ステートフル パケット検査の既定のアクセス ルールについて

既定では、SonicWall ネットワーク セキュリティ装置のステートフル パケット検査によって、LAN からインターネットへの通信はすべて許可され、インターネットから LAN へのトラフィックはすべて遮断されます。セキュリティ装置で有効になっているステートフル パケット検査の既定のアクセス ルールでは、以下の動作が定義されています。

• LAN、WLAN から WAN または DMZ へのすべてのセッションを許可します (送信先 WAN IP アドレスがファイアウォール自体の WAN インターフェースの場合を除く)。
• DMZ から WAN へのすべてのセッションを許可します。
• WAN から DMZ へのすべてのセッションを禁止します。
• WAN および DMZ から LAN または WLAN へのすべてのセッションを禁止します。

既定のアクセス ルールを拡張または指定変更する、追加のネットワーク アクセス ルールを定義することもできます。例えば、アクセス ルールを作成することによって、LAN ゾーンから WAN プライマリ IP アドレスへのアクセスを許可したり、特定の種別のトラフィック (LAN から WAN への IRC など) を遮断したり、特定の種別のトラフィック (インターネット上の特定のホストから LAN 上の特定のホストへの Lotus Notes データベースの同期など) を許可したり、特定のプロトコル (Telnet など) の使用を LAN 上の許可されたユーザのみに制限したりすることができます。

ユーザ定義アクセス ルールは、ネットワーク トラフィックの送信元 IP アドレス、送信先 IP アドレス、IP プロトコル種別を評価し、その情報を装置上に作成されているアクセス ルールと比較します。ネットワーク アクセス ルールは優先権を持ち、装置のステートフル パケット検査よりも優先させることができます。例えば、IRC トラフィックを遮断するアクセス ルールは、このトラフィック種別を許可している、装置の既定の設定よりも優先されます。

ネットワーク アクセス ルールを定義する機能は、非常に強力なツールです。個別アクセス ルールを使用して、ファイアウォールの保護を無効にしたり、インターネットへのアクセスをすべて遮断したりすることができます。ネットワーク アクセス ルールを作成または削除するときには注意が必要です。