Vistaの地平
第14回 進化したWindows Vistaのファイアウォール機能(前編)

2.ファイアウォールのプロファイル

デジタルアドバンテージ 打越 浩幸
2008/04/02

ファイアウォールの設定を自動的に切り替える3つのプロファイル

 Windowsファイアウォールを利用/管理するには、「プロファイル」について理解しておく必要がある。先ほどのファイアウォールの管理画面でも、中央ペインに大きく3つ、「ドメイン プロファイル」や「プライベート プロファイル」「パブリック プロファイル」という文字が確認できるだろう。

 プロファイルとは、ネットワークの接続状況に応じて、Windowsファイアウォールの動作モードや設定(主にパケット・フィルタの規則)を切り替えるための機能である。プロファイルを切り替えると、そこで定義されている設定に基づいて、ファイアウォールの状態が変更され、設定が動的に切り替わる。例えばノートPCを社内のドメイン・ネットワークで利用している場合は、フィルタ設定を緩和してファイル共有を有効にしたり、リモートから管理したりできるようにするが、外部へ持ち出している場合は、外からのアクセスをすべて禁止してセキュリティを最大限に高める、といった運用方法が可能になる。プロファイルはネットワークの状況に応じて自動的に選択/適用されるので、ユーザー自身で切り替える必要はない。プロファイルごとに異なるパケット・フィルタ規則群が定義されているので、プロファイルが切り替わることにより、パケット・フィルタの規則が自動的に切り替わり、セキュリティ設定が緩和されたり、厳格になったりするのである。

 Windows OSには「NLA(Network Location Awareness)」というサービスが用意されており、このサービスがネットワーク構成の変更(ネットワーク・ケーブルの取り外しや取り付け、無線LANの状態変更、新しいMACアドレスやIPアドレスの検出など)を検知すると、それがファイアウォールに通知され、その結果に基づいて最適なプロファイルを動的に選択するようになっている。

Windowsファイアウォールのプロファイルを知る(Windows TIPS)

 Windows XP(およびWindows Server 2003)のWindowsファイアウォールには「ドメイン・プロファイル」と「標準プロファイル」の2つがあり、次のように使い分けられた。基本的な原則としては、コンピュータがドメインに属していて、ドメイン・コントローラと通信が可能なら、ドメイン・プロファイルが利用される。しかしそれ以外なら(ドメイン・コントローラと通信できないか、ワークグループ・ネットワークとして構成されたコンピュータなら)、標準プロファイルが利用される。デスクトップPCならばほとんどの場合はドメイン・プロファイルが利用されるだろうが、ノートPCをネットワークから取り外して持ち歩いたり、外出先で公衆無線LANに接続したりするような場合には自動的に標準プロファイルに切り替わることになるだろう。

Windows XP/Windows Server 2003のWindowsファイアウォールのプロファイル
これらのOSでは2つのプロファイルが利用できる。ドメインに参加している場合はドメイン・プロファイルが、それ以外の場合は標準プロファイルが利用される。

 表にまとめると、次のようになる。

プロファイル 意味
ドメイン・プロファイル(Domain Profile) コンピュータがActive Directoryドメイン・ネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループ・ネットワークではなく)ドメイン・ネットワークに参加しており、さらに、ネットワークがアクティブな場合(ドメイン・コントローラと通信が可能な状態)にあれば、このプロファイルが使用される。Window Vistaのセキュリティが強化されたWindowsファイアウォールにおけるドメイン・プロファイルに相当
標準プロファイル(Standard Profile) ドメイン・プロファイルが利用できない場合に利用されるプロファイル。ドメイン・ネットワークからコンピュータを切り離した(ドメイン・コントローラと通信ができない場所へ移動した)ときに利用されるし、ワークグループ・ネットワーク構成の場合には常にこのプロファイルが利用される。Window Vistaのセキュリティが強化されたWindowsファイアウォールにおけるプライベート・プロファイルに相当
Windows XP/Windows Server 2003のWindowsファイアウォールのプロファイル
これらのOSでは、2つのプロファイルがサポートされている。
Window Vistaのセキュリティが強化されたWindows Firewallにおけるパブリック・プロファイルに相当するモードはない。

 これに対し、Windows Vistaのファイアウォールではよりきめ細かい管理を行うために、プロファイルのタイプがドメイン、プライベート、パブリックの3つになっている。

Windows Vista/Windows Server 2008のWindowsファイアウォールのプロファイル
これらのOSでは新しく3つのプロファイルが定義されている。ドメインに参加している場合はドメイン・プロファイル、そうでない場合はプライベート・プロファイル、公共の場所で利用する場合はパブリック・プロファイルがそれぞれ利用される。従来のプロファイルと比べると、ドメイン・プロファイルはそのままだが、標準プロファイルがプライベート・プロファイルとパブリック・プロファイルの2つに分かれ、より細かく制御できるようになった。

 表にまとめると、次のようになる。

プロファイル 意味
ドメイン・プロファイル(Domain Profile) コンピュータがActive Directoryドメイン・ネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループ・ネットワークではなく)ドメイン・ネットワークに参加しており、さらに、すべてのネットワーク・インターフェイスがアクティブでドメイン・コントローラと通信が可能な状態になっていれば、このプロファイルが使用される。先のWindowsファイアウォールにおけるドメイン・プロファイルに相当
プライベート・プロファイル(Private Profile) ドメイン・ネットワークではなく、個人の自宅やワークグループ構成のネットワークなど、小規模なネットワークで利用されるプロファイル。以下のパブリック・プロファイルと比べると、お互いのコンピュータ同士の参照が可能になるなど、ややセキュリティ設定が緩和されている。初期セットアップ時に「職場」や「自宅」を選択した場合に利用される。先のWindowsファイアウォールにおける標準プロファイルに相当
パブリック・プロファイル(Public Profile) 上のいずれでもない場合に利用されるプロファイル。外部からの参照などが禁止される、一番制約の厳しいプロファイル。初期セットアップ時に「公共の場所」を選択した場合に利用される。パブリック・プロファイルでのみ定義されている規則はnetsh firewallコマンドでは操作/管理できない
Windows Vista/Windows Server 2008のWindowsファイアウォールのプロファイル
これらのOSでは、3つのプロファイルがサポートされている。上の2つは従来のWindowsファイアウォールでも利用可能なプロファイル。

 従来のWindowsファイアウォールと比較すると、ドメイン・プロファイルはそのままだが、標準プロファイルがプライベート・プロファイルとパブリック・プロファイルの2つに分かれ、より細かく制御できるようになったと考えればよい。

プライベート・プロファイルとパブリック・プロファイルの切り替え

 新しい3つのプロファイルのうち、ドメイン・プロファイルが選択される条件は分かりやすいだろう。Windows Vistaコンピュータがドメイン・ネットワークに参加していて、かつ、ドメイン・コントローラと通信可能な状態にあれば、ドメイン・プロファイルが選択される。

 だがそれ以外のプライベート・プロファイルとパブリック・プロファイルは少し注意が必要である。基本的な原則としては、社内ネットワーク環境やワークグループ構成のコンピュータならプライベート・プロファイルが使われ、インターネット・カフェや自宅のインターネット接続サービスなどを使ってインターネットに直接接続している場合はパブリック・プロファイルが使用される、となっている。しかしこの2つの違いは明確に区別できるようなものではない。いずれのケースでも、インターネットへはNATルータ(グローバルIPアドレスプライベートIPアドレスのアドレス変換機能を持つルータ)を使ってインターネットへ接続しているだろうからだ。

 それではどうやってWindows Vistaがネットワークの種類を判断しているかというと、実は非常に単純である。Windows Vistaコンピュータのセットアップ時にユーザー自身が選択した結果に基づいて決定しているだけだからだ。OSのセットアップ時(もしくは新しいネットワークへの接続時など)にネットワークの種類を「職場」や「自宅」「公共の場所」などから選択するが、それに基づいて判断される。この選択結果は、[コントロール パネル]の[ネットワークとインターネット]にある[ネットワークと共有センター]の画面で確認できる。

接続しているネットワークの種類
これは[コントロール パネル]の[ネットワークとインターネット]にある[ネットワークと共有センター]の画面。この中に、インターフェイスごとのネットワークの種類が表示されている。もともとは、Windows OSのセットアップ時にユーザー自身が指定した結果に基づいている(指定がない場合のデフォルトはパブリック)。
これはパブリック・ネットワークの例。ドメイン・ネットワークに属している場合は、ここには「名前(ドメイン ネットワーク)」と表示される。
これはプライベート・ネットワークの例。
ネットワークの種類を変更するにはこの[カスタマイズ]をクリックする。

 上の画面での[カスタマイズ]をクリックすると、後から設定を変更することもできる(次の画面参照)。

ネットワーク・タイプの変更
先ほどの画面で[カスタマイズ]ボタンをクリックすると、このような画面が表示され、ネットワークのタイプを後から変更できる。
ネットワーク名。デフォルトでは、ネットワーク・インターフェイスに割り当てられたDNSドメイン名が付けられている。ただしここで例えばexample.co.jpといった新しいDNSドメイン名を指定しても、それがDNSの検索サフィックスなどとして利用されることはない。これはあくまでも識別のための名前にすぎない。
パブリック・タイプ(「公共の場所」)にするにはこれを選択する。ドメイン・ネットワークの場合は「場所の種類: ドメイン」と表示されるだけで、ほかのタイプには変更できない。
プライベート・タイプ(「職場」や「自宅」)にするにはこれを選択する。
アイコンを変更するにはこれをクリックする。ただしこれは単にネットワーク・アイコンを変更するだけで、それ以上の意味はない。

 以上のようなネットワーク・インターフェイスのタイプに基づき、Windows OSは自動的に適切なプロファイルを選択する。具体的には次のようなルールで使用するプロファイルが決定される

  • コンピュータに接続されているすべての有効なネットワーク・インターフェイスを検証し、パブリック・タイプが1つでもあれば、パブリック・プロファイルを選択する。
  • そうでなく、プライベート・タイプが1つでもあれば、プライベート・プロファイルを選択する。
  • すべてのインターフェイスがドメイン・タイプなら、ドメイン・プロファイルを選択する。
  • 以上のいずれでもなければパブリック・プロファイルを選択する(ネットワーク・ケーブルが接続されていないといったケースもこれに含まれる)。

 これらのルールにより、なるべく制限が厳しくなるようなプロファイル(ドメインよりもプライベート、プライベートよりもパブリック)が自動的に選択されるようになる。ただしこの原則により、例えばインターネットに接続しながらVPNを利用していると、パブリック・プロファイルが選択されてしまい、リモートから管理できないといったことも起こる可能性がある。そのような場合は、リモートからの管理を許可するような受信のフィルタ・ルールを作成し、VPNインターフェイスだけに適用させる、といった対策をとればよい。

2つのファイアウォール・モードの混在

 上で述べたように、従来スタイルのWindowsファイアウォールには2つのプロファイルがあり、新しいセキュリティが強化されたWindowsファイアウォールには3つのプロファイルがある。Windows Vistaのセキュリティが強化されたWindowsファイアウォールでは、従来との互換性のため、従来と同じユーザー・インターフェイスやnetshコマンドによる管理を可能としているが、この結果従来のプロファイルと新しいプロファイルの2種類を同時に扱う必要がある。

 そこでセキュリティが強化されたWindowsファイアウォールでは、従来のプロファイルを新しい3つのプロファイルにマッピングすることによって、この互換性を実現している。具体的には次のようになっている。

従来のWindowsファイアウォールのプロファイル 新しいセキュリティが強化されたWindowsファイアウォールのプロファイル
ドメイン・プロファイル ドメイン・プロファイル
標準プロファイル プライベート・プロファイル
(該当なし) パブリック・プロファイル
GUI管理画面 
現在のプロファイル」のみ操作可能 すべてのプロファイルを操作可能
netsh コンテキスト(コマンドライン処理)
netsh firewall netsh advfirewall
2つのファイアウォールにおけるプロファイルの対応
表の左半分は[コントロール パネル]にある[Windowsファイアウォール]アプレットのこと、右半分は[管理ツール]にある[セキュリティが強化されたWindowsファイアウォール]ツールのこと。ドメイン・プロファイルは両者で共通だが、標準プロファイルはプライベート・プロファイルと同様に扱われる。パブリック・プロファイルに登録したルールは、GUIのWindowsファイアウォール画面では操作できるが(現在のプロファイルがパブリックの場合のみ)、従来のnetsh firewallコンテキストでは操作/変更できない。内部的には、右側の3つのプロファイルしかなく、左側の2つのプロファイルは仮想的に実現されているようである。

 WindowsファイアウォールのGUI操作画面では「現在のプロファイル」が操作できるが、セキュリティが強化されたWindowsファイアウォールの管理画面ではすべてのプロファイルを同時に取り扱うことができる。現在のプロファイルとは、先ほど述べた「ドメイン」「プライベート」「パブリック」のうちの1つのことである。このプロファイルはネットワークの接続状況などに応じて動的に決まるため、GUIのWindowsファイアウォール管理画面では、操作/表示対象のプロファイルを選択することはできない。現在のプロファイルに対して、受信のルールを追加したり、削除/変更したりできるだけである。

従来のWindowsファイアウォールのGUI管理画面

従来との互換性のために、Windows XP SP2スタイルのWindowsファイアウォールのGUI管理も用意されているが、ここで使用されているプロファイルは、実際は新しい3つのプロファイルのいずれかである。

これをクリックすると、Windowsファイアウォールの管理画面が表示される。
現在のプロファイル。セキュリティが強化されたWindowsファイアウォールで導入された、3つのプロファイルのうちの1つが表示されている。

 例えば、WindowsファイアウォールのGUI画面で受信のルールを追加した場合、3つのうちのいずれかのプロファイルにルールが追加される。追加された内容は、セキュリティが強化されたWindowsファイアウォールの管理画面で確認できる。

 逆に例えばセキュリティが強化されたWindowsファイアウォールのドメイン・プロファイルにルールを追加すると、現在のプロファイルがドメイン・プロファイルの場合に限って、WindowsファイアウォールのGUI画面でそれを確認できる。

 以上はGUIの操作画面の話であり、コマンド・プロンプト上でnetsh firewallコマンドを利用する場合は少し事情が異なる。netsh firewallではWindowsファイアウォールのドメインと標準の2つのプロファイルの内容を同時に見ることができるが(実際には、それはセキュリティが強化されたWindowsファイアウォールのドメインとプライベート・プロファイルの内容が反映されている)、パブリック・プロファイルのみに定義されている情報(ルールなど)は見ることができない。新しい3つのプロファイルを操作するには、netsh advfirewallコマンドを利用する必要がある。netsh firewall/advfirewallコマンドの使い方については、後編で詳しく触れることにする。


 INDEX
  Vistaの地平
  第14回 進化したWindows Vistaのファイアウォール機能(前編)
    1.セキュリティが強化されたWindowsファイアウォールの概要
  2.ファイアウォールのプロファイル
    3.受信フィルタの使い方
    4.送信フィルタの使い方

 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間