ファイアウォール

このセクションで説明する Kaspersky Security の機能は、Windows デスクトップ向けまたはサーバー向けオペレーティングシステムを搭載した仮想マシンに本製品をインストールしている場合にのみ使用できます。

LAN およびインターネットの使用中に、仮想マシンは、ウイルス、その他の悪意のあるアプリケーション、オペレーティングシステムとソフトウェアの脆弱性を悪用する様々な攻撃を受ける可能性があります。

ファイアウォールは、保護対象仮想マシンに保存されているデータを保護し、保護対象仮想マシンがインターネットまたはローカルエリアネットワークに接続している時に、ネットワークの脅威をブロックします。ファイアウォールは、保護対象仮想マシンのすべてのネットワーク接続を検出し、既定のネットワーク接続のステータスとともに、IP アドレスのリストを表示します。

本製品のインストール後に保護対象仮想マシンへのリモート接続が確立されると、ファイアウォールが既定で有効になり、RDP セッションをブロックします。セッションがブロックされないようにするには、ファイアウォールの処理で［リモートデスクトップのネットワーク活動］ネットワークパケットルールを［許可］に変更する必要があります。

ファイアウォールの動作中は、競合を回避するために Windows ファイアウォールが無効になります。Windows ファイアウォールがドメインポリシーによって使用されている場合、ファイアウォールの動作中は、ドメインポリシーで Windows ファイアウォールを無効にする必要があります。

ファイアウォールは保護対象仮想マシンのネットワーク接続をすべて管理し、検出した各ネットワーク接続にステータスを自動的に割り当てます。

ネットワーク接続種別は、次のいずれかの種別になります：

• パブリックネットワークアンチウイルス製品、ファイアウォール、またはフィルターによって保護されないネットワークのステータス（インターネットカフェのネットワークなど）です。ユーザーがこのようなネットワークに接続されている保護対象仮想マシンを操作する時に、ファイアウォールはこの仮想マシンのファイルやプリンターへのアクセスをブロックします。外部ユーザーも、この仮想マシンの共有フォルダーからデータにアクセスしたり、この仮想マシンのデスクトップにリモートアクセスしたりすることはできません。ファイアウォールは、各アプリケーションのネットワーク活動を、各アプリケーションに設定されたネットワークルールに従ってフィルタリングします。

  既定では、ファイアウォールは、［パブリックネットワーク］ステータスをインターネットに割り当てます。インターネットのステータスは変更できません。

• プライベートネットワークこのステータスは、ユーザーが保護対象仮想マシンのファイルやプリンターにアクセスすることを許可されているネットワーク（LAN またはホームネットワークなど）に割り当てられます。
• 許可するネットワークこのステータスは、仮想マシンが攻撃されない、または不正にアクセスされない安全なネットワークに割り当てられます。このステータスのネットワーク内では、ファイアウォールは、すべてのネットワーク活動を許可します。

ファイアウォールが検知したネットワーク接続に割り当てるステータスを変更できます。

また、Kaspersky Security Center を使用すると、ファイアウォールが活動を監視するネットワークの設定を再定義できます。ネットワークの追加、ネットワーク設定の変更、表からのネットワークの削除が可能です。

ファイアウォールを使用する場合、次の特殊事項を考慮してください：

• 送信側の IP アドレスと受信側の IP アドレスが同一であり、パケットが RAW ソケットを使用して送信される場合、TCP および UDP プロトコルでのアプリケーション層のネットワーク活動はブロックされません。
• リモートコンピューターの IP アドレスが次である場合、ファイアウォールはアプリケーションルールをチェックせず、ネットワーク活動を許可します：
  • IPv4 の場合：127.0.0.1
  • IPv6 の場合： ::1

  （パケットが RAW ソケットを使用して送信される場合）

• データを送受信するローカルアドレスは、次の場合に不定になる場合があります：
  • TCP または UDP プロトコルのネットワーク活動を開始したアプリケーションでローカル IP アドレスが指定されていない。
  • アプリケーションが ICMP プロトコルのネットワーク活動を開始した。
  • アプリケーションが UDP プロトコルで受信パケットを受信する。
• ファイアウォールはネットワーク層でループバックトラフィックをフィルタリングしません。ループバックパケットの判定はアプリケーション層で行われます。
• ICMP プロトコルでアプリケーション層のネットワーク活動をフィルタリングする場合、送信 ICMP エコー要求のみがサポートされます。
• アプリケーション層で受信 ICMP パケットはフィルタリングされません。
• RAW ソケットから送信されるネットワーク活動では、アプリケーション層でパケットルールに基づくフィルタリングが適用されません。
• ネットワーク攻撃防御によって拒否されるパケットはファイアウォールでスキャンされません。
• SVM がトンネリングネットワークインターフェイスを使用している場合、トンネルされるトラフィックでは、パケットがインターフェイス間で移動するにつれて、パケットルールを使用したフィルタリングが同じパケットに対して繰り返し適用されます。

このセクションでは、管理コンソールと Light Agent for Windows のローカルインターフェイスを使用して、ファイアウォールを設定する方法について説明します。ファイアウォールは、Web コンソールでの Light Agent for Windows ポリシー設定（［アプリケーション設定］→［アンチウイルスによる保護］→［ファイアウォール］）の作成、編集時にも設定できます。アプリケーションまたはアプリケーショングループのネットワークルールの設定は、Web コンソールではサポートされていません。

このヘルプセクションの内容 ネットワークルールの概要 ファイアウォールの有効化または無効化 ネットワーク接続種別の変更 ネットワークパケットルールの管理 アプリケーションとアプリケーショングループのネットワークルールの管理

ページのトップに戻る