未処理のパケットについて
未処理のパケットとは、どのポリシー ルールにも一致しないパケットのことです。Firebox は常に未処理のパケットを拒否します。この機能の設定を変更し、ネットワークを保護することができます。
- ファイアウォール > 既定のパケット処理 の順に選択します。
既定のパケット処理ページが開きます。
- これらのオプションのチェックボックスをオンまたはオフにします。
未処理の外部パケットのソース IP の自動ブロック
外部インターフェイスで受信した未処理のパケットのソースの IP アドレスを自動的にブロックする場合に選択します。Firebox は一時的にブロックされたサイトリストへパケットを送信している IP アドレスを追加します。
このチェックボックスの選択は慎重に行ってください。このオプションを選択すると、ping リクエストなどのパケットが Firebox のポリシーに一致しないとリモート ホストからのすべてのトラフィックがブロックされます。
接続が無効のクライアントにエラー メッセージを送信
Firebox が未処理のパケットを受信したときに TCP リセットまたは ICMP エラーをクライアントに送信するよう選択します。
"未処理パケットのソースの自動ブロック" オプションは、未処理として拒否されたブロードキャストトラフィックに適用されません。
未処理のパケットの設定を変更するには、Policy Manager から以下の手順を実行します:
-
をクリックします。
または、設定 > 既定の脅威防止 > 既定のパケット処理 の順に選択します。
既定のパケット処理ダイアログ ボックスが開きます。
- これらのオプションのチェックボックスをオンまたはオフにします。
未処理の外部パケットのソース IP の自動ブロック
外部インターフェイスで受信した未処理のパケットのソースの IP アドレスを自動的にブロックする場合に選択します。Firebox は一時的にブロックされたサイトリストへパケットを送信している IP アドレスを追加します。
このチェックボックスの選択は慎重に行ってください。このオプションを選択すると、ping リクエストなどのパケットが Firebox のポリシーに一致しないとリモート ホストからのすべてのトラフィックがブロックされます。
接続が無効のクライアントにエラー メッセージを送信
Firebox が未処理のパケットを受信したときに TCP リセットまたは ICMP エラーをクライアントに送信するよう選択します。
"未処理パケットのソースの自動ブロック" オプションは、未処理として拒否されたブロードキャストトラフィックに適用されません。
未処理のパケットの統計を表示する
Firebox System Manager の ポリシー使用状況の視覚表示 (Service Watch) では、Firebox によって受信された未処理のパケットの統計を表示できます。この接続を表示 ボックスを使用して、ポリシーではなくルールによる接続を表示します。
ポリシー チェッカーを使用して、Firebox のポリシーにより処理される接続を確認できます。詳細については、ポリシーを見つけるためにポリシー チェッカーを使用する を参照してください。