Windowsの組み込みファイアウォールは、強力なファイアウォールルールを作成する機能を隠します。プログラムによるインターネットへのアクセスのブロック、ホワイトリストの使用によるネットワークアクセスの制御、特定のポートやIPアドレスへのトラフィックの制限など、すべて別のファイアウォールをインストールする必要はありません。
ファイアウォールには3つの異なるプロファイルが含まれているため、プライベートネットワークとパブリックネットワークに異なるルールを適用できます。これらのオプションは、WindowsVistaで最初に登場したセキュリティが強化されたWindowsファイアウォールスナップインに含まれています。
インターフェイスへのアクセス
[セキュリティが強化されたWindowsファイアウォール]ウィンドウを表示するには、さまざまな方法があります。最も明白なものの1つは、Windowsファイアウォールのコントロールパネルからです–サイドバーの[詳細設定]リンクをクリックします。
[スタート]メニューの検索ボックスに「Windowsファイアウォール」と入力して、セキュリティが強化されたWindowsファイアウォールアプリケーションを選択することもできます。
ネットワークプロファイルの構成
Windowsファイアウォールは、次の3つの異なるプロファイルを使用します。
- ドメインプロファイル :コンピューターがドメインに接続されている場合に使用されます。
- 民間 :職場やホームネットワークなどのプライベートネットワークに接続するときに使用します。
- 公衆 :パブリックWi-Fiアクセスポイントやインターネットへの直接接続などのパブリックネットワークに接続する場合に使用します。
Windowsは、ネットワークに最初に接続したときに、ネットワークがパブリックかプライベートかを尋ねます。
コンピュータは、状況に応じて複数のプロファイルを使用する場合があります。たとえば、ビジネスラップトップは、職場のドメインに接続されている場合はドメインプロファイル、ホームネットワークに接続されている場合はプライベートプロファイル、パブリックWi-Fiネットワークに接続されている場合はパブリックプロファイルをすべて同じ日に使用できます。
[Windowsファイアウォールのプロパティ]リンクをクリックして、ファイアウォールプロファイルを構成します。
ファイアウォールのプロパティウィンドウには、プロファイルごとに個別のタブがあります。 Windowsはインバウンド接続をブロックし、デフォルトですべてのプロファイルのアウトバウンド接続を許可しますが、すべてのアウトバウンド接続をブロックし、特定の種類の接続を許可するルールを作成できます。この設定はプロファイル固有であるため、特定のネットワークでのみホワイトリストを使用できます。
アウトバウンド接続をブロックすると、プログラムがブロックされたときに通知が届きません。ネットワーク接続はサイレントに失敗します。
ルールの作成
ルールを作成するには、ウィンドウの左側にある[インバウンドルール]または[アウトバウンドルール]カテゴリを選択し、右側にある[ルールの作成]リンクをクリックします。
Windowsファイアウォールには、次の4種類のルールがあります。
- プログラム –プログラムをブロックまたは許可します。
- ポート –ポート、ポート範囲、またはプロトコルをブロックまたは許可します。
- 事前定義済み –Windowsに含まれている定義済みのファイアウォールルールを使用します。
- カスタム –ブロックまたは許可するプログラム、ポート、およびIPアドレスの組み合わせを指定します。
ルールの例:プログラムのブロック
特定のプログラムがインターネットと通信するのをブロックしたいとします。そのためにサードパーティのファイアウォールをインストールする必要はありません。
まず、プログラムルールの種類を選択します。次の画面で、[参照]ボタンを使用して、プログラムの.exeファイルを選択します。
[アクション]画面で、[接続をブロックする]を選択します。デフォルトですべてのアプリケーションをブロックした後にホワイトリストを設定する場合は、代わりに「接続を許可する」を選択してアプリケーションをホワイトリストに登録します。
[プロファイル]画面で、特定のプロファイルにルールを適用できます。たとえば、パブリックWi-Fiやその他の安全でないネットワークに接続しているときにのみプログラムをブロックする場合は、[パブリック]チェックボックスをオンのままにします。デフォルトでは、Windowsはすべてのプロファイルにルールを適用します。
[名前]画面で、ルールに名前を付け、オプションの説明を入力できます。これは、後でルールを識別するのに役立ちます。
作成したファイアウォールルールはすぐに有効になります。作成したルールがリストに表示されるため、ルールを簡単に無効化または削除できます。
ルールの例:アクセスの制限
プログラムを本当にロックダウンしたい場合は、プログラムが接続するポートとIPアドレスを制限できます。たとえば、特定のIPアドレスからのみアクセスしたいサーバーアプリケーションがあるとします。
[インバウンドルール]リストから、[新しいルール]をクリックし、[カスタムルールタイプ]を選択します。
[プログラム]ペインで、制限するプログラムを選択します。プログラムがWindowsサービスとして実行されている場合は、[カスタマイズ]ボタンを使用して、リストからサービスを選択します。コンピュータ上のすべてのネットワークトラフィックを特定のIPアドレスまたはポート範囲との通信に制限するには、特定のプログラムを指定する代わりに、[すべてのプログラム]を選択します。
[プロトコルとポート]ペインで、プロトコルタイプを選択し、ポートを指定します。たとえば、ウェブサーバーアプリケーションを実行している場合、[ローカルポート]ボックスにこれらのポートを入力することで、ウェブサーバーアプリケーションをポート80と443のTCP接続に制限できます。
[スコープ]タブでは、IPアドレスを制限できます。たとえば、サーバーが特定のIPアドレスとのみ通信するようにする場合は、[リモートIPアドレス]ボックスにそのIPアドレスを入力します。
指定したIPアドレスとポートからの接続を許可するには、[接続を許可する]オプションを選択します。プログラムに他のファイアウォールルールが適用されていないことを必ず確認してください。たとえば、サーバーアプリケーションへのすべての受信トラフィックを許可するファイアウォールルールがある場合、このルールは何もしません。
ルールは、適用するプロファイルを指定して名前を付けた後に有効になります。
Windowsファイアウォールは、サードパーティのファイアウォールほど使いやすいものではありませんが、驚くほどの電力を提供します。より詳細な制御と使いやすさが必要な場合は、サードパーティのファイアウォールを使用することをお勧めします。
