「ルールの影響」機能について
対象
ビルド12.4.062以降
概要
[ルール管理]タブ配下に、[ルールの影響](Rule Impact)機能が新たに実装されました。
運用稼働中の環境で、ファイアウォールに1つのポリシーを追加する作業は、セキュリティホールのリスクを考え、より慎重な作業になります。
本機能を使用することにより、新規ポリシーを追加する際、事前に既存ポリシーとの関連性を表示し、
重複なくポリシー追加を設定するためのサポートを行ないます。
その他のルール管理機能につきましては、こちらをご参照ください。
使用方法は以下をご参照ください。
使用方法
- [ルール管理]→[ルールの影響]画面に遷移
・ビルド12.4.062の場合:[コンプライアンス]→[ルール管理]→[ルールの影響]
・ビルド12.4.104以降:[ルール管理]→[ルールの影響] - 対象装置を選択し、画面右上の[影響分析]をクリック
・ビルド12.4.062の場合:
・ビルド12.4.104以降:
- 追加予定の新規ポリシー情報を入力
例として、以下の新規ポリシーを追加する場合を想定します。
・送信元IP:192.168.XX.0/24、192.168.YY.0/24、192.168.ZZ.0/24
・宛先IP:All
・送信元インターフェース:LAN
・宛先インターフェース:WAN1
・サービス:HTTP、HTTPS
・アクション:Allow・ポリシー名
・ポジション:ポリシー追加予定位置を入力(デフォルトの場合、最下部に設定されます)
・ソース/宛先:ファイアウォールに設定されている送信元/宛先オブジェクト名もしくは、IPアドレスを指定
・送信/宛先インターフェース:インターフェースゾーンを選択
・サービス
・アクション:Allow/Deny
・環境内でブラックリスト(重要視)としているIPアドレスリストがあれば、txtまたはcsv形式でリスト化し選択
・ポリシーの重複確認を行なうルール数を選択(通常はALL)
- 上記入力後、[レポート生成]をクリックし、一覧にポリシー名が追加されていることを確認
- [レポートの表示]リンクをクリックし、既存ポリシーとの関連性を確認
・異常詳細:既存ポリシーとの重複がある場合に表示されます。
※別途サンプル
・ルール並べ替えの提案:既存ポリシーのヒット率から新規ポリシーの設定位置をサポート
・ルールの許可範囲について:許可設定しているオブジェクトが多い場合に、高リスクであることを警告します。
・セキュリティ脅威の詳細:設定したサービス/インターフェースのセキュリティリスクレベルを表示(CVE)
・ブラックリストIPアドレスの分析:新規ポリシーにブラックリストとして指定したIPアドレスが含まれているか表示
・リスクがあるポート情報:設定したサービス/インターフェースのセキュリティリスクを表示(CVE)
・複数ルールにおけるオブジェクトの重複性:追加予定のサービス/送信元IP/宛先IPの各オブジェクトと既存ポリシーとの重複性を表示
本機能は、事前に既存ポリシーとの関連性を表示するのみで、ファイアウォールに対して、直接変更を加えることはありません。
本機能を用いて、追加予定の新規ポリシーと既存ポリシーとの関連性、影響を事前に確認し、
最適なポリシー設定をサポートすることが可能になります。
必要に応じてご活用ください。