第9回 Windows 7のファイアウォール機能:Windows 7新時代(2/4 ページ)
今回はWindows 7のファイアウォールについて解説する。ルール・セットを切り替えるプロファイル機能が強化され、ドメインでもVPNでも適切なルールが自動選択される、といった機能強化が図られている。
ファイアウォールのプロファイルとは
ファイアウォール・プロファイルとは、Windowsファイアウォールやセキュリティが強化されたWindowsファイアウォールで利用されるパケット・フィルタのルール(規則)のセットのことである。接続されているネットワークの状況に応じてプロファイルを切り替えることにより、例えばインターネットへアクセスしている場合はセキュリティを最大限に強化するが(外部からのアクセスを禁止するが)、社内ネットワーク上で利用しているときはセキュリティを緩和する(ファイルを共有・公開するなど)といった使い方をするためにある。
セキュリティが強化されたWindowsファイアウォールでは次のような3種類のプロファイルが利用できる。
ファイアウォールのプロファイル
ネットワークの状態に応じてプロファイルを切り替えることにより、状況に応じたセキュリティ設定が可能になる。
(1)インターネットのような公開のネットワーク上で利用する場合は、パブリック・プロファイルを利用する。
(2)ドメイン・ネットワークに接続している場合はドメイン・プロファイルを利用する。
(3)ワークグループ・ネットワークや、社内(ホーム)ネットワークなどを利用している場合はプライベート・プロファイルを利用する。
それぞれのプロファイルの意味は次の通りである。
プロファイルの種類 | 意味 |
---|---|
ドメイン・プロファイル (Domain Profile) |
コンピュータがActive Directoryドメイン・ネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループ・ネットワークではなく)ドメイン・ネットワークに参加しており、さらにネットワーク・インターフェイスがアクティブでドメイン・コントローラと通信が可能な状態になっていれば、このプロファイルが使用される。ドメイン未参加時はWindowsファイアウォールの管理画面には表示されない(セキュリティが強化されたWindowsファイアウォールの管理画面やnetshコマンドでは表示される) |
プライベート・プロファイル (Private Profile) |
ドメイン・ネットワークではなく、個人の自宅(ホーム・グループ)やワークグループ構成のネットワークなど、小規模なネットワークで利用されるプロファイル。以下のパブリック・プロファイルと比べると、お互いのコンピュータ同士の参照が可能になるなど、ややセキュリティ設定が緩和されている。初期セットアップ時に「ホーム・ネットワーク」や「社内ネットワーク」を選択した場合に利用される |
パブリック・プロファイル (Public Profile) |
上のいずれでもない場合に利用されるプロファイル。外部からの参照などが禁止される、一番制約の厳しいプロファイル。初期セットアップ時に「パブリック・ネットワーク」を選択した場合に利用される。パブリック・プロファイルでのみ定義されている規則はnetsh firewallコマンドでは操作/管理できない(netsh advfirewallコマンドで操作する) |
セキュリティが強化されたWindowsファイアウォールにおける3つのプロファイル これらのOSでは、3つのプロファイルがサポートされている。上の2つはWindows XP/Windows Server 2003のWindowsファイアウォールでも利用可能なプロファイル。もともとこれらのOSでは2種類のプロファイルしか利用できなかったが、セキュリティが強化されたWindowsファイアウォールでは3種類に分けられ、より細かく制御できるようになった。 |
プロファイルの切り替えは自動で行われるので、例えばドメイン・コントローラ(DC)に接続しているコンピュータをネットワークから切り離して社外へ持ち出して公共の無線LANに接続した場合は、自動的にドメイン・プロファイルからパブリック・プロファイルに切り替わる。現在どのネットワークに接続されているかは、[コントロール パネル]の[ネットワークと共有センター]で確認できる。これは「ネットワークの場所」としてWindows OSのセットアップ時にユーザーが指定したものである(ドメインに参加すると自動的に「ドメイン ネットワーク」になる)。
ネットワークの場所の確認
ネットワーク・インターフェイスの接続先に応じて自動的にネットワークの状態が判断され、それに応じて利用されるプロファイルも決まる。この例では2つのネットワーク・インターフェイスがアクティブになっている。
(1)ドメイン・ネットワークに接続されているネットワーク・インターフェイスでは「ドメイン ネットワーク」と表示される。
(2)これはインターネットに直接接続しているインターフェイスの例。「パブリック ネットワーク」に分類されている。
(3)これをクリックするとWindowsファイアウォールの管理画面になる。現在利用中のファイアウォールのプロファイルを確認できる。
この画面で左下の[Windowsファイアウォール]のリンク((3))をクリックすると、現在利用中のファイアウォールのプロファイルを確認できる。
利用中のプロファイルの確認
現在どのプロファイルが利用されているかは、この画面で確認できる。
(1)ドメイン・プロファイル。
(2)「接続済み」とは、ドメイン・プロファイルが、あるネットワーク・インターフェイスにバインドされている状態。
(3)ドメイン・プロファイルの説明と状態などの表示。
(4)プライベート・プロファイル。
(5)「未接続」は、プロファイルが未使用の状態。
(6)プライベート・プロファイルの説明と状態などの表示。
(7)パブリック・プロファイル。
(8)「接続済み」とは、パブリック・プロファイルが、あるネットワーク・インターフェイスにバインドされている状態。
(9)パブリック・プロファイルの説明と状態などの表示。
(10)これをクリックすると、各プロファイルのファイアウォール・ルールごとに有効/無効を設定できる。
(11)これをクリックすると、各プロファイルの有効/無効を設定できる。
(12)これをクリックすると、セキュリティが強化されたWindowsファイアウォールの詳細な管理画面が表示される。
複数のプロファイルを同時に利用可能な新しいファイアウォール
この画面の例には2つのネットワーク・インターフェイスがあるが、2つのプロファイルが同時に有効(「接続済み」状態)になっていることに注目していただきたい。つまり、ドメイン・プロファイルとパブリック・プロファイルが同時に利用されているということである。Windows 7/Windows Server 2008 R2ではこのように、ネットワーク・インターフェイスごとに異なるプロファイルを割り当て、それが同時にアクティブになるように改良されている。
従来のWindows Vista/Windows Server 2008の場合は、複数のネットワーク・インターフェイスを接続しても、同時にアクティブになるプロファイルは1つだけに限定されていた。より制限の強いプロファイルが選ばれるので、ドメイン・ネットワークとパブリック・ネットワークがあるなら、パブリック・プロファイルが自動的に選択される。
例えば、ドメインに参加しているコンピュータを持ち出して公共の場所にある無線LANからVPN経由で職場のドメイン・コントローラに接続する例を考えてみよう。Windows VistaやWindows Server 2008 R2の場合、インターネットに接続している時点でパブリック・プロファイルが選択されるが、VPNで接続してもずっとそのままである。そのため、ほかのコンピュータからVPN接続しているコンピュータに接続するためには、ファイアウォールのルールを変更するなどの操作が必要である(デフォルトではアウトバウンド通信は許可されているので、VPN接続した先のネットワークへは制限なしにアクセスできる)。
これに対してWindows 7/Windows Server 2008 R2の新しいファイアウォールの場合には、無線LAN接続しているネットワーク・インターフェイスにはパブリック・プロファイルが適用されるが、VPNのインターフェイスにはドメイン・プロファイルが適用される。これにより、社内でドメイン・ネットワークを利用しているのと同様の状態でネットワークを利用できる。
Copyright© Digital Advantage Corp. All Rights Reserved.