Windows の組み込みファイアウォールには、強力なファイアウォール ルールを作成する機能が隠されています。別のファイアウォールをインストールすることなく、プログラムによるインターネットへのアクセスのブロック、ホワイトリストを使用したネットワーク アクセスの制御、特定のポートや IP アドレスへのトラフィックの制限などを行うことができます。
ファイアウォールには 3 つの異なるプロファイルが含まれているため、プライベート ネットワークとパブリック ネットワークに異なるルールを適用できます。これらのオプションは、Windows Vista で初めて登場した、セキュリティが強化された Windows ファイアウォール スナップインに含まれています。
インターフェースへのアクセス
[セキュリティが強化された Windows ファイアウォール] ウィンドウを表示するには、さまざまな方法があります。最もわかりやすい方法の 1 つは、Windows ファイアウォールのコントロール パネルからのもので、サイドバーの [詳細設定] リンクをクリックします。
[スタート] メニューの検索ボックスに「Windows ファイアウォール」と入力し、セキュリティが強化された Windows ファイアウォール アプリケーションを選択することもできます。
ネットワークプロファイルの構成
Windows ファイアウォールは 3 つの異なるプロファイルを使用します。
- ドメイン プロファイル : コンピュータがドメインに接続されている場合に使用されます。
- プライベート : 職場やホーム ネットワークなどのプライベート ネットワークに接続する場合に使用されます。
- パブリック : 公衆 Wi-Fi アクセス ポイントやインターネットへの直接接続などの公衆ネットワークに接続する場合に使用されます。
Windows は、最初にネットワークに接続するときに、ネットワークがパブリックであるかプライベートであるかを尋ねます。
コンピュータは状況に応じて複数のプロファイルを使用することがあります。たとえば、ビジネス用ラップトップは、職場でドメインに接続している場合はドメイン プロファイルを使用し、ホーム ネットワークに接続している場合はプライベート プロファイルを、パブリック Wi-Fi ネットワークに接続している場合はパブリック プロファイルをすべて同じ日に使用できます。
[Windows ファイアウォールのプロパティ] リンクをクリックして、ファイアウォール プロファイルを構成します。
ファイアウォールのプロパティ ウィンドウには、プロファイルごとに個別のタブが含まれています。 Windows はデフォルトで受信接続をブロックし、すべてのプロファイルの送信接続を許可しますが、すべての送信接続をブロックし、特定の種類の接続を許可するルールを作成することもできます。この設定はプロファイル固有であるため、特定のネットワークでのみホワイトリストを使用できます。
送信接続をブロックすると、プログラムがブロックされても通知は受信されず、ネットワーク接続は通知なく失敗します。
ルールの作成
ルールを作成するには、ウィンドウの左側で [受信ルール] または [送信ルール] カテゴリを選択し、右側の [ルールの作成] リンクをクリックします。
Windows ファイアウォールでは、次の 4 種類のルールが提供されます。
- プログラム – プログラムをブロックまたは許可します。
- ポート – ポート、ポート範囲、またはプロトコルをブロックまたは許可します。
- 事前定義済み – Windows に含まれる事前定義されたファイアウォール ルールを使用します。
- カスタム – ブロックまたは許可するプログラム、ポート、および IP アドレスの組み合わせを指定します。
ルールの例: プログラムのブロック
特定のプログラムがインターネットと通信するのをブロックしたいとします。そのためにサードパーティのファイアウォールをインストールする必要はありません。
まず、プログラム ルールのタイプを選択します。次の画面で、[参照] ボタンを使用してプログラムの .exe ファイルを選択します。
アクション画面で「接続をブロックする」を選択します。デフォルトですべてのアプリケーションをブロックした後にホワイトリストを設定している場合は、代わりに「接続を許可する」を選択してアプリケーションをホワイトリストに登録します。
[プロファイル] 画面では、特定のプロファイルにルールを適用できます。たとえば、公衆 Wi-Fi やその他の安全でないネットワークに接続している場合にのみプログラムをブロックしたい場合は、[パブリック] ボックスをオンのままにします。デフォルトでは、Windows はルールをすべてのプロファイルに適用します。
[名前] 画面で、ルールに名前を付け、オプションで説明を入力できます。これは、後でルールを特定するのに役立ちます。
作成したファイアウォール ルールはすぐに有効になります。作成したルールはリストに表示されるので、簡単に無効化または削除できます。
ルールの例: アクセスの制限
プログラムを本当にロックダウンしたい場合は、接続先のポートと IP アドレスを制限できます。たとえば、特定の IP アドレスからのみアクセスしたいサーバー アプリケーションがあるとします。
[受信ルール] リストから、[新しいルール] をクリックし、カスタム ルール タイプを選択します。
[プログラム] ペインで、制限したいプログラムを選択します。プログラムが Windows サービスとして実行されている場合は、[カスタマイズ] ボタンを使用してリストからサービスを選択します。コンピュータ上のすべてのネットワーク トラフィックを特定の IP アドレスまたはポート範囲との通信に制限するには、特定のプログラムを指定する代わりに「すべてのプログラム」を選択します。
[プロトコルとポート] ペインで、プロトコル タイプを選択し、ポートを指定します。たとえば、Web サーバー アプリケーションを実行している場合、[ローカル ポート] ボックスにこれらのポートを入力することで、Web サーバー アプリケーションをポート 80 と 443 での TCP 接続に制限できます。
[スコープ] タブでは、IP アドレスを制限できます。たとえば、サーバーが特定の IP アドレスとのみ通信するようにする場合は、その IP アドレスを [リモート IP アドレス] ボックスに入力します。
指定した IP アドレスとポートからの接続を許可するには、「接続を許可する」オプションを選択します。他のファイアウォール ルールがプログラムに適用されていないことを必ず確認してください。たとえば、サーバー アプリケーションへのすべての受信トラフィックを許可するファイアウォール ルールがある場合、このルールは何も行いません。
ルールは、適用するプロファイルを指定して名前を付けると有効になります。
Windows ファイアウォールはサードパーティのファイアウォールほど使いやすいわけではありませんが、驚くほどの能力を提供します。より詳細な制御と使いやすさが必要な場合は、サードパーティのファイアウォールを使用した方がよい場合があります。
