ルール管理機能:利用シーンに応じた活用Tips
対象
バージョン12.5以降
※以下に紹介する比較(Rule Comparison)機能は、ビルド12.5.221以降でご利用いただけます。
概要と前提条件
概要
Firewall Analyzerに実装されているルール管理機能で、
以下の各利用シーンに応じた参照手順、各項目についてご紹介します。
前提条件
ルール管理機能を使用するためには、事前に[設定]→[FWAサーバー]→[装置ルール]画面で
管理対象装置のルール情報を取得する必要があります。
[装置ルール]画面の設定方法ならびにルール管理機能のサポート対象ベンダーは、以下のページをご参照ください。
・[装置ルール]画面の設定方法
・ルール管理機能のサポート対象ベンダー
各利用シーン
- FW装置に設定されている既存ルールを確認したい
- FW装置に設定されている既存ルールを最適な状態にしたい
- 一定期間に使用されていないルールやオブジェクトを確認したい
- 使用頻度が多いルールを特定し、最適な順番にルールを配置したい
- 新しく追加予定のルールが、既存ルールにどのような影響を持つか確認したい
- ルールやコンフィグに変更があった際に、差分を確認したい
FW装置に設定されている既存ルールを確認したい
該当画面:[ルール管理]→[ポリシー概要]
[装置ルール]設定から取得したルールを一覧で表示します。
[ポリシー概要]画面には、以下の2つのタブが存在します。
●サマリ
●セキュリティルール
サマリタブでは、以下の各ルールタイプに該当するルール数が表示されます。
参照するルールタイプをクリックすることで、該当のルールに設定されている内容(送信元/宛先、インターフェース、サービス、アクション)を確認することができます。
- 合計ルール:FW装置に設定されているすべてのルール数
- 許可ルール:すべてのルールのうち、アクションが許可(Permit)設定されているルール数
- 拒否ルール:すべてのルールのうち、アクションが拒否(Deny)設定されているルール数
- Firewall インバウンドルール数:インバウンド(WAN/Internet→LAN/Internal等)のルール数
- Firewall アウトバウンドルール数:アウトバウンド(LAN/Internal→WAN/Internet等)のルール数
- 無効ルール数:非アクティブなルール数
- ログ出力が有効でないルール数:ロギング設定が無効になっているルール数
- AnyからAnyへの許可ルール数:送信元/宛先にAnyが設定されているルール数
- Anyサービスを許可しているルール数:サービスにAnyが設定されているアクション許可(Permit)のルール数
セキュリティルールタブでは、
FW装置に設定されているすべてのルールを一覧で表示します。
各オブジェクトのリンクをクリックすることで、IPアドレスやポート番号情報を確認できます。
本機能により、FW装置に設定されているルールの一覧や、
非アクティブなルール、ロギング設定がされていないルールなど、設定状況を把握します。
FW装置に設定されている既存ルールを最適な状態にしたい
該当画面:[ルール管理]→[ポリシー最適化]
[ポリシー最適化]画面には、以下の3つのタブが存在します。
●ポリシー異常(Anomalies)
ルール間の相関性、重複状況を比較し、最適なルール設定を支援します。
●ルールの提案(Suggestion)
Anyのように過度な範囲で許可しているルールを対象に、一定期間に使用されたオブジェクト情報を表示し、必要最低限の設定となるよう支援します。
●ポリシーのチューニング(Fine Tuning)
アクション許可のルールを対象に、一定期間のオブジェクト使用状況と推奨の設定内容を表示します。
[ルールの提案]と[ポリシーのチューニング]では、以下の期間から表示範囲を指定可能です。
最新1時間、今日、最新24時間、最新7日間、最新30日間、カスタム期間
※[ポリシーのチューニング]で表示した、推奨設定と使用状況に関する画面
本機能により、相関関係にあるルール同士を比較し、不要なルール、統合が可能なルールの確認を行います。
また、セキュリティ上注意が必要なAnyオブジェクトや許可ルールに対して、必要なオブジェクトのみを特定することが可能です。
一定期間に使用されていないルールやオブジェクトを確認したい
該当画面:[ルール管理]→[ルールクリーンアップ]
[ルールクリーンアップ]画面には以下の4つのタブが存在します。
●未使用ルール:一定期間、使用されていないルール番号と、その内容を表示します。
●未使用オブジェクト:一定期間、使用されていない送信元/宛先/サービスのオブジェクト情報を表示します。
●割り当てのないインターフェース:どのルールにも使用されていないインターフェースとそのIPアドレス、タイプ情報を表示します。
●割り当てのないオブジェクト:どのルールにも使用されていないオブジェクト名と設定されている詳細情報を表示します。
[未使用ルール]、「未使用オブジェクト」では、以下の期間から表示範囲を指定可能です。
最新1時間、今日、最新24時間、最新7日間、最新30日間、カスタム期間
[ルールクリーンアップ]機能に関するマニュアルはこちらからご参照いただけます。
※[割り当てのないオブジェクト]でオブジェクト情報を表示した際の画面
本機能により、一定期間中使用されていないルールやオブジェクト、また未割当のオブジェクトを特定することで、
セキュリティリスク低減のため、不要な設定の削除や変更の検討に活用します。
使用頻度が多いルールを特定し、最適な順番にルールを配置したい
該当画面:[ルール管理]→[ルールの再オーダー]
[ルールの再オーダー]画面には、以下の2つのタブが存在します。
●提案された変更:一定期間に使用されたルールのヒット数から、使用頻度の多いルールが上位に位置するよう、適切な配置を提案します。
●変更完了:[提案された変更]タブの推奨設定を実際に配置した場合の、各ルールのポジションを表示します。
表示範囲は以下の期間から指定可能です。
最新1時間、今日、最新24時間、最新7日間、最新30日間、カスタム期間
[ルールの再オーダー]機能に関するマニュアルはこちらからご参照いただけます。
※[提案された変更]タブで表示される、推奨のルール配置の画面
本機能により、どのルールの使用頻度が多いか把握し、適切な順番に配置できるよう提案します。
それにより、FW装置の処理負荷を低減し、パフォーマンスの向上/維持にご活用いただけます。
新しく追加予定のルールが、既存ルールにどのような影響を持つか確認したい
該当画面:[ルール管理]→[ルールの影響]
本機能では、FW装置に新たに追加予定のルールを定義し、既存ルールとの関連性を事前に確認します。
画面右上の[影響分析]より、追加予定のルールの概要(ポジション、送信元/宛先、インターフェース、サービス、Allow/Deny...etc)を入力し、レポートを作成します。
その後、作成したレポートから既存ルールとの関連性を確認します。
※レポート作成画面
作成したレポートでは、以下の各項目から影響度合いを確認します。
- 異常詳細:既存ルールに対して、ポリシー最適化機能の[Policy Anomalies]に該当する異常の有無
- ルールの並べ替えの提案:追加するルールの具体性や異常有無に伴い、適切な配置を提案
- 許可の範囲が広くとられているか:アクション設定で許可(Allow)が指定されている場合、オブジェクトにAnyなどの広い範囲が指定されているか、その有無を表示
- セキュリティ脅威の詳細:サービスやアプリケーション、インターフェースレベルで潜む脅威の情報を表示
- ブラックリストのIPアドレス分析:組織内で要注意とするIPアドレスが存在する場合、追加予定のルールに該当のIPアドレスが含まれているか表示
※ブラックアドレスIPの指定は、レポート作成時に、[ブラックリストにしているIPアドレスファイルを検討対象にする]より、テキストファイルを指定する必要があります。 - リスクがあるポート情報:追加予定のポートに関するリスク情報を表示
- 複数ルールにおけるオブジェクトの重要性:追加予定のルールに含まれる送信元、宛先、サービスオブジェクトが既存ルールで使用されている場合、該当の既存ルール情報を表示
[ルールの影響]に関するマニュアルはこちらから参照いただけます。
本機能により、追加予定の新規ルールと既存ルールとの関連性、使用予定のサービスやポートに潜むリスクを明確にし、
より最適な状態でルールを追加できるよう支援します。
ルールやコンフィグに変更があった際に、差分を確認したい
比較(Rule Comparison)
該当画面:[ルール管理]→[比較]
本機能では、コンフィグファイルまたはFirewall Analyzerで取得したコンフィグの世代を使用し、
コンフィグ内のルールに焦点をあてて、設定内容の差分を表示します。
ルール以外のコンフィグに差分がある場合、本機能では差分として表示されません。
Rule Comparisonには、以下の項目が存在します。
- コンフィグファイル間(Between configuration files):
同一モデルの2つのコンフィグファイルを指定して比較 - コンフィグファイルと最新runningコンフィグ(Configuration file with Latest Running Config):
Firewall Analyzerで取得した最新のコンフィグ世代と、同一モデルのコンフィグファイルを指定して比較 - runningコンフィグの世代間(Between Running Config Versions):
Firewall Analyzerで取得した2つのコンフィグ世代を選択し比較
ルールに差分がある場合には、比較画面に各ルールやオブジェクトの差分が表示されます。
差分は色分けで表示されます:追加(緑)/変更(紫)/削除(赤)
[比較]に関するマニュアルはこちらから参照いただけます。
変更管理(コンフィグ比較)
該当画面:[コンプライアンス]→[変更管理]
本機能では、Firewall Analyzerで取得した各コンフィグ世代を比較し、差分を表示します。
[変更管理]画面上部で対象のFW装置と参照期間を指定し、期間中の差分有無を確認します。
表示された変更データをクリックすると、該当の世代と、1つ前の世代との差分を表示します。
また、画面左の[コンフィグ選択]より、任意の世代を指定して差分を比較することができます。
差分は色分けで表示されます:追加(緑)/変更(紫)/削除(赤)
[変更管理]に関するマニュアルはこちらから参照いただけます。
[比較]機能では、FW装置のコンフィグの内、ルールに関する差分のみを表示するのに対し、
変更管理機能では、コンフィグ全体の差分を比較します。
※変更管理機能には、任意のファイルを指定した比較機能はございません。
これらの機能により、各世代やコンフィグファイルにおけるルールまたはコンフィグの差分を特定し、
意図した適切な変更内容であるか、また予期せぬ変更ではないか、という差分比較にご活用いただけます。
本ナレッジによるご案内は以上です。
ご利用シーンに応じて、ご活用ください。