目次

ファイアウォールの設定

[ファイアウォール] モジュールは、双方向のステートフルなファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。

コンピュータエディタまたはポリシーエディタの ファイアウォール セクションには、次のタブセクションがあります。

一般

ファイアウォール

ファイアウォールのオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

ファイアウォールステートフル設定

このポリシーに適用するファイアウォールステートフル設定を選択します。上記のポリシーに対して複数のインタフェースを定義した場合は、各インタフェースに対して個別に設定することができます。ステートフル設定作成の詳細については、「ステートフルファイアウォールの設定の定義」を参照してください。

割り当てられたファイアウォールルール

このポリシーまたはコンピュータで有効になっているファイアウォールルールを表示します。ファイアウォールルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。使用可能なすべてのファイアウォールルールが表示され、ルールを選択したり選択を解除したりできます。

[コンピュータ]エディタまたは[ポリシーエディタ]画面では、ファイアウォールルールを編集して、エディタのコンテキストでローカルにのみ変更を適用したり、ルールを編集して、その変更内容を他のすべてのポリシーおよびコンピュータでグローバルに適用することができます。ルール。

ルールをローカルに編集するには、ルールを右クリックして [プロパティ] を選択します。

ルールをグローバルに編集するには、ルールを右クリックして [プロパティ (グローバル)] を選択します。

ファイアウォールルール作成については、「ファイアウォールルールの作成」を参照してください。

インタフェース制限

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

インタフェース制限を有効にする前に、インタフェースパターンを適切な順序で設定し、必要な文字列パターンをすべて追加し、不要なパターンは削除してください。優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

インタフェース制限ポリシーを設定するには

  1. [インタフェース制限]タブで、[ インタフェース制限の有効化 ]を選択します。
  2. インタフェースパターンを設定します。(下記参照)
  3. 保存 をクリックします。

インタフェースパターン

インタフェース制限が有効な場合、ファイアウォールでは、ローカルコンピュータのインタフェース名が、正規表現パターンと照合されます。

Workload Security では、POSIXの基本正規表現を使用してインタフェース名を照合します。

優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

[1つのアクティブインタフェースに制限] を選択すると、優先度が最も高いパターンのインタフェースが複数見つかった場合でも、1つのインタフェースからのトラフィックのみ許可されます。

攻撃の予兆

[攻撃の予兆] 画面では、コンピュータのトラフィック分析を有効にして設定することができます。この機能により、標的型攻撃の前段階として脆弱性を見つけるために使用されることの多い「予兆」を特検出することができます。

攻撃の予兆 検索は、TAPモードでは機能しません。攻撃の予兆 検索は、IPv4トラフィックでしか検出できません。

偵察保護を有効にするには、 [コンピュータまたはポリシーエディタ]→[ファイアウォール]→[一般]タブで、ファイアウォールおよびステートフルインスペクションも有効にする必要があります。また、[コンピュータまたはポリシーエディタ]→[ファイアウォール]→[詳細]タブをクリックし、「ポリシーの許可外」のパケットのファイアウォールイベントを生成設定を有効にします。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されるようになります。

攻撃の予兆を設定する場合、次のオプションがあります。

  • 攻撃の予兆の検出の有効化: 偵察検索の検出を有効または無効にします。初期設定では、すべての検索が通知付きのレポートモードで有効になっています。通知をオフにするか、レポートモードから一時ブロックモードに切り替える場合は、ドロップダウンリストから[はい]を選択して変更します。

  • 検出を実行するコンピュータ/ネットワーク: 保護するIPをリストから選択します。既存のIPリストから選択します(このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)。

  • 検出を実行しないIPリスト: 無視するコンピュータとネットワークのリストをIPリストから選択します。(上で述べたように、このIPリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] 画面を使用して作成できます)。

攻撃の種類ごとに、アラートが発生する Workload Security に情報を送信するようにエージェントに指示することができます。アラートが発生したときにメール通知を送信するように Workload Security を設定できます。詳細については、[管理]→[システム設定]→[アラート]を参照してください。 このオプションには DSMにただちに通知 を選択してください。

[DSMにただちに通知]オプションを有効にするには、 コンピュータまたはポリシーエディタ > [設定] > [一般] で、 エージェントが開始した または 双方向 通信用にエージェントを設定する必要があります。**)有効にすると、攻撃またはプローブの検出時にすぐにエージェントが Workload Security に対してハートビートを開始します。

攻撃が検出されると、一定期間、送信元IPからのトラフィックをブロックするようにエージェントに指示できます。 トラフィックのブロック ドロップダウンを使用して分数を設定します。

アラートは次のとおりです。

  • コンピュータOSのフィンガープリント調査: エージェントは、コンピュータのOSを発見しようとする試みを検出します。
  • ネットワークまたはポート検索: エージェントは、リモートIPがポートとのIPの異常な比率にアクセスしていることを検出した場合、ネットワークまたはポートの検索をレポートします。通常、エージェントコンピュータには自身宛てのトラフィックのみが表示されるため、ポートスキャンが最も一般的な種類のプローブで検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
  • TCP Null検索: エージェントは、フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN検索: エージェントは、SYNおよびFINフラグのみが設定されたパケットを検出します。
  • TCP Xmas検索: エージェントは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFF(検出可能なすべてのフラグが設定された値)のパケットを検出します。

「ネットワーク検索」と「ポート検索」は、他の種類の偵察と異なり、1つのパケットで認識できないため、一定期間トラフィックを監視するには Workload Security が必要です。エージェントは、リモートIPがポートとのIPの異常な比率にアクセスしていることを検出した場合、コンピュータまたはポートの検索をレポートします。通常、エージェントコンピュータには自身宛てのトラフィックのみが表示されるため、ポートスキャンは検出される最も一般的なタイプのプローブです。ただし、コンピュータがルーターまたはブリッジとして動作している場合、クライアントが多数の他のコンピュータ宛てのトラフィックを検出する可能性があるため、エージェントがコンピュータの検索を検出する可能性があります(たとえば、ポート80が開いているコンピュータのサブネット全体を検索するなど)。
エージェントが失敗した接続を追跡し、比較的短時間で、単一のコンピュータから来て失敗した接続の異常な数が存在することを決定できるようにする必要があるので、これらのスキャンを検出することは、数秒かかることがあります。

ブラウザアプリケーションがインストールされたWindowsコンピュータで実行されているエージェントは、閉じられた接続から到着するトラフィックが残っているため、偽陽性の偵察検索を報告することがあります。攻撃の予兆警告に対応する方法の詳細については、「警告: 攻撃の予兆の検出を参照してください。

詳細

イベント

「ポリシーで未許可」のパケットに対して、イベントを生成するかどうかを設定します。これらは、[許可] ファイアウォールルールで明確に許可されていないため、ブロックされているパケットです。このオプションを [はい] に設定すると、有効なファイアウォールルールに応じて、大量のイベントが生成される場合があります。

ファイアウォールイベント

ファイアウォール イベントは、メインの Workload Security コンソールウィンドウと同じ方法で表示されますが、このポリシーまたは特定のコンピュータに関連するイベントだけが表示されます。