 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Firewall製品紹介 > SoftPerfect | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Firewall製品紹介 > SoftPerfect | |||||
今時ちょっと珍しい純粋なパケットフィルタ型のPersonal FirewallがSoftPerfect社からリリースされたので紹介しよう。Downloadはhttp://www.softperfect.com/products/firewall/から行う。対応するOSはWindows 95, 98, ME, NT, 2000, XP, 2003。試していないけどPersonalながらServerでも動くようだ。
主な特徴は下記のとおり(SoftPerfect社の紹介内容によると)
これでは判り難いので筆者が付け加えるとすると
ということになる。では早速インストールする。インストールは特徴のところにあるように特別な設定や指定は無く終了する。
最初に起動したときに既定値ルールを利用するか?のダイアログが表示される。ここでは何も指定していないが、DHCP,E-Mail,WWWくらいは選択してもいいと思う。当然ここで選択しなくても、後からルール作成できるので選択は必須ではない。また既定値ルールの編集も可能なのでサンプルとしてどれかを選んでおくのがよいだろう。
では画面を開いてみよう。画面はごく普通の画面構成で、上にメニューバーとボタンがあり、左のツリーが各種画面選択で、右に各画面が表示される。
メニューボタンは左から[保存ルールの適用」、「ルールの保存」、「既定値ルールの適用」、「オプション設定」、「MACアドレス登録」、「学習モードの設定」となっている。隠れているボタンがありSoftPerfectのサイト表示とHelpが「>>」を押すと現れる
画面選択のツリーと内容は下記のようなかんじ。では肝心のルールの設定について。既定値ルールからDHCP,WWW,NetBiosを設定したときの画面。
ルール一覧にルール名と簡単なサマリーが表示される。左端のチェックボックスに〆が付いているルールは有効。□は無効である。ルール一覧の下に「Add:ルールの追加」、「Modify:ルールの変更」、「Remove:ルールの削除」のボタンがある
ルールを作成するには「Add」ボタンを押す。ここでは既に登録済みのWWWのルールをModifyで見ることにする。当然新規作成も同じ要領となる。ルール作成は4つの画面から構成されているので順に見ていく。
上から順に
「ルール名」
「許可/遮断の設定」
「方向」
「プロトコル」
「適用インターフェイス」
となっている。
ルール名は自分でわかりやすい名前をつければよい。
許可/遮断の設定はPass:許可、Reject:遮断である。
方向はincoming:外部→内部、Outgoing:内部→外部、Either:内部←→外部である。
方向がステートフルでない(ステートレス)ことに注意が必要。
ステートフルなFirewallだとブラウザなどはOutgoingの80ポートを許可すればよいが、ステートレスなのでEitherの相手先80ポートとなる。またはOutgoingの相手先80ポートとIncomingの相手先80ポートの対とする。
プロトコルはTCP.UDP,ICMP,TCP&UDP,指定なしが選択できる。
この製品は複数NICに設定画面から対応しているので適用するNICを選択できるのが特徴。筆者の接続環境であるRouter兼WebサーバのようなNAT機能を持った構成でも対応できる
次は発信元に相当するSourceアドレス&ポートの設定
発信元のIPはは
「自PC」
「特定のホスト名」
「単一IP」
「IP範囲」
「指定なし」
から選択する。残念なことにIP範囲を指定するときに画面表示が欠けているので、最後のオクテットの内容が表示されない。めくら打ちで入力するしかない(ルールをExportして編集するという方法もあるので「その他の情報」を参照のこと)。
発信元ポートは
「指定なし」
「単一ポート」
「ポート範囲」
「ポートリスト」
から選択する。
相手先に相当するDestinationのアドレスとポートの設定。画面はSourceとまったく同じ
指定する内容はSourceと同じなので説明は省略。画面はポートリストを選択したときの画面。指定するポートを「Add」ボタンをクリックして一個一個入力する。WWWの既定値ルールにはご覧のように80,81,82,82・・・とたくさんのポートが指定してある。筆者は好みで80,443だけに限定して使用している。
最後のAdvancedはICMPやログなどの設定
最初の「General」でプロトコルにICMPを選択していると「Eanble Advanced ICMP〜」が選択できる。ここにチェックを入れると下の一覧から設定したいICMPのタイプが選択可能となれる。TCPやUDPの時には当然ICMPタイプの選択はできないようになっている。
その下には「信頼するMACアドレスだけルールを適用する」、「ルールの適用時にログを出力する」がある。
では学習モードをONにしてFTPクライアントを立ち上げてみよう
このようなダイアログが表示される。接続相手先のIPやポート番号が表示されているのがわかる。その下には遮断/許可/ルール作成のボタンが並び、最後に学習モードをOFFにするチェックボックスがある。
ルール作成ボタンをクリックすると上記のルール作成画面が起動される。シンプルな画面だが必要な情報は表示されているので問題は無い。
ステートレスなFirewallなので当然アプリケーション名やパスといった情報は無い。学習モードのOFFはここ以外にもメニューボタンの「Learning mode」から変更も可能。OFFにすると未定義のパケットがあっても、このダイアログは出てこなくなる。
左側は設定画面をパスワード保護するか?の設定で、「Enable〜」にチェックを入れて「Access Password」のところにパスワードを設定すると、次回設定画面を起動したときにパスワードの入力が必須となる。右側は「Windows起動時にスタートする」のチェックボックスとログの設定。ログは「未定義の通信をログに出力する」と「Firewallのシステムイベントをログに出力する」、ログのサイズとなっている。
左側のメニューツリーからFirewall logを選ぶとログが表示される。ステートレスなので内容は簡単。でも複数回同じ内容の出力はxxtimesとログを省略してくれるのでありがたい
ログの表示行をクリックすると詳細が表示される。
詳細といってもログの内容をダイアログで表示するだけなのだが、左の例ではSourceIPとDestIPが表示されているのがわかる。ただしアンマッチルールのログはポート番号まで出力されないので少し不満だ。
ここではバージョンの情報が表示されるくらい。あまり意味は無い
・ルールをExport(Save)
- <rule name="NetBIOS" active="1" action="1" direction="2" protocol="5" interface="0" enable-process-icmp="0" enable-trusted-mac="0" enable-log="0">
<ip-source-address type="0" address-1="0.0.0.0" address-2="0.0.0.0" />
<ip-source-port type="0" count="0" />
<ip-destination-address type="2" address-1="192.168.1.1" address-2="192.168.1.255" /> ←ここが画面では見えないので編集後Load Ruleするとよい
- <ip-destination-port type="3" count="5">
<port>135</port>
<port>137</port>
<port>138</port>
<port>139</port>
<port>445</port>
</ip-destination-port>
- <process-icmp> ←ここからはICMP関係のルール.TCPやUDPのときは無視してよい
<destination-unreachable>False</destination-unreachable>
<echo-reply>False</echo-reply>
<echo-request>False</echo-request>
<information-reply>False</information-reply>
<information-request>False</information-request>
<parameter-problem>False</parameter-problem>
<redirect>False</redirect>
<source-quench>False</source-quench>
<ttl-expired>False</ttl-expired>
</process-icmp>
</rule>
以上、簡単な説明だが必要にして充分。ログには不満が残るがPktFilterの代替に考えてもよさそうな製品だと思う。