ネットワーク上の承認済みサーバの使用の強制

ネットワーク上の承認済みサーバ (許可されたサーバ) の使用を強制することは必須ではありませんが、そのような設定を行うことをお勧めします。この設定は不正なネットワーク活動の抑止に有効であるだけでなく、FQDN ワイルドカードの解決プロセスの信頼性を確保するためにも役立ちます。一般に、既知のプロトコルによる通信のエンドポイントは可能な限り明確に定義することが望ましいと言えます。例を以下に示します。

• 承認済みサーバ (SMTP サーバ、DNS サーバなど) のアドレス グループを作成します。

• 該当するゾーンのアクセス ルールを作成して、内部ネットワーク上の承認済み SMTP サーバにのみ SMTP 通信の発信を許可し、それ以外のすべての SMTP 発信トラフィックを遮断することにより、意図的または意図しないスパムの送信を防止します。

• 該当するゾーンのアクセス ルールを作成して、内部ネットワーク上の承認済み DNS サーバに対して、すべての宛先ホストとの DNS プロトコル (TCP/UDP 53) による通信を許可します。

  内部ネットワーク上に DNS サーバを設置している場合は、必ずこのルールを定義したうえで、アクセスを制限する次の DNS ルールを設定する必要があります。

• 該当するゾーンのアクセス ルールを作成して、ファイアウォールで保護されたホストからの DNS (TCP/UDP 53) 通信を承認済み DNS サーバに対してのみ許可し、それ以外のすべてのDNS アクセスを遮断することにより、未承認の DNS サーバとの通信の発生を防止します。

• 上記のルール設定後に、許可されていないアクセスが試行された場合は、ログの表示によってそのことを確認できます。