このページのトピック
Workload Securityファイアウォールを設定する
Workload Security ファイアウォールは、制限的または許可的に構成できる非常に柔軟なファイアウォールです。侵入防御およびWebレピュテーションモジュールと同様に、ファイアウォールモジュールをインラインモードまたはタップモードの2つのモードで実行できます。トレンドマイクロは、ファイアウォールルールをタップモードでテストし、すべてが正常に動作していることを確認した後にインラインモードに切り替えることを推奨します。
ファイアウォールの設定と管理は慎重に行う必要があり、すべての環境に合うルールセットは存在しません。ルールの作成を開始する前にファイアウォールの処理と優先度を理解しておく必要があります。許可ルールを作成する場合、定義されていない対象がすべて黙示的に拒否されるため、特に注意が必要です。
ファイアウォールルールを配信前にテストする
ファイアウォールモジュール(侵入防御モジュールとWebレピュテーションモジュール)には、ブロックするかどうかを決定するWorkload Securityネットワークエンジンが含まれています。またはパケットを許可します。ファイアウォールモジュールと侵入防御モジュールの場合、ネットワークエンジンはパケットのサニティチェックを実行し、ファイアウォールと侵入防御のルールを各パケットが通過することも確認します。ネットワークエンジンは次の2つのモードで動作します。
- タップモード: パケットストリームは変更されません。ファイアウォールまたは侵入防御モジュールが有効になっている場合、トラフィックはこれらによって処理されます。ただし、問題が検出されてもパケットや接続が拒否されることはありません。タップモードの場合、 Workload Security では、イベントの記録を超える保護は提供されません。
- インラインモード:パケットストリームは、 Workload Security ネットワークエンジンを直接通過します。すべてのルールは、プロトコルスタックの上位に伝わる前にネットワークトラフィックに適用されます。
ファイアウォールルールを配信する前に、ルールの処理を [ログのみ] に設定して、タップモードまたはインラインモードでテストすることが重要です。これにより、何もせずにルールがトラフィックに与える影響をプレビューできます。ルールを配信前に適切にテストしないと、すべてのトラフィックがブロックされ、コンピュータにアクセスできなくなる可能性があります。
タップモードでテストする
タップモードでは、トラフィックのフローを妨げることなくファイアウォールルールをテストできます
- Workload Security コンソールの Computers または Policies に移動します。
- コンピュータ (またはポリシー) を右クリックし、[ Details ] を選択して、 Computer または Policy エディタを開きます。
- [設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
- リストから [タップ] を選択し、[Save] をクリックします。
- ルールを作成し、[ OK] をクリックします。
- ルールを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] に移動します。
タップモードではルールの処理を [ログ記録のみ] に設定する必要はありません。
ファイアウォールルールに問題がなければ、 Computer または Policy エディタに戻り、リストから [ Inline ] を選択し、 [保存] をクリックします。
インラインモードでテストする
多くの場合、トラフィックを妨げることなくファイアウォールルールをテストするにはタップモードが良い方法となります。しかし、ルールの処理を [ログ記録のみ] に設定すると、インラインモードでもルールをテストできます。この方法ではトラフィック分析の実際のプロセスが発生し、パケットのブロックや拒否などの処理を実行する必要がありません。
- Workload Security コンソールの Computers または Policies に移動します。
- コンピュータ (またはポリシー) を右クリックし、[ Details ] を選択して、 Computer または Policy エディタを開きます。
- [設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
- メニューから [ Inline ] を選択し、[保存] をクリックします。
- ルールの作成中に、処理が [ Log Only] に設定されていることを確認します。
- ルールを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] に移動します。
ファイアウォールルールの設定が完了したら、処理を [ログのみ] から必要な処理に変更し、[OK] をクリックします。
フェールオープン動作を有効にする
ファイアウォールルール (または侵入防御ルール) が適用される前に、ネットワークエンジンがパケットをブロックすることがあります。初期設定では、次の場合にネットワークエンジンはパケットをブロックします。
- Agentにメモリ不足などのシステム上の問題がある。
- パケットの健全性チェックに失敗しました。
このフェイルクローズ動作は高レベルのセキュリティを提供します: エージェントが正常に機能していない場合でも、サイバー攻撃がネットワークに侵入するのを防ぎ、潜在的に悪意のあるパケットから保護します。フェイルクローズの欠点は、エージェントの問題によりサービスやアプリケーションが利用できなくなる可能性があることです。また、パケットの健全性チェックの結果として大量のパケットが不必要にドロップされると、パフォーマンスの問題が発生する可能性もあります (誤検知が多すぎる場合)。
サービスの可用性に懸念がある場合は、初期設定の動作を変更して、システムおよびパケットチェックの失敗時にパケットを通過 (またはフェールオープン) できるようにすることを検討してください。
- Workload Security コンソールの Computers または Policies に移動します。
- コンピュータ (またはポリシー) を右クリックし、[ Details ] を選択して、 Computer または Policy エディタを開きます。
- 左側にある [設定] をクリックします。
- [詳細] タブを選択します。
- [ネットワークエンジンの設定] で、次のガイドラインに従って [エラー発生時の処理設定] を設定します。
- Workload Securityネットワークエンジンがメモリ不足、メモリ割り当て失敗、ネットワークエンジンのディープパケットインスペクション (DPI) デコード失敗などの問題を経験した場合にパケットを通過させるために、[ネットワークエンジンのシステムエラー]を[Fail-Open]に設定します。エージェントが重い負荷やリソース不足のためにネットワーク例外に頻繁に遭遇する場合は、ここでfail openを使用することを検討してください。fail openを使用すると、ネットワークエンジンはパケットを通過させ、IPSルールのチェックを行わず、イベントをログに記録します。エージェントの問題にもかかわらず、サービスとアプリケーションは利用可能なままです。
-
ネットワークエンジンのパケットの健全性チェックに失敗したパケットを許可するには、[Network Packet Sanity Check Failure] を [Fail open] に設定します。パケットの健全性チェックの例としては、ファイアウォールの健全性チェック、ネットワークレイヤ2、3、または4の属性チェック、およびTCP状態チェックがあります。健全性チェックに合格した正常なパケットに対してのみ侵入防御ルールチェックを実行する場合は、フェールオープンの使用を検討してください。フェールオープンを使用すると、ネットワークエンジンは失敗したパケットの通過を許可し、侵入防御ルールのチェックを実行せずに、イベントをログに記録します。
-
[Save] をクリックします。
これで、システムまたはパケットチェックエラーに対するFail-Open動作が有効になります。
ファイアウォールを有効にする
コンピュータでファイアウォール機能を有効にするには、
-
コンピュータ または ポリシー エディターで、ファイアウォール > 一般 に移動します。
有効化についてファイアウォールコンテナーについては、ファイアウォール設定を適用するを参照してください。
-
Onを選択します。
-
[保存] をクリックします。
Workload Security ファイアウォールを少なくとも1つのファイアウォールルールで有効にすると、エージェントは競合を防ぐために自動的にWindowsファイアウォールを無効にします。
初期設定のファイアウォールルール
Workload Securityのポリシーには、初期設定では送信ルールが割り当てられていませんが、いくつかの推奨される受信ルールが割り当てられています。各ポリシーに割り当てられている初期設定の受信ルールを表示するには、該当するオペレーティングシステムポリシーの [ ファイアウォール ] タブに移動します。次の例は、Windows 10デスクトップポリシーにデフォルトで割り当てられているファイアウォールルールを示しています。これらのファイアウォールルールは、環境のニーズに合わせて設定できますが、トレンドマイクロでは、初期設定のルールをいくつか用意しています。
システムパフォーマンスへの影響を最小限に抑えるには、300を超えるファイアウォールルールを割り当てないようにします。また、ファイアウォールルールの Description フィールドにすべてのファイアウォールルールの変更を記録することをお勧めします。ファイアウォールのメンテナンスを容易にするために、ルールが作成または削除された日時と理由を記録します。
Workload Security トラフィックの初期設定のバイパスルール
Workload Security は、エージェントを実行するコンピュータでハートビート用のエージェントの待機ポート番号を開く 優先順位4のバイパスルール が自動的に実装されます。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。
ただし、このルールでは、任意のIPアドレスおよび任意のMACアドレスからのトラフィックが許可されます。エージェントの待機ポートを強化するには、このポートに対してより制限の厳しい代替ルールを作成します。エージェントは、次の設定がある場合、デフォルトのWorkload Securityトラフィックルールを新しいカスタムルールで上書きします。
- 優先度: 4 - 最高
- パケットの方向: 受信
- フレームタイプ: IP
- プロトコル: TCP
- パケット宛先ポート: エージェントのハートビート受信ポート
初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。
厳格または寛容なファイアウォール設計
一般に、ファイアウォールポリシーは、2つの設計戦略のどちらかに基づいています。つまり、明示的に拒否されていないかぎりすべてのサービスを許可するか、明示的に許可されていないかぎりすべてのサービスを拒否するかのいずれかです。どちらのタイプのファイアウォールを実装するか決定しておくことを推奨します。これにより、ルールの作成とメンテナンスにかかる管理の手間を削減できます。
厳格なファイアウォール
厳格なファイアウォールは、セキュリティの観点から推奨されます。初期設定ではすべてのトラフィックがブロックされ、明示的に許可されたトラフィックだけが許可されます。計画しているファイアウォールの主な目的が不正なアクセスをブロックすることであれば、接続を許可するのではなく制限することを重視する必要があります。厳格なファイアウォールはメンテナンスが比較的容易であり、安全性にも優れています。許可ルールを使用して、ファイアウォールを通過する特定のトラフィックだけを許可し、他はすべて拒否します。
送信許可ルールを1つ割り当てると、送信ファイアウォールが制限モードで動作し始めます。これは、受信ファイアウォールにも当てはまります。単一の受信許可ルールを割り当てるとすぐに、受信ファイアウォールは制限モードで動作し始めます。
寛容なファイアウォール
寛容なファイアウォールは、初期設定ですべてのトラフィックを許可し、署名などの情報から不正と認識されるトラフィックのみをブロックします。寛容なファイアウォールは実装は容易ですが、提供されるセキュリティは最小限であり、複雑なルールが必要です。拒否ルールを使用して、トラフィックを明示的にブロックします。
ファイアウォールルールの処理
ファイアウォールは、以下の処理を実行するように設定できます。
受信ルールのみを割り当てると、すべての送信トラフィックが許可されます。単一の送信許可ルールを割り当てると、送信ファイアウォールは制限モードで動作します。これには 1 つの例外があります。ICMPv6 トラフィックは、拒否ルールによって明確にブロックされない限り、常に許可されます。 { .warning }
許可 | ルールに一致するトラフィックを明示的に許可し、それ以外のすべてを暗黙的に拒否します。 許可アクションを作成する際は、定義されていないすべてのものを暗黙的に拒否するため、注意が必要です。許可ルールを作成する際には、他のすべてのトラフィックをブロックしないように、関連するルールが正しく定義されていることを確認してください。許可ルールで明示的に許可されていないトラフィックはシステムによってドロップされ、許可されたポリシー外のファイアウォールイベントとして記録されます。 |
バイパス | ファイアウォールと侵入防御分析の両方のバイパスをトラフィックに許可します。バイパスルールは常にペアで (受信トラフィックと送信トラフィックの両方に対して) 作成する必要があります。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。 バイパスルールは、メディアを大量に使用するプロトコルや信頼された送信元からのトラフィックに対して設計されています。 |
拒否 | ルールと一致するトラフィックを明示的にブロックします。 |
強制的に許可 | 強制的に許可ルールに一致したパケットは通過しますが、この場合でも侵入防御によるフィルタリングは行われます。イベントはログに記録されません。 この種の ファイアウォール ルール処理は、UDPおよびICMPトラフィックに使用する必要があります。 |
ログのみ | トラフィックはログに記録されるだけです。他の処理は行われません。 |
詳細については、ファイアウォールルールの作成 を参照してください。
ファイアウォールルールの優先度
ルールの優先度によって、フィルタが適用される順序が決まります。つまり、優先度の高いルールが優先度の低いルールよりも先に適用されます。処理が同じ優先度を共有する場合、ルールの優先順位は、[バイパス]、[強制的に許可]、[拒否] の順になります。ただし、優先度の高い拒否処理は、優先度の低いバイパス処理よりも優先されます。ルールの優先度と処理が処理順序を決定する方法の詳細については、ファイアウォールルールの処理と優先度 を参照してください。
ファイアウォールルールの管理を簡略化するには、特定の処理に対して所定の優先度を固定します。たとえば、バイパスを使用するルールには初期設定の優先度3を、強制的に許可ルールには優先度2を、拒否ルールには優先度1を適用します。こうすることで、ルールの競合を削減できます。
許可ルール
許可ルールの優先度は0のみです。これは、優先度の高いすべての強制許可ルールと強制拒否ルールの後に許可ルールが処理されるようにするためです。許可ルールを使用してトラフィックを暗黙的に拒否する場合は、この点に注意してください (許可ルールに一致しないトラフィックはすべて拒否されます)。つまり、割り当てられた拒否ルールは、割り当てられている既存のすべての許可ルールよりも優先されます。
強制的に許可ルール
アドレス解決プロトコル (ARP) など、常に許可する必要があるトラフィックには、強制的に許可ルールを適用することをお勧めします。 [強制的に許可] 処理は、同じ優先度以上の拒否ルールに対する切り札としてのみ機能します。たとえば、サブネット10.0.0.0/8から許可されたポート番号へのアクセスを禁止する優先度3の拒否ルールがあり、ホスト10.102.12.56からのアクセスを許可する場合は、次の場所で強制的に許可ルールを作成する必要があります。優先度3または4の場合は、優先度3の拒否ルールより優先されます。パケットがこのルールをトリガすると、すぐに許可され、優先度の低いルールでは処理されなくなります。
バイパスルール
バイパスルールは、ファイアウォールエンジンと Deep Packet Inspection (DPI) エンジンの両方をバイパスすることをパケットに許可する特別なルールです。このルールは優先度4に設定し、ペアで作成する必要があります (各トラフィック方向に対して1つ)。
推奨されるファイアウォールポリシールール
以下のルールをすべてのファイアウォールポリシーに対して必須にすることを検討してください
- ARP: コンピュータがMACアドレスのクエリに応答できるように、ARP要求の受信を許可します。このルールを割り当てないと、ネットワーク上のどのデバイスもホストにMACアドレスをクエリできず、ネットワークからアクセスできなくなります。
- Allow solicited TCP/UDP replies: コンピュータが、送信したTCP接続やUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフルファイアウォール設定と連携します。
- Allow solicited ICMP replies: コンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフルファイアウォール設定と連携します。
- DNS Server: DNSサーバが受信DNSクエリを受け取ることができるようにします。
- Remote Access RDP: コンピュータがリモートデスクトップ接続を受け入れることができるようにします。
- Remote Access SSH: コンピュータがSSH接続を受け入れることができるようにします。
ファイアウォールルールをテストする
ファイアウォールの設定手順を続行する前に、推奨されるファイアウォールルールをテストして、正しく動作することを確認します。
次の手順でRemote Access SSHルールをテストします。
- コンピュータへのSSH接続を確立します。ファイアウォールが有効で、リモートアクセスSSHルールが有効になっていない場合、接続は拒否されます。 [イベントとレポート]→[ファイアウォールイベント] の順に選択して、拒否されたイベントを表示します。
- [コンピュータ]または[ポリシーエディタ]→[ファイアウォール]の順に選択します。[割り当てられたファイアウォールルール] で [割り当て/割り当て解除] をクリックします。
- [リモートアクセスSSH] を検索してルールを有効にし、[ OK ] および [保存] をクリックします。
- コンピュータに対するSSH接続の確立を試みます。接続が許可されます。
次の手順でRemote Access RDPルールをテストします。
- コンピュータへのRDP接続の確立を試みます。ファイアウォールが有効で、リモートアクセスRDPルールが有効になっていない場合、接続は拒否されます。拒否されたイベントを表示するには、[ イベントとレポート] > [ ファイアウォール] イベントに移動します。
- [コンピュータ]または[ポリシーエディタ]→[ファイアウォール]の順に選択します。[割り当てられたファイアウォールルール] で [割り当て/割り当て解除] をクリックします。
- [リモートアクセスRDP] を検索してルールを有効にし、[ OK ] および [保存] をクリックします。
- コンピュータに対するRDP接続の確立を試みます。接続が許可されます。
攻撃の予兆検索
ファイアウォールを設定して、偵察検索の可能性を検出し、一定期間送信元IPからのトラフィックをブロックすることで攻撃を防ぐことができます。攻撃が検出されたら、一定期間、送信元IPからのトラフィックをブロックするようにAgentとApplianceに指示できます。 [ Policy] または [コンピュータエディタ]→[ファイアウォール]→[ 攻撃の予兆 ] タブの [ Block Traffic ] リストを使用して、分数を設定します。
- コンピュータOSフィンガープリントプローブ: エージェントまたはアプライアンスは、コンピュータのOSの検出試行を検出しました。
- ネットワークまたはポートの検索: AgentまたはApplianceは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、ネットワークまたはポートの検索をレポートします。通常、AgentまたはApplianceコンピュータは、それ自体宛てのトラフィックのみを検出するため、検出されるプローブの種類としてはポート検索が最も一般的です。コンピュータまたはポートスキャンの検出で使用される統計分析方法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されたTAPSアルゴリズムに基づいています。
- TCP Null検索: エージェントまたはアプライアンスは、フラグが設定されていないパッケージを検出します。
- TCP SYNFIN検索: エージェントまたはアプライアンスは、SYNおよびFINフラグのみが設定されたパケットを検出します。
- TCP Xmas検索: エージェントまたはアプライアンスは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFFの値(すべての可能なフラグが設定されたパケット)を検出します。
攻撃の種類ごとに、AgentまたはApplianceに情報をWorkload Securityに送信するように指示することができます。Workload Securityでは、[ DSMにすぐに通知] を選択することでアラートがトリガーされます。このオプションを機能させるには、[ ポリシー/コンピュータエディタ]→[設定]→[一般]→[通信方向]で、AgentまたはApplianceからの通信または双方向通信ができるようにAgentとApplianceを設定する必要があります。有効にすると、AgentまたはApplianceは攻撃またはプローブを検出するとすぐにWorkload Securityへのハートビートを開始します。
偵察保護を有効にする場合は、 Policy または Computer エディタの[ ファイアウォール ]→[ 一般 ] タブで、ファイアウォールとステートフルインスペクションも有効にする必要があります。また、 Policy または Computer エディタ Firewall > Advancedタブの順に選択し、Out of Allowed Policy 設定のパケットに対して ファイアウォールイベントを生成 を有効にする必要があります。これにより、偵察に必要なファイアウォールイベントが生成されます。
攻撃の予兆の検出では、1つ以上のアクティブなファイアウォールルールがAgentのポリシーに割り当てられている必要があります。
攻撃の予兆警告に対応する方法の詳細については、「警告: 攻撃の予兆の検出を参照してください。
ステートフルインスペクション
Workload Securityファイアウォールを有効にする場合は、ファイアウォールのステートフル設定メカニズムを有効にする必要があります。このメカニズムは、トラフィック履歴、TCPおよびIPヘッダ値の正確性、およびTCP接続状態の遷移のコンテキストで各パケットを分析します。 UDPやICMPなどのステートレスプロトコルの場合、トラフィックの履歴分析に基づいて擬似ステートフルメカニズムが実装されます。
パケットは、ステートフルメカニズムによって次のように処理されます。
- 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
- パケットを調べて、既存の接続に属しているかどうかが判断されます。
- TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。
Workload Securityファイアウォール ステートフル設定を使用すると、サービス拒否などの攻撃から保護できます。ただし、ステートフルなTCP、ICMP、またはUDPプロトコルを使用する初期設定では有効になっており、要求された応答のみが許可されます。UDPステートフルオプションが有効な場合は、UDPサーバ (DHCPなど) の実行時に強制的に許可を使用する必要があります。エージェントにDNSサーバまたはWINSサーバが設定されていない場合、NetBIOSに受信UDPポート137の強制的な許可ルールが必要になることがあります。
ステートフルログは、ICMPまたはUDPプロトコルで必要でない限り無効にする必要があります。
例
次の例に従って、Webサーバの基本的なファイアウォールポリシーを作成できます。
- オプションが有効になっているグローバルなファイアウォールステートフル設定を使用して、TCP、UDP、およびICMPのステートフルインスペクションを有効にします。
-
ワークステーションからの要求に対するTCPおよびUDP応答を許可するファイアウォールルールを追加します。これを行うには、プロトコルを TCP + UDP に設定して受信許可ルールを作成し、 [ Specific Flags] で [ Not ] および [ Syn ] を選択します。現時点では、ワークステーション上のユーザによって開始された要求に対する応答であるTCPおよびUDPパケットのみがポリシーで許可されます。たとえば、このルールを手順1で有効にしたステートフル分析オプションと組み合わせて使用すると、このコンピュータのユーザは、UDP経由でDNSルックアップを実行したり、HTTP (TCP) 経由でWebを閲覧したりできます。
-
ワークステーションからの要求に対するICMP応答を許可するファイアウォールルールを追加します。そのためには、プロトコルを [ICMP] に設定した受信許可ルールを作成し、[任意のフラグ] チェックボックスをオンにします。つまり、このコンピュータのユーザは他のワークステーションにpingを実行して応答を受信できますが、他のユーザはこのコンピュータにpingを実行できません。
-
[ Specific Flags ] セクションで [ Syn ] を有効にして、ポート80および443への受信TCPトラフィックを許可するファイアウォールルールを追加します。これは、外部ユーザがこのコンピュータ上のWebサーバにアクセスできることを意味します。
この時点で、TCP、UDP、およびICMPの要請応答を許可する基本的なファイアウォールポリシーが設定され、このコンピュータのWebサーバへの外部アクセスが許可され、他のすべての受信トラフィックが拒否されます。
[拒否] および [強制的に許可] ルールの処理を使用してこのポリシーをさらに絞り込む方法の例として、ネットワーク内の他のコンピュータからのトラフィックを制限する方法を検討してください。たとえば、内部ユーザにはこのコンピュータのWebサーバへのアクセスを許可し、DMZ内のコンピュータからのアクセスは拒否することができます。これを行うには、拒否ルールを追加して、DMZのIP範囲内のサーバからのアクセスを禁止します。
-
送信元IP 10.0.0.0/24 (DMZ内のコンピュータに割り当てられたIP範囲) を使用して、受信TCPトラフィック用に拒否ルールを追加します。このルールでは、DMZ内にあるコンピュータからこのコンピュータへのトラフィックをすべて拒否します。
ただし、DMZ内にあるメールサーバからの受信トラフィックを許可するように、このポリシーをさらに調整することもできます。
-
送信元IP 10.0.0.100からの受信TCPトラフィックには、強制的に許可を使用します。この強制的に許可は、前の手順で作成したDMZ内のこのコンピュータからのトラフィックを許可するために作成した拒否ルールよりも優先されます。
重要な考慮事項
- すべてのトラフィックは、まずファイアウォールルールと照合されてからステートフルインスペクションエンジンで分析されます。トラフィックがファイアウォールルールを通過した場合は、ステートフルインスペクションエンジンによって分析されます (ステートフルインスペクションがファイアウォールステートフル設定で有効になっているものとします)。
- 許可ルールが禁止されています。許可ルールで指定されていないものはすべて自動的に削除されます。これには他のフレームタイプのトラフィックも含まれるため、他のタイプの必要なトラフィックを許可するルールを含めることを忘れないでください。たとえば、静的ARPテーブルが使用されていない場合は、ARPトラフィックを許可するルールを含めることを忘れないでください。
- UDPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のUDPトラフィックを許可する必要があります。たとえば、UDPステートフルインスペクションがDNSサーバで有効になっている場合に、サーバが受信DNS要求を受け入れるように、強制的に許可ルールをポート53に設定する必要があります。
- ICMPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のICMPトラフィックを許可する必要があります。たとえば、外部のping要求を許可する場合は、ICMPタイプ3 (エコー要求) を強制的に許可するルールが必要です。
- 強制的に許可の処理は、同じ優先度のコンテキスト内でのみ切り札として機能します。
- DNSサーバまたはWINSサーバが設定されていない場合 (テスト環境では一般的です)、NetBIOS (Windows共有) に対して [受信UDPポート137を強制的に許可] ルールが必要になることがあります。
新しいファイアウォールポリシーのトラブルシューティングを行う場合は、まずエージェントまたはApplianceのファイアウォールルールログを確認する必要があります。ファイアウォールルールログには、拒否されているトラフィックを特定するために必要なすべての情報が含まれているため、必要に応じてポリシーをさらに絞り込むことができます。