F-Secureを使う(Linux)

※F-Secureの入手、インストール方法はこちらをご覧下さい(学内限定ページ)

目次

利用上の注意

学内サーバより「ポリシー」を一斉配布しています。

  • 「ポリシー」とはF-Secureの動作設定です。
  • 一度も学内接続していない場合は、標準の設定で動作します。


pagetop

F-Secureの画面を開く

F-Secureのウェブインターフェースは、次のローカルアドレスからアクセスできます。
http://localhost:28080/fsecure/webui/

fl01

画面左下にある「詳細設定モード」をクリックすると、より詳細な設定メニューを表示することができます。

fl02


pagetop

保護機能の設定

保護機能の有効化/無効化

基本的な保護機能の有効化/無効化はウェブインターフェース画面の「サマリ」で変更できます。なお、ファイアウォールを無効化する場合は、「すべて許可」を選択します。

*ご注意ください
F-Secureの他にもファイアウォール機能がある場合は、いずれかのファイアウォールだけを有効化するようお願いします。複数のファイアウォールが同時に稼働している場合、競合して動作が重くなったりフリーズする可能性があります。
fl03


pagetop

ファイアウォールのセキュリティレベル

ファイアウォールには、いくつかの「セキュリティレベル」があり、選択したレベルに設定されたルールに従って、通信を許可またはブロックします。用途によって、レベルを変更して使用して下さい。
*各セキュリティレベルは、デフォルトの状態では次のような内容になります。ただし、学内サーバからルールを追加した設定(ポリシー)を一斉に配布する場合があります。
【参考】Q. ファイアウォールが無効化されている

セキュリティレベル 説明
すべてブロック 全てのネットワークトラフィックをブロック(ループバックを除く)。
サーバ DHCP、DNS lookup、sshプロトコルによるIP設定のアクセスのみ許可します。
※重要:このセキュリティレベルは、使用前にカスタマイズが必要な場合があります。
モバイル ※学外利用(出張等)の時はこちらを選択して下さい。
通常のウェブアクセス、ファイルのアクセス(HTTP、HTTPS、FTP)、および電子メールとニュースグループのトラフィックを許可します。VPNとSSHなどの暗号化されたプログラムも許可します。それ以外は拒否されます。マルウェアが検出されたら、ローカルのルールを追加できます。
ホーム TCPとFTPのトラフィックをすべて許可します。それ以外は拒否されます。ネットワーク機能を拡張するために、ローカルルールを追加できます。
オフィス TCPとFTPのトラフィックをすべて許可します。デフォルトの設定では、それ以外はブロックされます。このセキュリティレベルでは、インターネットとホストの間にファイアウォールがあることを想定しています。
強化 ウェブアクセス、電子メールとニュースグループ、暗号化された通信、FTPファイル転送、およびリモート更新を許可します。それ以外は拒否されます。
通常 外部への送信をすべて許可し、特定の受信サービスを拒否します。
すべて許可 外部からの受信、外部への送信をすべて許可します。


pagetop

ファイアウォールのルールを追加・編集・削除する

デフォルトの設定だけでは使いにくい(アプリケーションの通信が遮断されてしまう等)場合、独自のルールを追加することができます。*ルールはセキュリティレベルごとに追加されます。
(たとえば「オフィス」レベルを選択時に独自ルールを追加した場合は、「オフィス」を選択した状態の時のみ効果があります。)

ルールを追加する(簡易)

  • 画面表示は通常の状態(詳細設定モードではない)で、「一般タスク」>「ファイアウォールルールの作成」をクリックします。
    fl04
  • ファイアウォールウィザードが開きますので、内容を選択して「次へ」をクリックして進めてください。*サービスの定義、ホストの定義については、後述の「ルールを追加する(詳細)」の内容を参考にしてください。
    fl05

ルールを追加する(詳細)

  • 「詳細設定モード」の状態で、「ファイアウォール」>「ファイアウォールルール」をクリックします。
    fl06
  • 「新しいルールの追加」をクリックすると、入力ボックスが表示されます。情報を入力すると「ファイアウォールルールの追加」がクリック可能になりますので、クリックしてルールを追加します。
    fl07
項目 設定できる内容
タイプ 設定した通信を許可するか/拒否するかを選択します。
リモートホスト ルールが適応されるIPアドレスとネットワークを設定します。IPアドレスとサブネットはビットネットマスク形式で入力します。すべてのIPアドレスを対象とする場合の設定例)

0.0.0.0/0, ::/0  ルールがすべてのIPv4 およびIPv6 アドレスに適用されます。
0.0.0.0/0  ルールがすべてのIPv4 アドレスに適用されます。
::/0  ルールがすべてのIPv6 アドレスに適用されます。
[MyNetwork]  ローカルネットワーク。
[MyDNS]  設定されているすべてのDNSサーバ。
説明 ルールの名前を設定します。
フラグ ルールの対象となるネットワークインターフェースを選択します。空白の場合、ルールがすべてのネットワークインターフェースに適用されます。(記入例:[if:eth0]、[if:eth03])
サービス ルールを適応するサービスを選択します。「サービス」「方向」を選択して「このルールにサービスを追加する」をクリックするとサービスを追加できます。削除したい場合は、右端の×をクリックします。
flu_08
既存のサービスには無い内容を設定したい場合は、別途サービスを追加してからルールを追加してください。
ネットワークサービスの追加
方向 ルールを適応する(通信を拒否/許可する)通信の方向を設定します。

両方
イン 着信。インターネットから受信するすべてのトラフィック。
アウト 発信。コンピュータから発信されるすべてのトラフィック。

*応答ポート等はソフトウェアのマニュアルに記載されていることがよくあります。通信を許可/拒否したいソフトウェアがある場合は、ソフトウェアのマニュアルをご覧ください。

既存のルールを編集・削除する

既存のルール、追加済のルールを編集するには、一覧から編集したいルールをクリックします。クリックすると、新規に追加するときと同様の画面が表示されます。編集が終わったら「ルールの保存」をクリックすることで適応されます。

fl09

なお、ルールは一覧表示のうち上の方にあるルールが優先されます。優先度を変更したい場合は、ルール右にある▲または▼をクリックして順番を入れ替えてください。削除したい場合は×をクリックします。


pagetop

ネットワークサービスを確認・追加する

ファイアーウォールのルールに適応するためのサービスがあらかじめ設定されています。

既存のサービス内容を確認する

  • 「詳細設定モード」の状態で、「ファイアウォール」>「ネットワークサービス」をクリックします。
    fl10
  • サービスの一覧が表示されます。サービスをクリックすると、「サービスの編集」に詳細な設定が表示されます。「サービスの編集」を閉じるには、「フィールドのリセット」をクリックします。
    fl11

サービスを追加する

  • 「詳細設定モード」の状態で、「ファイアウォール」>「ネットワークサービス」へ移動し、「新しいサービスの追加」をクリックします。
    fl12
  • 設定を入力し、「新しいサービスとして追加」をクリックするとサービスを追加できます。追加したサービスは、ルールの追加や編集で使用できます。
    flu_13<入力項目について>
フィード名 設定できる内容
サービス名 固有のサービス名を選択します。
プロトコル サービスのプロトコル番号を選択します。サービスがICMP、TCP、UDPのプロトコルを使用しない場合、[番号]を選択してプロトコル番号を入力して下さい。
開始ポート サービスがTCPまたはUDPプロトコルを使用する場合、サービスに該当する開始ポートを指定します。
応答ポート サービスがTCPまたはUDPプロトコルを使用する場合、サービスに該当する応答ポートを指定します。
説明 サービスを識別するための任意の内容を記入します。


pagetop

ウィルススキャン

手動で特定のファイルをスキャンしたい場合は、以下の手順で行います。

  • ウェブインターフェース画面(詳細設定モードではない状態)で「一般タスク」>「マルウェアとリスクウェアをスキャンする」をクリックします。
    fl13
  • マニュアルスキャンウィザードが起動しますので、スキャンしたいファイルまたはディレクトリのアドレスを入力し「次へ」をクリックします。*入力箇所に直接ファイルをドラッグ&ドロップすることもできますが、失敗する場合は
    アドレスを手入力して下さい。

    fl14
  • スキャンが完了したら「完了」をクリックして閉じます。
    fl15


pagetop

こんなときは


pagetop

さらに機能・使い方を知りたい

ウェブインターフェースの右側画面の上部に表示されている?マークのアイコンをクリックするとヘルプが表示されます。主な機能や使い方はこちらを参照して下さい。

ファイアウォールが無効化されている

F-Secureのファイアウォールが有効化されない場合は、以下をご確認下さい。

1.Webインターフェース上で有効化にチェックが入っているか
(1) ブラウザを起動し、Webインターフェースにアクセスします。
(2) 左下の「詳細モード」にチェックを入れます。
(3) 左列で「ファイアウォール」>「基本設定」をクリックします。
(4) 画面の右側にファイアウォールの設定画面が表示されます。
 「ファイアーウォールを有効にする」にチェックを入れ、「保存」をクリックします。
2.コマンドライン上でenabledになっているか
(1) コマンドラインで「/opt/f-secure/fsav/sbin/fschooser」を実行します。
(2) Firewallがenabledになっているか確認します。
 [f]キーを押し、Enterキーを押すことで、状態を変更できます。
(3) Enterキーを押して終了です。
3.必要なカーネルやコンポーネントが不足していないか
 必要なコンポーネント等が不足している場合、昨日が正常に動作しないことがあります。
 必要なコンポーネントがあるか、アップデートがないかご確認下さい。
 もしも不足分があった場合は、追加後に下記コマンドを実行します。
 <サービス再起動コマンド>

/etc/init.d/fsma restart
4.競合するソフトまたは機能がないか
OSによっては、標準でファイアウォール機能を備えているものもあります。標準搭載のファイアウォールの中には、F-Secureと競合するものがあります。F-Secureはファイアウォール機能を無効化してインストールすることもできますので、任意で行って下さい。
【参考(外部サイト)】F-Secure Linux セキュリティ 11.xをインストールする前のチェックリスト

ウェブインターフェースを表示できない

  • インストール後、一度もウェブインターフェースを表示できていない。インストールが中断、または失敗している可能性があります。一度アンインストールして、アップデートや必要パッケージを確認し、再度インストールを行なって下さい。
  • スリープ状態や再読したら表示できなくなった。ネットワーク接続状況を確認し、問題がなければF-Secureを再起動して下さい。>>再起動方法:コマンドラインで、/etc/init.d/fsma restartを実行します。

ウェブインターフェースで設定変更ができない

  • 保護機能が無効になっている。「ウイルス保護」等の各種機能が無効、かつ、有効化の操作が全くできない場合は、必要なカーネルや互換パッケージがインストールされているか、最新の状態かご確認下さい。必要パッケージがないと動作しない機能もあります。インストールとアップデートを行なった後、再起動してから管理画面をご確認下さい。
  • クリックができず設定変更や機能の有効化/無効化ができない。アップデート状況や必要パッケージに問題がなく、インストール後一度も操作が可能な状態になっていない場合は、学内サーバから配布しているポリシーで設定変更にロックをかけている可能性があります(正常インストール後に、初期状態でファイアウォールが無効化・利用者の操作不可の設定になっていた事例があります。)。
    設定変更を行いたい場合は、「ホスト名」「IPアドレス」「OS名とバージョン」を確認したうえで、情報教育センター技術室までご相談下さい。

F-Secureを稼働させると使えなくなるサービスやアプリ―ケーションがある

F-Secureのファイアウォールを無効化してみてください。無効化して不具合が解消される場合は、F-Secureファイアウォールでブロックされていることが考えられます。セキュリティレベルを変更する、またはルールを追加することで、ファイアウォールのフィルタを除外することができますのでお試し下さい。ファイアウォール以外にもF-Secureには保護機能があります。ファイアウォールが原因でない場合は、各機能を無効化して利用可能かもお試し下さい。なお、F-Secure以外のファイアウォールやソフトウェアと競合して動作が重くなったり動かなくなる可能性もあります。類似のソフトウェアや機能をすでに動かしていないかご注意下さい。

ルールを追加してもうまくいかない

F-Secureファイアウォールのルールを追加したのに、ポートが開放されない、サービスが利用できない場合は、F-Secureファイアウォールを無効化してみてください。無効化した状態でもサービスが利用できない場合は、F-Secureファイアウォールではない事象が原因と考えられます。

追加したルールが消えている

追加したはずのルールが見当たらなくなった場合、セキュリティレベルを変更していないかご確認下さい。ルールはセキュリティレベルごとに追加することが可能なため、ルールを追加したレベルと別のレベルには表示・適応されません。使いたいレベルごとにルールを追加して下さい。

ルールが増えている

管理サーバから一斉にポリシー(動作設定)を追加・配布する場合がありますので、それにより標準設定のルールが変更されることもあります。

ファイルがダウンロードできない・消されてしまう、ウィルスの誤検知がある

Web上からファイルをダウンロードするとF-Secureから「ウィルスが検知されました」等のメッセージが表示されて削除される場合がありますが、誤検知が疑われる場合は、F-Secureのサポートセンターへ直接ご連絡下さい。

コマンド

  • F-Secureを再起動する
    /etc/init.d/fsam restart

  • F-Secureファイアウォールまたはウェブインターフェース機能を有効化/無効化する。
    (1) 次のコマンドを実行します。/opt/f-secure/fsav/sbin/fschooser
    (2) 画面の指示に従い、コンポーネントを有効または無効にします。
    Firewall –ENABLED,press f+RET to toggle Web User Interface –ENABLED, press w+RET to toggle
    (3) 変更した設定を適応するには[RETURN]を押します。設定変更を適応せずにキャンセルする場合は[ctrl]+[c]を押します。
  • F-Secureファイアウォールのセキュリティレベルを変更する。
    /opt/f-secure/fsav/bin/fsfwc –mode {block, mobile, home, office, strict, normal, bypass}
  • F-Secureの更新を自動的に適応する。
    /opt/f-secure/fssp/libexec/fsupdated
  • インターフェースの言語を設定する。
    /opt/f-secure/fsav/bin/fssetlanguage
    *次の言語を設定できます。en-英語ja-日本語de-ドイツ語