運用
システム管理者のためのXP SP2展開計画

第2回 Windowsファイアウォールの管理

1.Windowsファイアウォールの管理方法

デジタルアドバンテージ
2004/09/30

 XP SP2ののWindowsファイアウォールを設定、管理するにはいくつかの方法がある。

手動設定
 これはコントロール・パネルの[Windows ファイアウォール](ファイル名は「firewall.cpl」)を利用して、手動で設定を行う方法である。一番基本的な操作方法であるが、設定対象コンピュータが多いと手間がかかるし、設定ミスが発生する可能性もある。

netshによる設定
 手動による設定は、同じ作業を繰り返し行うには向いていないが、netshを利用すると、コマンドラインで作業を行うことができる。特に、netshのコマンドをテキスト・ファイルなどとして用意しておけば、簡単に設定をすませることができる。

INFファイルによる設定
 「INFファイルによる設定」とは、ファイアウォールの設定をあらかじめXP SP2のインストール時に行う方法である。ただしすでにインストールされたXP SP2の設定を変更するのには向いていない。

レジストリによる設定
 ファイアウォールの設定は、最終的にはレジストリを変更することになるため、あらかじめ設定値を書き込んだレジストリ・ファイルを用意しておけば、簡単に設定をすませることができる(レジストリ・ファイルをダブルクリックすれば、ファイル内の設定内容がレジストリに反映される)。Windowsファイアウォールの設定は、機種や環境に依存する部分はほとんどないため、どれか1台のコンピュータで設定をすませ、それをほかのコンピュータにコピーして適用してもよい。

グループ・ポリシーによる設定
 グループ・ポリシーによる設定は、Active Directory環境では一番標準的で、柔軟性がある方法である。クライアント・コンピュータの数が増えても手間はかからないし、設定を変更しても各コンピュータで再設定作業などを行う必要はない。ただしActive Directoryが導入されていない場合には利用できない。

 以上の方法のうち、どれを採用してもよいが、多数のクライアントを一括して管理する必要があるならActive Directoryによるグループ・ポリシーを利用するのがよいだろう。そのほかの方法では、クライアント・コンピュータ上での作業が必要だし、ネットワークの構成が変わるたびに設定変更を余儀なくされたりするからだ。

「ドメイン・プロファイル」と「標準プロファイル」

 XP SP2のWindowsファイアウォールの動作モードには、「ドメイン・プロファイル(DOMAINプロファイル)」と「標準プロファイル(STANDARDプロファイル)」という2つのカテゴリ(分類)がある。この2つの違いは、GUIベースの画面を操作しているだけではほとんど気がつかないが、レジストリやnetsh、グループ・ポリシーなどを使ってWindowsファイアウォールを操作するためには、必ず知っておかなければならない。ネットワークの構成に応じて、どちらのプロファイルを操作するかを決めなければならないからだ。ドメイン・プロファイルと標準プロファイルではそれぞれ固有のファイアウォール・ルール(例外ルール)を持ち、お互いに異なるルールを定義することも可能である。この2つのプロファイルは次のように使い分けられる。

ドメイン・プロファイル
 ドメイン・プロファイルは、その名のとおり、コンピュータがドメイン・ネットワークに接続されている場合に適用される動作モードである。コンピュータが(ワークグループ・ネットワークではなく)ドメイン・ネットワークに参加しており、さらに、ネットワークがアクティブな場合(ドメイン・コントローラと通信が可能な状態)にあれば、このプロファイルが使用される。

標準プロファイル
 ドメイン・プロファイルの利用条件に合致しない場合は、すべてこの標準プロファイルが利用される。コンピュータがワークグループ・ネットワーク構成になっている場合はもちろん、たとえドメインに参加しているコンピュータでも、ドメイン・コントローラと通信ができない状態ならば、この標準プロファイルが利用される。例えばドメインに参加しているノートPCなら、社内でオンラインで利用している場合はドメイン・プロファイルが適用されるが、ネットワーク・ケーブルを外して利用していたり、外部のISPなどからダイヤルアップして利用している場合は、標準プロファイルが適用される。

ドメイン・プロファイルと標準プロファイル
ドメイン・ネットワークに属している場合はドメイン・プロファイルが利用され、そこから外れたり、ワークグループ・ネットワークの場合は標準プロファイルが利用される。

 Windows XPには「NLA(Network Location Awareness)」というサービスが用意されており、ネットワークの構成が変更されていないかどうかを常に調べている。もしLANケーブルを抜き差しするなどして、IPアドレスやドメインなどが変更になった場合、このNLAサービスによってWindowsファイアウォールにネットワーク構成の変更が通知される。するとWindowsファイアウォール・サービスはネットワークの状態を調査し、現在のDNSドメイン・サフィックスとActive DirectoryのDNSドメインを比較する。もし一致するなら(Active Directoryのサブドメインならば)、Active Directoryドメインに接続されているものとしてドメイン・プロファイルを適用するが、そうでなければ標準プロファイルを適用する。

 なおこのプロファイルの選択は、現在ドメイン・アカウントでログオンしているか、ローカル・アカウントでログオンしているかには関係なく、ドメインの一部として稼働しているかどうかで決められる。Windowsファイアウォールの設定は、ユーザーごとではなく、コンピュータごとに行うからだ。

 プロファイルがドメインと標準の2つ用意されているのは、例えば社内で利用している場合は制限を緩くして各種のサービスを制限なく利用し、そうでない場合は安全性を優先してファイアウォールの制限を厳しくする、というふうに使い分けるためである。管理者がXP SP2のWindowsファイアウォールを設定する場合は、これら2つのプロファイルに対してそれぞれ適切に設定する必要がある。

 現在どちらのプロファイルでWindowsファイアウォールが稼働しているかを調べるには、netshコマンドが利用できる。netshでshow currentprofileかshow stat、show configなどを実行すれば、現在のプロファイルが先頭に表示される。

C:\>netsh …netshを起動する
netsh>firewall …firewallコンテキストに切り替える
netsh firewall>show currentprofile …状態を表示させる

DOMAIN のプロファイルの構成 (現在): …現在のプロファイル
-------------------------------------------------------------------

netsh firewall>

 これはドメイン・プロファイルの例であるが、例えばネットワーク・ケーブルを外したり、別のネットワークへ接続してIPアドレスやドメインが変更されると、次のようになる。

netsh firewall>show currentprofile …状態を表示させる

STANDARD のプロファイルの構成 (現在): …標準プロファイル
-------------------------------------------------------------------

netsh firewall>


 INDEX
  [運用]システム管理者のためのXP SP2展開計画
  第2回 Windowsファイアウォールの管理
  1.Windowsファイアウォールの管理方法
    2.INFファイル/レジストリによる設定
    3.netshによる設定
    4.グループ・ポリシーによる設定

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間