トラフィックアプリケーションの起動制御が可能
「エフセキュア インターネット セキュリティ 2011」が備えるファイアウォール機能は、プロファイルを元にした保護機能とアプリケーションの通信動作および起動を制御する2つの機能で構成されている。まずプロファイルは、すべての通信を遮断する「すべてブロック」から、すべての通信を透過させる「すべて許可」の6段階から選択可能。
初期状態の「標準」は、アウトバウンド(内部→外部)トラフィックを許可するが、一部のインバウンド(外部→内部)トラフィックのみ遮断する。ネットワークアプリケーションに対する設定情報は後述するアプリケーション制御設定で変更するという仕組みなので、通常は同プロファイルを選択すればよい。
ただし、Webページの閲覧や電子メールの送信のみ許可し、そのほかの動作に関しては警告を発する「高」、もしくはアウトバウンドTCPトラフィックを許可し、それ以外を拒否する「オフィス」といったプロファイルを選択することで、煩雑な設定を必要とせずにセキュリティレベルを高めることも可能だ(図26~27)。
もちろんポート番号単位で特定のトラフィックを許可することもできる。メイン画面からたどるダイアログでは、ポート番号の指定のみでプロトコルも指定できないが、設定画面のルール設定を行なうウィザードからは、一般的なファイアウォールと同等レベルの設定が可能だ。ルールの範囲を設定する場合はカスタム設定から呼び出すダイアログで、単独のIPアドレスやサブネットマスク、ネットワーク名といった柔軟な指定が行なえる。
わかりにくいのがルールとサービスの関係性。前者はファイアウォールで許可・禁止を行なう基本的な設定だが、後者は対象となるプロトコルやイニシエータポート、リッスンポートといった定義を行なうというもの。それぞれ独立しているため最初はわかりにくいが、ファイアウォールの設定はパターン化されているため、個別に組み合わせた方が最終的にルールおよびサービスの管理も効率的になるのだ(図28~37)。
図29 ダイアログが起動したら、「名前」にわかりやすい名称を入力し、「ポート番号」に透過させるポート番号を入力して<OK>ボタンをクリック |
図31 ルールをダブルクリックもしくは選択して<詳細>ボタンをクリックすると、ウィザード形式で設定可能なダイアログが起動する。最初にタイプを選択して<次へ>ボタンをクリック |
図32 ルールを提供するIPアドレスの範囲をするには、<カスタム設定>を選択して<編集>ボタンをクリック。 |
「タイプ」のドロップダウンリストで種類を選択し、範囲を指定してから<リストに追加>ボタンをクリックする |
図33 サービスの選択と適用する方向を選択する。あらかじめ適用するサービスを選択し、「方向」に並ぶアイコンをクリックして向きを変更してから<次へ>ボタンをクリック |
図34 警告およびログに関する設定を選択して<次へ>ボタンをクリックする |
図35 最後に一連の設定内容を確認し、問題がなければ<完了>ボタンをクリックする |
図37 起動したダイアログから対象となるプロトコルやポート編集、ブロードキャストの有無などを設定すればよい。設定を終えたら<OK>ボタンをクリックする |
アプリケーション制御設定は、特に難しい設定は必要なく、ファイアウォールのプロファイルによって、適した確認ダイアログが起動する。必要に応じてアプリケーションの起動に対する<許可><拒否>いずれかのボタンをクリックすればよい。また、同ダイアログにある<今後、このプログラムでこのダイアログを表示しない>にチェックを入れておけば、自動的にプログラム制御リストに登録される。誤って登録した設定は「タスク」の「プログラムの通信を許可」から削除すればよい(図38~41)。
先ほどの許可・ブロック操作はエフセキュア ディープガードによる制御だが、パケット送信の有無に関する事前設定を行なう場合は、設定画面から操作する。「アプリケーション通信制御」の<アプリケーション>タブから新たな項目を追加し、「新しい接続試行に対する処理」セクションで、アウトバウンドおよびインバウンドの動作をラジオボタンから選択すればよい(図42~44)。