Windowsファイアウォールの「プロファイル」を知るTech TIPS

Windows OS標準装備のファイアウォール「Windowsファイアウォール」を設定/管理しようとしたとき、「プロファイル」という単語を目にしたことがないだろうか? このプロファイルの基本的な概念や動作、種類について簡単にまとめる。

» 2007年06月22日 05時00分 公開
[打越浩幸デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

Windowsファイアウォールの「プロファイル」を知る

対象:Windows XP/Windows Vista、Windows Server 2003


Windows OS標準の「Windowsファイアウォール」を設定/管理したい!

 Windows XP SP2やWindows Server 2003、Windows Vistaには、標準で「Windowsファイアウォール」というファイアウォール機能が含まれている。このファイアウォールを設定/管理するためには、「プロファイル」という動作モードについて知っておく必要がある。

 GUI画面([コントロール パネル]の[Windowsファイアウォール])で操作する場合はプロファイルを意識することはない。一方、「netsh」コマンドやグループポリシーなどで管理する場合には、使い分ける必要がある。

 本Tech TIPSでは、このプロファイルについて簡単にまとめておく。より詳細な説明については、以下の解説記事を参照していただきたい。

Windowsファイアウォールの「プロファイル」とは

 Windowsファイアウォールのプロファイルとは、ネットワークの接続状況に応じて、Windowsファイアウォールの動作モードのセットを切り替えるための機能である。プロファイルを切り替えると、そこで定義されている設定に基づいて、ファイアウォールの状態(パケットフィルタの設定など)が変更され、設定を動的に変更できる。

 例えばノートPCを社内のドメインネットワークで利用している場合は、フィルタの設定を緩和して社内からのリモート管理を有効にする。出張先などへ持ち出している場合は、外部からのアクセスを全て禁止してセキュリティを高める、といった運用方法で利用する。

 この2種類のプロファイルはネットワークの状況に応じて自動的に選択され、適用されるので、ユーザー自身で切り替える必要はない。

ネットワークによるプロファイルの切り替え ネットワークによるプロファイルの切り替え
接続されているネットワークに応じて、利用するプロファイルが切り替えられる。これにより、社内にいるときはフィルタ設定を緩和し(ドメインプロファイルを利用する)、社外へ持ち出したときは厳密なフィルタ設定を利用する(標準プロファイルを利用する)、といった運用が可能になる。この切り替えは、ネットワークの状態に応じて動的に行われる。

【Windows XP SP2/Server 2003】Windowsファイアウォールのプロファイルの種類

 Windows XP SP2/Windows Server 2003のWindowsファイアウォールで利用できるプロファイルは2種類あり、それぞれ次のような違いある。

プロファイル 意味
ドメインプロファイル (DOMAIN Profile) コンピュータがActive Directoryドメインネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループネットワークではなく)ドメインネットワークに参加しており、さらに、ネットワークがアクティブ(ドメインコントローラと通信が可能)な状態にあれば、このプロファイルが使用される
標準プロファイル (STANDARD Profile) ドメインプロファイルが利用できない場合に利用されるプロファイル。ドメインネットワークからコンピュータを切り離した(ドメインコントローラと通信ができない場所へ移動した)ときに利用される。またワークグループネットワーク構成の場合には、常にこのプロファイルが利用される
【Windows XP SP2/Server 2003】Windowsファイアウォールのプロファイル
これらのOSでは、2種類のプロファイルがサポートされている。

 現在どのプロファイルが利用されているかは、「netsh」コマンドで確認できる。

C:\>netsh ……netshコマンドの起動
netsh>firewall ……firewallコンテキストへの切り替え
netsh firewall>show currentprofile ……確認コマンド

DOMAIN のプロファイルの構成 (現在): ……結果
----------------------------------------------------------

netsh firewall>

【Windows XP SP2/Server 2003】利用中のプロファイルを「netsh」コマンドで確認する

 なおWindows Vistaでも、互換性のためにこの2種類のプロファイル(および「netsh firewall」コマンド)はそのまま利用できる。

 しかしWindows VistaではWindowsファイアウォールが強化されており、より高度な機能が利用できる。それらの拡張機能は、以上のプロファイルではなく、以下で述べる3種類のプロファイルに格納されている。

【Windows Vista】Windowsファイアウォールのプロファイルの種類

 Windows VistaのWindowsファイアウォールで利用できるプロファイルは上記のOSよりも拡張され、3種類ある。

 ただし実際には互換性のため、従来のファイアウォールと同等の機能は従来通りドメインプロファイルと標準プロファイルで管理し、新たに導入された機能は、下表の3種類のプロファイルで管理することになっている。

 GUIの管理ツールでいえば、前者は「Windowsファイアウォール」に、後者は「セキュリティが強化されたWindowsファイアウォール」にそれぞれ対応している。

プロファイル 意味
ドメインプロファイル (DOMAIN Profile) コンピュータがActive Directoryドメインネットワークに接続されている場合に利用されるプロファイル。コンピュータが(ワークグループネットワークではなく)ドメインネットワークに参加しており、さらに、ネットワークがアクティブ(ドメインコントローラと通信が可能)な状態にあれば、このプロファイルが使用される
プライベートプロファイル (Private Profile) ドメインネットワークではなく、個人の自宅やワークグループ構成のネットワークなど、小規模なネットワークで利用されるプロファイル。以下のパブリックプロファイルと比べると、お互いのコンピュータ同士の参照が可能になるなど、ややセキュリティ設定が緩和されている。初期セットアップ時に職場や家庭を選択した場合に利用される
パブリックプロファイル (Public Profile) 上のいずれでもない場合に利用されるプロファイル。外部からの参照などが禁止される、一番制約の厳しいプロファイル
【Windows Vista】Windowsファイアウォールのプロファイル
Windows Vistaでは新たに3種類のプロファイルが追加されている。「ドメインプロファイル」という名称は共通でも、これらのプロファイルを操作するには、「netsh firewall」コマンドではなく、「netsh advfirewall」コマンドで行う(「firewall」コンテキストではなく、「advfirewall」コンテキストで利用される)。

C:\>netsh ……netshコマンドの起動
netsh>firewall ……firewallコンテキストへの切り替え
netsh firewall>show currentprofile ……確認コマンド

STANDARD のプロファイルの構成 (現在): ……結果
---------------------------------------------------------

netsh firewall>advfirewall ……advfirewallコンテキストへの切り替え
netsh advfirewall>show currentprofile ……確認コマンド

パブリック プロファイル 設定: ……結果
---------------------------------------------------------
State                                 ON
Firewall Policy                       BlockInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO ストアのみ)
LocalConSecRules                      N/A (GPO ストアのみ)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

ログ:
LogAllowedConnections                 Disable
LogDroppedConnections                 Enable
FileName                              C:\Windows\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096

OK

netsh advfirewall>

【Windows Vista】利用中のプロファイルを「netsh」コマンドで確認する

 この例で分かるように、「netsh firewall」のプロファイルとは別に、「netsh advfirewall」でも別にプロファイルが管理されている。

 また[セキュリティが強化されたWindowsファイアウォール]ツールで、左側のツリーから[監視]を選ぶと、真ん中のウィンドウに現在アクティブなプロファイルが、例えば「パブリック プロファイルがアクティブです」のように表示される。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。