バイパスルール

バイパスルールという特別な種類のファイアウォールルールがあります。これは、フィルタリングを望まないメディア集約プロトコルのために設計されたものです。バイパスルールを作成するには、新しいファイアウォールルールを作成するときにルールの「処理」として「バイパス」を選択します。

ファイアウォールルールの「バイパス」処理は、次の点で「強制的に許可」ルールとは異なります。

• バイパスルールと一致するパケットは、侵入防御ルールによって処理されません。
• 「強制的に許可」ルールとは異なり、ファイアウォールステートフル設定がオンになっている場合、バイパスルールはTCP接続での応答を自動的に許可しません (詳細については、下記を参照してください)。
• バイパスルールの中には最適化されているものもあり、Agent/Applianceプラグインが存在しないかのように効率的にトラフィックが流れます (詳細については、下記を参照してください)。

ファイアウォールステートフル設定の有効時にバイパスを使用する

バイパスルールを使用してTCP送信先ポートに対する受信トラフィックで侵入防御ルールをスキップし、ファイアウォールステートフル設定を設定してTCPでステートフルインスペクションを実行する場合は、対応する送信元ポートに対する送信フィルタを必ず作成してTCP応答を許可する必要があります (これは「強制的に許可」ルールには必要はありません。強制的に許可されたトラフィックはステートフルエンジンによって処理されるためです)。

すべてのバイパスルールは単一方向です。トラフィックの各方向に対して明確なルールが必要です。

最適化

一致するトラフィックを可能なかぎり早く通過させるには、バイパスルールを作成します。次の設定により、最大スループットを実現できます。

• 優先度: 最高
• フレームの種類: IP
• プロトコル: TCP、UDP、またはその他のIPプロトコル (「任意」オプションは使用しないでください)
• 送信元および送信先のIPおよびMAC: すべて「任意」
• プロトコルがTCPまたはUDPでトラフィックの方向が「受信」の場合は、送信先ポートを「任意」ではなく1つ以上指定する必要があり、送信元ポートを「任意」にする必要があります。
• プロトコルがTCPまたはUDPでトラフィックの方向が「送信」の場合は、送信元ポートを「任意」ではなく1つ以上指定する必要があり、送信先ポートを「任意」にする必要があります。
• スケジュール: なし。

ログ

バイパスルールに一致するパケットはログに記録されません。このオプションは設定できません。