Firewall Analyzer ナレッジベース

「ルールの影響」機能について


対象

ビルド12.4.062以降

概要

[ルール管理]タブ配下に、[ルールの影響](Rule Impact)機能が新たに実装されました。

運用稼働中の環境で、ファイアウォールに1つのポリシーを追加する作業は、セキュリティホールのリスクを考え、より慎重な作業になります。
本機能を使用することにより、新規ポリシーを追加する際、事前に既存ポリシーとの関連性を表示し、
重複なくポリシー追加を設定するためのサポートを行ないます。

その他のルール管理機能につきましては、こちらをご参照ください。

使用方法は以下をご参照ください。

使用方法

  1. [ルール管理]→[ルールの影響]画面に遷移
    ・ビルド12.4.062の場合:[コンプライアンス]→[ルール管理]→[ルールの影響]
    ・ビルド12.4.104以降:[ルール管理]→[ルールの影響]
  2. 対象装置を選択し、画面右上の[影響分析]をクリック
    ・ビルド12.4.062の場合:

    ・ビルド12.4.104以降:

    対象装置を選択する際、
    [設定]→[FWAサーバー]→[装置ルール]設定で、事前にルール情報を追加する必要があります。
    追加方法はこちらをご参照ください。
  3. 追加予定の新規ポリシー情報を入力
    例として、以下の新規ポリシーを追加する場合を想定します。
    ・送信元IP:192.168.XX.0/24、192.168.YY.0/24、192.168.ZZ.0/24
    ・宛先IP:All
    ・送信元インターフェース:LAN
    ・宛先インターフェース:WAN1
    ・サービス:HTTP、HTTPS
    ・アクション:Allow

    ポリシー名
    ポジション:ポリシー追加予定位置を入力(デフォルトの場合、最下部に設定されます)
    ソース/宛先:ファイアウォールに設定されている送信元/宛先オブジェクト名もしくは、IPアドレスを指定

    送信/宛先インターフェース:インターフェースゾーンを選択
    サービス
    アクション:Allow/Deny
    ・環境内でブラックリスト(重要視)としているIPアドレスリストがあれば、txtまたはcsv形式でリスト化し選択
    ・ポリシーの重複確認を行なうルール数を選択(通常はALL)

  4. 上記入力後、[レポート生成]をクリックし、一覧にポリシー名が追加されていることを確認
  5. [レポートの表示]リンクをクリックし、既存ポリシーとの関連性を確認
    異常詳細:既存ポリシーとの重複がある場合に表示されます。
    ※別途サンプル

    ルール並べ替えの提案:既存ポリシーのヒット率から新規ポリシーの設定位置をサポート
    ルールの許可範囲について:許可設定しているオブジェクトが多い場合に、高リスクであることを警告します。
    セキュリティ脅威の詳細:設定したサービス/インターフェースのセキュリティリスクレベルを表示(CVE)
    ブラックリストIPアドレスの分析:新規ポリシーにブラックリストとして指定したIPアドレスが含まれているか表示
    リスクがあるポート情報:設定したサービス/インターフェースのセキュリティリスクを表示(CVE)
    複数ルールにおけるオブジェクトの重複性:追加予定のサービス/送信元IP/宛先IPの各オブジェクトと既存ポリシーとの重複性を表示
本機能は、事前に既存ポリシーとの関連性を表示するのみで、ファイアウォールに対して、直接変更を加えることはありません。

本機能を用いて、追加予定の新規ポリシーと既存ポリシーとの関連性、影響を事前に確認し、
最適なポリシー設定をサポートすることが可能になります。

必要に応じてご活用ください。