運用
ネットワーク管理者のための
Windows XP SP2レビュー(前編)

2.ファイアウォール機能(1)

デジタルアドバンテージ
2004/08/18

コントロール・パネルに追加されたアイコン

 XP SP2の大きな特徴はそのセキュリティ機能にあるが、コントロール・パネルにはそのセキュリティ機能を集中的に管理する[セキュリティ センター]を起動するためのアイコンが追加される。また[Windowsファイアウォール]というアイコンも追加されるが、これは[セキュリティ センター]から起動することもできる。

コントロール・パネルに追加されたアイコン
XP SP2では、セキュリティ関連のいくつかのアイコンが追加されている。
  Windowsファイアウォールの設定。
  セキュリティ・センター。
  新しい自動更新クライアント。

 また、ウイルス対策ソフトウェアがインストールされていなかったり、自動更新やWindowsファイアウォールが無効であるといった、システムのセキュリティに問題があるような場合には、システム・トレイにセキュリティ・センターのアイコンが表示され、システムが安全ではないというメッセージが表示される。

セキュリティ・センターからのアラート表示
システムの安全性に問題があると考えられる場合には、このようにバルーン表示で通知される。
  ウイルス対策ソフトウェアがインストールされていない場合のメッセージ。ただしウイルス対策ソフトウェアはWindows OSには組み込まれていないので、別途購入する必要がある。

セキュリティ・センター

 セキュリティ・センターは、ファイアウォールや自動更新、ウイルス対策ソフトウェアなどを集中的に管理するためのツールである。いずれかの機能がシステムにインストールされていなかったり、無効にされていると、その旨が表示される。

セキュリティ・センター
システムのセキュリティを保つための総合的なツール。
  システム標準のファイアウォールを有効にした状態。
  自動更新を有効にした状態。
  ウイルス対策ソフトウェアが入っているが、最新版ではないのでこのように表示されている。
  インストールされているソフトウェアの名称。XP SP2のリリースに合わせて、各社からXP SP2への対応版がリリースされる予定なので、最新のものを導入しておきたい。

XP SP2のファイアウォール機能

 XP SP2のファイアウォール機能は従来のものより強化され、より高機能で、安全性の高いものになっている。機能を簡単にまとめると次のようになる。

新機能 意味
セキュリティ・センター ファイアウォールや自動更新、ウイルス対策ソフトウェアまでも含めた総合的な管理機能
ダイナミック・パケット・フィルタ アプリケーションの起動とともにパケット・フィルタがオープンされ、終了とともにクローズされる。これにより高いセキュリティを実現する
グループ・ポリシーによる集中管理 ファイアウォールの動作をグループ・ポリシーで制御することができるので、ドメインで集中管理することができる
プロファイル ファイアウォールの動作モードや設定などをプロファイルとして保存し、ドメイン参加時と不参加時でプロファイルを切り替えることができる
netshによる操作 netshというネットワーク機能の制御用シェル・コマンドも機能が拡張され、コマンドライン・ベースでファイアウォールの制御ができるようになった
グローバル・パケット・フィルタ 従来のICFにおける、ネットワーク接続ごとのファイアウォールに加え、あらたにグローバルに作用するファイアウォール機能が装備された
スタートアップ・セキュリティ 従来のICFでは、システム起動時にファイアウォールが機能しない空白時間があった。XP SP2ではこの空白時間をなくし、安全性を高めている
ファイアウォールAPI アプリケーションから呼び出し可能なファイアウォールAPIを用意することにより、きめ細かいパケット・フィルタなどの制御が可能になる
XP SP2のファイアウォールの主な新機能

 XP SP2をインストールすると、「Windows ファイアウォール」機能が自動的にオンになり、外部からの不必要なアクセスを防ぐモードに設定される。このファイアウォールの状態は、上の「Windows セキュリティ センター」の画面で[Windows ファイアウォール]をクリックするか、[コントロール パネル]の[Windows ファイアウォール]をクリックすると表示される。

Windowsファイアウォールの設定画面
XP SP2のファイアウォールの設定は、すべてこの画面から行う。
  Windowsファイアウォールの有効/無効の設定。全部で3つの動作モードがある。
  ファイアウォールを有効にするモード。
  ファイアウォールを有効にし、かつ例外を一切認めないモード。外部からのアクセスがないシステムの場合はこれにする。
  ファイアウォールを無効にするモード。

 この画面だけではいまひとつ分かりづらいが、従来のICF(インターネット接続ファイアウォール)と比較すると、機能的には大きな違いがある。その最も大きな違いは、ファイアウォールのグローバルな(全体的な)設定が可能になったということであろう。

グローバルなフィルタとネットワーク接続ごとのフィルタ

 XP SP2のパケット・フィルタは、従来のICFのようにネットワーク接続ごとに適用するだけでなく、グローバルにも適用することができる。だがこの2種類のフィルタの機能は大きく異なっているので、注意して使い分ける必要がある。いずれのパケット・フィルタも、「デフォルトでは外部からの着信するすべての通信をブロックし、指定されたものだけ受け入れるように動作する」という点では同じであるが、少し機能が異なっている。簡単にまとめると次のようになる。

従来のネットワーク接続ごとのパケット・フィルタ
 これはWindows XPの最初のバージョンから搭載されているパケット・フィルタであり、XP SP2になってもその機能は変わっていない。デフォルトではすべての着信パケットをブロックするが、指定した「プロトコル(TCPかUDPか)」および「ポート番号」のパケットについては、着信を許可する。パケットの送信元IPアドレスを限定することはできない。各インターフェイスごとに個別にフィルタ・ルールを定義することができる。

XP SP2の新しいグローバルなパケット・フィルタ
 ネットワーク接続ごとではなく、システム全体で共通に利用されるグローバルなパケット・フィルタ。「プロトコル(TCPかUDPか)」と「ポート番号」による着信の許可だけでなく、ある特定の「アプリケーション」に対する着信を許可することができる。さらにパケットの「送信元のIPアドレス範囲」を限定することができる。グローバル・ポリシーで制御することも可能(ドメインで集中管理することができる)。

 XP SP2ではこれら2種類のパケット・フィルタを組み合わせ、セキュアなネットワーク環境を実現している。ただしいずれのパケット・フィルタも、外部(ネットワーク)から内部(自分自身)への受信(着信)方向の通信はフィルタの対象としているが、内部から外部への通信(発信)については制御していない。このような「高度な」フィルタリングを行うためには、市販のファイアウォール・ソフトウェアを導入する必要がある。

 上の画面で分かるように、XP SP2のWindowsファイアウォールには、全部で3通りの動作モードがある。

動作モード 機能
ファイアウォール有効(例外あり) ファイアウォールが有効であり、許可されたものに限っては外部から内部への通信(着信)が可能なモード。ファイル共有サービスやリモート・デスクトップ接続など、サーバ的な用途に使われるコンピュータに向いたモード。
ファイアウォール有効(例外なし) ファイアウォールが有効であり、かつ、外部から内部への通信(着信)は一切許可しないモード。完全なクライアント用途のコンピュータに向いたモード。安全性が高いので、可能ならばこのモードで運用することが望ましい。
ファイアウォール無効 ファイアウォールが無効なモード。勧められない。
XP SP2のWindowsファイアウォールにおける3つの動作モード
 

 INDEX
  [運用]
  ネットワーク管理者のためのWindows XP SP2レビュー(前編) 
    1.XP SP2の概要とインストール
  2.ファイアウォール機能(1)
    3.ファイアウォール機能(2)
    4.ファイアウォール機能(3)
  ネットワーク管理者のためのWindows XP SP2レビュー(後編) 
    5.Internet Explorerの機能強化
    6.Outlook Expressのセキュリティ機能
    7.データ実行保護機能(DEP)
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT