Microsoft の Windows Server 2003 のファイアウォール機能は非常に初歩的であるため、多くのシステム管理者はこれを役に立たないと考えています。これは常に、受信保護のみをサポートする単純なホストベースのステートフル ファイアウォールでした。 Windows Server 2008 が近づくにつれ、その内蔵ファイアウォール機能が大幅に強化されました。この新高値を見てみましょう
Windows にこのホストベースのファイアウォールを使用する必要があるのはなぜですか?
現在、多くの企業が外部セキュリティ ハードウェアを使用してネットワークを強化しています。これは、ファイアウォールと侵入防止システムを使用してネットワークの周囲に鉄壁を構築し、インターネット上の悪意のある攻撃者から自然にネットワークを保護することを意味します。ただし、攻撃者が境界防御を突破して内部ネットワークにアクセスできる場合、企業の最も貴重な資産であるデータへのアクセスを阻止できるのは Windows 認定セキュリティだけです。
これは、ほとんどの IT プロフェッショナルがサーバーを強化するためにホストベースのファイアウォールを使用していないためです。なぜこのようなことが起こるのでしょうか? ほとんどの IT プロフェッショナルは、ホストベースのファイアウォールを導入すると、それがもたらす価値よりも多くの問題を引き起こすと信じているからです。
この記事を読んだ後、Windows ホストベースのファイアウォールについて検討していただければ幸いです。 Windows Server 2008 では、このホストベースのファイアウォールが Windows に組み込まれており、プレインストールされており、以前のバージョンよりも多くの機能があり、構成が簡単になっています。これは、重要なベース サーバーを強化する最良の方法の 1 つです。高度なセキュリティを備えた Windows ファイアウォールは、ホスト ファイアウォールと IPSec を組み合わせています。境界ファイアウォールとは異なり、セキュリティが強化された Windows ファイアウォールは、このバージョンの Windows を実行しているすべてのコンピューターで実行され、境界ネットワークを越えたり、組織内から発生する可能性のあるネットワーク攻撃に対するローカル保護を提供します。また、コンピュータ間の接続セキュリティも提供し、通信に認証とデータ保護を要求できるようにします。
では、この Windows Server Advanced ファイアウォールで何ができるのでしょうか。また、どのように構成すればよいのでしょうか? 続いて読んでみましょう。
新しいファイアウォールの機能とそれがどのように役立つか
Windows Server 2008 の組み込みファイアウォールは「高度」になりました。これが先進的だと言っているのは私だけではなく、Microsoft は現在、これを Advanced Security 付き Windows ファイアウォール (略して WFAS) と呼んでいます。
新しい名前にふさわしい新機能は次のとおりです。
1. 新しいグラフィカルインターフェイス。
次に、管理コンソール ユニットを使用して、この高度なファイアウォールを設定します。
2. 双方向の保護。
アウトバウンド通信とインバウンド通信をフィルタリングします。
3. IPSECとの連携強化。
セキュリティが強化された Windows ファイアウォールは、Windows ファイアウォールの機能とインターネット プロトコル セキュリティ (IPSec) を 1 つのコンソールに統合します。これらの詳細オプションを使用して、環境に必要な方法でキー交換、データ保護 (整合性と暗号化)、および認証設定を構成します。
4. 高度なルール設定。
Windows Server上のさまざまなオブジェクトに対してファイアウォール ルールを作成し、セキュリティが強化された Windows ファイアウォールを通過するトラフィックをブロックするか許可するかを決定するファイアウォール ルールを構成できます。
受信パケットがコンピューターに到達すると、セキュリティが強化された Windows ファイアウォールによってパケットが検査され、ファイアウォール ルールで指定された基準を満たしているかどうかが判断されます。パケットがルールの基準に一致する場合、セキュリティが強化された Windows ファイアウォールはルールで指定されたアクションを実行します。つまり、接続をブロックするか接続を許可します。パケットがルールの基準に一致しない場合、セキュリティが強化された Windows ファイアウォールはパケットをドロップし、ファイアウォール ログ ファイルにエントリを作成します (ログ記録が有効な場合)。
ルールを構成する場合、アプリケーション名、システム サービス名、TCP ポート、UDP ポート、ローカル IP アドレス、リモート IP アドレス、構成ファイル、インターフェイス タイプ (ネットワーク アダプタなど)、ユーザーなどのさまざまな基準から選択できます。 、ユーザー グループ、コンピュータ、コンピュータ グループ、プロトコル、ICMP タイプなど。ルール内の条件が追加されると、追加する条件が増えるほど、セキュリティが強化された Windows ファイアウォールは受信トラフィックをより詳細に照合します。
双方向の保護、より優れたグラフィカル インターフェイス、および高度なルール構成を追加することにより、高度なセキュリティを備えた Windows ファイアウォールは、ZoneAlarm Pro などの従来のホストベースのファイアウォールと同等の強力なものになりました。
ホストベースのファイアウォールを使用するときにサーバー管理者が最初に考えるのは、「この重要なサーバー インフラストラクチャの通常の動作に影響が出るのではないか」ということだと思いますが、これはどのようなセキュリティ対策でも起こり得る問題であり、Windows 2008 Advanced Security ではファイアウォールが影響を受けます。このサーバーに追加された新しいロールに対して新しいルールが自動的に構成されます。ただし、サーバー上で Microsoft 以外のアプリケーションを実行しており、受信ネットワーク接続が必要な場合は、通信の種類に基づいて新しいルールを作成する必要があります。
この高度なファイアウォールを使用すると、サーバーを攻撃に対して強化し、サーバーが悪用されて他のサーバーを攻撃するのを防ぎ、サーバーに出入りするデータを正確に判断できます。これらの目標を達成する方法を見てみましょう。
Windows ファイアウォールの高度なセキュリティを構成するためのオプションについて学習します。
以前のバージョンの Windows Serverでは、コントロール パネルからネットワーク アダプターを構成したり、Windows ファイアウォールを構成したりできました。この構成は非常にシンプルです。
セキュリティが強化された Windows ファイアウォールの場合、ほとんどの管理者は、Windows サーバー マネージャーまたはセキュリティが強化された Windows ファイアウォール MMC スナップインからのみ構成できます。以下は、2 つの構成インターフェイスのスクリーンショットです。
図 1. Windows Server 2008 サーバー マネージャー
図 2. Windows 2008 Advanced Security ファイアウォール管理コンソール
このセキュリティが強化された Windows ファイアウォールを起動する最も簡単かつ迅速な方法は、以下に示すように、[スタート] メニューの検索ボックスに「ファイアウォール」と入力することです。
図 3. Windows 2008 Advanced Security ファイアウォール管理コンソールをすばやく起動する方法
さらに、ネットワーク コンポーネントの設定を構成するコマンド ライン ツールである Netsh を使用して、セキュリティが強化された Windows ファイアウォールを構成できます。 netsh advfirewall を使用して、IPv4 トラフィックと IPv6 トラフィックの両方に対して高度なセキュリティを備えた一連の Windows ファイアウォール設定を自動的に構成するスクリプトを作成します。 netsh advfirewall コマンドを使用して、セキュリティが強化された Windows ファイアウォールの構成と状態を表示することもできます。
[カットページ]新しい Windows ファイアウォールと高度なセキュリティ MMC スナップインを使用して構成できることは何ですか?
この新しいファイアウォール管理コンソールを使用して設定できる機能は非常に多いため、すべてを説明することはできません。 Windows 2003 の組み込みファイアウォール構成グラフィカル インターフェイスを見たことがある人なら、この新しい Windows Advanced Security ファイアウォールには非常に多くのオプションが隠されていることにすぐに気づくでしょう。よく使われる機能をいくつかピックアップしてご紹介します。
デフォルトでは、セキュリティが強化された Windows ファイアウォール管理コンソールに初めてアクセスすると、セキュリティが強化された Windows ファイアウォールがデフォルトで有効になっており、受信ルールに一致しない受信接続をブロックしていることが表示されます。さらに、この新しい送信ファイアウォールはデフォルトでオフになっています。
その他に、セキュリティが強化されたこの Windows ファイアウォールには、ユーザーが選択できる複数のプロファイルがあることにも気づくでしょう。 
図 4. セキュリティが強化された Windows 2008 ファイアウォールで提供される構成ファイル
このセキュリティが強化された Windows ファイアウォールには、ドメイン プロファイル、プライベート プロファイル、パブリック プロファイルがあります。プロファイルは、ファイアウォール ルールや接続セキュリティ ルールなど、接続場所に基づいてコンピュータに適用される設定をグループ化する方法です。たとえば、コンピュータが企業 LAN 上にあるのか、地元のコーヒー ショップ上にあるのかによって異なります。
私の意見では、Windows 2008 Advanced Security ファイアウォールで説明したすべての改善点の中で、最も重要な改善点は、より複雑なファイアウォール ルールです。以下に示すように、Windows Server 2003 ファイアウォールに例外を追加するオプションを見てください。
[img]/u/info_img/2009-06/05/20071018183935294.jpg
図 5. Windows 2003 Serverファイアウォールの例外ウィンドウ
Windows 2008 Serverの構成ウィンドウを比較してみましょう。
[プロトコル] タブと [ポート] タブは、このマルチタブ ウィンドウのほんの一部にすぎないことに注意してください。ユーザーとコンピュータ、プログラムとサービス、および IP アドレス範囲にルールを適用することもできます。この複雑なファイアウォール ルール構成により、Microsoft は Windows Advanced Security ファイアウォールを Microsoft の IAS Serverに移行しました。
セキュリティが強化された Windows ファイアウォールによって提供される既定のルールの数も驚くべきものです。 Windows 2003 Serverには、デフォルトの例外ルールが 3 つだけあります。 Windows 2008 Advanced Security ファイアウォールには、約 90 のデフォルトの受信ファイアウォール ルールと、少なくとも 40 のデフォルトの送信ルールが用意されています。
カスタム受信ルールを作成するにはどうすればよいですか?
Windows バージョンの Apache Web サイト サーバーを Windows 2008 Serverにインストールしているとします。すでに Windows の組み込み IIS Web サーバーを使用している場合、このポートは自動的に開きます。ただし、サードパーティの Web サーバーを使用しており、受信ファイアウォールが有効になっているため、このウィンドウを手動で開く必要があります。
手順は次のとおりです。
·ブロックしたいプロトコルを特定します - この場合、それは TCP/IP です (それに相当するのは UDP/IP または ICMP です)。
·送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポートを特定します。当社が行うWeb通信は、任意のIPアドレス、任意のポート番号から本サーバーのポート80に流れるデータ通信です。 (ここでは、Apache HTTP サーバーなど、特定のプログラム用のルールを作成できることに注意してください)。
·Advanced Security Management Console を使用して Windows ファイアウォールを開きます。
· ルールの追加 - セキュリティが強化された Windows ファイアウォール MMC の [新しいルール] ボタンをクリックして、新しいルールを開始するためのウィザードを開始します。
図 8. Windows 2008 Server Advanced Firewall 管理コンソール - [新しいルール] ボタン
·ポートに対して作成するルールを選択します。
·プロトコルとポート番号の構成 - デフォルトの TCP プロトコルを選択し、ポートとして 80 を入力して、「次へ」をクリックします。
·デフォルトの「接続を許可する」を選択し、「次へ」をクリックします。
·「このルールをデフォルトですべてのプロファイルに適用する」を選択し、「次へ」をクリックします。
·このルールに名前を付けて、「次へ」をクリックします。
このとき、以下に示すようなルールが得られます。
図 9. ルール作成後の Windows 2008 Server Advanced Firewall 管理コンソール
テスト後、このルールが有効になっていないと、最近インストールした Apache Web サイト サーバーが正しく動作しませんでした。ただし、このルールを作成した後は、正常に機能します。
結論: 試す価値のある素晴らしい改善
ファイアウォール構成ファイル、複雑なルール設定、デフォルト ルールの 30 倍の数、およびこの記事で説明されていない多くの高度なセキュリティ機能を備えた Windows 2008 Server Advanced Security ファイアウォールは、まさに Microsoft が呼ぶところの高度なファイアウォールです。この組み込みの無料の高度なホストベースのファイアウォールにより、将来的に Windows Server の安全性がさらに高まると私は信じています。しかし、使わなければ何の役にも立ちません。ぜひこの新しい Windows Advanced ファイアウォールを今すぐ試してみてください。
Windows ファイアウォールの高度なセキュリティを構成するためのオプションについて学習します。
以前のバージョンの Windows Serverでは、コントロール パネルからネットワーク アダプターを構成したり、Windows ファイアウォールを構成したりできました。この構成は非常にシンプルです。
セキュリティが強化された Windows ファイアウォールの場合、ほとんどの管理者は、Windows サーバー マネージャーまたはセキュリティが強化された Windows ファイアウォール MMC スナップインからのみ構成できます。以下は、2 つの構成インターフェイスのスクリーンショットです。
図 1. Windows Server 2008 サーバー マネージャー
図 2. Windows 2008 Advanced Security ファイアウォール管理コンソール
このセキュリティが強化された Windows ファイアウォールを起動する最も簡単かつ迅速な方法は、以下に示すように、[スタート] メニューの検索ボックスに「ファイアウォール」と入力することです。
図 3. Windows 2008 Advanced Security ファイアウォール管理コンソールをすばやく起動する方法
さらに、ネットワーク コンポーネントの設定を構成するコマンド ライン ツールである Netsh を使用して、セキュリティが強化された Windows ファイアウォールを構成できます。 netsh advfirewall を使用して、IPv4 トラフィックと IPv6 トラフィックの両方に対して高度なセキュリティを備えた一連の Windows ファイアウォール設定を自動的に構成するスクリプトを作成します。 netsh advfirewall コマンドを使用して、セキュリティが強化された Windows ファイアウォールの構成と状態を表示することもできます。