Client Security 14 でのファイヤーウォール機能について-firewall
Client Security(CS)14以降に搭載されるファイアウォール機能は、Windowsファイアウォール機能をコントロールする「管理機能」となります。その為、独自のファイアウォールが搭載されていたCS 13 以前とはルール適用順等が違っております。またCS13からCS14にアップグレードを行う際、ファイアウォールルールは引き継がれませんので、当記事を参考に再設定をお願い致します。
[記事サマリ]
- ファイアウォールルール適用順の違い
- 許可ルール/拒否ルールでは拒否が優先グループポリシー(ドメイン)/ローカルポリシーでのFW無効化に注意
[解説]
Client Security13以前は、上から下へ順番にルールを適用します。例えば下図のようにルールを設定した場合、RDP通信(TCP:3389使用)は、最上段のRDP許可ルールに一致し、通信が許可されます。それ以降のルールはチェックされません。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)にも引っかからず、RDP通信は成功します。
・CS13以前(f-secureファイアウォール)
一方、Windowsファイアウォールは設定されたルール順序を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)に引っかかり、RDP通信は失敗します。
・Windowsファイアウォール
つまり、CS13のルールをそのままCS14に設定しても、狙った動作は見込めません。
[対処方法]
ファイアウォールルールの見直しを行います。
- Windowsファイアウォール設定で「受信接続をブロック」に設定してください。
※この設定が「暗黙のDeny」として機能します。 - 拒否ルールを削除してください。
- 許可ルールのみ追加してください。
[Windowsファイアウォールの受信接続ブロック方法]
- 「コントロールパネル」を開き、[Windowsファイアウォール]→「詳細設定」をクリックします。
→
- 右ベインの[操作]から、[プロパティ] をクリック。
- 「ファイアウォールのプロパティ」が開きます。
「パブリックプロファイル」「ドメインプロファイル」「プライベートプロファイル」のタブで、それぞれの「受信接続」をブロックに設定します。
※この設定は、Policy Managerからもコントロール可能です。
※設定箇所は、[ポリシーマネージャコンソール]→「設定」→[ファイアウォール]→「デフォルトルール」
[Policy ManagerからCSにファイアウォールルールを設定する方法]
- 左ベインで設定したいドメインを選択します。
- 右ベインの「設定」→「ファイアウォール」を開きます。
- 「クローン」をクリックし、自由にカスタムできるファイアウォールプロフィールを作成します。
→
- 「編集中のプロフィール」を作成したプロフィールに切り替えます。
- 「ネットワークサービス」をクリックします。(サービス追加済みの場合、12に進む)
- 「ネットワークサービス」が開きます。「追加」をクリックします。
- 「サービス名」を入力します。
- プロトコルを選択し、「次へ」をクリックします。
※RDPの場合TCP(6) - 「イニシエータポート」を入力し、「次へ」をクリックします。
※特に指定がない場合、0-65535を入力してください。 - 「リスポンダポート」を入力し、「次へ」をクリックします。
※RDPの場合3389 - 「ネットワークサービス」にサービスが追加された事を確認し、この画面を閉じます。
- 「ファイアウォールルール」の画面で、「ルールを追加」をクリックします。
- 「名前」と「タイプ」を入力し、「次へ」をクリックします。
- 「追加」をクリックします。
- サービスが追加されます。
- 「サービス」フィールドをクリックし、追加したいサービスを選択します。
- 「方向」フィールドで受信(<=)、送信(=>)、送受信(<=>)のどれかを選択し、「次へ」をクリックします。
- 「全てのリモートアドレス」を選択し、「次へ」をクリックします。
- デフォルト設定のまま、「完了」をクリックします。
- 「ファイアウォールルール」にルールが追加された事を確認します。
- ポリシーを配布します。
[グループポリシー(ドメイン)/ローカルポリシーへの注意]
Active DirectotryのグループポリシーやWindowsのローカルポリシーでWindowsファイアウォールを無効にしている場合、Client SecurityはWindows ファイアウォールを有効化できません。
該当する設定を「未構成」にしてください。