影響
概要
ファイアウォールに新規ルールを追加する際、事前に影響範囲(既存ルールとの相関性)を把握することは重要な作業になります。
[ルール管理]配下の影響レポートでは、新規に定義するルールと既存ルールの関連性を表示します。
本ページでは、影響レポートで参照できる各データについて記載します。
- 事前に、[装置ルール]設定より、対象装置のポリシーを取得する必要があります。
- 本機能のサポート対象装置は、こちらのサポート装置一覧をご確認ください。
- 影響レポートでは、事前にルールの影響度合いの表示のみを行い、Firewall Analyzerからファイアウォールに対する設定変更は行いません。
レポートで表示される情報について
影響レポートの表示手順について、以下に記載します。
※設定例については、こちらのページをご参照ください。
- [ルール管理]→[影響]画面で対象装置を選択後、右上の[影響分析]をクリック
- 以下の各ルール情報を入力し、[レポート生成]
- ポリシーでのルール
任意のルール名 - ポジション
新規ルールの配置予定の位置を選択
※現在設定されているルール数に応じて、配置可能な数字が変化します。 - ソース
ファイアウォールに設定されている送信元オブジェクトまたはIPアドレスを指定 - 宛先
ファイアウォールに設定されている宛先オブジェクトまたはIPアドレスを指定 - 送信インターフェース
送信元のインターフェースゾーン - 宛先インターフェース
宛先のインターフェースゾーン - サービス
サービス名を選択 - アクション
ルールのアクションを選択(Allow/Deny) - ブラックリストにしているIPアドレスファイルを検討対象にする
組織内で重要視しているIPアドレスリストが存在する場合に、txtまたはcsv形式のファイルを選択 - 最初に、オブジェクトの重複確認をする
重複確認を行うルール数を選択(通常はALL)
- ポリシーでのルール
- ルールの影響一覧に、作成したルールが追加されていることを確認し、[レポートの表示]をクリック
レポートでは、以下の各情報を確認することができます。
| タブ名 | 説明 |
|---|---|
| ルールのインパクト詳細 | [影響分析]で設定したルール情報を表示します。 |
| 異常詳細 | 既存ルールとの重複がある場合に表示されます。 |
| ルール並べ替えの提案 | 既存ポリシーのヒット数から新規ポリシーの配置をサポートします。 |
| このルールは許可の範囲が広くとられています | Anyを含む場合や、許可設定しているオブジェクトが多い場合に、高リスクであることを警告します。 |
| セキュリティ脅威の詳細 | 設定したサービスやインターフェースのセキュリティリスクレベルやCVE情報を表示します。 |
| ブラックリスト(要注意)のIPアドレス分析 | 新規ルールにブラックリストとして指定したIPアドレスが含まれているか表示します。 |
| リスクがあるポート情報 | 設定したサービス、インターフェースのセキュリティリスク(CVE情報)を表示します。 |
| 複数ルールにおけるオブジェクトの重複性 | 追加予定のサービス、送信元/宛先IPアドレスの各オブジェクトと既存ポリシーとの重複性を表示します。 |