ファイアウォールでのステートフルインスペクションの使い方

ファイアウォール保護は、現在の接続の追跡にステートフルインスペクションを使います。ステートフルインスペクションは、送信元と送信先の IP アドレス、ポート、アプリケーション、およびその他の接続情報を追跡します。クライアントは、ファイアウォールルールを検査する前に、接続情報に基づいてトラフィックフローを決定します。
たとえば、ファイアウォールルールでコンピュータが Web サーバーに接続することが許可されている場合、ファイアウォールは接続情報をログに記録します。サーバーが応答すると、ファイアウォールは、Web サーバーからコンピュータに応答が送信されるものと判断します。ルールベースを検査することなく、接続を開始したコンピュータに Web サーバーのトラフィックが送信されることを許可します。ファイアウォールが接続をログに記録する前に、ルールが最初のアウトバウンドトラフィックを許可する必要があります。
ステートフルインスペクションにより、新しいルールを作成する必要性がなくなります。1 方向で開始されるトラフィックについては、両方向のトラフィックを許可するルールを作成する必要はありません。一方向に開始されるクライアントのトラフィックには、Telnet(ポート 23)、HTTP(ポート 80)、HTTPS(ポート 443)があります。クライアントコンピュータは、このアウトバウンドトラフィックを開始します。これらのプロトコルに対してアウトバウンドトラフィックを許可するルールを作成します。ステートフルインスペクションは、自動的にアウトバウンドトラフィックに応答するリターントラフィックを可能にします。ファイアウォールは事実上ステートフルであるため、特定のパケットの性質ではなく、接続を開始するルールを作成すれば済みます。許可した接続に属するすべてのパケットはそれと同じ接続の一部として暗黙に許可されます。
ステートフルインスペクションは TCP トラフィックを方向付けるすべてのルールをサポートします。
ステートフルインスペクションは、ICMP トラフィックをフィルタ処理するルールをサポートしません。ICMP トラフィックの場合は、両方向のトラフィックを許可するルールを作成する必要があります。たとえば、クライアントが ping コマンドを使い応答を受信するには、両方向の ICMP トラフィックを許可するルールを作成する必要があります。
接続情報を保守する状態テーブルは定期的に消去されることがあります。たとえば、ファイアウォールポリシーの更新を処理するときや Symantec Endpoint Protection サービスを再起動するときに消去されます。