Firewallと森で遊ぼう(Firewall：ZoneAlarm4)

・どんなことしてんのかな？

簡単な技術解説です。Helpのある内容をかいつまんで説明します。
内容を完全に理解しているわけではないので、間違っていたら指摘してください。お願いいたします。

機能	内　　　　容
MailSafe	IloveyouのようなVBSをつかったemailウィルス（ワーム）が勝手にメールを送ったりするのを防ぐ機能。添付ファイルの拡張子を変えることでメールを開いたときに自動実行されるのを防ぐ。
PortBlock	使っていないポートにインターネットからアクセスがあってもブロックする機能。使用すると定義されたポート以外は全てBlockする。
IdlePortBlock	IEやメーラーなどで使うと定義してあるポートでもIEやメーラーが起動していないときには、そのPortにきたアクセスは拒否する機能
StealthMode	PingやSynのパケットが飛んできてもDropして(無視して)送り先にはPCが起動していないかのように見せる機能。
ServerPermissions	Programsの設定でAllowServerの設定がなされたProgramだけに外からの接続要求を受け入れる。トロイの木馬が仕組まれてもProgramｓで設定していなければ外部からの接続は許されない
FileShare&ServiceControl	Windowsでファイル共有やドメインなどの情報をやり取りするNetBIOSを許可しない外部のPCから受け付けないようにする（または要求を無視する）

主な機能は上記のような内容でしょうか？最近流行りのIloveYouのようにOutlookのアドレス情報から勝手にメールを送るような不正スクリプトにも対応していますね。
必要のないポートは塞がれているようですし、外部からのアクセスにはステルスモードもあるようなので、ある程度は安心して使えるかなと思います。まぁ何事にも完璧というものは存在しないので、現状で得られるものの中では最上級かなと判断しています。
Windowsのファイル共有などにつかうNetBIOSへの不正アクセスは、通常ダイヤルアップアダプタのTCP/IPの設定で「ファイル共有はしない」になっているはずですが、この設定を確認できるくらいの知識をもっていないユーザーもたくさんいらっしゃる訳で、こんなブロック機能も必要なんですね。
たしかにWindowsのネットワークコンピュータを右クリックして・・・なんていったいどれくらいの方が経験あるのやら・・・

ZoneAlarmは「TrueVector」というエンジンを利用して作られているそうです。
その内容は

・リアルタイムIPトラフィックコントロール
・送受信内容の監視
・起動アプリケーションの監視
・インターネットの状態のモニタとログ
・プロトコルを意識しないコンテキストモニタ
・HTMLやMIMEの内容判定
・アクセスした状況の判定と保存

以上が主な機能のようです。これだけを一つのAPIでやっていると・・・なるほど
う～んなかなかやるな。
本格的なFirewallでは最低でも４０万くらいするのですが、個人で使うという前提なら機能的には差がないと思います。
これがFreeだからとってもいいのではないかな？とお勧めですね。

・ ダイヤルアップで接続時だけエンジンも起動するには
Regeditで自動起動となっているサービスを見てみるとTureVectorのエンジンとMiniLogの2つが登録されている。ダイヤルアップで使用するならこの2つをRunServicesから外してダイヤルアップ接続時に起動するようなBatファイルを作って使用していたが問題はなかった(Win9x系)。
例） RegeditでHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesを見てMiniLogとTrueVectorのKeyを探す。見つけたらこの2行を消すのだが、その前にNotepadなどにデータをCopyしてbatファイルとして登録しておけば任意のときにZAの実行が可能になる。常時接続ではこんなことをしてはいけないが、ダイヤルアップでメモリが少ないときには試してみてもいいかと思う。筆者はこんなBatファイルを動かして使用していた。

start C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service　　　「ミニLogのスタート」
start C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service　　　　「TrueVectorのスタート」
start "C:\Program Files\Zonelabs\ZoneAlarm"　　　　　　　　　　　　　　　「ZoneAlarmのスタート」
start "C:\Program Files\Internet Explorer\Iexplore.exe" 　　　　　　　　「IEのスタート」

なお、逆に停止するときには"VSMON.EXE -unload"のように「-unload」のパラメータを付ける。少しでもメモリの消費を減らしたいときにはこまめに回線を切断して、unloadするといいだろう。またPCの起動時や終了時に問題のある場合にはｓｔａｒｔｕｐやレジストリから自動起動しないようにして、手動で起動するようにしてみれば問題が解決するかもしれない。

WinNTと2000ではVsmon.exeとMinilog.exeは自動起動するサービスとして登録されている。このサービスのスタートアップの種類を手動に設定して接続時にZoneAlarm.exeを実行すればサービスは自動起動される。この設定を行うにはRegeditでHKEY_LOCAL_MACHINE\System\CurrentControlSet\Servicesにあるvsmonとminilogの「Start」値を3に変更する。これでPC起動時にタスクマネージャのプロセス一覧を見てもVsmonとMiniogの姿は見えない。あとは必要なときに

start "C:\Program Files\Zonelabs\ZoneAlarm"　　　　　　　　　　　　　　「ZoneAlarmのスタート」
start "C:\Program Files\Internet Explorer\Iexplore.exe" 　　　　　　　　「IEのスタート」

のバッチを動かせばよい。サービスの起動から行うので少々時間がかかるのはどうしようもない。

・その他の注意事項(ZoneLabsサポート情報から抜粋)

NortonAntiVirusのEMail Protection(メール保護機能)を利用するときにはNortonAVをLocal側でAllow Serverの指定をしなければならない
ISPによっては接続中のPCに対して定期的にパケットが飛ぶ場合がある。つまり生存確認のためのPingや、DSLやCATVのDHCPサーバからのリリース情報などだ。これらのパケットは拒否すると接続を切られてしまうのでSecurity→AdvanceでそのホストまたはIPをLocal Zoneに追加する。
ZoneAlarmを他のFirewall製品と同時に使用しないほうが良い。起動時に問題がある場合がある。ZoneLabs曰く「他の製品と同時に動かしてもセキュリティがこれ以上あがるものではない」だそうだ
IEの5.0からはWindowsとIEが同じプロセスで起動するのでProgramsに登録する際にWindows Explorerとなる。インターネットオプションで「IEを別のプロセスで起動する」をチェックするとIEで登録される。
インターネット接続共有(ICS)を使うときにはInternet側のSecurityレベルをMediumにしないといけない。できればPCを2台用意して、1台にZAとICSをインストールしてInternet側をMedium、Local側をMediumまたはLowにする。もう1台のPCを信頼するIPに登録してZAとICSが入ったPC経由で使って欲しい。

・関連プログラム
ZoneAlarmのLogビュアーが出ている。ログを後から参照して分析、追跡するToolだ。「More Info」のように相手のIPアドレスを元にWhois情報を表示したりできる。ClearZoneはグラフとかも表示する優れものだ（でも有償）

Matt's Computer Solutions	ZoneLog Analyser	http://zonelog.co.uk/
T＾Net	Zone Log Lookup	http://www.tznet.com/ghost/
uncom	In The Zone	http://www.uncon.com/itz/
Brady & Associates, LLC.	ClearZone	http://www.clariondeveloper.com/

・アンインストール時の注意
完全にZAをアンインストールするときには以下のファイルも削除すること。SystemフォルダはNT系ではSystem32になるので注意してください。

フォルダ名	ファイル名またはレジストリキーと値
Windows\System	vsutil.dll、vspubapi.dll、vsmonapi.dll、vsdata.dll、vsdata95.vxd(9x系)、vsdatant.sys(NT系)
windows\System\zonelabs	vsdb.dll、minilog.exe、html.tdr、vsmon.exe、vsruledb.dll
windows\internet log	ZALog.txt、iamdb.rdb、コンピュータ名.ldb(これは通常のuninstallで削除されない)
レジストリ	HKEY_LOCAL_MACHINE\Software\Zone Labs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesの　MiniLog 　TrueVector HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsmon (NT系) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsdatant(NT系) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\minilog HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs の　C:\Windows\System\vsdata.dll 　C:\Windows\System\vsdata95.vxd (NT系はvsdatant.sys) 　C:\Windows\System\vsmonapi.dll 　C:\Windows\System\vsnetutils.dll 　C:\Windows\System\vspubapi.dll 　C:\Windows\System\vsutil.dll 　C:\Windows\System\Zone Labs\html.tdr 　C:\Windows\System\Zone Labs\vsdb.dll 　C:\Windows\System\Zone Labs\minilog.exe 　C:\Windows\System\Zone Labs\vsmon.exe 　C:\Windows\System\Zone Labs\vsruledb.dll HKEY_CURRENT_USER\Software\Zone Labs HKEY_CURRENT_USER\AppEvents\EventLabels\InternetAlert(イベントのサウンドを設定時) HKEY_CURRENT_USER\AppEvents\Schemes\Apps\.Default\InternetAlert\.current(同上) HKEY_CLASSES_ROOT\CLSID\{long string of characters}\InprocServer32の　C:\Program Files\Zone Labs\ZoneAlarm\zoneband.dll(タスクバーに入れたとき)

とくにwindows\internet logにあるiamdb.rdbとコンピュータ名.ldbは設定情報なので通常のuninstallでは消されません。アップグレードやバージョンアップのときのために保存しているそうです。

・Firewall製品別紹介に戻る
・ZoneAlarmのトップに戻る