Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windows XPのファイアウォール機能を活用する(2)

デジタルアドバンテージ
2001/12/13

操作方法

 ファイアウォール機能は、各ネットワーク・インターフェイスやダイヤルアップ接続ごとに有効/無効にできるが、通常はインターネットに接続されている側のインターフェイスでのみ有効にしておく。インターネットの接続共有機能(Internet Connection Sharing:ICS)を使っている場合には、システムに2つのネットワーク・インターフェイスが装備されているはずだが、ファイアウォール機能はインターネット側(ルータやダイヤルアップ接続に使っているインターフェイス側)でのみ有効にし、ローカルのLAN側では無効にしておく。さもないと、LAN内の他のマシンとのファイル共有や、ネットワーク・プリンタの利用ができなくなってしまうからだ。

 ファイアウォールを有効にするには、まず[スタート]メニューから[接続]−[すべての接続の表示]を選び(もしくは[コントロール パネル]の[ネットワークとインターネット接続]−[ネットワーク接続]を選ぶ)、「ネットワーク接続」のウィンドウを表示させる。そして目的のネットワーク・アイコンを選択して右クリックし、ポップアップ・メニューから[プロパティ]を表示させる。

Windows XPにおけるファイアウォールの設定
ファイアウォール機能を有効にするには、インターネットに接続している側のネットワークやダイヤルアップ接続のアイコンを右クリックして、ポップアップ・メニューから[プロパティ]を起動する。
  こちらはローカルのLAN側のインターフェイス。ファイアウォールを有効にすると、ローカルのマシン同士でのファイル交換やリモート印刷機能などが利用できなくなるので注意。
  こちらはインターネット接続共有に使用しているインターネット側のイーサネット・インターフェイス。こちらのインターフェイスでファイアウォールを有効にすること。
  ファイアウォール機能を利用するには、この[プロパティ]を選択する。→

 [プロパティ]メニューの[詳細設定]タブをクリックすると、ファイアウォールの設定やインターネット接続共有の設定ダイアログが現れる。ただし後者は、マシンに2つ以上のネットワーク・インターフェイスが装着されていないと表示されない。

 ファイアウォール機能を利用するには、上側の「インターネット接続ファイアウォール」のチェックボックスをオンにする。基本的にはこれだけでかまわないのだが、ログの設定などを行うためにはさらに[設定]ボタンをクリックする(デフォルトでは、ログ・機能はオフになっている)。

ファイアウォールを有効にする
[プロパティ]ダイアログの[詳細設定]タブをクリックすると、ファイアウォールやインターネット接続共有の詳細な設定を行うことができる。チェックボックスをオンにするだけで、それぞれの機能を有効にすることができる。
  [詳細設定]タブを選択して、それぞれの機能を有効にする。
  ファイアウォール機能を有効にするには、これをオンにする。デフォルトではすべてオフなので、他のマシンとファイル共有などが可能になっているが、インターネット側からの不正なアクセスなどもブロックされないので、このままでは危険である。インターネット側のインターフェイスでは必ずファイアウォールを有効にしておこう。
  システムに2つ以上のネットワーク・インターフェイス(イーサネット・カードやモデム/TAによるダイヤルアップ接続など)がある場合には、この「インターネット接続の共有(ICS:Internet Connection Sharing)」が利用できる。ICSの詳細については「TIPS:Windows 2000/Windows XPのICSを活用する(NATを利用する方法)」を参照していただきたい。
  ファイアウォールの詳細な設定を行うにはこれを押す。→

 上の画面のチェックボックス()をオンにすると、すぐにパケット・フィルタが有効になり、ファイアウォール機能が働くようになる。しかしこれだけでは、ファイアウォールの動作ログがどこにも残らないので、本当にパケット・フィルタが働いているかどうか、つまり外部からの不正なアクセスがすべてブロックされているかどうかを簡単に知ることはできない。もし設定を間違っていても気が付かない(例えばファイアウォールを有効にするインターフェイスを取り違えていたなど)。そこでファイアウォールが正しく機能しているかどうかを知るためにも、必ずログを残すようにしておきたい。ログを有効にするには、[設定]ボタンを押す。

 記録するログの種類としては、「ドロップしたパケットのログ」と「成功した接続のログ」の2種類があるが、通常はドロップした方のログだけを取っておけば十分だろう。成功した接続のログ(許可された通信のログ)を記録すると、ログ・ファイルのサイズが非常に大きくなるので注意が必要である。通常こちらは、アプリケーションが使用しているプロトコルを調査する場合など、必要なときにのみオンにするとよいだろう。ログ・ファイルが指定されたサイズになると、新しくファイルが作成され(デフォルトでは“pfirewall.log”)、元のファイルは(デフォルトでは)“pfirewall.log.old”という名前に変更されて保存される(このとき、さらにその前に作成された“pfirewall.log.old”は削除される)。

ファイアウォールのログ設定
「詳細設定」ダイアログを使うと、サポートするサービス(プロトコル)やログの詳細を設定することができる。
  ローカルのLAN上のマシンで稼動しているサービスを、インターネット側に公開する場合に使用する。
  ファイアウォール関係の設定はこのタブで行う。
  ファイアウォールでブロックされたパケットのログを記録する。
  ファイアウォールでブロックされなかったパケット、つまり正常にファイアウォールを通過したパケットのログを記録する。
  ログ・ファイル名。ログは単純なテキスト・ファイルなのでメモ帳などで開いてその内容を確認することができる。
  ログ・ファイルのサイズ。最大32,767Kbytes(32Mbytes)まで記録することができる。それを超えると、pfirewall.log.oldという名前に変更され、新しいログ・ファイルが作成される(それ以前のpfirewall.log.oldファイルは削除される)。
  ICMPプロトコルの制御をする場合に使用する。→

 ファイアウォール機能を使うには、この設定だけで十分である。ときどきファイアウォールのログ・ファイルをメモ帳などで開いて、正しく機能しているかどうかを確認しておこう。何時間か連続してインターネットに接続していれば、必ずDROPに該当するパケットの記録が残っているであろう。もしそうでなければ、外部から(インターネット上の他のホストから)接続してみて(Webブラウザで、該当マシンに割り当てられているIPアドレスへ直接接続してみるとよいだろう)、正しくパケットがブロックされているかどうかを調べておこう。

 ところでファイアウォール機能を有効にしていると、使用しているプロバイダやメール・サーバによっては、メールの送受信などの際に何十秒か待たされるという症状が発生することがある。この原因のひとつとして、ident(identification)プロトコルによる認証待ちが発生しているということが考えられるが、このような場合はidentに対して特別な処理([サービス]タブを使って、identサービスを許可させる)を行う必要がある。詳細については「TIPS:電子メールの送受信が異常に遅い」を参照していただきたい。

ICMPとファイアウォール

 ファイアウォールの設定ダイアログには、ICMPの設定のためのタブも用意されている。ICMP(Internet Control Message Protocol)は、TCP/IPの補助プロトコルであり、通信中に生じたさまざまなエラー情報などを伝達するために使われる。ホストの到達可能性を調べるためのpingコマンドは、このICMPプロトコルを使って実現されている。あるホストがIP的(ネットワーク的)に到達可能かどうかを調べるためにはpingコマンドを使うのが一般的であるが、Windows XPのファイアウォール機能を有効にすると、このpingコマンドにすら応答しなくなってしまう。通常はこれでも問題ないだろうが、外部からマシンが「生きているか」どうかを調べたりするには、このpingに応答するようになっていた方が便利な場合もある。例えば、リモート・デスクトップやリモート・アシスタンス、Telnetなどで相手のマシンにログオンしようとする場合、うまくつながらないようならば、まずpingコマンドで相手のマシンとネットワーク的につながっているかどうかを調べるだろう。そのためにも、pingに対する応答は可能なほうが便利である。ただし、ローカルのマシンから外部(インターネット)へ向けたpingは常に利用できるので、わざわざ設定する必要はない。セキュリティ的なことを考えると(非常に大きなパケット・サイズを指定したpingコマンドは、ネットワークの調査というよりは、回線の負荷を高める一種のクラックの手段である)、必要もないのにpingの着信を許可する必要はないだろう。必要最低限の間だけ有効にすればよい。

 pingの着信を許可するには、ICMPの設定ダイアログで、「エコー要求の着信を許可する」をオンにすればよい。「エコー要求」とは、ICMPのサブコマンドの1つで、pingが送信するコマンド・パケットのことである。この要求を受けた側では、同じデータをパケットの送信元へ送り返すことにより、お互いが通信できることを確認している。End of Article

ICMPの設定
ここではICMPメッセージを送信したり、受信したりするかどうかを制御する。Windows XPのファイアウォールを有効にすると、これらのICMPメッセージはすべて無視されるので(送信もしないし、受信もしない)、場合によっては通信に支障が出ることがある(一般的なクライアント用途ではまず関係ないが)。必要に応じてこれらのメッセージを制御することができる。<
  pingの着信とそれに対する応答を許可(送信)するかどうかを決める。pingの発信は常に許可されている。
 
関連記事(Windows Server Insider)
  Windows TIPS:Windows 2000/Windows XPのICSを活用する(NATを利用する方法)
  Windows TIPS:電子メールの送受信が異常に遅い
     
 

 INDEX
  [Windows TIPS]
     Windows XPのファイアウォール機能を活用する(1)
   Windows XPのファイアウォール機能を活用する(2)
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間