[Network] | ||||||||||
Windows Vistaのファイアウォールでアウトバウンド通信をブロックする
|
||||||||||
|
解説 |
|
Windows Vistaのファイアウォール機能は、Windows XPのものと比較すると、アウトバウンド通信をブロックする機能が追加されている。従来のWindows XPのファイアウォール(Windowsファイアウォール。これはWindows Vistaでも同様に利用可能)では、基本的にはインバウンドの通信のみをブロックし、アウトバウンドの通信はデフォルトではすべて許可されていたが、Windows Vistaではアウトバウンド通信もブロックできるようになっている(この機能は、従来からあるRRASのパケット・フィルタ機能を拡張したものと思われる。RRASのパケット・フィルタについては関連記事などを参照のこと)。
本TIPSでは、このアウトバウンド通信をブロックする方法について簡単に解説する。より本格的な利用方法については、別記事で詳細に取り上げる。
操作方法 |
Windows Vistaでアウトバウンドの通信トラフィックをブロックするには、[コントロール パネル]−[Windowsファイアウォール]ツールではなく、新しく追加された管理ツールを利用する。管理ツールは[スタート]ボタンの[管理ツール]−[セキュリティが強化されたWindowsファイアウォール]で起動できる。
新しいアウトバウンド通信フィルタ規則の定義
新しいアウトバウンドのフィルタを定義するには、上記画面の([送信規則]ツリー)を選択しておき、右側の[操作]の一覧から[新規の規則]()をクリックする。するとフィルタの設定ウィザード画面が表示されるので、必要なパラメータなどをセットする。ここでは例として、ftpクライアントからのインターネット・アクセス(ftpコマンドを使って、リモートのftpサイトへアクセスする操作)を禁止してみよう。ftpコマンドでは最初に、外部のftpサーバ(TCPのポート21番でリッスンしている)に対して、TCPで接続する。この通信要求(TCPの21番ポートに対するアウトバウンド・トラフィック)をブロックすれば、ftpコマンドの利用を禁止できる。
なおこのファイアウォール設定では、「デフォルトで送信はすべて禁止、だが特定のものだけ許可」という方法と、「デフォルトですべて許可、だが特定のものだけ禁止」という2通りの方法が利用できるが、ここでは後者の方法について解説する。Windows Vistaのファイアウォールでは、デフォルトでは送信はすべて許可になっているため、禁止したいいくつかのプロトコルを定義するだけでよい。
まずウィザードの最初の画面では、ブロックの種類を選択する。ここではポート番号に基づいて制限したいので[ポート]を選択する。
フィルタ規則ウィザード | ||||||
ポートで通信をブロックしたいので、種類を[ポート]にする。 | ||||||
|
次の画面では、プロトコルのタイプとポート番号を設定する。が、ここで1つ重要なことがある。今回はTCPの21番ポートへのアクセス(アウトバウンド・アクセス)をブロックしたいのだが、この画面で設定するのは、リモートのポート番号ではなく、ローカルのポート番号となっている。ftpでサーバ側の21番ポートへ接続する場合、リモートのポート番号は21であるが、ローカル側のポート番号は実行時にランダムに選ばれる。よって、この画面でポート番号として「21」と入力してはいけない。この画面では取りあえずポート番号を指定せずに先へ進み、後でリモートのポート番号を設定すればよい。
プロトコルの種類とポート番号の指定 | |||||||||||||||
この画面では、ブロックしたい通信のプロトコル種別と、ポート番号を指定する。がよくみれば分かるように、この画面では、「ローカルのポート」の番号を指定するようになっている。ftpコマンドによる外部アクセスを禁止する場合は、ローカルのポート番号ではなく、「リモートのポート」番号を指定する必要がある。このウィザード画面は、サーバのように、固定的なポート番号を使ってローカルでリッスンしているケースで、その通信をブロックするために利用するもののようである。今回はこの画面ではポート番号を設定せずに、スキップしておく。なおこのようなフィルタの設定方法や機能から推測すると、これは以前からTCP/IPのプロトコル・スタック内に組み込まれていたRRASのパケット・フィルタ機能を拡張したもののように思われる。 | |||||||||||||||
|
次はブロックするか、許可するかを選択する。デフォルトで全送信をブロックしている場合は、[接続を許可する]を選んで、許可したい通信ごとに規則を定義する。
フィルタ規則の動作 | |||
今回はデフォルトで送信はすべて許可しているので、禁止したいアウトバウンド通信を個別の規則で定義する。 | |||
|
この後、ウィザード画面では使用するプロファイルを選ぶが、それはデフォルトのままにして、すべてのプロファイルを選択しておけばよい。ウィザードの最後の画面でこの規則に名前を付ける、ここでは「FTP通信のブロック」としておいた。
以上で規則の定義は終了であるが、このままではすべての送信トラフィックがブロックされてしまう。先のポート指定画面で[すべてのローカル ポート]を選んだので、あらゆる通信トラフィックがこれに合致してしまっているからだ。そこで、素早く次の作業を行う(次の設定が完了するまで、外部とは通信できなくなっているはずである)。
上で定義した「FTP通信のブロック」という規則を右クリックして、ポップアップ・メニューから[プロパティ]を選択する(規則を選んで、[操作]から[プロパティ]を選んでもよい)。そして[プロトコルおよびポート]というタブを選択する。
ブロックするポート番号の設定 | |||||||||
定義した規則のプロパティを変更して、リモートのポート番号を設定し直す。 | |||||||||
|
以上で設定は終了である。[OK]ボタンをクリックすると設定が反映され、例えば「ftp ftp.microsoft.com」といったコマンドを実行しても、接続が失敗するはずである。ファイアウォールのログを残すように設定していれば、行末が「SEND」となっているログが記録されているはずである。ログ・ファイルの設定方法については、TIPS「Windows Vistaのファイアウォール・ログを有効にする」を参照していただきたい。
この記事と関連性の高い別の記事
- FTPの標準ポート番号を変更する(TIPS)
- XP SP2のファイアウォールでリモート管理を有効にする(TIPS)
- Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する(TIPS)
- Windows XPのファイアウォール機能を活用する(1)(TIPS)
- グループポリシーでWindowsファイアウォールをまとめて管理する(ドメイン向け推奨Windowsファイアウォール設定)(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|