第9回 Windows 7のファイアウォール機能:Windows 7新時代(4/4 ページ)
今回はWindows 7のファイアウォールについて解説する。ルール・セットを切り替えるプロファイル機能が強化され、ドメインでもVPNでも適切なルールが自動選択される、といった機能強化が図られている。
ファイアウォール・ルールの追加/変更
ファイアウォールのルールの追加や変更、削除については、以前と同じであるし、ウィザードに従って操作するだけなので、特に難しいことはないだろう。ここでは詳細な手順の解説は省略するので、以下の記事などを参考にして操作していただきたい。
- 受信フィルタの使い方(連載「Vistaの地平」第14回)
- 送信フィルタの使い方(連載「Vistaの地平」第14回)
- セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする(Windows TIPS)
- Windows Vistaのファイアウォールでpingへの応答を許可する(Windows TIPS)
- Windows Vistaのファイアウォールでアウトバウンド通信をブロックする(Windows TIPS)
- Windows Vistaのファイアウォール・ログを有効にする(Windows TIPS)
netshコマンドによるファイアウォールの管理
ファイアウォールの機能を管理する場合、GUIの設定画面を使うだけでなく、netshコマンドを使うこともできる。Windows 7/Windows Server 2008 R2でも当然利用できるが、実は従来との互換性のために用意されていた「netsh firewall」コマンド(netshコマンドのfirewallコンテキスト。Windowsファイアウォールのための管理機能)は利用できなくなっている。このコマンドはWindows Vista/Windows Server 2008までは利用できたが、Windows 7/Windows Server 2008 R2ではコマンドそのものが廃止されており、新しい「netsh advfirewall」コマンドしか利用できない。
以下は、Windows Vistaで「netsh firewall set 〜」を使う例である。
※Windows Vistaのnetsh firewallの実行例
C:\>netsh …netshコマンドの起動
netsh>firewall …firewallコンテキストへの切り替え
netsh firewall>set port /? …set portopeningコマンドのヘルプの表示
set portopening
[ protocol = ] TCP|UDP|ALL
[ port = ] 1-65535
…(中略)…
netsh firewall>set ? …setコマンドのヘルプの表示
使用できるコマンドは次のとおりです:
netsh コンテキストから引き継いだコマンド:
set file - コンソール出力をファイルにコピーします。
set machine - 操作を行う現在のコンピュータを設定します。
set mode - 現在のモードをオンラインまたはオフラインに設定します。
このコンテキストのコマンド: …setコマンドのヘルプが表示される
set allowedprogram - ファイアウォールで許可されたプログラムの構成を設定します。
set icmpsetting - ファイアウォール ICMP の構成を設定します。
set logging - ファイアウォール ログの構成を設定します。
set multicastbroadcastresponse - ファイアウォールのマルチキャスト/ブロードキャ
スト応答の構成を設定します。
set notifications - ファイアウォール通知モードの構成を設定します。
set opmode - ファイアウォール操作モードの構成を設定します。
set portopening - ファイアウォール ポートの構成を設定します。
set service - ファイアウォール サービスの構成を設定します。
netsh firewall>
これに対してWindows 7では次のように表示される。
※Windows 7のnetsh firewallの実行例
C:\>netsh …netshコマンドの起動
netsh>firewall …firewallコンテキストへの切り替え
netsh firewall>set port /? …set portopeningコマンドのヘルプの表示
set portopening
[ protocol = ] TCP|UDP|ALL
[ port = ] <1-65535>
…(中略)…↓↓以下に注目
重要: "netsh firewall" は、使用されなくなりました。
代わりに "netsh advfirewall firewall" を使用してください。
"netsh firewall" の代わりに "netsh advfirewall firewall"
コマンドを使用する詳細については、サポート技術情報の記事 947709
(http://go.microsoft.com/fwlink/?linkid=121488) を参照してください。
netsh firewall>set ? …setコマンドのヘルプの表示
使用できるコマンドは次のとおりです:
netsh コンテキストから引き継いだコマンド:
set file - コンソール出力をファイルにコピーします。
set machine - 操作を行う現在のコンピューターを設定します。
set mode - 現在のモードをオンラインまたはオフラインに設定します。
↑↑…set portopeningなどのコマンドがない
netsh advfirewallしか利用できないため、netsh firewallとnetsh advfirewallにおけるプロファイルの扱いの違いは問題にならなくなっている(関連記事参照)。
netshコマンドの使い方もWindows Vista/Windows Server 2008と同じなので、詳細は以前の記事を参照していただきたい。プロファイルの扱いが異なるぐらいで(同時に複数のプロファイルがアクティブになることがある)、大きな違いはない。
※プロファイルの確認例。以前と違い、2つ以上のプロファイルが同時にアクティブになることがある。
C:\>netsh
netsh>advfirewall …advfirewallコンテキストへの切り替え
netsh advfirewall>show currentprofile …現在のプロファイルの表示
ドメイン プロファイル 設定: …ドメイン・プロファイルがアクティブ
----------------------------------------------------------------------
State オン
Firewall Policy BlockInbound,AllowOutbound
LocalFirewallRules N/A (GPO ストアのみ)
LocalConSecRules N/A (GPO ストアのみ)
InboundUserNotification 有効
RemoteManagement 無効
UnicastResponseToMulticast 有効
ログ:
LogAllowedConnections 無効
LogDroppedConnections 無効
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
…プライベート・プロファイルは非アクティブなので表示されない
パブリック プロファイル 設定: …パブリック・プロファイルもアクティブ
----------------------------------------------------------------------
State オン
Firewall Policy BlockInbound,AllowOutbound
LocalFirewallRules N/A (GPO ストアのみ)
LocalConSecRules N/A (GPO ストアのみ)
InboundUserNotification 有効
RemoteManagement 無効
UnicastResponseToMulticast 有効
ログ:
LogAllowedConnections 無効
LogDroppedConnections 無効
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
OK
netsh advfirewall>
今回はWindows 7(およびWindows Server 2008 R2)のファイアウォール機能について簡単に解説した。ファイアウォールの機能は以前のWindows VistaやWindows Server 2008とほぼ同じであり、複数プロファイルの同時有効機能のほかは大きな違いはないといえる。そのため従来の管理手法がほぼそのまま利用できるだろう。ただしnetshにおけるfirewallコンテキストの機能削減などからも分かるように、いくらか機能の統廃合が行われているため、古いnetshスクリプトが動かなくなっている可能性もある。これらの機能を利用している場合は十分検証してからWindows 7/Windows Server 2008 R2環境へ適用していただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.