目次

コンピュータで使用可能なインタフェースの検出と設定

コンピュータエディタとポリシーエディタの [インタフェース] セクション (コンピュータエディタ) と [インタフェースの種類] セクション (ポリシーエディタ) には、コンピュータで検出されたインタフェースが表示されます。インタフェースが複数割り当てられたポリシーがコンピュータに割り当てられている場合、ポリシーで定義されたパターンと一致するインタフェースが検出されます。

ポリシーエディタの [インタフェースの種類] セクションにはこの他にも以下の機能があります。

複数のインタフェースに対してポリシーを設定する{Configur}

コンピュータに複数のインタフェースがある場合は、ファイアウォールルールなどのポリシーの各種エレメントを各インタフェースに割り当てることができます。

  1. ポリシーエディタで [インタフェースの種類] をクリックします。

  2. [ネットワークインタフェースの種類] セクションで、[ルールを特定のインタフェースに適用] を選択します。

  3. 表示された [インタフェースの種類] セクションで、名前とパターン照合文字列を入力します。

インタフェースの種類の名前は、参照用でのみ使用されます。一般的な名前には、「LAN」、「WAN」、「DMZ」、「Wi-Fi」などがありますが、どのような名前をネットワークのトポロジーで使用してもかまいません。

すべてのコンテナネットワークインタフェースおよびホスト仮想インタフェースに使用されるインタフェース名は「integrated_veth」で、MACアドレスは02:00:00:00:00:00です。

パターン照合ではワイルドカードによるインタフェース名の照合ができ、インタフェースを適切な種類へ自動マッピングします。例としては、「ローカルエリア接続 *」、「eth*」、または「ワイヤレス *」があります。自動でインタフェースをマッピングできないときは、アラートがトリガされます。その際は、特定のコンピュータのコンピュータエディタの [インタフェース] 画面から手動でマッピングできます。

Workload Security が、コンピュータ上のこれらのエントリに一致しないインタフェースを検出した場合、アラートが発生します。

インタフェース制限を強制する

インタフェース制限が有効な場合、ファイアウォールでは、ローカルコンピュータのインタフェース名が、正規表現パターンと照合されます。インタフェース制限を強制するには、ポリシーエディタまたはコンピュータエディタの [ファイアウォール]→[インタフェース制限] タブにある [インタフェース制限の有効化] オプションをクリックして、コンピュータのインタフェース名と一致する文字列パターンを優先度順に入力します。

インタフェース制限を有効にする前に、インタフェースパターンが正しい順序で設定されていること、およびすべての必要な文字列パターンが削除または追加されていることを確認してください。優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。それ以外のインタフェース (リスト内にある残りのパターンのいずれかと一致するインタフェース) は、「制限」されます。制限されたインタフェースは、ファイアウォールの [許可] ルールを使用して特定のトラフィックを許可しないかぎり、すべてのトラフィックをブロックします。

[1つのアクティブインタフェースに制限] を選択すると、優先度が最も高いパターンのインタフェースが複数見つかった場合でも、1つのインタフェースからのトラフィックのみが許可されます。

Workload Security では、POSIXの基本正規表現を使用してインタフェース名を照合します。基本的なPOSIX正規表現の詳細については、 https://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap09.html#tag_09_03を参照してください。