Windowsファイアウォールの設定(後編)

今回も前回に引き続き、Windows Server 2008と同R2における[セキュリティが強化されたWindowsファイアウォール]管理ツールを取り上げる。今回は前回に取り上げられなかった[受信の規則]や[送信の規則]の新規登録や、その際の各種設定などについて説明しよう。

規則の新規作成

一覧にない規則を新規に作成して追加するには、以下の手順を使用する。こちらも既存のものと同様に、有効化と無効化の操作が可能だ。

(1) [セキュリティが強化されたWindowsファイアウォール]管理ツールを起動して、左側のツリー画面で[受信の規則]あるいは[送信の規則]を選択する。

(2) [操作]-[新しい規則]、あるいは右クリックして[新しい規則]を選択する。すると、[新規の受信の規則ウィザード]あるいは[新規の送信の規則ウィザード]が起動する。

(3) まず、規則の種類を選択する。選択肢は以下の通りだ。

• プログラム : 実行形式ファイルを単位とする
• ポート : TCP/UDPの別とポート番号の情報を単位とする
• 事前定義 : Windowsサーバの役割/機能を単位とする
• カスタム: 上の3種類に当てはまらない場合に使用する。例えば、ポート番号による指定が不可能なプロトコルについて、プロトコル番号を基準にする場合が該当する。

(4)「3.」で[プログラム]を選択した場合、次の画面でプログラムの選択を行う必要がある。選択肢は[すべてのプログラム]と[このプログラムのパス]のいずれかで、後者では実行形式ファイルのパスを指定する。

(5)次の画面で、通過の可否について指定する。[接続を許可する]だけでなく、[セキュリティで保護されている場合にのみ接続を許可する]という選択肢があるが、これはIPsec使用時にのみ通信を認めるもの。[接続をブロックする]は、明示的に通過を拒否する際に使用する。

(6) 次の画面でプロファイルを指定する。ドメイン/プライベート/パブリックのそれぞれについて、チェックボックスのオン/オフで指定する。

(7) 最後に、名前と説明を指定する。[完了]をクリックすると、設定した内容で規則を登録する。なお、「3.」で[プログラム]以外の項目を選択した場合の設定操作については、次回に取り上げる。

[カスタム]を選択してサービスを条件に使用する

[受信の規則]や[送信の規則]を登録する際には、実行形式ファイル以外にも、さまざまな条件を指定できる。先に、規則を登録する際の操作手順について記したが、以下に示す操作は、そのうち「4.」以降に該当する。

まず、[カスタム]を使ってサービスを条件に使用する際の手順について取り上げる。

前回に解説した手順の「3.」で[カスタム]を選択すると、前回に取り上げた[プログラム]と同様の選択に加えて、[カスタマイズ]というボタンが現れる。それをクリックすると表示する以下のダイアログで、条件に使用するサービスを指定する仕組みだ。

次の画面で、プロトコルの種類、プロトコル番号、ポート番号の指定を行う。ここではTCP/UDPだけでなく、ICMP、IPv4/IPv6、GREなど、さまざまなプロトコルを選択できる。それでも一覧にないプロトコルについては、カスタム]を選択してからプロトコル番号で指定する仕組みだ。(参照 : [「インターネット プロトコル番号」)

次の画面で、条件に使用するIPアドレスを、ローカルIPアドレスとリモートIPアドレスのそれぞれについて指定する。いずれも、[このIPアドレス]を選択してから[追加]をクリックすると表示するダイアログで、特定のIPアドレス、あるいはネットワークアドレスを指定する方法を用いる。

なお、ルータやレイヤー3スイッチを介してLANを複数のネットワークに区切っている場合、異なるネットワークアドレスを持つ複数のTCP/IPネットワークが存在する。そこでIPアドレスを利用した条件指定を行うと、通信できるエリアとできないエリアが発生する可能性につながるので注意が必要だ。

その他の設定

[ポート]を選択した場合は、TCP/UDPの別とローカルポート(いわゆる宛先ポート番号)を条件に指定する。最も一般的なファイアウォール設定の手法だろう。

[事前定義]を選択した場合、リストボックスで対象となる機能を選択してから次の画面に進む。そして、選択した機能の下にある個別の機能について、チェックボックスのオン/オフで条件を指定する。