 |
|
Vistaの地平第14回 進化したWindows Vistaのファイアウォール機能(前編)1.セキュリティが強化されたWindowsファイアウォールの概要デジタルアドバンテージ 打越 浩幸2008/04/02 |
|
|
Windows Vistaには、「セキュリティが強化されたWindows Firewall」という新しいファイアウォール機能が用意されている。Windows XP SP2やWindows Server 2003に装備されていた従来の「Windowsファイアウォール」と比較すると、大幅に機能が向上し、管理者向け機能の強化も図られている。本記事では、このWindows Vistaのファイアウォールについて解説する。 |
 |
| Windows Vistaのセキュリティが強化されたWindowsファイアウォールの管理画面 |
| Windows VistaやWindows Server 2008では、従来のWindowsファイアウォールに代わり、送信方向の通信もブロックできるなど、より高機能化されたファイアウォールが利用できる。これはファイアウォール用の新しい管理画面。 |
前編となる今回は、セキュリティが強化されたWindowsファイアウォールの機能のうち、その概要とプロファイル、受信/送信ルールの作成方法など、基本的な使い方について解説する。次回の後編では、管理/ログ機能や、グループ・ポリシーを使った管理、netshコマンドによる制御方法などについて解説する予定である。
Windows Vistaの「セキュリティが強化されたWindowsファイアウォール」とは
「セキュリティが強化されたWindowsファイアウォール」とは、Windows Vista(以下特に断らない限り、Windows Server 2008も含む)で導入された、新しいファイアウォール機能に付けられた名前である。やや長い名前であるが、これは英語の「Windows Firewall with Advanced Security」をそのまま訳したからだろう。
従来のWindows OSにおいても、Windows XP SP2(およびWindows Server 2003)で実用的なファイアウォール機能が導入されていたが、Vistaのファイアウォール・メカニズムは、互換性を保ちつつも、まったく新しく設計し直されている。
Windows XP SP2のファイアウォールと比較した場合の主な特徴は次のとおりである。
- 受信だけでなく、送信方向にも作用するパケット・フィルタ
- MMCを使ったファイアウォールの管理コンソール。リモートのWindows Vistaマシンのファイアウォールも管理可能
- 事前定義された数多くのファイアウォール・ルール
- 3種類のプロファイルのサポート
- プロトコルやポート、プログラム/サービスごとに細かく設定可能なフィルタ条件
- Active Directoryのグループ・ポリシーによる制御
- 通信経路の保護/暗号化に使用されるIPSecプロトコルに対するフィルタ・サポート
- IPv6に対するファイアウォール機能の統合
- netshコマンドにおける新しいadvfirewallコンテキストのサポート
ただし、機能が強化されたとはいっても、その基本はTCPやIPなどといったネットワーク・パケットの内容に応じて、通信を許可したり、禁止したりする、パケット・フィルタである。メール・プロトコルやHTTPの通信内容を見て通信をブロックするといった高度な機能は持っていない(そのような機能はサード・パーティ製のウイルス対策ソフトなどで補完する必要がある)。また、あまり高度で動的な通信プロトコルにも対応できないが(通信プロトコルによっては、複数のTCP/UDPコネクションや動的なポートを使うものがある。このようなプロトコルを静的なフィルタだけで対応するのは難しい)、サービスや特定のアプリケーション(Windows Media Playerやシステム・プログラムなど)を指定してフィルタする機能などがあらかじめ用意されているので、複雑化しているWindowsネットワークの詳細を知らなくても、比較的容易に設定ができるようになっている。
以下本記事では、セキュリティが強化されたWindowsファイアウォールの主要な機能について見ていこう。
従来のファイアウォールとWindows Vistaの新しいファイアウォール
Windows Vistaのファイアウォールは従来のWindows XP SP2のファイアウォールと比較すると大幅に機能が拡張されているが、その一方で、従来との互換性も重視している。Windows XP SP2のファイアウォールに慣れたユーザーや管理者ならば、ほぼ同じ操作で、元の機能が利用/管理できるようになっている。具体的にいえば、Windows Vistaの新しいファイアウォールに対応する管理ツールが新しく導入されたにも関わらず、従来のWindows XP SP2のときと同じファイアウォールの管理ツール(管理用のダイアログ)もそのまま残されている。
次に示すのはWindows XP SP2のファイアウォールの管理画面である。[コントロール パネル]の[Windows ファイアウォール]で表示される画面のうち、[詳細設定]タブを選択したところだ。
 |
||||||||||||
| Windows XPのWindowsファイアウォールの設定画面 | ||||||||||||
| これは、[コントロール パネル]−[Windows ファイアウォール]を起動して、[詳細設定]タブを選択したところ。ここでは、Windowsファイアウォールを適用するネットワーク・インターフェイスの指定や、ICMPプロトコルに対するフィルタ指定(システム全体で有効なフィルタのほか、インターフェイスごとに個別に設定もできる)、ログ・ファイルの指定などが行える。 | ||||||||||||
|
これと同じダイアログをWindows Vistaで表示させると、次のようになっている。
 |
|||||||||
| Windows VistaのWindowsファイアウォールの設定画面 | |||||||||
| これは、Windows Vistaの[コントロール パネル]の[セキュリティ]カテゴリにある[Windows ファイアウォール]を起動して、[詳細設定]タブを選択したところ。Windows XP SP2のWindowsファイアウォールとほぼ同じであり、従来の操作環境を踏襲しているが、表示される項目が少ない。Windowsファイアウォールを適用するネットワーク・インターフェイスの指定はできるが、ICMPプロトコルに対するフィルタ指定やログ・ファイルの指定はできなくなっている。 | |||||||||
|
これを見ると分かるように、Windowsファイアウォールの管理画面は、従来とほぼ同じような構成になっているため、従来のユーザーでもそのまま利用できるだろう。パケット・フィルタの例外を許可したい場合は、[例外]タブを使って、従来のように操作できる。だが一部異なっていることからも分かるように、新機能の導入に伴って、いくらか整理、統合も行われている。ちなみに、上記のダイアログで省略されているICMPに対するフィルタ設定とログ・ファイルに関する設定項目は、後述するセキュリティが強化されたWindowsファイアウォールの管理ツールの方にまとめられている(ICMP関連のフィルタの設定方法については後述)。
■従来の「TCP/IPフィルタリング」機能の削除
従来のWindows XPまでのOSには、TCP/IPのプロパティ画面において、非常に限定的ながらパケット・フィルタ機能が用意されていた(連載「常時接続時代のパーソナル・セキュリティ対策」参照)。だがWindows Vistaではネットワーク・プロトコル・スタックが作り直された結果(IPv6サポートや機能/パフォーマンスの向上のために、新しく実装し直されている。連載第10回「IPv6を取り込んだVistaのネットワーク機能 」や「Windows Server 2008 と Windows Vista の新しいネットワーク機能(マイクロソフトTechNetサイト)」参照)、これら過去の機能はもうサポートされなくなっている。
新しい管理コンソール
Windows Vistaのセキュリティが強化されたWindowsファイアウォールでは、上で述べたような、[コントロール パネル]にある[Windowsファイアウォール]アプレットではなく、管理コンソール(MMC 3.0)ベースの新しい管理ツールで操作/管理することになっている。だがこの2つのツールは連動しており、例えば従来の[Windows ファイアウォール]アプレットで行った操作(主に受信パケットに対するフィルタ設定)は、そのまま新しい管理ツールへも反映されるようになっている。以下のその新しいファイアウォール管理ツールの画面を示す。これは、[スタート]メニュー(もしくは[コントロール パネル])の[管理ツール]にある[セキュリティが強化されたWindowsファイアウォール]で起動できる。
 |
||||||||||||||||||||||||||||||||||||||||||
| 「セキュリティが強化されたWindowsファイアウォール」管理ツール | ||||||||||||||||||||||||||||||||||||||||||
| Windows Vistaで導入された新しいファイアウォールに対応するため、新しくMMC 3.0ベースの管理コンソールが用意された。左側ペインにツリー表示、中央に詳細表示、右側に操作ボタンといった、標準的な構成となっている。 | ||||||||||||||||||||||||||||||||||||||||||
|
管理コンソールの全体の構成を見ると、左側ペインに操作対象を表すツリー表示、中央のペインにその詳細、そして右側ペインには現在可能な操作が状況に応じて表示されている。管理コンソールを起動した直後はローカル・コンピュータのファイアウォールを管理するようになっているが、MMCを起動して([スタート]メニューの[検索の開始]窓に「mmc」と入力して実行)、「セキュリティが強化されたWindowsファイアウォール」スナップインを追加すると、ローカル・コンピュータだけでなく、リモートのコンピュータを管理対象にできる。
左側にあるツリーを見ると、「受信の規則」と「送信の規則」という項目が並んでいるが、これがファイアウォールの一番重要な機能である。従来のWindowsファイアウォールでは受信に対するルール(指定した通信パケットだけを許可するようなルール)しか定義できなかったが、セキュリティが強化されたWindowsファイアウォールでは、受信だけでなく、送信に対しても制限を付けることができる。
 |
 |
| INDEX | ||
| Vistaの地平 | ||
| 第14回 進化したWindows Vistaのファイアウォール機能(前編) | ||
 |
1.セキュリティが強化されたWindowsファイアウォールの概要 | |
| 2.ファイアウォールのプロファイル | ||
| 3.受信フィルタの使い方 | ||
| 4.送信フィルタの使い方 | ||
 |
||
 |
「 Vistaの地平 」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
