セキュリティが強化された Windows ファイアウォールの規則の評価の順序

セキュリティが強化された Windows ファイアウォールは、次の種類の規則をサポートします。

• Windows サービス強化規則。この組み込みの規則は、サービスの仕様とは異なる方法で、サービスによる接続の確立を制限します。サービスの制限を構成することで、Windows サービスが特定の方法でのみ通信できるようにします (特定のポートでのみトラフィックを許可するなど)。
  
  
• 接続セキュリティの規則。この規則は、コンピューターが IPsec を使用して認証する方法とタイミングを定義します。接続セキュリティの規則では、暗号化を要求することもでき、データの機密性維持に役立ちます。接続セキュリティの規則は、通常、サーバーおよびドメインの分離の確立や、NAP ポリシーの強制に使用されます。
  
  
• 認証されたバイパス規則。この規則は、受信のファイアウォール規則でトラフィックがブロックされていても、指定されたコンピューターまたはユーザーの接続を許可します。この規則では、ID を確認できるように、承認されているコンピューターのネットワーク トラフィックが IPsec を使用して認証される必要があります。たとえば、特定のコンピューターを対象とする認証されたバイパス規則を作成して、これらのコンピューターからのみリモート ファイアウォールを管理できるようにしたり、ヘルプ デスクによるリモート アシスタンスのサポートを有効にしたりできます。この規則は、エンタープライズ環境で使用されることがあります。たとえば、接続の問題のトラブルシューティングをサポートするために、"信頼されている" ネットワーク トラフィック アナライザーがコンピューターへアクセスできるようにする場合などです。バイパス規則には、ネットワーク トラフィックをブロックする規則を回避できるコンピューターの一覧を指定します。ネットワーク分析を実行するコンピューターは認証を行い、バイパス規則の "許可" 一覧にあるコンピューターとして識別されるため、このコンピューターからの認証済みトラフィックは、ファイアウォールを通過できます。
  
  
• ブロック規則。この規則は、特定の種類の受信または送信トラフィックを明示的にブロックします。これらの規則は、許可規則よりも先に評価されるため、優先されます。アクティブなブロック規則とアクティブな許可規則の両方に一致するネットワーク トラフィックは、ブロックされます。
  
  
• 許可規則。この規則は、特定の種類の受信または送信トラフィックを明示的に許可します。
  
  
• 既定の規則。この規則は、接続が他の規則のいずれにも一致しない場合に、実行される操作を定義します。受信の既定は接続のブロックで、送信の既定は接続の許可です。既定の動作は、プロファイルごとに Windows ファイアウォールのプロパティを使用して変更できます。
  
  

図 2 は、セキュリティが強化された Windows ファイアウォールが各種の規則を適用する順序を示しています。規則がグループ ポリシーにより適用される場合でも、この規則の順序が常に強制されます。グループ ポリシーによる規則も含め、規則は並べ替えられたうえで適用されます。Windows サービス強化規則は、グループ ポリシーを使用して構成されません。ドメイン管理者は、ローカル管理者に対して、新しい規則を作成するためのアクセス許可を許可したり、拒否したりできます。