Symantec™ Client Firewall ポリシー移行ガイド

Symantec™ Client Firewall

ポリシー移行ガイド

Symantec Client Firewall ポリシー移行ガイド

本書で説明するソフトウェアは、使用許諾契約に基づいて提供され、その内容に同意する場合にの み使用することができます。

Documentation version 11.00.03.00.00

商標登録

Copyright © 2008 Symantec Corporation.All rights reserved.

Symantec、Symantec ロゴ、LiveUpdate、Sygate、Symantec AntiVirus、Bloodhound、 Confidence Online、Digital Immune System、Norton、TruScan は Symantec Corporation ま たは関連会社の米国およびその他の国における商標または登録商標です。その他の会社名、製品 名は各社の商標または登録商標です。 このシマンテック製品には、サードパーティ（「サードパーティプログラム」）の所有物であることを示す 必要があるサードパーティソフトウェアが含まれている場合があります。一部のサードパーティプログ ラムは、オープンソースまたはフリーソフトウェアライセンスで利用できます。本ソフトウェアに含まれ る本使用許諾契約は、オープンソースまたはフリーソフトウェアライセンスでお客様が有する権利ま たは義務は変更されないものとします。サードパーティプログラムについて詳しくは、この文書のサー ドパーティの商標登録の付属資料、またはこのシマンテック製品に含まれる TPIP ReadMe File を 参照してください。 本書に記載されている製品は、その使用、コピー、頒布、逆コンパイルおよびリバースエンジニアリ ングを制限するライセンスに基づいて頒布されています。本書のいかなる部分も、Symantec Corporation およびそのライセンサーからの事前の文書による許諾を得ることなく、いかなる方法に よっても無断で複写、複製してはならないものとします。 本書は、「現状のまま」提供されるものであり、Symantec Corporation は、商品価値を有すること、 お客様の特定の目的にかなうこと、権利を侵害していないことに対する暗黙的な保証を含む、明示 的あるいは暗黙的な条件、表明、および保証すべてから免責されるものとします。ただし、これらの 免責が法的に無効であるとされる場合を除きます。SYMANTEC CORPORATION は、提供されるパ フォーマンスまたは本書の使用に関連した付随的、または、結果的な損害に対して、一切責を負わ ないものとします。本書の内容は、事前の通知なく、変更される可能性があります。 ライセンス対象ソフトウェアおよび資料は、FAR 12.212 の規定によって商業用コンピュータソフトウェ アと見なされ、FAR 52.227-19 「Commercial Computer Software - Restricted Rights」、DFARS 227.7202 「Rights in Commercial Computer Software or Commercial Computer Software Documentation」、その他の後継規則の規定により制限権利の対象となります。米国政府によるラ イセンス対象ソフトウェアおよび資料の使用、修正、複製のリリース、実演、表示、開示は、本使用許 諾契約の条項に従ってのみ行われるものとします。

Symantec Client Firewall

Administrator から

Symantec Protection Center

へのポリシーの移行

この文書では以下の項目について説明しています。

■ Symantec Client Firewall ポリシーの移行

■ Symantec Client Firewall 移行ウィザードで生成されるポリシーについて

■ ファイアウォールルールが生成される順序について

■ Symantec Client Firewall 移行ウィザードのインストールについて

■ Symantec Client Firewall 移行ウィザードのインストール

■ Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシー への変換

■ 移行したポリシーの Symantec Protection Center へのインポート

■ インポートした場所固有のファイアウォールポリシーのファイアウォールルールについ

て

Symantec Client Firewall ポリシーの移行

Symantec Client Firewall ポリシーは、Symantec Client Firewall 移行ウィザードを 使って Symantec Protection Center に移行できます。このウィザードを使うと、Symantec Client Firewall ポリシーが、Symantec Protection Center にインポートできる複数のポ リシーに変換されます。

表 1-1 に、Symantec Client Firewall ポリシーを Symantec Protection Center に移行 するためのプロセスを示します。

表 1-1 Symantec Client Firewall ポリシーを移行するためのプロセス タスク

手順

移行する Symantec Client Firewall ポリシーファイルを、移行ウィザードを実行するコ ンピュータにエクスポートします。

p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を参照してください。

ポリシーの保存方法について詳しくは、Symantec Client Firewall Administrator の ヘルプを参照してください。

手順 1

Symantec Protection Center を実行するコンピュータまたは別のコンピュータに移行 ウィザードをインストールします。

p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくださ い。

手順 2

移行ウィザードを実行して Symantec Client Firewall ポリシーファイルを複数のポリ シーファイルに変換します。

p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換」 を参照してください。

手順 3

出力ポリシーファイルを Symantec Protection Center にインポートします。 p.11 の 「移行したポリシーの Symantec Protection Center へのインポート」 を参照し てください。

手順 4

Symantec Client Firewall 移行ウィザードで生成される

ポリシーについて

移行ウィザードでは、1 つの Symantec Client Firewall ポリシーを、ファイアウォールポ リシーと侵入防止ポリシーという 2 種類の Symantec Protection Center ポリシーに変換 します。

それぞれの Symantec Client Firewall ポリシーについて、移行ウィザードでは次のファ イアウォールポリシーが作成されます。

第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall ポリシーの移行

■ デフォルトの場所のファイアウォールポリシー

■ 追加の各場所のファイアウォールポリシー

■ pRule のファイアウォールポリシー

それぞれの Symantec Client Firewall ポリシーについて、移行ウィザードでは次の侵入 防止ポリシーが作成されます。

■ IPS ポリシー

エクスポートした Symantec Client Firewall Administrator ポリシーの形式は次のよう になります。 ■ .cfp 形式と .xml 形式はすべての設定を含む完全ポリシーファイルです。 ■ .cfu 形式は更新されたポリシーファイルです。 移行ウィザードでは、これらのファイルから .dat ファイルを生成します。.dat ファイルは .zip 形式で保存されます。 表 1-2 は、移行ウィザードで .cfp 形式と .xml 形式から生成されるポリシーファイルと、そ れらに対応する出力ファイルの名前と内容を示しています。 表 1-2 出力ポリシーファイルの名前と内容

Symantec Client Firewall Administrator の内容の説明 出力ファイル名 Symantec Client Firewall 移行ウィザー ドの出力 デフォルトの場所とクライアント設定に関連付 けされたすべてのルールとゾーンの設定が 含まれます。 <入力ファイル名>.dat Firewall Policy-Default Location 入力ポリシーの各場所について、Symantec Protection Center のファイアウォールポリ シーが 1 つずつ作成されます。それぞれの 場所固有のポリシーには、入力ポリシーから 取得した場所とクライアント設定に関連付け されたすべてのルールとゾーン情報が含まれ ます。 <入力ファイル名>_<場 所>.dat Firewall Policy-All Locations 入力ポリシーのすべての pRules とクライアン ト設定が含まれます。 <入力ファイル名 >_prule.dat Firewall Policy-pRules 5 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行

Symantec Client Firewall Administrator の内容の説明 出力ファイル名 Symantec Client Firewall 移行ウィザー ドの出力 IPS の次の設定が含まれます。 ■ ［ゾーン］の［AutoBlock の除外］タブの アドレス。 ■ ［IPS］タブのシグネチャ。

Symantec Protection Center では、IPS V1.x シグネチャは移行されません。

■ ［クライアント設定］の［一般］タブの侵入 防止の設定。

Symantec Endpoint Protection Small Business Edition では、［侵入防止の警 告を表示］の設定は無視されます。 <入力ファイル名

>_ips.dat IPS Policy

移行ウィザードでは、.cfu 形式の Symantec Client Firewall Administrator ポリシーに ついては、Firewall Policy-Default Location ポリシーと Firewall Policy-pRules ポリ シーだけが生成されます。

p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換」 を参照してください。

ファイアウォールルールが生成される順序について

移行ウィザードでは、Symantec Client Firewall の各タブの設定を Symantec Protection Center ファイアウォールポリシーのファイアウォールルールに変換します。さらに、それら のファイアウォールルールを特定の順序で配置します。この順序は、Symantec Client Firewall Administrator のどのタブの内容であるかに基づいて決まります。

表 1-3 は、Symantec Client Firewall のルールと設定が移行ウィザードによって Firewall Policy-Default Location ポリシーと Firewall Policy-All Locations ポリシーに配置さ れる順序を示しています。

表 1-3 場所固有のファイアウォールポリシー

Symantec Client Firewall Administrator のタブ 順序 ゾーン ■ 制限ゾーン ■ 信頼ゾーン メモ: ［AutoBlock の除外］タブと［ゾーン設定］タブの設定は移行されません。 1

第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 ファイアウォールルールが生成される順序について

Symantec Client Firewall Administrator のタブ 順序 クライアント設定 ■ ［クライアント設定］の［プロトコルフィルタ］ ■ ［クライアント設定］タブのその他の設定 2 ルール ■ 一般ルール ■ プログラムルール ■ トロイの木馬ルール ■ デフォルトルール 移行ウィザードでは、デフォルトルールはポリシーの一番下に追加されます。移行 された他のファイアウォールルールで無視されるトラフィックについては、デフォルト ルールに基づいて、トラフィックを許可するかブロックするかをユーザーに確認する メッセージが表示されます。 3

表 1-4 は、Symantec Client Firewall の pRule ルールが移行ウィザードによって Firewall Policy-pRules ポリシーに配置される順序を示しています。

表 1-4 pRule ポリシーの順序

Symantec Client Firewall Administrator のタブ 順序

pRules 1

Default ルール 2

Symantec Client Firewall 移行ウィザードのインストー

ルについて

Symantec Client Firewall 移行ウィザードには、SCFMigrationTool.bat と

SCFMigrationTool.jar という 2 つのファイルが含まれています。これらのファイルはイン ストール製品ディスクの TOOLS ディレクトリまたはシマンテック社のテクニカルサポートで 入手できます。

移行ウィザードでは Java Runtime Environment（JRE）1.5 以降も必要ですが、このソフ トウェアは含まれていません。このウィザードは、Symantec Protection Center でサポー トされるすべてのオペレーティングシステムで動作します。Symantec Protection Center は Windows Vista では動作せず、また、Windows Vista でのサポートもしていません。 Symantec Protection Center が動作しているコンピュータに移行ウィザードをインストー ルする場合は、JRE 1.6 をインストールする必要はありません。Symantec Protection Center によって JRE 1.6 が自動的にインストールされます。Symantec Protection Center が動作していないコンピュータに移行ウィザードをインストールする場合は、そのコンピュー

7 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行

タに JRE 1.5 以降をインストールする必要があります。JRE 1.5 以降は http://www.sun.com からダウンロードできます。

Symantec Protection Center が動作していないコンピュータに Symantec Client Firewall 移行ウィザードをインストールする場合は、PATH 環境変数を設定する必要が あります。PATH 環境変数で JRE 実行時フォルダを示してください。コマンドプロンプトか ら実行する PATH コマンドの例を次に示します。 PATH=%PATH%;c:¥Program Files¥Java¥jre1.6.0_07¥bin %PATH%; エントリによって既存のパス情報が保存され、この既存のパス情報に JRE ディ レクトリ情報が追記されます。PATH コマンドを使って現在のパス情報を表示できます。 p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくださ い。

Symantec Client Firewall 移行ウィザードのインストー

ル

Symantec Client Firewall 移行ウィザードは Symantec Protection Center と同じコン ピュータにインストールすることを推奨します。また、Symantec Client Firewall ポリシー は、移行ウィザードを実行する同一のコンピュータにコピーする必要があります。 p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換」 を参照してください。

Symantec Client Firewall 移行ウィザードをインストールするには ◆ Symantec Protection Center が動作しているコンピュータで、

SCFMigrationTool.bat と SCFMigrationTool.jar を次のディレクトリにコピーしま す。

¥¥Program Files¥Symantec¥Symantec Protection Center¥bin

Symantec Client Firewall ポリシーの複数の Symantec

Protection Center ポリシーへの変換

移行ウィザードを使って、エクスポートした Symantec Client Firewall ポリシーを複数の Symantec Protection Center ポリシーに変換できます。移行ウィザードでは、入力ポリ シーファイルと、変換したポリシーファイルを配置する出力ディレクトリを選択する必要が あります。

p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を 参照してください。

第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall 移行ウィザードのインストール

Symantec Client Firewall ポリシーを複数の Symantec Protection Center ポリシーに 変換するには

1

移行するポリシーを、移行ウィザードをインストールした同じコンピュータの出力ディ

レクトリにコピーします。

p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくだ さい。

2

SCFMigrationTool.bat を参照してダブルクリックします。

p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくだ さい。

9 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行

3

［Welcome...］パネルで［Next］をクリックします。

4

［Policy File Selection］パネルで［Browse］をクリックし、移行するポリシーファイル を指定します。

5

［Output Directory Selection］パネルで、［Browse］をクリックして出力ディレクトリ を指定し、［Next］をクリックします。

第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 10

6

［Options and Migration］パネルで、作成しないポリシーファイルのチェックマーク をはずし（省略可能）、［Migrate］をクリックします。

7

移行が完了したら、［Migration Status］パネルで［Report］をクリックして、移行され たルールとオプションを見直します。

8

［Finish］をクリックします。

9

出力ディレクトリに作成された .dat ファイルを見直します。

これらのファイルを Symantec Protection Center にインポートできます。 p.11 の 「移行したポリシーの Symantec Protection Center へのインポート」 を参 照してください。

移行したポリシーの Symantec Protection Center への

インポート

移行ウィザードでは、インポートできる 2 種類のポリシーとして、複数のファイアウォール ポリシーと 1 つの侵入防止ポリシーが生成されます。 メモ: ファイアウォールポリシーは、侵入防止ポリシーとしてではなく、ファイアウォールポ リシーとしてインポートしてください。侵入防止ポリシーは、ファイアウォールポリシーとして ではなく、侵入防止ポリシーとしてインポートしてください。そうしないと、ポリシーが正しく 移行されません。

Symantec Client Firewall Administrator から Symantec Protection Center にポリ シーを変換すると、次の点が変更されます。

11 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行

■ Symantec Client Firewall Administrator から移行された時点でロックされていた ゾーンルールと pRule は、Symantec Protection Center でロック解除されます。こ れはインポート後に修正できます。

■ 監視処理が含まれるすべての Symantec Client Firewall Administrator ルール

は、Symantec Protection Center に移行されると無効になります。処理は［許可す る］」にリセットされ、ログ記録が有効になります。

■ ［カスタム警告テキスト］のエントリは、Symantec Protection Center では 127 文字 に切り捨てられます。

メモ: Symantec Endpoint Protection Small Business Edition の場合は場所は 1 つし かありません。Symantec Client Firewall 移行ウィザードでは場所ごとに 1 つのポリシー ファイルが作成されるため、インポートできる場所固有のポリシーファイルは 1 つだけに なります。

p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を 参照してください。

移行したポリシーを Symantec Protection Center にインポートするには

1

Symantec Protection Center にログオンします。

2

コンソールで、［ポリシー］をクリックします。

3

以下のいずれかの操作を実行します。 ■ ［ポリシーの表示］で［ファイアウォール］をクリックします。 ■ ［ポリシー］で［ファイアウォール］をクリックします。 ■ ［ポリシーの表示］で［侵入防止］をクリックします。 ■ ［ポリシー］で［侵入防止］をクリックします。

4

以下のいずれかの操作を実行します。 ■ ［タスク］で［ファイアウォールポリシーをインポート］をクリックします。 ■ ［タスク］で［侵入防止ポリシーのインポート］をクリックします。

5

［ポリシーのインポート］ダイアログボックスで、出力ディレクトリに移行したポリシーを 参照して選択します。

6

右ペインで、インポートしたポリシーをクリックします。

7

［タスク］で［ポリシーの編集］をクリックし、移行したポリシーを見直します。 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 移行したポリシーの Symantec Protection Center へのインポート

インポートした場所固有のファイアウォールポリシーの

ファイアウォールルールについて

Symantec Protection Center では各場所に対して、Symantec Client Firewall Administrator の特定の設定と同じ機能を持つ Allow、Block、Ask の各操作が設定さ れたファイアウォールルールが作成されます。

ファイアウォールルールは、Symantec Client Firewall Administrator の以下の設定 で指定した値の組み合わせに基づいて決まります。

■ ［場所］の［接続管理］タブの［ルール例外の扱い方］の設定。

■ ［クライアント設定］の［一般］タブの［カスタムセキュリティレベル - ファイアウォールレ

ベル］。

■ ［クライアント設定］の［一般］タブの［カスタムセキュリティレベル - アクセス制御警告］。

p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を 参照してください。

表 1-5 は、Symantec Protection Center で各場所に対して作成されるファイアウォール ルールを示しています。 表 1-5 管理サーバーで場所に基づくポリシーに対して作成されるファイア ウォールルール Symantec Protection Center のファイア ウォールルールの処理 アクセス制御警告の設 定 ファイアウォールレベル の設定 ルール例外 処理の設定 Block 無視 無視 BLOCK Allow 無視 無視 PERMIT Ask ENABLE 無視 PROMPT Allow DISABLE Medium PROMPT Block DISABLE High PROMPT たとえば、ルール例外処理の設定が PROMPT でアクセス制御警告の設定が ENABLE の場合、そのファイアウォールルールの処理は Symantec Protection Center では Ask に変換されます。ルール例外処理の設定が BLOCK の場合は、ファイアウォールルール の処理は Block に変換されます。

メモ: Symantec Endpoint Protection Small Business Edition では、処理が Ask であ るファイアウォールルールを作成することはできません。処理が Ask のルールについて は、インポートだけを行うことができます。

13 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行

移行に失敗したポリシーの移行

Symantec Client Firewall Administrator から Symantec Protection Center への移 行では、5 つのセキュリティポリシーが移行に失敗しています。 表 1-6 は、移行に失敗したポリシーと、検出されたバージョンを示しています。 表 1-6 移行に失敗したポリシー Symantec AntiVirus の バージョン セキュリティポリシー 不具合番号 9.x retailprules.cfu 1142104 10 または 10.1 VeryHighSecurity.xml 1142133 10 または 10.1 HighSecurity.xml 1142130 10 または 10.1 MediumSecurity.xml 1142126 10 または 10.1 LowSecurity.xml 1142121 以下の手順は、これらのセキュリティポリシーを移行できるようにするための回避策を詳し く説明しています。 移行に失敗したポリシーを移行するには

1

Symantec Client Firewall Administrator を開きます。

2

Symantec AntiVirus 9.x から移行する場合は、cd4 フォルダから retailprules.cfu ポリシーを選択します。

3

Symantec AntiVirus 10 または 10.1 から移行する場合は、cd4 フォルダから以下 のセキュリティポリシーの 1 つを選択します。 ■ VeryHighSecurity.xml ■ HighSecurity.xml ■ MediumSecurity.xml ■ LowSecurity.xml

4

選択したセキュリティポリシーを Symantec Client Firewall Administrator にイン ポートします。

5

このセキュリティポリシーを、［名前を付けて保存］コマンドを使って Symantec Client Firewall Administrator からエクスポートします。

ファイルが .cfp という拡張子を付けて保存されます。

6

コマンドプロンプトから SCFMigrationTool.bat ファイルを使って Symantec Client Firewall 移行ウィザードを開きます。

第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 移行に失敗したポリシーの移行

7

移行ウィザードで、.cfp 拡張子の付いたセキュリティポリシーファイルを参照して選 択します。

8

出力ディレクトリを指定します。

9

［Next］をクリックし、［Migrate］をクリックします。

10

［Finish］をクリックします。

出力フォルダに .dat ファイルが表示され、Symantec Protection Center で使える ようになります。

15 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行

第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 移行に失敗したポリシーの移行