シグネチャベースのファイアウォールにおけるトラブルシューティング

高度なファイアウォールで保護された接続においてデータ転送が失敗します。ファイアウォールはシグネチャベースの検出を使用しています。同様の機能を持つ製品は、アンチウイルス、アンチスパイウェア、侵入防御、アプリケーション制御などと呼ばれる場合があります。

こうした問題は、同様の機能を持つファイアウォールのメーカーやモデルを問わず発生する可能性がありますが、過去において以下のベンダーの製品についてサポートケースがオープンされています：

• Check Point
• Cisco
• SonicWALL
• Fortinet appliances
• Palo Alto
• Sophos
• CrowdStrike
• Kaspersky

どのようなタイプのデータ転送でも影響を受ける可能性があります。この問題は、さまざまなエラーメッセージや障害パターンとして現れます。それは、ランダムに発生したり、常に一貫して発生する場合もあります。

Veeam Backup & Replication製品では、これはすべてのジョブタイプに影響する可能性があります。一般的な失敗のパターンは、特定のVMのディスクの転送が、同じ進捗率のタイミングで、繰り返し発生することです。

よくあるエラーメッセージは以下の通りです：

An existing connection was forcibly closed by the remote host.

^{(既存の接続がリモートホストによって強制的に閉じられました。)}

Unstable connection: unable to transmit data.

^{(不安定な接続：データを送信できません。)}

ジョブの種類とVeeam Backup & Replicationのバージョンによっては、接続の問題によりジョブが即座に失敗する場合もあれば、接続回復のために複数回再試行される場合もあります。接続が再試行されている間、ジョブはデータを送信できないためフリーズしているように見える場合があります。詳細については、以下を参照してください：

• 切断時の再開
• バックアップコピー： ジョブの自動再試行
• WAN高速化： WAN切断時のデータ転送

Veeam Backup for Microsoft 365では、この問題が発生すると以下のエラーメッセージが伴う場合があります：

A blocking operation was interrupted by a call to WSACancelBlockingCall

^{(ブロッキング操作はWSACancelBlockingCallの呼び出しによって中断されました。)}

Veeamソフトウェア製品によって転送されるデータには、ほぼ無限の様々なパターンを持つデータブロックが含まれる可能性があります。トラフィックは圧縮されているため(そしてほとんどの場合暗号化されてもいる)、ファイアウォールによって分析されたデータブロックは、本番環境(転送先)に既に存在するデータパターンとは異なります。長期的に見れば、これはシグネチャベースの脅威検知システムにランダムなデータを送り込むのと同じことで、これが脅威であると誤って判断されることは避けられません(false positive)。

転送されるデータは実際にはランダムではありません。特定のデータブロックは、圧縮と暗号化の後、常に同じシグネチャを持ちます。ソースデータが変更されなければ、再接続の試行やジョブの再試行のたびに同じブロックが再送信されます。この場合、ファイアウォールはそのブロック内のデータパターンが既知の脅威のシグネチャと一致すると誤って検出すると、Veeam製品によるデータブロックの転送のたびにネットワーク接続を閉じてしまいます。

Veeamソフトウェアによるデータ転送を妨げる相互作用や誤検出を特定するために、先ずファイアウォール側のログを確認することをお勧めします。次に、Veeamデータトラフィックのための除外設定を行います。

• Veeam Backup & Replication、Veeam Agent for Microsoft Windows、および Veeam Agent for Linuxの場合、関連するサーバー間でのデータトラフィックは、TCPポート2500-3300を介して転送されます。この範囲は各管理対象サーバーのバックアップインフラ設定にて設定(確認、変更)することができます。
• クラウドコネクトサービスプロバイダは、ポート6180(TCPとUDP)でクラウドゲートウェイに送信されるデータトラフィックの除外を設定する必要があります。
• Veeam Backup for Microsoft 365の場合、TCPポート443で転送されるデータはこの問題により影響を受ける可能性があります。
• ポート範囲の詳細については、ヘルプセンターで関連する製品またはコンポーネントのユーザーガイドを検索し、Used Portsに関するページを参照してください。
• 特定のファイアウォールアプライアンスで除外項目を設定する方法については、ファイアウォールベンダーにお問い合わせください。

ファイアウォールの問題を切り分けるには、ファイアウォール側の設定においてすべてのシグネチャベースの機能を一時的に無効にします。最良の結果を得るには、データ転送がフリーズしているように見えるタイミングでこれを実行すると、数分で転送が再開される場合があります。また場合によっては、ファイアウォールによって特定のサイトやゾーンを選択的に無効にできることがあります。これは解決策として有用ですが、そのような機能は設定ミスも起きやすいので、良い切り分けのステップとは言えません。

ファイアウォールアプライアンスによって生成されるリセットパケットは通常、IP のTTL (time to live) によって通常のトラフィックと区別することができます。例えば、TCPストリームのほとんどのパケットのTTLが128で、ストリームを閉じるリセットパケットのTTLが64の場合、接続はファイアウォールによって閉じられたと推測できます。

暗号化されたキー交換をブロックするファイアウォール機能は、Veeam Backup & Replicationが使用するほとんどのWAN接続をブロックします。