ファイアウォールルール

ファイアウォールルールを使用すると、ゾーンとネットワーク間のトラフィックフローを許可または禁止できます。ポリシーとアクションを実装して、セキュリティ制御とトラフィックの優先順位付けを適用できます。

IPv4 および IPv6 ネットワーク用のファイアウォールルールを作成できます。ファイアウォールルールを使用して、次のアクションを実装できます。

アクセスとログ

• 条件に基づいてトラフィックを許可、破棄、または拒否します。条件には、送信元、宛先、サービス、ユーザー、期間を指定できます。
• アドレス変換用のリンク (送信元) NAT ルールを作成します。
• ルールの条件に一致するトラフィックをログに記録します。

ポリシーとスキャン

• Web トラフィック、アプリケーション制御、および IPS にポリシーを適用します。
• 復号化およびスキャンを使用した Web プロキシフィルタリングの実装
• コンテンツをゼロデイ対策解析に送信します。
• Web、メール、FTP トラフィックのマルウェアスキャンを適用します。
• Synchronized Security ハートビートを使用して、エンドポイントデバイスとサーバーにアクションを適用します。このハートビートによって、セキュリティ状態に関する情報が Sophos Firewall に送信されます。

トラフィックの優先順位付け

• 帯域幅制御を適用します。
• DSCP マーキングを使用したトラフィックの優先順位付け

システムが生成するトラフィックやシステムサービスへのアクセスを許可するファイアウォールルールは必要ありません。特定のゾーンからシステムサービスへのアクセスを制御するには、「管理 > デバイスのアクセス」に移動します。

• ファイアウォールルールを手動で追加するには、「ファイアウォールルールの追加」を選択した後、「新しいファイアウォールルール」を選択します。
• 宛先 NAT ルールとファイアウォールルールを自動的に作成するには、「ファイアウォールルールの追加」を選択してから、「サーバーアクセスアシスタント (DNAT)」を選択します。

サーバーアクセスアシスタント (DNAT)

DNAT ルールを作成し、サーバー (Web、メール、SSH などのサーバー) へのトラフィックを変換し、リモートデスクトップを利用できるようにします。このアシスタントによって、再帰 SNAT ルール (サーバーからの送信トラフィック用)、ループバックルール (サーバーにアクセスする内部ユーザー用)、およびファイアウォールルール (サーバーの受信トラフィックを許可するルール) も自動的に作成されます。

ルールおよびルールグループ

ファイアウォールルールを作成し、ルールグループに追加できます。

Sophos Firewall は、ルールグループではなく、ファイアウォールルールを評価して、基準とトラフィックを照合します。ルールグループの一致基準は、ファイアウォールルールをグループ化するためだけに使用されます。

デフォルトのルール

Sophos Firewall では、WAN、DMZ、および内部ゾーン (LAN、Wi‑Fi、VPN、DMZ) へのトラフィックを破棄するファイアウォールルールを含むデフォルトのルールグループが作成されます。これらのルールはデフォルトでオフになっています。

MTA モードをオンにすると、メール MTA 用のファイアウォールルールが、リンクされた NAT ルールとともに自動的に作成されます。MTA モードはデフォルトでオンになっています。

デフォルトの「すべてをドロップ」ルールには ID 0 が割り当てられます。このルールは、ファイアウォールルールの基準に一致しないトラフィックをドロップします。ルールテーブルの下部に配置されます。このルールは編集、削除、または移動できません。使用数は表示されません。フィルタは適用されません。

ルールグループ

ファイアウォールルールなしでルールグループを作成することはできません。そのため、ルールテンプレートからルールを作成するとき、またはルールテーブルから既存のルールを使用してルールグループを作成します。

ルールグループにルールを追加したり、グループからルールを解除することができます。ルールグループを空にすることはできません。ルールグループに含まれるルールをすべて削除すると、そのルールグループも削除されます。

ルールテーブルのアクション

• ルールテーブルで IPv4 または IPv6 ルールを表示するには、「IPv4」または「IPv6」を選択します。
• ルールフィルタを表示または非表示にするには、「フィルタの無効化」および「フィルタの有効化」をそれぞれ選択します。

• ルールまたはルールグループのオン/オフを切り替えるには、「有効」または「無効」をクリックします。

  オンになっているルールとオフになっているルールを同時に選択した場合、この操作は実行できません。

• ルールまたはルールグループを削除するには、削除対象のルールを選択して、「削除」をクリックします。

• ルールパラメータでルールをフィルタリングするには、「フィルタを追加」をクリックし、フィールド名とそのオプションを選択します。

  フィルタを適用すると、ルールグループを選択できません。これは、グループに有効なルールと無効なルールの組み合わせが含まれている可能性があるためです。ただし、個々のルールを選択できます。

• ルールフィルタをリセットするには、「フィルタのリセット」をクリックします。

• ルールテーブルでルールの詳細を表示するには、「機能とサービス」の下のアイコンにカーソルを合わせます。
• ルールグループを編集するには、「編集」 をクリックします。

• ハッシュ (#) は、ルールの位置を示します。ルールまたはルールグループの位置を変更するには、ルールハンドル () をクリックしてドラッグします。Sophos Firewall は、一致するルールが見つかるまで、上から下に向かってルールを評価します。パケットの一致が見つかると、後続のルールは評価されません。このため、特定のルールをより具体的でないルールよりも上に配置してください。

  ルールグループ内のルールの位置は、変更できます。グループを超えて位置を変更するには、グループからルールを切り離すか、グループの位置を変更します。

以下のルールのアクションを指定するには、「その他のオプション」 をクリックします。

• ルールをオンまたはオフにするには、スイッチを選択します。

• データ転送量の計算をリセットするには、「データ転送量計算のリセット」を選択します。これは、トラブルシューティングの際に役立ちます。

  ルールを使用して転送されたデータを確認するには、「レポート > ダッシュボード」に移動します。「トラフィックダッシュボード」を選択し、「許可するポリシー」まで下にスクロールします。

• ルールを編集または削除するには、該当するボタンを選択します。

• 既存のルールの横にルールを複製または追加するには、アクションを選択します。

• ファイアウォールルールをグループから解除するには、「解除」を選択します。

  ルールグループのアクション: ルールグループのアクションを指定するには、ルールの横にある「その他のオプション」 をクリックします。

• ルールグループに関連付けられていないルールのルールグループを作成できます。ルールの横にある「グループへの追加」で、「新しいグループ」を選択します。グループ名を入力し、ルールの種類と送信元および宛先ゾーンを指定します。

• ルールグループにルールを追加するには、グループを選択するか、新しいグループを追加します。
• ルールグループを削除するには、「削除」 をクリックします。

リンク NAT ルール

これらは送信元 NAT ルールであり、 NAT ルールテーブルにリストされています。ファイアウォールルール ID と名前で識別できます。

Sophos Firewall では、送信元 NAT ルールを適用する前に、ファイアウォールルールを適用します。リンクされたルールの上にある NAT ルールが一致基準を満たしている場合、Sophos Firewall はそのルールを適用し、リンクされたルールをさらに検索しません。ただし、リンクされた NAT ルールは、リンク先のファイアウォールルールと一致するトラフィックのみに適用されます。

リンクされた NAT ルールを NAT ルールテーブルからリンク解除できます。元のファイアウォールルールからルールのリンクを解除すると、NAT ルールを編集できます。これで、元のファイアウォールルールの基準ではなく、基準に基づいて元のファイアウォールルールとは無関係に評価されます。

ルールの状態

ルールテーブルアイコン

アイコン	説明
	ユーザーのルール
	「既知のユーザーを一致」が選択されていません。
	ルールがオフになっています。
	アクションが「許可」に設定されています。
	ルールがオフになっています。
	アクションが「破棄」または「拒否」に設定されています。
	ルールがオンになっています。
	アクションが「許可」に設定されています。
	ルールがオンになっています。
	アクションが「破棄」または「拒否」に設定されています。
	オフに設定: Web、FTP、またはメールトラフィックのスキャン。Web プロキシ (DPI がオン)。トラフィックのログ。
	ポリシーの設定: なし: Web ポリシー、アプリケーション制御、侵入防御、トラフィックシェーピング。
	オフになっているか、制限がありません: セキュリティハートビート:
	オンに設定: Web、FTP、またはメールトラフィックのスキャン。Web プロキシ: ファイアウォールルールでの除外。トラフィックのログ。
	指定されたポリシー: IPS、トラフィックシェーピング
	ポリシーの設定: 許可: Web ポリシー、アプリケーション制御
	ポリシーの設定: マルウェアおよび PUA 検出: セキュリティハートビート
	制限なし、マルウェアおよび PUA 検出に設定: セキュリティハートビート
	ポリシーの設定: 破棄: Web ポリシー、アプリケーション制御
	ポリシーの設定: PUA 検出: セキュリティハートビート
	制限なし、PUA 検出に設定: セキュリティハートビート
	ポリシーの設定: 拒否: Web ポリシー、アプリケーション制御ポリシー
	制限なし、ハートビートなし: セキュリティハートビート

NAT およびルーティングの移行

NAT 設定

以前のバージョンから SFOS 18.0 以降に移行する場合、ファイアウォールルールの NAT 設定は NAT ルールとして移行され、NAT ルールテーブルに表示されます。ゲートウェイベースの NAT 設定は利用できなくなりました。

Sophos Firewall は、ファイアウォールルール ID を使用して、移行された NAT ルールとトラフィックを照合します。SFOS 18.0 より前のバージョンからの NAT 移行について詳しくは、NAT ルールを参照してください。

ルーティング設定

SFOS 18.0 以降のバージョンでは、SD-WAN ルーティングでルーティングポリシーを指定する必要があります。本バージョンから、ルーティングの設定はファイアウォールルールに含まれなくなっています。Sophos Firewall を以前のバージョンから移行すると、ファイアウォールルールにあるルーティング設定は「移行後の SD-WAN ポリシールート」として移行されます。移行された内容は、SD-WAN ポリシーのルーティングテーブルで確認することができます。このように移行されたポリシールートは、ファイアウォールルール ID とルール名で特定できます。

Sophos Firewall はファイアウォールルール ID を使いトラフィックを移行ルーティングと一致させます。SFOS 18.0 より前のバージョンからのポリシールート移行の詳細については、移行後の SD-WAN ポリシールートを参照してください。

移行されたファイアウォールルール: ルールの動作

SFOS 17.5 以前では、ビジネス アプリケーション ルールとユーザーネットワーク ルールは単一のルールテーブルに表示されていましたが、Sophos Firewall は、これらのルールタイプを個別に評価して一致基準を見つけていました。

宛先 NAT ルールに一致したシステム宛てのトラフィック (Sophos Firewall サービスへのアクセスなど) および受信トラフィック (内部サーバーへのトラフィックなど) の場合、ユーザーネットワーク ルールは無視され、トラフィックはビジネス アプリケーション ルールと照合されました。

Sophos Firewall では SFOS 18.0 から、ビジネス アプリケーション ルールとユーザーネットワーク ルールの区別が削除されました。両方をファイアウォールルールとして提供するようになりました。統合が以前のバージョンのルールマッチング動作に影響しないようにするため、システム宛先および受信トラフィックの移行されたビジネスアプリケーションルールの上に配置された移行済みユーザーネットワークルールは引き続き無視されます。

Web サーバーのルールと保護ポリシー: Sophos Firewall では、一部の保護カテゴリが 1つのカテゴリに統合され、フィルタルールを新しいルール ID にマッピングされ、フィルタの強度レベルが導入されました。詳細については、Web サーバーの保護ポリシーを参照してください。

その他のリソース

• 保護ポリシー

• NAT ルール

• 内部サーバー用の DNAT とファイアウォールルールの作成

• リンクされた NAT ルールを使用したファイアウォールルールの作成

• 送信元 NAT ルールの作成

• Web プロキシフィルタリングを必要とするトラフィックの制御

• サーバーアクセスアシスタントを使用した DNAT ルールの追加

• NAT ルールの追加

• ファイアウォールルールの追加