ファイアウォール ルールのポリシーを作成またはカスタマイズする場合、最も具体的なルールをリストの最上位に置き、一般的なルールを下位に置きます。これにより、Host Intrusion Prevention は適切にトラフィックをフィルタし、その他の一般的なルールに対する例外に基づくルールを適用し損なうということがなくなります。
たとえば、IP アドレス 10.10.10.1 を除くすべての HTTP 要求をブロックするには、次の 2 つのルールを作成する必要があります。
具体的な [許可ルール] を、一般的な [ブロック ルール] よりもファイアウォール ルール リストの上位に配置する必要があります。これにより、ファイアウォールがアドレス 10.10.10.1 からの HTTP 要求を阻止したときに、一致するルールで最初に見つけるのが、このトラフィックのファイアウォールの通過を許可するルールになります。
一般的な [ブロック ルール] を具体的な [許可ルール] より上位に置くと、 Host Intrusion Prevention では、例外を見つける前に、10.10.10.1 からの HTTP 要求が [ブロック ルール] に一致してしまいます。そのため、実際にはこのアドレスからの HTTP 要求を許可したくても、トラフィックはブロックされます。