Workload Security ファイアウォールは、制限的または許可的に構成できる非常に柔軟なファイアウォールです。侵入防御およびWebレピュテーションモジュールと同様に、ファイアウォールモジュールをインラインモードまたはタップモードの2つのモードで実行できます。トレンドマイクロは、ファイアウォールルールをタップモードでテストし、すべてが正常に動作していることを確認した後にインラインモードに切り替えることを推奨します。
ファイアウォールの設定と管理は慎重に行う必要があり、すべての環境に合うルールセットは存在しません。ルールの作成を開始する前にファイアウォールの処理と優先度を理解しておく必要があります。許可ルールを作成する場合、定義されていない対象がすべて黙示的に拒否されるため、特に注意が必要です。

ファイアウォールルールを配信前にテストする

ファイアウォールモジュール(侵入防御モジュールとWebレピュテーションモジュール)には、ブロックするかどうかを決定するWorkload Securityネットワークエンジンが含まれています。またはパケットを許可します。ファイアウォールモジュールと侵入防御モジュールの場合、ネットワークエンジンはパケットのサニティチェックを実行し、ファイアウォールと侵入防御のルールを各パケットが通過することも確認します。ネットワークエンジンは次の2つのモードで動作します。
  • タップモード: パケットストリームは変更されません。トラフィックは、ファイアウォールおよびIPSモジュールが有効になっている場合、それらによって処理されます。ただし、検出された問題はパケットや接続のドロップを引き起こしません。タップモードでは、Workload Securityはイベントの記録を提供する以外の保護を提供しません。
  • Inline mode: パケットストリームはWorkload Securityネットワークエンジンを直接通過します。すべてのルールはプロトコルスタックに進む前にネットワークトラフィックに適用されます。
ファイアウォールルールを配信する前に、ルールの処理を [ログのみ] に設定して、タップモードまたはインラインモードでテストすることが重要です。これにより、何もせずにルールがトラフィックに与える影響をプレビューできます。ルールを配信前に適切にテストしないと、すべてのトラフィックがブロックされ、コンピュータにアクセスできなくなる可能性があります。
タップモードでは、トラフィックのフローを妨げることなくファイアウォールルールをテストできます
  1. Workload Securityコンソールで[コンピュータ]または[ポリシー]に移動します。
  2. コンピュータ (またはポリシー) を右クリックし、[詳細]を選択して[コンピュータ]または[ポリシー]エディターを開きます。
  3. [設定][詳細][ネットワークエンジンモード]に移動します。
  4. リストから[タップ]を選択し、[保存]をクリックします。
  5. ルールを作成して[OK]をクリックしてください。
  6. ルールを確認するには、[イベントとレポート][イベント][ファイアウォールイベント]に移動します。
タップモードではルールの処理を [ログ記録のみ] に設定する必要はありません。
ファイアウォールルールに満足したら、[コンピュータ]または[ポリシー]エディターに戻り、リストから[Inline]を選択し、[保存]をクリックしてください。
多くの場合、トラフィックを妨げることなくファイアウォールルールをテストするにはタップモードが良い方法となります。しかし、ルールの処理を [ログ記録のみ] に設定すると、インラインモードでもルールをテストできます。この方法ではトラフィック分析の実際のプロセスが発生し、パケットのブロックや拒否などの処理を実行する必要がありません。
  1. Workload Securityコンソールで[コンピュータ]または[ポリシー]に移動します。
  2. コンピュータ (またはポリシー) を右クリックし、[詳細]を選択して[コンピュータ]または[ポリシー]エディターを開きます。
  3. [設定][詳細][ネットワークエンジンモード]に移動します。
  4. メニューから[Inline]を選択し、[保存]をクリックしてください。
  5. ルールを作成する際は、アクションが[Log Only]に設定されていることを確認してください。
  6. ルールを確認するには、[イベントとレポート][イベント][ファイアウォールイベント]に移動します。
ファイアウォールルールに満足したら、アクションを[Log Only]から希望のアクションに変更し、[OK]をクリックしてください。

フェールオープン動作を有効にする

ファイアウォールルール (または侵入防御ルール) が適用される前に、ネットワークエンジンがパケットをブロックすることがあります。初期設定では、次の場合にネットワークエンジンはパケットをブロックします。
  • エージェントにシステムの問題があります。例えば、メモリ不足などです。
  • パケットの健全性チェックに失敗しました。
このフェイルクローズ動作は高レベルのセキュリティを提供します: エージェントが正常に機能していない場合でも、サイバー攻撃がネットワークに侵入するのを防ぎ、潜在的に悪意のあるパケットから保護します。フェイルクローズの欠点は、エージェントの問題によりサービスやアプリケーションが利用できなくなる可能性があることです。また、パケットの健全性チェックの結果として大量のパケットが不必要にドロップされると、パフォーマンスの問題が発生する可能性もあります (偽陽性が多すぎる場合)。
サービスの可用性に懸念がある場合は、初期設定の動作を変更して、システムおよびパケットチェックの失敗時にパケットを通過 (またはフェールオープン) できるようにすることを検討してください。
  1. Workload Securityコンソールで[コンピュータ]または[ポリシー]に移動します。
  2. コンピュータ (またはポリシー) を右クリックし、[詳細]を選択して[コンピュータ]または[ポリシー]エディターを開きます。
  3. 左側の[設定]をクリックしてください。
  4. [詳細]タブを選択します。
  5. [ネットワークエンジンの設定]の下で、以下のガイドラインに従って[Failure Response settings]を設定してください。
    1. [ネットワークエンジンのシステムエラー][Fail open]に設定して、Workload Securityネットワークエンジンがメモリ不足やメモリ割り当て失敗、ネットワークエンジンのディープパケットインスペクション (DPI) デコード失敗などの問題を経験した場合にパケットを通過させます。エージェントが高負荷やリソース不足のためにネットワーク例外に頻繁に遭遇する場合は、ここでフェイルオープンを使用することを検討してください。フェイルオープンを使用すると、ネットワークエンジンはパケットを通過させ、IPSルールのチェックを行わず、イベントをログに記録します。エージェントの問題にもかかわらず、サービスとアプリケーションは利用可能なままです。
    2. [ネットワークパケットのサニティチェックエラー][Fail open]に設定して、ネットワークエンジンのパケット健全性チェックに失敗したパケットを通過させます。パケット健全性チェックの例としては、ファイアウォールの健全性チェック、ネットワーク層2、3、または4の属性チェック、TCP状態チェックがあります。健全性チェックを通過した良好なパケットに対してのみIPSルールのチェックを行いたい場合は、ここでフェイルオープンを使用することを検討してください。フェイルオープンを使用すると、ネットワークエンジンは失敗したパケットを通過させ、IPSルールのチェックを行わず、イベントをログに記録します。
  6. [保存] をクリックします。
これで、システムまたはパケットチェックエラーに対するFail-Open動作が有効になります。

ファイアウォールを有効にする

コンピュータでファイアウォール機能を有効にするには、
  1. [コンピュータ]または[ポリシー]エディターで、[ファイアウォール][一般]に移動します。
    コンテナのファイアウォールを有効にする方法については、ファイアウォール設定の適用を参照してください。
  2. [オン]を選択します。
  3. [保存] をクリックします。
Workload Security ファイアウォールを少なくとも1つのファイアウォールルールで有効にすると、エージェントは競合を防ぐために自動的にWindowsファイアウォールを無効にします。

初期設定のファイアウォールルール

Workload Securityに付属するポリシーには、デフォルトでアウトバウンドルールは割り当てられていませんが、いくつかの推奨インバウンドルールが割り当てられています。各ポリシーに割り当てられたデフォルトのインバウンドルールは、関連するOSポリシーの[ファイアウォール]タブで確認できます。以下の例は、Windows 10 Desktopポリシーに割り当てられたデフォルトのファイアウォールルールを示しています。これらのファイアウォールルールは、環境のニーズに合わせて設定できますが、トレンドマイクロは開始するためのいくつかのデフォルトルールを提供しています。
システムパフォーマンスへの影響を最小限に抑えるために、300以上のファイアウォールルールを割り当てないようにしてください。また、ファイアウォールルールの[説明]フィールドにすべてのルール変更を記録することも良い習慣です。ファイアウォールの保守を容易にするために、ルールが作成または削除された時期と理由をメモしておいてください。
editor-firewall-general=9c013fb5-1613-42b3-8663-953af4d50f85.png

Workload Security トラフィックの初期設定のバイパスルール

Workload Securityは、エージェントが稼働しているコンピュータでエージェントのハートビート用のリスニングポート番号を開く[Priority 4 Bypass Rule]を自動的に実装します。優先度4は、このルールがいかなる拒否ルールよりも先に適用されることを保証し、バイパスはトラフィックが決して妨げられないことを保証します。バイパスルールは内部で作成されるため、ファイアウォールルールリストには明示的に表示されません。
ただし、このルールでは、任意のIPアドレスおよび任意のMACアドレスからのトラフィックが許可されます。エージェントの待機ポートを強化するには、このポートに対してより制限の厳しい代替ルールを作成します。エージェントは、次の設定がある場合、デフォルトのWorkload Securityトラフィックルールを新しいカスタムルールで上書きします。
初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。

制限的および許可的なファイアウォール設計

一般に、ファイアウォールポリシーは、2つの設計戦略のどちらかに基づいています。つまり、明示的に拒否されていないかぎりすべてのサービスを許可するか、明示的に許可されていないかぎりすべてのサービスを拒否するかのいずれかです。どちらのタイプのファイアウォールを実装するか決定しておくことを推奨します。これにより、ルールの作成とメンテナンスにかかる管理の手間を削減できます。
厳格なファイアウォールは、セキュリティの観点から推奨されます。初期設定ではすべてのトラフィックがブロックされ、明示的に許可されたトラフィックだけが許可されます。計画しているファイアウォールの主な目的が不正なアクセスをブロックすることであれば、接続を許可するのではなく制限することを重視する必要があります。厳格なファイアウォールはメンテナンスが比較的容易であり、安全性にも優れています。許可ルールを使用して、ファイアウォールを通過する特定のトラフィックだけを許可し、他はすべて拒否します。
送信許可ルールを1つ割り当てると、送信ファイアウォールが制限モードで動作し始めます。これは、受信ファイアウォールにも当てはまります。単一の受信許可ルールを割り当てるとすぐに、受信ファイアウォールは制限モードで動作し始めます。
寛容なファイアウォールは、初期設定ですべてのトラフィックを許可し、署名などの情報から不正と認識されるトラフィックのみをブロックします。寛容なファイアウォールは実装は容易ですが、提供されるセキュリティは最小限であり、複雑なルールが必要です。拒否ルールを使用して、トラフィックを明示的にブロックします。

ファイアウォールルールの処理

ファイアウォールは、以下の処理を実行するように設定できます。
警告
警告
受信ルールのみを割り当てると、すべての送信トラフィックが許可されます。送信許可ルールを1つ割り当てると、送信ファイアウォールは制限モードで動作します。これには1つの除外があります。ICMPv6トラフィックは、拒否ルールで特にブロックされない限り常に許可されます。
許可
ルールと一致するトラフィックの通過を明示的に許可し、その他のトラフィックは黙示的に拒否します。
許可アクションを作成する際は、定義されていないすべてのものを暗黙的に拒否するため、注意が必要です。許可ルールを作成する際には、他のすべてのトラフィックをブロックしないように、関連するルールが正しく定義されていることを確認してください。許可ルールで明示的に許可されていないトラフィックはシステムによってドロップされ、許可されたポリシー外のファイアウォールイベントとして記録されます。
バイパス トラフィックがファイアウォールとIPS分析の両方をバイパスすることを許可します。バイパスルールは常にペアで作成する必要があります (受信トラフィックと送信トラフィックの両方)。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づくことができます。バイパスルールは、メディア集約型プロトコルや信頼できるソースからのトラフィック向けに設計されています。
拒否 (ログに記録) ルールと一致するトラフィックを明示的にブロックします。
強制的に許可 パケットが強制許可ルールに一致した場合、通過しますが、IPSによってフィルタリングされます。イベントはログに記録されません。このタイプのファイアウォールルールアクションは、UDPおよびICMPトラフィックに使用する必要があります。
ログのみ トラフィックはログに記録されるだけです。他の処理は行われません。
詳細については、ファイアウォールルールの作成を参照してください。

ファイアウォールルールの優先度

ルールの優先順位は、フィルターが適用される順序を決定します。これは、高優先度のルールが低優先度のルールよりも先に適用されることを意味します。アクションが同じ優先度を共有する場合、ルールの優先順位は、バイパス、強制許可、次に拒否の順になります。ただし、優先度の高い拒否アクションは、優先度の低いバイパスアクションよりも優先されます。ルールの優先順位とアクションが処理順序をどのように決定するかについての詳細は、ファイアウォールルールのアクションと優先順位を参照してください。
ファイアウォールルールの管理を簡略化するには、特定の処理に対して所定の優先度を固定します。たとえば、バイパスを使用するルールには初期設定の優先度3を、強制的に許可ルールには優先度2を、拒否ルールには優先度1を適用します。こうすることで、ルールの競合を削減できます。
  • 許可ルールは優先度0のみを持つことができます。これは、より高い優先度の強制許可および拒否ルールの後に処理されることを保証するためです。許可ルールを使用して暗黙的にトラフィックを拒否する場合 (許可ルールに一致しないトラフィックは拒否されます)、これを念頭に置いてください。つまり、拒否ルールが割り当てられると、既存のすべての許可ルールよりも優先されます。
  • 強制許可ルールは、常に許可されるべきトラフィック、例えばアドレス解決プロトコル (ARP) に推奨されます。強制許可アクションは、同じまたはより高い優先度の拒否ルールに対する切り札として機能します。例えば、10.0.0.0/8サブネットから許可されたポート番号へのアクセスを防ぐ優先度3の拒否ルールがある場合、ホスト10.102.12.56にそのアクセスを許可したい場合は、優先度3または4で強制許可ルールを作成して、優先度3の拒否ルールを覆す必要があります。このルールがトリガーされると、パケットは即座に許可され、低い優先度のルールはそれを処理しなくなります。
  • バイパスルールは、パケットがファイアウォールとディープパケットインスペクション (DPI) エンジンの両方をバイパスできる特別なタイプのルールです。このルールは優先度4で、各トラフィック方向に対して1つのルールをペアで作成する必要があります。

推奨されるファイアウォールポリシールール

以下のルールをすべてのファイアウォールポリシーに対して必須にすることを検討してください
  • ARP: コンピュータがMACアドレスに関するクエリに応答できるように、受信ARPリクエストを許可します。このルールを割り当てない場合、ネットワーク上のデバイスはホストのMACアドレスをクエリできず、ネットワークからアクセスできなくなります。
  • 要請されたTCP/UDP返信を許可: コンピュータが自身のTCP接続およびUDPメッセージに対する応答を受信できるようにします。これは、TCPおよびUDPのステートフルファイアウォール構成と連携して機能します。
  • 要請されたICMP返信を許可: コンピュータが自身のICMPメッセージに対する応答を受信できるようにします。これはICMPステートフルファイアウォール設定と連携して動作します。
  • DNSサーバ: DNSサーバーが受信DNSクエリを受け入れることを許可します。
  • リモートアクセスRDP: コンピュータがリモートデスクトップ接続を受け入れることを許可します。
  • リモートアクセスSSH: コンピュータがSSH接続を受け入れることを許可します。
ファイアウォールの設定手順を続行する前に、推奨されるファイアウォールルールをテストして、正しく動作することを確認します。
次の手順でRemote Access SSHルールをテストします。
  1. コンピュータへのSSH接続を確立します。ファイアウォールが有効で、リモートアクセスSSHルールが有効になっていない場合、接続は拒否されます。[イベントとレポート][ファイアウォールイベント]の順に選択して、拒否されたイベントを表示します。
  2. [コンピュータエディタとポリシーエディタ][ファイアウォール]に移動します。[割り当てられたファイアウォールルール]の下で、[割り当て/割り当て解除]をクリックします。
  3. リモートアクセスSSHを検索してルールを有効にし、[OK][保存]をクリックしてください。
  4. コンピュータに対するSSH接続の確立を試みます。接続が許可されます。
次の手順でRemote Access RDPルールをテストします。
  1. コンピュータへのRDP接続の確立を試みます。ファイアウォールが有効で、リモートアクセスRDPルールが有効になっていない場合、接続は拒否されます。拒否されたイベントを表示するには、[イベントとレポート][ファイアウォール]イベントに移動します。
  2. [コンピュータエディタとポリシーエディタ][ファイアウォール]に移動します。[割り当てられたファイアウォールルール]の下で、[割り当て/割り当て解除]をクリックします。
  3. リモートアクセスRDPを検索してルールを有効にし、次に[OK][保存]をクリックします。
  4. コンピュータに対するRDP接続の確立を試みます。接続が許可されます。

攻撃の予兆検索

ファイアウォールを設定して、潜在的な偵察スキャンを検出し、一定期間ソースIPからのトラフィックをブロックすることで攻撃を防ぐことができます。攻撃が検出されると、エージェントとアプライアンスにソースIPからのトラフィックを一定期間ブロックするよう指示できます。[ポリシーまたはコンピュータエディタ][ファイアウォール][攻撃の予兆]タブの[トラフィックをブロック]リストを使用して、分数を設定します。
  • [OSのフィンガープリント調査:] エージェントまたはアプライアンスがコンピュータのOSを検出しようとする試みを検出しました。
  • [ネットワークまたはポート検索:] エージェントまたはアプライアンスは、リモートIPが異常な割合でIPとポートを訪問していると検出した場合、ネットワークまたはポート検索を報告します。通常、エージェントまたはアプライアンスコンピュータは自分自身に向けられたトラフィックしか見ないため、ポート検索は最も一般的なプローブの種類です。コンピュータまたはポート検索検出に使用される統計分析方法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」文書で提案されたTAPSアルゴリズムに由来しています。
  • [TCP Null検索:] エージェントまたはアプライアンスは、フラグが設定されていないパッケージを検出します。
  • [TCP SYNFIN検索:] エージェントまたはアプライアンスは、SYNフラグとFINフラグのみが設定されたパケットを検出します。
  • [TCP Xmas検索:] エージェントまたはアプライアンスは、FIN、URG、PSHフラグのみが設定されたパケット、または0xFF (すべての可能なフラグが設定された値) を検出します。
各攻撃タイプに対して、エージェントまたはアプライアンスは情報をWorkload Securityに送信するよう指示され、[DSMにただちに通知]オプションを選択することでアラートがトリガーされます。このオプションを機能させるには、エージェントとアプライアンスを[ポリシーまたはコンピュータ][設定][一般][通信方向]でエージェントまたはアプライアンス起動または双方向通信に設定する必要があります。有効にすると、エージェントまたはアプライアンスは攻撃またはプローブを検出するとすぐにWorkload Securityにハートビートを開始します。
偵察保護を有効にするには、[ポリシー]または[コンピュータ]エディターの[ファイアウォール][一般]タブでファイアウォールとステートフルインスペクションを有効にする必要があります。また、[ポリシー]または[コンピュータ]エディターの[ファイアウォール] > 高度なタブに移動し、[ポリシーで未許可]設定のパケットに対して[ファイアウォールイベントを生成]を有効にする必要があります。これにより、偵察に必要なファイアウォールイベントが生成されます。
攻撃の予兆の検出では、1つ以上のアクティブなファイアウォールルールがAgentのポリシーに割り当てられている必要があります。
攻撃の予兆警告の対処方法については、警告: 攻撃の予兆検出を参照してください。

ステートフルインスペクション

Workload Securityファイアウォールを有効にする場合は、ファイアウォールのステートフル設定メカニズムを有効にする必要があります。このメカニズムは、トラフィック履歴、TCPおよびIPヘッダ値の正確性、およびTCP接続状態の遷移のコンテキストで各パケットを分析します。 UDPやICMPなどのステートレスプロトコルの場合、トラフィックの履歴分析に基づいて擬似ステートフルメカニズムが実装されます。
パケットは、ステートフルメカニズムによって次のように処理されます。
  1. 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
  2. パケットを調べて、既存の接続に属しているかどうかが判断されます。
  3. TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。
Workload Securityファイアウォール ステートフル設定を使用すると、サービス拒否などの攻撃から保護できます。ただし、ステートフルなTCP、ICMP、またはUDPプロトコルを使用する初期設定では有効になっており、要求された応答のみが許可されます。UDPステートフルオプションが有効な場合は、UDPサーバ (DHCPなど) の実行時に強制的に許可を使用する必要があります。エージェントにDNSサーバまたはWINSサーバが設定されていない場合、NetBIOSに受信UDPポート137の強制的な許可ルールが必要になることがあります。
ステートフルログは、ICMPまたはUDPプロトコルで必要でない限り無効にする必要があります。

次の例に従って、Webサーバの基本的なファイアウォールポリシーを作成できます。
  1. オプションが有効になっているグローバルなファイアウォールステートフル設定を使用して、TCP、UDP、およびICMPのステートフルインスペクションを有効にします。
  2. ファイアウォールルールを追加して、ワークステーションで発信されたリクエストへのTCPおよびUDPの応答を許可します。これを行うには、プロトコルを[TCP + UDP]に設定し、[指定フラグ]の下で[Not][Syn]を選択して、受信許可ルールを作成します。この時点で、ポリシーはワークステーション上のユーザによって開始されたリクエストへの応答であるTCPおよびUDPパケットのみを許可します。例えば、手順1で有効にしたステートフル分析オプションと組み合わせることで、このルールはこのコンピュータ上のユーザがDNSルックアップ (UDP経由) を実行し、HTTP (TCP) 経由でWebを閲覧することを許可します。
  3. ファイアウォールルールを追加して、ワークステーションから発信された要求に対するICMP応答を許可します。これを行うには、プロトコルを[ICMP]に設定し、[任意のフラグ]チェックボックスを選択して、受信許可ルールを作成します。これにより、このコンピュータのユーザは他のワークステーションにpingを送信して応答を受け取ることができますが、他のユーザはこのコンピュータにpingを送信することはできません。
  4. [指定フラグ]セクションで[Syn]を有効にして、ポート80および443への着信TCPトラフィックを許可するファイアウォールルールを追加します。これにより、外部ユーザがこのコンピュータ上のWebサーバにアクセスできるようになります。
    この時点で、TCP、UDP、およびICMPの要請応答を許可する基本的なファイアウォールポリシーが設定され、このコンピュータのWebサーバへの外部アクセスが許可され、他のすべての受信トラフィックが拒否されます。
    [拒否] および [強制的に許可] ルールの処理を使用してこのポリシーをさらに絞り込む方法の例として、ネットワーク内の他のコンピュータからのトラフィックを制限する方法を検討してください。たとえば、内部ユーザにはこのコンピュータのWebサーバへのアクセスを許可し、DMZ内のコンピュータからのアクセスは拒否することができます。これを行うには、拒否ルールを追加して、DMZのIP範囲内のサーバからのアクセスを禁止します。
  5. 送信元IP 10.0.0.0/24 (DMZ内のコンピュータに割り当てられたIP範囲) を使用して、受信TCPトラフィック用に拒否ルールを追加します。このルールでは、DMZ内にあるコンピュータからこのコンピュータへのトラフィックをすべて拒否します。
    ただし、DMZ内にあるメールサーバからの受信トラフィックを許可するように、このポリシーをさらに調整することもできます。
  6. 送信元IP 10.0.0.100からの受信TCPトラフィックには、強制的に許可を使用します。この強制的に許可は、前の手順で作成したDMZ内のこのコンピュータからのトラフィックを許可するために作成した拒否ルールよりも優先されます。

重要な考慮事項

  • すべてのトラフィックは、まずファイアウォールルールと照合されてからステートフルインスペクションエンジンで分析されます。トラフィックがファイアウォールルールを通過した場合は、ステートフルインスペクションエンジンによって分析されます (ステートフルインスペクションがファイアウォールステートフル設定で有効になっているものとします)。
  • 許可ルールが禁止されています。許可ルールで指定されていないものはすべて自動的に削除されます。これには他のフレームタイプのトラフィックも含まれるため、他のタイプの必要なトラフィックを許可するルールを含めることを忘れないでください。たとえば、静的ARPテーブルが使用されていない場合は、ARPトラフィックを許可するルールを含めることを忘れないでください。
  • UDPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のUDPトラフィックを許可する必要があります。たとえば、UDPステートフルインスペクションがDNSサーバで有効になっている場合に、サーバが受信DNS要求を受け入れるように、強制的に許可ルールをポート53に設定する必要があります。
  • ICMPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のICMPトラフィックを許可する必要があります。たとえば、外部のping要求を許可する場合は、ICMPタイプ3 (エコー要求) を強制的に許可するルールが必要です。
  • 強制的に許可の処理は、同じ優先度のコンテキスト内でのみ切り札として機能します。
  • DNSサーバまたはWINSサーバが設定されていない場合 (テスト環境では一般的です)、NetBIOS (Windows共有) に対して [受信UDPポート137を強制的に許可] ルールが必要になることがあります。
新しいファイアウォールポリシーのトラブルシューティングを行う場合は、まずエージェントまたはApplianceのファイアウォールルールログを確認する必要があります。ファイアウォールルールログには、拒否されているトラフィックを特定するために必要なすべての情報が含まれているため、必要に応じてポリシーをさらに絞り込むことができます。