Client Security 14 でのファイヤーウォール機能について-firewall

This discussion has a more recent version.
Tee3Tee3 Posts: 42 Moderator
in 共通トピック

Client Security(CS)14以降に搭載されるファイアウォール機能は、Windowsファイアウォール機能をコントロールする「管理機能」となります。その為、独自のファイアウォールが搭載されていたCS 13 以前とはルール適用順等が違っております。またCS13からCS14にアップグレードを行う際、ファイアウォールルールは引き継がれませんので、当記事を参考に再設定をお願い致します。

 

[記事サマリ]

  • ファイアウォールルール適用順の違い
  • 許可ルール/拒否ルールでは拒否が優先グループポリシー(ドメイン)/ローカルポリシーでのFW無効化に注意

 

[解説]

Client Security13以前は、上から下へ順番にルールを適用します。例えば下図のようにルールを設定した場合、RDP通信(TCP:3389使用)は、最上段のRDP許可ルールに一致し、通信が許可されます。それ以降のルールはチェックされません。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)にも引っかからず、RDP通信は成功します。

・CS13以前(f-secureファイアウォール)
01.png


一方、Windowsファイアウォールは設定されたルール順序を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)に引っかかり、RDP通信は失敗します。

・Windowsファイアウォール
02.png

つまり、CS13のルールをそのままCS14に設定しても、狙った動作は見込めません。




[対処方法]

ファイアウォールルールの見直しを行います。

  1. Windowsファイアウォール設定で「受信接続をブロック」に設定してください。
    ※この設定が「暗黙のDeny」として機能します。
  2. 拒否ルールを削除してください。
  3. 許可ルールのみ追加してください。

 

 

 

[Windowsファイアウォールの受信接続ブロック方法]

  1. 「コントロールパネル」を開き、[Windowsファイアウォール]→「詳細設定」をクリックします。
    03.gif → 04.gif

  2. 右ベインの[操作]から、[プロパティ] をクリック。
    05.png

  3. 「ファイアウォールのプロパティ」が開きます。
    「パブリックプロファイル」「ドメインプロファイル」「プライベートプロファイル」のタブで、それぞれの「受信接続」をブロックに設定します。
    06.png

    ※この設定は、Policy Managerからもコントロール可能です。
    07.png
    ※設定箇所は、[ポリシーマネージャコンソール]→「設定」→[ファイアウォール]→「デフォルトルール」

 

 

 

 

 

[Policy ManagerからCSにファイアウォールルールを設定する方法]

  1. 左ベインで設定したいドメインを選択します。
    08.png

  2. 右ベインの「設定」→「ファイアウォール」を開きます。

  3. 「クローン」をクリックし、自由にカスタムできるファイアウォールプロフィールを作成します。
    09.png → 10.png

  4. 「編集中のプロフィール」を作成したプロフィールに切り替えます。
    11.png

  5. 「ネットワークサービス」をクリックします。(サービス追加済みの場合、12に進む)
    12.png

  6. 「ネットワークサービス」が開きます。「追加」をクリックします。
    13.png

  7. 「サービス名」を入力します。
    14.png

  8. プロトコルを選択し、「次へ」をクリックします。
    ※RDPの場合TCP(6)
    15.png

  9. 「イニシエータポート」を入力し、「次へ」をクリックします。
    ※特に指定がない場合、0-65535を入力してください。
    16.png

  10. 「リスポンダポート」を入力し、「次へ」をクリックします。
    ※RDPの場合3389
    17.png

  11. 「ネットワークサービス」にサービスが追加された事を確認し、この画面を閉じます。
    18.png

  12. 「ファイアウォールルール」の画面で、「ルールを追加」をクリックします。
    19.png

  13. 「名前」と「タイプ」を入力し、「次へ」をクリックします。
    20.png

  14. 「追加」をクリックします。
    21.png

  15. サービスが追加されます。
    22.png

  16. 「サービス」フィールドをクリックし、追加したいサービスを選択します。
    23.png

  17. 「方向」フィールドで受信(<=)、送信(=>)、送受信(<=>)のどれかを選択し、「次へ」をクリックします。
    24.png

  18. 「全てのリモートアドレス」を選択し、「次へ」をクリックします。
    25.png

  19. デフォルト設定のまま、「完了」をクリックします。
    26.png

  20. 「ファイアウォールルール」にルールが追加された事を確認します。
    27.png

  21. ポリシーを配布します。
    28.png

[グループポリシー(ドメイン)/ローカルポリシーへの注意]

Active DirectotryのグループポリシーやWindowsのローカルポリシーでWindowsファイアウォールを無効にしている場合、Client SecurityはWindows  ファイアウォールを有効化できません。

該当する設定を「未構成」にしてください。

Like
Sign In or Register to comment.