目次

構成ファイアウォール

ファイアウォールモジュールを構成して、ポリシーの動作。

モジュールの動作を設計し、APIを使用して実装する場合は、 ファイアウォールについてに記載されている背景情報とガイダンスを使用してください。

ポリシーオブジェクトには、ファイアウォールモジュールの設定に使用する2つのオブジェクトが含まれます。

  • FirewallPolicyExtension:モジュールの状態を制御し (オンまたはオフ)、適用されたファイアウォールルールを識別、モジュールで使用するステートフルな設定を識別します。
  • PolicySettings:ポリシー設定には、偵察検索の動作、ネットワークエンジンモード (タップまたはインライン)、ネットワークエンジン設定、およびイベント管理など、モジュールのランタイム動作を制御する多くのファイアウォール関連設定が含まれます。ファイアウォール関連のポリシー設定は、ポリシーと初期設定のポリシー設定の設定の説明に従って設定します。

次のJSONは、 FirewallPolicyExtension オブジェクトのデータ構造を表します。

{

    "state": "off",
    "moduleStatus": {...},
    "globalStatefulConfigurationID": 1,
    "ruleIDs": [...]
}

moduleStatus プロパティは読み取り専用です。 ファイアウォール モジュールのランタイムステータスが表示されます。(Seeコンピュータのステータスに関するレポート)

一般的な手順

ファイアウォールを設定するには、次の一般的な手順を使用します。

  1. FirewallPolicyExtension オブジェクトを作成し、プロパティを設定します。
  2. PolicySettings オブジェクトを作成して、モジュールのランタイム設定を行います。
  3. Policy オブジェクトを作成し、 FirewallPolicyExtension オブジェクトと PolicySettings オブジェクトを追加します。
  4. PoliciesApi オブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。

    1つの ファイアウォール関連ポリシー設定のみを設定する必要がある場合は、 単一ポリシーまたは初期設定ポリシーの設定を参照してください。

FirewallPolicyExtension オブジェクトを作成し、状態IDとルールIDを設定します。

firewall_policy_extension = api.FirewallPolicyExtension()
firewall_policy_extension.state = "on"
firewall_policy_extension.rule_ids = rule_ids;

次に、 PolicySettings オブジェクトを作成して、 ファイアウォール関連の設定を行います。(ポリシー設定の詳細については、ポリシーと初期設定のポリシー設定を参照してください。)たとえば、次のような偵察検索を有効にできます。

policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value

この時点で、 ファイアウォール ポリシー拡張機能とポリシー設定が構成されます。次に、それらを Policy オブジェクトに追加し、 PoliciesApi オブジェクトを使用して Workload Securityのポリシーを変更します。

policy = api.Policy()
policy.firewall = firewall_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
returned_policy = policies_api.modify_policy(policy_id, policy, api_version)

modifyPolicypolicy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。

次の例では、 Policy オブジェクトを作成し、その FirewallPolicyExtensionを変更し、ポリシー設定を行います。このポリシーは、 Workload Securityで更新されます。

ソースを表示

policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy = api.Policy()
firewall_policy_extension = api.FirewallPolicyExtension()

# Turn on firewall
firewall_policy_extension.state = "on"

# Assign rules
firewall_policy_extension.rule_ids = rule_ids;

# Add the firewall state to the policy
policy.firewall = firewall_policy_extension

# Turn on reconnaissance scan
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value

# Add reconnaissance scan state to the policy
policy.policy_settings = policy_settings

# Modify the policy on Workload Security
return policies_api.modify_policy(policy_id, policy, api_version)

「APIレファレンス/参照情報」の ポリシーの変更 操作も参照してください。

ポリシーの ファイアウォール ルールの追加、削除、またはリストの作成のみが必要な場合は、 PolicyFirewallRuleAssignmentsApi クラスを使用します。前の例では、 FirewallPolicyExtension Policyおよび PoliciesApi クラスを使用して ファイアウォール ルールを追加していますが、 PolicyFirewallRuleAssignmentsApi クラスのみを使用することもできます。詳細については、APIリファレンスの[ポリシー]セクションの ポリシー ファイアウォール ルール割り当て をレファレンス/参照情報。

API呼び出しの認証の詳細については、 Workload Securityを参照してください。

ファイアウォールルールを作成する

通常、ファイアウォールルールを作成するには、次の手順を実行します。

  1. FirewallRule オブジェクトを作成します。
  2. ルールのプロパティを設定します。プロパティは、 ファイアウォールルールの作成で説明されています。APIを使用して、MACリスト、ルールコンテキスト、およびスケジュールなど、複数のルールで使用できる関連オブジェクトを作成できます。リストの作成と変更 および スケジュールの作成と設定を参照してください。

  3. FirewallRulesApi オブジェクトを作成して、 Workload Securityでルールを作成します。

セキュリティログ監視 ルールには、 ファイアウォール ルールとは異なるプロパティがありますが、ルールを作成する方法は似ています。基本的な セキュリティログ監視 ルールの例が役立つ場合があります。

APIを使用して ファイアウォール ルールを作成するには、POST要求を firewallrules エンドポイントに送信します。(APIレファレンス/参照情報の ファイアウォール ルール 操作を参照してください)。

ステートフルな設定の制限事項

ステートフル設定の次のプロパティは、バージョン8.0以前のエージェントでのみサポートされます。

  • ACKストーム保護
  • 着信または発信のパッシブおよびアクティブFTP接続を許可する

したがって、APIまたはSDKを使用してこれらのプロパティを設定することはできません。これらの設定を行うには、 Workload Security コンソールを使用する必要があります。ステートフルファイアウォール設定を参照してください。