このページのトピック
構成ファイアウォール
ファイアウォールモジュールを構成して、ポリシーの動作を定義できます。
モジュールの動作を設計し、APIを使用して実装する場合は、 ファイアウォールについてに記載されている背景情報とガイダンスを使用してください。
ポリシーオブジェクトには、ファイアウォールモジュールの設定に使用する2つのオブジェクトが含まれます。
FirewallPolicyExtension:モジュールの状態を制御し (オンまたはオフ)、適用されたファイアウォールルールを識別、モジュールで使用するステートフルな設定を識別します。PolicySettings: ポリシー設定には、攻撃の予兆検索の動作、ネットワークエンジンモード (タップまたはインライン)、ネットワークエンジン設定、イベント管理など、モジュールの実行時の動作を制御するファイアウォール関連の設定が多数含まれています。 ポリシーと初期設定のポリシー設定 の説明に従って、ファイアウォール関連のポリシーを設定します。
次のJSONは、 FirewallPolicyExtension オブジェクトのデータ構造を表します。
{
"state": "off",
"moduleStatus": {...},
"globalStatefulConfigurationID": 1,
"ruleIDs": [...]
}moduleStatus プロパティは読み取り専用です。ファイアウォールモジュールのランタイムステータスが表示されます。 コンピュータのステータスに関するレポート を参照してください。
一般的な手順
ファイアウォールを設定するには、次の一般的な手順を使用します。
FirewallPolicyExtensionオブジェクトを作成し、プロパティを設定します。PolicySettingsオブジェクトを作成して、モジュールのランタイム設定を行います。Policyオブジェクトを作成し、FirewallPolicyExtensionオブジェクトとPolicySettingsオブジェクトを追加します。-
PoliciesApiオブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。1つの ファイアウォール関連ポリシー設定のみを設定する必要がある場合は、 単一ポリシーまたは初期設定ポリシーの設定を参照してください。
FirewallPolicyExtension オブジェクトを作成し、状態IDとルールIDを設定します。
firewall_policy_extension = api.FirewallPolicyExtension()
firewall_policy_extension.state = "on"
firewall_policy_extension.rule_ids = rule_ids;次に、ファイアウォール関連の設定を行うための PolicySettings オブジェクトを作成します。ポリシー設定の詳細については、「ポリシーと初期設定のポリシーを設定する 」を参照してください。たとえば、攻撃の予兆検索を有効にできます。
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_valueこの時点で、ファイアウォールポリシー拡張とポリシー設定が構成されました。次に、それらを Policy オブジェクトに追加し、PoliciesApi オブジェクトを使用してWorkload Securityのポリシーを変更します。
policy = api.Policy()
policy.firewall = firewall_policy_extension
policy.policy_settings = policy_settings
policies_api = api.PoliciesApi(api.ApiClient(configuration))
returned_policy = policies_api.modify_policy(policy_id, policy, api_version)modifyPolicy の policy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。
例
次の例では、 Policy オブジェクトを作成し、その FirewallPolicyExtensionを変更し、ポリシー設定を行います。このポリシーは、 Workload Securityで更新されます。
policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy = api.Policy()
firewall_policy_extension = api.FirewallPolicyExtension()
# Turn on firewall
firewall_policy_extension.state = "on"
# Assign rules
firewall_policy_extension.rule_ids = rule_ids;
# Add the firewall state to the policy
policy.firewall = firewall_policy_extension
# Turn on reconnaissance scan
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value
# Add reconnaissance scan state to the policy
policy.policy_settings = policy_settings
# Modify the policy on Workload Security
return policies_api.modify_policy(policy_id, policy, api_version)「APIレファレンス/参照情報」の ポリシーの変更 操作も参照してください。
ポリシーの ファイアウォール ルールの追加、削除、またはリストの作成のみが必要な場合は、 PolicyFirewallRuleAssignmentsApi クラスを使用します。前の例では、 FirewallPolicyExtension Policyおよび PoliciesApi クラスを使用して ファイアウォール ルールを追加していますが、 PolicyFirewallRuleAssignmentsApi クラスのみを使用することもできます。詳細については、APIリファレンスの[ポリシー]セクションの ポリシー ファイアウォール ルール割り当て をレファレンス/参照情報。
API呼び出しの認証の詳細については、 Workload Securityを参照してください。
ファイアウォールルールを作成する
通常、ファイアウォールルールを作成するには、次の手順を実行します。
FirewallRuleオブジェクトを作成します。-
ルールのプロパティを設定します。プロパティは、 ファイアウォールルールの作成で説明されています。APIを使用して、MACリスト、ルールコンテキスト、およびスケジュールなど、複数のルールで使用できる関連オブジェクトを作成できます。リストの作成と変更 および スケジュールの作成と設定を参照してください。
-
FirewallRulesApiオブジェクトを作成して、 Workload Securityでルールを作成します。
セキュリティログ監視 ルールには、 ファイアウォール ルールとは異なるプロパティがありますが、ルールを作成する方法は似ています。基本的な セキュリティログ監視 ルールの例が役立つ場合があります。
APIを使用してファイアウォールルールを作成するには、POSTリクエストを firewallrules エンドポイントに送信します。 APIレファレンス/参照情報の ファイアウォールルールの作成 操作を参照してください。
ステートフル構成の変更に関する制限
ステートフル設定の次のプロパティは、バージョン8.0以前のエージェントでのみサポートされます。
- ACKストーム保護
- 着信または発信のパッシブおよびアクティブFTP接続を許可する
したがって、APIまたはSDKを使用してこれらのプロパティを設定することはできません。これらの設定を行うには、 Workload Security コンソールを使用する必要があります。ステートフルファイアウォール設定を参照してください。