Deep Securityのバイパスルールを設定してみた

Deep Securityのバイパスルールを設定してみた

Clock Icon2016.08.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラ大好き、カジです。

Deep Security as a Service(以下DSaaS)で、AWS EC2インスタンスを保護する環境下で、高パフォーマンスの通信が要求される環境での注意点 - バイパス(放置)ルール作成手順を試してみましたので、ご紹介します。

注意点

バイパス(放置)ルールを割り当てる事で、該当の通信に対してはファイアウォールおよび侵入防御による保護が行われなくなります。通信のパフォーマンスが低下する事が業務に与えるリスクと、該当の通信に対して保護が行われなくなるリスクを評価し、通信のパフォーマンスを優先する事が必要と判断した場合に以下の設定を行ってください。*上位サイトからの引用となります。

構成図

DSaaS-Bypass-00

環境

通信に必要なセキュリティグループの設定はすでに実施済みとします。

EC2

  • インスタンスサイズ=t2.micro
  • OS=Amazon Linux amzn-ami-hvm-2016.03.3.x86_64-gp2 (ami-374db956)

Deep Security

  • DSaaS=Trend Micro Deep Security Manager (バージョン 10.0.2365)
  • Deep Security Agent(以後DSA)=9.6.7256

Deep Security設定方法

高パフォーマンスの通信が要求される環境での注意点 - バイパス(放置)ルール作成手順を元に設定します。

DSaaSログインし、ポリシー>該当マシンのポリシー>ファイアーウォールを選択

DSaaS-Bypass-01

DSaaS-Bypass-02

割り当てられたファイアーウォールルールで、「割り当て/割り当て解除」>「新規ファイアウォールルール...」を選択

DSaaS-Bypass-03

DSaaS-Bypass-04

上記のところで、バイパスルールは片方向づつルール作成が必要ですので2つ作成します。以下以外はデフォルト

設定項目 送信ルール設定内容 受信ルール設定内容
処理 バイパス バイパス
プロトコル TCP TCP
パケット送信元IP マスク指定(10.1.11.0/255.255.255.0) マスク指定(10.1.11.0/255.255.255.0)
パケット送信元ポート 1025 任意
パケット送信先IP マスク指定(10.1.11.0/255.255.255.0) マスク指定(10.1.11.0/255.255.255.0)
パケット送信先ポート 任意 1025

ルールの修正を行う場合は、該当のルールを右クリックで、「プロパティ(グローバル)...」を選択して変更します。

ポリシー

今回、テストのため、DSAがインストールしているサーバは、ミドルウェアを全くインストールしていないため、特に侵入防御ポリシーが適応されないのでメールのDeep Securityポリシーが動作するよう、以下のポリシーを「割り当て」設定。

  • Mail Server Common
  • Mail Server MailEnable
  • Mail Server Miscellaneous

して、上記のルールを変更し、ポートを25,110,143のみから、1025を追加し、25,110,143,1025に変更します。

測定

有効化と無効化での違いをiperfを利用して測定してみました。iperfの利用方法は、こちらをみてください。 通信を検査していない分、高速になっていることがわかりました。*あくまでも検証での結果となり、通信速度を保証するものではありませんのでご了承ください。

バイパスファイアウォールルール無効時

項目 10.1.11.141(iperf クライアント側) 10.1.11.72(iperf サーバ側)
1回目 805Mbps 804Mbps
2回目 819Mbps 817Mbps
3回目 877Mbps 876Mbps

バイパスファイアウォールルール有効時

項目 10.1.11.141(iperf クライアント側) 10.1.11.72(iperf サーバ側)
1回目 992Mbps 991Mbps
2回目 989Mbps 987Mbps
3回目 974Mbps 972Mbps

まとめ

バイパスルールは、双方向でルールを設定が必要な事やパフォーマンスが向上することを理解しました。 また、該当の通信に対して保護が行われなくなるので、正しく使用法を守って利用したいですね。 どなたかのお役に立てれば光栄です。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.