概要
Deep Security でファイアウォール機能および侵入防御機能を有効化しています。
保護対象のサーバは複数のインタフェース(NIC)を装備しており、外向けの通信のみ監視したいものの、ルールが全てのインタフェースへ適用されて社内向けインタフェース上で必要な通信が阻害されてしまいます。
特定のインタフェースにのみ、ファイアウォールや侵入防御を有効化する方法はありませんか。
詳細
個々のルールに対しては、インタフェース単位で適用の可否を設定可能です。
ただし、推奨設定の検索によって自動的に適用されるルールは、無条件に「すべてのインタフェース」が適用されます。
将来自動的に適用されるルールも含め、特定のインタフェースにはあらゆるファイアウォール・侵入防御ルールを適用したくない場合、以下の方法があります。
方法1:インタフェースからDeep Security Agentのドライバを外す
特定のWindowsコンピュータのみ、ルールを適用するインタフェースを制限したい場合に有効な手段です。
-
[コントロールパネル]-[ネットワークと共有センター]から、ルールを適用したくないインタフェースを選択します。(コントロールパネルの表示を「カテゴリ」にしている場合、[ネットワークとインターネット]-[ネットワークと共有センター]の順で選択します)
-
[プロパティ]をクリックし、項目の中から[Trend Micro LightWeight Filter Driver]のチェックを外して[OK]をクリックします。
Windows Server 2003の場合、[コントロールパネル]-[ネットワーク接続]から、ルールを適用したくないインタフェースのプロパティを開き、[Trend Micro DSA Filter Driver]のチェックを外します。
方法2:条件に合致する名称のインタフェースへバイパスルールを適用する
同一名称のインタフェースを持つ複数のコンピュータが存在する場合や、Linuxコンピュータ向けに有効な手段です。
-
[ポリシー]画面から、対象コンピュータへ適用している(もしくは適用予定の)ポリシーをダブルクリックします。
-
[インタフェースの種類]画面から、[ルールを特定のインタフェースに適用]を選択し、全ルールから除外したいインタフェースの名称を各「インタフェースの種類」欄へ登録します。
-
[ファイアウォール]画面から、[割り当て/割り当て解除]をクリックし、[新規]-[新規ファイアウォールルール]を選択します。
-
ルールに任意の名称(この例では、[Bypass_All_Incoming])を付け、下図のような受信方向パケットを全てバイパスするルールを作成します。
-
同様に送信方向パケットを全てバイパスするルールを作成します。
-
新規作成した2つのルールは、「全てのインタフェースの種類」に適用されていますので、一旦チェックを外してから、除外インタフェースに対してのみチェックを入れます。
- [OK]をクリックして2つのバイパスルールを適用します。
