リモートクライアントのファイアウォールポリシー設定のベストプラクティス

以下の表で、シナリオとベスト プラクティスの推奨事項について説明します。
ファイアウォールポリシーのベストプラクティス
シナリオ
推奨事項
ユーザーが VPN を使わずにログオンするリモートの場所
  • VPN を使わずにリモートでログオンするクライアントに最も厳格なセキュリティポリシーを割り当てます。
  • NetBIOS の保護を有効にします。
    リモートクライアントが VPN 経由で企業ネットワークにログオンする場所については、NetBIOS の保護を有効にしないでください。このルールは、リモートクライアントが企業ネットワークではなくインターネットに接続される場合のみ適切です。
  • セキュリティを向上させるため、NetBIOS ポート 135、139、445 で、ローカルの TCP トラフィックをすべて遮断します。
ユーザーが VPN 経由でログオンするリモートの場所
  • すべてのアダプタでトラフィックを遮断するルールはすべてそのまま残します。それらのルールは変更しないでください。
  • すべてのアダプタで VPN トラフィックを許可するルールはそのまま残します。そのルールは変更しないでください。
  • 処理として[許可する]を使うすべてのルールで、[アダプタ]列を[すべてのアダプタ]から、使っている VPN アダプタの名前に変更します。
  • 他のトラフィックをすべて遮断するルールを有効にします。
VPN によって分割トンネリングが起きる可能性を回避したければ、これらの変更をすべて作成する必要があります。
ユーザーがイーサネットまたは無線接続経由でログオンするオフィスの場所
デフォルトのファイアウォールポリシーを使います。無線接続の場合は、無線 EAPOL を許可するルールが有効になっていることを確認します。802.1x は接続の認証に EAPOL(Extensible Authentication Protocol over LAN)を使います。
詳しい情報