Comments
Description
Transcript
Symantec™ Client Firewall ポリシー移行ガイド
Symantec™ Client Firewall ポ リシー移行ガイド Symantec Client Firewall ポリシー移行ガイド 本書で説明するソフトウェアは、使用許諾契約に基づいて提供され、その内容に同意する場合にの み使用することができます。 Documentation version 11.00.06.00.00 登録商標 Copyright © 2010 Symantec Corporation.All rights reserved. Symantec、Symantec ロゴ、Bloodhound、Confidence Online、Digital Immune System、 LiveUpdate、Norton、Sygate、TruScan は、Symantec Corporation または同社の米国およびそ の他の国における関連会社の商標または登録商標です。その他の会社名、製品名は各社の登録 商標または商標です。 Symantec 製品には、特定のサードパーティ製ソフトウェアが配布、組み込み、または同梱されてい る場合があります。また、本製品のインストールおよび使用にともない、サードパーティ製ソフトウェア の使用を推奨する場合があります。このライセンス対象ソフトウェアには、オープンソースのフリーウェ アライセンスで利用可能なサードパーティのソフトウェアプログラム(「サードパーティプログラム」)を 含めることができるものとします。本ソフトウェアに付随する使用許諾契約では、オープンソースのフ リーウェアライセンスでお客様が有することのできる権利または義務は変更されないものとします。 サードパーティのソフトウェアの著作権に関する情報については、本製品に付属のサードパーティ 製ソフトウェアのファイルを参照してください。 本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバース・エンジニアリングを制限 するライセンスに基づいて頒布されています。Symantec Corporation からの書面による許可なく本 書を複製することはできません。 Symantec Corporation が提供する技術文書は Symantec Corporation の著作物であり、Symantec Corporation が保有するものです。保証の免責: 技術文書は現状有姿で提供され、Symantec Corporation はその正確性や使用について何ら保証いたしません。技術文書またはこれに記載さ れる情報はお客様の責任にてご使用ください。本書には、技術的な誤りやその他不正確な点を含 んでいる可能性があります。Symantec は事前の通知なく本書を変更する権利を留保します。 本ソフトウェアは、FAR 12.212 の規定によって商業用コンピュータソフトウェアと見なされ、FAR 52.227-19 「Commercial Computer Software - Restricted Rights」、DFARS 227.7202 「Rights in Commercial Computer Software or Commercial Computer Software Documentation」、そ の他の後継規制の規定により制限された権利の対象となります。米国政府による本ソフトウェアの使 用、修正、複製のリリース、実演、表示または開示は、本使用許諾契約の条項に従ってのみ行われ るものとします。 弊社製品に関して、当資料で明示的に禁止、あるいは否定されていない利用形態およびシステム 構成などについて、これを包括的かつ暗黙的に保証するものではありません。また、弊社製品が稼 動するシステムの整合性や処理性能に関しても、これを暗黙的に保証するものではありません。これ らの保証がない状況で、弊社製品の導入、稼動、展開した結果として直接的、あるいは間接的に発 生した損害等についてこれが補償されることはありません。製品の導入、稼動、展開にあたっては、 お客様の利用目的に合致することを事前に十分に検証および確認いただく前提で、計画および準 備をお願いします。 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポ リシーの移行 この文書では以下の項目について説明しています。 ■ Symantec Client Firewall ポリシーの移行 ■ Symantec Client Firewall 移行ウィザードで生成されるポリシーについて ■ ファイアウォールルールが生成される順序について ■ Symantec Client Firewall 移行ウィザードのインストールについて ■ Symantec Client Firewall 移行ウィザードのインストール ■ Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection Manager ポリシーへの変換 ■ 移行したポリシーの Symantec Endpoint Protection Manager へのインポート ■ インポートした場所固有のファイアウォールポリシーのファイアウォールルールについ て ■ 移行に失敗したポリシーの移行 4 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 Symantec Client Firewall ポリシーの移行 Symantec Client Firewall ポリシーの移行 Symantec Client Firewall ポリシーは、Symantec Client Firewall 移行ウィザードを 使って Symantec Endpoint Protection Manager に移行できます。このウィザードを使 うと、Symantec Client Firewall ポリシーが、Symantec Endpoint Protection Manager にインポートできる複数のポリシーに変換されます。 表 1-1 に、Symantec Client Firewall ポリシーを Symantec Endpoint Protection Manager に移行するための処理を示します。 Symantec Client Firewall ポリシーを移行するための処理 表 1-1 手順 タスク 手順 1 移行する Symantec Client Firewall ポリシーファイルを、移行ウィザードを実行するコ ンピュータにエクスポートします。 p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を参照してください。 ポリシーの保存方法について詳しくは、Symantec Client Firewall Administrator の ヘルプを参照してください。 手順 2 Symantec Endpoint Protection Manager を実行するコンピュータまたは別のコン ピュータに移行ウィザードをインストールします。 p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくださ い。 手順 3 移行ウィザードを実行して Symantec Client Firewall ポリシーファイルを複数のポリ シーファイルに変換します。 p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection Manager ポリシーへの変換」 を参照してください。 手順 4 出力ポリシーファイルを Symantec Endpoint Protection Manager にインポートしま す。 p.9 の 「移行したポリシーの Symantec Endpoint Protection Manager へのインポー ト」 を参照してください。 Symantec Client Firewall 移行ウィザードで生成される ポリシーについて 移行ウィザードでは、1 つの Symantec Client Firewall ポリシーを、ファイアウォールポ リシーと侵入防止ポリシーという 2 種類の Symantec Endpoint Protection Manager ポ リシーに変換します。 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 Symantec Client Firewall 移行ウィザードで生成されるポリシーについて それぞれの Symantec Client Firewall ポリシーについて、移行ウィザードでは次のファ イアウォールポリシーが作成されます。 ■ デフォルトの場所のファイアウォールポリシー ■ 追加の各場所のファイアウォールポリシー ■ pRule のファイアウォールポリシー それぞれの Symantec Client Firewall ポリシーについて、移行ウィザードでは次の侵入 防止ポリシーが作成されます。 ■ IPS Policy エクスポートした Symantec Client Firewall Administrator ポリシーの形式は次のよう になります。 ■ .cfp 形式と .xml 形式はすべての設定を含む完全ポリシーファイルです。 ■ .cfu 形式は更新されたポリシーファイルです。 移行ウィザードでは、これらのファイルから .dat ファイルを生成します。.dat ファイルは .zip 形式で保存されます。 表 1-2 は、移行ウィザードで .cfp 形式と .xml 形式から生成されるポリシーファイルと、そ れらに対応する出力ファイルの名前と内容を示しています。 表 1-2 出力ポリシーファイルの名前と内容 Symantec Client 出力ファイル名 Firewall 移行ウィザー ドの出力 Symantec Client Firewall Administrator の内容の説明 Firewall Policy?Default <入力ファイル名>.dat Location デフォルトの場所とクライアント設定に関連付 けされたすべてのルールとゾーンの設定が 含まれます。 Firewall Policy?All Locations <入力ファイル名>_<場 所>.dat Firewall Policy?pRules <入力ファイル名 >_prule.dat 入力ポリシーの各場所について、Symantec Endpoint Protection Manager のファイア ウォールポリシーが 1 つずつ作成されます。 それぞれの場所固有のポリシーには、入力 ポリシーから取得した場所とクライアント設定 に関連付けされたすべてのルールとゾーン の情報が含まれます。 入力ポリシーのすべての pRule とクライアン ト設定が含まれます。 5 6 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 ファイアウォールルールが生成される順序について Symantec Client 出力ファイル名 Firewall 移行ウィザー ドの出力 <入力ファイル名 >_ips.dat IPS Policy Symantec Client Firewall Administrator の内容の説明 IPS の次の設定が含まれます。 [Zones]の[AutoBlock Exclusions]タ ブのアドレス ■ [IPS]タブのシグネチャ Symantec Endpoint Protection Manager では、IPS V1.x シグネチャは 移行されません。 ■ [Client Settings]の[一般]タブの侵入 防止の設定 ■ 移行ウィザードでは、.cfu 形式の Symantec Client Firewall Administrator ポリシーに ついては、Firewall Policy?Default Location ポリシーと Firewall Policy?pRules ポリ シーだけが生成されます。 p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection Manager ポリシーへの変換」 を参照してください。 ファイアウォールルールが生成される順序について 移行ウィザードでは、Symantec Client Firewall の各タブの設定を Symantec Endpoint Protection Manager ファイアウォールポリシーのファイアウォールルールに変換します。 さらに、それらのファイアウォールルールを特定の順序で配置します。この順序は、 Symantec Client Firewall Administrator のどのタブの内容であるかに基づいて決ま ります。 表 1-3 は、Symantec Client Firewall のルールと設定が移行ウィザードによって Firewall Policy?Default Location ポリシーと Firewall Policy?All Locations ポリシーに配置さ れる順序を示しています。 場所固有のファイアウォールポリシー 表 1-3 順序 Symantec Client Firewall Administrator のタブ 1 Zones ■ Restricted Zone ■ Trusted Zone メモ: [AutoBlock Exclusions]タブと[Zone Settings]タブの設定は移行されません。 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 Symantec Client Firewall 移行ウィザードのインストールについて 順序 Symantec Client Firewall Administrator のタブ 2 Client Settings 3 ■ [Client Settings]の[Protocol Filtering] ■ [Client Settings]タブのその他の設定 ルール ■ General Rules ■ Program Rules ■ Trojan Rules ■ デフォルトルール 移行ウィザードでは、デフォルトルールはポリシーの一番下に追加されます。移行 された他のファイアウォールルールで無視されるトラフィックについては、デフォルト ルールに基づいて、トラフィックを許可するか遮断するかをユーザーに確認するメッ セージが表示されます。 表 1-4 は、Symantec Client Firewall の pRule ポリシーが移行ウィザードによって Firewall Policy?pRules ポリシーに配置される順序を示しています。 pRule ポリシーの順序 表 1-4 順序 Symantec Client Firewall Administrator のタブ 1 pRules 2 デフォルトルール Symantec Client Firewall 移行ウィザードのインストー ルについて Symantec Client Firewall 移行ウィザードには、SCFMigrationTool.bat と SCFMigrationTool.jar という 2 つのファイルが含まれています。これらのファイルはイン ストール製品ディスクの TOOLS ディレクトリまたはシマンテックのテクニカルサポートで入 手できます。 移行ウィザードでは Java Runtime Environment(JRE)1.5 以降も必要ですが、このソフ トウェアは含まれていません。このウィザードは、Symantec Endpoint Protection Manager でサポートされるすべてのオペレーティングシステムで動作します。Symantec Endpoint Protection Manager は Windows Vista では動作せず、また、Windows Vista でのサ ポートもしていません。 Symantec Endpoint Protection Manager が動作しているコンピュータに移行ウィザー ドをインストールする場合は、JRE 1.6 をインストールする必要はありません。Symantec Endpoint Protection Manager によって JRE 1.6 が自動的にインストールされます。 7 8 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 Symantec Client Firewall 移行ウィザードのインストール Symantec Endpoint Protection Manager が動作していないコンピュータに移行ウィ ザードをインストールする場合は、そのコンピュータに JRE 1.5 以降をインストールする必 要があります。 JRE 1.5 以降は http://www.sun.com からダウンロードできます。 Symantec Endpoint Protection Manager が動作していないコンピュータに Symantec Client Firewall 移行ウィザードをインストールする場合は、PATH 環境変数を設定する 必要があります。PATH 環境変数で JRE 実行時フォルダを示してください。コマンドプロ ンプトから実行する PATH コマンドの例を次に示します。 PATH=%PATH%;c:¥Program Files¥Java¥jre1.6.0_07¥bin %PATH%; エントリによって既存のパス情報が保存され、この既存のパス情報に JRE ディ レクトリ情報が追記されます。PATH コマンドを使って現在のパス情報を表示できます。 p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくださ い。 Symantec Client Firewall 移行ウィザードのインストー ル Symantec Client Firewall 移行ウィザードは Symantec Endpoint Protection Manager と同じコンピュータにインストールすることを推奨します。また、Symantec Client Firewall ポリシーは、移行ウィザードを実行する同一のコンピュータにコピーする必要があります。 p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection Manager ポリシーへの変換」 を参照してください。 Symantec Client Firewall 移行ウィザードをインストールするには ◆ Symantec Endpoint Protection Manager が動作しているコンピュータで、 SCFMigrationTool.bat と SCFMigrationTool.jar を次のディレクトリにコピーし ます。 ¥¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥bin Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection Manager ポリシーへの変換 移行ウィザードを使って、エクスポートした Symantec Client Firewall ポリシーを複数の Symantec Endpoint Protection Manager ポリシーに変換できます。移行ウィザードで は、入力ポリシーファイルと、変換したポリシーファイルを配置する出力ディレクトリを選択 する必要があります。 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 移行したポリシーの Symantec Endpoint Protection Manager へのインポート p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を 参照してください。 Symantec Client Firewall ポリシーを複数の Symantec Endpoint Protection Manager ポリシーに変換するには 1 移行するポリシーを、移行ウィザードをインストールした同じコンピュータの出力ディ レクトリにコピーします。 p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくだ さい。 2 SCFMigrationTool.bat を参照してダブルクリックします。 3 [ようこそ]パネルで、[次へ]をクリックします。 4 [Policy File Selection]パネルで[参照]をクリックし、移行するポリシーファイルを 指定します。 5 [Output Directory Selection]パネルで、[参照]をクリックして出力ディレクトリを 指定し、[次へ]をクリックします。 6 [Options and Migration]パネルで、作成しないポリシーファイルのチェックマーク をはずし(省略可能)、[Migrate]をクリックします。 7 移行が完了したら、[Migration Status]パネルで[レポート]をクリックして、移行さ れたルールとオプションを見直します。 8 [完了]をクリックします。 9 出力ディレクトリに作成された .dat ファイルを見直します。 これらのファイルを Symantec Endpoint Protection Manager にインポートできま す。 p.9 の 「移行したポリシーの Symantec Endpoint Protection Manager へのイン ポート」 を参照してください。 移行したポリシーの Symantec Endpoint Protection Manager へのインポート 移行ウィザードでは、インポートできる 2 種類のポリシーとして、複数のファイアウォール ポリシーと 1 つの侵入防止ポリシーが生成されます。 メモ: ファイアウォールポリシーは、侵入防止ポリシーとしてではなく、ファイアウォールポ リシーとしてインポートしてください。侵入防止ポリシーは、ファイアウォールポリシーとして ではなく、侵入防止ポリシーとしてインポートしてください。そうしないと、ポリシーが正しく 移行されません。 9 10 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 インポートした場所固有のファイアウォールポリシーのファイアウォールルールについて Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager にポリシーを変換すると、次の点が変更されます。 ■ Symantec Client Firewall Administrator から移行された時点でロックされていた ゾーンルールと pRule は、Symantec Endpoint Protection Manager でロック解除 されます。これはインポート後に修正できます。 ■ 監視処理が含まれるすべての Symantec Client Firewall Administrator ルール は、Symantec Endpoint Protection Manager に移行されると無効になります。処 理は[許可]にリセットされ、ログ記録が有効になります。 ■ [Custom Alert Text]のエントリは、Symantec Endpoint Protection Manager で は 127 文字に切り捨てられます。 p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を 参照してください。 移行したポリシーを Symantec Endpoint Protection Manager にインポートするには 1 Symantec Endpoint Protection Manager にログオンします。 2 コンソールで、[ポリシー]をクリックします。 3 次のいずれかのタスクを行います。 4 ■ [ポリシーの表示]で[ファイアウォール]をクリックします。 ■ [ポリシーの表示]で[侵入防止]をクリックします。 次のいずれかのタスクを行います。 ■ [タスク]で[ファイアウォールポリシーをインポート]をクリックします。 ■ [タスク]で[侵入防止ポリシーのインポート]をクリックします。 5 [ポリシーのインポート]ダイアログボックスで、出力ディレクトリに移行したポリシーを 参照して選択します。 6 右ペインで、インポートしたポリシーをクリックします。 7 [タスク]で[ポリシーの編集]をクリックし、移行したポリシーを見直します。 インポートした場所固有のファイアウォールポリシーの ファイアウォールルールについて Symantec Endpoint Protection Manager では各場所に対して、Symantec Client Firewall Administrator の特定の設定と同じ機能を持つ[許可]、[遮断]、[確認]の各 操作が設定されたファイアウォールルールが作成されます。 ファイアウォールルールは、Symantec Client Firewall Administrator の以下の設定 で指定した値の組み合わせに基づいて決まります。 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 移行に失敗したポリシーの移行 ■ [場所]の[Connection Management]タブの[Rule exception handling]の設定 ■ [Client Settings]の[一般]タブの[Custom Security Level - Firewall Level] ■ [Client Settings]の[一般]タブの[Custom Security Level - Access Control Alerts] p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を 参照してください。 表 1-5 は、Symantec Endpoint Protection Manager で各場所に対して作成されるファ イアウォールルールを示しています。 管理サーバーで場所に基づくポリシーに対して作成されるファイア ウォールルール 表 1-5 ルール例外 ファイアウォールレベル アクセス制御警告の設 Symantec Endpoint 処理の設定 の設定 定 Protection Manager のファイアウォール ルールの処理 BLOCK 無視 無視 遮断 PERMIT 無視 無視 許可 PROMPT 無視 ENABLE 確認 PROMPT Medium DISABLE 許可 PROMPT High DISABLE 遮断 たとえば、ルール例外処理の設定が [PROMPT] でアクセス制御警告の設定が [ENABLE] の場合、そのファイアウォールルールの処理は Symantec Endpoint Protection Manager では[確認]に変換されます。ルール例外処理の設定が [BLOCK] の場合は、ファイアウォールルールの処理は[遮断]に変換されます。 移行に失敗したポリシーの移行 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager への移行では、5 つのセキュリティポリシーが移行に失敗しています。 表 1-6 は、移行に失敗したポリシーと、検出されたバージョンを示しています。 表 1-6 移行に失敗したポリシー 不具合番号 セキュリティポリシー Symantec AntiVirus の バージョン 1142104 retailprules.cfu 9.x 11 12 第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行 移行に失敗したポリシーの移行 不具合番号 セキュリティポリシー Symantec AntiVirus の バージョン 1142133 VeryHighSecurity.xml 10 または 10.1 1142130 HighSecurity.xml 10 または 10.1 1142126 MediumSecurity.xml 10 または 10.1 1142121 LowSecurity.xml 10 または 10.1 以下の手順は、これらのセキュリティポリシーを移行できるようにするための回避策を詳し く説明しています。 移行に失敗したポリシーを移行するには 1 Symantec Client Firewall Administrator を開きます。 2 Symantec AntiVirus 9.x から移行する場合は、cd4 フォルダから retailprules.cfu ポリシーを選択します。 3 Symantec AntiVirus 10 または 10.1 から移行する場合は、cd4 フォルダから以下 のセキュリティポリシーの 1 つを選択します。 ■ VeryHighSecurity.xml ■ HighSecurity.xml ■ MediumSecurity.xml ■ LowSecurity.xml 4 選択したセキュリティポリシーを Symantec Client Firewall Administrator にイン ポートします。 5 このセキュリティポリシーを、[名前を付けて保存]コマンドを使って Symantec Client Firewall Administrator からエクスポートします。 ファイルが .cfp という拡張子を付けて保存されます。 6 コマンドプロンプトから SCFMigrationTool.bat ファイルを使って Symantec Client Firewall 移行ウィザードを開きます。 7 移行ウィザードで、.cfp 拡張子の付いたセキュリティポリシーファイルを参照して選 択します。 8 出力ディレクトリを指定します。 9 [次へ]をクリックし、[Migrate]をクリックします。 10 [完了]をクリックします。 出力フォルダに .dat ファイルが表示され、Symantec Endpoint Protection Manager で使えるようになります。