Windowsファイアウォールの「プロファイル」を知る:Tech TIPS
Windows OS標準装備のファイアウォール「Windowsファイアウォール」を設定/管理しようとしたとき、「プロファイル」という単語を目にしたことがないだろうか? このプロファイルの基本的な概念や動作、種類について簡単にまとめる。
対象:Windows XP/Windows Vista、Windows Server 2003
Windows OS標準の「Windowsファイアウォール」を設定/管理したい!
Windows XP SP2やWindows Server 2003、Windows Vistaには、標準で「Windowsファイアウォール」というファイアウォール機能が含まれている。このファイアウォールを設定/管理するためには、「プロファイル」という動作モードについて知っておく必要がある。
GUI画面([コントロール パネル]の[Windowsファイアウォール])で操作する場合はプロファイルを意識することはない。一方、「netsh」コマンドやグループポリシーなどで管理する場合には、使い分ける必要がある。
本Tech TIPSでは、このプロファイルについて簡単にまとめておく。より詳細な説明については、以下の解説記事を参照していただきたい。
- システム管理者のためのXP SP2展開計画「第2回 Windowsファイアウォールの管理」
- Tech TIPS「Windows Vistaのファイアウォールでアウトバウンド通信をブロックする」
Windowsファイアウォールの「プロファイル」とは
Windowsファイアウォールのプロファイルとは、ネットワークの接続状況に応じて、Windowsファイアウォールの動作モードのセットを切り替えるための機能である。プロファイルを切り替えると、そこで定義されている設定に基づいて、ファイアウォールの状態(パケットフィルタの設定など)が変更され、設定を動的に変更できる。
例えばノートPCを社内のドメインネットワークで利用している場合は、フィルタの設定を緩和して社内からのリモート管理を有効にする。出張先などへ持ち出している場合は、外部からのアクセスを全て禁止してセキュリティを高める、といった運用方法で利用する。
この2種類のプロファイルはネットワークの状況に応じて自動的に選択され、適用されるので、ユーザー自身で切り替える必要はない。
ネットワークによるプロファイルの切り替え
接続されているネットワークに応じて、利用するプロファイルが切り替えられる。これにより、社内にいるときはフィルタ設定を緩和し(ドメインプロファイルを利用する)、社外へ持ち出したときは厳密なフィルタ設定を利用する(標準プロファイルを利用する)、といった運用が可能になる。この切り替えは、ネットワークの状態に応じて動的に行われる。
【Windows XP SP2/Server 2003】Windowsファイアウォールのプロファイルの種類
Windows XP SP2/Windows Server 2003のWindowsファイアウォールで利用できるプロファイルは2種類あり、それぞれ次のような違いある。
プロファイル | 意味 |
---|---|
ドメインプロファイル (DOMAIN Profile) | コンピュータがActive Directoryドメインネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループネットワークではなく)ドメインネットワークに参加しており、さらに、ネットワークがアクティブ(ドメインコントローラと通信が可能)な状態にあれば、このプロファイルが使用される |
標準プロファイル (STANDARD Profile) | ドメインプロファイルが利用できない場合に利用されるプロファイル。ドメインネットワークからコンピュータを切り離した(ドメインコントローラと通信ができない場所へ移動した)ときに利用される。またワークグループネットワーク構成の場合には、常にこのプロファイルが利用される |
【Windows XP SP2/Server 2003】Windowsファイアウォールのプロファイル これらのOSでは、2種類のプロファイルがサポートされている。 |
現在どのプロファイルが利用されているかは、「netsh」コマンドで確認できる。
C:\>netsh ……netshコマンドの起動
netsh>firewall ……firewallコンテキストへの切り替え
netsh firewall>show currentprofile ……確認コマンド
DOMAIN のプロファイルの構成 (現在): ……結果
----------------------------------------------------------
netsh firewall>
なおWindows Vistaでも、互換性のためにこの2種類のプロファイル(および「netsh firewall」コマンド)はそのまま利用できる。
しかしWindows VistaではWindowsファイアウォールが強化されており、より高度な機能が利用できる。それらの拡張機能は、以上のプロファイルではなく、以下で述べる3種類のプロファイルに格納されている。
【Windows Vista】Windowsファイアウォールのプロファイルの種類
Windows VistaのWindowsファイアウォールで利用できるプロファイルは上記のOSよりも拡張され、3種類ある。
ただし実際には互換性のため、従来のファイアウォールと同等の機能は従来通りドメインプロファイルと標準プロファイルで管理し、新たに導入された機能は、下表の3種類のプロファイルで管理することになっている。
GUIの管理ツールでいえば、前者は「Windowsファイアウォール」に、後者は「セキュリティが強化されたWindowsファイアウォール」にそれぞれ対応している。
プロファイル | 意味 |
---|---|
ドメインプロファイル (DOMAIN Profile) | コンピュータがActive Directoryドメインネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループネットワークではなく)ドメインネットワークに参加しており、さらに、ネットワークがアクティブ(ドメインコントローラと通信が可能)な状態にあれば、このプロファイルが使用される |
プライベートプロファイル (Private Profile) | ドメインネットワークではなく、個人の自宅やワークグループ構成のネットワークなど、小規模なネットワークで利用されるプロファイル。以下のパブリックプロファイルと比べると、お互いのコンピュータ同士の参照が可能になるなど、ややセキュリティ設定が緩和されている。初期セットアップ時に職場や家庭を選択した場合に利用される |
パブリックプロファイル (Public Profile) | 上のいずれでもない場合に利用されるプロファイル。外部からの参照などが禁止される、一番制約の厳しいプロファイル |
【Windows Vista】Windowsファイアウォールのプロファイル Windows Vistaでは新たに3種類のプロファイルが追加されている。「ドメインプロファイル」という名称は共通でも、これらのプロファイルを操作するには、「netsh firewall」コマンドではなく、「netsh advfirewall」コマンドで行う(「firewall」コンテキストではなく、「advfirewall」コンテキストで利用される)。 |
C:\>netsh ……netshコマンドの起動
netsh>firewall ……firewallコンテキストへの切り替え
netsh firewall>show currentprofile ……確認コマンド
STANDARD のプロファイルの構成 (現在): ……結果
---------------------------------------------------------
netsh firewall>advfirewall ……advfirewallコンテキストへの切り替え
netsh advfirewall>show currentprofile ……確認コマンド
パブリック プロファイル 設定: ……結果
---------------------------------------------------------
State ON
Firewall Policy BlockInbound,AllowOutbound
LocalFirewallRules N/A (GPO ストアのみ)
LocalConSecRules N/A (GPO ストアのみ)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
ログ:
LogAllowedConnections Disable
LogDroppedConnections Enable
FileName C:\Windows\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
OK
netsh advfirewall>
この例で分かるように、「netsh firewall」のプロファイルとは別に、「netsh advfirewall」でも別にプロファイルが管理されている。
また[セキュリティが強化されたWindowsファイアウォール]ツールで、左側のツリーから[監視]を選ぶと、真ん中のウィンドウに現在アクティブなプロファイルが、例えば「パブリック プロファイルがアクティブです」のように表示される。
■この記事と関連性の高い別の記事
- Windows Vistaのファイアウォールでアウトバウンド通信をブロックする(TIPS)
- Windows Vistaのファイアウォールでpingへの応答を許可する(TIPS)
- Windows Vistaのファイアウォール・ログを有効にする(TIPS)
- セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする(TIPS)
- Windows Vista/Windows Server 2008のファイアウォールをnetshコマンドで制御する(TIPS)
- Thunderbirdの設定をバックアップする(TIPS)
- Windowsファイアウォールのリモート管理を有効にする(TIPS)
- (TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.