ファイアウォールルール

ファイアウォールルールを使用すると、ゾーンとネットワーク間のトラフィックフローを許可または禁止することができます。また、ポリシーおよびアクションを設定して、セキュリティコントロールを適用したり、トラフィックの優先順位を指定したりできます。

ファイアウォールルールは、IPv4 および IPv6 ネットワークに対して作成できます。ファイアウォールルールで指定可能なアクションは次のとおりです。

アクセスとログ記録

  • 一定期間に特定の条件 (送信元、宛先、サービス、ユーザーなど) に一致したトラフィックを、許可、破棄、拒否します。
  • リンク (送信元) NAT ルールを作成して、アドレス変換を行います。
  • ルールに一致したトラフィックを記録します。

ポリシーおよびスキャン

  • Web トラフィック、アプリケーションコントロール、IPS のポリシーを適用します。
  • Web プロキシフィルタリングで復号化およびスキャンを実行できます。
  • コンテンツを Sandstorm 分析に送信します。
  • Web、メール、FTP のトラフィックに対してマルウェアスキャンを強制的に行います。
  • Synchronized Security ハートビート によって、エンドポイントデバイスやサーバーのセキュリティ状態を XG Firewall に送信し、これらのデバイスやサーバーにアクションを適用します。

トラフィックの優先順位付け

  • 帯域幅の使用を制御します。
  • DSCP マーキングを使用してトラフィックの優先順位を設定します。

システムが生成するトラフィックに対するファイアウォールルールと、システムサービスへのアクセスを許可するファイアウォールルールは不要です。特定のゾーンからシステムサービスへのアクセスを指定するには、管理 > デバイスのアクセスに移動します。

  • ファイアウォールルールを手動で追加するには、ファイアウォールルールの追加新しいファイアウォールルールの順に選択します。
  • 宛先 NAT ルールとファイアウォールルールを自動的に作成するには、ファイアウォールルールの追加サーバーアクセスアシスタント (DNAT)の順に選択します。

サーバーアクセスアシスタント (DNAT)

受信トラフィックをサーバー (Web 、メール、SSH などのサーバー) に変換し、リモートデスクトップにアクセスするための DNAT ルールを作成できます。サーバーアクセスアシスタントでは、再帰 SNAT ルール (サーバーからの送信トラフィック用)、ループバックルール (サーバーにアクセスする内部ユーザー用)、およびファイアウォールルール (サーバーへの受信トラフィックを許可するルール) も自動的に作成されます。

ルールおよびルールグループ

ファイアウォールルールを作成し、ルールグループに追加できます。

トラフィックがファイアウォールルールに一致するかどうかの照合は、ルールグループに対してではなく、個々のルールに対して行われます。ルールグループの条件は、ファイアウォールルールをグループ化するためだけに使用されます。

デフォルトのルール

XG Firewall では、WAN、DMZ、および内部ゾーン (LAN、Wi-Fi、VPN、DMZ) へのトラフィックを破棄するファイアウォールルールから成る、デフォルトのルールグループが作成されます。これらのルールは、デフォルトで無効になっています。

MTA モードをオンにすると、MTA 用のファイアウォールルールおよびリンク NAT ルールが自動的に作成されます。MTA モードはデフォルトでオンになっています。

自動または手動でファイアウォールルールを作成した場合は、その位置を確認し、ルールが想定どおりにトラフィックに一致するようにしましょう。

メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。 後で手動でファイアウォールルールを作成してルールの位置最上位に設定した場合や、別のルールが自動的に作成された場合、それらのルールがルールテーブルの最上位に配置されます。 既存ルールと同じ条件が新しいルールに設定されている場合は、新しいルールのポリシーとアクションが適用され、メール配信エラーが発生したり、トンネルが確立されないなど、予期しない結果につながることがあります。

デフォルトのすべてをドロップルールには、ID 0 が割り当てられます。このルールは、どのファイアウォールルールの条件にも一致しないトラフィックを破棄します。このルールは、ルールテーブルの一番下に配置されます。このルールを編集、削除、移動することはできません。使用回数は表示されません。フィルタはこのルールには適用されません。

ルールグループ

空のファイアウォールルールグループを作成することはできません。したがって、ルールテンプレートからルールを作成するときにルールグループを作成するか、ルールテーブルにある既存のルールからルールグループを作成するようにしてください。

ルールグループにルールを追加したり、グループからルールを解除することができます。ルールグループを空にすることはできません。ルールグループから最後のルールを削除すると、そのルールグループは削除されます。

ルールテーブルでの操作

  • ルールテーブルに IPv4 または IPv6 ルールを表示するには、IPv4またはIPv6を選択します。
  • ルールフィルタを非表示にするにはフィルタの無効化を、表示するにはフィルタの有効化を選択します。
  • ルールまたはルールグループの有効/無効を切り替えるには、ルールまたはルールグループを選択し、有効または無効を選択します。

    有効なルールと無効なルールの組み合わせを選択した場合、これらのボタンは使用できません。

  • ルールまたはルールグループを削除するには、ルールまたはルールグループを選択し、削除を選択します。
  • ルールをルールパラメータでフィルタリングするには、フィルタを追加を選択し、フィールド名とそのオプションを選択します。

    フィルタを適用すると、ルールグループを選択できなくなります。これは、有効なルールと無効なルールの両方がルールグループに含まれている可能性があるためです。個々のルールは選択できます。

  • ルールフィルタをリセットするには、フィルタのリセットを選択します。
  • ルールテーブルでルールの詳細を表示するには、機能とサービスのアイコンにカーソルを合わせます。
  • ルールまたはルールグループを無効にするには、ルールまたはルールグループを選択し、無効を選択します。
  • ルールグループを編集するには、「編集」ボタン をクリックします。
  • ハッシュ (#) はルールの位置を示します。ルールまたはルールグループの位置を変更するには、ルールハンドル (「ルールハンドル」ボタン) をドラッグ&ドロップします。XG Firewall では、一致するルールが見つかるまで、上から下に向かってルールが評価されます。パケットがルールに一致すると、その後のルールは評価されません。そのため、できるだけ具体的なルールを上位に配置するようにしてください。

    ルールグループ内のルールの位置は、変更できます。ルールの位置をグループを超えて変更するには、グループからそのルールを解除するか、またはグループの位置を変更します。

詳細オプション (「オプションをもっと表示」ボタン) をクリックして、次の操作を行えます。

  • ルールの有効/無効をスイッチで切り替えます。
  • データ転送量をリセットするには、ルールのデータ転送量計算のリセットを選択します。これは、トラブルシューティングのときに便利です。

    ルールを使用したデータ転送量を確認するは、レポート > ダッシュボードにアクセスします。トラフィックダッシュボードを選択し、許可するポリシーまでスクロールします。

  • ルールを編集または削除するには、該当する操作を選択します。
  • 既存のルールの次にルールを追加または複製するには、該当する操作を選択します。
  • ファイアウォールルールをグループから解除するには、解除を選択します。

    ルールグループの操作: ルールの横の詳細オプション (「オプションをもっと表示」ボタン) をクリックして、ルールグループを操作できます。

  • ルールグループにまだ関連付けていないルールから、ルールグループを作成できます。ルールの横のグループへの追加から新しいグループを選択します。グループ名に入力し、ルールの種類、送信元ゾーン、宛先ゾーンを指定してください。
  • ルールグループにルールを追加するには、グループを選択するか、新しいグループを追加します。
  • ルールグループを削除するには、「削除」ボタン をクリックします。

リンク NAT ルール

リンク NAT ルールは送信元 NAT ルールであり、NAT ルールテーブルに表示されます。これらのルールは、ファイアウォールルール ID と名前で識別できます。

XG Firewall では、送信元 NAT ルールを適用する前に、ファイアウォールルールを適用します。リンク NAT ルールの上にある NAT ルールに一致した場合は、そのルールが適用され、その下にあるリンク NAT ルールとの照合は行われません。また、リンク NAT ルールは、リンク先のファイアウォールルールに一致したトラフィックにのみ適用されます。

リンク NAT ルールからファイアウォールルールへのリンクは、NAT ルールテーブルで解除することができます。元のファイアウォールルールへのリンクを解除すると、NAT ルールを編集できるようになります。また、元のファイアウォールルールとは独立して、その NAT ルールの条件に従って照合されるようになります。

ルールのステータス

ステータス

説明

未使用

一致するトラフィックが過去 24時間以内に見つかりませんでした。

無効

手動で無効にしました。

変更

過去 24時間以内に更新されました。

新規

過去 24時間以内に作成されました。

ルールテーブルのアイコン

アイコン

説明

ユーザーのルール

既知のユーザーを一致が選択されていません。

ルールが無効になっています。

アクションが許可に設定されています。

ルールが無効になっています。

アクションが破棄または拒否に設定されています。

ルールが有効になっています。

アクションが許可に設定されています。

ルールが有効になっています。

アクションが「破棄」または「拒否」に設定されています。

無効: Web、FTP、メールのトラフィックのスキャン。Web プロキシ。トラフィックのログ。

ログオフ

ポリシーをなしに設定: Web ポリシー、アプリケーションコントロール、侵入防御、トラフィックシェーピング。

無効になっているか、制限なし: セキュリティハートビート

有効: Web、FTP、メールのトラフィックのスキャン。Web プロキシ。ファイアウォールルールの除外。トラフィックのログ。

ポリシーを指定済み: IPS、トラフィックシェーピング

ポリシーを許可に設定: Web ポリシー、アプリケーションコントロール

ポリシーをマルウェアおよび PUA 検出に設定: セキュリティハートビート

制限なし、マルウェアおよび PUA 検出に設定: セキュリティハートビート

ポリシーを破棄に設定: Web ポリシー、アプリケーションコントロール

ポリシーを PUA 検出に設定: セキュリティハートビート

制限なし、PUA 検出に設定: セキュリティハートビート

ポリシーを「拒否」に設定: Web ポリシー、アプリケーションコントロールポリシー

制限なし、ハートビートなし: セキュリティハートビート

NAT およびルーティングの移行

NAT 設定

SFOS 18.0 に旧バージョンから移行する場合、ファイアウォールルールの NAT 設定は NAT ルールとして移行され、NAT ルールテーブルに表示されます。ゲートウェイベースの NAT 設定はできなくなりました。

XG Firewall では、ファイアウォールルール ID を使用して、トラフィックが移行後の NAT ルールに一致するかどうかを照合します。SFOS 18.0 よりも古いバージョンからの NAT の移行について詳しくは、NAT ルールを参照してください。

ルーティング設定

SFOS 18.0 以降のバージョンでは、SD-WAN ポリシールーティングでルーティングポリシーを指定する必要があります。本バージョンから、ルーティングの設定はファイアウォールルールに含まれなくなっています。XG Firewall の以前のバージョンから移行すると、ファイアウォールルール内のルーティングの設定は、「移行された SD-WAN ポリシールート」として移行されます。移行された内容は、SD-WAN ポリシーのルーティングテーブルで確認することができます。このように移行されたポリシールートは、ファイアウォールルール ID とルール名で特定できます。

ファイアウォールルール ID に基づいて、移行されたルートとトラフィックがマッチングされます。 SFOS 18.0 よりも古いバージョンからのポリシールートの移行について詳しくは、移行後の SD-WAN ポリシールートを参照してください。

ファイアウォールルールの移行: ルールの動作

SFOS 17.5 以前のバージョンでは、ビジネスアプリケーションのルールとユーザー/ネットワークのルールが同じルールテーブルに表示されていましたが、これらのルールはそれぞれ照合されていました。

宛先 NAT ルールに一致したシステム宛てのトラフィック (例: XG Firewall サービスへのアクセス) および受信トラフィック (例: 内部サーバーへのトラフィック) については、ユーザー/ネットワークのルールを無視し、ビジネスアプリケーションのルールに対してのみ照合を行っていました。

SFOS 18.0 からは、ビジネスアプリケーションとユーザー/ネットワークのルールの区別がなくなり、両方ともファイアウォールルールとして提供されるようになりました。以前のバージョンにおけるルール一致の動作が移行後に影響を受けないようにするため、システム宛てのトラフィックおよび受信トラフィックについては、ビジネスアプリケーションのルールよりも上に配置されたユーザー/ネットワークのルールが移行後も無視されるようになっています。

Web サーバーのルールと保護ポリシー: いくつかの保護カテゴリを 1つのカテゴリに統合し、フィルタルールを新しいルール ID にマッピングし、フィルタの強度レベルを導入しました。 詳細は、Web サーバーの保護ポリシーでご確認ください。