windows xp sp2では、Windowsファイアウォールに次のような多くの新機能が備わっています。デフォルトはすべてのコンピュータ接続を有効にする、すべての接続に新しいグローバル設定オプション、グローバル設定インターネットプロトコルバージョン6(ipv6)の組み込みサポートのために、新しいダイアログセット、新しい動作モード、起動時のセキュリティ、ローカルネットワークの制限、および異常なトラフィックをアプリケーションファイル名で指定できます。
netshとグループポリシーの使用新しい構成オプション
この記事では、新しいWindowsファイアウォールを手動で構成するためのダイアログセットについて詳しく説明します。 windows xp(pre-sp2)のicpとは異なり、これらの設定ダイアログはipv4とipv6の両方のトラフィックを設定できます。 windows xp(sp2より前)のicf設定には、インターネットからのこのコンピュータへのアクセスを制限またはブロックすることによって自分のコンピュータとネットワークを保護するための(接続プロパティの[詳細]タブにある)チェックボックスが1つあります。 'チェックボックス)と[設定]ボタンをクリックして、トラフィックの設定、設定のログ記録、およびicmpトラフィックの許可を設定できます。
Windows XP SP2では、接続プロパティの[詳細]タブのチェックボックスは、一般設定、プログラム、およびサービスの設定に使用できる[設定]ボタンに置き換えられています。アクセス許可、接続に指定された設定、ログ設定、および許可されたicmpトラフィック。
[設定]ボタンをクリックすると、新しい[Windowsファイアウォール]コントロールパネルプログラム([ネットワークとインターネット接続とセキュリティセンター]カテゴリで利用可能)が実行されます。
[新しいWindowsファイアウォール]ダイアログには、次のタブがあります。
[全般]タブ[例外]タブ[全般]タブ[オン]タブ[全般]タブ次のオプションから選択できます。
[有効](推奨)
[詳細]タブで選択したすべてのネットワーク接続に対してWindowsファイアウォールを有効にするには、このオプションを選択します。
Windowsファイアウォールは、有効になっている場合、要求されたトラフィックと異常なトラフィックの両方を許可するだけです。異常なトラフィックは[例外]タブで設定できます。
'異常トラフィックについて "
このオプションをクリックすると、リクエストに受信トラフィックのみが許可されます。これは異常な着信トラフィックを許可しません。 [例外]タブの設定は無視され、[詳細]タブの設定に関係なくすべての接続が保護されます。
'無効にする'
Windowsファイアウォールを無効にするには、このオプションを選択します。特にインターネット経由で直接アクセスできるネットワーク接続では、これはお勧めできません。
注:Windows XP SP2を実行しているコンピュータですべての接続と新しく作成した接続の場合、Windowsファイアウォールの既定の設定は[有効](推奨)です。これは、迷惑な着信トラフィックに依存するプログラムまたはサービスの通信に影響を与える可能性があります。このような場合は、機能しなくなったプログラムを特定し、それらのプログラムまたはそのトラフィックを異常なトラフィックとして追加する必要があります。インターネットブラウザや電子メールクライアント(Outlook Expressなど)などの多くのプログラムは、迷惑な着信トラフィックに依存しないため、Windowsファイアウォールを有効にしても正常に動作します。
グループポリシーを使用してWindows XP SP2を実行しているコンピュータのWindowsファイアウォールを構成している場合、構成したグループポリシー設定でローカル構成が許可されていない可能性があります。このような場合、[一般]タブや他のタブのオプションがグレー表示されて選択できないことがあります。ローカル管理者でも選択できません。
グループポリシーベースのWindowsファイアウォール設定を使用すると、ドメインプロファイル(ドメインコントローラを含むネットワークに接続したときに適用される一連のWindowsファイアウォール設定)と標準プロファイル(一連の設定が適用されます)を構成できます。インターネットなどのネットワークにドメインコントローラが含まれていない場合に適用されるWindowsファイアウォール設定に接続します。これらの設定ダイアログには、現在適用されているプロファイルのWindowsファイアウォール設定のみが表示されます。現在適用されていないプロファイルの設定を表示するには、netsh firewall showコマンドを使用します。現在適用されていないプロファイルの設定を変更するには、netsh firewall setコマンドを使用します。
[例外]タブでは、[例外]タブで既存のプログラムやサービスを有効または無効にしたり、異常なトラフィックを定義しているプログラムやサービスのリストを維持したりできます。 。 [全般]タブで[トラフィックの異常を許可しない]オプションを選択すると、トラフィックの異常が拒否されます。
Windows XP(SP2以前)では、Transmission Control Protocol(tcp)ポートまたはUser Datagram Protocol(udp)ポートに基づいてのみ異常なトラフィックを定義できます。 Windows XP SP2では、TCPポートとUDPポート、またはプログラムやサービスのファイル名に基づいて、異常なトラフィックを定義できます。この設定の柔軟性により、プログラムまたはサービスのtcpポートまたはudpポートが不明な場合やプログラムまたはサービスの開始時に動的に決定する必要がある場合に、異常なトラフィックを簡単に設定できます。
ファイルとプリンタの共有、リモートアシスタント(デフォルトで有効)、リモートデスクトップ、upnpフレームワークなどの事前設定済みのプログラムとサービスは削除できません。
グループポリシーで許可されている場合は、[プログラムの追加]をクリックして指定したプログラム名に基づいて追加の異常トラフィックを作成し、[ポートの追加]をクリックして指定に基づいてtcpまたはudpを作成することもできます。ポートの異常トラフィック
[プログラムの追加]をクリックすると、[プログラムの追加]ダイアログボックスが表示され、プログラムを選択したり、プログラムのファイル名を参照したりできます。
[ポートの追加]をクリックすると、[ポートの追加]ダイアログボックスが表示され、TCPポートまたはUDPポートを設定できます。
新しいWindowsファイアウォールの機能の1つは、着信トラフィックの範囲を定義できることです。スコープは、異常なトラフィックを開始することを許可されているネットワークセグメントを定義します。プログラムまたはポートの範囲を定義するときには、2つの選択肢があります。
すべてのコンピュータで、任意のIPアドレスからの異常なトラフィックが許可されます。
'自分のネットワーク(サブネット)のみ'
次のIPアドレスからの異常なトラフィックのみを許可します。つまり、トラフィックを受信するネットワーク接続が接続されているローカルネットワークセグメント(サブネット)と一致します。 。たとえば、ネットワーク接続のIPアドレスが192.168.0.99に設定され、サブネットマスクが255.255.0.0の場合、異常トラフィックは192.168.0.1から192.168.255.254までのIPアドレスにしか許可されません。
ローカルのホームネットワークから同じサブネット上のコンピュータに接続してプログラムやサービスにアクセスすることを許可したいが、悪意のあるインターネットユーザーにアクセスを許可したくない場合は、「自分のネットワークのみネットワーク) - アドレス範囲の設定は非常に便利です。
プログラムまたはポートを追加すると、[プログラムとサービス]リストではデフォルトで無効になります。
[例外]タブで有効になっているすべてのプログラムまたはサービスは、[詳細]タブで選択したすべての接続に対して有効になります。
[詳細]タブ
[詳細]タブには、次のオプションがあります。
[ネットワーク接続設定]、[セキュリティログ]、[icmp]、[デフォルト設定]
[ネットワーク接続設定]< rd< br > [ネットワーク接続設定]で、次のことができます。
1. Windowsファイアウォールを有効にするインターフェイスセットを指定します。 Windowsファイアウォールを有効にするには、ネットワーク接続名の横にあるチェックボックスをオンにします。 Windowsファイアウォールを無効にするには、チェックボックスをオフにします。既定では、Windowsファイアウォールはすべてのネットワーク接続に対して有効になっています。このリストにネットワーク接続が表示されない場合は、標準のネットワーク接続ではありません。この例としては、インターネットサービスプロバイダ(ISP)が提供するカスタムダイヤラがあります。 2.ネットワーク接続名をクリックして[設定]をクリックし、個々のネットワーク接続の詳細設定を行います。 [ネットワーク接続設定]のチェックボックスをすべてオフにすると、[全般]タブで[有効にする(推奨)]をオンにしたかどうかにかかわらず、Windowsファイアウォールはコンピュータを保護しません。 。 [全般]タブで[異常トラフィックを許可する]を選択した場合、[ネットワーク接続設定]の設定は無視され、その場合はすべてのインターフェースが保護されます。 [設定]をクリックすると、[詳細設定]ダイアログボックスが表示されます。 [詳細設定]ダイアログの[サービス]タブ(tcpまたはudpポートでのみ設定)で特定のサービスを設定するか、[&mpquo; rdmp]タブで特定の種類を有効にすることができます。 ICMPトラフィックこれら2つのタブはwindows xp(pre-sp2)のicf設定のsettingsタブに相当します。
'セキュリティログ'
[セキュリティログ]の[設定]をクリックして、[ログ設定]ダイアログボックスでWindowsファイアウォールログの設定を指定してください。 [ログ設定]ダイアログボックスで、ドロップされたパケットまたは正常に接続されたパケットをログに記録するかどうかを構成したり、ログファイルの名前と場所(デフォルトはsystemrootpfirewall.log)とその最大容量を指定できます。 [icmp]ダイアログボックスで、[icmp]ダイアログボックスの[icmp]ダイアログボックスで、[icmp]の[設定]をクリックして、許可されるicmpトラフィックの種類を指定します。' icmp' Windowsファイアウォールが[詳細]タブで選択したすべての受信接続に対して許可するicmpメッセージの種類を有効または無効にすることができます。 icmpメッセージは、診断、エラー状態の報告、および設定に使用されます。デフォルトでは、このリストにicmpメッセージは許可されていません。
接続の問題を診断する一般的な手順は、pingツールを使用して、接続しようとしているコンピュータのアドレスを確認することです。検証時には、icmp echoメッセージを送信してから、応答としてicmp echo replyメッセージを受け取ることができます。既定では、Windowsファイアウォールは着信icmpエコーメッセージを許可しないため、コンピュータは応答としてicmpエコー返信メッセージを返信することはできません。着信icmpエコーメッセージを許可するようにWindowsファイアウォールを設定するには、[着信エコー要求を許可する]設定を有効にする必要があります。
[デフォルト設定]
[デフォルト設定に戻す]をクリックして、Windowsファイアウォールを初期のインストール状態にリセットします。 [デフォルトに戻す]をクリックすると、Windowsファイアウォールの設定を変更する前に、決定を確認するように求められます。