMPV6 | ✔ | ✔ | ✔ | |
IGMP | ✔ | ✔ | ||
GGP | ✔ | ✔ | ||
TCP | ✔ | ✔ | ✔ | ✔ |
PUP | ✔ | ✔ | ||
UDP | ✔ | ✔ | ✔ | |
IDP |
✔ | ✔ | ||
ND | ✔ | ✔ | ||
RAW | ✔ | ✔ | ||
TCP+UDP | ✔ | ✔ | ✔ | ✔ |
ARPおよびREVARPのフレームの種類では、パケットの送信元と送信先としてMACアドレスの使用のみがサポートされています。
[任意のフラグ] を選択することも、以下のフラグを個別に選択することもできます。
- URG
- ACK
- PSH
- RST
- SYN
- FIN
ルールイベントとアラートを設定する
ファイアウォールルールが起動されると、 Workload Security にイベントが記録され、パケットデータが記録されます。
[許可]、[強制的に許可]、および [バイパス] 処理を使用するルールでは、イベントはログに記録されません。
アラート
イベントのログを記録した場合に、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。
アラートをトリガーするように設定できるのは、処理が [拒否] または [ログのみ記録] に設定されているファイアウォールルールのみです。
ルールのスケジュールを設定する
予約された時間のみファイアウォールルールを有効化するかどうかを選択します。
その方法の詳細については、「ルールに適用するスケジュールの定義」を参照してください。
ルールにコンテキストを割り当てる
ルールコンテキストを使用すると、さまざまなネットワーク環境に独自のファイアウォールルールを設定できます。コンテキストは一般的に、オンサイトとオフサイトのノートパソコンで異なるルールを有効にするために使用されます。
コンテキストの作成方法については、「ポリシーで使用するコンテキストの定義」を参照してください。
コンテキストを使用してファイアウォールルールを実装するポリシーの例については、Windows Mobileラップトップポリシーのプロパティを参照してください。
ルールが割り当てられているポリシーとコンピュータを表示する
ファイアウォールルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。
ルールをエクスポートする
すべてのファイアウォールルールを .csv
または .xml
ファイルにエクスポートするには、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。特定のルールを選択してエクスポートすることもできます。次に、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。
ルールを削除する
ルールを削除するには、[ ファイアウォールルール ] リストでルールを右クリックし、[ 削除] をクリックし 、[ OK] をクリックします。
1台以上のコンピュータに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。