Cisco Security Appliance コマンド ライン コンフィギュレーション ガイド Version 7.0(4)
ファイアウォール モードの概要
ファイアウォール モードの概要
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ファイアウォール モードの概要

ルーテッド モードの概要

IP ルーティングのサポート

ネットワーク アドレス変換

ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

透過モードの概要

透過ファイアウォールの機能

ネットワークでの透過ファイアウォールの使用

透過ファイアウォール ガイドライン

透過モードでサポートされない機能

透過ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

ファイアウォール モードの概要

この章では、各ファイアウォール モードでファイアウォールがどのように機能するかを説明します。

セキュリティ アプライアンスは次の 2 つのファイアウォール モードで実行できます。

ルーテッド モード

透過モード

ルーテッド モードでは、セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。接続されたネットワーク間で NAT を実行し、(シングルコンテキスト モードで)OSPF または受動 RIP を使用することができます。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

透過モードでは、セキュリティ アプライアンスは「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップにはなりません。セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。ダイナミック ルーティング プロトコルまたは NAT は使用されません。ただし、ルーテッド モードと同様に、透過モードでも、自動的に許可される ARP パケット以外のトラフィックがセキュリティ アプライアンスを通過できるようにするためにアクセスリストが必要です。透過モードは、サポートされないルーティング プロトコルなど、ルーテッド モードではブロックされるアクセスリスト内の特定のタイプのトラフィックを許可することができます。オプションで、透過モードは EtherType アクセスリストを使用して IP 以外のトラフィックを許可することもできます。透過モードでは、内部インターフェイスと外部インターフェイスの 2 つのインターフェイスだけがサポートされますが、プラットフォームで使用できる場合は専用の管理インターフェイスもサポートされます。


) 透過ファイアウォールには管理 IP アドレスが必要です。セキュリティ アプライアンスは、この IP アドレスを、セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。


次の事項について説明します。

「ルーテッド モードの概要」

「透過モードの概要」

ルーテッド モードの概要

「IP ルーティングのサポート」

「ネットワーク アドレス変換」

「ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法」

IP ルーティングのサポート

セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします(パッシブ モードで)。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをセキュリティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

ネットワーク アドレス変換

NAT は、パケット上のローカル アドレスを、宛先ネットワークでルーティングできるグローバル アドレスに置換します。デフォルトでは、NAT は必要ありません。高セキュリティ インターフェイス(内部)上のホストに対して、低セキュリティ インターフェイス(外部)と通信する際に NAT を使用することを要求する NAT ポリシーを強制する場合は、NAT 制御をイネーブルにします( nat-control コマンドを参照)。


) NAT 制御は、バージョン 7.0 より前のソフトウェア バージョンではデフォルトの処理です。セキュリティ アプライアンスを以前のバージョンからアップグレードする場合は、期待される処理を維持するために、nat-control コマンドが自動的にコンフィギュレーションに追加されます。


NAT の利点のいくつかを次に示します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

図12-1 は、内部にプライベート ネットワークを持つ一般的な NAT シナリオを示しています。内部ユーザがインターネット上の Web サーバにパケットを送信すると、パケットのローカル送信元アドレスが、ルーティング可能なグローバル アドレスに変更されます。Web サーバは応答をグローバル アドレスに送信し、セキュリティ アプライアンスはパケットを受信します。次に、セキュリティ アプライアンスはグローバル アドレスをローカル アドレスに変換してから、それをユーザに送信します。

図12-1 NAT の例

 

ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法

この項では、ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスをどのように通過するかを説明します。次の項目について説明します。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図12-2 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図12-2 内部から外部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図12-2 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、セキュリティ アプライアンスは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. セキュリティ アプライアンスは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。

4. 次に、セキュリティ アプライアンスはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットはセキュリティ アプライアンスを通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。セキュリティ アプライアンスは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図12-3 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図12-3 外部から DMZ へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図12-3 を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、セキュリティ アプライアンスは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。

3. セキュリティ アプライアンスは、宛先アドレスをローカル アドレス 10.1.1.3 に変換します。

4. 次に、セキュリティ アプライアンスはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットはセキュリティ アプライアンスを通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。セキュリティ アプライアンスは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. セキュリティ アプライアンスは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図12-4 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図12-4 内部から DMZ へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図12-4 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、セキュリティ アプライアンスは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。

3. 次に、セキュリティ アプライアンスはセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図12-5 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図12-5 外部から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図12-5 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、セキュリティ アプライアンスはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、セキュリティ アプライアンスは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図12-6 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図12-6 DMZ から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図12-6 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、セキュリティ アプライアンスはパケットをドロップし、接続試行をログに記録します。

透過モードの概要

ここでは、透過ファイアウォール モードについて次の項目で説明します。

「透過ファイアウォールの機能」

「ネットワークでの透過ファイアウォールの使用」

「透過ファイアウォール ガイドライン」

「透過モードでサポートされない機能」

「透過ファイアウォールを通過するデータの動き」

透過ファイアウォールの機能

通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、透過ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。セキュリティ アプライアンスでは、内部ポートと外部ポートに同じネットワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。IP 再アドレッシングは必要ありません。

トラブルシューティング用の複雑なルーティング パターンや NAT コンフィギュレーションがないので、保守が容易です。

透過モードはブリッジとして機能しますが、IP トラフィックなどのレイヤ IP トラフィックは、拡張アクセスリストで明示的に許可されない限り、セキュリティ アプライアンスを通過できません。アクセスリストなしで透過ファイアウォールを通過できるトラフィックは ARP トラフィックだけです。ARP トラフィックは ARP 検査によって制御されます。

ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックはセキュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用して、どのトラフィックも許可することができます。


) 透過モードのセキュリティ アプライアンスは、CDP パケットを通過させません。


たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可することができます。同様に、HSRP や VRRP などのプロトコルはセキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリストを使用して通過するように構成できます。

透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたトラフィックなどのマルチキャスト トラフィックを許可できます。

セキュリティ アプライアンスが透過モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。この場合もルート文を設定することはできますが、セキュリティ アプライアンスから発信されたトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

ネットワークでの透過ファイアウォールの使用

図12-7 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図12-7 透過ファイアウォール ネットワーク

 

透過ファイアウォール ガイドライン

透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

管理 IP アドレスが必要です。マルチコンテキスト モードの場合は、各コンテキストごとに IP アドレスが必要です。

インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォールではデバイス全体に IP アドレスが割り当てられます。セキュリティ アプライアンスは、この IP アドレスを、システム メッセージや AAA 通信など、セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。

透過セキュリティ アプライアンスは、内部インターフェイスと外部インターフェイスだけを使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラフィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。

シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイス)だけを使用できます。

直接に接続された各ネットワークは同一のサブネット上にある必要があります。

接続されたデバイス用のデフォルト ゲートウェイとしてセキュリティ アプライアンス管理 IP アドレスを指定しないでください。デバイスはセキュリティ アプライアンスの他方の側のルータをデフォルト ゲートウェイとして指定する必要があります。

マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

マルチコンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

拡張アクセスリストを使用し、IP トラフィックなどのレイヤ 3 トラフィックがセキュリティ アプライアンスを通過できるようにする必要があります。

オプションで、EtherType アクセスリストを使用して IP 以外のトラフィックの通過を許可することもできます。

透過モードでサポートされない機能

次の機能は透過モードでサポートされていません。

NAT

NAT はアップストリーム ルータで実行されます。

ダイナミック ルーティング プロトコル

ただし、セキュリティ アプライアンスで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセスリストを使用して、ダイナミック ルーティング プロトコルがセキュリティ アプライアンスを通過できるようにすることもできます。

IPv6

DHCP リレー

透過ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。DHCP トラフィックの通過は拡張アクセスリストを使用して許可できるので、DHCP リレーは必要ありません。

Quality of Service

マルチキャスト

ただし、拡張アクセスリストで許可することによって、マルチキャスト トラフィックがセキュリティ アプライアンスを通過できるようにすることができます。

通過トラフィック用の VPN ターミネーション

透過ファイアウォールは、管理接続に対してのみサイトツーサイト VPN トンネルをサポートします。これは、セキュリティ アプライアンスを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセスリストを使用して VPN トラフィックにセキュリティ アプライアンスを通過させることはできますが、非管理接続は終端されません。

透過ファイアウォールを通過するデータの動き

図12-8 に、パブリック Web サーバを含む内部ネットワークを持つ一般的な透過ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、セキュリティ アプライアンスにはアクセスリストがあります。別のアクセスリストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図12-8 一般的な透過ファイアウォールのデータ パス

 

この項では、データがセキュリティ アプライアンスをどのように通過するかを説明します。次の項目について説明します。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図12-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図12-9 内部から外部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図12-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、セキュリティ アプライアンスは、一意なインターフェイスに従ってパケットを分類します。

3. セキュリティ アプライアンスは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、セキュリティ アプライアンスは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータ 209.186.201.2 のアドレスです。

宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答すると、必要な場合、セキュリティ アプライアンスは Web サーバの MAC アドレスを MAC アドレス テーブルに追加します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連付けられる多くのルックアップをバイパスします。

6. セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図12-10 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図12-10 外部から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように移動するかを示します(図12-10 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、セキュリティ アプライアンスは、一意なインターフェイスに従ってパケットを分類します。

3. セキュリティ アプライアンスは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、セキュリティ アプライアンスは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ 209.186.201.1 のアドレスです。

宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答すると、必要な場合、セキュリティ アプライアンスは Web サーバの MAC アドレスを MAC アドレス テーブルに追加します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連付けられる多くのルックアップをバイパスします。

6. セキュリティ アプライアンスは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図12-11 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図12-11 外部から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように移動するかを示します(図12-11 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチコンテキスト モードの場合、セキュリティ アプライアンスは、一意なインターフェイスに従ってパケットを分類します。

3. パケットが拒否され、セキュリティ アプライアンスはパケットをドロップします。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、セキュリティ アプライアンスは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。