Vistaの地平
|
|
概要
セキュリティが強化されたWindowsファイアウォールでは、受信だけでなく、送信に対してもフィルタを設定できることが大きな特徴となっている。従来、受信は(デフォルトでは)すべてブロックしていたが、送信に関しては制限することができなかった。通常は送信をブロックする必要性は少ないだろうが、この機能があれば、例えばコンピュータがウイルスなどに感染して、インターネットあてにメールを無制限に送信してしまうといった事態を防ぐことができる(指定されたメール・サーバ以外への通信をブロックする)。また、ある種のプログラムが行うインターネットへの送信要求をブロックして、事実上そのプログラムの利用を制限する、という使い方もできるだろう(ただしプログラムの使うポートが動的に変わるようなら、ポートでのブロックではなく、Active Directoryの機能を使って起動を阻止する方がよいだろう。参考TIPS「業務に不要なプログラムの実行をグループ・ポリシーで禁止する」)。それ以外にも、社内LANへのアクセスは許可するが、インターネットへの接続は禁止するといった管理も可能となるだろう。
ファイアウォールの基本的な動作モード
セキュリティが強化されたWindowsファイアウォールでは受信だけでなく、送信に対してもパケット・フィルタを設定できるが、デフォルトでは、「受信はすべて禁止、送信はすべて許可、ただしいずれも例外ルールとして定義したものは除く」となっている。このデフォルトの挙動を変更するには(例えば、送信も受信も、明示的に許可したもの以外はすべて禁止とするには)、デフォルト設定を変更する。このために、セキュリティが強化されたWindowsファイアウォールの管理ツールを開き、左側ペインでツリーのトップ(「ローカル コンピュータのセキュリティが強化されたWindowsファイアウォール」と表示されている部分)を選択する。そして右側の操作ペインにある[プロパティ]をクリックするか、中央のペインにある[Windows ファイアウォールのプロパティ]をクリックする。すると次のような画面が表示されるので、プロファイルごとのデフォルト設定を変更すればよい(netshコマンドを使った操作方法については後編で解説予定)。
ファイアウォールのデフォルトの挙動の変更 | ||||||||||||||||||
プロファイルごとに、ファイアウォールのデフォルトの挙動を変更できる。デフォルトでは、受信はすべて禁止、送信はすべて許可(いずれも明示的に許可したものを除く)となっている。 | ||||||||||||||||||
|
受信フィルタの設定例
さてそれでは、実際に受信フィルタを設定してみよう。受信方向のトラフィック(インバウンド通信)はデフォルトではすべてブロックされており(インバウンド通信はすべて禁止されている)、このままで、例えばWebサーバをインストールしても、外部からアクセスすることはできない。これを許可するために、TCPの80番、443番、8080番を受信の例外ルールとして定義してみよう。
受信の例外ルールを作成するには、まず管理コンソールの左側ツリーで[受信の規則]を選択する。そして右側の[操作]ペインから[新規の規則]をクリックする。
[新規の規則]をクリックすると、新しいルールを作成するウィザードが表示されるので、後は、指示に従ってルールに関する情報を入力すればよい。
受信ルールの新規作成ウィザードの起動画面 | ||||||||||||
最初は、作成する受信ルールの種類を選択する。ここでは[ポート]を選んで、先へ進む。 | ||||||||||||
|
プロトコルとポート番号の指定 | |||||||||
前画面で[ポート]を選んだ場合は、ここでプロトコル・タイプとポート番号を指定する。 | |||||||||
|
条件合致時の操作の指定 | |||||||||
ここでは、条件に合致した場合に、どうするかを指定する。 | |||||||||
|
プロファイルの選択 | |||||||||
ここでは作成したルールをどのプロファイルに登録するかを選択する。パブリックの場合は外部から接続する必要はないだろうから、ここではドメインとプライベート・プロファイルのみを選択してみた。 | |||||||||
|
ルール名の入力 | ||||||
最後に、作成した受信ルールに名前を付ける。 | ||||||
|
作成したルールは、管理コンソールでは以下のように表示される。
受信ルールの確認 | |||
追加した独自の受信ルール。 | |||
|
このルールをさらに変更するには、ダブルクリックすればプロパティ画面が開くので、そこで設定すればよい。ウィザードでは指定しなかったが、Webサーバへのアクセスをローカル・ネットワークに限定するには、例えば次のようにスコープを定義する。
ルールのカスタマイズ | |||||||||
ここでは、アクセス元のネットワークを限定するために、「スコープ」を追加定義してみた。 | |||||||||
|
ICMPの受信許可
Windows VistaにおけるWindowsファイアウォールのGUI設定画面では、ICMPに対する設定項目がなくなってと最初に述べたが、それではpingコマンド(ICMPのEchoプロトコルを使用している)に対して応答させたい場合はどうすればよいだろうか。pingコマンドを使った通信の到達性テストなどはよく行われるので、pingに一切応答しないというのでは、都合が悪い。
Windows Vista(およびWindows Server 2008)では、このような場合、ICMP Echoの受信を許可する受信ルールを定義することになっている。具体的には受信ルールを新規作成し、プロトコルの指定のところで、ICMPを許可すればよい。以下は追加した受信ルールのプロトコルの定義画面である。
ICMP Echoの受信を許可するルールの例 | |||||||||
ここではpingに応答するために、ICMPv4-echoというルールを作成してみた。ウィザードでカスタムを選択してもよいし、後でプロパティで変更してもよい。 | |||||||||
|
[カスタマイズ]ボタンをクリックすると、次のようなICMPのコマンドの選択画面が評されるので、適切なものを選ぶ。
ICMP Echo要求の許可 | ||||||
pingコマンドに応答するには、ICMPのEcho(エコー要求)に対する受信を許可する。 | ||||||
|
なお、送信(アウトバウンド通信)をデフォルトで全部ブロックしている場合は、Echo要求に対する応答の送信許可のルールも作成しておいていただきたい。
INDEX | ||
Vistaの地平 | ||
第14回 進化したWindows Vistaのファイアウォール機能(前編) | ||
1.セキュリティが強化されたWindowsファイアウォールの概要 | ||
2.ファイアウォールのプロファイル | ||
3.受信フィルタの使い方 | ||
4.送信フィルタの使い方 | ||
「 Vistaの地平 」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|