日本語で表示されているので、殆ど設定の問題は無いかと思います。
例えば「NetBiosの接続を許可する」設定がありますが、
この「NetBios」の言葉の意味と用途さえ判れば、なにも悩む必要はないからです。
詳しくは用語解説のページをご覧ください。
⇒:最もオススメする設定です。
⇒:場合によってオススメする設定です。
◆セキュリティの設定(ポリシー)
タスクバーのアイコンは、セキュリティの設定(ポリシー)によって変化します。
制限の緩い順番に並んでいます。
「無効モード」:
全ての通信がアクセスできます。
Outpostを切っているのと、同様の状態です。
「許可優先」:
禁止ルールのみが適用されます。
定義されていない通信は許可されます。
「ルール・ウィザード」:
定義されていない通信が行われるときに、処理方法をユーザに問い合わせます。
既に禁止・許可ルールが設定されていれば、それに従います。
「ブロック優先」:
許可ルールのみが適用されます。
定義されていない通信は禁止されます。
「全てブロック」:
全ての通信が禁止されます。
通信ケーブルを抜いた状態に近くなります。
|
⇒オススメは「ブロック優先」です。 ただし、定義されていない通信は、 問い合わせも無く禁止されますので注意が必要です。 ⇒「ルール・ウィザード」もオススメできます。 定義されていない通信は問い合わせがあるので、 どのソフトがどのように通信するかを知らなくても大丈夫です。 特別な理由なく、「許可優先」や「無効モード」を使うのはNGです! ファイヤーウォールのイミが無くなってしまいます。 |
◆アプリケーションの設定
設定されていないアプリケーションが通信を行おうとすると、
以下のようなウインドウが表示されます。(ルール・ウィザードに設定している必要があります)
Internet Explorerなどの有名なソフトは既に、推奨設定が用意されているので、
問題ありませんが、そうでなければ自分で設定を考えなければなりません。
あっさりと「全て許可」にしたくなりますが...
原則、「全て許可」は使わないでください。
通信の監視が、ファイヤーウォールの目的なのに全てを許可してはいけません。
既に用意されているルールには、以下のようなものがあります。
そのソフトの目的や使用方法から、最も適したルールを選択してください。
ルールは、記述が上にある方が優先されます。
例えば、
「TCP 20-23 を禁止」
「TCP 20 を許可」
と記述されていた場合は、上に書かれている方の"禁止"が優先されます。
| ルール | DayTime(13) | FTPDATA(20) | FTP(21) | SSH(22) | Telnet(23) | SMTP(25) | Time(37) | HTTP(80-83) | POP3(110) | AUTH(113) | NNTP(119) | IMAP(143) | HTTPS(443) | SOCKS(1080) | PROXY(3128, 8080, 8088) | AOL_4(11523) | PASV FTP(1024-65535) | その他 |
| Browser | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | |||||||||||
| Download Manager | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | |||||||||||
| E-Mail Client | 〇 | 〇 | 〇 | 〇 | ||||||||||||||
| FTP Client | 〇 | 〇 | ||||||||||||||||
| ICQ | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | ||||||||||
| IRC | 〇 | 〇 | ||||||||||||||||
| Microsoft NetMeeting | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 | ||||||||||||
| storage | 〇 | |||||||||||||||||
| Telnet Client | 〇 | 〇 | ||||||||||||||||
| Time Synchronizer | 〇 | 〇 | 〇 |
ルールと許可されるポートの一覧表 (一部のソフト特有のポートは"その他"に分類しました。)
|
⇒原則、「全て許可」は使わないことです。 面倒でも、必要なポートだけの通信を許可しましょう。 ルールは、記述が上にある方が優先されます。 ⇒「プリセットからルール作成」を使いましょう。 もし、通信ソフトの詳しい動作がわかるなら、 さらにその設定を調整することもできます。 もちろん、完全に一からポート設定を行うのもOKです。 |
◆ポート・プロトコルの設定方法
LAN用メッセージ送受信を行えるフリーソフト
「IP Messenger」を例に、設定方法を示します。
IP Messengerを起動すると以下のような画面になります。
Outpostがソフトの種類を判別できなかったので、ルールは「Other...」になっています。
また、「UDP:2425」と表示されていますから、
この表示から必要なプロトコルとポートが判ります。
ここで、「プリセットからルール作成」を選択し、「OK」をクリックします。
すると、以下のようなルールの設定画面になります。
ここで、既に「UDP」の「2425」番が選択されているので、
「これを許可する」にチェックを入れて「OK」で終了します。
ポートだけでなく、リモートホストが選択されている場合もありますが、
リモートホストや通信方向は適宜変更しましょう
また、プロトコルは「TCP」と「UDP」双方が必要なことも多いです。
TCPは速度より信頼性の求められる場合に、UDPは速度を重視する場合に使用されます。
状況により、TCPとUDPを使い分けるソフトもあるので注意してください。
(IP Messengerでは、ファイル添付しない場合は、UDP/2425番のみ使用します。との事です)
|
⇒ルールの設定画面の表示から必要なプロトコルとポートは判ります。 通常は「これを許可する」にチェックを入れて終了すればOKですが、 リモートホストや通信方向は適宜変更しましょう。 TCPとUDPを使い分けるソフトもあるので、注意しましょう。 |
◆ポート・プロトコルをまとめて設定
「All Connections」の項目を右クリックすることで、ポート全体の設定ができます。
設定画面は、ソフト固有の設定と同様に設定できます。
Outpostでは、ポートの設定よりソフト個別の設定が優先されます。
例えば、この設定から"80"ポートを禁止することにしても、ブラウザの方で"80"ポートの使用を
許可すると、通信ができてしまいます。(追記:2003/11/08)
不要で危険なポートはこれで閉じておきましょう。
もちろん、逆にポートを開けることもできます。
|
⇒危険なポートはまとめて閉じておきましょう ただし、ソフト個別の設定が優先されますのでご注意ください。 |
◆応答のタイプ
「オプション」の「システム」の「応答のタイプ」から設定します。
「Stealth(ステルス)」と「通常」がありますが、
「Stealth」とは、応答の要求を完全に無視することを、
「通常」とは、"応答する気が無い"旨の通知を行うことを指します。
家の玄関をノックされたことに例えれば、
「Stealth」とは、玄関が見えなくなっていることに、
「通常」とは、玄関をノックされても居留守を使うことに例えられるでしょう。
無駄に"応答する気が無い"という応答をする必要など無いので、
「Stealth」を使っていれば問題ありません。
|
⇒「Stealth」を使いましょう。 |
◆ICMP
「オプション」の「システム」の「ICMPの設定変更」から設定します。
ICMPやTypeについての詳しい説明はICMPの解説ページをご覧になってください。
| Echo Reply | pingにより通信が可能か調べる際に、Echo Requestのパケットに対する応答に使用されます。禁止でよいでしょう。Type0 |
| Destination Unreachable | 通信しようとしたものの、相手が通信できない状態(存在しなかったり、障害が発生していたり)であったことを示すエラーメッセージです。禁止でよいでしょう。Type3 |
| Source Quench | 通信の処理が間に合わないときに使用されます。受信した側は通信を遅くする(通信間隔を開けるなど)ことを行います。Type4 |
| Redirect | 通信の経路の変更に使用されます。例えば、ルータを新規に設置したなどで、それまでの経路が最適で無くなった場合があります。これは禁止したほうが良い。Type5 |
| Echo Request | pingにより通信が可能か調べる際に相手に送信するパケットです。これに対してEcho Requestのパケットが戻ってきた場合に通信可能と判断します。Type8 |
| Time Exceeded for a Datagram | IPのTTLが尽きたときに使用され、パケットを破棄しなければならないことを示す。Type11 |
| Parameter Problem on a Datagram | パケットの設定値が間違っていることを示す。Type12 |
| Timestamp Request | パケット送信に対する応答時間を計測したい場合に送信します。送信情報の中には送信した時間の情報が含まれます。Type13 |
| Timestamp Reply | Timestamp Requestへの応答として送信します。送信情報の中には受信した時間と応答した時間の情報が含まれます。Type14 |
| Address Mask Request | 相手のサブネットマスクを知りたいときに送信されます。禁止で良いでしょう。Type17 |
| Address Mask Reply | Address Mask Requestへの応答として送信されます。禁止で良いでしょう。Type18 |
「Echo Reply」と「Echo Request」はpingによって相手のパソコンが
通信可能かを調べる時に使用されます。しかし、これはDoS攻撃にも
使用されるので無効にしておいたほうが良いでしょう。
しかし、プロバイダによってはユーザが存在するかどうかを調べるために
pingを用いる場合に、pingを禁止していると"ユーザが存在しない"と判断されて
通信を遮断される場合もあります。
その他の設定については初期値のままで問題ないでしょう。
|
⇒「Echo Reply」と「Echo Request」は禁止。 他は基本的に初期値でよい。 |
◆その他のシステム設定
「オプション」の「システム」の「その他のシステム設定」から設定します。
ここには、インストールしたときから幾つかのルールが入れられています。
この部分は日本語化されていませんので、
以下を参考にチェックするかどうかを決めてください。
・Allow DNS Resolving(初期値:ON)
DNSの解決を許可します。
・Allow Outgoing DHCP(初期値:ON)
IP等をプロバイダがDHCPによって自動に割り振ることを許可します。
ダイアルアップ接続を行わない場合は、不要(チェックなし)です。
・Allow Inbound Identification(初期値:OFF)
AUTHにより、外部からOSの情報などを問い合わせることを許可します。
pop3やSMTPのサーバが、
接続するPCを識別・認証する際に使用される場合があります。
・Allow Loopback(初期値:ON)
自分のPCから自分のPCに接続するのを許可します。
localhost(127.0.0.1)へ接続する場合も、一括して「Allow Loopback」で有効に
しないことをお勧めします。
Loopbackが必要な場合は、そのソフト毎に127.0.0.1への接続を許可するルールを
追加しましょう。(追記:2003/11/08)
・Allow GRE Protocol(初期値:ON)
送受信に、互いが違うプロトコルを使用することを許可します。
VPNを使用しない場合は不要です。
・Allow PPTP control connection(初期値:OFF)
PPTP制御を許可します。
VPNを使用しない場合は不要です。
・Block Remote Procedure Call (TCP / UDP) (初期値:ON)
他のコンピュータから、自コンピュータ内のプログラムを実行することを禁止します。
TCPとUDPによりオプションが分かれています。
・Block Server Message Block Protocol (TCP / UDP) (初期値:ON)
他のパソコンからアクセスして、サーバ側のファイルを操作することを禁止します。
TCPとUDPによりオプションが分かれています。
・Deny Unknown Protocols(初期値:ON)
規定されていないプロトコルを全て禁止します。