ファイアウォールルールのアプリケーショントリガについて

アプリケーションがトラフィックを許可するルールで定義した唯一のトリガである場合には、ファイアウォールはそのアプリケーションが任意のネットワーク操作を実行することを許可します。重要なのはアプリケーション自体でありアプリケーションが実行するネットワーク操作ではありません。たとえば、Internet Explorer を許可してその他のトリガを定義しないとします。ユーザーは HTTP、HTTPS、FTP、Gopher、Web ブラウザがサポートするその他の任意のプロトコルを使うリモートサイトにアクセスできます。管理者は追加のトリガを定義して通信を許可する特定のネットワークプロトコルとホストを記述できます。
アプリケーションが複数のプロトコルを使えるためアプリケーションベースのルールはトラブルシューティングが困難な場合があります。たとえば、ファイアウォールが FTP を遮断するルールより前に Internet Explorer を許可するルールを処理した場合には、ユーザーは FTP と通信できます。ユーザーはブラウザに FTP ベースの URL(たとえば ftp://ftp.symantec.com)を入力できます。
たとえば、Internet Explorer を許可し、その他のトリガを定義しない場合を考えます。コンピュータユーザーは HTTP、HTTPS、FTP、Gopher、Web ブラウザがサポートするその他の任意のプロトコルを使うリモートサイトにアクセスできます。管理者は追加のトリガを定義して通信を許可するネットワークプロトコルとホストを記述できます。
アプリケーションルールはトラフィックをネットワークレベルで制御するためには使わないでください。たとえば、Internet Explorer の使用を遮断または制限するルールはユーザーが別の Web ブラウザを使っている場合には効果がありません。その他の Web ブラウザが生成するトラフィックは Internet Explorer ルールを除くその他すべてのルールと比較されます。アプリケーションベースのルールはトラフィックを送受信するアプリケーションを遮断するようにルールを設定した場合に、より効果的です。