構成ファイアウォール

ファイアウォールモジュールを構成して、ポリシーの動作。

モジュールの動作を設計しAPIを使用して実装する場合は、 About ファイアウォールに記載されている背景情報とガイダンスを使用してください。

ポリシーオブジェクトには、ファイアウォールモジュールの設定に使用する2つのオブジェクトが含まれます。

  • FirewallPolicyExtension:モジュールの状態を制御します(オンまたはオフ).), は適用されたファイアウォールルールを識別し、モジュールで使用するステートフルな設定を識別します。
  • PolicySettings:ポリシー設定には、偵察検索の動作、ネットワークエンジンモード(タップまたはインライン), ネットワークエンジン設定、およびイベント管理)など、モジュールのランタイム動作を制御する多くの ファイアウォール関連設定が含まれます。  ファイアウォール関連のポリシー設定は、 「ポリシーと初期設定のポリシー設定の設定」の説明に従って設定します。

次のJSONは、 FirewallPolicyExtension オブジェクトのデータ構造を表します。

{

    "state": "off",
    "moduleStatus": {...},
    "globalStatefulConfigurationID": 1,
    "ruleIDs": [...]
}

moduleStatus プロパティは読み取り専用です。 ファイアウォール モジュールのランタイムステータスが表示されます。(Seeコンピュータのステータスに関するレポート)

一般的な手順

ファイアウォールを設定するには、次の一般的な手順を使用します。

  1. FirewallPolicyExtension オブジェクトを作成し、プロパティを設定します。
  2. PolicySettings オブジェクトを作成して、モジュールのランタイム設定を行います。
  3. Policy オブジェクトを作成し、 FirewallPolicyExtension オブジェクトと PolicySettings オブジェクトを追加します。
  4. PoliciesApi オブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。

    1つの ファイアウォール関連ポリシー設定のみを設定する必要がある場合は、 単一ポリシーまたは初期設定ポリシーの設定を参照してください。

FirewallPolicyExtension オブジェクトを作成し、状態IDとルールIDを設定します。

firewall_policy_extension = api.FirewallPolicyExtension()
firewall_policy_extension.state = "on"
firewall_policy_extension.rule_ids = rule_ids;

次に、 PolicySettings オブジェクトを作成して、 ファイアウォール関連の設定を行います。(ポリシー設定の詳細については、 ポリシーと初期設定のポリシー設定を参照してください。)たとえば、次のような偵察検索を有効にできます。

policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value

この時点で、 ファイアウォール ポリシー拡張機能とポリシー設定が構成されます。次に、それらを Policy オブジェクトに追加し、 PoliciesApi オブジェクトを使用して Workload Securityのポリシーを変更します。

policy = api.Policy()
policy.firewall = firewall_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
returned_policy = policies_api.modify_policy(policy_id, policy, api_version)

modifyPolicypolicy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。  設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。

次の例では、 Policy オブジェクトを作成し、その FirewallPolicyExtensionを変更し、ポリシー設定を行います。このポリシーは、 Workload Securityで更新されます。

ソースを表示

policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy = api.Policy()
firewall_policy_extension = api.FirewallPolicyExtension()

# Turn on firewall
firewall_policy_extension.state = "on"

# Assign rules
firewall_policy_extension.rule_ids = rule_ids;

# Add the firewall state to the policy
policy.firewall = firewall_policy_extension

# Turn on reconnaissance scan
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value

# Add reconnaissance scan state to the policy
policy.policy_settings = policy_settings

# Modify the policy on Workload Security
return policies_api.modify_policy(policy_id, policy, api_version)

「APIレファレンス/参照情報」の ポリシーの変更 操作も参照してください。

ポリシーの ファイアウォール ルールの追加、削除、またはリストの作成のみが必要な場合は、 PolicyFirewallRuleAssignmentsApi クラスを使用します。前の例では、 FirewallPolicyExtension, Policyおよび PoliciesApi クラスを使用して ファイアウォール ルールを追加していますが、 PolicyFirewallRuleAssignmentsApi クラスのみを使用することもできます。詳細については、APIリファレンスの[ポリシー]セクションの ポリシー ファイアウォール ルール割り当て をレファレンス/参照情報。

API呼び出しの認証の詳細については、 Workload Securityを参照してください。

ファイアウォールルールを作成する

通常、ファイアウォールルールを作成するには、次の手順を実行します。

  1. FirewallRule オブジェクトを作成します。
  2. ルールのプロパティを設定します。プロパティは、 ファイアウォールルールの作成で説明されています。APIを使用して、MACリスト、ルールコンテキスト、およびスケジュールなど、複数のルールで使用できる関連オブジェクトを作成できます。 リストの作成と変更 および スケジュールの作成と設定を参照してください。

  3. FirewallRulesApi オブジェクトを作成して、 Workload Securityでルールを作成します。

セキュリティログ監視 ルールには、 ファイアウォール ルールとは異なるプロパティがありますが、ルールを作成する方法は似ています。 基本的な セキュリティログ監視 ルールの例が役立つ場合があります。

APIを使用して ファイアウォール ルールを作成するには、POST要求を firewallrules エンドポイントに送信します。(APIレファレンス/参照情報の ファイアウォール ルール 操作を参照してください)。

ステートフルな設定の制限事項

ステートフル設定の次のプロパティは、 Deep Security Agentバージョン8.0以前のバージョンでのみサポートされます。

  • ACKストーム保護
  • 着信または発信のパッシブおよびアクティブFTP接続を許可する

したがって、APIまたはSDKを使用してこれらのプロパティを設定することはできません。これらの設定を行うには、 Workload Security コンソールを使用する必要があります。 ステートフルファイアウォール設定を参照してください。