Windowsサーバがファイアウォール機能を標準装備するようになったのはWindows Server 2003からだ。Windows Server 2003 SP1と同R2では、Windowsファイアウォールは初期設定では無効になっており、必要に応じて有効にする方式をとっていた。

これがWindows Server 2008から、既定値でファイアウォールを有効にした上で、追加する役割やサービスの内容に応じて、必要なところにだけ「穴」を開ける方式に変わっており、Windows Server 2012も同じだ。プロトコルだけでなく、実行形式ファイルやサービス、IPアドレスやネットワークアドレスを単位にして「穴」を開けられる点は変わっていない。

[セキュリティが強化されたWindowsファイアウォール]管理ツール

Windows Server 2012でWindowsファイアウォールを設定するには、[セキュリティが強化されたWindowsファイアウォール]管理ツールを使用する。[Win]+[Q]キーを押してアプリケーション一覧を表示させて、画面を右の方にスクロールさせると現れるので、そこから起動するのが手っ取り早いだろう。

画面左側のツリー画面で[セキュリティが強化されたWindowsファイアウォール]を選択すると、画面中央に概要を表示する。

また、この管理ツールには[受信の規則]と[送信の規則]という項目がある。ツリー画面で[受信の規則]あるいは[送信の規則]を選択すると、登録してある規則の一覧を画面中央に表示する仕組みだ。ここでいう「規則」とは「例外設定」ともいい、要は着信・送信を許可する「穴」のことである。

この[受信の規則]あるいは[送信の規則]について規則を登録したり、既存の規則の有効化や無効化を指定したりすることで、着信の受け付け、あるいは他のコンピュータへの送信を可能にする。管理ツールに登録してある規則がすべて有効というわけではなく、左側のチェックマーク付きアイコンがグレー表示になっているものは無効な規則であり、機能していない。

では、規則の有効化と無効化、表示の際に適用するフィルタ、規則の新規作成、といった順番で話を進めていくことにしよう。

規則の有効化と無効化

当初から[受信の規則][送信の規則]に登録してある規則については、役割・役割サービス・機能の追加や削除に際して、自動的に有効/無効を切り替えるようになっているので、Windows Server 2012の動作に支障をきたすことはないし、ユーザーに設定変更の負担をかけることもない。たとえば、Active Directoryの構成を行ってドメイン コントローラとして機能するように設定すると、自動的に関連するプロトコルの着信を許可する。

しかし、場合によっては手作業で規則を有効にしなければならない場合も考えられるし、自分で追加した規則についても同様だ。そこで、MMC管理ツールなどで使用するRPC(Remote Procedure Call)関連の着信許可を有効にする手順を例にとって、規則の有効/無効を切り替える方法を解説しよう。

  1. [セキュリティが強化されたWindowsファイアウォール]管理ツールを起動して、左側のツリー画面で[受信の規則]を選択する。

  2. 画面中央に、登録済みの規則一覧を表示する。そこで、これから有効化するつもりの[リモート管理(RPC)]でダブルクリックする。[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択しても同じである。

  3. 続いて表示するダイアログの[全般]タブで、[有効]チェックボックスをオンにすると規則が有効に、オフにすると規則が無効になる。なお、同じタブの下方にある[接続を許可する]は「着信を受け付ける規則」、[接続をブロックする]は「着信を拒否する規則」を意味している。

    4. [受信の規則][送信の規則]を選択すると表示する規則一覧の中から、設定を変更したい規則をダブルクリックする表示するダイアログ。[全般]タブで[有効]チェックボックスをオンにすると、その規則が有効になる。オフなら無効だ
  4. 同じダイアログの[プログラムおよびサービス]タブでは、特定の実行形式ファイル(*.EXE)、あるいはサービスを単位とする例外設定を行う。特定のアプリケーションソフトやサービスに対してのみ通信を許可する際に使用する機能だ。ただし、当初から登録してある規則については画面例のように、設定内容を変更できない場合が少なくない。

    5. 特定の実行形式ファイルやサービスを対象とする例外設定も可能
  5. [リモートコンピューター]タブでは、特定のコンピュータを単位とした許可、あるいは拒否の設定を行う。特定のコンピュータに対してのみ通信を許可、あるいは拒否する際に使用する機能だ。どちらを使用するかは、全体と比べて許可の対象が多いか、それとも拒否の対象が多いかで決めると良いだろう。許可対象が多ければ拒否するコンピュータを指定する方が楽だし、拒否対象が多ければ逆になる。

    6. コンピュータを単位とする許可/拒否設定を行える
  6. [プロトコルおよびポート]は、プロトコルの種類やプロトコル番号、ポート番号の情報を基にして、通過の可否を決定する、もっとも一般的なファイアウォール機能だ。これも、当初から登録してあるものについては以下の画面例のように、設定は変更できない。変更できるのはユーザーが登録したものだけだ。

    7. プロトコルの種類・プロトコル番号・ポート番号による例外設定は、もっとも一般的な機能といえる
  7. [スコープ]タブでは、ローカルIPアドレスとリモートIPアドレスのそれぞれについて、[これらのIPアドレス]を選択してから[追加]をクリックすると表示するダイアログで条件を指定できる。特定のネットワークに属するホストにだけ通過を許可する際に使用する機能だ。

    8. IPアドレスによる条件指定も可能になっている
  8. [プロファイル]タブでは、Windows Vistaから利用可能になったネットワークの種類選択、すなわちドメイン/プライベート/パブリックの別による例外設定を行える。ネットワークに接続した際に選択を求めてくるものだ。インターフェイスの種類についても設定できる。

    9. プロファイル別の使い分けも可能になっている
  9. 設定を確認、あるいは変更したら、[OK]をクリックしてダイアログを閉じる。この例では[受信の規則]を使用したが、[送信の規則]でも操作方法は同じである。

フィルタ機能を活用して、目的の規則を迅速に見つける

Windowsファイアウォールに登録してある規則の数はかなり多い。ユーザーが独自の規則を追加登録すれば、その数はさらに増える。なお、追加の手順については次回に取り上げるので、しばしお待ちいただきたい。

そこで目的の規則を見つけやすくするために、[セキュリティが強化されたWindowsファイアウォール]管理ツールにはフィルタ機能がある。[受信の規則]あるいは[送信の規則]で右クリックすると、以下の3種類の選択肢が現れて、それぞれのサブメニューを使って選択を行う仕組みだ。

プロファイルによるフィルタ
ドメイン/パブリック/プライベートといった、プロファイルを条件に指定するためのフィルタだ。選択肢は[すべて表示][ドメインプロファイルによるフィルター][プライベートプロファイルによるフィルター][パブリックプロファイルによるフィルター]の4種類がある。

状態でフィルタ
有効な規則、あるいは無効な規則だけを選び出して表示する。これの使用頻度がもっとも高そうだ。

グループでフィルタ
用途別の選択、たとえば特定の機能に関連する規則を探したい、といった場面で使用する。

フィルタ機能の例(グループによるフィルタ)。これは、特定の機能に関連する規則を探す際に使用する