Symantec Endpoint Protection (SEP) のファイアウォールコンポーネントがインストールされているコンピュータで、ネットワークアプリケーションが動作しなくなる。
SEP のファイアウォールコンポーネントをアンインストールすると、ネットワークアプリケーションは通常通り動作する。

ネットワークアプリケーションが正常に機能するために必要なネットワークトラフィックを、SEP ファイアウォールが遮断している可能性があります。

SEP ファイアウォールがネットワークトラフィックを遮断しているかどうかを確認するには、ファイアウォールを通過する全てのネットワークトラフィックを許可するルールを作成し、ルールをテストします。

• 管理クライアントに対して「すべて許可」ルールを作成する
• 管理外クライアントで「すべて許可」ルールを作成する
• ルールの切り分けを実行する

このルールを追加することでアプリケーションの問題が解決した場合は、ネットワークトラフィックを許可するように SEP ファイアウォールを再設定します。

警告: 「すべて許可」ルールを作成することは、トラブルシューティングのための手順であり、問題の解決ではありません。「すべて許可」ルールを恒久的に有効にしたままにしておくと、コンピュータのセキュリティレベルが大幅に低下します。

「すべて許可」ルールを作成したら、ネットワークアプリケーションをテストして、アプリケーションが動作することを確認します。アプリケーションが動作する場合は、元のファイアウォールルールセット構成では、アプリケーションへのネットワークトラフィックが許可されていません。

次に、「すべて許可」ルールを削除します。SEP のファイアウォールで、アプリケーションのネットワークトラフィックを通過させるには、追加のファイアウォールルールを作成（または既存のルールを変更）する必要があります。アプリケーションが使用するポートとプロトコルがわからない場合は、アプリケーションベンダーのマニュアルを参照してください。

ほとんどのベンダーは、アプリケーションが機能するために使用するネットワークポートとプロトコルを指定しているため、ファイアウォールを正しく設定することができます。

管理クライアントに対して「すべて許可」ルールを作成する

注: Symantec Endpoint Protection Manager (SEPM) で「すべて許可」ルールを作成する前に、共有ポリシーではないポリシーを持つクライアントグループに、クライアントを単独で移動します。これにより、以下のテストが他のコンピュータに影響を与えないようにします。クライアントを移動するには、クライアントを右クリックし [移動] を選択します。

1. SEPM コンソールで [クライアント] をクリックし、対象のクライアントコンピュータを含むクライアントグループを選択します。
2. コンソール右側の [ポリシー] タブをクリックします。
3. グループにポリシーが継承される場合は [ポリシーと設定を親グループから継承する] のチェックを外します。この操作には数秒かかる場合があります。
4. このクライアントグループ用のファイアウォールポリシーの [タスク] をクリックします。
5. グループが共有ポリシーを使用している場合は [非共有ポリシーに変換] を選択します。
6. [ルール] をクリックします。
7. [ルールの追加] をクリックします。
8. ルールの名前を入力します：すべて許可
9. [接続を許可する] をクリックし [次へ] をクリックします。
10. [すべてのアプリケーション] をクリックし [次へ] をクリックします。
11. [任意のコンピュータまたはサイト] をクリックし [次へ] をクリックします。
12. [全ての種類の通信 (すべてのプロトコルとポート、ローカルとリモート)]をクリックし [次へ] をクリックします。
13. [いいえ] をクリックして [完了] をクリックします。これにより、ルール一覧の一番下にルールが作成されます。
14. 新しいルールをクリックし、ルールがルールリストの一番上に来るまで [上に移動] をクリックします。
15. [OK] をクリックします。
16. 「すべて許可」ルールを作成したら、変更されたポリシーを SEPM からクライアントにダウンロードさせます。そのためには、Windows システムの通知領域にある SEP アイコンを右クリックし、[ポリシーの更新] をクリックします。あるいはコンピュータを再起動すると、新しいポリシーがすぐにダウンロードされます。

管理外クライアントで「すべて許可」ルールを作成する

1. SEP の [状態] ページで、[ネットワークとホストのエクスプロイト緩和機能] の右の [オプション] をクリックします。
2. [ファイアウォールルールの設定] をクリックします。
3. [追加] をクリックします。
4. ルールの名前を入力します：すべて許可
5. [このトラフィックを許可する] のラジオボタンをクリックします。
6. [OK] をクリックします。これにより、ルールリストの一番下にルールが作成されます。
7. 「すべて許可」ルールをクリックし、ルールがルールリストの一番上に来るまで上向き矢印をクリックします。
8. [OK] をクリックします。

ルールの切り分けを実行する

1. 問題が解消されるかどうか検証します。
   • 問題が解消されない場合
     • ファイアウォールをローカルまたはポリシーで無効にしてみます。
     • 既存の Endpoint Protection クライアントへの機能追加と削除 の手順に従って、ファイアウォールコンポーネントを削除してテストします。
     • 目的のトラフィックが IP を使用していないかどうかを確認します。「すべて許可」ルールはすべてのイーサネットプロトコルをカバーするわけではないため、ルールでイーサネットプロトコルの種類を指定する必要がある場合があります（例：ロードバランシングの場合は 0x886f）。
   • 問題が解消された場合は、次の手順に進み、問題をさらに特定してルールを修正します。
2. ファイアウォールルールを開きます（管理クライアントの場合は手順 1～6、管理外クライアントの場合は手順 1～2 を実行します）。
3. 「すべて許可」ルールをクリックしてハイライトします。
4. 下へ移動または下向き矢印ボタンをクリックして、リスト内の遮断アクションを持つ次の有効なルールの下に移動します。
5. 変更を保存し、管理クライアントのポリシーが更新されていることを確認します。
6. 問題が解消されるかどうか検証します。
   • 問題が再発した場合は、「すべて許可」ルールを 1 行下に移動します。
   • それでも問題が再現しない場合は、手順 4 と同様にルールを 1 行下に移動し、再テストを行ってください。
7. 遮断するルールを特定したら、「すべて許可」ルールを遮断するルールの真上に移動します。
8. 「すべて許可」ルールを修正し、ホストまたはサービスのポートを絞り込み、ルールが許可する範囲を最小限に抑えます。

• • ルールをさらに絞り込み、必要なものだけにアクセスを制限します。例えば、ローカルポートが 3389 であるトラフィックを許可することで、1 つのホストまたは指定された範囲からの RDP トラフィックを許可します）。

この手順で問題が解決しない場合は、混合制御のファイアウォール設定 を参照し、クライアントのユーザーインターフェース制御設定について確認してください。

ファイアウォールルールの設定に関する追加情報については、ファイアウォール保護の管理 を参照してください。

[英語文書] Network application does not work with Endpoint Protection firewall installed