Online Armor Free

独自のホスト侵入防止システム（HIPS）を搭載したパーソナルファイアウォール。
パソコン上で発生した不審な通信 / 疑わしいアプリケーションの挙動 等を、リアルタイムにブロック＆制御できるようにするセキュリティソフトです。
アプリケーションの通信を “ ルール ” で制御する機能（ポートセッティング）や、スタートアップアイテムを管理する機能、Hosts ファイルの改変を監視する機能 等も付いています。

「Online Armor Free」は、高機能なパーソナルファイアウォールです。
パソコンを外部の攻撃から護ってくれるのはもちろん、パソコン上で不審な通信が発生した際に、その通信を “ 許可 ” するのか “ 拒否 ” するのか を、自由に選択できるようにしてくれます※1。
1 通信の際に使用させるポート番号も、（接続先のみ）自由に設定することができる。
通信元 / 通信先 のアドレスは、指定できない？模様。
また、不審なプログラムが　起動 / 他のプロセスを停止 / データを改竄 / OS をシャットダウン　させようとした時にも、その動作を “ 許可 ” or “ 拒否 ” できるようにしてくれるので、アンチウイルス 等がスルーしてしまったマルウェアに対しても、大きな効力を発揮してくれると思います※2。
2 “ Program Guard ” という、ホスト侵入防止システム（HIPS）のような機能。
さらに、Hosts ファイルの改変監視、スタートアッププログラムの管理... などの機能も付いていたりします。
通信や動作の可否を求めるダイアログは、“ ホワイトリスト ” ※3 に基づいて表示されるため、同系統のソフトと比べて労を要せずに使えると思います。
（ただし、“ Program Guard ” 　は鬱陶しいかも...）
3 Online Armor team により “ 信頼できる ” と識別されているプログラムの通信や動作に関しては、いちいち警告が表示されない。
（必要に応じて、このホワイトリスト機能は無効にすることもできる）

使い方は以下の通りです。
Online Armor Free インストール方法
Online Armor Free 初期設定の解説

Learning Mode
プログラムの通信や動作を、Online Armor に学習させる機能。
この機能を有効にしている間は、警告が一切表示されず、全ての通信 ＆ 動作 が「許可」と判断される。
（そして、そのままルールが生成される）
便利な機能ではあるが、必ず使わなくてはならない機能ではない。
ちなみに、Windows のスタートアップ動作を学習するために、初回起動時は約 2 分間だけ「Learning Mode」として動作するようになっている。
（その間は このようなダイアログ が表示されるので、極力他の操作を行わないようにする）
1. 「Online Armor Free」はさほど警告が激しいソフトではないので、Learning Mode を使用する必要はないかもしれませんが、一応簡単に紹介しておきます。
   （インストール直後、ルールを一気に作成したい時などに便利）
2. まず、タスクトレイ上の「Online Armor」アイコンを右クリックし、「Learning Mode」にチェックを入れます。
3. 普段よく使っているアプリケーションを一通り起動させ、ルールを作成していきます。
   （ソフトを実行するだけで、自動的に「許可」ルールが生成されていく）
   また、ネットワーク接続を必要とするソフトがあれば、これも一通り通信させます。
   IE / Firefox 等々、安全性が確認されているソフトは、既にOnline Armor の “ ホワイトリスト ” に登録されているので、わざわざ実行させたりする必要はありません。
4. 一通り起動＆通信 が終わったら、タスクトレイ上の「Online Armor」アイコンを右クリック → 「Learning Mode」のチェックを外します。

Firewall　-　通信に関するアラートの対処　-
1. Online Armor により “ 信頼できる ” と認識されていないプログラムが通信しようとすると、
   • A program wants to use the internet
   という警告ダイアログが表示されます※5。
   5 警告ダイアログの色により、該当アプリの安全度が分かる。
   （緑 ＝ 信頼できるアプリ　|　オレンジ ＝ 未知のアプリ　|　赤 ＝ 危険と思われるアプリ）
   プログラムの場所は、「Program」欄で確認することができる。
   この通信を許可する場合は「Allow」を選択し、拒否する場合は「Block」を選択します※6。
   6 全く知らないファイルが通信しようとしていた場合、とりあえずファイル名をWeb 検索にかけてみるとよい。
   確実に安全である or 危険である と分かっている場合は、「Create rule」にチェックを入れてから「Allow」or「Block」を選択します。
   （このようにしておくと通信ルールが生成され、次回から警告が表示されなくなる）

Firewall　-　設定の変更　-
1. タスクトレイ上のアイコンをダブルクリックし、設定画面を表示させます。
2. 左メニュー内にある「Firewall」を選択。
3. すると、これまでに「Create rule」してきたアプリケーションのリストが、一覧表示されます。
   単に通信の「許可」or「拒否」を変更したいだけの場合は、該当アプリ上で右クリック → 「Allow」or「Block」を選択すればOK。
   ルールを削除したい時は、「Delete」を選択します。
4. アプリケーションに使用させるポート番号を細かく設定したい場合は、該当アプリ上で右クリック → 「Go to ports」を選択します。
   （先述のとおり、ソースポートやアドレスは指定できません）
5. すると、画面が「Ports」タブに切り替わり、該当アプリのルールが選択状態になります。
   そのまま、ダブルクリック。
   （ルールが複数ある場合は、一つ一つ設定する）
6. 「Firewall rule editor」というウインドウ が開きます。
   ここの
   • 「Access」欄で通信の許可（「Allow」）or 拒否（「Deny」） を、
   • 「Protocol」欄で通信の際に使用させるプロトコルを、
   • 「Direction」欄で通信の向き※7 を
   それぞれ設定します。
   7 「Inbound」＝ インターネット → パソコン　|　「Outbound」＝ パソコン → インターネット
7. 次に、右側の「Ports list」欄の下部にある「Add port」ボタンをクリックし、接続先のポート番号を 入力します。
   ポート番号は複数指定することができるほか、レンジで指定できるようにもなっています※8。
   8 複数指定する場合は半角カンマ（,）区切りで、レンジで指定する場合は半角ハイフン（-）区切りで入力する。
   例）　80 / 443 / 8080 を指定する場合 → 80,443,8080
   110 ～ 120 を指定する場合 → 110-120
   登録したポートを削除する時は、「Ports list」欄で目的のポートを選択 →「Delete port」ボタンをクリックします。

Firewall　-　LAN 内のPC と、ファイル / プリンタ 等を共有　-
8. LAN 内のパソコンとファイル共有を行う場合、該当するネットワークを “ 信頼できるゾーン ” として設定してやる必要が出てきます。
   （おそらく、デフォルトのLAN は最初から “ 信頼できるゾーン ” として設定されている）
   以下に、その設定方法を紹介します。
9. タスクトレイ上のアイコンを右クリックし、「Configuration」を選択。
10. 設定画面が表示されます。
    左メニュー内にある「Firewall」を選択。
11. そのまま、「Interfaces」タブを開きます。
12. あとは、ファイル共有を行いたいネットワークの「Trusted」にチェックを入れればOK。
    （逆に、共有設定を無効化したい場合は、該当ネットワークの「Trusted」をOFF にしておきます）

Firewall　-　ルールのバックアップ / 復元　-
1. ファイアウォールのルールをバックアップしたい時は、次のような操作を行います。
2. まず、タスクトレイアイコンをダブルクリックし、メイン画面を呼び出します。
3. 左メニュー内にある「Firewall」を選択。
4. ルールリスト上で右クリックし、「Export」を選択します。
5. 「名前を付けて保存」ダイアログが表示されるので、バックアップファイルの保存先フォルダ＆ファイル名 を指定し、「保存」ボタンをクリックします。
6. バックアップしたルールを復元する時は、ルールリスト上で右クリック →「Import」を選択 → 保存しておいたバックアップファイルを選択すればOK です。
   （既存のルールが上書きされるので注意）

Program Guard（HIPS）　～　実行の許可 or 拒否
Program Guard を無効化したい場合は、タスクトレイ上のOnline Armor アイコンを右クリック → 「Program Guard」のチェックを外す。
（その後「Are you sure ～」というダイアログが表示されるので、「Yes」をクリックする）
キーロガー的な挙動の監視のみを無効化したい場合は、「Anti-Keylogger」のチェックを外す。
Hosts ファイルの監視も無効にしたい場合は、「Deactivate HIPS features」にチェックを入れる。
（こちらはOS の再起動が必要）
1. Firewall と同様、このProgram Guard にも “ ホワイトリスト ” 機能が付いています※9。
   9 Online Armor により “ 信頼できる ” と認識されているプログラムに関しては、警告を出さないようにする機能。
   このホワイトリスト機能を使わず、全てのプロセスを自分で管理する場合は、タスクトレイ上のOnline Armor をダブルクリックし、左メニュー内にある「Programs」を選択 →「Options」タブを開き、中段にある
   • Automatically trust programs that Emsisoft deems trustworthy
   のチェックを外しておきます※10。
   10 その後、「本当にこの機能をOFF にしますか？」というダイアログが表示されるので、「Yes」をクリック。
2. ルールにないアプリケーションが何らかのアクションを起こそうとすると、
   • A program wants to □□
   • Screen logger detected
   • Keylogger detected
   • ○○.exe wants to modify the Hosts file
   というようなアラートが表示されます※5。
   （ □□ の部分は、アクション内容によって異なる）
   このアラート内に表示されているファイルの名前、および、アクション先 / アクション元 のファイル 等を確認し、今回のアクションを許可する場合は「Allow」を、拒否する場合は「Block」を選択します。
   （全く見知らぬプログラムの場合、ファイル名をWeb 検索にかけてみるとよい）
   今回の判断内容をOnline Armor に記憶させたい時は、「Remember my decision」にチェックを入れてから「Allow」or「Block」をクリックします。
   アプリケーションが確実に安全であると分かっている場合は、「Trust this program」にチェックを入れてから「Allow」をクリックします※11。
   11 「信頼できるアプリケーション」として認識させる。
   信頼されたアプリケーションは、他のアクションに関しても「許可」と判断される。
   見知っているアプリケーションではあるけれど、なんとなく不安がある場合は「Run Safer」にチェックを入れてから「Allow」をクリックします※12。
   12 この「Run Safer」オプションを指定できるのは、アプリが起動しようとしている時のみ。
   管理者権限を持って実行しようとするアプリを、特権なしで実行させる。
   （が、元から特権を持っているアプリに対しては効かない？）

Program Guard（HIPS）　-　設定の変更　-
1. タスクトレイアイコンをダブルクリックし、設定画面を呼び出します。
2. 左メニュー内にある「Programs」を選択。
   尚、
   • Screen logger detected
   • Keylogger detected
   • ○○.exe wants to modify the Hosts file
   というアラート上で設定したアプリの挙動を変更したい場合は、左メニューの「Anti-Keylogger」および「Hosts file」を開きます。
3. すると、実行の許可 / 拒否 を制御してきたアプリケーションが、一覧表示されます。
   単に実行の「許可」or「拒否」を変更したいだけの場合は、該当アプリ上で右クリック → 「Allow」or「Block」を選択すればOK。
   （「Ask（尋ねる）」にしてもよい）
   必要に応じて、この右クリックメニューからアプリケーションを「Trust」したり※11、「Untrust」にしたりすることもできます※13。
   （「Open file location」から、ファイルが存在するフォルダを開くこともできる）
   13 「信頼できるアプリケーション」としての認識を解除させたくなったら、「Untrust」を選択する。
   ただし、「Anti-Keylogger」「Hosts file」画面では、「Trust」操作を行うことはできません。
4. さらに、任意のアプリケーションをダブルクリックすることで、より 詳細な動作設定 を行うこともできたりします。
   （やはり、「Anti-Keylogger」「Hosts file」画面では、この操作を行うことはできない）
   ここでは、アプリケーションを「Run Safer」or「Installer」※14 として実行させるように設定したり、アプリケーションが
   • start applications　-　他のプロセスを実行
   • set global hooks　-　グローバルフック
   • physical memory access　-　他のアプリケーションが使用しているメモリデータへアクセス
   • remote code　-　他のプロセスをコントロール
   • remote data modification　-　他のアプリケーションが保持している仮想メモリデータを変更
   • suspend process/thread　-　他のプロセスを停止
   • create executable　-　実行ファイルの生成
   • Enumerate files　-　ディレクトリ内のファイル情報を取得する
   • direct Disk Access　-　ハードディスクへのダイレクトアクセス
   • system shutdown　-　シャットダウン
   しようとしたりするのを「Allow」or「Block」したりすることができます。
   （クリックする度に、「Allow」「Block」「Ask」が切り替わる）
   14 インストーラー等は「Installer」にしておくとよい。

トラフィック / アクティブコネクション の確認
1. タスクトレイ上のアイコンを右クリック →「Show Firewall Status」を選択。
2. 通信のステータス画面 が表示されます。
   画面は大きく 3 つに分かれていて、上から順に
   • 通信の内容を表す折れ線グラフ
   • 通信中のプロセスリスト※15
   • 通信中のプロセス、通信元 / 通信先 の IP アドレスやポート番号、通信状態※16
   が表示されるようになっています。
   15 プログラム名 / プロセスID / データ受信量 / デー送信量 / 転送速度（Down / UP ）を確認することができる。
   任意のプロセス上で右クリックすることにより、プロセスを終了（Kill ）させたり、該当プロセスのルールを表示（Go to ports ）させたりすることもできる。
   16 通信先のサーバーが存在している国を確認することもできる。
   こちらでもやはり、プロセスを終了させたり、通信を切断したり（Close Connection ）、ルールを表示させたりすることができる。
   アイテムを右クリック →「Copy remote address」を選択すると、通信先のアドレス:ポート番号 をコピーすることができる。
   プロセスが多く表示されている時は、任意のプロセス上で右クリック →「Filter by process」を選択することで、プロセスを絞り込み表示させることもできたりします。
   （絞込みを解除する時は、右クリック →「Clear Filter」を選択）
3. おまけに、右下の「Resolve addresses」にチェックを入れることで、通信先のアドレスをホスト名に変換することもできたりします。

そのほか、設定画面の左メニュー内にある「Autoruns」から スタートアップアイテムを管理 できるようになっています※17。
17 “ 信頼できるアプリケーション ” は、非表示になっている。
これらを表示するには、左下にある「Hide Trusted」のチェックを外す必要がある。

　定番のファイアウォール

　COMODO Firewall

強力なプロセス監視機能（HIPS）を備えたパーソナルファイアウォール