Airscanner Mobile Firewall 3.0
ユーザガイド
1. 製品紹介
Airscanner Mobile Firewall 3.0は、IPv4ファイアウォールであり、お客様のWindows Mobileデバイスを不正アクセスから守ります。このファイアウォールは、IPやTCP/IPスタックのトランスポート層からトラフィックを拒否するようデザインされています。また、ファイアウォールは、ICMP、TCP、UDPの3種類のプロトコルで動作し、選択したプロトコルから許可されたポートリストのみを識別し交信を可能にします。
トラフィックには、インバウンド(受信)とアウトバウンド(発信)があります。
- インバウンド(受信): ネットワークからデバイスへと流れるトラフィックのことを指します。
- アウトバウンド(発信): デバイスからネットワークへと流れるトラフィックのことを指します。
ファイアウォール内部には、あらかじめDefault Modeが組み込まれており、Custom Modeプロファイルがロードされている間は設定がアクティブになります。プロファイル設定を通して、Default Mode操作やファイアウォール詳細設定を行うことができます。
1.2 Default Modeについて
Custom Modeプロファイルに切り替えると、Default Modeも同時に起動します。
Default Modeは、すべてのインバウンド パケットを拒否し、アウトバウンド パケットについてはすべて許可するように設定されています。
[Custom Mode]プロファイルの設定時のみユーザご自身のルールを作成し、利用することが可能です。ルールに競合が発生した場合、インバウンドであるかアウトバウンドであるかによってルールの優先順位が決定します。優先されたルールに合致するパケットのみ、ルールに従ってフィルタリングされます。優先したルールが合致しない場合、Default Modeの設定に従って処理されます。詳細については、いくつかの例を用いて後述します。
AllowとBlockルールが同時に適用された場合、トラフィックフローは下記のように調整されます。
- インバウンド トラフィックについては、AllowルールよりもBlockルールを優先します。
- アウトバウンド トラフィックについては、BlockルールよりもAllowルールを優先します。
2. 機能について
Airscanner Mobile Firewallのグラフィカル ユーザインタフェース(GUI)機能について説明します。
2.1 メイン画面とメニューについて
このインタフェースは、解像度240x240サイズ以上の画面でご利用いただけます。
図1. メイン画面 |
Mobile Firewallメイン画面について
メイン画面には、下記のコンポーネントが含まれます。
1. デバイス情報やその他のアイテムについてのパネル
(正方形画面のデバイスでは非表示)
2. すべてのGUI機能へアクセスできる[Main Menu]
3. 現在のデバイスIPと選択されているファイアウォール プロファイルを表示するパネル
4. [Opitions]メニュー(詳細は図2参照)
|
図2. [Options]メニュー |
[Opitions]メニュー
[Opitions]メニューでは、本ソフトウェアでよく利用する機能へ素早くアクセスできます。
すべての機能が表示されているわけではないので、ご注意ください。
注意: Disabled設定に切り替える場合は、[Opitions]メニューから行ってください。Main Menuにはありません。 |
図3. トレイメニュー
|
トレイメニュー
メイン画面の右上にある[OK]ボタンをタップすると、画面はトレイ上に最小化されます。
トレイメニューでは、[Options]メニューと同様、オプション機能が利用できます。
トレイアイコンでは、ファイアウォールの現在の状態を、アイコン上にある小さな球の色で示します。 |
2.2 [Set Profile]メニュー
Airscanner Mobile Firewallには、Block All、Trust All、Custom Mode、Disabledの4種類のプロファイルがあります。
一度にひとつのプロファイルがアクティブ状態となります。プロファイルを切り替えると、そのルールがファイアウォールに設定されます。
Block All
Block Allプロファイルを設定すると、すべてのネットワーク トラフィックが拒否されます。すべてのインバウンドとアウトバウンド トラフィックが拒否されます。このプロファイルでは、Default Modeが無効になります。
Trust All
Trust Allプロファイルを設定すると、すべてのネットワーク トラフィックが許可されます。拒否されるトラフィックはありませんが、ファイアウォールはアクティブ状態です。このプロファイルでは、Default Modeが無効になります。
Custom Mode
Custom modeでは、ユーザご自身のオリジナルのルールを作成し使用することができます。Custom modeには、Factory Rules ([Custom Profiles]メニューから参照できます)と呼ばれるあらかじめ用意されたルールがあり、有効/無効の変更ができます。ユーザご自身のルールを作成する場合は、[Custom Profiles]メニューの[User Rules]オプションで行います。Custom Modeプロファイルに切り替えるとFactory RulesとUser Rulesの2グループのルールが適用されます。
Custom Modeは、Default Modeと併用されます。そのため、Custom Modeで適用されなかったトラフィックについては、Default Modeでのルールが適用されます。
ファイアウォールを、Default Modeのみの状態にしたい場合、Custom Modeプロファイルに切り替え、[Custom Profiles]メニューからすべてのルールを無効にしてください。
Disabled
ファイアウォールの機能を停止します。[Options]メニューから、Disabledに切り替えることができます。
2.3 [Custom Profiles]メニュー
[Custom Profiles]メニューでは、ご自身のオリジナルルールを作成し、管理します。
 |
Factory Rules
Factory Rulesオプションでは、ルールを表示し、有効/無効の変更を行うことができます。[Add]や[Delete]などの操作は、このプロファイルでは行うことができません。ルールがチェックされている場合は、有効であることを示します。
スクリーンショットをご覧頂くと、[External ICMP Echo Response]のルールは無効であることが分かります。
すべてのルールを無効にし、ご自身が作成されたルールのみを使用することも可能です。
Factory Rulesの詳細に関しては、「Appendix B」を参照してください。
重要: [Custom Mode]プロファイルがアクティブ状態であれば、すぐに変更箇所は反映されます。 |
 |
User Rules
[User Rules]オプションでは、ルールの追加、編集、削除、有効/無効の変更とオリジナルルールの閲覧ができます。
重要: [Custom Mode]プロファイルがアクティブ状態であれば、変更箇所はファイアウォールにすぐに反映されます。 |
2.4 [Tools]メニュー
 |
List Conn (“List connections”)
この機能では、現在使用中のTCP/UDPリソースを表示します。
表示された結果は(\My Documents)にいつでも保存できます。ファイルはテキスト形式です。
[Resolve Address] - このオプションが有効である場合、IPアドレスはホストネームに変換されます。(名前解決する場合のみ) |
|
Activity Log
2つの機能についてご説明します。
[Global Counters]: TCP、UDP、ICMPプロトコルでのIP記録を表示します。
[Reset Counters]ボタンをタップするとカウンタがゼロに戻ります。
[Log View]: 最新の100件のログを表示します。
注意: Settingsで[Log Firewall Activity] が無効の場合、Activity Logは機能しません。 |
2.5 [Settings]オプション
 |
Settings
[Load Firewall at Startup]: OS起動時にファイアウォールGUIとファイアウォール ドライバを読み込みます。
[Log Firewall Activity]: ファイルとActivity Log ([Tool]メニュー)へのファイアウォールログ情報を有効/無効にします。
このオプションにチェックを入れる(有効にする)と、ログファイルはマイ ドキュメントに保存されます。[Max Size]オプションはこの機能のみに対応しています。[do not log to file]を選択すると、Ativity Logのみにログを保存します。
重要: ファイルへログを保存しながら操作を行うとデバイスの動作が遅くなる場合があります。 |
2.6 ログファイル
ログファイルを参照する場合は、デスクトップ コンピュータへコピーし、通常のテキストエディタを使用して開くことをお勧めします。
下記はログファイルのサンプルです。
ACTION PROTOCOL DIRECTION SOURCE TARGET SOURCE TARGET TYPE CODE
------ -------- --------- ------ ------ ------ ------ ---- ----
[Feb, 17 2008 16:38:51]=> ALLOWED UDP OUTBOUND 0.0.0.0 255.255.255.255 68 67 *** ***
[Feb, 17 2008 16:38:51]=> ALLOWED UDP INBOUND 0.0.0.0 255.255.255.255 68 67 *** ***
[Feb, 17 2008 16:38:52]=> ALLOWED UDP INBOUND 1.1.1.30 1.1.1.255 137 137 *** ***
[Feb, 17 2008 16:38:52]=> ALLOWED UDP OUTBOUND 1.1.1.30 1.1.1.255 137 137 *** ***
[Feb, 17 2008 16:38:52]=> ALLOWED UDP INBOUND 1.1.1.30 1.1.1.255 137 137 *** ***
[Feb, 17 2008 16:39:16]=> BLOCKED TCP INBOUND 169.254.2.2 169.254.2.1 990 1052 *** ***
[Feb, 17 2008 16:39:17]=> BLOCKED TCP INBOUND 169.254.2.2 169.254.2.1 990 1052 *** ***
[Feb, 17 2008 16:39:18]=> BLOCKED ICMP INBOUND 169.254.2.2 169.254.2.1 *** *** 8 0
日付と時間の後に記載されているものの詳細については下記をご覧ください。
- ACTION: パケットが拒否されたか許可されたか示すもの
- PROTOCOL: TCP、UDP、ICMPのいずれか
- SOURCE: ソースIP
- TARGET: ターゲットIP
- SOURCE: ソースポート(TCP、UDP対象)
- TARGET: ターゲットポート(TCP、UDP対象)
- TYPE: ICMPタイプ
- CODE: ICMPコード
3. ルール作成について
[Custom Profile]メニューの[User Rules]オプションからオリジナルルールを作成します。Custom Modeが設定されている状態のときのみ、作成されたルールが適用されます。
Custom Mode状態での操作ではDefault Modeが同時に機能しますが、[Custom Profiles]メニューやUser Rulesで設定されたルールに従います。. ただし、優先されたルールがトラフィックに合致しない場合は、Default Modeルールに従って処理されます。
3.1 ルールサンプル
このセクションでは、ルールを正しく作成できるよういくつかの例を紹介していきます。
2つのことに注意してください。
1. Default Modeにおいてファイアウォールは、すべてのインバウンドパケットを拒否し、アウトバウンドパケットについては許可します。
2. ルールがアクティブな状態では、
インバウンド トラフィックについては、AllowルールよりもBlockルールを優先し、
アウトバウンド トラフィックについては、BlockルールよりもAllowルールを優先します。
3.1.1 ICMP Echo Responseを許可する場合
ICMP echo responseを許可する場合には、まず、インバウンドICMP Echo Requestを許可しなくてはなりません。(Default Modeでは、すでにアウトバウンドICMP Echo responseが許可されています。)
3.1.2 インターネット閲覧をブロックする
アウトバウンド トラフィックは、PORT80にデフォルトで許可されています。
拒否する方法については、スクリーンショットをご覧ください。
3.1.3 特定のホストから/へのICMPコミュニケーションを拒否する(スクリーンショット参照)
ご不明な点やご意見がありましたら、お問い合わせください。
http://www.shareEDGE.com/cs/
Appendix A: ICMP Types and Codes
Above a list of all ICMP types and codes and its respective meanings:
| ICMP Types |
ICMP Codes |
| 0 Echo Reply |
(none) |
| 3 Destination Unreachable |
0 Net Unreachable
1 Host Unreachable
2 Protocol Unreachable
3 Port Unreachable
4 Fragmentation Needed and Don't Fragment was Set
5 Source Route Failed
6 Destination Network Unknown
7 Destination Host Unknown
8 Source Host Isolated
9 Communication with Network is Administratively Prohibited
10 Communication with Host is Administratively Prohibited
11 Destination Network Unreachable for Type of Service
12 Destination Host Unreachable for Type of Service
13 Communication Administratively Prohibited
14 Host Precedence Violation
15 Precedence cutoff in effect |
| 4 Source Quench |
(none) |
| 5 Redirect |
0 Redirect Datagram for the Network (or subnet)
1 Redirect Datagram for the Host
2 Redirect Datagram for the Type of Service and Network
3 Redirect Datagram for the Type of Service and
Host |
| 6 Alternate Host Address |
(none) |
| 8 Echo |
(none) |
| 9 Router Advertisement |
0 Normal router advertisement
16 Does not route common traffic |
| 10 Router Selection |
(none) |
| 11 Time Exceeded |
0 Time to Live exceeded in Transit
1 Fragment Reassembly Time Exceeded |
| 12 Parameter Problem |
0 Pointer indicates the error
1 Missing a Required Option
Bad Length |
| 13 Timestamp |
(none) |
| 14 Timestamp Reply |
(none) |
| 15 Information Request |
(none) |
| 16 Information Reply |
(none) |
| 17 Address Mask Request |
(none) |
| 18 Address Mask Reply |
(none) |
| 30 Traceroute |
(none) |
| 31 Datagram Conversion Error |
(none) |
| 32 Mobile Host Redirect |
(none) |
| 33 IPv6 Where-Are-You |
(none) |
| 34 IPv6 I-Am-Here |
(none) |
| 35 Mobile Registration Request |
(none) |
| 36 Mobile Registration Reply |
(none) |
| 40 Authentication Failures |
0 Bad SPI
1 Authentication Failed
2 Decompression Failed
3 Decryption Failed
4 Need Authentication
5 Need Authorization |
Appendix B:Factory Rules Description
On Custom Mode Profile Airscanner provides some rules, called Factory Rules.Some of them are disabled by default:
| Rule |
Type Description |
| ActiveSync 4.x Rules |
ALLOW These 6 rules allow ActiveSync (Windows XP) or Mobile Center (VISTA) connect to device. They enable
services like RAPI Requests, Time Server and Synchronization Information. |
| DHCP Unicast Response |
ALLOW Allows DHCP assigns IP address to device. |
| ICMP - Destination |
Unreachable BLOCK Blocks UDP port scanning by avoiding ICMP response. |
| ICMP - External |
Echo Request ALLOW Allow Pings to your device. |
| Internet Browsing |
BLOCK Block internet browsing when enabled |
| POP3 - Email |
BLOCK Block pocket outlook of getting emails. |
| SMTP - Email |
BLOCK Block pocket outlook of sending emails. |
| TCP Inbound Ports 0-1024 |
ALLOW Allow TCP basic ports to be accessed. |
| UDP Broadcasting |
BLOCK Avoid UDP broadcast from external network. |
| UDP Ports 137-138 |
ALLOW Enable UDP ports 137 (naming service) and 138
(NetBIOS datagram service). |
日本語ローカリゼーション 株式会社ネクステッジテクノロジー