運用
ネットワーク管理者のための
Windows XP SP2レビュー(前編)

4.ファイアウォール機能(3)

デジタルアドバンテージ
2004/08/18

例外ルールの自動追加

 あらかじめ用意されていない例外ルールでも、場合によっては自動的に追加される場合がある。以下は、コマンド・プロンプト上でftp.exeを実行中に表示されたダイアログである。コマンド・プロンプトを開いてどこかのftpサーバに接続し、「dir」というコマンドを実行したところ、このようなダイアログが表示された。

ルールの自動追加ダイアログ
現在のセキュリティ(ファイアウォール・ルール)に違反するアクセスが認められた場合、そのアクセスを今後どうするかを決める。
  プログラムの名称。
  新しい例外ルールとして定義するが、有効にはしない。
  新しい例外ルールとして定義し、有効にする。
  例外ルールを定義しない。

 ftp.exeは、ftpサーバと接続してファイルを送受信するためのコマンドであるが、その実行途中では、外部(ftpサーバ側)からローカル(ftp.exeを実行している側のコンピュータ)に対してTCP接続が行われる。つまり外部からTCP通信の着信が行われる。

 XP SP2では、このような状況を検出し、そのアプリケーション・プログラムに対して今後もそのような着信を受け付けるか、それともブロックし続けるかを自動的に判定する機能を持っている。この画面で[ブロックを解除する]を選択すると、新たにftp.exeからの通信を許可するための例外ルールが作成され、登録される。実際には、次のようにftp.exeプログラムが例外ルールに登録される。

ローカル・プログラムの例外の定義
ある特定のプログラムが動作している場合、そのプログラムに対する着信を許可するためのルール。
  プログラム名
  特定のスコープでのみ通信を許可するにはこれを使う。

 このように、例外ルールには、単なるTCPやUDPのポート指定のパケット・フィルタ(「ローカル・ポートの例外」という)だけでなく、ftp.exeといったプログラムによるルールも定義される(「ローカル・プログラムの例外」という)。いったん例外ルールが定義されると、このプログラムが動作している場合にだけパケット・フィルタがオープンし、外部からの通信を受け入れるようになる。そしてプログラムが終了するとポートを閉じ、外部からの不正な侵入を防ぐようになっている(「ダイナミック・パケット・フィルタ」という)。これが従来のICFにおけるファイアウォールの設定と異なるところである。

ネットワーク接続ごとのパケット・フィルタ

 さてここまではXP SP2から導入されたグローバルなパケット・フィルタの設定例であったが、XP SP2には、従来のものと同様のパケット・フィルタも依然として用意されている。こちらはネットワーク接続ごとに有効/無効を設定することができるが、送信元IPアドレスでフィルタしたり、プログラムの動作状況に応じて動的にフィルタを開閉したりすることはできず、グループ・ポリシーやnetshで制御することもできない。

 しかしネットワーク接続(ネットワーク・インターフェイス)ごとにフィルタを設定できる方が便利な場合もあるので(例えばネットワーク・カードの2枚差しシステムで、インターネット側からのトラフィックを完全にブロックするなど)、状況に応じて使い分けるとよいだろう。基本的な設定はグローバルなパケット・フィルタ(の例外フィルタ)で設定し、特定のネットワーク接続でのみ、さらに多くの例外フィルタを設定する、という使い方が一般的になるだろう。

 ネットワーク接続ごとのフィルタ設定を行うには、Windowsファイアウォールの[詳細設定]タブを利用する。この中に[ネットワーク接続の設定]というフィールドがあり、ここには現在利用可能なネットワーク接続が一覧表示されている。対象となるネットワーク接続を選んで[設定]をクリックすればよい。

Windowsファイアウォールの詳細設定
Windowsファイアウォールでは、従来のICFのように、ネットワーク接続(インターフェイス)ごとにフィルタをかけることもできる。
  利用可能なネットワーク接続。チェック・ボックスの付いているインターフェイスでファイアウォールが有効になる。すべてのチェック・ボックスを外すと、Windowsファイアウォールそのものを無効にしているのと同じになるので注意。
  ネットワーク接続ごとの設定を変更するにはこれをクリックする。
  ログ・ファイルの設定。ログはWindowsファイアウォール全体で1つのみ。
  ICMPのグローバルな設定。これ以外に、ネットワーク接続ごとにもICMPを設定することができる。

 上の画面でネットワーク接続を選んでから[設定]をクリックすると、次のような設定画面が表示される。この部分は従来のICFと同じなので、戸惑うことはないだろう。先ほどのグローバルなパケット・フィルタと比べると、こちらはアプリケーション(サービス)が動作しているかどうかにかかわらず常にオープン(クローズ)している、静的なパケット・フィルタである。

ネットワーク接続ごとのサービス(例外ルール)の定義
特定のネットワーク接続(インターフェイス)でのみサービスを受け付けるようにするには、グローバル設定ではなく、ここで設定を行う。XP SP2のデフォルトでは、WebサーバやSMTPサーバなどに対する許可設定は、グローバル側ではなく、このネットワーク接続側に用意されている。
  サービス(例外)の設定。
  許可するサービス。

 この中に[FTP サーバー]とか[Web サーバー (HTTP)][インターネット メール サーバー(SMTP)]があることからも分かるように、これらのサービスを利用したい場合あは、このネットワーク接続ごとのフィルタで設定すればよい。具体的には、IISなどを利用している場合は、[FTP サーバー]や[Web サーバー (HTTP)]のチェック・ボックスをオンにすればよい。これを忘れていると、XP SP2をインストールするとWebアクセスができなくなってしまうので注意が必要である。

 ところでこれらと同じ意味のフィルタは、グローバル側の例外ルールとしても定義できるし、実際、機能するようだが、不要なネットワーク接続からのアクセスを明示的に禁止するためには、こちらのフィルタを利用するとよいだろう。

 [ICMP]タブでは、そのネットワーク接続におけるICMPを許可するかどうかを設定する。ネットワークの監視業務ではpingに応答するかどうかでシステムが稼働中かどうかを判断することが多いので、pingコマンドに対する応答などを許可したければ、[エコー要求の着信を許可する]のチェック・ボックスをオンにしておけばよいだろう。

ネットワーク接続ごとのICMP設定
ネットワーク接続ごとにもICMP設定を行うことができる。
  ICMPの設定。
  pingに対するecho着信などを許可するためには、これをオンにする。

 なお、このICMPに対する許可設定は、ネットワーク接続ごとではなく、グローバル側の設定にもあるので(グローバル側でオンにすれば、ネットワーク接続側では設定しなくてもよい)、目的に応じて使っていただきたい。パケット・フィルタと同様に、インターフェイスごとに設定するか、システム全体で許可するかで使い分けることができる。

ファイアウォール・ログ

 パケット・フィルタのログ機能は従来のWindows XPのものとほぼ同じままである。ただしインターフェイスごとではなく、Windowsファイアウォール全体で1カ所しか設定場所がないため(Windowsファイアウォールの[詳細設定]タブ)、以前のように混乱することは少ないであろう(以前はネットワーク接続ごとに設定する場所があったため)。

ログの設定
ファイアウォールのログは、Windowsファイアウォール全体で1カ所しかない。
  ブロックされたパケットのログを記録するにはこれをクリックする。
  成功したパケットのログの記録。通常は不要だろう。
  ログ・ファイル名の指定。
  ログ・サイズ。

netshによるファイアウォール制御

 netshは、コマンドラインでネットワークの機能を制御するためのシェルである。XP SP2ではファイアウォール関連の機能が大幅に拡張され、GUIで可能なことや、それ以上のことが制御できるようになっている。netshのコマンド・スクリプトをテキスト・ファイルなどに記述しておけば、多くのコンピュータに対して簡単に(同一の)設定を適用することができる。

C:\>netsh firewall show config ……設定の表示

DOMAIN プロファイルの構成: ……ドメイン参加時の設定
-------------------------------------------------------------------
操作モード = Enable ……動作モード
例外       = Enable
マルチキャスト/ブロードキャスト応答モード = Enable
通知モード = Enable

DOMAIN プロファイルのサービスの構成:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          リモート デスクトップ

DOMAIN プロファイルでの許可されたプログラムの構成:
Mode     Name / Program
-------------------------------------------------------------------
Enable   リモート アシスタンス / C:\WINDOWS\system32\sessmgr.exe

DOMAIN のポートの構成:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
3389   TCP       Enable   リモート デスクトップ

STANDARD のプロファイルの構成 (現在):
-------------------------------------------------------------------
操作モード = Enable
例外       = Enable
マルチキャスト/ブロードキャスト応答モード = Enable
通知モード = Enable

STANDARD プロファイルのサービスの構成:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          リモート デスクトップ
(…以下省略…)
 

 INDEX
  [運用]
  ネットワーク管理者のためのWindows XP SP2レビュー(前編) 
    1.XP SP2の概要とインストール
    2.ファイアウォール機能(1)
    3.ファイアウォール機能(2)
  4.ファイアウォール機能(3)
  ネットワーク管理者のためのWindows XP SP2レビュー(後編) 
    5.Internet Explorerの機能強化
    6.Outlook Expressのセキュリティ機能
    7.データ実行保護機能(DEP)

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT