Windows TIPS

［Network］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Windows XPのファイアウォール機能を活用する（1） → 解説をスキップして操作方法を読む デジタルアドバンテージ 2001/12/13 対象OS Windows XP Professional Windows XP Home Edition

■ Windows XPには標準でファイアウォール機能が用意されている。 ■ これは、インターネット側のインターフェイスでファイアウォールのチェックボックスをオンにするだけで利用できる。 ■ pingに応答するためには、さらにICMPの設定を行う必要がある。

解説

　Windows XPは、標準でファイアウォール（パケット・フィルタ）の機能を持っている。これはTCPやUDPで使用されるポート番号に基づいて、必要なパケットだけを通過させ、その他のものはすべてブロック（拒否）するというものである。ネットワーク経由で利用できるサービスとしては、Webアクセスやメール、FTP、ファイル共有など、さまざまなものがあるが、これらは一般的には、それぞれ異なるTCPやUDPのポート番号を使用している。パケット・フィルタは、このポート番号に基づいてパケットの通過や拒否を制御する。これにより、ある決められたサービスだけを選択的に外部に公開することができるようになる。

　Windows XPのファイアウォール機能におけるパケット・フィルタは、基本的には、システムの内部（もしくはインターネット接続共有：ICSのクライアント）から発信されたパケットはすべて外部へ向けて通すが、逆に外部から入ってくるパケットは、必要なもの以外はすべてブロックするというふうに動作する。TCPやUDPを使った通信では、クライアント側からサーバ側へ向けて最初にパケットを送り、サーバがそれに応答するという形で通信を行うが、パケット・フィルタでは、最初に送られる（通信の開始の）パケットの受信をブロックすることにより、以後の通信を行わないようにする。

　しかしすべての受信を常にブロックするわけではなく、例えばFTPプロトコルにおけるデータ・コネクションなど、FTPプロトコルの使用中に随時発生する、認められた（正規の）通信パケットだけはきちんと通すようになっている。このためFTPの使用中はやり取りできるパケットでも、FTPプロトコルの使用中でなければ、データ・コネクションと同じ形式のパケット（同じポート番号を持つパケット）でもブロックされるようになっている。つまり、現在使用しているプロトコルに応じて、ダイナミックにフィルタをオンにしたり、オフにしたりして、本当に必要なパケットを、必要なときだけ通すようになっている。

　パケット・フィルタの機能を使えば、本来インターネット側からはアクセスされることがないようなサービスをすべてブロックし、システムを安全に保ちながら、インターネット上の各種のサービスを利用することが可能である。例えばインターネット側に向けてファイル共有サービスを提供する必要はないため、ファイル共有で使用しているポート番号を持つパケットは、インターネット側へ向けては送信も受信もしないようになっている。しかしWebアクセスのためのパケットは、インターネット側への送信は行うが、受信はしない、というふうに設定されているので、ユーザーは外部のWebサイトへアクセスすることは可能であるが、外部からファイアウォール内部にあるWebサーバへアクセスしようとしても、すべて拒否されることになる。この場合、実際にWebサーバが稼動しているかどうかに関係なく、その前のネットワークからの入り口の段階でパケットがブロックされる。

　Windows XPではこのファイアウォール（パケット・フィルタ）がOSの標準機能として組み込まれているので、簡単に安全なネットワーク環境を構築することができる。

　インターネットの普及に伴い、ネットワークに接続するマシンは、常時接続かダイヤルアップ接続かにかかわらず、常にインターネット側からの攻撃（侵入口を見つけるための探査パケットや、システムダウンを狙った巨大なパケットなど）にさらされている。いまやインターネットに接続するマシンは、この程度のセキュリティ対策は最低限のものと考えておきたい。インターネットへ接続する際には、ICSを使うかどうかにかかわらず、常にこのファイアウォール機能を活用していただきたい。なおWindows XPにおけるICSの使い方などについては、「TIPS――Windows 2000／Windows XPのICSを活用する（NATを利用する方法）」を参考にしていただきたい。

　以下は、Windows XPのファイアウォールで記録されたログ・ファイルの例である。WindowsネットワークやWebサーバなどを狙ったパケットは常にやってきているので（特にNimdaとその亜種が多い）、ファイアウォールで確実に検出して、ブロックしたいところだ。

#Verson: 1.0 #Software: Microsoft Internet Connection Firewall #Time Format: Local #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info 2001-12-10 19:29:23 OPEN UDP 61.XXX.XXX.XXX 61.206.134.202 3045 53 - - - - - - - - 2001-12-10 19:30:36 CLOSE UDP 61.XXX.XXX.XXX 61.206.134.202 3045 53 - - - - - - - - 2001-12-10 20:45:40 DROP TCP 164.100.YYY.YYY 61.XXX.XXX.XXX 22 22 44 SF 494802014 1226947601 1028 - - - 2001-12-10 22:07:49 DROP UDP 61.168.YYY.YYY 61.XXX.XXX.XXX 2916 8097 35 - - - - - - - 2001-12-10 23:07:59 DROP ICMP 157.130.YYY.YYY 61.XXX.XXX.XXX - - 56 - - - - 3 1 - 2001-12-10 23:59:37 CLOSE TCP 61.XXX.XXX.XXX 202.212.27.250 1550 80 - - - - - - - - 2001-12-11 00:47:20 DROP ICMP 157.130.243.149 61.XXX.XXX.XXX - - 56 - - - - 3 1 - 2001-12-11 01:04:01 DROP UDP 207.103.YYY.YYY 61.XXX.XXX.XXX 64217 161 72 - - - - - - - 2001-12-11 01:11:28 DROP TCP 141.212.YYY.YYY 61.XXX.XXX.XXX 1142 80 48 S 3016224671 0 16384 - - - 2001-12-11 01:11:31 DROP TCP 141.212.YYY.YYY 61.XXX.XXX.XXX 1142 80 48 S 3016224671 0 16384 - - - 2001-12-11 01:11:37 DROP TCP 141.212.YYY.YYY 61.XXX.XXX.XXX 1142 80 48 S 3016224671 0 16384 - - -

Windows XPのファイアウォール・ログの例

ログ・ファイルには、通信を行われた日付や時刻、アクション（OPEN、CLOSE、DROPなど）、プロトコルのタイプ（TCP／UDP／ICMPなど）、ソースIPアドレス、宛先IPアドレス、ポート番号、フラグ情報、シーケンス番号、TCPウィンドウ・サイズなどの情報が記録されている。ログ中で、OPENやCLOSEとなっているのは正常な通信。DROPとなっているのはファイアウォールの規則にマッチして、ブロックされた通信の例。最後の3行は80番ポートへのアクセスを表しているが、これはNimdaワームのようだ。

　

	関連記事（Windows Server Insider）
		Windows TIPS：Windows 2000／Windows XPのICSを活用する（NATを利用する方法）
		Windows TIPS：電子メールの送受信が異常に遅い

INDEX
	［Windows TIPS］
	Windows XPのファイアウォール機能を活用する（1）
	Windows XPのファイアウォール機能を活用する（2）

　

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）