...

Symantec™ Client Firewall ポリシー移行ガイド

by user

on
Category: Documents
6

views

Report

Comments

Transcript

Symantec™ Client Firewall ポリシー移行ガイド
Symantec™ Client Firewall ポ
リシー移行ガイド
Symantec Client Firewall ポリシー移行ガイド
本書で説明するソフトウェアは、使用許諾契約に基づいて提供され、その内容に同意する場合にの
み使用することができます。
Documentation version 11.00.06.00.00
登録商標
Copyright © 2010 Symantec Corporation.All rights reserved.
Symantec、Symantec ロゴ、Bloodhound、Confidence Online、Digital Immune System、
LiveUpdate、Norton、Sygate、TruScan は、Symantec Corporation または同社の米国およびそ
の他の国における関連会社の商標または登録商標です。その他の会社名、製品名は各社の登録
商標または商標です。
Symantec 製品には、特定のサードパーティ製ソフトウェアが配布、組み込み、または同梱されてい
る場合があります。また、本製品のインストールおよび使用にともない、サードパーティ製ソフトウェア
の使用を推奨する場合があります。このライセンス対象ソフトウェアには、オープンソースのフリーウェ
アライセンスで利用可能なサードパーティのソフトウェアプログラム(「サードパーティプログラム」)を
含めることができるものとします。本ソフトウェアに付随する使用許諾契約では、オープンソースのフ
リーウェアライセンスでお客様が有することのできる権利または義務は変更されないものとします。
サードパーティのソフトウェアの著作権に関する情報については、本製品に付属のサードパーティ
製ソフトウェアのファイルを参照してください。
本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバース・エンジニアリングを制限
するライセンスに基づいて頒布されています。Symantec Corporation からの書面による許可なく本
書を複製することはできません。
Symantec Corporation が提供する技術文書は Symantec Corporation の著作物であり、Symantec
Corporation が保有するものです。保証の免責: 技術文書は現状有姿で提供され、Symantec
Corporation はその正確性や使用について何ら保証いたしません。技術文書またはこれに記載さ
れる情報はお客様の責任にてご使用ください。本書には、技術的な誤りやその他不正確な点を含
んでいる可能性があります。Symantec は事前の通知なく本書を変更する権利を留保します。
本ソフトウェアは、FAR 12.212 の規定によって商業用コンピュータソフトウェアと見なされ、FAR
52.227-19 「Commercial Computer Software - Restricted Rights」、DFARS 227.7202 「Rights
in Commercial Computer Software or Commercial Computer Software Documentation」、そ
の他の後継規制の規定により制限された権利の対象となります。米国政府による本ソフトウェアの使
用、修正、複製のリリース、実演、表示または開示は、本使用許諾契約の条項に従ってのみ行われ
るものとします。
弊社製品に関して、当資料で明示的に禁止、あるいは否定されていない利用形態およびシステム
構成などについて、これを包括的かつ暗黙的に保証するものではありません。また、弊社製品が稼
動するシステムの整合性や処理性能に関しても、これを暗黙的に保証するものではありません。これ
らの保証がない状況で、弊社製品の導入、稼動、展開した結果として直接的、あるいは間接的に発
生した損害等についてこれが補償されることはありません。製品の導入、稼動、展開にあたっては、
お客様の利用目的に合致することを事前に十分に検証および確認いただく前提で、計画および準
備をお願いします。
Symantec Client Firewall
Administrator から
Symantec Endpoint
Protection Manager へのポ
リシーの移行
この文書では以下の項目について説明しています。
■
Symantec Client Firewall ポリシーの移行
■
Symantec Client Firewall 移行ウィザードで生成されるポリシーについて
■
ファイアウォールルールが生成される順序について
■
Symantec Client Firewall 移行ウィザードのインストールについて
■
Symantec Client Firewall 移行ウィザードのインストール
■
Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection
Manager ポリシーへの変換
■
移行したポリシーの Symantec Endpoint Protection Manager へのインポート
■
インポートした場所固有のファイアウォールポリシーのファイアウォールルールについ
て
■
移行に失敗したポリシーの移行
4
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
Symantec Client Firewall ポリシーの移行
Symantec Client Firewall ポリシーの移行
Symantec Client Firewall ポリシーは、Symantec Client Firewall 移行ウィザードを
使って Symantec Endpoint Protection Manager に移行できます。このウィザードを使
うと、Symantec Client Firewall ポリシーが、Symantec Endpoint Protection Manager
にインポートできる複数のポリシーに変換されます。
表 1-1 に、Symantec Client Firewall ポリシーを Symantec Endpoint Protection
Manager に移行するための処理を示します。
Symantec Client Firewall ポリシーを移行するための処理
表 1-1
手順
タスク
手順 1
移行する Symantec Client Firewall ポリシーファイルを、移行ウィザードを実行するコ
ンピュータにエクスポートします。
p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」
を参照してください。
ポリシーの保存方法について詳しくは、Symantec Client Firewall Administrator の
ヘルプを参照してください。
手順 2
Symantec Endpoint Protection Manager を実行するコンピュータまたは別のコン
ピュータに移行ウィザードをインストールします。
p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくださ
い。
手順 3
移行ウィザードを実行して Symantec Client Firewall ポリシーファイルを複数のポリ
シーファイルに変換します。
p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection
Manager ポリシーへの変換」 を参照してください。
手順 4
出力ポリシーファイルを Symantec Endpoint Protection Manager にインポートしま
す。
p.9 の 「移行したポリシーの Symantec Endpoint Protection Manager へのインポー
ト」 を参照してください。
Symantec Client Firewall 移行ウィザードで生成される
ポリシーについて
移行ウィザードでは、1 つの Symantec Client Firewall ポリシーを、ファイアウォールポ
リシーと侵入防止ポリシーという 2 種類の Symantec Endpoint Protection Manager ポ
リシーに変換します。
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
Symantec Client Firewall 移行ウィザードで生成されるポリシーについて
それぞれの Symantec Client Firewall ポリシーについて、移行ウィザードでは次のファ
イアウォールポリシーが作成されます。
■
デフォルトの場所のファイアウォールポリシー
■
追加の各場所のファイアウォールポリシー
■
pRule のファイアウォールポリシー
それぞれの Symantec Client Firewall ポリシーについて、移行ウィザードでは次の侵入
防止ポリシーが作成されます。
■
IPS Policy
エクスポートした Symantec Client Firewall Administrator ポリシーの形式は次のよう
になります。
■
.cfp 形式と .xml 形式はすべての設定を含む完全ポリシーファイルです。
■
.cfu 形式は更新されたポリシーファイルです。
移行ウィザードでは、これらのファイルから .dat ファイルを生成します。.dat ファイルは
.zip 形式で保存されます。
表 1-2 は、移行ウィザードで .cfp 形式と .xml 形式から生成されるポリシーファイルと、そ
れらに対応する出力ファイルの名前と内容を示しています。
表 1-2
出力ポリシーファイルの名前と内容
Symantec Client
出力ファイル名
Firewall 移行ウィザー
ドの出力
Symantec Client Firewall
Administrator の内容の説明
Firewall Policy?Default <入力ファイル名>.dat
Location
デフォルトの場所とクライアント設定に関連付
けされたすべてのルールとゾーンの設定が
含まれます。
Firewall Policy?All
Locations
<入力ファイル名>_<場
所>.dat
Firewall Policy?pRules <入力ファイル名
>_prule.dat
入力ポリシーの各場所について、Symantec
Endpoint Protection Manager のファイア
ウォールポリシーが 1 つずつ作成されます。
それぞれの場所固有のポリシーには、入力
ポリシーから取得した場所とクライアント設定
に関連付けされたすべてのルールとゾーン
の情報が含まれます。
入力ポリシーのすべての pRule とクライアン
ト設定が含まれます。
5
6
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
ファイアウォールルールが生成される順序について
Symantec Client
出力ファイル名
Firewall 移行ウィザー
ドの出力
<入力ファイル名
>_ips.dat
IPS Policy
Symantec Client Firewall
Administrator の内容の説明
IPS の次の設定が含まれます。
[Zones]の[AutoBlock Exclusions]タ
ブのアドレス
■ [IPS]タブのシグネチャ
Symantec Endpoint Protection
Manager では、IPS V1.x シグネチャは
移行されません。
■ [Client Settings]の[一般]タブの侵入
防止の設定
■
移行ウィザードでは、.cfu 形式の Symantec Client Firewall Administrator ポリシーに
ついては、Firewall Policy?Default Location ポリシーと Firewall Policy?pRules ポリ
シーだけが生成されます。
p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection
Manager ポリシーへの変換」 を参照してください。
ファイアウォールルールが生成される順序について
移行ウィザードでは、Symantec Client Firewall の各タブの設定を Symantec Endpoint
Protection Manager ファイアウォールポリシーのファイアウォールルールに変換します。
さらに、それらのファイアウォールルールを特定の順序で配置します。この順序は、
Symantec Client Firewall Administrator のどのタブの内容であるかに基づいて決ま
ります。
表 1-3 は、Symantec Client Firewall のルールと設定が移行ウィザードによって Firewall
Policy?Default Location ポリシーと Firewall Policy?All Locations ポリシーに配置さ
れる順序を示しています。
場所固有のファイアウォールポリシー
表 1-3
順序
Symantec Client Firewall Administrator のタブ
1
Zones
■
Restricted Zone
■
Trusted Zone
メモ: [AutoBlock Exclusions]タブと[Zone Settings]タブの設定は移行されません。
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
Symantec Client Firewall 移行ウィザードのインストールについて
順序
Symantec Client Firewall Administrator のタブ
2
Client Settings
3
■
[Client Settings]の[Protocol Filtering]
■
[Client Settings]タブのその他の設定
ルール
■
General Rules
■
Program Rules
■
Trojan Rules
■
デフォルトルール
移行ウィザードでは、デフォルトルールはポリシーの一番下に追加されます。移行
された他のファイアウォールルールで無視されるトラフィックについては、デフォルト
ルールに基づいて、トラフィックを許可するか遮断するかをユーザーに確認するメッ
セージが表示されます。
表 1-4 は、Symantec Client Firewall の pRule ポリシーが移行ウィザードによって
Firewall Policy?pRules ポリシーに配置される順序を示しています。
pRule ポリシーの順序
表 1-4
順序
Symantec Client Firewall Administrator のタブ
1
pRules
2
デフォルトルール
Symantec Client Firewall 移行ウィザードのインストー
ルについて
Symantec Client Firewall 移行ウィザードには、SCFMigrationTool.bat と
SCFMigrationTool.jar という 2 つのファイルが含まれています。これらのファイルはイン
ストール製品ディスクの TOOLS ディレクトリまたはシマンテックのテクニカルサポートで入
手できます。
移行ウィザードでは Java Runtime Environment(JRE)1.5 以降も必要ですが、このソフ
トウェアは含まれていません。このウィザードは、Symantec Endpoint Protection Manager
でサポートされるすべてのオペレーティングシステムで動作します。Symantec Endpoint
Protection Manager は Windows Vista では動作せず、また、Windows Vista でのサ
ポートもしていません。
Symantec Endpoint Protection Manager が動作しているコンピュータに移行ウィザー
ドをインストールする場合は、JRE 1.6 をインストールする必要はありません。Symantec
Endpoint Protection Manager によって JRE 1.6 が自動的にインストールされます。
7
8
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
Symantec Client Firewall 移行ウィザードのインストール
Symantec Endpoint Protection Manager が動作していないコンピュータに移行ウィ
ザードをインストールする場合は、そのコンピュータに JRE 1.5 以降をインストールする必
要があります。
JRE 1.5 以降は http://www.sun.com からダウンロードできます。
Symantec Endpoint Protection Manager が動作していないコンピュータに Symantec
Client Firewall 移行ウィザードをインストールする場合は、PATH 環境変数を設定する
必要があります。PATH 環境変数で JRE 実行時フォルダを示してください。コマンドプロ
ンプトから実行する PATH コマンドの例を次に示します。
PATH=%PATH%;c:¥Program Files¥Java¥jre1.6.0_07¥bin
%PATH%; エントリによって既存のパス情報が保存され、この既存のパス情報に JRE ディ
レクトリ情報が追記されます。PATH コマンドを使って現在のパス情報を表示できます。
p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくださ
い。
Symantec Client Firewall 移行ウィザードのインストー
ル
Symantec Client Firewall 移行ウィザードは Symantec Endpoint Protection Manager
と同じコンピュータにインストールすることを推奨します。また、Symantec Client Firewall
ポリシーは、移行ウィザードを実行する同一のコンピュータにコピーする必要があります。
p.8 の 「Symantec Client Firewall ポリシーの複数の Symantec Endpoint Protection
Manager ポリシーへの変換」 を参照してください。
Symantec Client Firewall 移行ウィザードをインストールするには
◆
Symantec Endpoint Protection Manager が動作しているコンピュータで、
SCFMigrationTool.bat と SCFMigrationTool.jar を次のディレクトリにコピーし
ます。
¥¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥bin
Symantec Client Firewall ポリシーの複数の Symantec
Endpoint Protection Manager ポリシーへの変換
移行ウィザードを使って、エクスポートした Symantec Client Firewall ポリシーを複数の
Symantec Endpoint Protection Manager ポリシーに変換できます。移行ウィザードで
は、入力ポリシーファイルと、変換したポリシーファイルを配置する出力ディレクトリを選択
する必要があります。
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
移行したポリシーの Symantec Endpoint Protection Manager へのインポート
p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を
参照してください。
Symantec Client Firewall ポリシーを複数の Symantec Endpoint Protection Manager
ポリシーに変換するには
1
移行するポリシーを、移行ウィザードをインストールした同じコンピュータの出力ディ
レクトリにコピーします。
p.8 の 「Symantec Client Firewall 移行ウィザードのインストール」 を参照してくだ
さい。
2
SCFMigrationTool.bat を参照してダブルクリックします。
3
[ようこそ]パネルで、[次へ]をクリックします。
4
[Policy File Selection]パネルで[参照]をクリックし、移行するポリシーファイルを
指定します。
5
[Output Directory Selection]パネルで、[参照]をクリックして出力ディレクトリを
指定し、[次へ]をクリックします。
6
[Options and Migration]パネルで、作成しないポリシーファイルのチェックマーク
をはずし(省略可能)、[Migrate]をクリックします。
7
移行が完了したら、[Migration Status]パネルで[レポート]をクリックして、移行さ
れたルールとオプションを見直します。
8
[完了]をクリックします。
9
出力ディレクトリに作成された .dat ファイルを見直します。
これらのファイルを Symantec Endpoint Protection Manager にインポートできま
す。
p.9 の 「移行したポリシーの Symantec Endpoint Protection Manager へのイン
ポート」 を参照してください。
移行したポリシーの Symantec Endpoint Protection
Manager へのインポート
移行ウィザードでは、インポートできる 2 種類のポリシーとして、複数のファイアウォール
ポリシーと 1 つの侵入防止ポリシーが生成されます。
メモ: ファイアウォールポリシーは、侵入防止ポリシーとしてではなく、ファイアウォールポ
リシーとしてインポートしてください。侵入防止ポリシーは、ファイアウォールポリシーとして
ではなく、侵入防止ポリシーとしてインポートしてください。そうしないと、ポリシーが正しく
移行されません。
9
10
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
インポートした場所固有のファイアウォールポリシーのファイアウォールルールについて
Symantec Client Firewall Administrator から Symantec Endpoint Protection
Manager にポリシーを変換すると、次の点が変更されます。
■
Symantec Client Firewall Administrator から移行された時点でロックされていた
ゾーンルールと pRule は、Symantec Endpoint Protection Manager でロック解除
されます。これはインポート後に修正できます。
■
監視処理が含まれるすべての Symantec Client Firewall Administrator ルール
は、Symantec Endpoint Protection Manager に移行されると無効になります。処
理は[許可]にリセットされ、ログ記録が有効になります。
■
[Custom Alert Text]のエントリは、Symantec Endpoint Protection Manager で
は 127 文字に切り捨てられます。
p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を
参照してください。
移行したポリシーを Symantec Endpoint Protection Manager にインポートするには
1
Symantec Endpoint Protection Manager にログオンします。
2
コンソールで、[ポリシー]をクリックします。
3
次のいずれかのタスクを行います。
4
■
[ポリシーの表示]で[ファイアウォール]をクリックします。
■
[ポリシーの表示]で[侵入防止]をクリックします。
次のいずれかのタスクを行います。
■
[タスク]で[ファイアウォールポリシーをインポート]をクリックします。
■
[タスク]で[侵入防止ポリシーのインポート]をクリックします。
5
[ポリシーのインポート]ダイアログボックスで、出力ディレクトリに移行したポリシーを
参照して選択します。
6
右ペインで、インポートしたポリシーをクリックします。
7
[タスク]で[ポリシーの編集]をクリックし、移行したポリシーを見直します。
インポートした場所固有のファイアウォールポリシーの
ファイアウォールルールについて
Symantec Endpoint Protection Manager では各場所に対して、Symantec Client
Firewall Administrator の特定の設定と同じ機能を持つ[許可]、[遮断]、[確認]の各
操作が設定されたファイアウォールルールが作成されます。
ファイアウォールルールは、Symantec Client Firewall Administrator の以下の設定
で指定した値の組み合わせに基づいて決まります。
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
移行に失敗したポリシーの移行
■
[場所]の[Connection Management]タブの[Rule exception handling]の設定
■
[Client Settings]の[一般]タブの[Custom Security Level - Firewall Level]
■
[Client Settings]の[一般]タブの[Custom Security Level - Access Control Alerts]
p.4 の 「Symantec Client Firewall 移行ウィザードで生成されるポリシーについて」 を
参照してください。
表 1-5 は、Symantec Endpoint Protection Manager で各場所に対して作成されるファ
イアウォールルールを示しています。
管理サーバーで場所に基づくポリシーに対して作成されるファイア
ウォールルール
表 1-5
ルール例外 ファイアウォールレベル アクセス制御警告の設 Symantec Endpoint
処理の設定 の設定
定
Protection Manager
のファイアウォール
ルールの処理
BLOCK
無視
無視
遮断
PERMIT
無視
無視
許可
PROMPT
無視
ENABLE
確認
PROMPT
Medium
DISABLE
許可
PROMPT
High
DISABLE
遮断
たとえば、ルール例外処理の設定が [PROMPT] でアクセス制御警告の設定が
[ENABLE] の場合、そのファイアウォールルールの処理は Symantec Endpoint
Protection Manager では[確認]に変換されます。ルール例外処理の設定が [BLOCK]
の場合は、ファイアウォールルールの処理は[遮断]に変換されます。
移行に失敗したポリシーの移行
Symantec Client Firewall Administrator から Symantec Endpoint Protection
Manager への移行では、5 つのセキュリティポリシーが移行に失敗しています。
表 1-6 は、移行に失敗したポリシーと、検出されたバージョンを示しています。
表 1-6
移行に失敗したポリシー
不具合番号
セキュリティポリシー
Symantec AntiVirus の
バージョン
1142104
retailprules.cfu
9.x
11
12
第 1 章 Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager へのポリシーの移行
移行に失敗したポリシーの移行
不具合番号
セキュリティポリシー
Symantec AntiVirus の
バージョン
1142133
VeryHighSecurity.xml
10 または 10.1
1142130
HighSecurity.xml
10 または 10.1
1142126
MediumSecurity.xml
10 または 10.1
1142121
LowSecurity.xml
10 または 10.1
以下の手順は、これらのセキュリティポリシーを移行できるようにするための回避策を詳し
く説明しています。
移行に失敗したポリシーを移行するには
1
Symantec Client Firewall Administrator を開きます。
2
Symantec AntiVirus 9.x から移行する場合は、cd4 フォルダから retailprules.cfu
ポリシーを選択します。
3
Symantec AntiVirus 10 または 10.1 から移行する場合は、cd4 フォルダから以下
のセキュリティポリシーの 1 つを選択します。
■
VeryHighSecurity.xml
■
HighSecurity.xml
■
MediumSecurity.xml
■
LowSecurity.xml
4
選択したセキュリティポリシーを Symantec Client Firewall Administrator にイン
ポートします。
5
このセキュリティポリシーを、[名前を付けて保存]コマンドを使って Symantec Client
Firewall Administrator からエクスポートします。
ファイルが .cfp という拡張子を付けて保存されます。
6
コマンドプロンプトから SCFMigrationTool.bat ファイルを使って Symantec Client
Firewall 移行ウィザードを開きます。
7
移行ウィザードで、.cfp 拡張子の付いたセキュリティポリシーファイルを参照して選
択します。
8
出力ディレクトリを指定します。
9
[次へ]をクリックし、[Migrate]をクリックします。
10 [完了]をクリックします。
出力フォルダに .dat ファイルが表示され、Symantec Endpoint Protection Manager
で使えるようになります。
Fly UP