目次

ファイアウォールの設定

[ファイアウォール] モジュールは、双方向のステートフルなファイアウォール保護を提供します。DoS攻撃を阻止し、すべてのIPベースのプロトコルとフレームタイプに対応するほか、ポート、IPアドレス、およびMACアドレスをフィルタリングします。

コンピュータエディタまたはポリシーエディタの ファイアウォール セクションには、次のタブセクションがあります。

一般

ファイアウォール

ファイアウォールのオン/オフの状態を親ポリシーから継承するようにこのポリシーまたはコンピュータを設定することも、ローカルで設定をロックすることもできます。

ファイアウォールステートフル設定

このポリシーに適用するファイアウォールステートフル設定を選択します。このポリシーに複数のインタフェースを定義している場合は、インタフェースごとに個別の設定を指定できます。ステートフル設定の作成の詳細については、ステートフル設定の定義 を参照してください。

割り当てられたファイアウォールルール

このポリシーまたはコンピュータに有効なファイアウォールルールが表示されます。ファイアウォールルールを追加または削除するには、 [割り当て/割り当て解除 ] をクリックします。

コンピュータ または ポリシー エディタウィンドウから、ファイアウォールルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。

ルールをローカルで編集するには、ルールを右クリックし、[ プロパティ] の順に選択します。

ルールをグローバルに編集するには、ルールを右クリックし、[ Properties (Global)] を選択します。

ファイアウォールルール作成については、「ファイアウォールルールの作成」を参照してください。

インタフェース制限

インタフェース制限の有効/無効状態を親ポリシーから継承したり、設定をローカルでロックするようにこのポリシーまたはコンピュータを設定できます。

[ インタフェース制限] を有効にする前に、インターフェイスパターンが正しい順序で設定されていること、および必要な文字列パターンがすべて削除または追加されていることを確認してください。最も優先度の高いパターンに一致するインタフェースのみがトラフィックの送信を許可されます。その他のインタフェース (リストの残りのパターンのいずれかに一致するインタフェース) は制限されます。制限付きインタフェースでは、ファイアウォールの許可ルールを使用して特定のトラフィックの通過を許可しない限り、すべてのトラフィックがブロックされます。 { .warning }

インタフェース制限ポリシーを設定するには

  1. [インタフェース制限]タブで、[ インタフェース制限の有効化 ]を選択します。
  2. インタフェースパターンを設定します。
  3. 保存 をクリックします。

インタフェースパターン

インタフェース制限を有効にすると、ファイアウォールは正規表現パターンをローカルコンピュータのインタフェース名と照合します。

Workload Security では、POSIXの基本正規表現を使用してインタフェース名を照合します。

最も優先度の高いパターンに一致するインタフェースのみがトラフィックの送信を許可されます。その他のインタフェース (リストの残りのパターンのいずれかに一致するインタフェース) は制限されます。制限付きインタフェースは、 Allow ファイアウォールルールを使用して特定のトラフィックの通過を許可しない限り、すべてのトラフィックをブロックします。

[ アクティブなインタフェースを1つに制限する] を選択し、最も優先度の高いパターンに一致するインタフェースが複数ある場合でも、トラフィックを1つのインタフェースのみに制限します。

攻撃の予兆

[攻撃の予兆] 画面では、コンピュータのトラフィック分析を有効にして設定することができます。この機能により、標的型攻撃の前段階として脆弱性を見つけるために使用されることの多い「予兆」を特検出することができます。

攻撃の予兆 検索は、TAPモードでは機能しません。攻撃の予兆 検索は、IPv4トラフィックでしか検出できません。

攻撃の予兆保護を有効にするには、 [コンピュータエディタ] または [ポリシーエディタ]→[ファイアウォール]→[一般] タブで、ファイアウォールとステートフルインスペクションも有効にする必要があります。また、 [コンピュータエディタ] または [ポリシーエディタ]→[ファイアウォール]→[詳細] タブの順に選択し、[「ポリシーの許可外」のパケットのファイアウォールイベントを生成します]設定を有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されます。

攻撃の予兆を設定する場合、次のオプションがあります。

  • 攻撃の予兆検索の検出の有効化: 攻撃の予兆検索の検出を有効または無効にします。初期設定では、すべての検索が通知付きレポートモードで有効になっています。通知を無効にする場合、またはレポートモードから一時的なブロックモードに切り替える場合は、リストから [ はい ] を選択し、変更を加えます。

  • 検出を実行するコンピュータ/ネットワーク: 保護するIPをリストから選択します。既存のIPリストから選択します。 [ ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト ] 画面を使用して、この目的専用のIPリストを作成できます。

  • 次のトラフィックに対しては検出を実行しない: 無視するコンピュータおよびネットワークを一連のIPリストから選択します。 [ ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト ] 画面を使用して、この目的専用のIPリストを作成できます。

攻撃の種類ごとに、アラートが発生する Workload Security に情報を送信するようにエージェントに指示することができます。アラートが発生したときにメール通知を送信するように Workload Security を設定できます。詳細については、[管理]→[システム設定]→[アラート]を参照してください。 このオプションには DSMにただちに通知 を選択してください。

[DSMにすぐに通知] オプションを機能させるには、 コンピュータエディタまたはポリシーエディタの [設定]→[一般] で、エージェントが開始する または 双方向 通信用にエージェントを設定する必要があります。有効な場合、エージェントは攻撃またはプローブを検出するとすぐに、Workload Securityへのハートビートを開始します。

攻撃が検出されたら、一定期間、送信元IPからのトラフィックをブロックするようにAgentに指示できます。 [ Block Traffic ] フィールドを使用して、分数を設定します。

アラートは次のとおりです。

  • コンピュータOSのフィンガープリント調査: エージェントは、コンピュータのOSを発見しようとする試みを検出します。
  • ネットワークまたはポート検索: リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、エージェントはネットワークまたはポート検索をレポートします。通常、エージェントコンピュータは自分宛てのトラフィックのみを検出するため、検出されるプローブの種類としてはポート検索が最も一般的です。コンピュータまたはポートスキャンの検出で使用される統計分析方法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されたTAPSアルゴリズムに基づいています。
  • TCP Null検索: エージェントは、フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN検索: エージェントは、SYNおよびFINフラグのみが設定されたパケットを検出します。
  • TCP Xmas検索: エージェントは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFF(検出可能なすべてのフラグが設定された値)のパケットを検出します。

ネットワーク検索またはポート検索は、他の種類の攻撃の予兆とは異なり、単一のパケットでは認識できず、一定期間トラフィックを監視する必要がありWorkload Security。エージェントは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、コンピュータまたはポートの検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としては、ポート検索が最も一般的です。ただし、コンピュータがルータまたはブリッジとして機能している場合は、他の多数のコンピュータ宛てのトラフィックが検出される可能性があるため、エージェントはコンピュータの検索 (たとえば、サブネット全体でポート80が開いているコンピュータを検索) を検出できます。 。

エージェントが失敗した接続を追跡し、比較的短時間で、単一のコンピュータから来て失敗した接続の異常な数が存在することを決定できるようにする必要があるので、これらのスキャンを検出することは、数秒かかることがあります。

ブラウザアプリケーションがインストールされたWindowsコンピュータで実行されているエージェントは、閉じられた接続から到着するトラフィックが残っているため、偽陽性の偵察検索を報告することがあります。攻撃の予兆警告に対応する方法の詳細については、「警告: 攻撃の予兆の検出を参照してください。

詳細

イベント

許可ポリシー外のパケットに対してイベントを生成するかどうかを設定します。これらは、 Allow ファイアウォールルールによって明確に許可されていないためにブロックされたパケットです。このオプションをはいに設定すると、有効なファイアウォールルールによっては、大量のイベントが生成される場合があります。

ファイアウォールイベント

ファイアウォール イベントは、メインの Workload Security コンソールウィンドウと同じ方法で表示されますが、このポリシーまたは特定のコンピュータに関連するイベントだけが表示されます。