Windowsファイアウォールの「プロファイル」を知る：Tech TIPS

連載目次

Windows OS標準の「Windowsファイアウォール」を設定／管理したい！

　Windows XP SP2やWindows Server 2003、Windows Vistaには、標準で「Windowsファイアウォール」というファイアウォール機能が含まれている。このファイアウォールを設定／管理するためには、「プロファイル」という動作モードについて知っておく必要がある。

　GUI画面（［コントロール パネル］の［Windowsファイアウォール］）で操作する場合はプロファイルを意識することはない。一方、「netsh」コマンドやグループポリシーなどで管理する場合には、使い分ける必要がある。

　本Tech TIPSでは、このプロファイルについて簡単にまとめておく。より詳細な説明については、以下の解説記事を参照していただきたい。

• システム管理者のためのXP SP2展開計画「第2回 Windowsファイアウォールの管理」
• Tech TIPS「Windows Vistaのファイアウォールでアウトバウンド通信をブロックする」

Windowsファイアウォールの「プロファイル」とは

　Windowsファイアウォールのプロファイルとは、ネットワークの接続状況に応じて、Windowsファイアウォールの動作モードのセットを切り替えるための機能である。プロファイルを切り替えると、そこで定義されている設定に基づいて、ファイアウォールの状態（パケットフィルタの設定など）が変更され、設定を動的に変更できる。

　例えばノートPCを社内のドメインネットワークで利用している場合は、フィルタの設定を緩和して社内からのリモート管理を有効にする。出張先などへ持ち出している場合は、外部からのアクセスを全て禁止してセキュリティを高める、といった運用方法で利用する。

　この2種類のプロファイルはネットワークの状況に応じて自動的に選択され、適用されるので、ユーザー自身で切り替える必要はない。

ネットワークによるプロファイルの切り替え
接続されているネットワークに応じて、利用するプロファイルが切り替えられる。これにより、社内にいるときはフィルタ設定を緩和し（ドメインプロファイルを利用する）、社外へ持ち出したときは厳密なフィルタ設定を利用する（標準プロファイルを利用する）、といった運用が可能になる。この切り替えは、ネットワークの状態に応じて動的に行われる。

【Windows XP SP2／Server 2003】Windowsファイアウォールのプロファイルの種類

　Windows XP SP2／Windows Server 2003のWindowsファイアウォールで利用できるプロファイルは2種類あり、それぞれ次のような違いある。

　現在どのプロファイルが利用されているかは、「netsh」コマンドで確認できる。

　なおWindows Vistaでも、互換性のためにこの2種類のプロファイル（および「netsh firewall」コマンド）はそのまま利用できる。

　しかしWindows VistaではWindowsファイアウォールが強化されており、より高度な機能が利用できる。それらの拡張機能は、以上のプロファイルではなく、以下で述べる3種類のプロファイルに格納されている。

【Windows Vista】Windowsファイアウォールのプロファイルの種類

　Windows VistaのWindowsファイアウォールで利用できるプロファイルは上記のOSよりも拡張され、3種類ある。

　ただし実際には互換性のため、従来のファイアウォールと同等の機能は従来通りドメインプロファイルと標準プロファイルで管理し、新たに導入された機能は、下表の3種類のプロファイルで管理することになっている。

　GUIの管理ツールでいえば、前者は「Windowsファイアウォール」に、後者は「セキュリティが強化されたWindowsファイアウォール」にそれぞれ対応している。

　この例で分かるように、「netsh firewall」のプロファイルとは別に、「netsh advfirewall」でも別にプロファイルが管理されている。

　また［セキュリティが強化されたWindowsファイアウォール］ツールで、左側のツリーから［監視］を選ぶと、真ん中のウィンドウに現在アクティブなプロファイルが、例えば「パブリック プロファイルがアクティブです」のように表示される。

「Tech TIPS」