| [Network] | |||||
Windows XPのファイアウォール機能を活用する(2)デジタルアドバンテージ2001/12/13 |
|||||
| 操作方法 |
ファイアウォール機能は、各ネットワーク・インターフェイスやダイヤルアップ接続ごとに有効/無効にできるが、通常はインターネットに接続されている側のインターフェイスでのみ有効にしておく。インターネットの接続共有機能(Internet Connection Sharing:ICS)を使っている場合には、システムに2つのネットワーク・インターフェイスが装備されているはずだが、ファイアウォール機能はインターネット側(ルータやダイヤルアップ接続に使っているインターフェイス側)でのみ有効にし、ローカルのLAN側では無効にしておく。さもないと、LAN内の他のマシンとのファイル共有や、ネットワーク・プリンタの利用ができなくなってしまうからだ。
ファイアウォールを有効にするには、まず[スタート]メニューから[接続]−[すべての接続の表示]を選び(もしくは[コントロール パネル]の[ネットワークとインターネット接続]−[ネットワーク接続]を選ぶ)、「ネットワーク接続」のウィンドウを表示させる。そして目的のネットワーク・アイコンを選択して右クリックし、ポップアップ・メニューから[プロパティ]を表示させる。
| Windows XPにおけるファイアウォールの設定 | |||||||||
| ファイアウォール機能を有効にするには、インターネットに接続している側のネットワークやダイヤルアップ接続のアイコンを右クリックして、ポップアップ・メニューから[プロパティ]を起動する。 | |||||||||
|
[プロパティ]メニューの[詳細設定]タブをクリックすると、ファイアウォールの設定やインターネット接続共有の設定ダイアログが現れる。ただし後者は、マシンに2つ以上のネットワーク・インターフェイスが装着されていないと表示されない。
ファイアウォール機能を利用するには、上側の「インターネット接続ファイアウォール」のチェックボックスをオンにする。基本的にはこれだけでかまわないのだが、ログの設定などを行うためにはさらに[設定]ボタンをクリックする(デフォルトでは、ログ・機能はオフになっている)。
| ファイアウォールを有効にする | ||||||||||||
| [プロパティ]ダイアログの[詳細設定]タブをクリックすると、ファイアウォールやインターネット接続共有の詳細な設定を行うことができる。チェックボックスをオンにするだけで、それぞれの機能を有効にすることができる。 | ||||||||||||
|
上の画面のチェックボックス()をオンにすると、すぐにパケット・フィルタが有効になり、ファイアウォール機能が働くようになる。しかしこれだけでは、ファイアウォールの動作ログがどこにも残らないので、本当にパケット・フィルタが働いているかどうか、つまり外部からの不正なアクセスがすべてブロックされているかどうかを簡単に知ることはできない。もし設定を間違っていても気が付かない(例えばファイアウォールを有効にするインターフェイスを取り違えていたなど)。そこでファイアウォールが正しく機能しているかどうかを知るためにも、必ずログを残すようにしておきたい。ログを有効にするには、[設定]ボタンを押す。
記録するログの種類としては、「ドロップしたパケットのログ」と「成功した接続のログ」の2種類があるが、通常はドロップした方のログだけを取っておけば十分だろう。成功した接続のログ(許可された通信のログ)を記録すると、ログ・ファイルのサイズが非常に大きくなるので注意が必要である。通常こちらは、アプリケーションが使用しているプロトコルを調査する場合など、必要なときにのみオンにするとよいだろう。ログ・ファイルが指定されたサイズになると、新しくファイルが作成され(デフォルトでは“pfirewall.log”)、元のファイルは(デフォルトでは)“pfirewall.log.old”という名前に変更されて保存される(このとき、さらにその前に作成された“pfirewall.log.old”は削除される)。
| ファイアウォールのログ設定 | |||||||||||||||||||||
| 「詳細設定」ダイアログを使うと、サポートするサービス(プロトコル)やログの詳細を設定することができる。 | |||||||||||||||||||||
|
ファイアウォール機能を使うには、この設定だけで十分である。ときどきファイアウォールのログ・ファイルをメモ帳などで開いて、正しく機能しているかどうかを確認しておこう。何時間か連続してインターネットに接続していれば、必ずDROPに該当するパケットの記録が残っているであろう。もしそうでなければ、外部から(インターネット上の他のホストから)接続してみて(Webブラウザで、該当マシンに割り当てられているIPアドレスへ直接接続してみるとよいだろう)、正しくパケットがブロックされているかどうかを調べておこう。
ところでファイアウォール機能を有効にしていると、使用しているプロバイダやメール・サーバによっては、メールの送受信などの際に何十秒か待たされるという症状が発生することがある。この原因のひとつとして、ident(identification)プロトコルによる認証待ちが発生しているということが考えられるが、このような場合はidentに対して特別な処理([サービス]タブを使って、identサービスを許可させる)を行う必要がある。詳細については「TIPS:電子メールの送受信が異常に遅い」を参照していただきたい。
ICMPとファイアウォール
ファイアウォールの設定ダイアログには、ICMPの設定のためのタブも用意されている。ICMP(Internet Control Message Protocol)は、TCP/IPの補助プロトコルであり、通信中に生じたさまざまなエラー情報などを伝達するために使われる。ホストの到達可能性を調べるためのpingコマンドは、このICMPプロトコルを使って実現されている。あるホストがIP的(ネットワーク的)に到達可能かどうかを調べるためにはpingコマンドを使うのが一般的であるが、Windows XPのファイアウォール機能を有効にすると、このpingコマンドにすら応答しなくなってしまう。通常はこれでも問題ないだろうが、外部からマシンが「生きているか」どうかを調べたりするには、このpingに応答するようになっていた方が便利な場合もある。例えば、リモート・デスクトップやリモート・アシスタンス、Telnetなどで相手のマシンにログオンしようとする場合、うまくつながらないようならば、まずpingコマンドで相手のマシンとネットワーク的につながっているかどうかを調べるだろう。そのためにも、pingに対する応答は可能なほうが便利である。ただし、ローカルのマシンから外部(インターネット)へ向けたpingは常に利用できるので、わざわざ設定する必要はない。セキュリティ的なことを考えると(非常に大きなパケット・サイズを指定したpingコマンドは、ネットワークの調査というよりは、回線の負荷を高める一種のクラックの手段である)、必要もないのにpingの着信を許可する必要はないだろう。必要最低限の間だけ有効にすればよい。
pingの着信を許可するには、ICMPの設定ダイアログで、「エコー要求の着信を許可する」をオンにすればよい。「エコー要求」とは、ICMPのサブコマンドの1つで、pingが送信するコマンド・パケットのことである。この要求を受けた側では、同じデータをパケットの送信元へ送り返すことにより、お互いが通信できることを確認している。
| ICMPの設定 | |||
| ここではICMPメッセージを送信したり、受信したりするかどうかを制御する。Windows XPのファイアウォールを有効にすると、これらのICMPメッセージはすべて無視されるので(送信もしないし、受信もしない)、場合によっては通信に支障が出ることがある(一般的なクライアント用途ではまず関係ないが)。必要に応じてこれらのメッセージを制御することができる。< | |||
|
| 関連記事(Windows Server Insider) | ||
| Windows TIPS:Windows 2000/Windows XPのICSを活用する(NATを利用する方法) | ||
| Windows TIPS:電子メールの送受信が異常に遅い | ||
|
||||||||||||||||||||||||||||
| INDEX | ||
| [Windows TIPS] | ||
| Windows XPのファイアウォール機能を活用する(1) | ||
| Windows XPのファイアウォール機能を活用する(2) | ||
| 「Windows TIPS」 |
- Windows TIPS (2008/4/4)
− Officeのファイルダイアログのショートカットを変更する
− 大きなサイズのファイルをインターネットでやりとりする
− テキスト・ファイル中の文字列を環境変数にセットする - .NETはいますぐ導入しないといけませんか? (2008/4/3)
システム管理者の素朴な質問に答える。.NETにはいつ移行するの? ところで、「フレームワーク」って、いまひとつピンとこないんですが、何ですか? - 進化したVistaのファイアウォール機能(前) (2008/4/2)
Vistaでは、受信に加え送信にもフィルタを適用できる。万一のウイルス感染でも、不正なデータ送信を阻止可能。プロファイルや管理コンソールも強化された - 第118話 パスワード・メモ (2008/4/1)
辞書にない言葉じゃなきゃだめとか、数字や記号を混ぜろとか。メモしなきゃ覚えられるわけないでしょ! こんなもの
|
|
スポンサーからのお知らせ
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜ネットワーク編〜
| ◆ | New! 大変な“チーム開発”を楽にする方法は? 「開発者の1日の流れ」から改善策を紹介 |
| ◆ | New! 組込みエンジニアへの華麗なる転身を図る! 〜エンジニア・キャリア進化論(第5回)〜 |
| ◆ | New! マイクロソフトが提案する 効率よく“最適なIT事業者”を探す方法 |
| ◆ | New! 自分のキャリアややりたいことのために、 いまの働き方を見つめ直そう! |
| ◆ | 追加コスト0円でクラスタ技術が習得可能! その信じられない“カラクリ”とは? |
| ◆ | ITプロフェッショナルのバイブル! 達人に聞く――“TechNet Plus” |
| ◆ | “Exchange Server 2007 SP1” アップグレードする本当の理由とは? |
| ◆ | 「大量データを一括登録・変更したい!」 PDCAサイクルで【よくある問題点】を解決 |
| ◆ | ユーザー・SEを魅了する新しいL3スイッチ アライドテレシスの新製品に現場の反応は |
| ◆ | 「マイクロソフトだから私は成長できた」 女性ITコンサルタントが実例を語る! |
| ◆ | 必見!Exchange Server 2007 円滑な移行のポイントはコレだ! |
| ◆ | 毎日会社で使うファイルサーバ、あなたの 会社ではこんな「あるある」起こってる? |
| ◆ | 次世代DBエンジニアに必要なスキルとは? 〜エンジニア・キャリア進化論(第4回)〜 |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。