アプリケーションまたはアプリケーショングループのネットワークルールの作成および編集
Light Agent for Windows のローカルインターフェイスで、アプリケーションまたはアプリケーショングループの新しいネットワークルールを作成できます。ファイアウォールはこのルールを使用して、選択されたアプリケーションまたは選択されたアプリケーショングループに属するアプリケーションのネットワーク動作を制御します。アプリケーションまたはアプリケーショングループのネットワークルールを作成した後、必要に応じてその設定に戻り、ルールを変更することができます。
Kaspersky Security Center では、アプリケーショングループに限りネットワークルールの設定の作成および編集を行えます。
ネットワークパケットルールの優先度は、アプリケーションのネットワークルールよりも高くなります。
Kaspersky Security Center からアプリケーショングループのネットワークルールを作成または編集するには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護された仮想マシンが所属する管理グループと同じ名前のフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- Light Agent for Windows ポリシーのプロパティウィンドウで、左のリストから[ファイアウォール]を選択します。
ウィンドウの右側に、ファイアウォールの設定が表示されます。
- [ファイアウォールルール]セクションで、セクションの上部にある[設定]をクリックします。
[ファイアウォール]ウィンドウの[アプリケーションコントロールルール]タブが開きます。
- アプリケーションのリストで、ネットワークルールを作成または編集するアプリケーションのグループを選択します。
- [編集]をクリックするか、右クリックしてコンテキストメニューを表示し、[グループのルール]を選択します。
[アプリケーショングループコントロールルール]ウィンドウが開きます。
- [ネットワークルール]タブを選択し、次のいずれかの操作を実行します:
- 新しいアプリケーショングループのネットワークルールを作成するには、[追加]をクリックします。
- アプリケーショングループの既存のネットワークルールを編集するには、ネットワークルールのリストから選択し、[編集]をクリックします。
[ネットワークルール]ウィンドウが開きます。
- [処理]ドロップダウンリストで、この種類のネットワークの動作が検知されたときにファイアウォールによって実行される次のいずれかの処理を選択します:
- 許可
- ブロック
- [名前]で、次のいずれかの方法でネットワークサービス名を指定します:
- [名前]の右側の
アイコンをクリックし、ドロップダウンリストからネットワークサービス名を選択します。本製品には、使用される頻度が最も多いネットワーク接続と一致するネットワークサービスが含まれます。
- [名前]に、ネットワークサービスの名前を手動で入力します。
- [名前]の右側の
- データ転送プロトコルを指定します。
- [プロトコル]をオンにします。
- ドロップダウンリストで、ファイアウォールが動作をするプロトコルの種別を選択します。
TCP、UDP、ICMP、ICMPv6、IGMP、GRE プロトコルを使用するネットワーク接続がファイアウォールによって監視されます。
既定では、[プロトコル]がオフになっています。
[名前]ドロップダウンリストからネットワークサービスを選択すると、[プロトコル]が自動的にオンになり、このチェックボックスの横にあるドロップダウンリストに、選択したネットワークサービスに対応するプロトコルの種類が示されます。
- [通信方向]ドロップダウンリストでは、監視されたネットワークの動作の方向を選択します。
次の方向のネットワーク接続がファイアウォールによって監視されます:
- 受信
- 受信 / 送信
- 送信
- ICMP または ICMPv6 プロトコルを選択すると、ICMP パケットの種類とコードを指定できます。
- [ICMP 種別]をオンにし、ドロップダウンリストで ICMP パケットの種類を選択します。
- [ICMP コード]をオンにし、ドロップダウンリストで ICMP パケットコードを選択します。
- TCP または UDP プロトコルを選択すると、接続が監視される仮想マシンとリモートコンピューターのポートを指定できます:
- [リモートポート]にはリモートコンピューターのポートを入力します。
- [ローカルポート]には仮想マシンのポートを入力します。
- ネットワークパケットを送信または受信するリモートコンピューターのネットワークアドレスを指定します。そのためには、[リモートアドレス]ドロップダウンリストで次のいずれかの値を選択します:
- すべてのアドレス:ネットワークルールは、すべての IP アドレスのリモートコンピューターで送信または受信されるネットワークパケットを管理します。
- 選択したアドレス:ネットワークルールは、[許可するネットワーク]、[プライベートネットワーク]、[パブリックネットワーク]の中から選択されたネットワーク種別に関連付けられている IP アドレスのリモートコンピューターで送信または受信されるネットワークパケットを管理します。
- リストからのアドレス:ネットワークルールは、[追加]、[編集]、[削除]の各ボタンを使用して、下のリストで指定した IP アドレスのリモートコンピューターで送信または受信されるネットワークパケットを管理します。
- ネットワークパケットを送信または受信する SVM のネットワークアドレスを指定します。そのためには、[ローカルアドレス]ドロップダウンリストで次のいずれかの値を選択します:
- すべてのアドレス:ネットワークルールは、すべての IP アドレスの SVM で送信または受信されるネットワークパケットを管理します。
- リストからのアドレス:ネットワークルールは、[追加]、[編集]、[削除]の各ボタンを使用して、下のリストで指定した IP アドレスの SVM で送信または受信されるネットワークパケットを管理します。
- ネットワークルールの処理をレポートに反映する場合は、[イベントを記録する]をオンにします。
- [ネットワークルール]ウィンドウで[OK]をクリックします。
アプリケーショングループの新しいネットワークルールを作成すると、そのルールが[アプリケーショングループコントロールルール]ウィンドウの[ネットワークルール]タブに表示されます。
- [アプリケーショングループコントロールルール]ウィンドウで[OK]をクリックします。
- [ファイアウォール]ウィンドウで[OK]をクリックします。
- [適用]をクリックします。
ローカルインターフェイスでアプリケーションまたはアプリケーショングループのネットワークルールを作成または編集するには:
- 保護された仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]セクションで、[ファイアウォール]を選択します。
ウィンドウの右側に、ファイアウォールの設定が表示されます。
- [アプリケーションネットワークルール]をクリックします。
[ファイアウォール]ウィンドウの[アプリケーションコントロールルール]タブが開きます。
- アプリケーションのリストで、ネットワークルールを作成または編集するアプリケーションまたはアプリケーショングループを選択します。
- [編集]をクリックするか、右クリックしてコンテキストメニューを表示し、[アプリケーションルール]または[グループルール]を選択します。
[アプリケーションコントロールルール]ウィンドウまたは[アプリケーショングループコントロールルール]ウィンドウが開きます。
- 表示されたウィンドウで[ネットワークルール]タブを選択し、次のいずれかの操作を実行します:
- 新しいネットワークルールを作成するには、[追加]をクリックします。
- ネットワークルールを編集するには、ネットワークルールのリストからルールを選択し、[編集]をクリックします。
[ネットワークルール]ウィンドウが開きます。
- 前の手順のステップ 10 ~ 18 を実行します。
ローカルインターフェイスで設定を行えない場合は、ポリシーによって定義された設定の値が、管理グループのすべての保護された仮想マシンに対して使用されていることを意味します。
- [ネットワークルール]ウィンドウで[OK]をクリックします。
アプリケーショングループの新しいネットワークルールを作成すると、そのルールは[アプリケーションコントロールルール]ウィンドウまたは[アプリケーショングループコントロールルール]ウィンドウの[ネットワークルール]タブに表示されます。
- [アプリケーションコントロールルール]ウィンドウ、または[アプリケーショングループコントロールルール]ウィンドウで[OK]をクリックします。
- [ファイアウォール]ウィンドウで[OK]をクリックします。
- 変更を保存するには[保存]をクリックします。