目次

Workload Securityファイアウォールを設定する

Workload Security ファイアウォールは高度な柔軟性を備えたファイアウォールで、次のように設定できます。制限的または許容的である。侵入防御やWebレピュテーションモジュールと同様に、ファイアウォールモジュールもインラインまたはタップモードの2つのモードで実行できます。ファイアウォールルールをタップモードでテストし、すべてが正しく動作することを確認してからインラインモードに切り替えることを推奨します。

ファイアウォールの設定と管理は慎重に行う必要があり、すべての環境に合うルールセットは存在しません。ルールの作成を開始する前にファイアウォールの処理と優先度を理解しておく必要があります。許可ルールを作成する場合、定義されていない対象がすべて黙示的に拒否されるため、特に注意が必要です。

ファイアウォールルールを配信前にテストする

ファイアウォールモジュール(侵入防御モジュールとWebレピュテーションモジュール)には、ブロックするかどうかを決定するWorkload Securityネットワークエンジンが含まれています。またはパケットを許可します。ファイアウォールモジュールと侵入防御モジュールの場合、ネットワークエンジンはパケットのサニティチェックを実行し、ファイアウォールと侵入防御のルールを各パケットが通過することも確認します。ネットワークエンジンは次の2つのモードで動作します。

  • タップモード: パケットストリームは変更されません。ファイアウォールまたは侵入防御モジュールが有効になっている場合、トラフィックはこれらによって処理されます。ただし、問題が検出されてもパケットや接続が拒否されることはありません。タップモードの場合、 Workload Security では、イベントの記録を超える保護は提供されません。
  • インラインモード:パケットストリームは、 Workload Security ネットワークエンジンを直接通過します。すべてのルールは、プロトコルスタックの上位に伝わる前にネットワークトラフィックに適用されます。

配信前はルールの処理を [ログ記録のみ] に設定し、タップモードかインラインモードのいずれかでファイアウォールルールをテストすることが重要です。これにより、トラフィックに対するルールの影響を、処理を実行することなくプレビューできます。配信前にルールをテストしない場合、トラフィックがすべてブロックされ、コンピュータにアクセスできなくなる可能性があります。

タップモードでテストする

タップモードでは、トラフィックのフローを妨げることなくファイアウォールルールをテストできます。

  1. Workload Security コンソールの Computers または Policies に移動します。
  2. コンピュータまたはポリシーエディタを開くには、コンピュータ(またはポリシー)を右クリックし、[ 詳細 ]を選択します。
  3. [設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
  4. リストから [タップ] を選択し、[Save] をクリックします。
  5. ルールを作成し、[OK] をクリックします。ルールを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] に移動します。

タップモードではルールの処理を [ログ記録のみ] に設定する必要はありません。

ファイアウォール ルールに問題がなければ、コンピュータまたはポリシーエディタに戻り、ドロップダウンリストから[ Inline ]を選択し、[ Save]をクリックします。

インラインモードでテストする

多くの場合、トラフィックを妨げることなくファイアウォールルールをテストするにはタップモードが良い方法となります。しかし、ルールの処理を [ログ記録のみ] に設定すると、インラインモードでもルールをテストできます。この方法ではトラフィック分析の実際のプロセスが発生し、パケットのブロックや拒否などの処理を実行する必要がありません。

  1. Workload Security コンソールの Computers または Policies に移動します。
  2. コンピュータまたはポリシーエディタを開くには、コンピュータ(またはポリシー)を右クリックし、[ 詳細 ]を選択します。
  3. [設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
  4. ドロップダウンメニューから Inline を選択し、[ Save]をクリックします。
  5. ルールを作成する際、[ログのみ]に設定されていることを確認してください。
  6. ルールを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] に移動します。

ファイアウォールルールの結果に問題がない場合は、処理を [ログ記録のみ] から任意の処理に変更し、[OK] をクリックします。

「Fail-Open」の動作を有効にする

ケースによっては、ファイアウォールルール (または侵入防御ルール) を適用する前にネットワークエンジンがパケットをブロックすることがあります。初期設定では、ネットワークエンジンは次の場合にパケットをブロックします。

  • AgentまたはVirtual Applianceにメモリ不足などのシステム上の問題がある。
  • パケットのサニティチェックでエラーが発生する。

この「Fail-Closed」動作により、高度なセキュリティが提供されます。AgentまたはVirtual Applianceが正常に機能していないときもサイバー攻撃がネットワークに侵入することはできず、不正と思われるパケットから保護できます。「Fail-Closed」の問題は、AgentまたはVirtual Applianceの問題によってサービスおよびアプリケーションが利用できなくなる場合があることです。また、パケットのサニティチェックの誤判定が多いために大量のパケットが必要以上にドロップされ、パフォーマンスの問題が発生することもあります。

サービス可用性に関して懸念がある場合は、以下の手順に従って、システムエラーやパケットチェックエラーの場合にもパケットの通過を許可する (「Fail-Open」にする) ように初期設定の動作を変更できます。

  1. Workload Security コンソールの Computers または Policies に移動します。
  2. コンピュータまたはポリシーエディタを開くには、コンピュータ(またはポリシー)を右クリックし、[ 詳細 ]を選択します。
  3. 左側にある [設定] をクリックします。
  4. [詳細] タブをクリックします。
  5. ネットワークエンジンの設定の下で、 [失敗の応答]設定 を次のように設定します。
  6. Network Engine System Failureに設定Failed を開いて、 Workload Security ネットワークエンジンでメモリ不足、メモリ不足の失敗、ネットワークエンジンのDeep Pack Inspection(DPI)などの問題が発生した場合にパケットを通過させます。失敗。ここで、Fail-Openの使用を検討するのは、高負荷やリソース不足によりAgentまたはVirtual Applianceでネットワーク例外が頻繁に発生する場合です。フェイルオープンの場合、ネットワークエンジンはパケットを通過させ、 侵入防御 ルールチェックを実行せず、イベントをログに記録します。AgentまたはVirtual Applianceに問題がある場合でも、サービスとアプリケーションは利用し続けることができます。
  7. ネットワークパケットの健全性チェックに失敗しましたに設定失敗 を起動してパケットを通過させ、ネットワークエンジンのパケット正常性チェックに失敗します。パケットのサニティチェックの例としては、ファイアウォールのサニティチェック、ネットワーク層2、3、または4の属性チェック、TCP状態チェックなどがあります。 侵入防御 ルールを実行する場合は、健全性チェックに合格する「良好な」パケットのみをチェックする場合は、ここでフェイルオープンを使用することを検討してください。フェイルオープンの場合、ネットワークエンジンは、失敗したパケットを通過させ、 侵入防御 ルールのチェックを実行せず、イベントをログに記録します。
  8. [Save] をクリックします。

これで、システムまたはパケットチェックエラーに対するFail-Open動作が有効になります。

ファイアウォールをオンにする

コンピュータでファイアウォール機能を有効にするには、次の手順に従います。

  1. コンピュータまたはポリシーエディタで、[ファイアウォール]→[一般]の順に選択します。

    有効化についてファイアウォールコンテナーについては、ファイアウォール設定を適用するを参照してください。

  2. Onを選択します。

  3. [保存] をクリックします。

少なくとも1つのファイアウォールルールで Workload Security ファイアウォール を有効にすると、Agentは競合を回避するためにWindows ファイアウォール を自動的に無効にします。

初期設定のファイアウォールルール

デフォルトで Workload Security に付属するポリシーには送信ルールは割り当てられませんが、いくつかの推奨受信ルールがあります。各ポリシーに割り当てられた初期設定の受信ルールは、該当するオペレーティングシステムポリシーで [ファイアウォール] タブを選択して確認できます。次の例は、Windows 10 Desktopポリシーに初期設定で割り当てられているファイアウォールルールを示しています。これらのファイアウォールルールは環境のニーズに合わせて設定できますが、すぐに始められるようにいくつかの初期設定ルールがあらかじめ用意されています。

システムパフォーマンスへの影響を最小限に抑えるには、300件より多くファイアウォールルールを割り当てないようにします。また、ファイアウォールルールへの変更をそのルールの [説明] フィールドに記録することも推奨します。より簡単にファイアウォールをメンテナンスするために、ルールを作成または削除した日付とその理由を記録してください。

Screenshot of Firewall settings in Policy editor

Workload Security トラフィックの初期設定のバイパスルール

Workload Security は、エージェントを実行するコンピュータでハートビート用のエージェントの待機ポート番号を開く 優先順位4のバイパスルール が自動的に実装されます。このルールは優先度4なので、他の拒否ルールよりも先に適用されます。また、バイパスルールなので、トラフィックの障害が発生することはありません。なお、このバイパスルールは内部的に作成されるため、ファイアウォールルールの一覧には明示的に表示されません。

ただし、このルールでは、任意のIPアドレスと任意のMACアドレスからのトラフィックが許可されます。エージェントの待機ポートを強化するために、このポートに対して代替バイパスルールを作成することもできます。それはこれらの設定を持っている場合、エージェントは、新しいカスタムルールとデフォルト Workload Security 交通ルールを上書きします。

初期設定のルールをカスタムルールに置き換えるには、カスタムルールに上記のパラメータが必要です。理想的には、 Workload Security のIPアドレスまたはMACアドレスをルールのパケット送信元として使用する必要があります。

厳格または寛容なファイアウォール設計

一般に、ファイアウォールポリシーは、2つの設計戦略のどちらかに基づいています。つまり、明示的に拒否されていないかぎりすべてのサービスを許可するか、明示的に許可されていないかぎりすべてのサービスを拒否するかのいずれかです。どちらのタイプのファイアウォールを実装するか決定しておくことを推奨します。これにより、ルールの作成とメンテナンスにかかる管理の手間を削減できます。

厳格なファイアウォール

厳格なファイアウォールは、セキュリティの観点から推奨されます。初期設定ではすべてのトラフィックがブロックされ、明示的に許可されたトラフィックだけが許可されます。計画しているファイアウォールの主な目的が不正なアクセスをブロックすることであれば、接続を許可するのではなく制限することを重視する必要があります。厳格なファイアウォールはメンテナンスが比較的容易であり、安全性にも優れています。許可ルールを使用して、ファイアウォールを通過する特定のトラフィックだけを許可し、他はすべて拒否します。

送信の許可ルールを1つ割り当てると同時に、送信ファイアウォールが制限モードで稼働します。これは受信ファイアウォールの場合も同じです。受信の許可ルールを1つ割り当てると同時に、受信ファイアウォールが制限モードで稼働します。

寛容なファイアウォール

寛容なファイアウォールは、初期設定ですべてのトラフィックを許可し、署名などの情報から不正と認識されるトラフィックのみをブロックします。寛容なファイアウォールは実装は容易ですが、提供されるセキュリティは最小限であり、複雑なルールが必要です。拒否ルールを使用して、トラフィックを明示的にブロックします。

ファイアウォールルールの処理

ファイアウォールは、以下の処理を実行するように設定できます。

受信ルールのみを割り当てると、送信トラフィックはすべて許可されます。送信許可ルールを1つ割り当てると、送信ファイアウォールは制限モードで稼働します。ただし、1つだけ例外があります。ICMPv6トラフィックは、拒否ルールで明確にブロックされていないかぎり、常に許可されます。

許可 ルールに一致するトラフィックを明示的に許可し、それ以外のすべてを暗黙的に拒否します。

[許可] の処理は定義されていないトラフィックをすべて黙示的に拒否するため、この処理は慎重に使用する必要があります。関連するルールを正しく定義せずに許可ルールを作成すると、許可ルールで許可したトラフィックを除き、すべてのトラフィックがブロックされる可能性があります。許可ルールで明示的に許可されていないトラフィックは破棄され、ポリシーで「未許可」のファイアウォールイベントとして記録されます。

バイパス ファイアウォールと侵入防御分析の両方のバイパスをトラフィックに許可します。バイパスルールは常にペアで (受信トラフィックと送信トラフィックの両方に対して) 作成する必要があります。バイパスルールは、IP、ポート、トラフィックの方向、プロトコルに基づいて設定できます。

バイパスルールは、メディアを大量に使用するプロトコルや信頼された送信元からのトラフィックに対して設計されています。
拒否 ルールと一致するトラフィックを明示的にブロックします。
強制的に許可 強制的に許可ルールに一致したパケットは通過しますが、この場合でも侵入防御によるフィルタリングは行われます。イベントはログに記録されません。

この種の ファイアウォール ルール処理は、UDPおよびICMPトラフィックに使用する必要があります。
ログのみ トラフィックがルールに一致した場合、ログに記録されます。その他の処理は実行されません。

ファイアウォールルールの作成方法の詳細については、「ファイアウォールルールの作成」を参照してください。

ファイアウォールルールの優先度

ルールの優先度によって、フィルタが適用される順序が決定します。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。同じ優先度の処理が複数存在する場合のルールの優先度は、「バイパス」、「強制的に許可」、「拒否」の順になります。ただし、より高い優先度が適用された拒否処理は、より低い優先度が適用されたバイパス処理よりも優先されます。ルールの優先度と処理で処理順序が決まる仕組みの詳細については、「ファイアウォールルールの処理と優先度」を参照してください。

ファイアウォールルールの管理を簡略化するには、特定の処理に対して所定の優先度を固定します。たとえば、バイパスを使用するルールには初期設定の優先度3を、強制的に許可ルールには優先度2を、拒否ルールには優先度1を適用します。こうすることで、ルールの競合を削減できます。

許可ルール

許可ルールに適用できる優先度は0のみです。これは、より高い優先度の強制的に許可ルールおよび拒否ルールがすべて適用された後で許可ルールが処理されるようにするためです。許可ルールを使用してトラフィックを黙示的に拒否するときにはこの点に注意してください (許可ルールに一致しないトラフィックはすべて拒否されます)。こうすることで、拒否ルールを割り当てると、割り当てられている既存のすべての許可ルールよりも拒否ルールが優先されます。

強制的に許可ルール

強制的に許可ルールは、常に許可する必要があるトラフィック (アドレス解決プロトコル (ARP) など) に推奨されるルールで、同じまたはより高い優先度の拒否ルールに対してのみ機能します。たとえば、10.0.0.0/8サブネットから許可ポート番号へのアクセスを禁止する優先度3の拒否ルールがあり、ホスト10.102.12.56にこのポート番号へのアクセスを許可したいとします。この場合、優先度3の拒否ルールに対して優先度3または4の強制的に許可ルールを作成する必要があります。あるパケットがこのルールに該当するとそのアクセスはただちに許可され、優先度の低いルールは以降このアクセスを処理できなくなります。

バイパスルール

バイパスルールは、ファイアウォールエンジンと Deep Packet Inspection (DPI) エンジンの両方をバイパスすることをパケットに許可する特別なルールです。このルールは優先度4に設定し、ペアで作成する必要があります (各トラフィック方向に対して1つ)。

推奨されるファイアウォールポリシールール

すべてのファイアウォールポリシーに対して以下のルールを必須にすることを推奨します。

  • ARP: コンピュータへの受信ARP要求を許可し、コンピュータがMACアドレスのクエリに応答できるようにします。このルールを割り当てないと、ネットワーク上のデバイスはホストにMACアドレスで照会できず、ホストにネットワークからアクセスできなくなります。
  • Allow solicited TCP/UDP replies: コンピュータが、送信したTCP接続やUDPのメッセージへの応答を受信できるようにします。これは、TCPとUDPのステートフルファイアウォール設定と連携します。
  • Allow solicited ICMP replies: コンピュータが、送信したICMPメッセージへの応答を受信できるようにします。これは、ICMPのステートフルファイアウォール設定と連携します。
  • DNS Server: DNSサーバが受信DNSクエリを受け取ることができるようにします。
  • Remote Access RDP: コンピュータがリモートデスクトップ接続を受け入れることができるようにします。
  • Remote Access SSH: コンピュータがSSH接続を受け入れることができるようにします。

ファイアウォールルールをテストする

以降のファイアウォール設定手順に進む前に、推奨されるファイアウォールルールをテストし、それらが正しく動作することを確認します。

次の手順でRemote Access SSHルールをテストします。

  1. コンピュータに対するSSH接続の確立を試みます。ファイアウォールが有効でも、Remote Access SSHルールが有効になっていないと、接続は拒否されます。[イベントとレポート]→[ファイアウォールイベント] の順に選択し、拒否されたイベントを表示します。
  2. [コンピュータ]または[ポリシーエディタ]→[ファイアウォール]の順に選択します。[割り当てられたファイアウォールルール][割り当て/割り当て解除] をクリックします。
  3. Remote Access SSHを検索してそのルールを有効にします。[OK] をクリックし、[保存] をクリックします。
  4. コンピュータに対するSSH接続の確立を試みます。接続が許可されます。

次の手順でRemote Access RDPルールをテストします。

  1. コンピュータに対するRDP接続の確立を試みます。ファイアウォールが有効でも、Remote Access RDPルールが有効になっていないと、接続は拒否されます。[イベントとレポート]→[ファイアウォール] イベントの順に選択し、拒否されたイベントを表示します。
  2. [コンピュータ]または[ポリシーエディタ]→[ファイアウォール]の順に選択します。[割り当てられたファイアウォールルール][割り当て/割り当て解除] をクリックします。
  3. Remote Access RDPを検索してそのルールを有効にします。[OK] をクリックし、[保存] をクリックします。
  4. コンピュータに対するRDP接続の確立を試みます。接続が許可されます。

攻撃の予兆検索

攻撃の予兆検索を検出するようにファイアウォールを設定し、一時的に送信元IPからのトラフィックをブロックして攻撃の防止を図ることができます。攻撃が検出されると、一時的に送信元IPからのトラフィックをAgentおよびApplianceでブロックするように設定できます。[ポリシーまたは コンピュータエディタ ]→[ ファイアウォール ]→[ 攻撃の予兆]タブの[トラフィックブロックリスト]を使用して分数を設定します。

  • コンピュータOSフィンガープリントプローブ: エージェントまたはアプライアンスは、コンピュータのOSの検出試行を検出しました。
  • ネットワークまたはポート検索: エージェントまたはアプライアンスは、リモートIPがポートとのIPの異常な比率にアクセスしていることを検出した場合、ネットワークまたはポートの検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
  • TCP Null検索: エージェントまたはアプライアンスは、フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN検索: エージェントまたはアプライアンスは、SYNおよびFINフラグのみが設定されたパケットを検出します。
  • TCP Xmas検索: エージェントまたはアプライアンスは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFFの値(すべての可能なフラグが設定されたパケット)を検出します。

攻撃の種類ごとに、 Workload Securityに情報を送信するようにエージェントまたはアプライアンスに指示することができます。ここでは、[Notify DSM Immediately]オプションを選択してアラートをトリガします。このオプションを機能させるには、エージェントとアプライアンスは ポリシー/ コンピュータエディタ >設定>一般>通信方向のエージェントまたはアプライアンスが開始したか、双方向通信用に設定する必要があります。有効にすると、エージェントまたはアプライアンスは攻撃またはプローブの検出時に Workload Security に対してただちにハートビートを開始します。

偵察保護を有効にする場合は、 ファイアウォール およびポリシーまたは コンピュータエディタ の[ ファイアウォール ]→[一般]タブでステートフルインスペクションも有効にする必要があります。また、ポリシーまたは コンピュータエディタ > ファイアウォール > [詳細]タブに移動し、[許可されていないポリシー]設定のパケットに対して[ ファイアウォール イベントの生成]を有効にする必要があります。これにより、攻撃の予兆に必要なファイアウォールイベントが生成されるようになります。

攻撃の予兆の検出では、1つ以上のアクティブなファイアウォールルールがAgentのポリシーに割り当てられている必要があります。

攻撃の予兆警告に対応する方法の詳細については、「警告: 攻撃の予兆の検出を参照してください。

ステートフルインスペクション

Workload Securityファイアウォールステートフルな設定メカニズムを有効にする必要があります。ファイアウォールになっています。このメカニズムでは、トラフィック履歴との関連における各パケット、TCPおよびIPヘッダ値の正当性、およびTCP接続状態の推移が分析されます。UDPやICMPなどのステートレスプロトコルの場合、履歴トラフィック分析に基づいた擬似ステートフルメカニズムが実装されます。

パケットは、ステートフルメカニズムによって次のように処理されます。

  1. 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
  2. パケットを調べて、既存の接続に属しているかどうかが判断されます。
  3. TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。

Workload Securityファイアウォール ステートフル設定を使用すると、サービス拒否などの攻撃から保護できます。ただし、ステートフルなTCP、ICMP、またはUDPプロトコルを使用する初期設定では有効になっており、要求された応答のみが許可されます。UDPステートフルオプションが有効な場合は、UDPサーバ (DHCPなど) の実行時に強制的に許可を使用する必要があります。エージェントにDNSサーバまたはWINSサーバが設定されていない場合、NetBIOSに受信UDPポート137の強制的な許可ルールが必要になることがあります。

ステートフルログは、ICMPまたはUDPプロトコルで必要でない限り無効にする必要があります。

Webサーバ用の単純なファイアウォールポリシーを作成する方法の例を示します。

  1. オプションが有効になっているグローバルなファイアウォールステートフル設定を使用して、TCP、UDP、およびICMPのステートフルインスペクションを有効にします。
  2. ワークステーションからの要求に対するTCPおよびUDPの応答を許可するファイアウォールルールを追加します。そのためには、受信許可ルールを作成し、プロトコルセットを [TCP+UDP] に設定し、[指定フラグ] の下にある [選択以外][SYN] をオンにします。この時点で、ワークステーションのユーザからの要求に応答するTCPとUDPのパケットだけがポリシーによって許可されます。たとえば、手順1で有効にしたステートフル分析オプションと連動してこのルールを使用すると、コンピュータのユーザはDNS検索 (UDP経由) やHTTP (TCP) 経由のWeb閲覧ができるようになります。

  3. ワークステーションからの要求にICMP応答を許可するファイアウォールルールを追加します。これを実行するには、プロトコルが ICMP に設定された受信許可ルールを作成し、[任意フラグ] チェックボックスをオンにします。このコンピュータのユーザは別のワークステーションにpingを送信して応答を受信できますが、他のユーザはこのコンピュータにpingを送信できなくなります。

  4. [指定フラグ] セクションの [SYN] チェックボックスをオンにして、受信TCPトラフィックをポート80およびポート443に対して許可するファイアウォールルールを追加します。外部ユーザがこのコンピュータのWebサーバにアクセスできるようになります。

    この時点で、他の受信トラフィックをすべて拒否するコンピュータで、承諾されたTCP、UDP、およびICMP応答とWebサーバへの外部アクセスを許可する基本的なファイアウォールポリシーが設定されます。

    拒否ルールおよび強制的に許可ルールの処理を使用してこのポリシーをさらに詳細に定義する方法の例について、ネットワーク内の他のコンピュータからのトラフィックを制限する方法を考察します。たとえば、内部ユーザに対してはこのコンピュータのWebサーバへのアクセスを許可し、DMZにあるコンピュータからのアクセスは拒否するものとします。この場合、DMZのIP範囲にあるサーバからのアクセスを禁止する拒否ルールを追加することによって設定が可能になります。

  5. 送信元IP 10.0.0.0/24 (DMZ内のコンピュータに割り当てられたIP範囲) を使用して、受信TCPトラフィック用に拒否ルールを追加します。このルールでは、DMZ内にあるコンピュータからこのコンピュータへのトラフィックをすべて拒否します。

    ただし、このポリシーをさらに詳細に定義するとDMZ内にあるメールサーバからの受信トラフィックを許可できます。

  6. 送信元IP 10.0.0.100からの受信TCPトラフィックに強制的に許可ルールを使用します。この強制的に許可ルールは、前の手順で作成した拒否ルールをオーバーライドして、DMZ内にあるコンピュータからのトラフィックを許可します。

重要事項

  • すべてのトラフィックは、まずファイアウォールルールと照合されてからステートフルインスペクションエンジンで分析されます。トラフィックがファイアウォールルールを通過した場合は、ステートフルインスペクションエンジンによって分析されます (ステートフルインスペクションがファイアウォールステートフル設定で有効になっているものとします)。
  • 許可ルールは暗黙の拒否ルールを含んでいます。許可ルールで指定されていないトラフィックは自動的に破棄されます。このルールには他の種類のフレームのトラフィックが含まれるため、他のフレームの種類の必要なトラフィックを許可するルールを含める必要があります。たとえば、静的ARPテーブルを使用していない場合にはARPトラフィックを許可するルールを忘れずに含める必要があります。
  • UDPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のUDPトラフィックを許可する必要があります。たとえば、UDPステートフルインスペクションがDNSサーバで有効になっている場合に、サーバが受信DNS要求を受け入れるように、強制的に許可ルールをポート53に設定する必要があります。
  • ICMPのステートフルインスペクションが有効になっている場合は、強制的に許可ルールを使用して未承諾のICMPトラフィックを許可する必要があります。たとえば、外部のping要求を許可する場合は、ICMPタイプ3 (エコー要求) を強制的に許可するルールが必要です。
  • 強制的に許可の処理は、同じ優先度のコンテキスト内でのみ切り札として機能します。
  • (テスト環境で一般的な)DNSまたはWINSサーバが設定されていない場合、NetBIOS(Windows共有)の場合は「強制的に受信UDPポート137を許可」ルールが必要になることがあります。

新しい ファイアウォール ポリシーのトラブルシューティングを行う際は、最初に行う必要があることは、エージェントまたはアプライアンスの ファイアウォール ルールログを確認することです。ファイアウォールルールのログには、拒否されているトラフィックを判断するために必要な情報がすべて含まれており、必要に応じてポリシーをさらに詳細に設定できます。