パケット検査ポイント

受信パケット

受信コンピューター (ローカル ホスト トラフィック) に割り当てられているアドレス宛ての受信パケットは、次の順序で WFP レイヤーを走査します。

IP パケット (ネットワーク層)
このレイヤーでは、IP パケット フラグメントを含むすべての IP パケットを検査できます。 ただし、パケットが IPsec で保護されている場合、パケットがまだ認証または復号化されていないため、このレイヤーでディープ コンテンツ検査または変更を実行することはできません。

トランスポート層
このレイヤーでは、スタンドアロンまたは完全に再構築されたすべてのパケットを検査できます。 IPsec で保護されたパケットが認証または復号化されました。

アプリケーション層の適用 (ALE) 受信または受入
ローカル エンドポイントに到着する最初のパケットは、このレイヤーで示されます。 たとえば、到着 TCP 同期 (SYN) セグメントや、UDP フローに関連付けられている最初の UDP メッセージが示されます。 ファイアウォール ポリシーの変更後など、接続の再承認に必要なパケットもこのレイヤーに示され、ALE 再認証フラグが設定されます。

データグラム データまたはストリーム
UDP メッセージと ICMP 以外のエラー メッセージは、データグラム データ層で示されます。 このレイヤーを使用すると、データグラムごとにネットワーク データを検査できます。 データグラム レイヤーでは、ネットワーク データは双方向型です。 TCP データ フロー (データ ストリームのみ) は、ストリーム レイヤーでの検査に使用できます。

送信パケット

送信コンピューターに割り当てられているアドレスから送信される送信パケット (ローカル ホストの送信元トラフィック) は、次の WFP レイヤーを走査します。

ALE Connect
TCP 接続要求 (SYN セグメントが生成される前に行われる) と、リモート エンドポイントに送信される最初の UDP メッセージがこのレイヤーに示されます。

データグラム データまたはストリーム

UDP メッセージと ICMP 以外のエラー メッセージは、データグラム データ層で示されます。 このレイヤーを使用すると、データグラムごとにネットワーク データを検査できます。 データグラム レイヤーでは、ネットワーク データは双方向型です。 TCP データ フロー (データ ストリームのみ) は、ストリーム レイヤーでの検査に使用できます。

トランスポートと ICMP エラー
トランスポート フィルタリング レイヤーは、送信パケットが処理のためにネットワーク レイヤーに渡された直後において、ネットワーク レイヤーの処理が行われる前に、送信パスに配置されます。 このフィルタリング レイヤーは、トランスポート レイヤーの下部ではなくネットワーク レイヤーの上部に配置されるため、サード パーティのトランスポートによるか生パケットとして送信されるすべてのパケットがこのレイヤーでフィルター処理されます。

ICMP エラー フィルタリング レイヤーは、トランスポート プロトコルの受信した ICMP エラー メッセージを検査するための送信パスにあります。

IP パケット
IP パケット フラグメントは示されません。送信 IP フラグメントの検査は現在使用できません。

ローカル コンピューターに割り当てられているアドレスから送信されていない、または宛先ではない IP パケットまたはフラグメントは、転送層で検査できます。 たとえば、ローカル クライアント宛てのパケットが、ローカル以外の宛先アドレスを持つよう変更された後、受信パスに挿入された場合、転送層に挿入されます。 同様に、ローカル ソース アドレスから送信されたパケットが、ローカル以外の送信元アドレスを持つよう変更された場合、送信パスに挿入された後、転送層に配信されます。