ファイアウォール

このセクションで説明する Kaspersky Security の機能は、Windows デスクトップ向けまたはサーバー向けオペレーティングシステムを搭載した仮想マシンに本製品をインストールしている場合にのみ使用できます。

ローカルネットワークおよびインターネットでの作業中に、仮想マシンは、ウイルス、その他の悪意のあるアプリケーション、オペレーティングシステムとソフトウェアの脆弱性を悪用する様々な攻撃を受ける可能性があります。

ファイアウォールは、保護対象仮想マシンとインターネットまたはローカルエリアネットワークとの接続中に、ネットワークの脅威をブロックし、保護対象仮想マシンに保存されている個人データを保護します。

本製品のインストール後に保護対象仮想マシンへのリモート接続が確立されると、ファイアウォールが既定で有効になり、RDP セッションをブロックします。セッションがブロックされないようにするには、ファイアウォールの処理で［リモートデスクトップのネットワーク活動］ネットワークパケットルールを［許可］に変更する必要があります。

ファイアウォールの動作中は、競合を回避するために Windows ファイアウォールが無効になります。Windows ファイアウォールがドメインポリシーによって使用されている場合、ファイアウォールの動作中は、ドメインポリシーで Windows ファイアウォールを無効にする必要があります。

ネットワーク接続ステータス

ファイアウォールは保護対象仮想マシンのネットワーク接続をすべて管理し、検出した各ネットワーク接続にステータスを自動的に割り当てます。

ネットワーク接続種別は、次のいずれかの種別になります：

• パブリックネットワークアンチウイルス製品、ファイアウォール、またはフィルターによって保護されないネットワークのステータス（インターネットカフェのネットワークなど）です。ユーザーがこのようなネットワークに接続されている保護対象仮想マシンを操作する時に、ファイアウォールはこの仮想マシンのファイルやプリンターへのアクセスをブロックします。外部ユーザーも、この仮想マシンの共有フォルダーからデータにアクセスしたり、この仮想マシンのデスクトップにリモートアクセスしたりすることはできません。ファイアウォールは、各アプリケーションのネットワーク活動を、各アプリケーションに設定されたネットワークルールに従ってフィルタリングします。

  既定では、ファイアウォールは、［パブリックネットワーク］ステータスをインターネットに割り当てます。インターネットのステータスは変更できません。

• プライベートネットワークこのステータスは、ユーザーが保護対象仮想マシンのファイルやプリンターにアクセスすることを許可されているネットワーク（LAN またはホームネットワークなど）に割り当てられます。
• 許可するネットワークこのステータスは、仮想マシンが攻撃されない、または不正にアクセスされない安全なネットワークに割り当てられます。このステータスのネットワーク内では、ファイアウォールは、すべてのネットワーク活動を許可します。

ファイアウォールが検知したネットワーク接続に割り当てるステータスを変更できます。

また、Kaspersky Security Center を使用すると、ファイアウォールが活動を監視するネットワークの設定を再定義できます。ネットワークの追加、ネットワーク設定の変更、表からのネットワークの削除が可能です。

ネットワークルール

ネットワークルールを使用すると、ネットワーク接続試行の検知時にファイアウォールによって実行される処理を許可またはブロックできます。ネットワークルールを設定すると、すべてのアプリケーションのインターネットアクセスをブロックすることから、アクセスを無制限に許可することまで、目的の仮想マシン保護レベルを指定できます。

ファイアウォールは、ネットワーク層とアプリケーション層の 2 つの層で仮想マシンを保護します。

• ネットワーク層では、ネットワークパケット用のルール（ネットワークパケットルール）を適用して仮想マシンを保護します。ネットワークパケットルールはアプリケーションに関係なく、ネットワークパケットを制限する目的で使用します。このルールにより、選択したデータプロトコルの、特定のポートを通じた、受信ネットワークトラフィックと送信ネットワークトラフィックが制限されます。既定では、ファイアウォールによって、特定のネットワークパケットルールが指定されます。
• アプリケーション層では、保護対象仮想マシンにインストールされたアプリケーションがネットワークリソースにアクセスするためのルールを適用して仮想マシンを保護します。アプリケーションネットワークルールは、特定のアプリケーションのネットワーク活動を制限する目的で使用されます。このルールでは、ネットワークパケットの特徴だけでなく、このネットワークパケットの宛先となっているアプリケーションまたはネットワークパケットを発行するアプリケーションも考慮されます。このルールを使用して、ネットワーク活動のフィルタリングを詳細に調整できます。たとえば、特定の種類のネットワーク接続を一部のアプリケーションではブロックし、他のアプリケーションでは許可することができます。

OS のリソース、プロセス、個人データへのアプリケーションからのアクセスは、アプリケーションコントロールルールを使用してアプリケーション権限コントロールにより制御されます。

アプリケーションのネットワークルールは、ネットワーク層で指定された次のフィルタリング設定を考慮しません：

• ネットワークアダプター ID
• ローカルアダプターの MAC アドレスのリスト
• ローカル MAC アドレスのリスト
• リモート MAC アドレスのリスト
• イーサネットフレームの種別（IP、IPv6、ARP）
• IP パケットの生存時間（TTL）

ネットワーク層とアプリケーション層のルールを組み合わせて使用するため、ネットワーク層で許可されたネットワークトラフィックがアプリケーション層でブロックされる場合があります。

アプリケーションおよびアプリケーショングループ向けのネットワークルール

既定では、Kaspersky Security セキュリティグループはファイルまたはネットワーク活動が監視対象となっているソフトウェアの開発元名別に、保護対象仮想マシンのオペレーティングシステムにインストールされているすべてのアプリケーションをグループ化します。アプリケーショングループは信頼グループに分類されます。すべてのアプリケーションとアプリケーショングループは、アプリケーションコントロールルールプロパティ、アプリケーションネットワークルールプロパティ、実行優先順プロパティを親グループから継承します。

ファイアウォールは、保護対象仮想マシンで検出された各アプリケーショングループのネットワークルールのセットを作成し、アプリケーショングループに対してネットワークルールを適用して、そのグループに属するすべてのアプリケーションのネットワーク活動をフィルタリングします。アプリケーションネットワークルールでは、グループ内のアプリケーションによる異なるネットワーク接続へのアクセス権限が定義されます。

アプリケーショングループの既定のネットワークルールは、継承されたアプリケーションネットワークルールと同様に、変更、削除、無効化、優先度の変更ができません。

アプリケーショングループ向けに既定で作成されたネットワークルール、および継承されたアプリケーションのネットワークルールに適用されたファイアウォールの動作を変更できます。

アプリケーショングループ、または個別のアプリケーション向けにネットワークルールを作成できます。アプリケーションのネットワークルールは、アプリケーションが属するグループのネットワークルールより高い優先度を持ちます。

ネットワークルールの優先度

各ルールには優先度があります。リスト内でルールが上位に位置するほど、優先度は高くなります。ネットワーク活動が複数のルールに追加されると、ファイアウォールは優先度が最も高いルールに基づいてネットワーク活動を制御します。

ネットワークパケットルールの優先度は、アプリケーションのネットワークルールよりも高くなります。同じ種別のネットワーク活動に、ネットワークパケットルールとアプリケーションのネットワークルールの両方が指定されている場合、そのネットワーク活動はネットワークパケットルールに従って処理されます。

ネットワークパケットルール、および手動で作成したアプリケーションまたはアプリケーショングループのネットワークルールの実行の優先度を設定できます。

ファイアウォールの使用時の注意事項

ファイアウォールを使用する場合、次の特殊事項を考慮してください：

• 送信側の IP アドレスと受信側の IP アドレスが同一であり、パケットが RAW ソケットを使用して送信される場合、TCP および UDP プロトコルでのアプリケーション層のネットワーク活動はブロックされません。
• リモートデバイスの IP アドレスが次である場合、ファイアウォールはアプリケーションルールをチェックせず、ネットワーク活動を許可します：
  • IPv4 の場合：127.0.0.1
  • IPv6 の場合： ::1

  （パケットが RAW ソケットを使用して送信される場合）

• データを送受信するローカルアドレスは、次の場合に不定になる場合があります：
  • TCP または UDP プロトコルのネットワーク活動を開始したアプリケーションでローカル IP アドレスが指定されていない。
  • アプリケーションが ICMP プロトコルのネットワーク活動を開始した。
  • アプリケーションが UDP プロトコルで受信パケットを受信する。
• ファイアウォールはネットワーク層でループバックトラフィックをフィルタリングしません。ループバックパケットの判定はアプリケーション層で行われます。
• ICMP プロトコルでアプリケーション層のネットワーク活動をフィルタリングする場合、送信 ICMP エコー要求のみがサポートされます。
• アプリケーション層で受信 ICMP パケットはフィルタリングされません。
• RAW ソケットから送信されるネットワーク活動では、アプリケーション層でパケットルールに基づくフィルタリングが適用されません。
• ネットワーク攻撃防御によって拒否されるパケットはファイアウォールでスキャンされません。
• SVM がトンネリングネットワークインターフェイスを使用している場合、トンネルされるトラフィックでは、パケットがインターフェイス間で移動するにつれて、パケットルールを使用したフィルタリングが同じパケットに対して繰り返し適用されます。

このセクションでは、管理コンソールと Light Agent for Windows のローカルインターフェイスを使用して、ファイアウォールを設定する方法について説明します。ファイアウォールは、Web コンソールでの Light Agent for Windows ポリシー設定（［アプリケーション設定］→［アンチウイルスによる保護］→［ファイアウォール］）の作成、編集時にも設定できます。アプリケーションまたはアプリケーショングループのネットワークルールの設定は、Web コンソールではサポートされていません。