第9回 Windows 7のファイアウォール機能:Windows 7新時代(1/4 ページ)
今回はWindows 7のファイアウォールについて解説する。ルール・セットを切り替えるプロファイル機能が強化され、ドメインでもVPNでも適切なルールが自動選択される、といった機能強化が図られている。
前々回の「第7回 Windows 7のネットワーク機能概要とホームグループ」では、Windows 7のネットワーク機能の概要とホーム・グループ・ネットワークについて解説した。今回はWindows 7のファイアウォール機能について解説する。なおファイアウォールの機能はWindows Server 2008 R2の場合でもほぼ同じなので、以下ではまとめて記述しておく。
Windows OS向けファイアウォールの概要
Windows 7(およびWindows Server 2008 R2)のファイアウォール機能は、前身となるOSであるWindows Vista/Windows Server 2008のWindowsファイアウォール機能を強化したものになっている(関連記事参照)。そこで、これらのOSにおけるファイアウォール機能を簡単に比較しておこう。
Windows OS向けのファイアウォールは、Windows XP SP2で導入された「Windowsファイアウォール」が最初である(Windows 2000でも簡易パケット・フィルタ機能が利用できたが、機能はかなり限定的であった。詳細は連載「常時接続時代のパーソナル・セキュリティ対策」を参照)。Windows Vista/Windows Server 2008ではそれをさらに改良し、「セキュリティが強化されたWindowsファイアウォール」となった。これらの機能概要は次のとおりである。なお、以後は単にWindowsファイアウォールやセキュリティが強化されたWindowsファイアウォールと記述するので、混乱しないように注意していただきたい。
利用可能OS | Windows XP SP2/Windows Server 2003 |
---|---|
概要 | Windows OS向けの組み込みファイアウォールとして最初に作られたファイアウォール。後にWindows Server 2003にも導入される。ただし基本的にはパケット・フィルタ機能しか持たず、通信内容に応じてブロックするコンテンツ・フィルタ機能は持っていない(これはセキュリティが強化されたWindowsファイアウォールでも同じ) |
フィルタ機能 | 条件指定によるパケット・フィルタ。インバウンド方向のみフィルタ可能(アウトバウンド方向は常にパス・スルー) |
フィルタ条件 | ・デフォルトではインバウンド方向はすべて禁止だが、例外設定したものについては許可する ・プロトコル(TCP/UDP/ICMP)ごとのフィルタリング ・プログラムごとのフィルタリング ・インターフェイスごとのフィルタリング |
ログ機能 | テキスト・ログの出力が可能。ログ・ファイルは1種類のみ。拒否ログ/許可ログの両方を記録可能 |
ファイアウォール・プロファイル | 「ドメイン・プロファイル」と「標準プロファイル」の2種類をサポート。状況に応じてどちらかが適用される |
Active Directoryのグループ・ポリシーによる制御 | 可能 |
netshコマンドによる制御 | 可能。netsh firewallコンテキストを利用する |
利用可能OS | Windows Vista/Windows Server 2008 |
---|---|
概要 | Windowsファイアウォールをベースにして、再構築されたファイアウォール。アウトバウンド方向もフィルタできるなどの機能拡張が行われている。ただし互換性のため、従来のWindowsファイアウォールのユーザー・インターフェイスもそのまま残されているが、そこで設定した内容は、セキュリティが強化されたWindowsファイアウォールにも反映される。なおWindows Server 2008ではRRASによるパケット・フィルタも利用可能 |
フィルタ機能 | 条件指定によるパケット・フィルタ。インバウンド方向だけでなく、アウトバウンド方向もフィルタ可能 |
フィルタ条件 | ・デフォルトではインバウンド方向はすべて禁止/アウトバウンド方向はすべて許可だが、例外設定することも可能 ・プロトコル(TCP/UDP/ICMP)ごとのフィルタリング ・プログラムおよびサービスごとのフィルタリング ・インターフェイスごとのフィルタリング ・承認されたユーザー/コンピュータのみの接続許可 |
ログ機能 | テキスト・ログの出力が可能。プロファイルごとに別のログ・ファイルを設定可能。拒否ログ/許可ログの両方を記録可能 |
ファイアウォール・プロファイル | 「ドメイン・プロファイル」と「プライベート・プロファイル」「パブリック・プロファイル」の3種類。状況に応じてどれか1つが適用される |
Active Directoryのグループ・ポリシーによる制御 | 可能 |
netshコマンドによる制御 | 可能。Windowsファイアウォールはnetsh firewallコンテキストで、セキュリティが強化されたWindowsファイアウォールはnetsh advfirewallコンテキストでそれぞれ制御可能 |
利用可能OS | Windows 7/Windows Server 2008 R2 |
---|---|
概要 | Windows Vista/Windows Server 2008のセキュリティが強化されたファイアウォールとほぼ同じだが、プロファイルの扱いなどが改良されている。なおWindows Server 2008 R2ではRRASによるパケット・フィルタも利用可能 |
フィルタ機能 | Windows Vista/Windows Server 2008のセキュリティが強化されたWindowsファイアウォールとほぼ同じ |
フィルタ条件 | Windows Vista/Windows Server 2008のセキュリティが強化されたWindowsファイアウォールとほぼ同じ |
ログ機能 | Windows Vista/Windows Server 2008のセキュリティが強化されたWindowsファイアウォールとほぼ同じ |
ファイアウォール・プロファイル | 「ドメイン・プロファイル」と「プライベート・プロファイル」「パブリック・プロファイル」の3種類。インターフェイスごとに異なるプロファイルを適用可能。同時に複数のプロファイルが有効になることがある |
Active Directoryのグループ・ポリシーによる制御 | 可能。Windows Vista/Windows Server 2008のセキュリティが強化されたWindowsファイアウォールとほぼ同じ |
netshコマンドによる制御 | 可能。ただし(Windowsファイアウォールのための)netsh firewallコンテキストの機能が削除されており、Windowsファイアウォールと互換のnetshコマンドは使えなくなっている。今後はすべてnetsh advfirewallコンテキストで管理を行うこと。Windows Vistaのものよりもいくらかコマンドのオプションなどが増えている |
Windows OS組み込みのファイアウォール機能の概要 Windows XP SP2で最初に導入された「Windowsファイアウォール」は、現在では「セキュリティが強化されたWindowsファイアウォール」に進化した。この2つは異なるユーザー・インターフェイスを持っているが、内部的には同じものを操作している。互換性のために、Windowsファイアウォールのユーザー・インターフェイスが残されている。以後、「 」なしで表記するので、混乱しないように注意していただきたい。 |
Windows Vista/Windows Server 2008のセキュリティが強化されたWindowsファイアウォールとの違い
Windows 7/Windows Server 2008 R2のセキュリティが強化されたWindowsファイアウォールは、従来のWindows Vista/Windows Server 2008のものと名称は同じであり、その機能や使い方もほぼ同じである。違いは、BranchCacheやDirectAccess(今後解説予定)など、新しい機能に対するファイアウォール・ルールの追加、netshコマンドなどにおけるオプション・パラメータの追加、ファイアウォール管理ツールの改良などであり、外見的には大きな違いはない。
ルールの追加やツールの改良以外での大きな違いとしては、同時に複数のファイアウォール・プロファイルが利用可能になった点が挙げられる。次はこれについてみていこう。
Copyright© Digital Advantage Corp. All Rights Reserved.