スキャンとファイアウォール

ファイアウォールで保護されているデバイスに対するスキャンやマップの実行は一般的です。スキャンエンジンは毎日、ファイアウォールによってサーバを保護するネットワークトポロジで数千ものスキャンやマップを何の問題もなく実行しています。スキャントラフィックがファイアウォールを経由して内側から外側へルーティングされる場合、つまり Scanner Appliance が保護されているネットワーク領域内にあり、ファイアウォールの反対側にある対象をスキャンする場合、問題が生じることがあります。現在のファイアウォールの多くは接続を追跡し、NAT テーブルや ARP テーブルを管理するよう設定されているため、多数の対象に対してスキャンオペレーションを行うことで、これらのテーブルの負荷が増大する恐れがあります。このようなオーバーフローの影響はさまざまで、ファイアウォール機能が低下したり、完全なクラッシュが発生したりします。

ファイアウォールを経由する内側から外側へのスキャンを回避します。可能であれば、ファイアウォールを経由する内側から外側へのスキャンやマッピングを回避できる方法で、ネットワークトポロジに Scanner Appliance を配置することを推奨します。可能でない場合は、ネットワークに対して評価テストを実行し、ファイアウォールへの影響を検証することをお勧めします。スキャンの精度も影響を受ける可能性があるため、予測した結果とレポートに示された詳細結果とを比較してください。スキャン結果が一致しない場合があることから、このことがサービスに影響を及ぼす可能性があると考えられます。