ユーザーズガイド F-SECURE CLIENT SECURITY 8.00 ADMINISTRATOR GUIDE

[. . . ] F-Secure ク ラ イ ア ン ト セキ ュ リ テ ィ 管理者ガ イ ド 「F-Secure」 お よ び三角形のシ ン ボルは、 F-Secure Corporation の登録商標です。 F-Secure の製品名お よ びシ ン ボル / ロ ゴは、F-Secure Corporation の商標ま たは登録商標です。 本書に記載 さ れてい る製品 名はすべて、 各社の商標ま たは登録商標です。 F-Secure Corporation は、 他社の商標お よ び名前につい て所有権を持つ も のではあ り ません。 F-Secure Corporation では、本書中の情報の正確 さ を期 し て万全 の努力を払っ てお り ますが、 情報に間違いや脱落があ っ て も 責任を負 う こ と はあ り ません。 本書に記 載 さ れてい る 仕様は、 予告な し に変更 さ れ る こ と があ り ます。 本書中の例で使用 さ れてい る 会社、 名前、 お よ びデー タ は、 特に断 り がない限 り 、 事実 と は関係あ り ません。 本書の ど の部分 も 、 いかな る 形態ま たは手段 ( 電子的ま たは機械的 ) に よ っ て も 、 目的を問 わず、 F-Secure Corporation の書面に よ る 許可な し に複製ま たは伝達す る こ と はで き ません。 本製品は以下の F-Secure の特許で保護 さ れてい る こ と があ り ます。 GB2353372 GB2366691 GB2366692 GB2366693 GB2367933 GB2368233 GB2374260 Copyright (c) 2008 F-Secure Corporation. All rights reserved. 12000060-7A10 目次 本書について 1 本書の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 関連マニ ュ アル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 本書の表記について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 最 も 危険なサービ スやホ ス ト に対 し ては拒否ルールを設定 し 、 オプ シ ョ ン で警告を発す る 頻繁に使用す る 一般的なサービ スやホ ス ト に対 し ては許可ルールを 設定す る ト ロ イ の木馬な ど、 警告が必要な特定のサービ ス に対 し て拒否ルー ルを設定 し 、 警告を発す る よ り 一般的な許可ルール こ れ ら 以外はすべて拒否す る 6. 2 セキ ュ リ テ ィ レベル と ルールの設定 こ こ では、 ユーザの要求をベース にセキ ュ リ テ ィ レベルの設定方法 と 選 択方法を説明 し ます。 設定例では、 管理対象のホ ス ト が ド メ イ ン構造に イ ン ポー ト さ れてい る と 仮定 さ れ ます。 こ れは、 た と えば、 ノ ー ト ブ ッ ク やデス ク ト ッ プがそのサブ ド メ イ ン に存在す る と い う こ と です。 185 あ る 特定のセキ ュ リ テ ィ レベルを ド メ イ ン に許可す る 場合は、 そのセ キ ュ リ テ ィ レベルが ド メ イ ン に対 し て適切であ る か をチ ェ ッ ク す る 必要 があ り ます。 異な る ド メ イ ンは、 異な る セキ ュ リ テ ィ レベルを使用で き ます。 重要 : ホス ト 上のセキ ュ リ テ ィ レ ベルを変更 し た ら、 新 し いセ キ ュ リ テ ィ レ ベルが間違いな く 適用 さ れる よ う に、 鍵型のシ ンボ ルを ク リ ッ ク し て く だ さ い。 6. 2. 1 セキ ュ リ テ ィ レベルを選択す る こ の例では、 [Desktops/Eng. ] サブ ド メ イ ンの ワ ー ク ス テーシ ョ ン で [ オ フ ィ ス ] セキ ュ リ テ ィ レベルが有効にな っ てい ます。 [Desktops/Eng] サブ ド メ イ ン の イ ン タ ーネ ッ ト 防御のセキ ュ リ テ ィ レベ ルを変更す る には、 次を行い ます。 1. [ ポ リ シー ド メ イ ン ] タ ブで [Desktops/Eng. ] サブ ド メ イ ン を選択 し ます。 [ 設定 ] タ ブに移動 し て、 [ フ ァ イ ア ウ ォールのセ キ ュ リ テ ィ レベル ] ウ ィ ン ド ウ を開 き ます。 ポ リ シーに現在含ま れてい る デフ ォ ル ト のセ キ ュ リ テ ィ レベルが、 ド ロ ッ プダ ウ ン リ ス ト の [ ホ ス ト での イ ン タ ーネ ッ ト 防御セキ ュ リ テ ィ レベル ] に表示 さ れ ます。 [ ホ ス ト での イ ン タ ーネ ッ ト 防御セキ ュ リ テ ィ レベル ] ド ロ ッ プダ ウ ン リ ス ト か ら [ オ フ ィ ス ] セキ ュ リ テ ィ レベルを選択 し ます。 ユーザが設定を変更で き ない よ う にす る には、 設定の横にあ る 鍵形 のシ ン ボルを ク リ ッ ク し ます。 を ク リ ッ ク し て、 ポ リ シー デー タ を保存 し ます。 を ク リ ッ ク し て、 ポ リ シーを配布 し ます。 3. 6. [ ス テー タ ス ] タ ブに移動 し [ 全体の保護 ] ウ ィ ン ド ウ を選択 し て新 し い セキ ュ リ テ ィ レベルの変更が有効にな っ てい る こ と を確認 し ます。 何らかの理由で選択 さ れたセキ ュ リ テ ィ レ ベルを使用で き ない場 合は、 代わ り にデ フ ォル ト セキ ュ リ テ ィ レ ベルが使用 さ れます。 現在のデ フ ォル ト セキ ュ リ テ ィ レ ベルは、 [ フ ァ イ アウ ォ ールの セキ ュ リ テ ィ レ ベル ] ページの [ グローバル セキ ュ リ テ ィ レ ベ ル ] テーブルに表示 さ れます。 6 186 6. 2. 2 ホ ス ト のデフ ォ ル ト セキ ュ リ テ ィ レベルを設定す る デフ ォ ル ト セキ ュ リ テ ィ レベルはグ ロ ーバルな設定で、 選択 さ れたセ キ ュ リ テ ィ レベルが無効の場合にのみ使用 さ れ ます。 こ の例では、 ド メ イ ン の全ホ ス ト に対 し て [ オ フ ィ ス ] セキ ュ リ テ ィ レ ベルがデフ ォ ル ト と し て設定 さ れ ます。 1. [ ポ リ シー ド メ イ ン ] タ ブで [Laptops/Eng. ] ド メ イ ン を選択 し ます。 [ 設定 ] タ ブに移動 し て、 [ フ ァ イ ア ウ ォールのセ キ ュ リ テ ィ レベル ] ページ を開 き ます。 [ フ ァ イ ア ウ ォ ールのセキ ュ リ テ ィ レベル ] テーブルで、 [ オ フ ィ ス ] 列の [ デフ ォ ル ト ] ラ ジオ ボ タ ン を ク リ ッ ク し ます。 4. すべての管理ホ ス ト のセ キ ュ リ テ ィ レベルを変更 し て も よ いか を確 認す る メ ッ セージがポ リ シー マネージ ャ に よ っ て表示 さ れ ます。 [OK] を ク リ ッ ク し ます。 を ク リ ッ ク し て、 ポ リ シー デー タ を保存 し ます。 を ク リ ッ ク し て、 ポ リ シーを配布 し ます。 5. 6. 6. 2. 3 ド メ イ ンに新 し いセキ ュ リ テ ィ レベルを追加す る こ の例では、 2 つの関連ルールを持つ新 し いセキ ュ リ テ ィ レベルが作成 さ れ ます。 新 し いセキ ュ リ テ ィ レベルが １ つのサブ ド メ イ ンにのみ追加 さ れ、 ホ ス ト は新 し いセ キ ュ リ テ ィ レベルを使用す る こ と が強制 さ れま す。 こ のサブ ド メ イ ン には イ ン タ ーネ ッ ト 閲覧のみに使用 さ れ る コ ン ピ ュ ー タ があ っ て、 こ の コ ン ピ ュ ー タ は会社の LAN には接続 さ れてい ません。 187 特定の ド メ イ ン だけに対 し て新 し いセキ ュ リ テ ィ レベルを追加す る ため には、 まずルー ト レベルのセキ ュ リ テ ィ レベルを無効にす る 必要があ り ます。 それか ら 、 そのセキ ュ リ テ ィ レベルを も う 一度適切な低レベル で有効に し ます。 こ のためには、 次の手順に従い ます。 1. 新 し いセキ ュ リ テ ィ レベルを作成 し ます。 1. [ ポ リ シー ド メ イ ン ] タ ブで [ ルー ト ] を選択 し ます。 [ 設定 ] タ ブに移動 し て、 [ フ ァ イ ア ウ ォールのセ キ ュ リ テ ィ レベル ] ページ を開 き ます。 [ 追加 ] を ク リ ッ ク し て新 し いセキ ュ リ テ ィ レベルを追加 し ます。 こ れに よ っ て、 [ セ キ ュ リ テ ィ レベル ‐ 説明 ] ダ イ ア ロ グ ボ ッ ク ス が開 き ます。 た と えば、 「ブ ラ ウ ザ セキ ュ リ テ ィ 」 な ど、 新 し いセキ ュ リ テ ィ レ ベルに名前をつけ ます。 [ 説明 ] に説明を加え る こ と も で き ます。 テ キ ス ト ボ ッ ク ス [ 完了 ] を ク リ ッ ク し ます。 を ク リ ッ ク し て、 ポ リ シー デー タ を保存 し ます。 を ク リ ッ ク し て、 ポ リ シーを配布 し ます。 4. 5. 6. 2. 新 し いセキ ュ リ テ ィ レベルのルールを作成 し ます。 この手順で使用するルール ウ ィ ザー ド で設定で き るオプ シ ョ ンに ついては、 『警告ルールを追加す る 』 (P 192) を参照 し て く だ さ い。 新 し いセキ ュ リ テ ィ レベルの関連ルールは次の よ う に作成 さ れ ます。 1. [ フ ァ イ ア ウ ォ ール ルール ] ページに進みます。 先ほ ど作成 し た [ ブ ラ ウ ザ セキ ュ リ テ ィ ] イ ン タ ーネ ッ ト 防御セ キ ュ リ テ ィ レベルを選択 し ます。 こ のセ キ ュ リ テ ィ レベルが選択 さ れた場合、 ま だ関連ルールが存在 し ないので、 [ フ ァ イ ア ウ ォ ール ルール テーブル ] は空にな り ます。 [ 前に追加 ] を ク リ ッ ク し 、 リ ス ト 上の最初のルール と し て発信 HTTP ト ラ フ ィ ッ ク を許可す る ルールを追加 し ます。 こ れに よ っ て、 [ フ ァ イ ア ウ ォ ールのルール ウ ィ ザー ド ] が開 き ます。 [ ルールの タ イ プ ] ウ ィ ン ド ウ でルールの タ イ プ と し て [ 許可 ] を選 択 し ます。 3. 4. 6 188 5. 6. [ リ モー ト ホ ス ト ] ウ ィ ン ド ウ で [ 任意の リ モー ト ホ ス ト ] を選択 し すべての イ ン タ ーネ ッ ト 接続にルールを適用 し ます。 [ サービ ス ] ウ ィ ン ド ウ で次を選択 し ます。 o HTTP ト ラ フ ィ ッ ク にルールを適用す る ため [ サービ ス ] 列の [HTTP] を選択 し ます。 => [ 方向 ] 列で選択 し 、発信接続だけにルールを適用 し ます。 o 7. 8. [ 詳細設定 ] ウ ィ ン ド ウ でデフ ォ ル ト 値を受け入れます。 [ 概要 ] ウ ィ ン ド ウ で新 し いルールを確認 し ます。 ルールに対 し て説 明の コ メ ン ト 、 た と えば 「Web 閲覧用の発信 HTTP ト ラ フ ィ ッ ク を 許可す る . 」 を追加す る こ と も で き ます。 [ 完了 ] を ク リ ッ ク し ます。 [ 後に追加 ] を ク リ ッ ク し 、 リ ス ト の最後のルール と し て、 発着信の 両方で他の ト ラ フ ィ ッ ク を拒否す る ルールを追加 し ます。 9. 10. [ ルールの タ イ プ ] ウ ィ ン ド ウ でルールの タ イ プ と し て [ 拒否 ] を選 択 し ます。 11. [ リ モー ト ホ ス ト ] ウ ィ ン ド ウ で [ 任意の リ モー ト ホ ス ト ] を選択 し すべての接続にルールを適用 し ます。 12. [ サービ ス ] ウ ィ ン ド ウ で次を選択 し ます。 o [ サービ ス ] 列の [ すべての ト ラ フ ィ ッ ク ] を選択 し て、すべての ト ラ フ ィ ッ ク にルールを適用 し ます。 [ 方向 ] 列の [ 双方 ] を選択 し て、発受信接続にルールを適用 し ま す。 o 13. [ 詳細設定 ] ウ ィ ン ド ウ でデフ ォ ル ト 値を受け入れます。 14. [ 概要 ] ウ ィ ン ド ウ で新 し いルールを確認 し ます。 ルールに対 し て説 明の コ メ ン ト を追加す る こ と も で き ます ( 例 : 「残 り の ト ラ フ ィ ッ ク を拒否」 )。 [ 完了 ] を ク リ ッ ク し ます。 3. 新 し いセキ ュ リ テ ィ レベルを適用 し ます。 新 し いセキ ュ リ テ ィ レベルを選択 さ れたサブ ド メ イ ンだけに適用す る 場 合は、 最初にルー ト レベルでそのセキ ュ リ テ ィ レベルを無効にす る 必 要があ り ます。 それか ら 、 それを ポ リ シー ド メ イ ン階層の低レベルで有 効に さ せます。 こ のためには、 次の手順に従い ます。 1. [ ポ リ シー ド メ イ ン ] タ ブで [ ルー ト ] を選択 し ます。 [ フ ァ イ ア ウ ォ ールのセキ ュ リ テ ィ レベル ] ページに進みます。 189 3. [ フ ァ イ ア ウ ォ ールのセキ ュ リ テ ィ レベル ] テーブルの [ 無効 ] チェ ッ ク ボ ッ ク ス をオフに し て [ ブ ラ ウザ セキ ュ リ テ ィ ] セキ ュ リ テ ィ レベルを無効に し ます。 [ ポ リ シー ド メ イ ン ] タ ブで こ のセ キ ュ リ テ ィ レベルを使用す る サ ブ ド メ イ ン を選択 し ます。 [ フ ァ イ ア ウ ォ ールのセキ ュ リ テ ィ レベル ] テーブルの [ 有効 ] チェ ッ ク ボ ッ ク ス をオンに し て [ ブ ラ ウザ セキ ュ リ テ ィ ] セキ ュ リ テ ィ レベルを有効に し ます。 [ ホ ス ト での イ ン タ ーネ ッ ト 防御セ キ ュ リ テ ィ レベル ] ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し て、 新 し いセキ ュ リ テ ィ レベルを有効セキ ュ リ テ ィ レベル と し て設定 し ます。 を ク リ ッ ク し て、 ポ リ シー デー タ を保存 し ます。 を ク リ ッ ク し て、 ポ リ シーを配布 し ます。 4. 8. 6 190 6. 3 ネ ッ ト ワー ク 検疫 ネ ッ ト ワ ー ク 検疫は、 パ タ ーン フ ァ イ ルが古 く な っ た、 お よ び / ま たは リ アル タ イ ム ス キ ャ ン を無効に し た ホ ス ト のネ ッ ト ワ ー ク ア ク セ ス を 制限す る イ ン タ ーネ ッ ト 防御の機能です。 パ タ ーン フ ァ イ ルが更新 さ れ た際、 お よ び / ま たは リ アル タ イ ム ス キ ャ ンが有効に さ れた際に、 ネ ッ ト ワー ク のア ク セ ス は復元 さ れます。 こ こ では、 ネ ッ ト ワー ク 検疫の機能 と 設定について説明 し ます。 新 し い フ ァ イ ア ウ ォ ール ルールを追加す る こ と に よ っ て、 ネ ッ ト ワ ー ク 検疫を 設定す る 方法については、 『 ネ ッ ト ワー ク 検疫を調整す る 』 (P 191) を参 照 し て く だ さ い。 6. 3. 1 ネ ッ ト ワ ー ク 検疫の設定す る ネ ッ ト ワ ー ク 検疫の設定は、 [ フ ァ イ ア ウ ォ ールのセキ ュ リ テ ィ レベル ] ページにあ り ます。 [ ネ ッ ト ワ ー ク 検疫 ] ページでは、 以下の操作を実 行で き ます。 o o ネ ッ ト ワ ー ク 検疫を有効ま たは無効にす る ネ ッ ト ワ ー ク 検疫がア ク テ ィ ブにな る ために必要なパ タ ーン フ ァ イ ルの日数を指定す る ホ ス ト で リ アル タ イ ム ス キ ャ ンが無効にな っ た場合、 ネ ッ ト ワ ー ク 検疫がア ク テ ィ ブにな る か ど う か を指定す る o 6. 3. 2 ド メ イ ン全体にネ ッ ト ワー ク 検疫を有効にす る ド メ イ ン全体にネ ッ ト ワー ク 検疫を有効にす る には、 以下の手順を実行 し ます。 1. [ ポ リ シー ド メ イ ン ] タ ブで、 ルー ト を選択 し ます。 [ 設定 ] タ ブに移動 し て、 [ フ ァ イ ア ウ ォールのセ キ ュ リ テ ィ レベル ] ページ を開 き ます。 [ ネ ッ ト ワ ー ク 検疫を有効にす る ] を選択 し ます。 [ ネ ッ ト ワ ー ク 検疫を有効にす る ために必要なパ タ ーン フ ァ イ ルの 経過日数 ] を指定 し ます。 191 5. リ アル タ イ ム ス キ ャ ン が無効に さ れた と き に、 ホ ス ト がネ ッ ト ワー ク に接続で き ない よ う にす る には、 [ リ アル タ イ ム ス キ ャ ンが無効 な場合、 ホ ス ト 上でネ ッ ト ワ ー ク 検疫を有効にす る ] を選択 し ます。 を ク リ ッ ク し て、 ポ リ シー デー タ を保存 し ます。 を ク リ ッ ク し て、 ポ リ シーを配布 し ます。 6. 7. 6. 3. 3 ネ ッ ト ワ ー ク 検疫を調整す る ネ ッ ト ワ ー ク 検疫はホ ス ト のセ キ ュ リ テ ィ レベルを [ ネ ッ ト ワ ー ク 検疫 ] に強制変更す る こ と に よ っ て、 効果を適用 し ます。 ネ ッ ト ワー ク 検疫 のセ キ ュ リ テ ィ レベルには、 制限 さ れた フ ァ イ ア ウ ォ ール ルールが含 まれてい ます。 [ ネ ッ ト ワー ク 検疫 ] セキ ュ リ テ ィ レベルの フ ァ イ ア ウ ォ ール ルールに許可す る ルールを追加す る こ と が可能です。 こ れに よ っ て、 ネ ッ ト ワー ク 検疫の効果を調整で き ます。 ルールを変更す る 際 に、 拒否ルールやネ ッ ト ワー ク の制限を よ り 高め る こ と は推奨 し ませ ん。 6 192 6. 4 ルール警告 イ ン タ ーネ ッ ト 防御ルール警告は、 特定の種類の有害プ ロ グ ラ ム が コ ン ピ ュ ー タ にア ク セ ス し よ う と し た場合に、 それを通知す る ために使用 さ れ ます。 ルールに ヒ ッ ト し た り 、 ま たは不正なデー タ グ ラ ムが受信 さ れ る と き はいつ も 警告を発す る こ と がで き ます。 こ れに よ っ てシ ス テ ム で 進行中の ト ラ フ ィ ッ ク の タ イ プが容易に解 る よ う にな り ます。 適切な警告を行 う には、 セキ ュ リ テ ィ レベルに適切な精度を設定す る こ と が必要です。 すなわち、 警告の タ イ プご と に 1 つのルールを設定 し ま す。 おおざ っぱなルールを基に警告の設計を行 う と 大量の警告が生成 さ れ、 重要な情報が大量の無用な ノ イ ズの中に消え る こ と も あ り ます。 6. 4. 1 警告ルールを追加す る こ の例では、 警告を発す る [ 拒否 ] ルールが特定のサブ ド メ イ ン の着信 ICMP ト ラ フ ィ ッ ク に対 し て作成 さ れます。 こ の場合、 コ ン ピ ュ ー タ が ping さ れ る と 警告が発せ ら れ ます。 こ の例の最後では、 サブ ド メ イ ンに あ る コ ン ピ ュ ー タ の 1 つに ping を行 う こ と に よ っ てルールを テ ス ト し ま す。 こ の例は、 [ フ ァ イ ア ウ ォールのルール ウ ィ ザー ド ] で新 し いルールを 作成す る 場合に選択で き る 内容 も 説明 し ます。 1. 1. 3. [ ポ リ シー ド メ イ ン ] タ ブで新 し いルールを作成す る サブ ド メ イ ン を選択 し ます。 [ 設定 ] タ ブに移動 し て、 [ フ ァ イ ア ウ ォール ルール ] ページ を開 き ます。 [ 編集す る イ ン タ ーネ ッ ト 防御セ キ ュ リ テ ィ レベル ] ド ロ ッ プダ ウ ン メ ニ ュ ーか ら 、 ルールを新 し く 加え る イ ン タ ーネ ッ ト 防御セキ ュ リ テ ィ レベルを選択 し ます。 こ の イ ン タ ーネ ッ ト 防御セキ ュ リ テ ィ レベルに定義 さ れてい る すべてのルールがテーブルに表示 さ れます。 [ 前に追加 ] を ク リ ッ ク し て、 新 し いルールを リ ス ト の最初のルール と し て追加 し ます。 こ れに よ っ て、 [ フ ァ イ ア ウ ォ ールのルール ウ ィ ザー ド ] が開 き ます。 4. 193 2. 3. ルールの タ イ プ [ 拒否 ] を選択 し て着信 ICMP 接続を拒否 し ます。 対象のホ ス ト を指定 し ます。 こ のルールをすべての接続に適用す る か、 指定 し た接続にのみ適用す る か を選択 し ます。 次のいずれか を実行 し ます。 o [ 任意の リ モー ト ホ ス ト ] オプシ ョ ン を オ ン に し てルールをすべ ての イ ン タ ーネ ッ ト 接続に適用 し ます。 [ ロ ーカル接続 し てい る ネ ッ ト ワー ク 上のすべてのホ ス ト ] オプ シ ョ ン を オ ンに し て、 ロ ーカルのネ ッ ト ワ ー ク か ら すべての接 続に こ のルールを適用 し ます。 [ 指定 し た リ モー ト ホ ス ト ] オプシ ョ ン を オ ン に し て、 IP ア ド レ ス、 IP ア ド レ ス の範囲、 ま たは DNS ア ド レ ス にルールを適用 し ます。 こ のオプシ ョ ン を選択す る と 、 下のテ キ ス ト フ ィ ール ド にア ド レ ス を指定す る こ と がで き ます。 複数のア ド レ ス ま たは ア ド レ ス範囲を フ ィ ール ド に入力す る 場合は、 スペース で区切 り ます。 o o こ のルールでは、 [ 任意の リ モー ト ホ ス ト ] を選択 し ます。 4. ルールで拒否す る サービ ス と 方向を選択 し ます。 ルールの対象 と な る サービ ス を、 利用可能なサービ ス の リ ス ト か ら 選択 し ます。 すべてのサービ ス にルールを適用す る 場合は、 リ ス ト の最上部 にあ る [ すべて ] を選択 し ます。 こ の ウ ィ ン ド ウ では必要なサービ ス を それぞれ選択で き ます。 6 194 選択 し たサービ ス について、 [ 方向 ] 列の矢印を ク リ ッ ク し てルールを 適用す る 方向を選択 し ます。 ク リ ッ ク を繰 り 返す と 、 選択可能な選択肢 が順番に表示 さ れ ます。 次の表に例を示 し ます。 方向 <=> <= 説明 こ のサービ スは着信 / 発信の両方向で許可 / 拒否 さ れます。 こ のサービ スは定義 さ れた リ モー ト ホス ト や ネ ッ ト ワー クか ら コ ン ピ ュ ー タ に着信する場 合に許可 / 拒否 さ れます。 こ のサービ スは定義 さ れた リ モー ト ホス ト や ネ ッ ト ワー クか ら コ ン ピ ュ ー タ に発信する場 合に許可 / 拒否 さ れます。 => こ のルールは次を選択 し ます。 o o [ サービ ス ] ド ロ ッ プダ ウ ン リ ス ト か ら [ICMP] を選びます。 <=[ 方向 ] 列か ら 「=」 を選択 し ます。 5. 詳細オプシ ョ ン を定義 し ます。 1. チ ェ ッ ク ボ ッ ク ス のオ ン / オ フ を選択 し て、 ダ イ ヤルア ッ プ リ ン ク が開かれてい る と き だけルールを適用す る か ど う か定義 し ます。 [ 警告を送信 ] ド ロ ッ プダ ウ ン リ ス ト か ら 警告の タ イ プ を選択 し ま す。 こ のルールの場合は、 [ セキ ュ リ テ ィ 警告 ] を選択 し ます。 [ 警告 ト ラ ッ プ ] ド ロ ッ プダ ウ ン リ ス ト か ら 発信す る 警告 ト ラ ッ プ を選択 し ます。 こ のルールの場合は [ ネ ッ ト ワー ク イ ベン ト : 着信 サービ ス が拒否 さ れ ま し た。 ] を選択 し ます。 警告 コ メ ン ト に警告の説明 コ メ ン ト を入力 し ます。 フ ィ ール ド こ の コ メ ン ト は F-Secure ク ラ イ ア ン ト セキ ュ リ テ ィ の ロ ーカル ユーザ イ ン タ フ ェース に表示 さ れ ます。 こ の ウ ィ ン ド ウ の残 り の フ ィ ール ド はデフ ォ ル ト 値を受け入れ る こ と がで き ます。 4. 5. 195 6. ルールの確認 と 承認 こ こ では作成 し たルールを確認す る こ と がで き ます。 ルールの説明 コ メ ン ト を追加す る と 、 [ フ ァ イ ア ウ ォール ルール テーブ ル ] にルールが表示 さ れた と き に意味が分か り やす く な り ます。 ルールを変更す る 必要があれば、 [ 戻 る ] を ク リ ッ ク し てルール作成画 面に戻っ て く だ さ い。 新 し く 作成 し たルールで問題がない場合は、 [ 完了 ] を ク リ ッ ク し ます。 新 し いルールは [ フ ァ イ ア ウ ォール ルール ] ページで現在有効なルール の一覧の一番上に表示 さ れ ます。 7. 警告転送の設定 1. [. . . ] 問題が解決 さ れない場合は、 F-Secure 製品を ア ン ロ ー ド 、 ま たは イ ン タ ーネ ッ ト 防御をすべて許可モー ド に設定 し ます。 それで も 問題 が解決 さ れない場合、 ルーテ ィ ン グ ま たはユーザが接続 し よ う と し てい る コ ン ピ ュ ー タ 内の他の コ ン ポーネ ン ト に問題があ る 可能性が あ り ます。 13 262 13. 5 新 し いサービ ス を追加す る こ こ で言 う サービ ス と は、 ネ ッ ト ワ ー ク 上で利用可能なネ ッ ト ワー ク サービ ス の こ と です ( 例 : フ ァ イ ル共有、 リ モー ト コ ン ト ロ ール ア ク セ ス、 Web 閲覧な ど )。 ほ と ん ど の場合、 使用す る プ ロ ト コ ル と ポー ト で 定義 さ れ ます。 13. 5. 1 新 し い イ ン タ ーネ ッ ト サービ ス を作成す る こ の例では、 コ ン ピ ュ ー タ 上で実行 し てい る Web サーバーがあ る こ と 、 Web サーバーが標準ではない Web ポー ト を使用す る よ う に設定 さ れて い る も の と 仮定 し ます。 通常、 Web サーバーには TCP/IP ポー ト 80 を 追加で き ますが、 こ の例ではポー ト 8000 を追加す る よ う に設定 さ れて い ます。 ワー ク ス テーシ ョ ン か ら こ のサーバーへの接続を有効にす る に は、 新 し いサービ ス を作成す る 必要があ り ます。 標準の HTTP ポー ト が 使用 さ れな く な っ たため、 標準の HTTP サービ ス は こ こ では動作 し ませ ん。 こ の新 し いサービ ス は 「HTTP ポー ト 8000」 で、 デフ ォ ル ト の 「HTTP」 サービ ス に基づいてい ます。 1. [ ポ リ シー ド メ イ ン ] タ ブで新 し いサービ ス を作成す る サブ ド メ イ ン を選択 し ます。 [ 設定 ] タ ブに移動 し て、 [ フ ァ イ ア ウ ォール サービ ス ] ページ を開 き ます。 こ のページには、 [ フ ァ イ ア ウ ォ ール サービ ス テーブル ] が含まれ ます。 [ 追加 ] ボ タ ン を ク リ ッ ク し て、 フ ァ イ ア ウ ォ ール サービ ス ウ ィ ザー ド を起動 し ます。 3. Step 1. サービ ス名 1. [ サービ ス名 ] フ ィ ール ド でサービ ス に対す る 固有の名前を定義 し ま す。 同 じ 名前を 2 つのサービ ス に付け る こ と はで き ません。 例 : HTTP port 8000 [ サービ ス の コ メ ン ト ] フ ィ ール ド で、 サービ ス に対 し てわか り やす い コ メ ン ト を入力 し ます。 コ メ ン ト が [ フ ァ イ ア ウ ォ ール サービ ス テーブル ] に表示 さ れ ます。 2. 263 Step 2. IP プ ロ ト コ ル番号 こ のサービ ス に適用す る プ ロ ト コ ル番号を [ プ ロ ト コ ル ] ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ます。 リ ス ト には最 も 一般的に使用 さ れ る プ ロ ト コ ルがあ り ます (TCP、 UDP、 ICMP)。 サービ ス が こ れ以外のプ ロ ト コ ルを 使用す る 場合は、 以下の表を参照 し て対応す る 番号を入力 し ます。 例えば、 [IP プ ロ ト コ ル番号 ] ド ロ ッ プダ ウ ン リ ス ト か ら 、 [TCP (6)] を 選択 し ます。 13 264 プロ ト コル プロ ト コ 名 ル番号 ICMP IGMP IPIP TCP EGP PUP UDP 1 2 4 6 8 12 17 説明 Internet Control Message Protocol ( イ ン タ ー ネ ッ ト コ ン ト ロール メ ッ セージ プ ロ ト コ ル ) Internet Group Management Protocol ( イ ン タ ー ネ ッ ト グループ マネジ メ ン ト プ ロ ト コ ル ) IPIP ト ン ネル (IP 内の IP) Transmission Control Protocol ( 伝送制御プ ロ ト コル ) Exterior Gateway Protocol ( エ ク ス テ リ ア ゲー ト ウ ェ イ プロ ト コル ) Xerox PUP ルーテ ィ ン グ プ ロ ト コ ル User Datagram Protocol ( ユーザ デー タ グ ラ ム プ ロ ト コル ) 265 IDP IPV6 RSVP GRE ESP AH PIM COMP RAW 22 41 46 47 50 51 103 108 255 Xerox NS Internet Datagram Protocol ( イ ン タ ーネ ッ ト デー タ グ ラ ム プ ロ ト コ ル ) IP バージ ョ ン 4 に カ プ セル化 さ れた IP バー ジョン 6 Resource Reservation Protocol ( リ ソ ース リ ザ ベーシ ョ ン プ ロ ト コ ル ) Cisco の Generic Routing Encapsulation ( 総称 ルーテ ィ ン グ カ プ セル化 ) ト ン ネル Encapsulation Security Payload ( 暗号ペ イ ロー ド ) プ ロ ト コル Authentication Header ( 認証ヘ ッ ダ ) プ ロ ト コ ル Protocol Independent Multicast ( プ ロ ト コ ル イ ンデ ィ ペ ンデン ト マルチキ ャ ス ト ) Compression Header ( 圧縮ヘ ッ ダ ) プ ロ ト コ ル Raw IP パケ ッ ト Step 3. イ ニシエー タ ポー ト サービ ス が TCP ま たは UDP プ ロ ト コ ルを使用す る 場合、 サービ ス がカ バーす る イ ニシエー タ ポー ト を定義す る 必要があ り ます。 ポー ト と ポー ト 範囲の入力書式は次の と お り です。 o o o o o o >[ ポー ト 番号 ] - 「ポー ト 番号」 よ り 大 き いすべてのポー ト >=[ ポー ト 番号 ] - 「ポー ト 番号」 以上のすべてのポー ト <[ ポー ト 番号 ] - 「ポー ト 番号」 よ り 小 さ いすべてのポー ト <=[ ポー ト 番号 ] - 「ポー ト 番号」 以下のすべてのポー ト [ ポー ト 番号 ] - その 「ポー ト 番号」 のみ [ 最小ポー ト 番号 ]-[ 最大ポー ト 番号 ] - 「最小ポー ト 番号」 と 「最大ポー ト 番号」、 お よ び 「最小ポー ト 番号」 と 「最大ポー ト 番号」 間のすべてのポー ト ( ダ ッ シ ュ の両側には スペース を入 れないで く だ さ い )。 13 266 こ れ ら の項目を カ ン マで区切っ て組み合わせて定義す る こ と がで き ま す。 例えば、 ポー ト 10、 11、 12、 100、 101、 200 お よ び 1023 以上は、 「10-12, 100-101, 200, >1023」 と 定義で き ます。 こ の例では、 イ ニシエー タ ポー ト を >1023 と 定義 し てい ます。 Step 4. リ ス ポ ン ダ ポー ト サービ ス が TCP ま たは UDP プ ロ ト コ ルを使用す る 場合、 サービ ス がカ バーす る リ ス ポ ン ダ ポー ト を定義す る 必要があ り ます。 267 こ の例では、 イ ニシエー タ ポー ト を 8000 と 定義 し てい ます。 Step 5. 分類番号 こ のサービ ス に適用す る 分類番号を ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 デフ ォ ル ト の値を使用で き ます。 13 268 Step 6. その他の フ ィ ル タ リ ン グ 標準のパケ ッ ト フ ィ ル タ リ ン グ と 状態検査フ ィ ル タ リ ン グのほかに、 そ の他の フ ィ ル タ リ ン グ を、 作成 し てい る サービ ス で許可 さ れ る ト ラ フ ィ ッ ク に適用す る か ど う か を選択 し ます。 269 こ の例では、 デフ ォ ル ト で [ 無効 ] を使用で き ます。 サービ スが TCP プ ロ ト コ ルを使用 し 、 ア プ リ ケーシ ョ ン制御を有 効に し ない場合、 [ その他のフ ィ ル タ リ ング ] ド ロ ッ プダウン メ ニ ュ ーから [ ア ク テ ィ ブ モー ド FTP] を選択で き ます。 接続用に 開 く 必要があるポー ト に関する情報が転送 さ れたデー タ に含まれ ている ため、 ア ク テ ィ ブ モー ド FTP に対 し て フ ァ イ アウ ォ ール から特別な操作をする こ と が必要です。 13 270 Step 7. ルールの確認 と 承認 1. こ こ では作成 し たルールを確認す る こ と がで き ます。 ルールを変更 す る 必要があれば、 [ 戻 る ] を ク リ ッ ク し てルール作成画面に戻っ て く だ さ い。 2. ［完了］ を ク リ ッ ク し てルール ウ ィ ザー ド を閉 じ ます。 こ れで、 作成 し たルールが [ フ ァ イ ア ウ ォ ール ルール テーブル ] に表示 さ れ ま す。 Step 8. 新 し いルールの使用 こ の新 し いサービ ス を使用す る には、 現在使用 し てい る イ ン タ ーネ ッ ト 防御セキ ュ リ テ ィ レベル で HTTP 8000 フ ァ イ ア ウ ォ ール サービ ス の使 用を許可す る 新 し い イ ン タ ーネ ッ ト 防御ルールを作成す る 必要があ り ま す。 詳細についてには、 『警告ルールを追加す る 』 (P 192) を参照 し て く 271 だ さ い。 こ の場合、 [ ルール ウ ィ ザー ド - サービ ス ] ウ ィ ン ド ウ で新 し いサービ ス を選択で き ます。 [ ルール ウ ィ ザー ド - 詳細オプシ ョ ン ] ウ ィ ン ド ウ で警告を定義す る 必要はあ り ません。 13. 6 ダ イ ヤルア ッ プ制御の設定 ダ イ ヤルア ッ プ制御は、 ダ イ ヤルア ッ プに よ る 接続が許可ま たは拒否 さ れ る 電話番号を管理 し ます。 ダ イ ヤルア ッ プ制御を有効にす る には、 次の手順を実行 し ます。 1. [. . . ]