Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windows XPのファイアウォール機能を活用する(1)

解説をスキップして操作方法を読む

デジタルアドバンテージ
2001/12/13
対象OS
Windows XP Professional
Windows XP Home Edition
Windows XPには標準でファイアウォール機能が用意されている。
これは、インターネット側のインターフェイスでファイアウォールのチェックボックスをオンにするだけで利用できる。
pingに応答するためには、さらにICMPの設定を行う必要がある。


解説

 Windows XPは、標準でファイアウォールパケット・フィルタ)の機能を持っている。これはTCPUDPで使用されるポート番号に基づいて、必要なパケットだけを通過させ、その他のものはすべてブロック(拒否)するというものである。ネットワーク経由で利用できるサービスとしては、Webアクセスやメール、FTP、ファイル共有など、さまざまなものがあるが、これらは一般的には、それぞれ異なるTCPやUDPのポート番号を使用している。パケット・フィルタは、このポート番号に基づいてパケットの通過や拒否を制御する。これにより、ある決められたサービスだけを選択的に外部に公開することができるようになる。

 Windows XPのファイアウォール機能におけるパケット・フィルタは、基本的には、システムの内部(もしくはインターネット接続共有:ICSのクライアント)から発信されたパケットはすべて外部へ向けて通すが、逆に外部から入ってくるパケットは、必要なもの以外はすべてブロックするというふうに動作する。TCPやUDPを使った通信では、クライアント側からサーバ側へ向けて最初にパケットを送り、サーバがそれに応答するという形で通信を行うが、パケット・フィルタでは、最初に送られる(通信の開始の)パケットの受信をブロックすることにより、以後の通信を行わないようにする。

 しかしすべての受信を常にブロックするわけではなく、例えばFTPプロトコルにおけるデータ・コネクションなど、FTPプロトコルの使用中に随時発生する、認められた(正規の)通信パケットだけはきちんと通すようになっている。このためFTPの使用中はやり取りできるパケットでも、FTPプロトコルの使用中でなければ、データ・コネクションと同じ形式のパケット(同じポート番号を持つパケット)でもブロックされるようになっている。つまり、現在使用しているプロトコルに応じて、ダイナミックにフィルタをオンにしたり、オフにしたりして、本当に必要なパケットを、必要なときだけ通すようになっている。

 パケット・フィルタの機能を使えば、本来インターネット側からはアクセスされることがないようなサービスをすべてブロックし、システムを安全に保ちながら、インターネット上の各種のサービスを利用することが可能である。例えばインターネット側に向けてファイル共有サービスを提供する必要はないため、ファイル共有で使用しているポート番号を持つパケットは、インターネット側へ向けては送信も受信もしないようになっている。しかしWebアクセスのためのパケットは、インターネット側への送信は行うが、受信はしない、というふうに設定されているので、ユーザーは外部のWebサイトへアクセスすることは可能であるが、外部からファイアウォール内部にあるWebサーバへアクセスしようとしても、すべて拒否されることになる。この場合、実際にWebサーバが稼動しているかどうかに関係なく、その前のネットワークからの入り口の段階でパケットがブロックされる。

 Windows XPではこのファイアウォール(パケット・フィルタ)がOSの標準機能として組み込まれているので、簡単に安全なネットワーク環境を構築することができる。

 インターネットの普及に伴い、ネットワークに接続するマシンは、常時接続かダイヤルアップ接続かにかかわらず、常にインターネット側からの攻撃(侵入口を見つけるための探査パケットや、システムダウンを狙った巨大なパケットなど)にさらされている。いまやインターネットに接続するマシンは、この程度のセキュリティ対策は最低限のものと考えておきたい。インターネットへ接続する際には、ICSを使うかどうかにかかわらず、常にこのファイアウォール機能を活用していただきたい。なおWindows XPにおけるICSの使い方などについては、「TIPS――Windows 2000/Windows XPのICSを活用する(NATを利用する方法)」を参考にしていただきたい。

 以下は、Windows XPのファイアウォールで記録されたログ・ファイルの例である。WindowsネットワークやWebサーバなどを狙ったパケットは常にやってきているので(特にNimdaとその亜種が多い)、ファイアウォールで確実に検出して、ブロックしたいところだ。

#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

2001-12-10 19:29:23 OPEN UDP 61.XXX.XXX.XXX 61.206.134.202 3045 53 - - - - - - - -
2001-12-10 19:30:36 CLOSE UDP 61.XXX.XXX.XXX 61.206.134.202 3045 53 - - - - - - - -
2001-12-10 20:45:40 DROP TCP 164.100.YYY.YYY 61.XXX.XXX.XXX 22 22 44 SF 494802014 1226947601 1028 - - -
2001-12-10 22:07:49 DROP UDP 61.168.YYY.YYY 61.XXX.XXX.XXX 2916 8097 35 - - - - - - -
2001-12-10 23:07:59 DROP ICMP 157.130.YYY.YYY 61.XXX.XXX.XXX - - 56 - - - - 3 1 -
2001-12-10 23:59:37 CLOSE TCP 61.XXX.XXX.XXX 202.212.27.250 1550 80 - - - - - - - -
2001-12-11 00:47:20 DROP ICMP 157.130.243.149 61.XXX.XXX.XXX - - 56 - - - - 3 1 -
2001-12-11 01:04:01 DROP UDP 207.103.YYY.YYY 61.XXX.XXX.XXX 64217 161 72 - - - - - - -
2001-12-11 01:11:28 DROP TCP 141.212.YYY.YYY 61.XXX.XXX.XXX 1142 80 48 S 3016224671 0 16384 - - -
2001-12-11 01:11:31 DROP TCP 141.212.YYY.YYY 61.XXX.XXX.XXX 1142 80 48 S 3016224671 0 16384 - - -
2001-12-11 01:11:37 DROP TCP 141.212.YYY.YYY 61.XXX.XXX.XXX 1142 80 48 S 3016224671 0 16384 - - -
Windows XPのファイアウォール・ログの例
ログ・ファイルには、通信を行われた日付や時刻、アクション(OPEN、CLOSE、DROPなど)、プロトコルのタイプ(TCP/UDP/ICMPなど)、ソースIPアドレス、宛先IPアドレス、ポート番号、フラグ情報、シーケンス番号、TCPウィンドウ・サイズなどの情報が記録されている。ログ中で、OPENやCLOSEとなっているのは正常な通信。DROPとなっているのはファイアウォールの規則にマッチして、ブロックされた通信の例。最後の3行は80番ポートへのアクセスを表しているが、これはNimdaワームのようだ。
 
関連記事(Windows Server Insider)
 

Windows TIPS:Windows 2000/Windows XPのICSを活用する(NATを利用する方法)

  Windows TIPS:電子メールの送受信が異常に遅い
     
 

 INDEX
  [Windows TIPS]
   Windows XPのファイアウォール機能を活用する(1)
     Windows XPのファイアウォール機能を活用する(2)
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間