ファイアウォールルール

ファイアウォールルールは、個々のパケットの管理情報を確認します。これらの画面に定義されたルールに基づいて、パケットをブロックまたは許可します。ファイアウォールルールは、直接、コンピュータまたはポリシーに割り当てられ、さらに、コンピュータまたはコンピュータ全体に割り当てられます。

ファイアウォールルールのアイコン:

• 通常のファイアウォールルール
• スケジュールに従って動作するファイアウォールルール

メイン画面から、次のことを実行できます。

• ファイアウォールルールを新規作成する ()
• XMLファイル ([新規] メニューの下) からファイアウォールルールをインポートする ()
• 既存のファイアウォールルールのプロパティを確認または変更する ()
• 既存のファイアウォールルールを複製 (および変更) する ()
• ファイアウォールルールを削除する ()
• 1つ以上のファイアウォールルールをXMLファイルまたはCSVファイルにエクスポートする () ([エクスポート] ボタンをクリックして対象をすべてエクスポートするか、リストで選択して、選択または表示された対象のみをエクスポートする)
• [列] をクリックして列を追加または削除 () する。列の表示順序は、列を表示する位置にドラッグして変更できます。一覧表示されたアイテムは、列の内容でソートおよび検索できます。

[新規] () または [プロパティ] () をクリックして、[ファイアウォールルールのプロパティ] 画面を表示します。

ファイアウォールルールのプロパティ

一般情報

• 名前: ファイアウォールルールの名前。
• 説明: ファイアウォールルールの詳細な説明。
• 処理: ファイアウォールルールによって、4つの異なる処理が可能です。これらについて、次に順を追って説明します。
  1. ファイアウォールでは、トラフィックのバイパスが可能です。これは、パケットがファイアウォールと侵入防御エンジンをすべてバイパスできるようにするための特別なルールです。この設定は、フィルタリングを望まないメディア集約プロトコルのために設計されています。バイパスルールの詳細は、「参照」セクションの「バイパスルール」を参照してください。
  2. ログのみが可能です。つまり、ログにエントリを作成するだけで、トラフィックに干渉しません。
  3. 定義済みのトラフィックを強制的に許可できます (他のトラフィックを除外することなく、このルールによって定義されたトラフィックを許可できます)。
  4. トラフィックの拒否が可能です (このルールによって定義されたトラフィックを拒否します)。
  5. トラフィックの許可が可能です (このフィルタによって定義されたトラフィックを例外的に許可します)。
     コンピュータに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。許可ルールを1つ作成したら、許可ルールの条件を満たしていないかぎり、その他すべてのトラフィックがブロックされます。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールでブロックされていないかぎり、常に許可されます。
  特定のパケットに適用されるのは、1つのルール処理だけです。同じ優先度のルールが複数ある場合は、上記の順序で適用されます。
• 優先度: ルール処理に「強制的に許可」、「拒否」、または「ログのみ」を選択した場合、ここには0 (最低) から4 (最高) の優先度を設定できます。優先度を設定すると、ルール処理を組み合わせて、階層型のルール効果を実現できます。ログのみルールでの優先度は4のみ設定でき、許可ルールでは0のみが設定できます。
  優先度により、ルールが適用される順序を決定します。優先度の低いルールよりも先に優先度の高いルールが適用されます。たとえば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。
• パケットの方向: このルールが受信または送信のどちらのトラフィックに適用されるかを選択します。
• フレームの種類: フレームの種類を選択します。[選択以外] チェックボックスを使用して、このフレームの種類をフィルタリングするのか、このフレーム以外の種類をフィルタリングするのかを指定します。
  IPv4またはIPv6のいずれかを選択できます。両方を指定するには、[IP] を選択します。
  フレームの種類のリストについては、Internet Assigned Numbers Authority (IANA) のWebサイトを参照してください。
• プロトコル: ルールで検索するプロトコルを選択または指定します。このチェックボックスを使用して、このプロトコルをフィルタするのか、またはこのプロトコル以外をフィルタするのかを指定します。
  事前定義された共通プロトコルのリストから選択するか、[その他] を選択してプロトコル番号 (0～255の3桁の10進値) を入力できます。

パケット送信元

次のオプションは、パケットヘッダの送信元情報に適用されます。

• IP: IPアドレス、マスクされているIPアドレス、IP範囲を指定するか、または [IPリスト] 画面で定義したIPリストから選択します。
• MAC: MACアドレスを指定するか、または [MACリスト] 画面で定義したMACリストから選択します。
• ポート: ポートオプションで、カンマ区切りのポートリスト、ダッシュ区切りのポート範囲、または単一のポート (80、443、1-100など) を指定するか、または [ポートリスト] 画面で定義したポートリストから選択できます。

パケット送信先

次のオプションは、パケットヘッダの送信先情報に適用されます。

• IP: IPアドレス、マスクされているIPアドレス、IP範囲を指定するか、または [IPリスト] 画面で定義したIPリストから選択します。
• MAC: MACアドレスを指定するか、または [MACリスト] 画面で定義したMACリストから選択します。
• ポート: ポートオプションで、カンマ区切りのポートリスト、ダッシュ区切りのポート範囲、または単一のポート (80、443、1-100など) を指定するか、または [ポートリスト] 画面で定義したポートリストから選択できます。

指定フラグ

前述の [一般情報] セクションで、プロトコルにTCP、ICMP、またはTCP+UDPを選択した場合、特定のフラグを監視するようにファイアウォールルールに指示できます。

イベント

このルールによってイベントログを有効にするか無効にするかを選択します。イベントログが有効な場合は、イベントのパケットデータを記録できます。

オプション

アラート

このファイアウォールルールがトリガされたときに、アラートをトリガする必要があるかどうかを選択します。このルールを特定の期間だけ有効にする場合は、リストのスケジュールを割り当てます。

スケジュール

予約された時間のみファイアウォールルールを有効化するかどうかを選択します。

コンテキスト

ルールコンテキストは、コンピュータのネットワーク環境に応じて異なるセキュリティポリシーを実装する強力な方法です。コンテキストは一般的に、コンピュータ (通常はモバイルノートパソコン) が社内または社外にあるかどうかで異なるファイアウォールや侵入防御ルールを適用するポリシーを作成するために使用します。

コンテキストは、ファイアウォールルールおよび侵入防御ルールと関連付けられるよう設計されています。ルールに関連付けられたコンテキストの定義条件に一致した場合、ルールは適用されます。

コンピュータの場所を決定するには、コンピュータがどのようにドメインコントローラと接続されているかコンテキストで検証します。コンテキストの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[コンテキスト] を参照してください。

割り当て対象

このタブには、このファイアウォールルールおよびこのルールが直接適用されるすべてのコンピュータを含む、ポリシーのリストが表示されます。ファイアウォールルールは [ポリシー] 画面のポリシーと、[コンピュータ] 画面のコンピュータに割り当てることができます。