トラフィックアプリケーションの起動制御が可能

「エフセキュア インターネット セキュリティ 2011」が備えるファイアウォール機能は、プロファイルを元にした保護機能とアプリケーションの通信動作および起動を制御する2つの機能で構成されている。まずプロファイルは、すべての通信を遮断する「すべてブロック」から、すべての通信を透過させる「すべて許可」の6段階から選択可能。

初期状態の「標準」は、アウトバウンド(内部→外部)トラフィックを許可するが、一部のインバウンド(外部→内部)トラフィックのみ遮断する。ネットワークアプリケーションに対する設定情報は後述するアプリケーション制御設定で変更するという仕組みなので、通常は同プロファイルを選択すればよい。

ただし、Webページの閲覧や電子メールの送信のみ許可し、そのほかの動作に関しては警告を発する「高」、もしくはアウトバウンドTCPトラフィックを許可し、それ以外を拒否する「オフィス」といったプロファイルを選択することで、煩雑な設定を必要とせずにセキュリティレベルを高めることも可能だ(図26~27)。

図26 メイン画面の「ステータス」をクリックし、「ファイアウォール」のリンクをクリックする

図27 起動したダイアログのドロップダウンリストに用意された6種類のプロファイルから、使用環境に応じたものを選択して<OK>ボタンをクリックする

もちろんポート番号単位で特定のトラフィックを許可することもできる。メイン画面からたどるダイアログでは、ポート番号の指定のみでプロトコルも指定できないが、設定画面のルール設定を行なうウィザードからは、一般的なファイアウォールと同等レベルの設定が可能だ。ルールの範囲を設定する場合はカスタム設定から呼び出すダイアログで、単独のIPアドレスやサブネットマスク、ネットワーク名といった柔軟な指定が行なえる。

わかりにくいのがルールとサービスの関係性。前者はファイアウォールで許可・禁止を行なう基本的な設定だが、後者は対象となるプロトコルやイニシエータポート、リッスンポートといった定義を行なうというもの。それぞれ独立しているため最初はわかりにくいが、ファイアウォールの設定はパターン化されているため、個別に組み合わせた方が最終的にルールおよびサービスの管理も効率的になるのだ(図28~37)。

図28 メイン画面の「タスク」をクリックし、<ファイアウォールのポートを開く>をクリックする

図29 ダイアログが起動したら、「名前」にわかりやすい名称を入力し、「ポート番号」に透過させるポート番号を入力して<OK>ボタンをクリック

図30 設定から「ネットワーク」→<ファイアウォール>とクリックして開き、<ルール>タブから既存のファイアウォールルール設定を確認できる

図31 ルールをダブルクリックもしくは選択して<詳細>ボタンをクリックすると、ウィザード形式で設定可能なダイアログが起動する。最初にタイプを選択して<次へ>ボタンをクリック

図32 ルールを提供するIPアドレスの範囲をするには、<カスタム設定>を選択して<編集>ボタンをクリック。

「タイプ」のドロップダウンリストで種類を選択し、範囲を指定してから<リストに追加>ボタンをクリックする

図33 サービスの選択と適用する方向を選択する。あらかじめ適用するサービスを選択し、「方向」に並ぶアイコンをクリックして向きを変更してから<次へ>ボタンをクリック

図34 警告およびログに関する設定を選択して<次へ>ボタンをクリックする

図35 最後に一連の設定内容を確認し、問題がなければ<完了>ボタンをクリックする

図36 サービス設定は同設定画面の<サービス>タブから確認する。最初の簡易的な設定を行なったときに自動作成されるため、同サービスをダブルクリックする

図37 起動したダイアログから対象となるプロトコルやポート編集、ブロードキャストの有無などを設定すればよい。設定を終えたら<OK>ボタンをクリックする

アプリケーション制御設定は、特に難しい設定は必要なく、ファイアウォールのプロファイルによって、適した確認ダイアログが起動する。必要に応じてアプリケーションの起動に対する<許可><拒否>いずれかのボタンをクリックすればよい。また、同ダイアログにある<今後、このプログラムでこのダイアログを表示しない>にチェックを入れておけば、自動的にプログラム制御リストに登録される。誤って登録した設定は「タスク」の「プログラムの通信を許可」から削除すればよい(図38~41)。

図38 アプリケーションがネットワークアクセスを行なうと、確認をうながすダイアログが起動する。必要に応じて<許可><拒否>いずれかのボタンをクリックする

図39 メイン画面の「タスク」をクリックし、「プログラムの通信を許可」をクリックする

図40 これで既存および新たに追加したプログラムの通信許可(ブロック)リストが表示される。不要な設定項目を削除することも可能だ

図41 <詳細>ボタンをクリックすると、許可・ブロックを切り替えるダイアログが起動する。必要に応じて設定すればよい

先ほどの許可・ブロック操作はエフセキュア ディープガードによる制御だが、パケット送信の有無に関する事前設定を行なう場合は、設定画面から操作する。「アプリケーション通信制御」の<アプリケーション>タブから新たな項目を追加し、「新しい接続試行に対する処理」セクションで、アウトバウンドおよびインバウンドの動作をラジオボタンから選択すればよい(図42~44)。

図42 アプリケーションをブロックすると、アプリケーションは起動できても通信はブロックされる

図43 事前に通信設定を行なう場合は、設定から「ネットワーク」→<アプリケーション通信制御>とクリックして開き、<アプリケーション>タブの<追加>ボタンをクリック

図44 ダイアログが起動したら、<参照>ボタンでアプリケーションの実行ファイルを選択し、「新しい接続試行に対する処理」セクションでアウトバウンドおよびインバウンドの動作を選択する