Airscanner Mobile Firewall 3.5は、IPv4ファイアウォールであり、お客様のWindows Mobileデバイスを不正アクセスから守ります。この新バージョンでは、ファイアウォール設定およびユーザ定義ルールに未承認の変更が与えられないように、設定オプションをパスワードで保護する機能が追加されました。
ファイアウォールは、TCP/IPスタックのIP層およびトランスポート層でトラフィックをブロックするように設計されています。また、ファイアウォールは、選択したプロトコルを使って通信するポートの承認リストを識別することで、ICMP、TCP、UDPの3種類のプロトコルで機能します。
トラフィックフローには、インバウンド トラフィック(受信)とアウトバウンド トラフィック(発信)があります。
ファイアウォールの動作にはDefault Modeがあり、ファイアウォール ドライバがロードされている間はあらかじめ定義されたルールがアクティブになります。ただし、ファイアウォールの動作やDefault Modeはプロファイルで詳細に設定を行うことができます。
ファイアウォールは、Custom Modeプロファイルに切り替えると、Default Modeも同時に起動します。
Default Modeでは、ファイアウォールはすべてのインバウンド パケットをブロックし、すべてのアウトバウンド パケットを許可します。
Custom Modeプロファイルでの操作時のみユーザ独自のルールを作成することが可能です。ルールに競合が発生した場合、インバウンドであるかアウトバウンドであるかによってルールの優先順位が決定します。優先されたルールに合致するパケットのみ、ルールに従ってフィルタリングされます。優先したルールが合致しない場合、トラフィックはデフォルトの動作に従って処理されます。詳細については、いくつかの例を用いて後述します。
AllowとBlockルールが同時に適用された場合、トラフィックフローは下記のように調整されます。
この章では、Airscanner Mobile Firewallのグラフィカル ユーザ インタフェース(GUI)について説明します。
Mobile FirewallのGUIは、解像度240x240サイズ以上の画面でご利用いただけます。
 |
Mobile Firewall メイン画面 メイン画面には次のコンポーネントが含まれます。
|
 |
[Options]メニュー [Options]メニューでは、本ソフトウェアでよく利用する機能へ素早くアクセスできます。 すべての機能が表示されているわけではありません。 注意: 有効にしているプロファイル以外のプロファイルは[Main Menu]には表示されず、[Options]メニューからのみアクセス可能です。 |
|
|
トレイメニュー メイン画面の右上にある[OK]ボタンをタップすると、画面はトレイ上に最小化されます。 トレイメニューでは、[Options]メニューと同様のオプション機能が利用できます。 トレイアイコンには、[Airscanner]アイコンの他に、選択中のファイアウォール プロファイルを示す小さな球が表示されます。 |
Airscanner Mobile Firewallには、Block All、Trust All、Custom Mode、Disabledの4種類のプロファイルがあります。
一度にアクティブにできるプロファイルは1つだけです。プロファイルを切り替えると、ファイアウォールを設定するためのルール グループが有効になります。
Block All
Block Allプロファイルを設定すると、すべてのネットワーク トラフィックがブロックされます。インバウンド トラフィックもアウトバウンド トラフィックも許可されません。
Trust All
Trust Allプロファイルを設定すると、すべてのネットワーク トラフィックが許可されます。制限されるトラフィックはありませんが、ファイアウォールはアクティブです。
Custom Mode
Custom Modeプロファイルを使用すると、ユーザ独自のルールを作成し、有効にすることができます。Custom Modeには、Factory Rules ([Custom Profiles Menu]に用意されています)と呼ばれるあらかじめ定義されたルールがあり、有効/無効の変更ができます。ユーザ独自のルールを作成する場合は、[Custom Profiles Menu]の[User Rules]オプションで行います。
Custom Modeプロファイルに切り替えるとFactory RulesとUser Rulesの2グループのルールが適用されます。
Custom ModeはDefault Modeと併用されます。そのため、Custom Modeで適用されなかったトラフィックについては、Default Modeでのルールが適用されます。
ファイアウォールを、Default Modeのみの状態にしたい場合、Custom Modeプロファイルに切り替え、[Custom Profiles Menu]からすべてのルールを無効にしてください。Disabled
ファイアウォールの機能を停止します。[Options]メニューからDisabledプロファイルに切り替えることができます。
[Custom Profiles Menu]では、独自のルールの作成・管理を行います。
 |
Factory Rules [Factory Rules]オプションでは、工場出荷時ルールの表示および有効/無効の変更を行うことができます。追加や削除などの操作は、このプロファイルでは行うことができません([Add]、[Edit]、[Delete]はグレーアウトされています)。ルールがチェックされている場合は、有効であることを示します。 スクリーンショットをご覧いただくと、[ICMP - External Echo Request]が有効、[Internet Browsing]が無効であることが分かります。 すべてのルールを無効にし、独自のルールのみを使用することも可能です。 Factory Rulesの詳細に関しては、「Appendix B」を参照してください。 重要: Custom Modeプロファイルがアクティブな場合、変更内容はファイアウォールにすぐに反映されます。 |
 |
User Rules [User Rules]オプションでは、ルールの追加、編集、削除、有効/無効の変更とオリジナルルールの閲覧ができます。 ルールの作成方法については、「第3章 ルール作成について」を参照してください。 重要: Custom Modeプロファイルがアクティブな場合、変更内容はファイアウォールにすぐに反映されます。 |
 |
List Conn ("接続一覧") この機能では、現在使用中のTCP/UDPリソースを表示します。 表示された結果は(\My Documents)にいつでも保存できます。ファイルはテキスト形式です。 Resolve Address: このオプションが有効な場合、IPアドレスはホストネームに変換されます(名前解決する場合のみ)。 Refresh: このオプションが有効な場合、間隔に従って接続一覧が更新されます。 |
|
Activity Log 2つの機能について説明します。 Global Counters: TCP、UDP、ICMPプロトコルでのIP記録を表示します。[Reset Counters]ボタンをタップするとカウンタがゼロに戻ります。 Log View: 最新の100件のログを表示します。 注意: Activity Logでロギングするには、[General Settings]の[Log Firewall Activity]チェックボックスをオンにする必要があります。 |
[Settings Menu]を使用して、Mobile Firewallの設定を変更したり、Mobile Firewallの機能にパスワード保護を設定することができます。
 |
General Settings Load Firewall at Startup: OS起動時にファイアウォールGUIとファイアウォール ドライバを読み込みます。 Prevent From Uninstalling: [プログラムの削除]一覧にFirewallを表示/非表示します。このオプションにパスワード保護を加え、第三者がファイアウォールをアンインストールできないようにすることをお勧めします(「Password Settings」参照)。 Log Firewall Activity: ファイルとActivity Log (「Tool Menu」参照)へのファイアウォールログ情報を有効/無効にします。 このチェックボックスをオンにすると、マイ ドキュメントにログファイルが保存されます。[Max Size]オプションはこの機能のみに対応しています。[do not log to file]を選択すると、Ativity Log (「Tools Menu」参照)のみにログが保存されます。 重要: ファイルへのアクティビティ ロギングにより、デバイスの動作が遅くなる場合があります。 |
 |
Password Settings Password Settingsでは、Mobile Firewallの設定をパスワードで保護することができます。デフォルトではパスワードは設定されていません。 6〜16文字のパスワードを入力し、[Set Password]ボタンをタップします。 Password protection when trying to: このチェックボックスをオンにして、ファイアウォールの機能/オプションに対するパスワード保護を有効にします。機能/オプションがパスワードで保護されている場合は、アクセスしようとする度にパスワードを求める画面が表示されます。
次の機能/オプションをパスワードで保護することができます。 start firewall: ファイアウォールを起動するとき 重要: パスワードを設定すると、Password Settingsにアクセスしようとする度にパスワードを求める画面が表示されます。 |
ログファイルを読み取る場合は、デスクトップ コンピュータへコピーし、通常のテキストエディタを使用して開くことをお勧めします。
ログファイルのサンプルを紹介します。
| ACTION | PROTOCOL | DIRECTION | TARGET | SOURCE | TARGET | SOURCE | TYPE | CODE | |
| ------- | ------- | --------- | ------- | ------- | ------- | ------- | ----- | ----- | |
| [Feb, 17 2008 16:38:51]=> | ALLOWED | UDP | OUTBOUND | 0.0.0.0 | 255.255.255.255 | 68 | 67 | *** | *** |
| [Feb, 17 2008 16:38:51]=> | ALLOWED | UDP | INBOUND | 0.0.0.0 | 255.255.255.255 | 68 | 67 | *** | *** |
| [Feb, 17 2008 16:38:52]=> | ALLOWED | UDP | INBOUND | 1.1.1.30 | 1.1.1.255 | 137 | 137 | *** | *** |
| [Feb, 17 2008 16:38:52]=> | ALLOWED | UDP | OUTBOUND | 1.1.1.30 | 1.1.1.255 | 137 | 137 | *** | *** |
| [Feb, 17 2008 16:38:52]=> | ALLOWED | UDP | INBOUND | 1.1.1.30 | 1.1.1.255 | 137 | 137 | *** | *** |
| [Feb, 17 2008 16:39:16]=> | BLOCKED | TCP | INBOUND | 169.254.2.2 | 169.254.2.1 | 990 | 1052 | *** | *** |
| [Feb, 17 2008 16:39:17]=> | BLOCKED | TCP | INBOUND | 169.254.2.2 | 169.254.2.1 | 990 | 1052 | *** | *** |
| [Feb, 17 2008 16:39:18]=> | BLOCKED | ICMP | INBOUND | 169.254.2.2 | 169.254.2.1 | *** | *** | 8 | 0 |
日時の後に記載されている項目の詳細については以下をご覧ください。
[Custom Profile Menu]の[User Rules]オプションから独自のルールを作成することができます。Custom Modeプロファイルが設定されているときのみ、作成されたルールが適用されます。
ファイアウォールがCustom Modeプロファイルで作動中の場合はDefault Modeが同時に機能し、[Custom Profiles Menu]および[User Rules]で設定されたルールに従います。ただし、優先されたルールがトラフィックに合致しない場合は、Default Modeルールに従って処理されます。
この項では、ルールを正しく作成できるようにいくつかの例を紹介します。
2つのことに注意してください。
インバウンド トラフィックには、AllowルールよりもBlockルールが優先されます。
アウトバウンド トラフィックには、BlockルールよりもAllowルールが優先されます。
ICMP echo responseを許可する場合には、まず、インバウンドICMP Echo Requestを許可しなくてはなりません(アウトバウンドICMP Echo responseはDefault Modeで既に許可されています)。
PORT 80のアウトバウンド トラフィックが(デフォルトで)許可されています。ブロックする方法は次のスクリーンショットを参照してください。
ご不明な点やご意見がありましたら、http://www.shareEDGE.com/cs/からお問い合わせください。
| ICMP Types | ICMP Codes | ||
| 0 | Echo Reply | (none) | |
| 3 | Destination Unreachable | 0 | Net Unreachable |
| 1 | Host Unreachable | ||
| 3 | Protocol Unreachable | ||
| 4 | Fragmentation Needed and Don't Fragment was Set | ||
| 5 | Source Route Failed | ||
| 6 | Destination Network Unknown | ||
| 7 | Destination Host Unknown | ||
| 8 | Source Host Isolated | ||
| 9 | Communication with Network is Administratively Prohibited | ||
| 10 | Communication with Host is Administratively Prohibited | ||
| 11 | Destination Network Unreachable for Type of Service | ||
| 12 | Destination Host Unreachable for Type of Service | ||
| 13 | Communication Administratively Prohibited | ||
| 14 | Host Precedence Violation | ||
| 15 | Precedence cutoff in effect | ||
| 4 | Source Quench | (none) | |
| 5 | Redirect | 0 | Redirect Datagram for the Network (or subnet) |
| 1 | Redirect Datagram for the Host | ||
| 2 | Redirect Datagram for the Type of Service and Network | ||
| 3 | Redirect Datagram for the Type of Service and Host | ||
| 6 | Alternate Host Address | (none) | |
| 8 | Echo | (none) | |
| 9 | Router Advertisement advertisement | 0 | Normal router advertisement |
| 16 | Does not route common traffic | ||
| 10 | Router Selection | (none) | |
| 11 | Time Exceeded | 0 | Time to Live exceeded in Transit |
| 1 | Fragment Reassembly Time Exceeded | ||
| 12 | Parameter Problem | 0 | Pointer indicates the error |
| 1 | Missing a Required Option | ||
| 2 | Bad Length | ||
| 13 | Timestamp | (none) | |
| 14 | Timestamp Reply | (none) | |
| 15 | Information Request | (none) | |
| 16 | Information Reply | (none) | |
| 17 | Address Mask Request | (none) | |
| 18 | Address Mask Reply | (none) | |
| 30 | Traceroute | (none) | |
| 31 | Datagram Conversion Error | (none) | |
| 32 | Mobile Host Redirect | (none) | |
| 33 | IPv6 Where-Are-You | (none) | |
| 34 | IPv6 I-Am-Here | (none) | |
| 35 | Mobile Registration Request | (none) | |
| 36 | Mobile Registration Reply | (none) | |
| 40 | Authentication Failures | 0 | Bad SPI |
| 1 | Authentication Failed | ||
| 2 | Decompression Failed | ||
| 3 | Decryption Failed | ||
| 4 | Need Authentication | ||
On Custom Mode Profile Airscanner provides some rules, called Factory Rules.Some of them are disabled by default:
Rule |
Type |
Description |
| ActiveSync 4.x Rules | ALLOW | These 6 rules allow ActiveSync (Windows XP) or Mobile Center (VISTA) connect to device.They enable services like RAPI Requests, Time Server and Synchronization Information. |
| DHCP Unicast Response | ALLOW | Allows DHCP assigns IP address to device. |
| ICMP - Destination Unreachable | BLOCK | Blocks UDP port scanning by avoiding ICMP response. |
| ICMP - External Echo Request | ALLOW | Allow Pings to your device. |
| Internet Browsing | BLOCK | Block internet browsing when enabled |
| POP3 - Email | BLOCK | Block pocket outlook of getting emails. |
| SMTP - Email | BLOCK | Block pocket outlook of sending emails. |
| TCP Inbound Ports 0-1024 | ALLOW | Allow TCP basic ports to be accessed. |
| UDP Broadcasting | BLOCK | Avoid UDP broadcast from external network. |
| UDP Ports 137-138 | ALLOW | Enable UDP ports 137 (naming service) and 138 (NetBIOS datagram service). |
