運用
|
|
|
Windowsファイアウォールの例外ルールの設定
XP SP2のWindowsファイアウォールを利用してコンピュータを保護するには、先の設定画面において[有効]というラジオ・ボタンを選択するだけでよい。SP2のインストール直後はこの状態になっているので、特に不都合がない限りはこの状態で利用すればよいだろう(デフォルト時)。
だがファイル共有機能を利用してコンピュータ内のファイルやプリンタなどを外部から利用したり、外部からリモート・デスクトップで接続しようとするならば、いくらかの設定変更が必要になる。外部からアクセスするために、必要な通信ポートをいくつか空けなければならないからだ。
このように、ファイアウォールに通信用ポートの穴を開けることを、Windowsファイアウォールでは「例外」を設定するという。具体的には、設定画面の[例外]タブで作業を行う。ただし「例外」を設定するには、先の画面にある[例外を許可しない]のチェック・ボックスは必ずオフにしておく必要がある。さもないと、以下の設定は意味を持たない。
以下の画面は、XP SP2インストール直後のあるシステムの[例外]タブの状態である。
Windowsファイアウォールの例外ルールの設定 | ||||||
例外ルールとは、外部からの通信(着信)を受け付けるための設定であり、ファイアウォールに開ける「穴」を定義するためのものである。 | ||||||
|
ここには、あらかじめ4つのプログラム(もしくはサービス)の名前が並んでいて、その前にはチェック・ボックスが用意されている。この画面では[リモート アシスタンス]が有効になっているが、これは、外部からの「リモート アシスタンス」要求を受け付ける状態になっているという意味である。リモート・アシスタンスとは、外部のヘルプ・デスクなどに連絡して、コンピュータ・システムをリモートからメンテナンスしてもらうための機能であるが、Windows XPではデフォルトでこの機能が有効になっている。この設定は、[マイコンピュータ]を右クリックして、ポップアップ・メニューから[プロパティ]を選び、[システムのプロパティ]画面で[リモート]タブを選択すると確認することができる。
この例では[リモート アシスタンス]のみが有効になっているが、ファイル・サーバとして利用したければ、[ファイルとプリンタの共有]のチェック・ボックスをオンにし、さらにエクスプローラなどでフォルダを共有・公開設定すればよい。
ところでこの例では手動で例外設定を変更しているが、手元で試した限りでは、XP SP2のインストール時に何らかの共有フォルダを公開していれば、これらのチェック・ボックスはデフォルトでオンになっているようである。ただし共有フォルダには、「C$」や「Admin$」といった「管理共有」と呼ばれるデフォルトの共有フォルダがあるが(Windows TIPS「デフォルト共有(管理共有)を停止させる方法」参照)、これらは対象とはならない。例えばC:\を明示的にC_DRIVEなどとして公開する場合や、簡易共有機能などで特定のフォルダを公開している場合には、XP SP2インストール後に自動的にファイルとプリンタの共有]が有効になっている。しかし管理共有しか存在しない場合は、XP SP2をインストールしてもオフのままである。
このようにXP SP2では、インストール時の状態に応じて自動的にWindowsファイアウォールの例外ルールが設定されるが、場合によっては望ましくないかもしれないので、注意が必要である。XP SP2インストール後にこれらの例外ルールが有効になっている場合は、本当にフォルダを公開すべきなのか、リモート・デスクトップやリモート・アシスタンスを利用することがあるのかをよく考え、単にデフォルトがそうなっていたからにすぎないという場合は、これらの例外ルールを無効にしておくのがよいだろう。
デフォルトで設定される例外ルール
XP SP2では、SP2インストール前の状態に応じて自動的に例外ルールが作成されるが、より多くのサービスがインストールされている場合はどうなるのだろうか。Windows OSに標準で付属するサービスやネットワーク・アプリケーションを可能な限り導入し([コントロール パネル]の[プログラムの追加と削除]ですべてのWindowsコンポーネントを指定して導入する)、さらにXP SP2をインストールした直後の状態が次の画面である。
例外ルールが多数定義されている場合の例 | |||||||||||||||
XP SP2インストール前のシステムの状態によっては、このように非常に多くの例外ルールが定義されていることがある。これはWindows XPのほぼすべてのネットワーク・サービスを有効にした状態でXP SP2をインストールした場合の例。VPNの着信などもルールとして定義されている。 | |||||||||||||||
|
このように、あらかじめインストールされているサービスに応じて、適切に例外ルールが設定されるため、ユーザーは特に何もしなくても、Windowsファイアウォールの導入によって通信できなくなった、というようなトラブルが発生する可能性は低くなっているはずである。特に単純なファイル共有サービスや、リモート・デスクトップ接続程度しか利用していない場合には、あまり問題にならないだろう。
ところで、この例では実際にはIIS(WebサーバやFTPサーバ、SMTPサービスなど)やTelnetサービスなども導入してからXP SP2をインストールしているのだが、WebやFTP、SMTP、Telnetなどのサービスに対する例外ルールは作成されていない。そのため、外部からWebブラウザでアクセスしようしてもエラーになるし、IISのSMTPサービスにも接続することはできない。実はこれらのネットワーク・サービスに対する例外ルールは、このグローバルなパケット・フィルタではなく、ネットワーク接続ごとの例外ルールの方に用意されているのだが、これについては後述する。
例外ルールの例
ファイル共有などはよく使われる機能なので、あらかじめこのように例外ルールとして用意されており、ユーザーは単にチェック・ボックスをオンにするだけでよい。具体的にはこのルールは次のようになっている(ルールを選択して[編集]ボタンをクリックすると示される)。
[ファイルとプリンタの共有]サービスのための例外ルール | |||||||||
これは[ファイルとプリンタの共有]という例外ルールで定義されているポートの例。このサービスでは、NBT(137/138/139番)とDirect Hosting SMBサービスのポート(445番)を定義している。 | |||||||||
|
先頭行の[TCP 139]とは「TCP」プロトコルの「139番ポート」という意味であり、具体的には「NETBIOS Session Service」で利用される通信ポートである。このように、ここではNetBIOS over TCP/IPやCIFS/SMBサービスで利用されるプロトコルを意味している。このように、例外ルールとは、従来のICFで利用されるパケット・フィルタの例外ルールと似ているが、[スコープ]を指定できる点が異なっている。
送信元ネットワーク・アドレスを指定する「スコープ」
例外ルールにおける[スコープ]とは、通信元のコンピュータのIPアドレス範囲を限定するための、IPアドレスの範囲の集合である。例えばファイル共有をインターネットに対して公開する必要はないだろうから(そのような行為は危険であるので避けなければならない)、アクセス元のIPアドレス範囲をローカルのLANやイントラネットだけに限定することができるとよい。それを実現するための機能がWindowsファイアウォールにおける「スコープ」である。
具体的なスコープの範囲としては、現在のネットワーク・インターフェイスのサブネットだけに限定するか(例:コンピュータのIPアドレスが192.168.0.100でネットマスクが255.255.255.0ならば、192.168.0.0〜192.168.0.255の範囲)、指定されたネットワーク・アドレスの範囲の集合(「,」で区切って複数指定可能)が利用できる。例外フィルタのルールにこのスコープを指定することにより、許可されていないネットワークからのアクセスを防ぐことができるので、可能な限り、適切なスコープを指定していただきたい。
[ファイルとプリンタの共有]サービスにおけるデフォルトのスコープ | |||||||||
[ファイルとプリンタの共有]サービスでは、デフォルトでは、ローカルのネットワークからのアクセスのみを許可している。 | |||||||||
|
INDEX | ||
[運用] | ||
ネットワーク管理者のためのWindows XP SP2レビュー(前編) | ||
1.XP SP2の概要とインストール | ||
2.ファイアウォール機能(1) | ||
3.ファイアウォール機能(2) | ||
4.ファイアウォール機能(3) | ||
ネットワーク管理者のためのWindows XP SP2レビュー(後編) | ||
5.Internet Explorerの機能強化 | ||
6.Outlook Expressのセキュリティ機能 | ||
7.データ実行保護機能(DEP) | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|