VPN Client には、スプリット トンネリングが有効であるときに保護を行う統合されたステートフルなファイアウォールが存在し、VPN Client が IPSec トンネルを通じて VPN Concentrator に接続されているときに、インターネット攻撃から VPN Client PC を守ります。この統合されたファイアウォールには、[Stateful Firewall (Always On)] と呼ばれる機能があります。
[Stateful Firewall (Always On)] は、さらに厳しい安全保護を行います。この機能が有効になっているときは、VPN 接続が有効かどうかにかかわらず、すべてのネットワークからの受信セッションが拒否されます。また、暗号化トラフィックと非暗号化トラフィックの両方に対して、ファイアウォールがアクティブになります。このルールには、2 つの例外があります。
1 つ目の例外は、DHCP が、あるポートから DHCP サーバに要求を送信し、違うポートを経由して DHCP サーバからの応答を受信する場合です。DHCP では、ステートフルなファイアウォールが、受信トラフィックを許可します。
ESP:ESP ルールは、パケット フィルタであり、セッション ベースのフィルタではないので、ステートフルなファイアウォールでは、セキュア ゲートウェイからの ESP トラフィックが許可されます。その他の例外の最新情報については、『Release Notes for Cisco VPN Client for Windows』を参照してください。
ステートフルなファイアウォールを使用可能または使用不可にする手順は、次のとおりです。
[オプション] メニューを表示して、[Stateful Firewall (Always on)] をクリックします。 または、システム トレイの錠のアイコンを右クリックして、[Stateful Firewall] を選択します。
ステートフルなファイアウォールが使用可能のときは、このオプションの前にチェックマークが付いています。デフォルトでは、この機能は無効になっています。
Copyright © 2003, Cisco Systems, Inc. All rights reserved.