Symantec Client Firewall ポリシー移行ガイド
Symantec Client Firewall ポリシー移行ガイド 本書で説明するソフトウェアは 使用許諾契約に基づいて提供され その内容に同意する場合にのみ使用することができます Documentation version 11.00.03.00.00 商標登録 Copyright 2008 Symantec Corporation.All rights reserved. Symantec Symantec ロゴ LiveUpdate Sygate Symantec AntiVirus Bloodhound Confidence Online Digital Immune System Norton TruScan は Symantec Corporation または関連会社の米国およびその他の国における商標または登録商標です その他の会社名 製品名は各社の商標または登録商標です このシマンテック製品には サードパーティ ( サードパーティプログラム ) の所有物であることを示す必要があるサードパーティソフトウェアが含まれている場合があります 一部のサードパーティプログラムは オープンソースまたはフリーソフトウェアライセンスで利用できます 本ソフトウェアに含まれる本使用許諾契約は オープンソースまたはフリーソフトウェアライセンスでお客様が有する権利または義務は変更されないものとします サードパーティプログラムについて詳しくは この文書のサードパーティの商標登録の付属資料 またはこのシマンテック製品に含まれる TPIP ReadMe File を参照してください 本書に記載されている製品は その使用 コピー 頒布 逆コンパイルおよびリバースエンジニアリングを制限するライセンスに基づいて頒布されています 本書のいかなる部分も Symantec Corporation およびそのライセンサーからの事前の文書による許諾を得ることなく いかなる方法によっても無断で複写 複製してはならないものとします 本書は 現状のまま 提供されるものであり Symantec Corporation は 商品価値を有すること お客様の特定の目的にかなうこと 権利を侵害していないことに対する暗黙的な保証を含む 明示的あるいは暗黙的な条件 表明 および保証すべてから免責されるものとします ただし これらの免責が法的に無効であるとされる場合を除きます SYMANTEC CORPORATION は 提供されるパフォーマンスまたは本書の使用に関連した付随的 または 結果的な損害に対して 一切責を負わないものとします 本書の内容は 事前の通知なく 変更される可能性があります ライセンス対象ソフトウェアおよび資料は FAR 12.212 の規定によって商業用コンピュータソフトウェアと見なされ FAR 52.227-19 Commercial Computer Software - Restricted Rights DFARS 227.7202 Rights in Commercial Computer Software or Commercial Computer Software Documentation その他の後継規則の規定により制限権利の対象となります 米国政府によるライセンス対象ソフトウェアおよび資料の使用 修正 複製のリリース 実演 表示 開示は 本使用許諾契約の条項に従ってのみ行われるものとします
Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 この文書では以下の項目について説明しています Symantec Client Firewall ポリシーの移行 Symantec Client Firewall 移行ウィザードで生成されるポリシーについて ファイアウォールルールが生成される順序について Symantec Client Firewall 移行ウィザードのインストールについて Symantec Client Firewall 移行ウィザードのインストール Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 移行したポリシーの Symantec Protection Center へのインポート インポートした場所固有のファイアウォールポリシーのファイアウォールルールについて 移行に失敗したポリシーの移行
4 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall ポリシーの移行 Symantec Client Firewall ポリシーの移行 Symantec Client Firewall ポリシーは Symantec Client Firewall 移行ウィザードを使って Symantec Protection Center に移行できます このウィザードを使うと Symantec Client Firewall ポリシーが Symantec Protection Center にインポートできる複数のポリシーに変換されます 表 1-1 に Symantec Client Firewall ポリシーを Symantec Protection Center に移行するためのプロセスを示します 表 1-1 Symantec Client Firewall ポリシーを移行するためのプロセス 手順 手順 1 タスク 移行する Symantec Client Firewall ポリシーファイルを 移行ウィザードを実行するコンピュータにエクスポートします p.4 の Symantec Client Firewall 移行ウィザードで生成されるポリシーについて を参照してください ポリシーの保存方法について詳しくは Symantec Client Firewall Administrator のヘルプを参照してください 手順 2 Symantec Protection Center を実行するコンピュータまたは別のコンピュータに移行ウィザードをインストールします p.8 の Symantec Client Firewall 移行ウィザードのインストール を参照してください 手順 3 移行ウィザードを実行して Symantec Client Firewall ポリシーファイルを複数のポリシーファイルに変換します p.8 の Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 を参照してください 手順 4 出力ポリシーファイルを Symantec Protection Center にインポートします p.11 の 移行したポリシーの Symantec Protection Center へのインポート を参照してください Symantec Client Firewall 移行ウィザードで生成されるポリシーについて 移行ウィザードでは 1 つの Symantec Client Firewall ポリシーを ファイアウォールポリシーと侵入防止ポリシーという 2 種類の Symantec Protection Center ポリシーに変換します それぞれの Symantec Client Firewall ポリシーについて 移行ウィザードでは次のファイアウォールポリシーが作成されます
第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall 移行ウィザードで生成されるポリシーについて 5 デフォルトの場所のファイアウォールポリシー 追加の各場所のファイアウォールポリシー prule のファイアウォールポリシー それぞれの Symantec Client Firewall ポリシーについて 移行ウィザードでは次の侵入防止ポリシーが作成されます IPS ポリシー エクスポートした Symantec Client Firewall Administrator ポリシーの形式は次のようになります.cfp 形式と.xml 形式はすべての設定を含む完全ポリシーファイルです.cfu 形式は更新されたポリシーファイルです 移行ウィザードでは これらのファイルから.dat ファイルを生成します.dat ファイルは.zip 形式で保存されます 表 1-2 は 移行ウィザードで.cfp 形式と.xml 形式から生成されるポリシーファイルと それらに対応する出力ファイルの名前と内容を示しています 表 1-2 出力ポリシーファイルの名前と内容 Symantec Client Firewall 移行ウィザードの出力 Firewall Policy-Default Location Firewall Policy-All Locations Firewall Policy-pRules 出力ファイル名 < 入力ファイル名 >.dat < 入力ファイル名 >_< 場所 >.dat < 入力ファイル名 >_prule.dat Symantec Client Firewall Administrator の内容の説明 デフォルトの場所とクライアント設定に関連付けされたすべてのルールとゾーンの設定が含まれます 入力ポリシーの各場所について Symantec Protection Center のファイアウォールポリシーが 1 つずつ作成されます それぞれの場所固有のポリシーには 入力ポリシーから取得した場所とクライアント設定に関連付けされたすべてのルールとゾーン情報が含まれます 入力ポリシーのすべての prules とクライアント設定が含まれます
6 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行ファイアウォールルールが生成される順序について Symantec Client Firewall 移行ウィザードの出力 IPS Policy 出力ファイル名 < 入力ファイル名 >_ips.dat Symantec Client Firewall Administrator の内容の説明 IPS の次の設定が含まれます [ ゾーン ] の [AutoBlock の除外 ] タブのアドレス [IPS] タブのシグネチャ Symantec Protection Center では IPS V1.x シグネチャは移行されません [ クライアント設定 ] の [ 一般 ] タブの侵入防止の設定 Symantec Endpoint Protection Small Business Edition では [ 侵入防止の警告を表示 ] の設定は無視されます 移行ウィザードでは.cfu 形式の Symantec Client Firewall Administrator ポリシーについては Firewall Policy-Default Location ポリシーと Firewall Policy-pRules ポリシーだけが生成されます p.8 の Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 を参照してください ファイアウォールルールが生成される順序について 移行ウィザードでは Symantec Client Firewall の各タブの設定を Symantec Protection Center ファイアウォールポリシーのファイアウォールルールに変換します さらに それらのファイアウォールルールを特定の順序で配置します この順序は Symantec Client Firewall Administrator のどのタブの内容であるかに基づいて決まります 表 1-3 は Symantec Client Firewall のルールと設定が移行ウィザードによって Firewall Policy-Default Location ポリシーと Firewall Policy-All Locations ポリシーに配置される順序を示しています 表 1-3 順序 1 場所固有のファイアウォールポリシー Symantec Client Firewall Administrator のタブ ゾーン 制限ゾーン 信頼ゾーン メモ : [AutoBlock の除外 ] タブと [ ゾーン設定 ] タブの設定は移行されません
第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall 移行ウィザードのインストールについて 7 順序 2 Symantec Client Firewall Administrator のタブ クライアント設定 [ クライアント設定 ] の [ プロトコルフィルタ ] [ クライアント設定 ] タブのその他の設定 3 ルール 一般ルール プログラムルール トロイの木馬ルール デフォルトルール 移行ウィザードでは デフォルトルールはポリシーの一番下に追加されます 移行された他のファイアウォールルールで無視されるトラフィックについては デフォルトルールに基づいて トラフィックを許可するかブロックするかをユーザーに確認するメッセージが表示されます 表 1-4 は Symantec Client Firewall の prule ルールが移行ウィザードによって Firewall Policy-pRules ポリシーに配置される順序を示しています 表 1-4 順序 1 2 prule ポリシーの順序 Symantec Client Firewall Administrator のタブ prules Default ルール Symantec Client Firewall 移行ウィザードのインストールについて Symantec Client Firewall 移行ウィザードには SCFMigrationTool.bat と SCFMigrationTool.jar という 2 つのファイルが含まれています これらのファイルはインストール製品ディスクの TOOLS ディレクトリまたはシマンテック社のテクニカルサポートで入手できます 移行ウィザードでは Java Runtime Environment(JRE)1.5 以降も必要ですが このソフトウェアは含まれていません このウィザードは Symantec Protection Center でサポートされるすべてのオペレーティングシステムで動作します Symantec Protection Center は Windows Vista では動作せず また Windows Vista でのサポートもしていません Symantec Protection Center が動作しているコンピュータに移行ウィザードをインストールする場合は JRE 1.6 をインストールする必要はありません Symantec Protection Center によって JRE 1.6 が自動的にインストールされます Symantec Protection Center が動作していないコンピュータに移行ウィザードをインストールする場合は そのコンピュー
8 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall 移行ウィザードのインストール タに JRE 1.5 以降をインストールする必要があります JRE 1.5 以降は http://www.sun.com からダウンロードできます Symantec Protection Center が動作していないコンピュータに Symantec Client Firewall 移行ウィザードをインストールする場合は PATH 環境変数を設定する必要があります PATH 環境変数で JRE 実行時フォルダを示してください コマンドプロンプトから実行する PATH コマンドの例を次に示します PATH=%PATH%;c: Program Files Java jre1.6.0_07 bin %PATH%; エントリによって既存のパス情報が保存され この既存のパス情報に JRE ディレクトリ情報が追記されます PATH コマンドを使って現在のパス情報を表示できます p.8 の Symantec Client Firewall 移行ウィザードのインストール を参照してください Symantec Client Firewall 移行ウィザードのインストール Symantec Client Firewall 移行ウィザードは Symantec Protection Center と同じコンピュータにインストールすることを推奨します また Symantec Client Firewall ポリシーは 移行ウィザードを実行する同一のコンピュータにコピーする必要があります p.8 の Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 を参照してください Symantec Client Firewall 移行ウィザードをインストールするには Symantec Protection Center が動作しているコンピュータで SCFMigrationTool.bat と SCFMigrationTool.jar を次のディレクトリにコピーします Program Files Symantec Symantec Protection Center bin Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 移行ウィザードを使って エクスポートした Symantec Client Firewall ポリシーを複数の Symantec Protection Center ポリシーに変換できます 移行ウィザードでは 入力ポリシーファイルと 変換したポリシーファイルを配置する出力ディレクトリを選択する必要があります p.4 の Symantec Client Firewall 移行ウィザードで生成されるポリシーについて を参照してください
第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 9 Symantec Client Firewall ポリシーを複数の Symantec Protection Center ポリシーに変換するには 1 移行するポリシーを 移行ウィザードをインストールした同じコンピュータの出力ディレクトリにコピーします p.8 の Symantec Client Firewall 移行ウィザードのインストール を参照してください 2 SCFMigrationTool.bat を参照してダブルクリックします p.8 の Symantec Client Firewall 移行ウィザードのインストール を参照してください
10 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行 Symantec Client Firewall ポリシーの複数の Symantec Protection Center ポリシーへの変換 3 [Welcome...] パネルで [Next] をクリックします 4 [Policy File Selection] パネルで [Browse] をクリックし 移行するポリシーファイルを指定します 5 [Output Directory Selection] パネルで [Browse] をクリックして出力ディレクトリを指定し [Next] をクリックします
第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行移行したポリシーの Symantec Protection Center へのインポート 11 6 [Options and Migration] パネルで 作成しないポリシーファイルのチェックマークをはずし ( 省略可能 ) [Migrate] をクリックします 7 移行が完了したら [Migration Status] パネルで [Report] をクリックして 移行されたルールとオプションを見直します 8 [Finish] をクリックします 9 出力ディレクトリに作成された.dat ファイルを見直します これらのファイルを Symantec Protection Center にインポートできます p.11 の 移行したポリシーの Symantec Protection Center へのインポート を参照してください 移行したポリシーの Symantec Protection Center へのインポート 移行ウィザードでは インポートできる 2 種類のポリシーとして 複数のファイアウォールポリシーと 1 つの侵入防止ポリシーが生成されます メモ : ファイアウォールポリシーは 侵入防止ポリシーとしてではなく ファイアウォールポリシーとしてインポートしてください 侵入防止ポリシーは ファイアウォールポリシーとしてではなく 侵入防止ポリシーとしてインポートしてください そうしないと ポリシーが正しく移行されません Symantec Client Firewall Administrator から Symantec Protection Center にポリシーを変換すると 次の点が変更されます
12 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行移行したポリシーの Symantec Protection Center へのインポート Symantec Client Firewall Administrator から移行された時点でロックされていたゾーンルールと prule は Symantec Protection Center でロック解除されます これはインポート後に修正できます 監視処理が含まれるすべての Symantec Client Firewall Administrator ルールは Symantec Protection Center に移行されると無効になります 処理は [ 許可する ] にリセットされ ログ記録が有効になります [ カスタム警告テキスト ] のエントリは Symantec Protection Center では 127 文字に切り捨てられます メモ : Symantec Endpoint Protection Small Business Edition の場合は場所は 1 つしかありません Symantec Client Firewall 移行ウィザードでは場所ごとに 1 つのポリシーファイルが作成されるため インポートできる場所固有のポリシーファイルは 1 つだけになります p.4 の Symantec Client Firewall 移行ウィザードで生成されるポリシーについて を参照してください 移行したポリシーを Symantec Protection Center にインポートするには 1 Symantec Protection Center にログオンします 2 コンソールで [ ポリシー ] をクリックします 3 以下のいずれかの操作を実行します [ ポリシーの表示 ] で [ ファイアウォール ] をクリックします [ ポリシー ] で [ ファイアウォール ] をクリックします [ ポリシーの表示 ] で [ 侵入防止 ] をクリックします [ ポリシー ] で [ 侵入防止 ] をクリックします 4 以下のいずれかの操作を実行します [ タスク ] で [ ファイアウォールポリシーをインポート ] をクリックします [ タスク ] で [ 侵入防止ポリシーのインポート ] をクリックします 5 [ ポリシーのインポート ] ダイアログボックスで 出力ディレクトリに移行したポリシーを参照して選択します 6 右ペインで インポートしたポリシーをクリックします 7 [ タスク ] で [ ポリシーの編集 ] をクリックし 移行したポリシーを見直します
第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行インポートした場所固有のファイアウォールポリシーのファイアウォールルールについて 13 インポートした場所固有のファイアウォールポリシーのファイアウォールルールについて Symantec Protection Center では各場所に対して Symantec Client Firewall Administrator の特定の設定と同じ機能を持つ Allow Block Ask の各操作が設定されたファイアウォールルールが作成されます ファイアウォールルールは Symantec Client Firewall Administrator の以下の設定で指定した値の組み合わせに基づいて決まります [ 場所 ] の [ 接続管理 ] タブの [ ルール例外の扱い方 ] の設定 [ クライアント設定 ] の [ 一般 ] タブの [ カスタムセキュリティレベル - ファイアウォールレベル ] [ クライアント設定 ] の [ 一般 ] タブの [ カスタムセキュリティレベル - アクセス制御警告 ] p.4 の Symantec Client Firewall 移行ウィザードで生成されるポリシーについて を参照してください 表 1-5 は Symantec Protection Center で各場所に対して作成されるファイアウォールルールを示しています 表 1-5 管理サーバーで場所に基づくポリシーに対して作成されるファイアウォールルール ルール例外処理の設定 ファイアウォールレベルの設定 アクセス制御警告の設定 Symantec Protection Center のファイアウォールルールの処理 BLOCK 無視 無視 Block PERMIT 無視 無視 Allow PROMPT 無視 ENABLE Ask PROMPT Medium DISABLE Allow PROMPT High DISABLE Block たとえば ルール例外処理の設定が PROMPT でアクセス制御警告の設定が ENABLE の場合 そのファイアウォールルールの処理は Symantec Protection Center では Ask に変換されます ルール例外処理の設定が BLOCK の場合は ファイアウォールルールの処理は Block に変換されます メモ : Symantec Endpoint Protection Small Business Edition では 処理が Ask であるファイアウォールルールを作成することはできません 処理が Ask のルールについては インポートだけを行うことができます
14 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行移行に失敗したポリシーの移行 移行に失敗したポリシーの移行 Symantec Client Firewall Administrator から Symantec Protection Center への移行では 5 つのセキュリティポリシーが移行に失敗しています 表 1-6 は 移行に失敗したポリシーと 検出されたバージョンを示しています 表 1-6 不具合番号 1142104 1142133 1142130 1142126 1142121 移行に失敗したポリシーセキュリティポリシー retailprules.cfu VeryHighSecurity.xml HighSecurity.xml MediumSecurity.xml LowSecurity.xml Symantec AntiVirus のバージョン 9.x 10 または 10.1 10 または 10.1 10 または 10.1 10 または 10.1 以下の手順は これらのセキュリティポリシーを移行できるようにするための回避策を詳しく説明しています 移行に失敗したポリシーを移行するには 1 Symantec Client Firewall Administrator を開きます 2 Symantec AntiVirus 9.x から移行する場合は cd4 フォルダから retailprules.cfu ポリシーを選択します 3 Symantec AntiVirus 10 または 10.1 から移行する場合は cd4 フォルダから以下のセキュリティポリシーの 1 つを選択します VeryHighSecurity.xml HighSecurity.xml MediumSecurity.xml LowSecurity.xml 4 選択したセキュリティポリシーを Symantec Client Firewall Administrator にインポートします 5 このセキュリティポリシーを [ 名前を付けて保存 ] コマンドを使って Symantec Client Firewall Administrator からエクスポートします ファイルが.cfp という拡張子を付けて保存されます 6 コマンドプロンプトから SCFMigrationTool.bat ファイルを使って Symantec Client Firewall 移行ウィザードを開きます
第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行移行に失敗したポリシーの移行 15 7 移行ウィザードで.cfp 拡張子の付いたセキュリティポリシーファイルを参照して選択します 8 出力ディレクトリを指定します 9 [Next] をクリックし [Migrate] をクリックします 10 [Finish] をクリックします 出力フォルダに.dat ファイルが表示され Symantec Protection Center で使えるようになります
16 第 1 章 Symantec Client Firewall Administrator から Symantec Protection Center へのポリシーの移行移行に失敗したポリシーの移行