コンピュータで使用可能なインタフェースを検出して設定する

コンピュータエディタには [インタフェース] ページがあり、 ポリシーエディタには [インタフェースの種類] ページがあり、どちらもコンピュータで検出されたインタフェースを表示します。複数のインタフェースが割り当てられたポリシーがコンピュータに割り当てられている場合は、ポリシーで定義されたパターンに一致するインタフェースが識別されます。

ポリシー エディタの [インタフェースの種類] ページには、インタフェースの分離や複数のインタフェースなどの追加の設定オプションが用意されています。

複数のインタフェースに対してポリシーを設定する

複数のインタフェースを備えたコンピュータがある場合は、ファイアウォールルールなど、ポリシーのさまざまな要素を各インタフェースに割り当てることができます。

1. ポリシーエディタで、[インタフェースの種類] をクリックします。

2. [ネットワークインタフェースの種類] で、[ルールを特定のインタフェースに適用] を選択します。

3. [インタフェースの種類] に、名前とパターン一致文字列を入力します。

インタフェースタイプ名は参照目的でのみ使用されます。一般的な名前には、LAN、WAN、DMZ、Wi-Fiなどがありますが、ネットワークのトポロジにマッピングするために任意の名前を使用できます。

すべてのコンテナネットワークインタフェースおよびホスト仮想インタフェースに使用されるインタフェース名はintegrated_vethで、MACアドレスは02:00:00:00:00:00です。

一致によってワイルドカードベースのインタフェース名が定義され、インタフェースが適切なインタフェースタイプに自動的にマッピングされます。たとえば、「ローカルエリア接続*」、「eth*」、または「ワイヤレス*」です。インタフェースを自動的にマッピングできない場合は、アラートがトリガーされます。特定のコンピュータの コンピュータ エディタの [インタフェース] ページから手動でマッピングできます。

これらのエントリのいずれにも一致しないインタフェースがコンピュータ上で検出された場合は、アラートが表示されWorkload Security。

インタフェース制限を強制する

インタフェース制限 が有効な場合、ファイアウォールは正規表現パターンをローカルコンピュータのインタフェース名と照合しようとします。インタフェース制限を適用するには、ポリシーまたはコンピュータエディタの [ファイアウォール]→[ インタフェース制限 ] タブにある [ インタフェース制限の有効化 ] をクリックし、コンピュータのインタフェース名と一致する文字列パターンを優先度順に入力します。

インタフェース制限を有効にする前に、インタフェースパターンを適切な順序で設定し、必要な文字列パターンをすべて追加し、不要なパターンは削除してください。優先度が最も高いパターンのインタフェースのみが、トラフィックの転送を許可されます。その他のインタフェース (リストの残りのパターンのいずれかに一致するインタフェース) は制限されます。制限付きインタフェースでは、ファイアウォールの許可ルールを使用して特定のトラフィックの通過を許可しない限り、すべてのトラフィックがブロックされます。

[1つのアクティブインタフェースに制限] を選択すると、優先度が最も高いパターンのインタフェースが複数見つかった場合でも、1つのインタフェースからのトラフィックのみが許可されます。

Workload Securityでは、POSIXの基本正規表現を使用してインタフェース名を照合します。詳細については、「基本的な正規表現」を参照してください。