特定インタフェースにのみファイアウォールや侵入防御機能を適用したい

Deep Security9.6 , Deep Security11.0 , Deep Security As A ServiceAll , Deep Security10.0 , Deep Security12.0 , Deep Security9.5

更新日: 2020/03/15

記事ID: KA-0005629

カテゴリ: Configure

Deep Security でファイアウォール機能および侵入防御機能を有効化しています。

保護対象のサーバは複数のインタフェース(NIC)を装備しており、外向けの通信のみ監視したいものの、ルールが全てのインタフェースへ適用されて社内向けインタフェース上で必要な通信が阻害されてしまいます。

特定のインタフェースにのみ、ファイアウォールや侵入防御を有効化する方法はありませんか。

個々のルールに対しては、インタフェース単位で適用の可否を設定可能です。

ただし、推奨設定の検索によって自動的に適用されるルールは、無条件に「すべてのインタフェース」が適用されます。

将来自動的に適用されるルールも含め、特定のインタフェースにはあらゆるファイアウォール・侵入防御ルールを適用したくない場合、以下の方法があります。

特定のWindowsコンピュータのみ、ルールを適用するインタフェースを制限したい場合に有効な手段です。

[コントロールパネル]-[ネットワークと共有センター]から、ルールを適用したくないインタフェースを選択します。(コントロールパネルの表示を「カテゴリ」にしている場合、[ネットワークとインターネット]-[ネットワークと共有センター]の順で選択します)
[プロパティ]をクリックし、項目の中から[Trend Micro LightWeight Filter Driver]のチェックを外して[OK]をクリックします。

Windows Server 2003の場合、[コントロールパネル]-[ネットワーク接続]から、ルールを適用したくないインタフェースのプロパティを開き、[Trend Micro DSA Filter Driver]のチェックを外します。

同一名称のインタフェースを持つ複数のコンピュータが存在する場合や、Linuxコンピュータ向けに有効な手段です。

[ポリシー]画面から、対象コンピュータへ適用している(もしくは適用予定の)ポリシーをダブルクリックします。
[インタフェースの種類]画面から、[ルールを特定のインタフェースに適用]を選択し、全ルールから除外したいインタフェースの名称を各「インタフェースの種類」欄へ登録します。
[ファイアウォール]画面から、[割り当て/割り当て解除]をクリックし、[新規]-[新規ファイアウォールルール]を選択します。
ルールに任意の名称(この例では、[Bypass_All_Incoming])を付け、下図のような受信方向パケットを全てバイパスするルールを作成します。
同様に送信方向パケットを全てバイパスするルールを作成します。
新規作成した2つのルールは、「全てのインタフェースの種類」に適用されていますので、一旦チェックを外してから、除外インタフェースに対してのみチェックを入れます。
[OK]をクリックして2つのバイパスルールを適用します。

この記事は役に立ちましたか？