Windows XP の統合ファイアウォールは役に立たないと思われがちですが、現在の WIN7 ファイアウォールの強力な機能にも「プロフェッショナル」の味があります。今日はWIN7ファイアウォールの使い方を説明します。
Vista と同様に、コントロール パネル プログラムにアクセスして、Windows 7 ファイアウォールの基本構成を実行できます。 Vista とは異なり、空の MMC を作成して埋め込みスナップインを追加するのではなく、コントロール パネルにアクセスして高度な構成 (送信接続フィルターの構成を含む) を実行することもできます。左側のパネルで詳細設定オプションをクリックするだけです。
Vista ファイアウォールでは、パブリック メッシュとプライベート ネットワークのどちらを使用するかを選択できます。Windows 7 では、パブリック ネットワーク、ホーム ネットワーク、オフィス ネットワークの 3 つの選択肢があります。後の 2 つのオプションは、プライベート ネットワークを改良したものです。
「ホームネットワーク」オプションを選択すると、「ホームグループ」を作成できるようになります。この環境では、ネットワーク探索が自動的に開始され、ネットワーク上の他のコンピュータやデバイスを確認できるようになり、それらのコンピュータやデバイスもあなたのコンピュータを確認できるようになります。 「ホームグループ」に属するコンピュータは、写真、音楽、ビデオ、ドキュメント ライブラリ、およびプリンタなどのハードウェア デバイスを共有できます。ドキュメント ライブラリに共有したくないフォルダーがある場合は、それらを除外することもできます。
「職場ネットワーク」を選択すると「ネットワーク探索」も自動的に開始されますが、「ホームグループ」の作成や参加はできません。コンピュータが Windows ドメインに参加し ([コントロール パネル] - [システムとセキュリティ] - [システム] - [詳細システム構成] - [コンピュータ名] タブ)、DC 検証に合格すると、ファイアウォールはネットワーク タイプをドメイン環境ネットワークとして自動的に識別します。
「パブリック ネットワーク」タイプは、空港、ホテル、カフェにいる場合、またはモバイル ブロードバンド ネットワークを使用してパブリック Wi-Fi ネットワークに接続している場合に適しています。そのため、コンピュータはデフォルトでオフになっています。他のネットワークでは共有が検出されず、ホームグループを作成したり、ホームグループに参加したりすることはできません。
すべてのネットワーク モードで、Windows 7 ファイアウォールはデフォルトで、ホワイトリストにないアプリケーションに送信された接続をインターセプトします。 Windows 7 では、さまざまなネットワークの種類を個別に構成できます。
多目的ファイアウォールポリシー
Vista では、パブリックとプライベートの 2 つのプロファイルがありますが、一度にアクティブになるのは 1 つだけです。したがって、コンピュータを 2 つの異なるネットワークに同時に接続する必要がある場合は、運が悪いでしょう。最も制限の厳しいプロファイルがすべての接続で使用されます。つまり、パブリック ネットワークのルールに従って動作しているため、ローカル (プライベート) ネットワークでは必要な操作ができない可能性があります。 Windows 7 (および Server 2008 R2) では、異なるネットワーク アダプターで異なる構成ファイルを使用できます。これは、プライベート ネットワーク間のネットワーク接続はプライベート ネットワーク ルールによって管理され、パブリック ネットワークとの間のトラフィックはパブリック ネットワーク ルールによって管理されることを意味します。
小さな、目立たないことが違いを生むのです
多くの場合、使いやすさの向上は小さな変更に帰着することが多く、MS はユーザーの声に耳を傾け、「目立たないが効果的な小さな機能」を Windows 7 ファイアウォールに追加しました。たとえば、Vista でファイアウォール ルールを作成する場合は、各 IP アドレスとポートを個別にリストする必要があります。今後は範囲を指定するだけで済み、一般的な管理タスクの実行にかかる時間が短縮されます。
netsh コマンドを使用せずに、ファイアウォール コンソールで接続セキュリティ ルールを作成して、どのポートまたはプロトコルが IPsec を必要とするかを指定することもできます。これは、GUI を使用する場合に便利です。
接続セキュリティ ルールは動的暗号化もサポートしています。これは、サーバーがクライアントから暗号化されていない (ただし認証された) 情報を受信した場合、セキュリティ アソシエーションは、より安全な通信を確立するために合意された「オンザフライ」による暗号化を要求することを意味します。
「詳細設定」で設定ファイルを設定します。
[詳細設定] コントロール パネルを使用して、各ネットワーク タイプのプロファイルを構成できます。
設定ファイルでは以下の設定が可能です。
* ファイアウォールをオン/オフにする
* インバウンド接続 (ブロック、すべての接続をブロック、または許可)
* 送信接続を (許可またはブロック)
* (プログラムブロック後の通知の有無) 通知表示
* ユニキャストがマルチキャストまたはブロードキャストに応答できるようにする
* ローカル管理者がグループ ポリシー ファイアウォール ルールに加えてローカル ファイアウォール ルールを作成および適用できるようにします
netsh.exe を使用したシステム ファイアウォールの構成について
(1) システムファイアウォールを表示、有効化または無効化します。
コマンド プロンプトを開き、「netsh firewallshow state」コマンドを入力して Enter キーを押すと、表示された結果からファイアウォールの各機能モジュールの無効化と有効化を確認できます。コマンド「netsh firewall set opmode disable」はシステム ファイアウォールを無効にするために使用され、コマンド「netsh firewall set opmode enable」はファイアウォールを有効にします。
(2).ファイルとプリントの共有を許可する
ファイル共有とプリンタ共有は、ローカル エリア ネットワークでよく使用されます。クライアントがこのマシン上の共有ファイルまたはプリンタにアクセスできるようにするには、次のコマンドをそれぞれ入力して実行します。
netsh ファイアウォール追加ポート開放 UDP 137 Netbios-ns
(クライアントがサーバー UDP プロトコルのポート 137 にアクセスできるようにします)
netsh ファイアウォール追加ポート開放 UDP 138 Netbios-dgm
(UDPプロトコルのポート138へのアクセスを許可します)
netsh ファイアウォール ポート開放を追加 TCP 139 Netbios-ssn
(TCPプロトコルのポート139へのアクセスを許可します)
netsh ファイアウォール、ポート開放を追加 TCP 445 Netbios-ds
(TCPプロトコルのポート445へのアクセスを許可します)
コマンドが実行されると、ファイルとプリンターの共有に必要なポートがすべてファイアウォールによって許可されます。
(3).ICMP エコーを許可する
デフォルトでは、Windows 7 はセキュリティ上の理由から、外部ホストによる ping を許可しません。ただし、安全な LAN 環境では、管理者がネットワーク テストを行うために Ping テストが必要です。 Windows 7 の ping テスト エコーを許可するにはどうすればよいですか?
もちろん、システム ファイアウォール コンソールを介して「受信ルール」で「ファイルと印刷の共有 (エコー要求 – ICMPv4-In)」ルールを設定して許可することもできます (ネットワークが IPv6 を使用している場合は、ICMPv6-In ルールも許可する必要があります) 。ただし、コマンド ラインで netsh コマンドを使用してすぐに実装できます。 ICMP エコーを有効にするには「netsh firewall set icmpsetting 8」コマンドを実行し、逆にエコーを無効にするにはコマンド「netsh firewall set icmpsetting 8 disable」を実行します。