Windows サーバー セキュリティ徹底解説
- Windows Server 2003 & Windows 2000 Server 対応 -

第10章 境界部レイヤの保護(インターネット接続ファイアウォール)

吉田 かおる/岩見 和浩
2004/7/14


 
10-1 パーソナル・ファイアウォール


本記事は、@ITハイブックスシリーズ『Windows サーバー セキュリティ徹底解説』(インプレス発行)を、許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。

 通常のファイアウォールは、インターネットと会社の内部のネットワークの間に設置し、パケットフィルタリングを行うことにより不正なアクセスから会社の内部ネットワークのコンピュータを守ります。企業の場合は、高価なファイアウォールを使用して外部のネットワークから内部のコンピュータを保護しています。

 ここ数年、個人でもインターネットに常時接続することが多くなり、インターネットからの攻撃に対し防御を行う必要が出てきました。また、企業内でもウィルスに感染したほかのコンピュータからの感染を防ぐ必要が出てきています。このような場合、それぞれのコンピュータ単位でパケットフィルタリングを行う必要性があります。ネットワークとネットワークとの間のパケットフィルタリングではなく、コンピュータ単位の安価なパケットフィルタリングを行うものを「パーソナル・ファイアウォール」と呼びます。

 Windows Server 2003とWindows XPには、「インターネット接続ファイアウォール(Internet Connection Firewall)」と呼ばれるパーソナル・ファイアウォールが提供されています。

10-2 インターネット接続ファイアウォール

 インターネット接続ファイアウォールは、ステートフルなファイアウォールです。インターネット接続ファイアウォールを有効にすると、ほかのコンピュータからのアクセスは許可に設定したもの以外はすべてブロックします。また、自身から開始した通信はすべて許可します。

POINT

 Windows XP SP1とWindows Server 2003のインターネット接続ファイアウォールは、ユニキャスト、マルチキャスト、ブロードキャストのパケットをフィルタリングします。サービスパックを適用していないWindows XPはユニキャストしかフィルタリングを行いません。そのためマルチキャストを使用した攻撃に対して、無防備になっていました。

10-3 インターネット接続ファイアウォールの設定

 インターネット接続ファイアウォールを有効にするには、次のように実行します。

■手順■

(1)[スタートメニュー][コントロールパネル][ネットワーク接続]から有効にしたいネットワークインターフェイスを右クリックし、[プロパティ]をクリックします。

(2)ネットワークインターフェイスのプロパティが表示されます。[詳細設定]タブをクリックします。

図10-1 ネットワークインターフェイスのプロパティ

(3)[インターネットからのこのコンピュータへのアクセスを制御したり防いだりして、コンピュータとネットワークを保護する]チェックボックスをオンにします。OKボタンをクリックします。

 これで、インターネット接続ファイアウォールが有効になりました。このコンピュータから開始した通信に対する返信だけを受け取るようになります。ほかのコンピュータから開始した通信はすべて拒否します。

POINT

 インターネット接続ファイアウォールは、IPv4に対してだけフィルタリングを行います。IPv6に対しては、フィルタリングは行いません。


NOTICE

 Windows 2000でパケットフィルタリングを行うには、[TCP/IPフィルタリング]ダイアログボックスで設定します。

 NICのプロパティの[インターネットプロトコル(TCP/IP)]を選択して プロパティボタンをクリックします。表示された[インターネットプロトコル(TCP/IP)]ダイアログボックスの詳細設定ボタンをクリックします。[TCP/IP詳細設定]ダイアログボックスの[オプション]タブで、[TCP/IPフィルタリング]を選択しプロパティボタンをクリックします。[TCP/IPフィルタリング]ダイアログボックスが表示されます。

 [TCP/IPフィルタリング]ダイアログボックスで、パケットを通すTCPポートやUDPポート、IPプロトコルを指定します。

図10-2 パケットフィルタ

10-4 通信の許可

  インターネット接続ファイアウォールを有効にしただけでは、ほかのコンピュータからの通信はすべて拒否してしまいます。通信を許可したいプロトコルを設定します。

■手順■

(1)ネットワークインターフェイスのプロパティの[詳細設定]タブの設定ボタンをクリックします。
(2)[詳細設定]が表示されます。[サービス]タブをクリックします。

図10-3 インターネット接続ファイアウォールの詳細設定の[サービス]タブ

(3)[サービス]から接続を許可するサービスのチェックボックスをオンにします。
(4)[サービス設定]が表示されます。[ネットワークでこのサービスをホストしているコンピュータ名前またはIPアドレス(例 192.168.0.12)]にそのコンピュータのホスト名が自動的に入ります。

図10-4 サービス設定

(5)そのままOKボタンをクリックし、[サービス設定]を閉じます。
(6)OKボタンをクリックし、[詳細設定]を閉じます。もう一度OKボタンをクリックします。

 標準で定義されているサービスは、次のものです。

  • FTPサーバー(FTP)
  • Internet Mail Access Protocol Version 3(IMAP3)
  • Internet Mail Access Protocol Version 4(IMAP4)
  • Post-Office Protocol Version 3(POP3)
  • Telnetサーバー(TELNET)
  • Webサーバー(HTTP)
  • インターネットメールサーバー(SMTP)
  • セキュリティで保護されたWebサーバー(HTTPS)
  • リモートデスクトップ(RDP)

 標準で定義されているサービス以外のプロトコルを許可するには、プロトコルの定義を行います。

(1)[サービス]タブで追加ボタンをクリックします。[サービス設定]が表示されます。

図10-5 サービス設定

(2)[サービスの説明]テキストボックスに定義するプロトコルの説明を入力します。
(3)[ネットワークでこのサービスをホストしているコンピュータの名前またはIPアドレス(例192.168.0.12)]にそのサーバのコンピュータ名を入力します。
(4)許可を設定するプロトコルが[TCP][UDP]かを選択します。
(5)[このサービスの外部ポート番号]に相手から接続を許可するポート番号を指定します。
(6)[このサービスの内部ポート番号]にサービスのポート番号を指定します。

 通常は、[このサービスの外部ポート番号][このサービスの内部ポート番号]は同じにします。別のポートにして、[このサービスの外部ポート番号]で受信したポートのパケットを、[このサービスの内部ポート番号]で指定したポートのサービスにフォワードすることもできます。

Windows サーバー セキュリティ徹底解説
  第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム)
  第7章 データレイヤの保護(EFSによるファイルの暗号化)
第10章 境界部レイヤの保護(インターネット接続ファイアウォール)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間