Host Intrusion Prevention ファイアウォール規則移行ユーティリティを使用して、カ スタム 6.0 のファイアウォール規則ポリシーを、対応するバージョン 6.1 のポリシー に移行します。移行されたポリシーは [ファイアウォール規則] または [検疫規則] に表 示され、名前の先頭に [Migrated] が追加されます。また、対応する 6.0 ポリシーと同じ クライアントに自動的に適用されます。
次の 2 つの方法のいずれかによって 6.0 のファイアウォール規則を移行できます。
[変換] は、ステートフル ファイアウォール機能を利用できるように規則を変更し
ます。
[コピー] は、規則を変更せずにコピーします。
どちらの方法を使用した場合も、移行されたファイアウォール規則ポリシーは、対応 する 6.0 ポリシーと同じクライアントに自動的に適用されます。
規則を移行するには
1 インストールされた McAfee ePO フォルダにある移行ユーティリティのリンクを ダブルクリックします (C:\Program Files\McAfee\ePO\3.6.x\Host IPS Firewall Rule Migrator)。
2 ePO グローバル管理者のユーザ名とパスワードを入力し、[ログイン] をクリックし
ます。
3 移行方法を選択して([変換] または [コピー])、[移行] をクリックします。
4 移行が完了したら、[ファイアウォール規則] と [検疫規則] で新しいポリシーのリス トを確認し、必要に応じて名前や割り当てを変更します。
事前設定ファイアウォール ポリシー
Host Intrusion Prevention ファイアウォール機能には、次の 4 つのポリシー カテゴリ があります。
[ファイアウォール オプション]:ファイアウォール保護のオン/オフを切り替えます。
事前設定ポリシーには、[オフ(McAfee 既定)]、[オン]、[適応、学習] が含まれます。
[6.0 ファイアウォール規則](6.0 クライアントのみ):ファイアウォールの規則を定
義します。事前設定ポリシーには、[最小(McAfee 既定)]、[学習開始レベル]、[クラ イアント - 高]、[クライアント - 中]、[サーバ - 高]、[サーバ - 中] が含まれます。
[ファイアウォール規則](6.1 クライアントのみ):ファイアウォールの規則を定義 します。事前設定ポリシーには、[最小(McAfee 既定)]、[学習開始レベル]、[クライ アント - 高]、[クライアント - 中]、[サーバ - 高]、[サーバ - 中] が含まれます。
[検疫オプション]:検疫モードのオン/オフを切り替えます。事前設定ポリシーは、
[無効(McAfee 既定)] です。
[6.0 検疫規則](6.0 クライアントのみ):検疫中に適用するファイアウォールの規則
を定義します。この事前設定ポリシーが、既定のポリシー [(McAfee 既定)] です。
[検疫規則](6.1 クライアントのみ):検疫中に適用するファイアウォールの規則を
定義します。この事前設定ポリシーが、既定のポリシー [(McAfee 既定)] です。
íç
バージョン 6.0 のクライアントでは [6.0 ファイアウォール規則] ポリシーと [6.0 検疫 規則] ポリシーのみが認識され、バージョン 6.1 のクライアントでは [ファイアウォー ル規則] ポリシーと [検疫規則] ポリシーのみが認識されます。
クイック アクセス
ファイアウォール機能には、ファイアウォール規則とファイアウォール クライアント の規則を監視および管理するためのクイック アクセスへのリンク (*) があります。
ファイアウォール オプションのポリシーの設定
ファイアウォール オプション ポリシーを使用すると、ファイアウォールの有効/無効 の切り替え、およびクライアントへの [適応モード] または [学習モード] の適用ができ ます。設定済みの 4 種類のポリシーから選択するか、または新しいポリシーを作成し て適用できます。
ファイアウォールオプションポリシーを設定するには
1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択し ます。
2 [ポリシー] タブで、[Host Intrusion Prevention ファイアウォール] 機能を展開します。
3 [ファイアウォール オプション] ラインで [編集] をクリックします。
ポリシー名のリストがアクティブになります。
4 次のいずれかを行います。
設定済みポリシーをリストから 1 つ選択して、[適用] をクリックします。
図 5-3 ファイアウォール機能
*
オプション名 設定の内容
[オフ](McAfee 既定) すべて無効にする
[オン] [ファイアウォールを有効にする]
[通常の保護を有効にする]
[クライアント規則を保持する]
[適応] [ファイアウォールを有効にする]
[適応モードを有効にする]
[クライアント規則を保持する]
[学習] [ファイアウォールを有効にする]
[学習モードを有効にする]、[受信] および [送信]
[新しいポリシー] を選択します。
[新しいポリシーの作成] ダイアログ ボックスが表示されます。
5 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。
[ファイアウォール オプション] ダイアログ ボックスが表示されます。
6 適切な設定を選択します。詳細については、[ヘルプ] をクリックしてください。
7 [適用] をクリックしてダイアログ ボックスを閉じます。
新しいポリシーの名前がポリシー リストに表示されます。
8 [適用] をクリックします。
íç
事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [複製] をクリックして、新しい複製ポリシーを作成できます。新しいポ リシーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指 定します。
図 5-4 ファイアウォールオプション
ファイアウォール規則ポリシーの設定
ファイアウォール規則は、システムの動作を決定し、ネットワーク トラフィックを傍 受したときに、トラフィックを許可またはブロックします。適切な設定の [ ファイア ウォール規則] ポリシーを適用して、ファイアウォール規則を作成および管理します。
[ファイアウォール規則] ポリシーでは、次の機能が使用できます。
新しいファイアウォール規則のポリシーの作成
ファイアウォール規則の表示および編集
新しいファイアウォール規則またはファイアウォール グループの作成
ファイアウォール規則またはグループの削除
ファイアウォール クライアントの規則の表示
新しいファイアウォール規則のポリシーの作成
ノード固有ではない新しいポリシーを追加するには、[ポリシー カタログ] でポリシー を作成します。詳細については、124ページの「ポリシー カタログ」を参照してくだ さい。ノードに特有な新しいポリシーを追加するには、このセクションの説明に従い ます。
ファイアウォール規則のポリシーを作成するには
1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択します。
2 [ポリシー] タブで、ファイアウォール機能を展開します。
3 [ファイアウォール規則] ラインで [編集] をクリックします。
ポリシー名のリストがアクティブになります。
4 次のいずれかを行います。
設定済みポリシーをリストから 1 つ選択して、[適用] をクリックします。
ポリシーの選択 保護の内容
最小(既定) 攻撃者がコンピュータの情報収集に使用できる受信 ICMP トラフィックをブロック。Host Intrusion Prevention は、そ の他すべての ICMP トラフィックは許可します。
ユ ー ザ と 同 じ サ ブ ネ ッ ト に あ る コ ン ピ ュ ー タ か ら の Windows ファイル共有の要求は許可し、それ以外のファイル 共有の要求はブロック(信頼できるネットワーク ポリシー で、[ローカル サブネットを自動的に含める] を選択して おく必要があります)。
Windows ドメイン、ワークグループ、およびコンピュータ
の参照を許可。
通信量の多い受信および送信 UDP トラフィックをすべて 許可。
BOOTP、DNS、および Net Time UDP ポートを使用するト
ラフィックを許可。
学習開始レベル 攻撃者がコンピュータの情報収集に使用できる受信 ICMP トラフィックをブロック。Host Intrusion Prevention は、そ の他すべての ICMP トラフィックは許可します。
ユ ー ザ と 同 じ サ ブ ネ ッ ト に あ る コ ン ピ ュ ー タ か ら の Windows ファイル共有の要求は許可し、それ以外のファイ ル共有の要求はブロック(信頼できるネットワーク ポリ シーで、[ローカル サブネットを自動的に含める] を選択 しておく必要があります)。
Windows ドメイン、ワークグループ、およびコンピュータ
の参照を許可。
BOOTP、DNS、および Net Time UDP ポートを使用するト
ラフィックを許可。
クライアント - 中 IP ネットワーキング(送信 ping、トレース ルート、および 受信 ICMP メッセージを含む)に必要な ICMP トラフィック の み許 可。Host Intrusion Prevention は、そ の他 す べて の ICMP トラフィックをブロックします。
IP 情報(自 IP アドレス、ネットワーク時間など)にアクセ
スする UDP トラフィックを許可。この保護レベルでは、上 位 UDP ポート(1024 以上)のトラフィックも許可します。
Windows のファイル共有は、ローカル サブネットのみで許
可。ローカル サブネット外を参照することはできず、この 保護ブロックはユーザのサブネット外からコンピュータの ファイルへのアクセスをブロックします(信頼できるネット ワーク ポリシーで、[ローカルサブネットを自動的に含め
る] を選択しておく必要があります)。
クライアント - 高 攻撃にさらされている場合、または攻撃される可能性が高い場 合に、この保護レベルを使用します。この保護レベルでは、シ ステムから最小限の送受信しか許可しません。
適切なネットワーキングに必要な ICMP トラフィックのみ 許可。この保護ブロックは、送受信 ping ともにブロックし ます。
IP 情報(自 IP アドレス、ネットワーク時間など)にアクセ
スする UDP トラフィックのみを許可。
Windows ファイル共有をブロック。
[新しいポリシー] を選択して、新しいポリシーを作成します。
[新しいポリシーの作成] ダイアログ ボックスが表示されます。
5 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。
[ファイアウォール規則] ダイアログ ボックスが表示されると、ポリシー リスト ペ インで新しいポリシーが選択されています。
サーバ - 中 ネットワーク サーバにはこの保護レベルを使用します。
サーバとクライアント間の通信を円滑にする ICMP トラ フィックを許可。この保護ブロックは、その他すべての ICMP トラフィックをブロックします。
IP 情報にアクセスするために必要な UDP トラフィックを許
可。この保護では、上位 UDP ポート(1024 以上)のトラ フィックも許可します。
サーバ - 高 インターネットに直接接続され、攻撃のリスクが高いサーバに この保護レベルを使用します。ユーザがカスタマイズした規則 セットを作成する場合、この保護レベルを基準にしてください。
サーバとクライアント間の通信を円滑にする特定の ICMP トラフィックを許可。Host Intrusion Prevention は、その他 すべての ICMP トラフィックをブロックします。
IP 情報にアクセスするために必要な UDP トラフィックを許
可。Host Intrusion Prevention は、その他すべての UDP ト ラフィックをブロックします。
ポリシーの選択 保護の内容
図 5-5 [新しいポリシーの作成] ダイアログボックス
図 5-6 [ファイアウォール規則] タブ