ビジネスサポートポータルアカウントでログイン
ファイアウォールの許可(Allow)ルールに関する注意事項  

ファイアウォールの許可(Allow)ルールに関する注意事項

    • 更新日:
    • 9 Apr 2020
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • Trend Micro Virtual Patch for Endpoint All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Trend Micro Deep Security(以下、DS)、Trend Micro Virtual Patch for Endpoint(以下、TMVP)、ファイアウォールの「許可(Allow)」ルールを設定する際に注意すべき点を教えてください。
詳細
Public

DS 9.0 以降、TMVPより、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。

「許可(Allow)」ルールは、許可された以外のプロトコル/フレームの通信を全て拒否する暗黙の「拒否(Deny)」ルールを含んでいます。
ファイアウォールルールが割り当てられていない段階では、全ての通信が許可されていますが、受信(Incoming)または送信(Outgoing)どちらの方向でも「許可(Allow)」ルールを設定すると、それぞれの方向で許可されたもの以外の通信は全て拒否されます。

このため、「許可(Allow)」ルールを設定した場合に、意図しない通信が拒否されて以下の例のような問題が発生する場合があります。

・受信(Incoming)または送信(Outgoing)どちらの方向でも「許可(Allow)」ルールを設定する場合には、通常ARPフレームタイプを必ず許可しておく必要があります。
 ARPが拒否されると、IPアドレスからMACアドレスを解決できず、全てのイーサネット通信が正常に行えなくなります。

・受信(Incoming)または送信(Outgoing)どちかの方向のみに「許可(Allow)」ルールを設定した場合に、逆方向の通信が正常に行えなくなる場合があります。
 例えば受信(Incoming)方向に「ARP」および「Web Server」に対する「許可(Allow)」ルールを設定した場合、該当マシンから外部サーバへのFTP通信は正常に行えません。
 これは、該当マシンから外部サーバへの送信(Outgoing)方向のパケットは許可されていますが、それに対する外部サーバから該当マシンへの応答パケットが受信(Incoming)方向のルールで許可されていないためです。
 この場合、受信(Incoming)方向で「Allow solicited TCP/UDP replies」の「許可(Allow)」ルールを設定すると、サーバからの応答が許可されて正常に通信ができるようになります。
 
このような問題を防ぐため、受信(Incoming)または送信(Outgoing)どちらの方向でも、「許可(Allow)」ルールを設定する場合には許可したい通信に対するルールに加えて、同じ方向で次のような2つの「許可(Allow)」ルールも設定しておく必要があります。

・Frame Type:ARP
・Frame Type:IP, Protocol:TCP+UDP, Specific Flags ■SYN ■NOT

ファイアウォールの設定を行う場合は、くれぐれも慎重にルールの選定を行っていただきますようお願いします。
なお、「放置(Bypass)」、「ログのみ(Log Only)」、「強制的に許可(Force Allow)」、「拒否(Deny)」ルールでは、他の通信には影響を与えません。
例えば、「拒否(Deny)」ルールのみを設定した場合、設定された通信のみが拒否され、それ以外の通信は全て許可されます。

Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1310051
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド