運用
ネットワーク管理者のための
Windows XP SP2レビュー(前編)

3.ファイアウォール機能(2)

デジタルアドバンテージ
2004/08/18

Windowsファイアウォールの例外ルールの設定

 XP SP2のWindowsファイアウォールを利用してコンピュータを保護するには、先の設定画面において[有効]というラジオ・ボタンを選択するだけでよい。SP2のインストール直後はこの状態になっているので、特に不都合がない限りはこの状態で利用すればよいだろう(デフォルト時)。

 だがファイル共有機能を利用してコンピュータ内のファイルやプリンタなどを外部から利用したり、外部からリモート・デスクトップで接続しようとするならば、いくらかの設定変更が必要になる。外部からアクセスするために、必要な通信ポートをいくつか空けなければならないからだ。

 このように、ファイアウォールに通信用ポートの穴を開けることを、Windowsファイアウォールでは「例外」を設定するという。具体的には、設定画面の[例外]タブで作業を行う。ただし「例外」を設定するには、先の画面にある[例外を許可しない]のチェック・ボックスは必ずオフにしておく必要がある。さもないと、以下の設定は意味を持たない。

 以下の画面は、XP SP2インストール直後のあるシステムの[例外]タブの状態である。

Windowsファイアウォールの例外ルールの設定
例外ルールとは、外部からの通信(着信)を受け付けるための設定であり、ファイアウォールに開ける「穴」を定義するためのものである。
  例外ルールの定義。
  XP SP2インストール直後の典型的な例では、このように[リモート アシスタンス]のみが有効になっており、そのほかのサービスに対しては無効になっている。

 ここには、あらかじめ4つのプログラム(もしくはサービス)の名前が並んでいて、その前にはチェック・ボックスが用意されている。この画面では[リモート アシスタンス]が有効になっているが、これは、外部からの「リモート アシスタンス」要求を受け付ける状態になっているという意味である。リモート・アシスタンスとは、外部のヘルプ・デスクなどに連絡して、コンピュータ・システムをリモートからメンテナンスしてもらうための機能であるが、Windows XPではデフォルトでこの機能が有効になっている。この設定は、[マイコンピュータ]を右クリックして、ポップアップ・メニューから[プロパティ]を選び、[システムのプロパティ]画面で[リモート]タブを選択すると確認することができる。

 この例では[リモート アシスタンス]のみが有効になっているが、ファイル・サーバとして利用したければ、[ファイルとプリンタの共有]のチェック・ボックスをオンにし、さらにエクスプローラなどでフォルダを共有・公開設定すればよい。

 ところでこの例では手動で例外設定を変更しているが、手元で試した限りでは、XP SP2のインストール時に何らかの共有フォルダを公開していれば、これらのチェック・ボックスはデフォルトでオンになっているようである。ただし共有フォルダには、「C$」や「Admin$」といった「管理共有」と呼ばれるデフォルトの共有フォルダがあるが(Windows TIPS「デフォルト共有(管理共有)を停止させる方法」参照)、これらは対象とはならない。例えばC:\を明示的にC_DRIVEなどとして公開する場合や、簡易共有機能などで特定のフォルダを公開している場合には、XP SP2インストール後に自動的にファイルとプリンタの共有]が有効になっている。しかし管理共有しか存在しない場合は、XP SP2をインストールしてもオフのままである。

 このようにXP SP2では、インストール時の状態に応じて自動的にWindowsファイアウォールの例外ルールが設定されるが、場合によっては望ましくないかもしれないので、注意が必要である。XP SP2インストール後にこれらの例外ルールが有効になっている場合は、本当にフォルダを公開すべきなのか、リモート・デスクトップやリモート・アシスタンスを利用することがあるのかをよく考え、単にデフォルトがそうなっていたからにすぎないという場合は、これらの例外ルールを無効にしておくのがよいだろう。

デフォルトで設定される例外ルール

 XP SP2では、SP2インストール前の状態に応じて自動的に例外ルールが作成されるが、より多くのサービスがインストールされている場合はどうなるのだろうか。Windows OSに標準で付属するサービスやネットワーク・アプリケーションを可能な限り導入し([コントロール パネル]の[プログラムの追加と削除]ですべてのWindowsコンポーネントを指定して導入する)、さらにXP SP2をインストールした直後の状態が次の画面である。

例外ルールが多数定義されている場合の例
XP SP2インストール前のシステムの状態によっては、このように非常に多くの例外ルールが定義されていることがある。これはWindows XPのほぼすべてのネットワーク・サービスを有効にした状態でXP SP2をインストールした場合の例。VPNの着信などもルールとして定義されている。
  定義されているルール。非常に多くのルールが定義されているが、WebサーバやFTPサーバはここには含まれていない。
  新しいサービス(プログラム)に対する例外ルールを定義するにはこれをクリックする。指定されたプログラムが動作している間は、そのプログラムがオープンしたポートへは外部からアクセスすることができるようになる。しかしプログラムが終了するとポートは閉じられる。
  ポートの追加。プログラムやサービスには連動せず、常に静的で固定的なポートを開ける場合はこれをクリックする。
  既存の例外ルールを編集する場合はこれをクリックする。
  不要なルールを削除する場合はこれをクリックする。

 このように、あらかじめインストールされているサービスに応じて、適切に例外ルールが設定されるため、ユーザーは特に何もしなくても、Windowsファイアウォールの導入によって通信できなくなった、というようなトラブルが発生する可能性は低くなっているはずである。特に単純なファイル共有サービスや、リモート・デスクトップ接続程度しか利用していない場合には、あまり問題にならないだろう。

 ところで、この例では実際にはIIS(WebサーバやFTPサーバ、SMTPサービスなど)やTelnetサービスなども導入してからXP SP2をインストールしているのだが、WebやFTP、SMTP、Telnetなどのサービスに対する例外ルールは作成されていない。そのため、外部からWebブラウザでアクセスしようしてもエラーになるし、IISのSMTPサービスにも接続することはできない。実はこれらのネットワーク・サービスに対する例外ルールは、このグローバルなパケット・フィルタではなく、ネットワーク接続ごとの例外ルールの方に用意されているのだが、これについては後述する。

例外ルールの例

 ファイル共有などはよく使われる機能なので、あらかじめこのように例外ルールとして用意されており、ユーザーは単にチェック・ボックスをオンにするだけでよい。具体的にはこのルールは次のようになっている(ルールを選択して[編集]ボタンをクリックすると示される)。

[ファイルとプリンタの共有]サービスのための例外ルール
これは[ファイルとプリンタの共有]という例外ルールで定義されているポートの例。このサービスでは、NBT(137/138/139番)とDirect Hosting SMBサービスのポート(445番)を定義している。
  TCP/UDPのプロトコル区別とポート番号。
  アクセス元のIPアドレス群を定義する「スコープ」。
  スコープを変更するにはこれをクリックする。

 先頭行の[TCP 139]とは「TCP」プロトコルの「139番ポート」という意味であり、具体的には「NETBIOS Session Service」で利用される通信ポートである。このように、ここではNetBIOS over TCP/IPやCIFS/SMBサービスで利用されるプロトコルを意味している。このように、例外ルールとは、従来のICFで利用されるパケット・フィルタの例外ルールと似ているが、[スコープ]を指定できる点が異なっている。

送信元ネットワーク・アドレスを指定する「スコープ」

 例外ルールにおける[スコープ]とは、通信元のコンピュータのIPアドレス範囲を限定するための、IPアドレスの範囲の集合である。例えばファイル共有をインターネットに対して公開する必要はないだろうから(そのような行為は危険であるので避けなければならない)、アクセス元のIPアドレス範囲をローカルのLANやイントラネットだけに限定することができるとよい。それを実現するための機能がWindowsファイアウォールにおける「スコープ」である。

 具体的なスコープの範囲としては、現在のネットワーク・インターフェイスのサブネットだけに限定するか(例:コンピュータのIPアドレスが192.168.0.100でネットマスクが255.255.255.0ならば、192.168.0.0〜192.168.0.255の範囲)、指定されたネットワーク・アドレスの範囲の集合(「,」で区切って複数指定可能)が利用できる。例外フィルタのルールにこのスコープを指定することにより、許可されていないネットワークからのアクセスを防ぐことができるので、可能な限り、適切なスコープを指定していただきたい。

[ファイルとプリンタの共有]サービスにおけるデフォルトのスコープ
[ファイルとプリンタの共有]サービスでは、デフォルトでは、ローカルのネットワークからのアクセスのみを許可している。
  IPアドレスを限定しないスコープ。任意の場所からのアクセスが許可される。例外ルール中では「任意」と表記される。
  現在のネットワーク・インターフェイスが属しているネットワークにのみ限定する。例外ルール中では「サブネット」と表記される。
  例外ルール中では「カスタム」と表記される。
 

 INDEX
  [運用]
  ネットワーク管理者のためのWindows XP SP2レビュー(前編) 
    1.XP SP2の概要とインストール
    2.ファイアウォール機能(1)
  3.ファイアウォール機能(2)
    4.ファイアウォール機能(3)
  ネットワーク管理者のためのWindows XP SP2レビュー(後編) 
    5.Internet Explorerの機能強化
    6.Outlook Expressのセキュリティ機能
    7.データ実行保護機能(DEP)

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間