Windows ファイア ウォール 

 何をするもの? 

ファイアウォールという言葉はとても安全な印象を与えますが、Windows ファイア ウォールだけで万全のセキュリティ が実現するということではありません。
仕組みとしては外部からのアクセスに制限をかける機能しかなくパソコン内部からなら どこへアクセスしても制限は受けないのです。
例えてみれば、マンションのオートロックのようなもので窓から侵入した泥棒でも玄関から出て行く時には ノーチェック!あなたのパソコンに潜んでいるキー ロガーあなたのクレジットカード情報を送信していても関知しない仕様です。
もともとファイアウォールはインターネットへの 仲介をする専用コンピュータのことで運用するのに知識が必要で手間のかかる高価なシステムでした。
ところがウイルス対策ソフトのメーカーがパーソナルファイアウォールという名称を考え出してファイアウォールと類似した 動作をするアプリケーションを売り出したのです。(インストールするだけでファイアウォールのような安全が得られそうな 印象を与えたのでよく売れました、とっても商売上手。)Windows ファイア ウォールもこの類のパーソナル ファイアウォールに分類されます。

 制限レベル 


設定できる保護レベルは三段階です。有効(例外指定のみ許可それ以外はブロック)、有効(例外なし=完全ブロック)、 無効(ブロックしない)

 例外 

既定値では上図のようになります、ネットワーク セットアップ ウィザードで共有を行うようにセッティングすると [ファイルとプリンタの共有]にチェックされています。Home Editionには[リモート デスクトップ]が表示されません。 [UPnP フレームワーク]は多分BBルーター環境でWindows Messengerを使いたいときに有効にしておくのだと思う。
[Windows ファイアウォールによるプログラムのブロック時に通知を表示する]にチェックをしておくとプログラムがポートを LISTENINGした時にこういうダイアログが出現し、[ブロックを解除する]と例外の表示が 変わります。
* ダイアログが出た時に良くわからないのなら、いったん[ブロックを解除する]をクリックしておき 後でブロックしたくなったら例外タブのチェックを外すというやり方をオススメします。
 <注意> 一度[ブロックする]と以降そのアプリは正常動作しなくなります。 よくわからないけれど怖い気がするしコンピュータを保護しておく方がいいだろうと取り合えずブロックしてしまうと 困った事態になってしまうかもしれません。
たとえば、メッセンジャーでは一部に動作しない機能が出てくるのですが 「ファイアウォールでブロックしていますからメッセンジャーが機能制限されてます。」 というように親切には教えてはくれないので自らログを調べる習慣がない一般ユーザーですと なぜ動かなくなってしまったかわからなくなる怖れがあります。
再度ダイアログを出したいときは下図の[詳細設定][既定の設定]で全部初期化しなければなりません。
何という名称のアプリをブロックしたのか、そのアプリが何番のポートを使うのか解っていれば[プログラムの追加]で プログラムの動作に支障が出ないように例外を設定できますし、[ポートの追加]で例外とするポート番号を 明示的に指定することは可能です。
[編集]をクリックした時の[スコープの変更]とは一種のIPアドレス制限です。 異なるセグメントからの接続予定がなければサブネットのみで構わないでしょう、 [カスタム]で特定することも出来ます。

 詳細設定(ネットワーク接続の設定) 

例外タブでの許可設定に加えてネットワークアダプタごとに個別の許可設定を追加することが出来ます。
アダプタを選択して[設定]をクリックします。

サービスタブには代表的なサーバープログラムがあらかじめリストアップしてあります。[編集]では使用ポート番号等は 変更できないので少し変則的な運用をする時は[追加]で新規作成することになります。



ICMPタブでInternet Control Message Protocolの設定も可能です、ICMPはもともとエラー通知や通信の最適化に 利用されるので必要なものがあればネットワークアダプタ個別に追加設定できます。

 詳細設定(セキュリティのログ) 

記録する時はチェックを入れます、接続しなかったパケットを確認するだけにして容量を節約するか 全部記録して完璧を期するかお好みしだい。

 詳細設定(ICMP) 

ネットワークアダプタ全部に共通して適用されます。ファイル・プリンタ共有を有効にすると下記のようにエコー応答が有効に なります。
セキュリティ的問題に過敏になるあまり全部拒否してしまうのはどうかなと考えます。ICMPはもともとエラー通知や通信の最適化に 利用されるのでネット直結でないパソコンでは拒否の必要性は低いと思います。

 まとめ 

以前のICF インターネット接続ファイアウォールに比べると 特定のポートを開く方法 などは設定しやすくなりましたし共有で使用するポートに対する配慮もなされるようになりました。
けれど所詮はパーソナル ファイアウォールなので一台ずつ設定しなければいけないし、設定を誤れば即座に家庭内LANの障害と なってしまいます。
機能的には毎年進化している市販パーソナルファイアウォール製品と比較すると1〜2世代過去のレベルですので 決して市販ソフトの代用にはなりません。以前のICFと異なりデフォルトで有効なこととあわせて考えると セキュリティ意識の欠如したWindowsユーザーがネット上に害悪を及ぼすことを軽減しようとする マイクロソフトの企業的責任感の表れと見るのが順当なのかも知れません。

Top
SEO [PR] 爆速!無料ブログ 無料ホームページ開設 無料ライブ放送