| Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
Allow to Listen TCP Ports |
any |
listening port |
|
|
|
| accept |
Allow to Listen UDP Ports |
any |
listening datagram |
|
|
|
| インターネットに接続するアプリケーションが、使用する各待ち受けポートの開閉を行います。 |
| accept |
Allow DNS requests |
TCP/IP |
send datagrams |
|
[Any adress] |
[nameserver]:[53] |
| accept |
Allow DNS requests |
TCP/IP |
receive datagrams |
|
[Any adress] |
[nameserver]:[53] |
| プロバイダのDNSサーバーとの交信です。特にIPアドレスを設定する必要はないようです。 (*1) |
| accept |
Allow System Applications |
any |
access to network |
winlogon,lsass,csrss,service,svchost 等 |
|
|
| 各種サービス等のシステムアプリケーションの起動許可。 |
| accept |
Allow DHCP request |
TCP/IP |
send datagrams |
\service.exe |
[Any adress]:[68] |
[local network]:[67] |
| accept |
Allow DHCP request |
TCP/IP |
send datagrams |
\service.exe |
[Any adress]:[68] |
[255.255.255.255]:[67] |
| accept |
Allow DHCP reply |
TCP/IP |
receive datagrams |
\service.exe |
[Any adress]:[68] |
[local network]:[67] |
| accept |
Allow DHCP request |
TCP/IP |
send datagrams |
\svchost.exe |
[Any adress]:[68] |
[255.255.255.255]:[67] |
| accept |
Allow DHCP reply |
TCP/IP |
receive datagrams |
\svchost.exe |
[Any adress]:[68] |
[local network]:[67] |
| DHCPの取得、マルチキャスト。 |
| accept |
Allow Windows Update |
TCP/IP |
outbound connection |
\svchost.exe |
[Any adress] |
[-- windows.com --]:[80] |
| accept |
Allow Windows Update |
TCP/IP |
outbound connection |
\svchost.exe |
[Any adress] |
[-- windows.com --]:[443] |
| Windows Update 時の PC の情報送信処理。アドレスは多少変更の場合あり。 Update 時のみ仮の許可ルール作成でも充分。 (*2) |
| IP ルール |
| Action |
Description |
Protocol |
Event |
Source |
Destination |
Misc |
| accept |
Allow DHCP request |
UDP |
outgoing packet |
[Any adress]:[68] |
[255.255.255.255]:[67] |
|
| accept |
Allow DHCP reply |
UDP |
incoming packet |
[Any adress]:[67] |
[255.255.255.255]:[68] |
|
| DHCPマルチキャスト。 ※ DHCP reply は Source port [68], Destination Port [67] が適当なようです。 |
| reject |
Drop Bad Packet |
any |
any |
[Any adress] |
[Any adress] |
Checksum:Invalid |
| reject |
Deny All Fragmented Packets |
any |
any |
[Any adress] |
[Any adress] |
Fragment:Yes |
| チェックサムエラーが発生したり、細分化したりした異常なパケットの破棄。 |
| reject |
Deny TCP w/o flags (NULL scan) |
TCP |
any |
[Any adress] |
[Any adress] |
TCPフラグ:すべてoff |
| 不正侵入時に使用されるパケット(Null scan)の破棄。 |
| reject |
Deny TCP with flags FIN PSH URG (Xmas scan) |
TCP |
any |
[Any adress] |
[Any adress] |
TCPフラグ:FIN/URG/PSH on |
| 不正侵入時に使用される FIN/URG/PSH フラグパケット(Xmas Tree)の破棄。 |
| accept |
Allow outgoing DNS |
UDP |
outgoing packet |
[local adress] |
[name server]:[53] |
|
| accept |
Allow incoming DNS |
UDP |
incoming packet |
[name server]:[53] |
[local adress] |
|
| DNS サーバーとの DNS パケットの送受信を許可。 |
| accept |
Allow ICMP Ping |
ICMP |
incoming packet |
[any] |
[any] |
ICMP type:Echo Reply (0) |
| accept |
Allow ICMP Ping |
ICMP |
outgoing packet |
[any] |
[any] |
ICMP type:Echo (8) |
| accept |
Allow incoming ICMP Unreachable |
ICMP |
incoming packet |
[any] |
[any] |
ICMP type:Destination Unreachable (3) |
| accept |
Allow incoming ICMP Time Exceeded |
ICMP |
incoming packet |
[any] |
[any] |
ICMP type:Time Exeeded (11) |
| ICMP の各対応パケットの送受信を許可。 |
| accept |
Stateful UDP Inspection |
UDP |
any |
[any] |
[any] |
Stateful Inspection : on |
| accept |
Stateful TCP Inspection |
TCP |
any |
[any] |
[any] |
Stateful Inspection : on |
| 通過するパケット間に矛盾が発生していないデータを許可する。ステートフルインスペクションについては、この あたりを参照。 |
| accept |
incoming UDP broadcasts |
UDP |
incoming packet |
[any] |
[broadcast adress] |
|
| Windows のマルチキャストです。ログを確認しながら、適宜 Accept/Reject に設定をしてください。 |
| Protocol ルール |
| Action |
Description |
Protocol |
Event |
Source |
Destination |
Misc |
| accept |
Allow ARP requests |
ARP |
any |
|
|
|
| ARP のブロードキャスト、Gateway からの応答等を許可。 |
| accept |
Enable 802.1x (needed for Wi-Fi in WPA mode) |
802.1x |
any |
|
|
|
| RADIUSサーバを利用し、無線LANの認証を行うプロトコルの許可。 |
Windows XP の場合、以上のようなルールがファイアウォールの導入時に作成されます。(ver:1.0.1.61)
これらのルールのファイアウォールのもとで、初回の再起動を行うと、各自の環境で常駐使用しているアプリケーションについて、access to network のポップアップがいくつか出てきます。またインターネットに既に接続されている場合には、回線接続をおこなおうとするアプリケーションから、または、外部からの接続要求によって、ポップアップがいくつか出てきます。
access to network 以外のポップアップはとりあえず reject します。
Windows Update でセキュリティ関連の更新の適用(を安全におこなうための準備) |
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| reject |
Deny other DNS(TCP in) |
TCP/IP |
inbound connection |
|
[any] |
[any]:[53] |
| reject |
Deny other DNS(UDP in) |
TCP/IP |
receive datagram |
|
[any] |
[any]:[53] |
| reject |
Deny other DNS(UDP out) |
TCP/IP |
send datagram |
|
[any] |
[any]:[53] |
|
他の DNS サーバへのアクセスを拒否。外部からのDNSアクセスも拒否。
ただしデフォルトの DNS 許可ルール(*1)の下に設定してください。
|
| reject |
Deny port 135(DCOM scm) |
TCP/IP |
any |
(\svchost.exe) |
[any]:[135] |
[any] |
|
DCE endpoint resolution 拒否。とりあえず inbound conection だけでも可。アプリケーションの指定なしのほうがいいかも。
|
| reject |
Deny port 445(microsoft-Directry Service) |
TCP/IP |
any |
(System) |
[any]:[445] |
[any] |
|
Microsoft-DS 拒否。とりあえず inbound conection だけでも可。
|
| reject |
Deny port 137-139(NetBIOS) IN |
TCP/IP |
inbound connection |
|
[any]:[137:139] |
[any] |
| reject |
Deny port 137-139(NetBIOS) IN udp |
TCP/IP |
receive datagram |
|
[any]:[137:139] |
[any] |
| reject |
Deny port 137-139(NetBIOS) OUT |
TCP/IP |
outbound connection |
|
[any] |
[any]:[137:139] |
| reject |
Deny port 137-139(NetBIOS) OUT udp |
TCP/IP |
send datagram |
|
[any] |
[any]:[137:139] |
|
NetBIOS 拒否。ファイル・プリンタ共有の場合(UDP137-138)(TCP139)にはアドレス指定の許可ルールを設定する。
|
| reject |
Deny port 1028-1030 |
TCP/IP |
receive datagram |
(\svchost.exe) |
[any]:[1028:1030] |
[any] |
|
いろいろ拒否。この辺はアクセス拒否のログから、ルール設定を検討する。 |
|
IP ルール |
|
Action |
Description |
Protocol |
Event |
Source |
Destination |
Misc
|
| reject |
port 135(DCOM scm) |
TCP |
incoming packet |
[Any adress] |
[Any adress]:[135] |
|
|
Stateful Inspectionで Drop されたものをすべて reject していれば必要ないルールですが、アクセス拒否のログが煩雑になるのを防ぐため、適当にルールを作成して、ログ出力を調整します。80,139,445,1025,1433(TCP), 137,1434(UDP)などを対象に同様のルールを作成してみましょう。(Stateful Inspection ルールより下に設定するのが適当です) |
基本的にルールに該当しないパケットは、最終的に拒否あるいは、ask user で対処するので、ある程度危険なPortを塞いだら、あとはログを検討したり、アプリケーション単位でのルールとの関連で追加していくことになります。
以上で、インターネットにある程度安全にアクセスできるような、ファイアウォール定義の環境設定は一段落です。次にアプリケーション単位のルール設定です。Windows Update を行う前にインターネットエクスプローラのセキュリティ設定を再確認しておきましょう。特にアクティブスクリプト等の設定に関しては、めんどうでも極力ユーザ問い合わせの設定にしておいたほうがよいと思います。
最初に起動したときに自動作成されたルールによって、システムプログラム等が、想定外の動きをする可能性がありますので、Ask User と Process Atack Table にたまっている不要なルールをすべて削除しておきます。(使えそうだと判断できるルールはもちろん、そのまま残しておいていいです。)
そしてルールセット (Optimal Protection) の保存とできればシステムの再起動も行います。
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\IExplore.exe |
|
|
|
定番というかおきまりの起動を許可するルールです。 |
| Web Browser |
Internet Explore |
TCP/IP |
outbound connection |
\IExplore.exe |
[any]:[1024:4999] |
[any] |
|
インターネットエクスプローラの標準的なアクセスの許可。 |
|
Protocol ルール |
|
Action |
Description |
Protocol |
Event |
Source |
Destination |
Misc
|
| accept |
Enable PPPoE Packet |
PPPoE session |
any |
|
|
|
|
PPPoE plotocol によるデータの送受信を許可。 |
インターネットエクスプローラ単体で Port 単位に設定することもできますが、ここでは、導入時に用意されているブラウザ用のプリセットテーブルを利用します。これでプリセットテーブル内に定義されているport 80,443 へのアクセスが可能となりました。
なおプリセットテーブル内にも access to network ルールがあるので、当然利用できますが、テーブルへのジャンプする条件を限定したりする場合が多い(アクセス条件をできるだけ限定したほうがセキュリティ上望ましい)ので、 access to network はテーブル外で処理します。
これで Windows Update が可能です。ただし、svchost の Windows update サイトへのアクセスルール(*2)でIPアドレスの設定が違っている場合、ポップアップの問い合わせがありますが、許可していいでしょう。
以上で、特定のアプリケーションに対応したルールの設定作業は完了です。access to network とアプリケーションに対応した port に対するアクセス定義ルール(複数ある場合が多い)の組み合わせで個々のプログラム用ルール設定は完成します。
ブラウザとして動作するものなら、全く同様ルールの作成を行うことで、動作可能となります。(FireFox,Opera,2chブラウザ等)
|
Action |
Description |
Protocol |
Event |
Application
|
Local |
Remote |
| Web Browser |
Opera |
any |
any |
\Opera.exe |
|
|
これで充分動きますが、さきほども述べた理由(セキュリティ上の)や、複数のアプリケーションで共通テーブルを使う場合の、テーブル保守時の誤りを極力へらすという意味から、
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\Opera.exe |
|
|
| Web Browser |
Opera |
TCP/IP |
outbound connection |
\Opera.exe |
[any]:[1024:4999] |
[any] |
のような形式のほうをお勧めしておきます。
作成したルールの有効性は、Activityの項目の点滅や、アクセスログ(出力指定している場合)ですぐに確認できます。
いくつか具体的な定義例をあげておきます。
Web Browser テーブルに、
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
Allow RTSP |
TCP/IP |
outbound connection |
|
[any]:[1024:4999] |
[any]:[554] |
| accept |
Allow MMS |
TCP/IP |
outbound connection |
|
[any]:[1024:4999] |
[any]:[1755] |
のようなアクセスパターンを追加します。
さらに、Windows Media Player のルールをブラウザと同様に定義します。
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\Wmplayer.exe |
|
|
| Web Browser |
Windows Media Player |
TCP/IP |
outbound connection |
\Wmplayer.exe |
[any]:[1024:4999] |
[any] |
ストリーミング動画等に対応可能です。(場合によっては、より上位の port を使用している場合もあります)
FTP Cliant のプリセットテーブルとダウンローダ(irvine)を組み合わせて、
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| FTP Cliant |
iRvine FTP (IN) |
TCP/IP |
outbound connection |
\irvine.exe |
[any]:[1024:65535] |
[any]:[20] |
| FTP Cliant |
iRvine FTP (OUT) |
TCP/IP |
outbound connection |
\irvine.exe |
[any]:[1024:65536] |
[any]:[20:21] |
| Web Browser |
File Download Manager |
TCP/IP |
outbound connection |
\irvine.exe |
[any]:[1024:4999] |
[any] |
カテゴリ分類や、新たなテーブルの作成は自由に行えるので、簡単にメンテナンスができる、あるいはルールの編集ミスやセキュリティ上の穴ができにくい形を工夫して、ルール編成を試行錯誤してみてください。
また、ルールセットはデフォルトで Optimal Protection, Allow all, Block all の3つの構成が用意されています。
Optimal Protection を別名で保存(save as)"SimpleRule.bcf" → 読み込み(Open) → ルールセットの名前変更(Rename)"SimpleRule" → 保存(Save) → アンロード(unload policy) で完全に別なルールセットのファイルができます。これを読み込んで無駄なものを削った、簡単なルールに編集して、そのルール環境下で動作の把握が難しいプログラムを試すなどといった、ルールセットの追加運用等も可能です。
メニューから Configuration Wizard を起動すると、インストール時に行った Trasted Zone, Blocked Zone の設定ができます。
Trasted Zone にプライベートアドレス 192.168.0.0/24 を設定したり、Blocked Zone にClass A や Class B (10./8 172.16./12)等を設定して、アクセス制御を行い、セキュリティレベルを高めたり、ルールの簡素化を図ることもできます。
適当にルール追加。実際に日常的に使用しているものや、試験的に動作確認しただけのものなどいろいろです。参考にしてください。
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\Thunderbird.exe |
|
|
| accept |
Thunderbird send Mail |
TCP/IP |
outbound connection |
\Thunderbird.exe |
[any]:[1024:4999] |
[smtp server adress]:[25] |
| accept |
Thunderbird receive Mail |
TCP/IP |
outbound connection |
\Thunderbird.exe |
[any]:[1024:4999] |
[pop3 server adress]:[110] |
|
access to network,in,out の3ルールを設定します。メールサーバのアドレスは、このルールを一時的に無効にしてメールクライアントを動作させれば、ポップアップから取得できます。
|
| Mail Cliant |
|
any |
any |
\Thunderbird.exe |
|
|
|
のように定義して、プリセットの Mail Cliant のテーブルを利用しても同様です。ただしテーブル内のアクセスルールのメールサーバのアドレスの設定はしたほうがよいでしょう。また IMAP やセキュアな接続(SSL)が必要なサーバ等にたいしては、
|
| accept |
Allow IMAP |
TCP/IP |
outbound connection |
|
[any]:[1024:4999] |
[IMAP server adress]:[143] |
| accept |
Allow IMAP4 |
TCP/IP |
outbound connection |
|
[any]:[1024:4999] |
[IMAP4 server adress]:[993] |
|
のようなルールをテーブルに追加する必要があります。
|
|
NTP(Network Time Protocol)サーバへの接続ルール
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
Windows Time |
TCP/IP |
send datagram |
\svchost.exe |
|
[time.windows.com]:[123] |
| accept |
Windows Time |
TCP/IP |
receive datagram |
\svchost.exe |
[any]:[123] |
[time.windows.com]:[any] |
|
Windows Time サービス等で使用。他の時刻同期用のソフトでも同様な設定で。(ローカルポートは使用ソフトによって違ったりする)サーバは time.windows.com(207.46.130.100) より ISPなどの NTP サーバを指定したほうがよいでしょう。
|
|
ウイルス定義のアップデート、アドウェア対策ソフトのアップデートルール
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
アップデートプログラム |
|
|
| accept |
Virus Definition Update |
TCP/IP |
outbound connection |
アップデートプログラム |
[any]:[1024:4999] |
[update server adress]:[80] |
|
ウィルス対策ソフト、スパイウェア対策ソフトの自動アップデート。通常 HTTPポート(80)にアクセスします。Web Browser テーブルを利用しても可。
|
|
ローカルプロクシ(Proxomitoron等)のルール
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\Proxomitron.exe |
|
|
| Web Browser |
Allow Local Proxy |
TCP/IP |
any |
\Proxomitron.exe |
[any]:[1024:4999] |
|
|
通常のブラウザと同じ動作をします。
|
| accept |
Access to Local Proxy |
TCP/IP |
any |
ブラウザプログラム |
[any]:[1024:4999] |
[localhost adress]:[定義 port] |
|
Local Proxy を利用するプログラムのルール。Trasted Zone にアドレス定義してあれば不要。
|
| accept |
Allow Active API Server |
TCP/IP |
outbound connection |
|
[any]:[1024:4999] |
[any]:[3128] |
| accept |
Allow Proxy |
TCP/IP |
outbound connection |
|
[any]:[1024:4999] |
[any]:[8080:8081] |
|
またLocal Proxy ルールとは別に、Web Browser テーブルに Proxy 経由でのアクセス用のルールが必要になる場合があります。
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
FTP クライアントプログラム |
|
|
| accept |
control channel |
TCP/IP |
outbound connection |
FTP クライアントプログラム |
[any]:[1024:65535] |
[any]:[21] |
| accept |
ACTIVE mode data channel |
TCP/IP |
inbound connection |
FTP クライアントプログラム |
[any]:[1024:65535] |
[any]:[20] |
| accept |
PASSIVE mode data channel |
TCP/IP |
outbound connection |
FTP クライアントプログラム |
[any]:[1024:65535] |
[any]:[1024:65535] |
|
FTPクライアントのルールです。FTP Cliant のプリセットテーブルを利用でも可。
|
| accept |
Application Layer Gateway |
TCP/IP |
any |
\alg.exe |
[any]:[1024:65535] |
[any]:[1024:65535] |
|
FTP接続時に必要なシステムアプリケーションです。
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\msnmsgr.exe |
|
|
| accept |
Allow Application Sharing and Whiteboard |
TCP/IP |
outbound connection |
\msnmsgr.exe |
[any]:[1024:9000] |
[any]:[1503] |
| accept |
Allow msnp |
TCP/IP |
outbound connection |
\msnmsgr.exe |
[any]:[1024:9000] |
[any]:[1863] |
| accept |
Allow Remote Assistance |
TCP/IP |
outbound connection |
\msnmsgr.exe |
[any]:[1024:9000] |
[any]:[3389] |
| accept |
Allow File Transfer |
TCP/IP |
outbound connection |
\msnmsgr.exe |
[any]:[1024:9000] |
[any]:[6891:6900] |
| accept |
Allow Media port |
TCP/IP |
outbound connection |
\msnmsgr.exe |
[any]:[1024:9000] |
[any]:[7001:7007] |
| accept |
Allow RTP send |
TCP/IP |
send datagram |
\msnmsgr.exe |
[any]:[1024:65535] |
[any]:[5004:65535] |
| accept |
Allow RTP receive |
TCP/IP |
receive datagram |
\msnmsgr.exe |
[any]:[1024:65535] |
[any]:[5004:65535] |
|
MSN Messengerのルールです。
|
|
P2P アプリケーションのルール(例:Skype)
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
access to network |
\Skype.exe |
|
|
| accept |
Skype Listenning port |
TCP/IP |
receive datagram |
\Skype.exe |
[any]:[開放ポート番号] |
[any]:[1024:66535] |
| accept |
Skype In (TCP) |
TCP/IP |
inbound connection |
\Skype.exe |
[any]:[開放ポート番号] |
[any]:[1024:66535] |
| accept |
Skype Out (UDP) |
TCP/IP |
send datagram |
\Skype.exe |
[any]:[1024:66535] |
[any]:[any] |
| accept |
Skype Out (TCP) |
TCP/IP |
outbound connection |
\Skype.exe |
[any]:[1024:66535] |
[any]:[any] |
|
P2P アプリケーション一般的なルールです。UDP データを使用しないものは、UDP ルールは不要です。
|
|
Protocol ルール |
|
Action |
Description |
Protocol |
Event |
Source |
Destination |
Misc |
| accept |
Non Stateful Packet(in) |
TCP |
incoming packet |
[any]:[any] |
[local adress]:[開放ポート番号] |
Stateful inspection:off |
| accept |
Non Stateful Packet(out) |
TCP |
outgoing packet |
[local adress]:[開放ポート番号] |
[any]:[any] |
Stateful inspection:off |
|
Peer 相互の接続処理時に一部 Stateful Inspection で Drop されるパケットがあるようです。適宜ルールを追加してください。 |
※なかには怪しげなルールも混じっています。参考にする場合は自己責任で。
[参考] Local Loopback を制限するルール。
トロイやスパイウェアによる、意図しない外部との通信等の
不測の事態を早期に発見できるように、 Loopback 制限ルール設定しておきましょう。
初期設定での Local Adress 内 (127.0.0.1)での通信は、Application Trusted Zone テーブルでのルール
(Aplication Table 内) で無条件で accept されています。このテーブル内に制限ルールを記述すれば、
比較的簡単に処理できるでしょう。
※但し Configuration Wizard で Trusted Zone 内に Local Adress (127.0.0.1) が定義されていない場合は、
この限りではありません(通常の一般アドレスと同様の扱いで、ルール作成を行えます)。
上記、ローカルプロクシ(Proxomitoron等)のルール参照のこと。
|
Application Trusted Zoneのルール
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
|
any |
any |
|
|
|
初期ルールはこれだけです。チェックをはずして無効にしておきましょう。
チェックを戻してルールを有効にすると、
以下に設定した Loopback 制限ルールが無効になります。
|
|
追加する Loopback 制限ルール (Application Trusted Zone 内)
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
Allow !outbound connection |
TCP/IP |
!outbound connection |
|
[any] |
[any] |
| accept |
Allow Rmote !127.0.0.1 |
TCP/IP |
outbound connection |
|
[any] |
[!127.0.0.1] |
制限対象外のパケットを許可します。(1) TCP の outbound 以外を全許可。 (2) Remote:127.0.0.1 以外のパケットは全許可。
それぞれ match inverted の項目にチェックをいれて、設定した項目「以外」を指定していることに注意。
|
|
ローカルプロクシ(Avast Web フィルター等)を使用するアプリの許可ルール (Application Trusted Zone 内)
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
IE thru Avast |
TCP/IP |
outbound connection |
\iexplore.exe |
[any] |
[local adress][12080] |
| accept |
Opera thru Avast |
TCP/IP |
outbound connection |
\Opera.exe |
[any] |
[local adress][12080] |
| accept |
Jane thru Avast |
TCP/IP |
outbound connection |
\Jane2ch.exe |
[any] |
[local adress][12080] |
Avast4 のWeb フィルタを使用するブラウザ定義の例です。許可するブラウザを列挙しておきます。
Remote Adress [local asress (127.0.0.1)][対象ポート] を使用
するローカルプロクシに対応して指定します。
複数のプロクシを使用したり、多段使用を定義 (このテーブルでは Local Adress 内の outbound 側を定義) 可能です。
ローカルプロクシとして動作するアプリについては、ローカルプロクシ(Proxomitoron等)のルールの項目を参照して下さい。
|
|
その他(Proxomitoron,メールチェッカー等)のアプリの許可ルール (Application Trusted Zone 内)
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| accept |
Access to Local Proxy |
TCP/IP |
any |
ブラウザプログラム |
[any] |
[local adress]:[定義 port] |
|
Proxomitron を利用するプログラムのルール。わかりやすく、こちらに移動しましょう。
|
| accept |
Thunderbird Thru Avast(SMTP) |
TCP/IP |
outbound connection |
\Thunderbird.exe |
[any] |
[local adress]:[10025] |
| accept |
Thunderbird thru Avast(POP3) |
TCP/IP |
outbound connection |
\Thunderbird.exe |
[any] |
[local adress]:[10110] |
メールクライアントをAvast メールフィルター経由で動作させます。許可ルールのパターンはみんな同じです。
Remote 側の Port 指定をそれぞれ対応アプリのものに。
フィルターとして動作するアプリについては、メールクライアントのルールの項目を参照して下さい。
|
|
上記以外の Local Adress (127.0.0.1) に対するアクセスの禁止ルール
|
|
Action |
Description |
Protocol |
Event |
Application |
Local |
Remote |
| reject |
Block outbound to Local adress |
any |
any |
|
|
|
最後に全拒否して、 Local Loopback を制限するルールの完成です。
もちろん利用プログラムが確定していない段階では ask で問い合わせポップアップをだすように
設定しておくとよいです。
Local Loopback を利用したタスク間の同期や情報の交換を行うアプリケーションも少なくないようです。
一括で Loopback をブロックしてしまうとこうしたアプリケーションの動作異常が発生しますので、そのような場合
は使用ポート単位での禁止ルール等で対処することになります。
|
以上です。一見複雑に感じますが、原理は簡単です。Trusted Zone で無条件許可されているパケットのなかから、リモートアドレス 127.0.0.1 への TCP パケットを
抽出しておき、最後のルールによる問い合わせに従って許可ルールを適用/作成しているだけです。Trusted Zone からこのアドレスをはずしても処理できますが、他のプロトコルの分、inbound の処理等煩雑になります。
メンテナンスの容易さからも、非常に簡便な方法だと思います。
Local Loopback の制限は、コードインジェクションやスパイウェアの活動等を早期に発見対策するのに役にたちますが、既に悪質なコードの侵入を許していることに変わりはありません。
当然ですが、ファイアウォール単体ではセキュリティ対策を充分に行うことはできません。
[参考リンク]
公式: http://www.jetico.com/jpfirewall.htm
Wiki: http://www2.pf-x.net/~lazydog/orewiki/pukiwiki.php?Jetico%20Personal%20Firewall
Security Stuff: http://itsec.commontology.de/
Firewall & Forest: http://eazyfox.homelinux.org/index.html
Inspired by TPF & Kerio Rules
環境変数チェック
視認性テスト 難読漢字
(第一水準)
員鴛夏駕鴬嘉夏寡馨劃獲橿 撞瞳童篤毒曇嚢膿農輩買薄曝
竃慣環贋喜貴亀虐彊蕎響驚薫 爆縛肇髪繁藩費鼻賓富膚葺覆
慶警撃憲賢碁膏轟債鷺纂讃賛 奮糞雰弊瞥箆募墓慕暮簿烹豊
餐暫資事璽襲讐署書薯償嘗菖 鳳帽房墨摩磨魔幕慢漫蔓霧鵡
賞醤醸腎誓青責蹟薦遷叢倉層 蒙貰鑓癒優憂誉傭庸養翼欄藍
曹槽漕蒼遭尊鷹奪壇檀置寵賃 蘭覧裏慮虜糧量零霊櫓露婁篭
漬蔦堤鄭填電董蕩謄騰闘導憧 聾鷲藁〓〓〓〓〓〓〓〓〓〓
(第二水準)
僂僖價僵儂儔儼儻冀冑冓冕冪 蓴蔔蕘蕈蘂薈薑薨蕭薔薛藪蕾
凛勸匱厦簒曼燮單嗄嗜嗔嘖噎 薐薺薹藝藹藾藺蘆蘢蘰蘿蠣蟾
營嚆嚊嚔嚏嚴囂嚼囁囈囎囑囓 蠖蠢蠡蠱蠶蠹蠧蠻袤裹褄襃襄
圓團圖圜墅墫墮壓壜壤壟壹壼 褻褸覈覺覽覿詈謇謦譫譽讀讒
壽夐奠寢寞寰寶寳巉巖廈廛廩 貲貳賈賣賚賽贄贅贊贇贏贍齎
廬彙悳恚惷慝慵憙憬憊懃憺懍 贔贖躔躪輦轂邊邉扈醫醺釁釐
懼懾戛戲拿擔掣搴搆攝摯摶攪 鏨鐔鑢鑪钁鑿閹闃闍闔闖闡闥
擒擅擘擧舉擠擡擣擯攬擶擴擲 隲霓霎霏霙霤霪霰霽霾靄靆靈
擺攀擽攘攜攅攤攣攫數晝晨暈 靂靠靨鞏齏顫顰餮饕駑驀驢驥
曁暹霸梟檮棊樌橲檐檳檬櫑蘖 驤驩驫驪髏髑髓體髴鬘鬚鬟鬢
欖鬱殯滬濾瀛瀘熏燻熹爐爨牘 鬣鬮魍魘鯊鰲鱚鱠鱧鱶鱸鳧鳬
犢犧獸獻瓊甕甓畧畫疆疊疉疂 鴦鶯鶩鶺鷆鷏鷙鷸鷽鸞麈麋麌
瘍瘧瘡瘰瘻癘癢癨癩癪盧蘯眞 麕麑麝黌黨黶黷鼇鼈鼕齧龕龜
睿瞽瞻矍矗矚礦礪磚稟禀稾窘 龠褜兤厲甯寘寬嶹巐暿曺渹濵
竈窰窶竅竇篝簑簔籠簀篳簍篶 瀇燾罇蕓蕙蕫薰蘒詹誾譿贒遧
簣簧簪簟簷簫籌籔籤籖籥籬粤 鏆鏞鏸隯霳霻靃靍靏纊褜兤厲
鬻纜罌罍罎羃羣羲羹羮羶羸譱 寘寬嶹巐暠曺渹濵瀇燾獷璟蕓
耆耄耋聟聶胄脣膽臀膺臚臺舅 蕙蕫薰蘒詹誾譓譿贒遧〓〓〓
舊艫菁菷萇萼蕚葷蒹蒿蓍蓐蓁 〓〓〓〓〓〓〓〓〓〓〓〓■
[2006/02/15]
