今回も前回に引き続き、Windows Server 2012における[セキュリティが強化されたWindowsファイアウォール]管理ツールについて取り上げる。今回は前回に取り上げられなかった、[受信の規則]や[送信の規則]の新規登録や、その際の各種設定などについて取り上げる。
規則の新規作成
ここでは、一覧にない規則を新規に作成して追加する際の手順について概説する。ユーザーが作成した規則についても既存の規則と同様に、有効化と無効化の操作が可能だ。
なお、規則の設定に際しては、まず「対象となるプログラムとプロトコル」「規制の向き」を明確にした上で、既存の規則で対応できるものがあるかどうかを調べるようにしたい。既存の規則で対応できない場合に初めて、オリジナルの規則を作成するのがよいだろう。
[Win]+[Q]キーを押すと表示するアプリケーション一覧から[セキュリティが強化されたWindowsファイアウォール]管理ツールを起動して、左側のツリー画面で[受信の規則]あるいは[送信の規則]を選択する。
[操作]-[新しい規則]、あるいは右クリックして[新しい規則]を選択する。すると、[新規の受信の規則ウィザード]あるいは[新規の送信の規則ウィザード]が起動する。
まず、規則の種類を選択する。選択肢は以下の通りだ。
- 「3.」で[プログラム]を選択した場合、次の画面でプログラムの選択を行う。選択肢は[すべてのプログラム]と[このプログラムのパス]のいずれかで、後者では実行形式ファイルのパスを指定する。
次の画面で、通過の可否について指定する。[接続を許可する]だけでなく、[セキュリティで保護されている場合にのみ接続を許可する]という選択肢があるが、これはIPsec使用時にのみ通信を認めるもの。[接続をブロックする]は、明示的に通過を拒否する際に使用する。
次の画面でプロファイルを指定する。ドメイン/プライベート/パブリックのそれぞれについて、チェックボックスのオン/オフで指定する。
最後に、名前と説明を指定する。[完了]をクリックすると、設定した内容で規則を登録する。なお、「3.」で[プログラム]以外の項目を選択した場合の設定操作については、次回に取り上げる。
・プログラム : 実行形式ファイルを単位とする
・ポート : TCP/UDPの別とポート番号の情報を単位とする
・事前定義 : Windowsサーバの役割/機能を単位とする
・カスタム: 上の3種類に当てはまらない場合に使用する。たとえば、ポート番号による指定が不可能なプロトコルについて、プロトコル番号を基準にする場合が該当する。
[カスタム]を選択してサービスを条件に使用する
[受信の規則]や[送信の規則]を登録する際には、実行形式ファイル以外にも、さまざまな条件を指定できる。先に、規則を登録する際の操作手順について記したが、以下に示す操作は、そのうち「4.」以降に該当する。
まず、[カスタム]を使ってサービスを条件に使用する際の手順について取り上げる。
- 前回に解説した手順の「3.」で[カスタム]を選択すると、前回に取り上げた[プログラム]と同様の、対象プログラムの選択を求めてくる。
- その画面には[カスタマイズ]というボタンがあり、それをクリックすると表示する以下のダイアログで、条件に使用するサービスを指定する仕組みだ。
- 次の画面で、プロトコルの種類、プロトコル番号、ポート番号の指定を行う。ここではTCP/UDPだけでなく、ICMP、IPv4/IPv6、GREなど、さまざまなプロトコルを選択できる。それでも一覧にないプロトコルについては、[カスタム]を選択してからプロトコル番号(ポート番号とは別物である)で指定する。
次の画面で、条件に使用するIPアドレスを、ローカルIPアドレスとリモートIPアドレスのそれぞれについて指定する。いずれも、[このIPアドレス]を選択してから[追加]をクリックすると表示するダイアログで、特定のIPアドレス、あるいはネットワークアドレスを指定する方法を用いる。
次の画面で、通過の可否について指定する。[接続を許可する]だけでなく、[セキュリティで保護されている場合にのみ接続を許可する]という選択肢があるが、これはIPsec使用時にのみ通信を認めるもの。[接続をブロックする]は、明示的に通過を拒否する際に使用する。
次の画面でプロファイルを指定する。ドメイン/プライベート/パブリックのそれぞれについて、チェックボックスのオン/オフで指定する。
最後に、名前と説明を指定する。[完了]をクリックすると、設定した内容で規則を登録する。
なお、ルータやレイヤー3スイッチを介してLANを複数のネットワークに区切っている場合、異なるネットワークアドレスを持つ複数のTCP/IPネットワークが存在する。そこでIPアドレスを利用した条件指定を行うと、通信できるエリアとできないエリアが発生する可能性につながるので注意が必要だ。
その他の設定
[ポート]を選択した場合には、TCP/UDPの別とローカルポート(いわゆる宛先ポート番号)を条件に指定する。もっとも一般的なファイアウォール設定の手法だろう。
[事前定義]を選択した場合、リストボックスで対象となる機能を選択してから次の画面に進む。そして、個別の機能について、チェックボックスのオン/オフで条件を指定する。なお、[事前定義]ではプロファイルの選択画面と名前/説明文の設定画面はない。