Windows TIPS

［Network］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Windowsファイアウォールのプロファイルを知る デジタルアドバンテージ　打越 浩幸 2007/06/22 　 対象OS Windows XP Windows Server 2003 Windows Vista

■ Windowsファイアウォールの動作設定などは「プロファイル」に保存され、ネットワークの状況に応じて切り替えられる。 ■ Windowsファイアウォールで利用されるプロファイルは、ドメイン・プロファイルと標準プロファイルの2種類。 ■ Windows Vistaのセキュリティが強化されたWindowsファイアウォールで利用されるプロファイルは、ドメイン・プロファイルとプライベート・プロファイル、パブリック・プロファイルの3種類。

　

解説

　Windows XP SP2やWindows Server 2003、Windows Vistaには、標準で「Windowsファイアウォール」というファイアウォール機能が含まれている。このファイアウォールを設定、管理するためには、「プロファイル」という動作モードについて知っておく必要がある。GUI画面（［コントロール パネル］の［Windowsファイアウォール］）で操作する場合はプロファイルを意識することはないが、netshコマンドやグループ・ポリシーなどで管理する場合には、使い分ける必要がある。本TIPSでは、このプロファイルについて簡単にまとめておく。より詳細な説明については、以下の解説記事を参照していただきたい。

• システム管理者のためのXP SP2展開計画――Windowsファイアウォールの管理（Windows Server Insider）
• Windows Vistaのファイアウォールでアウトバウンド通信をブロックする（Windows TIPS）

Windowsファイアウォールのプロファイルとは

　Windowsファイアウォールのプロファイルとは、ネットワークの接続状況に応じて、Windowsファイアウォールの動作モードのセットを切り替えるための機能である。プロファイルを切り替えると、そこで定義されている設定に基づいて、ファイアウォールの状態（パケット・フィルタの設定など）が変更され、設定を動的に変更することができる。例えばノートPCを社内のドメイン・ネットワークで利用している場合はフィルタの設定を緩和して社内からのリモート管理を有効にするが、出張先などへ持ち出している場合は、外部からのアクセスをすべて禁止してセキュリティを高める、といった運用方法で利用する。この2種類のプロファイルはネットワークの状況に応じて自動的に選択され、適用されるので、ユーザー自身で切り替える必要はない。

ネットワークによるプロファイルの切り替え

接続されているネットワークに応じて、利用するプロファイルが切り替えられる。これにより、社内にいるときはフィルタ設定を緩和し（ドメイン・プロファイルを利用する）、社外へ持ち出したときは厳密なフィルタ設定を利用する（標準プロファイルを利用する）、といった運用が可能になる。この切り替えは、ネットワークの状態に応じて動的に行われる。

Windows XP SP2／Windows Server 2003のプロファイル

　Windows XP SP2／Windows Server 2003のWindowsファイアウォールで利用できるプロファイルは2種類あり、それぞれ次のような違いある。

プロファイル	意味
ドメイン・プロファイル （DOMAIN Profile）	コンピュータがActive Directoryドメイン・ネットワークに接続されている場合に利用されるプロファイル。コンピュータが（ワークグループ・ネットワークではなく）ドメイン・ネットワークに参加しており、さらに、ネットワークがアクティブな場合（ドメイン・コントローラと通信が可能な状態）にあれば、このプロファイルが使用される
標準プロファイル （STANDARD Profile）	ドメイン・プロファイルが利用できない場合に利用されるプロファイル。ドメイン・ネットワークからコンピュータを切り離した（ドメイン・コントローラと通信ができない場所へ移動した）ときに利用されるし、ワークグループ・ネットワーク構成の場合には常にこのプロファイルが利用される
Windows XP SP2／Windows Server 2003のWindowsファイアウォールのプロファイル
これらのOSでは、2種類のプロファイルがサポートされている。

　現在どのプロファイルが利用されているかは、netshコマンドで確認できる。

C:\>netsh …netshコマンドの起動 netsh>firewall …firewallコンテキストへの切り替え netsh firewall>show currentprofile …確認コマンド DOMAIN のプロファイルの構成 (現在): …結果 ---------------------------------------------------------- netsh firewall>

　なおWindows Vistaでも、互換性のためにこの2種類のプロファイル（およびnetsh firewallコマンド）はそのまま利用できる。しかしWindows VistaではWindowsファイアウォールが強化されており、より高度な機能が利用できる。それらの拡張機能は、以上のプロファイルではなく、以下で述べる3種類のプロファイルに格納されている。

Windows Vistaのプロファイル

　Windows VistaのWindowsファイアウォールで利用できるプロファイルは上記のOSよりも拡張され、3種類ある。ただし実際には互換性のため、従来のファイアウォールと同等の機能は従来通りドメイン・プロファイルと標準プロファイルで管理し、新たに導入された機能は、次で述べる3種類のプロファイルで管理することになっている。GUIの管理ツールでいえば、前者は「Windowsファイアウォール」に、後者は「セキュリティが強化されたWindowsファイアウォール」にそれぞれ対応している。

プロファイル	意味
ドメイン・プロファイル （DOMAIN Profile）	コンピュータがActive Directoryドメイン・ネットワークに接続されている場合に利用されるプロファイル。コンピュータが（ワークグループ・ネットワークではなく）ドメイン・ネットワークに参加しており、さらに、ネットワークがアクティブな場合（ドメイン・コントローラと通信が可能な状態）にあれば、このプロファイルが使用される
プライベート・プロファイル （Private Profile）	ドメイン・ネットワークではなく、個人の自宅やワークグループ構成のネットワークなど、小規模なネットワークで利用されるプロファイル。以下のパブリック・プロファイルと比べると、お互いのコンピュータ同士の参照が可能になるなど、ややセキュリティ設定が緩和されている。初期セットアップ時に職場や家庭を選択した場合に利用される
パブリック・プロファイル （Public Profile）	上のいずれでもない場合に利用されるプロファイル。外部からの参照などが禁止される、一番制約の厳しいプロファイル
Windows VistaのWindowsファイアウォールのプロファイル
Windows Vistaでは新たに3種類のプロファイルが追加されている。ドメイン・プロファイルという名称は同じであるが、これらのプロファイルを操作するには、netsh firewallコマンドではなく、netsh advfirewallコマンドで行う（firewallコンテキストではなく、advfirewallコンテキストで利用される）。

C:\>netsh …netshコマンドの起動 netsh>firewall …firewallコンテキストへの切り替え netsh firewall>show currentprofile …確認コマンド STANDARD のプロファイルの構成 (現在): …結果 --------------------------------------------------------- netsh firewall>advfirewall …advfirewallコンテキストへの切り替え netsh advfirewall>show currentprofile …確認コマンド パブリック プロファイル 設定: …結果 --------------------------------------------------------- State                                 ON Firewall Policy                       BlockInbound,AllowOutbound LocalFirewallRules                    N/A (GPO ストアのみ) LocalConSecRules                      N/A (GPO ストアのみ) InboundUserNotification               Enable RemoteManagement                      Disable UnicastResponseToMulticast            Enable ログ: LogAllowedConnections                 Disable LogDroppedConnections                 Enable FileName                              C:\Windows\system32\LogFiles\Firewall\pfirewall.log MaxFileSize                           4096 OK netsh advfirewall>

　この例で分かるように、netsh firewallのプロファイルとは別に、netsh advfirewallでも別にプロファイルが管理されている。また［セキュリティが強化されたWindowsファイアウォール］ツールで、左側のツリーから［監視］を選ぶと、真ん中のウィンドウに現在アクティブなプロファイルが、例えば「パブリック プロファイルがアクティブです」のように表示される。

	関連記事（Windows Server Insider）
		Windows TIPS：Windows Vistaのファイアウォールでアウトバウンド通信をブロックする
		Windows TIPS：Windows Vistaのファイアウォール・ログを有効にする
		Windows TIPS：Windows Vistaのファイアウォールでpingへの応答を許可する

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）