Windowsファイアウォールの設定(前編)

しかし、Windows Server 2008からは既定値でファイアウォールを有効にしたうえで、追加する役割やサービスの内容に応じて、必要なところにだけ「穴」を開けるように変わっている。要はWindows XP SP2以降と同じ方法ということだ。プロトコルだけでなく、実行形式ファイルやサービス、IPアドレスやネットワークアドレスを単位にして「穴」を開けられる点も同様である。

[セキュリティが強化されたWindowsファイアウォール]管理ツール

Windows Server 2008と同R2でWindowsファイアウォールを設定するには、[セキュリティが強化されたWindowsファイアウォール]管理ツールを使用する。[スタート]-[管理ツール]以下から単独で起動することも、[サーバーマネージャ]で[構成]以下のツリーを展開して呼び出すこともできる。

この管理ツールには[受信の規則]と[送信の規則]という項目がある。画面左側のツリー画面で[セキュリティが強化されたWindowsファイアウォール]を選択すると、画面中央に概要を表示する。また、同じツリー画面で[受信の規則]あるいは[送信の規則]を選択すると、登録してある規則の一覧を画面中央に表示する仕組みだ。ここでいう「規則」は「例外設定」ともいい、要は着信・送信を許可する「穴」のことである。

この[受信の規則]あるいは[送信の規則]について規則を登録したり、既存の規則の有効化や無効化を指定したりすることで、着信の受け付け、あるいは他のコンピュータへの送信を可能にする。管理ツールに登録してある規則がすべて有効というわけではなく、左側のチェックマーク付きアイコンがグレー表示になっているものは無効な規則であり、機能していない。

では、規則の有効化と無効化、表示の際に適用するフィルタ、規則の新規作成、といった順番で話を進めていくことにしよう。

規則の有効化と無効化

[受信の規則][送信の規則]に登録してある規則は、役割・役割サービス・機能の追加や削除に際して、自動的に有効/無効を切り替えて、動作に支障をきたさないようになっている。例えば、Active Directoryの構成を行ってドメイン コントローラとして機能するように設定すると、自動的に関連するプロトコルの着信を許可するわけだ。

しかし、場合によっては手作業で規則を有効にしなければならない場合も考えられるし、自分で追加した規則についても同様だ。そこで、MMC管理ツールなどで使用するRPC(Remote Procedure Call)関連の着信許可を有効にする手順を例にとって、規則の有効/無効を切り替える方法を解説しよう。

1. [セキュリティが強化されたWindowsファイアウォール]管理ツールを起動して、左側のツリー画面で[受信の規則]を選択する。

2. 画面中央に、登録済みの規則一覧を表示する。そこで、これから有効化するつもりの[リモート管理(RPC)]でダブルクリックする。ダブルクリックだけでなく、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択しても同じことになる。

3. 続いて表示するダイアログの[全般]タブで、[有効]チェックボックスをオンにすると規則が有効に、オフにすると規則が無効になる。なお、同じタブの下方にある[接続を許可する]は「着信を受け付ける規則」、[接続をブロックする]は「着信を拒否する規則」を意味している。

4. 同じダイアログの[プログラムおよびサービス]タブでは、特定の実行形式ファイル(*.EXE)、あるいはサービスを単位とする例外設定を行う。特定のアプリケーションソフトやサービスに対してのみ通信を許可する際に使用する機能だ。ただし、最初から登録してある規則は画面例のように、設定内容を変更できない場合が少なくない。

5. [ユーザーとコンピュータ]タブでは、ユーザーアカウントやコンピュータを単位とした例外設定を行う。特定のコンピュータやユーザーに対してのみ通信を許可する際に使用する機能だ。

6. [プロトコルおよびポート]は、プロトコルの種類やプロトコル番号、ポート番号の情報を基にして、通過の可否を決定する。最も一般的なファイアウォール機能だろう。これも、最初から登録してあるものは以下の画面例のように、設定変更できない。変更できるのはユーザーが登録したものだけだ。

7. [スコープ]タブでは、ローカルIPアドレスとリモートIPアドレスのそれぞれについて、[これらのIPアドレス]を選択してから[追加]をクリックすると表示するダイアログで条件を指定できる。特定のネットワークに属するホストにだけ通過を許可する際に使用する機能だ。

8. [プロファイル]タブでは、Windows Vista/Windows 7で、ネットワークに接続した際に選択を求めてくるネットワークの種類選択、すなわちドメイン/プライベート/パブリックの別による例外設定を行える。

9. 設定を確認あるいは変更したら、[OK]をクリックしてダイアログを閉じる。この例では[受信の規則]を使用したが、[送信の規則]でも操作方法は同じである。

フィルタ機能を活用して目的の規則を迅速に見つける

Windowsファイアウォールに登録してある規則の数はかなり多い。ユーザーが独自の規則を追加登録すれば、その数はさらに増える(手順の追加は次回に取り上げる)。

そこで目的の規則を見つけやすくするために、[セキュリティが強化されたWindowsファイアウォール]管理ツールにはフィルタ機能がある。[受信の規則]あるいは[送信の規則]で右クリックすると、以下の3種類の選択肢が現れて、各サブメニューを使って選択を行う仕組みだ。

プロファイルによるフィルタ

ドメイン/パブリック/プライベートといった、プロファイルを条件に指定するためのフィルタだ。選択肢は[すべて表示][ドメインプロファイルによるフィルタ][プライベートプロファイルによるフィルタ][パブリックプロファイルによるフィルタ]の4種類がある。

状態でフィルタ

有効な規則あるいは無効な規則だけを選び出して表示する。これの使用頻度が最も高そうだ。

グループでフィルタ

用途別の選択、例えば「特定の機能に関連する規則を探したい」といった場面で使用する。