サーバーにおける高度なファイアウォール設定

インフォマテックデジタル » Recursos » サーバーにおける高度なファイアウォール設定

をマスターしてください サーバー上の高度なファイアウォール設定 もはや大企業だけの問題ではありません。サイバーセキュリティを真剣に考える企業であれば、ネットワークのセグメンテーション、ゾーンの定義、詳細なルールの作成、そして各コンピュータとサーバー上の境界ファイアウォールとWindowsファイアウォールの両方を最大限に活用する方法を理解する必要があります。

このガイド全体を通して、 次世代ファイアウォール (NGFW)ゾーン (LAN、WAN、DMZ、VLAN) の設計方法、適用するルールの種類 (プログラム、ポート、プロトコル、IP…)、 高度なセキュリティを備えた Windows ファイアウォールSimpleWallのようなツールはどのような役割を果たすのか、また、この構造全体が手に負えない混乱状態に陥るのを防ぐためには、どのようなベストプラクティスに従うべきなのか？

サーバー上の次世代ファイアウォール：ポートフィルタリング以上の機能

次世代ファイアウォール、例えば FortiGate NGFWこれらのデバイスは、高度なネットワーク機能と高度なセキュリティ機能を1つに統合しています。単にポートを開閉するだけでなく、アプリケーションレベルでトラフィックを分析し、暗号化されたコンテンツを検査し、複雑なクラウド、LAN、WLAN、リモートアクセスアーキテクチャと統合します。

FortiGateの場合、システムの中核は フォーティiOSセキュリティポリシーとネットワーク機能を統合した専用オペレーティングシステム：統合型SD-WAN、ユニバーサルZTNA、無線および有線ネットワークにおけるトラフィック制御、そしてFortiManagerによる集中管理。

さらに、これらのチームは 独自のASICアーキテクチャ （専用チップ）により、ネットワークに高負荷がかかり、数百または数千の同時セッションが発生している場合でも、パフォーマンスを損なったり、消費電力が急増したりすることなく、パケットの検査と復号化を高速化します。

脅威に対する保護は、 FortiGuardサービス人工知能を追加することで、マルウェア、不審なトラフィック、エクスプロイト、標的型攻撃を検出し、Fortinet Security Fabric の概念にすべてを適合させます。Fortinet Security Fabric は、ネットワーク、エンドポイント、クラウドを包含し、インシデントに対して協調的に対応するためのセキュリティファブリックです。

サーバー上のファイアウォールゾーン設計とネットワークセグメンテーション

明日がないかのようにルールを作り始める前に、まずは設計する必要があります... ゾーンのアーキテクチャ と ネットワークセグメンテーションネットが平らであればあるほど、攻撃側は一度ネット内に入ると横方向に動きやすくなる。

最初のステップは特定することです 主要資産およびサービスウェブサーバー、データベース、社内アプリケーション、POS端末、VoIP PBX、ゲストネットワークなど。これらは、重要度と露出度に応じて、異なる論理ゾーンにグループ化されます。

標準的な手順は、 DMZ（非武装地帯） インターネットに直接サービスを提供するサーバー（電子メール、VPN、ウェブアプリケーション、公開ポータルなど）の場合、これらのシステムは外部ネットワークと最も機密性の高い内部ネットワークの両方から隔離され、異なる領域間で流れるトラフィックを可能な限り制限する必要があります。

組織内からのみアクセス可能なサーバーは、 内部サーバーエリアこれらはさらに、ユーザーネットワーク、管理ネットワーク、およびラボ環境やテスト環境から分離されています。これを実用的にするためには、以下の機能をサポートするスイッチを使用するのが一般的です。 VLAN レベル2においても分離を維持する。

IPv4環境では、すべての内部ネットワークは 私有射撃場 (RFC1918)に準拠し、インターネットへのアクセスにはNATメカニズムを利用します。変換は通常、境界ファイアウォールで行われ、各ゾーンごとに受信および送信トラフィックのポリシーも適用されます。

アクセス制御リスト（ACL）とゾーン間ルール

ゾーンが定義され、ファイアウォールのインターフェイスまたはサブインターフェイスに割り当てられたら、次は... ACL (アクセス制御リスト)これらは、それらのゾーン間でどのようなトラフィックが許可され、どのようなトラフィックが拒否されるかを決定するルールです。

その考え方は、各インターフェースまたはサブインターフェースごとに、できるだけシンプルな一連のルールを定義することである。 具体的かつ詳細 要件としては、送信元IPアドレスまたはサブネット、宛先IPアドレスまたはサブネット、プロトコル（TCP、UDP、ICMPなど）、関連ポート、およびアクション（許可または拒否）などが考えられます。ルールが具体的であればあるほど、セキュリティ上の脆弱性は少なくなります。

各 ACL を次のルールで終了するのが良い方法です。 「すべてを否定する」という暗黙の了解これは安全網として機能します。パケットが既存の許可ルールに一致しない場合、ブロックされます。そこから、実際に必要なフローに対して、非常に具体的な例外が作成されます。

また、無効にすることをお勧めします。 管理インターフェースへの一般アクセス ファイアウォール（HTTP、HTTPS、SSHなど）を遮断し、非常に限定された内部ネットワークからのみ、または安全な管理用VPN経由でのみ管理を許可します。

最新のNGFWはポートとIPを超えて、 アプリケーション制御Webカテゴリ、IPS、高度なファイル分析（サンドボックス）。これらの機能に既に料金を支払っている場合は、特に境界を越える重要なワークフローにおいて、これらの機能を有効化して設定することが賢明です。

サーバーにおける、許可型ファイアウォールと制限型ファイアウォールの比較

ファイアウォールポリシー（境界型でもオペレーティングシステム型でも）を設計する際の重要なポイントは、どのような姿勢から始めるかを決定することです。 寛容か制限的か.

1で 許可型ファイアウォール 究極の暗黙のルールは「すべてを許可する」です。拒否ルールで明示的に定義されたものだけがブロックされます。このアプローチは、通常、信頼できるローカルエリアネットワーク（LAN）や、Windowsで「プライベートネットワーク」として構成されたコンピュータで使用されます。

1で 制限的なファイアウォール 正反対のことが起こります。究極のルールは「すべて拒否」です。明示的な許可ルールに一致するトラフィックのみが通過を許可されます。この考え方は、広域ネットワーク（WAN）インターフェース、pfSenseや企業の次世代ファイアウォール（NGFW）などのファイアウォール、および「パブリックネットワーク」として構成されたデバイスでよく見られます。

例えば、Windows はデフォルトで 着信接続に対する制限的なポリシー （明示的に許可されていないものはすべてブロックします） 支出に関する寛容な方針 （ブロックした項目以外はすべて許可されます。）これはファイアウォールの詳細設定から調整できます。

Windowsファイアウォールはサーバー上で実際にどのようなメリットをもたらすのでしょうか？

El 高度なセキュリティを備えた Windows ファイアウォール 多くの人が想像するよりもはるかに強力です。受信トラフィックと送信トラフィックを制御したり、IPアドレス、ポート、プロトコル、サービス、ネットワークインターフェース、プロファイルタイプ（ドメイン、プライベート、パブリック）でフィルタリングしたり、場合によってはユーザーやグループでフィルタリングすることも可能です。

その機能の中でも、特に注目すべき点は以下のとおりです。 パケットフィルタリング 低レベルでは、詳細なログを生成し（イベントビューアーで分析したり、SIEMに送信したりできます）、パブリックネットワークを検出してより厳格なプロファイルを自動的に適用し、Windows Defenderなどの他のセキュリティレイヤーと統合します。

小規模企業や多くのサーバー環境では、適切に構成されたサーバーは 十二分に特に、強力なウイルス対策ソフトウェアと適切な管理体制と組み合わせれば効果的です。ただし、その限界にも注意が必要です。これは、境界防御型の次世代ファイアウォール（NGFW）や専用の侵入防御システム（IPS）の代替となるものではありません。

弱点として、Windowsファイアウォールにはこの機能がデフォルトでは搭載されていないことを指摘しておくべきでしょう。 ディープパケットインスペクション 高度な署名を使用しているため、システム自身のテレメトリをネイティブにブロックすることはなく、通知は控えめで（新しい接続についてほとんど警告しない）、ログの参照方法は非技術系のユーザーにとって使いやすいとは言えません。

高度なセキュリティを備えたWindowsファイアウォールへのアクセス

高度なファイアウォール設定を環境内で管理するには Active Directoryドメイン理想的には、 GPO（グループポリシーオブジェクト）ドメイン管理者グループに所属しているか、GPOに対する委任権限を持っていることが不可欠です。

ポリシー管理コンソールから、 ポリシー > コンピューターの構成 > Windows の設定 > セキュリティの設定 > 高度なセキュリティを備えた Windows ファイアウォールそこでは、ドメインに参加しているクライアントコンピュータとサーバーに対して共通のルールを定義できる。

それについては 単一のサーバーまたはローカルコンピュータそのデバイスで管理者権限が必要です。コンソールを開く最も簡単な方法は、STARTを押して、と入力することです。 wf.msc そしてEnterキーを押します。そのコンピューターの高度なセキュリティ機能が設定されたWindowsファイアウォールコンソールが開きます。

メイン画面には 受信ルール、送信ルール、接続セキュリティルール また、さまざまなプロファイル（ドメイン、プライベート、パブリック）の設定に加え、有効なルールのみが表示される監視エリアも備えています。

プロファイル、グローバルポリシー、およびデフォルトの動作

ファイアウォールのプロパティパネルは、各項目のグローバルオプションを制御します。 ネットワークプロファイル （ドメイン、プライベート、パブリック）。これらのオプションは、ネットワークアダプタが特定のネットワークタイプに関連付けられている場合のファイアウォールの動作を決定します。

各プロファイルごとに、ファイアウォールを有効にするかどうかを設定できます。 オンまたはオフいずれのルールにも一致しない着信接続をブロックするか許可するか、また発信接続についても同様です。

以下のようなパラメータも調整可能です。 プログラムをブロックしたときの通知、その場所 ファイアウォールログこれらのログの最大サイズと、一般的に信頼性が高いとされるIPsec VPNトンネルで保護されたトラフィックの特別な処理。

その 監督 グループポリシーオブジェクト（GPO）からのルールとローカルで定義されたルールを含め、現在有効なすべてのルールが表示されます。ここで、実際にどのルールが有効で、どのようなパラメーターが適用されているかを確認でき、そこからルールのプロパティを開いて変更できます。

出入り規則：交通方向

Windowsファイアウォールでルールを操作する際によくある間違いの1つは、 交通の流れを混乱させる受信ルールはコンピュータに到着するパケットに適用され、送信ルールはコンピュータから別のマシンへ送信されるパケットに適用されます。

インターネットからサーバーへの接続を阻止することが目的であれば、 エントリールール一方、サーバーサービスやプログラムが外部に接続するのを防ぐことが目的であれば、 出口ルール.

リスト内の各項目は、ルールが有効（緑色のチェックマークアイコン）か無効かを示します。無効になっているルールは定義されていても、トラフィックには影響しません。Windowsでは、定義済みのルールが多数存在し、必要になるまでアクティブにならないことがよくあります。

よく理解するために 送信元/宛先フローとローカル/リモートポート これは、適用されないルールを作成したり、必要以上に多くの権限を開放してしまうルールを作成したりすることを避けるために不可欠です。これは、複雑なサービスを設定する際に非常によくあることです。

Windowsファイアウォールのルールの種類

Windowsファイアウォールの新規ルールウィザードには、主に4つのカテゴリがあります。 プログラム、ポート、事前定義済みおよびカスタムそれぞれ異なるシナリオを想定して設計されているため、達成したい目標に応じて慎重に選択することが重要です。

のルール プログラム 特定の実行可能ファイルに焦点を当てる。 ポート TCPまたはUDPポート番号でフィルタリングします。 定義済み これらは、おなじみの Windows サービスの管理を簡素化します。 パーソナライズ 複数の基準を同時に組み合わせることで、非常にきめ細かな調整が可能になります。

すべての場合において、ウィザードは最後に、適用するアクション（許可、IPsecで保護されている場合のみ許可、またはブロック）と、そのルールを適用するネットワークプロファイル（ドメイン、プライベート、パブリック）を尋ねます。最後に、 名前と説明 後で簡単に識別できるようにするためです。

重要なサーバーでは、ルールを適切に文書化する時間をかける価値があります。 それはどのようなサービスを保護するのか、そしてなぜ存在するのかそうすることで、将来の監査や変更の際に、その有用性について疑念が生じることがなくなる。

プログラムごとのルール：特定のサービスを細かく制御する

型ルール プログラム これらは、アプリケーションが使用するすべてのポートを記憶する必要なく、アプリケーションのトラフィックを制御する便利な方法です。受信トラフィックと送信トラフィックの両方に適用できます。

ウィザードで「このプログラムのパス」オプションを選択し、 実行可能ファイルのパス環境変数を使用すれば、プログラムが異なるコンピュータ上の異なるパスにインストールされている場合でも、ルールが正しく適用されるようにすることが可能です。

内部のサービスをホストするサーバー Svchost.exeの 他のマルチサービスコンテナの場合、サービスの短い名前を選択することで、ルールを特定のサービスのみに適用するようにカスタマイズできます。これにより、例えば、同じプロセス内の特定のRPCサービスのトラフィックを区別することが可能になります。

プログラムルールとタブの制限を組み合わせることを強くお勧めします。 プロトコルとポートアプリケーションがリッスンまたは使用できるポートを明示的に指定します。別のポートを開こうとすると、ファイアウォールによってブロックされます。

ポートルール：従来のTCP/UDPフィルタリング

型ルール ポート これらを使用すると、ローカルまたはリモートのポート番号とプロトコル（主にTCPまたはUDP）に基づいてトラフィックを許可またはブロックできます。受信ルールと送信ルールの両方に使用できます。

例えば、一般的な受信ルールで開く場合、 TCPポート21TCPを選択し、「特定のローカルポート」を指定して21を入力します。複数のポートをカンマで区切って指定することもできます（例：21,20,22）。また、5000-5100のような範囲を指定することもできます。同じルール内で個々のポートと範囲を混在させることも可能です。

次に、アクション（許可、セキュリティ保護されている場合は許可、ブロック）と、それを適用するプロファイルを選択します。これは、特定のプログラムの詳細に立ち入ることなく、特定の標準サービス（HTTP、HTTPS、RDPなど）を開くための簡単な方法です。

の場合 出口ルール最も一般的な方法は、リモートポートを指定することです。これは、サーバーが接続を試みる宛先となるポートです。典型的な使用例としては、疑わしいポートへのすべての送信トラフィックをブロックしたり、特定のアプリケーションが特定のポートでのみ通信できるように制限したりすることが挙げられます。

事前定義済みルールとカスタマイズルール

ラス 事前定義されたルール これらは、一般的なWindowsサービス（ファイルとプリンターの共有、リモートデスクトップなど）用の既成の設定をまとめたものです。サービスを選択し、許可するかブロックするかを指定し、プロファイルを選択するだけで完了です。

このオプションは、内部サービスを迅速に有効化または制限したい場合に便利です。個々のケースでどのポートやプロトコルが使用されているかを調査する必要はありません。システムはバックグラウンドで、そのサービスに適用される複数の特定のルールを作成します。

ラス カスタムルール これらは最も包括的で、最大限の制御機能を提供します。プログラム（またはすべてのプログラム）、サービスタイプ、IPプロトコル（TCP、UDP、ICMPv4、ICMPv6、GRE、IPv6ルーティングなどのリストを含む）、ローカルポートとリモートポートの組み合わせ、送信元および宛先IPアドレス（範囲とサブネットを含む）、および追加条件など、すべてのパラメータを指定できます。

ICMPv4やICMPv6などのプロトコルでは、 あらゆる種類のICMPをサポートしています または、特定のメッセージ（エコー要求、エコー応答、時間超過など）のみを表示することもできます。一般的なリストには表示されない特定のタイプやコードを定義することも可能です。

また、スコープセクションでIPアドレスを定義する場合、ウィザードは 範囲全体またはサブネット全体を追加する （例えば、192.168.10.0/24）のように指定することで、ローカルとリモートの両方で、そのルールを使用できるデバイスをさらに絞り込むことができます。

サーバー上のICMP受信ルール

サーバーへのICMPトラフィックを許可するかどうかは、戦略的な決定事項である。 受信ICMPルール これにより、デバイスはpingや特定のネットワーク診断メッセージに応答できるようになり、管理作業には非常に役立ちますが、攻撃者に情報を提供する可能性もあります。

Windowsファイアウォールで受信ICMPルールを作成するには、詳細コンソールを開き、 レグラスデエントラーダ そして、新しいカスタムルールが作成されます。プログラムセクションでは、通常「すべてのプログラム」を選択します。

プロトコル画面で、 ICMPv4またはICMPv6 これは使用するネットワークスタックによって異なります。IPv4とIPv6の両方を使用する場合は、それぞれにルールを作成する必要があります。カスタマイズオプションを使用すると、許可する特定のICMPタイプ（エコー要求/エコー応答のみ、またはより広範なセット）を選択できます。

次に、スコープ（pingを実行できるIPアドレス）、アクション（通常は接続を許可する）、およびルールが適用されるネットワークプロファイルが定義されます。最後に、ルールを簡単に識別できるように、分かりやすい名前が割り当てられます。

受信および送信サービスまたはプログラム規則

場合によっては、 特定のサービス、着信トラフィックを傍受する 必要なポートであればどこでも通信できるようにするか、あるいはその逆で、プログラムがどのポートからも外部と通信できないようにする。

受信側では、カスタムルールを作成し、「このプログラムパス」を選択して、サービス実行ファイルを指定します。その後、サービスを短い名前で選択することで、ルールがその実行ファイル内でホストされているサービスのみに適用されるようにカスタマイズできます。

調整するオプションもあります サービスSIDタイプ sc sidtypeコマンドを使用するこれは、ファイアウォールルール内でそのサービスがどのように使用されるかに影響します。制限付きに変更すると、サービスが起動しなくなる可能性があるため、慎重に行い、そのような保護が必要な場合にのみ行う必要があります。

送信部分については、プロセスは似ていますが、 終了ルールそのプログラムによるインターネットへのアクセスを完全にブロックしたい場合は、実行可能ファイルへのパスを指定し、アクションを「接続をブロックする」に設定し、制限したいプロファイルを選択してください。

RPCおよび動的ポートの特別な構成

使用するサービス RPC（リモートプロシージャコール） これらのトラフィックは、システムが実行時に割り当てる動的ポートを使用するため、特に機密性が高い場合があります。Windowsファイアウォールでこのトラフィックを制御しながら許可するには、通常、2つの特定のルールを作成する必要があります。

最初の1つは RPCエンドポイントアサインサービス%systemroot%\system32\svchost.exe にあります。このルールは RpcSs サービスに適用するようにカスタマイズされており、プロトコルとして TCP が設定され、ローカル ポートには「RPC エンドポイント マッパー」オプションが選択されています。

2番目のルールは、 RPC対応ネットワークサービス 許可したいポートを指定するには、そのポートをホストする実行可能ファイルへのパスを指定し、さらにそのポートを特定のサービスに関連付けます。この場合、ローカルポートには「RPC 動的ポート」が選択されます。

どちらのルールでも、スコープ（許可されるIPアドレス）、アクション（接続を許可する）、およびプロファイルが調整されます。これにより、これらの条件を満たすデバイスとサービスのみがRPCポートフォワーディングを利用できるようになります。

Windowsファイアウォールのログ記録、監査、およびトラブルシューティング

何かが正常に機能していない場合、ファイアウォールのログと監査イベントは 最初の情報源ログ収集は、必要になる前に適切に設定しておくことをお勧めします。

ファイアウォールのプロパティで、各プロファイルのタブで、 ログファイルパス最大サイズ（KB単位）、およびパケット損失の有無、接続成功の有無、またはその両方がログに記録されます。サーバー環境では、明確な概要を把握するために、通常は両方をログに記録することをお勧めします。

一方、コマンドラインツールでは 監査ポール.exe ポリシー変更などの特定の監査サブカテゴリを有効にすることで、ファイアウォールやIPsecポリシーが変更された際に、システムが詳細なイベントを生成するように設定できます。

問題を調査する際には、ネットワークの状態をキャプチャすることが役立ちます。 netstat -ano > netstat.txt そして、プロセスの一覧 タスクリスト > タスクリスト.txtタスクリスト内のプロセスのPIDとnetstat内のアクティブな接続を相互参照することで、どのプログラムが特定のポートを使用しているかを特定できます。

複雑なシナリオでは、マイクロソフトは次のようなスクリプトを提供します。 TSS.ps1 Windowsフィルタリングエンジン（WFP）の高度なトレースを収集し、それをZIPファイルにパッケージ化して、分析したり、テクニカルサポートに提出したりできるようにします。

外部ツール：SimpleWallおよびサードパーティ製ファイアウォール

Windowsに組み込まれているファイアウォールはうまく機能するが、しばしば見落とされがちだ。 より直感的なインターフェース また、アプリケーションが初めてインターネットにアクセスしようとした際に、明確な通知を表示する必要があります。そこでサードパーティ製のソリューションの出番となります。

Windows向けの軽量オープンソースオプションの1つは シンプルウォールこれはWindowsフィルタリングプラットフォーム（WFP）を利用しますが、Windowsファイアウォールを直接変更するわけではありません。代わりに、WFPを通じて独自のルールを作成し、どのアプリケーションがアクセスできるかを制御します。

その特徴としては、 シンプルなルールエディタWindowsのテレメトリとスパイ行為をブロックするための内部リスト、ブロックされたパケットログ、IPv6互換性、システムサービスおよびMicrosoft Storeアプリのサポート。

SimpleWallでは、永続的なルールまたは一時的なルール（再起動後に消滅）を作成したり、フィルターをグローバルに有効化したり、プログラムを許可、ブロック、またはサイレントブロックに分類したりできます。ただし、ルールを有効にするには、SimpleWall自体がバックグラウンドで実行されている必要があります。

SimpleWall以外にも、一部のユーザーは 商用ファイアウォール さらに、ディープパケットインスペクション、事前設定済みのアンチトレースリスト、サンドボックス、動作分析、高度なグラフィカルダッシュボード、送信トラフィックの可視性の向上など、多くの機能が搭載されています。これらの製品の多くは、Windowsファイアウォールと統合されるか、部分的に置き換えることができます。

サーバー上でファイアウォールを使用する際のパフォーマンス、利点、欠点

境界レベルまたはオペレーティングシステムレベルのファイアウォールを使用すると、 パフォーマンスのコスト各ネットワークパケットは1つ以上のルールに対して分析されるためです。これは、ハードウェアが非常に限られている、または非常に古い機器では顕著に現れることがあります。 Linuxサーバー最適化ガイド 影響を軽減するため。

しかし、 最初の防御壁 これは非常に大きなメリットです。外部からの攻撃に対する脆弱性を軽減し、外部から接続できるアプリケーションを制御し、監査に役立つログを生成し、信頼できるネットワークか公共ネットワークかに応じて保護レベルを調整します。

パフォーマンスへの影響を除けば、主な欠点は 保守の複雑さ （特に経験の浅いユーザーにとって）誤った安心感：ファイアウォールは、優れたウイルス対策ソフト、システムアップデート、そしてもちろん管理者の常識に取って代わるものではありません。

さらに、適切なルール管理には時間がかかります。実際に使用されているルールを確認し、時代遅れのルールを削除し、変更内容を文書化し、迅速なテストや一時的な例外を実行する際に、意図せず抜け穴が残っていないことを確認する必要があるからです。

サーバー上のファイアウォールセキュリティに関する高度なベストプラクティス

本格的なサーバー環境では、4つのルールを設定して放置するだけでは不十分です。 優れた実践 それは、管理を維持し、長期的なリスクを軽減するのに役立ちます。

まず、 最小特権の原則 (PoLP)これはユーザーとルール両方に適用されます。「あらゆるIPアドレスからのアクセスを許可する」といった一般的なルールを避け、特定のIPアドレスやサブネット、特定のポート、既知のアプリケーションに合わせたルールを定義します。

もう一つの重要な点は、ファイアウォールとその構成要素を適切に維持管理することです。 常に更新これには、オペレーティングシステムのパッチ、物理ファイアウォールのファームウェア、IPSシグネチャ、およびベンダーからリリースされたすべてのアップデートを適用することが含まれます。これらの適用は、できればテスト環境でテストを行った後に行うことが望ましいです。

最後に、展開することが不可欠です 効果的な監視と記録ログをSIEMに送信し、疑わしいパターン（例えば、同じIPアドレスから多数のパケットがブロックされた場合など）に対するアラートを定義し、単に「念のため」に収集するのではなく、定期的にレポートを確認してください。

ロジック層に加えて、 物理的なセキュリティ ファイアウォールの重要な機能には、密閉されたラックに収納された機器、技術室へのアクセス制限、および変更後に何らかの問題が発生した場合に迅速にロールバックできるようにするための構成バックアップが含まれます。

追加レイヤー：URLフィルタリング、VPN、IPS、QoS、およびアプリケーション制御

最新の次世代ファイアウォール（NGFW）のほとんどは、基本的なパケットフィルタリングやIP/ポートルールを補完する高度な機能を有効にすることができます。

El URLフィルタリング この機能を使うと、ウェブサイトをカテゴリ（マルウェア、ソーシャルネットワーク、アダルトコンテンツ、P2Pダウンロードなど）別に分類し、不適切または危険とみなされるサイトをブロックできるため、セキュリティの強化と利用規約の遵守徹底に役立ちます。

ラス VPNサイト間接続であれリモートアクセスであれ、VPNはIPsecやSSL/TLSといったプロトコルを利用して、オフィスとリモートユーザー間の通信を暗号化します。ファイアウォールは通常、これらのVPNの終端処理を統合し、暗号化された通信に対してもネットワークの他の部分と同様の制御ポリシーを適用します。

Un 侵入防止システム（IPS） リアルタイムでトラフィックを検査し、既知の攻撃パターンや異常な動作を検出し、システムやアプリケーションの脆弱性を悪用しようとする接続を自動的にブロックすることができます。

El アプリケーション制御 これはポート情報だけではなく、より詳細な可視性を提供します。標準ポートまたは暗号化ポートを使用している場合でも、特定のアプリケーション（Skype、Dropbox、ゲームアプリケーションなど）を許可またはブロックするかどうかを決定できます。

最後に カリダー デ サービス (QoS) これにより、重要なトラフィック（音声、ビデオ会議、ビジネスアプリケーション）を他の重要度の低いトラフィックよりも優先させることが可能になり、大規模なダウンロードやバックアップによってエンドユーザーが利用できないネットワーク状態になるのを防ぐことができます。

徹底的にケアする サーバー上の高度なファイアウォール設定ゾーンの設計や詳細なルール設定から、次世代機能、ログ記録、監査、SimpleWallや専用のNGFWといったツールの使用に至るまで、これらによって「なんとかやっていける」ネットワークと、攻撃に耐え、制御を失うことなく成長し、現在のセキュリティ要件を満たす真に準備されたインフラストラクチャとの違いが生まれます。