Windows Server 2008のアドバンスドファイアウォールを設定する方法

Microsoftの Windows
Server 2003のファイアウォールの機能は非常に単純なので、多くのシステム管理者はそれをチキンリブと見なしています。受信保護、ホストベースのステートフルファイアウォールWindows
Server 2008の人気が高まるにつれて、その組み込みファイアウォール機能は大幅に向上しました。この新しい高度なファイアウォールがシステムの保護にどのように役立つか、および管理コンソールユニットを使用してシステムを構成する方法を見てみましょう。

なぜこのWindowsホストベースのファイアウォールを使うべきなのでしょうか。

今日、多くの企業が外部のセキュリティハードウェアを使用してネットワークを強化しています。つまり、ファイアウォールや侵入保護システムを使用して、インターネット上の悪意のある攻撃者からネットワークを保護するための壁をネットワークの周りに作成します。しかし、攻撃者が境界の防御を突破して内部ネットワークにアクセスすることができるのであれば、Windows認証セキュリティのみが企業の最も重要な資産であるデータへのアクセスを阻止します。

これは、ほとんどのIT担当者がサーバーを強化するためにホストベースのファイアウォールを使用していないためです。なぜこれが起こっているのですか？ほとんどのIT担当者は、ホストベースのファイアウォールを展開する際の問題は、もたらす価値よりも大きいと考えているからです。

この記事を読んだ後で、Windowsをホストベースのファイアウォールと見なすことができます。 Windows Server 2008では、このホストベースのファイアウォールはWindowsに組み込まれており、プレインストールされており、以前のバージョンよりも多くの機能を備えており、構成も簡単です。重要な基盤となるサーバーを強化するための最良の方法の1つです。高度なセキュリティを備えたWindowsファイアウォールは、ホストファイアウォールとIPSecを組み合わせたものです。境界ファイアウォールとは異なり、セキュリティが強化されたWindowsファイアウォールは、このバージョンのWindowsを実行しているすべてのコンピュータ上で動作し、境界ネットワークを通過したり組織内で発生したりするネットワーク攻撃に対するローカル保護を提供します。また、通信のために認証とデータ保護を要求することを可能にするコンピュータ間接続セキュリティも提供します。

では、このWindows Server Advanced Firewallはどのように機能しますか。また、どのように構成しますか。それを見続けましょう。

新しいファイアウォールには機能とヘルプが用意されています。

Windows Server 2008に組み込まれたこのファイアウォールは、現在「高度」になっています。これは私がそれが先進的であると言っているということだけではありません、マイクロソフトは今それをAdvanced Security Windowsファイアウォール（WFAS）と呼びました。

以下は、新しい名前を証明することができる新しい機能です。

1、新しいグラフィカルインターフェイス。

この高度なファイアウォールは、管理コンソールから設定されています。

2、双方向保護。

送信トラフィックと受信トラフィックをフィルタリングします。

3、IPSECとのより良い協力。

セキュリティが強化されたWindowsファイアウォールは、Windowsファイアウォール機能とインターネットプロトコルセキュリティ（IPSec）を単一のコンソールに統合します。これらの高度なオプションを使用して、環境に応じて鍵交換、データ保護（整合性と暗号化）、および認証設定を構成します。

4.高度なルール設定。

Windows Server上のさまざまなオブジェクトに対してファイアウォールルールを作成し、トラフィックが高度なセキュリティでWindowsファイアウォールを通過することを遮断または許可するようにファイアウォールルールを設定できます。

受信パケットがコンピュータに到着すると、セキュリティが強化されたWindowsファイアウォールがそのパケットをチェックし、それがファイアウォール規則で指定された基準を満たしているかどうかを判断します。パケットがルールの条件に一致すると、セキュリティが強化されたWindowsファイアウォールは、ルールで指定されている処理を実行して、接続をブロックするか接続を許可します。パケットがルールの基準に一致しない場合、セキュリティが強化されたWindowsファイアウォールはパケットを破棄し、ログ記録が有効になっている場合はファイアウォールログファイルにエントリを作成します。

ルールを設定する際には、アプリケーション名、システムサービス名、TCPポート、UDPポート、ローカルIPアドレス、リモートIPアドレス、設定ファイル、インターフェイスの種類など、さまざまな標準から選択できます。ネットワークアダプタ、ユーザー、ユーザーグループ、コンピュータ、コンピュータグループ、プロトコル、ICMPの種類など。ルール内の標準はまとめて追加され、追加する標準が多いほど、セキュリティが強化されたWindowsファイアウォールは受信トラフィックと一致します。

この高度なセキュリティのWindowsファイアウォールは、双方向保護、優れたグラフィカルインターフェイス、および高度なルール設定を追加することによって、ZoneAlarm Proなどの従来のホストベースのファイアウォールと同じくらい強力になっています。

ホストベースのファイアウォールを使用しているサーバー管理者は、最初に次のように考えています。これは、この重要なサーバーベースのアプリケーションの通常の運用に影響しますか？ただし、これはあらゆるセキュリティ対策で考えられる問題であり、Windows 2008 Advanced Security Firewallはこのサーバーに追加された新しい役割に対して新しい規則を自動的に構成します。ただし、サーバー上でマイクロソフト以外のアプリケーションを実行しており、インバウンドネットワーク接続が必要な場合は、通信の種類に基づいて新しいルールを作成する必要があります。

この高度なファイアウォールを使用することで、サーバーを攻撃からよりよく強化し、他のユーザーを攻撃するためにサーバーを悪用されないようにし、サーバーから送受信されるデータを判断できます。これらの目標を達成する方法を見てみましょう。

高度なセキュリティを実現するためのWindowsファイアウォールの設定について

以前のWindows Serverでは、ネットワークアダプタを設定するか、コントロールパネルからWindowsファイアウォールを設定することができました。この設定はとても簡単です。

Windows Advanced Security Firewallの場合、ほとんどの管理者はWindows Server ManagerまたはWindows Advanced Security Firewall MMCスナップインから設定できます。以下は、2つの設定インターフェイスのスクリーンショットです。

図1、Windows Server 2008サーバーマネージャ

図2、Windows 2008の高度なセキュリティファイアウォール管理コンソール

ブートが見つかりましたこのWindows Advanced Securityファイアウォールを取得する最も簡単で迅速な方法は、次に示すように、[スタート]メニューの検索ボックスに「firewall」と入力することです。

図3、Windows 2008 Advanced Securityファイアウォール管理コンソールのクイックスタート

さらに、ネットワークコンポーネントの設定を構成するコマンドラインツールであるNetshを使用してWindows Advanced Securityファイアウォールを構成することもできます。 netsh advfirewallを使用して、IPv4トラフィックとIPv6トラフィックの両方に対して高度なセキュリティを備えた一連のWindowsファイアウォール設定を自動的に構成するスクリプトを作成します。 netsh advfirewallコマンドを使用して、Windowsファイアウォールの構成と状態を高度なセキュリティで表示することもできます。

この新しいファイアウォール管理コンソールで非常に多くの機能を設定できるので、それらすべてについて言及することはできません。 Windows 2003の内蔵ファイアウォールの設定グラフィカルインタフェースを見たことがある方は、この新しいWindows Advanced Security Firewallには非常に多くのオプションが隠されていることがすぐにわかります。私がみんなに紹介するために最も一般的に使用される機能のいくつかを選んでみましょう。

デフォルトでは、Windows Advanced Securityファイアウォール管理コンソールに最初にアクセスしたときに、Windows Advanced Securityファイアウォールがデフォルトで有効になっており、受信規則に一致しない受信接続がブロックされています。さらに、この新しいアウトバウンドファイアウォールはデフォルトで無効になっています。

もう1つ注意しなければならないことは、このWindows Advanced Security Firewallには、ユーザーが選択できる複数の構成ファイルがあるということです。

図4、Windows 2008 Advanced Security Firewallで提供される設定ファイル

このWindows Advanced Security Firewallには、ドメイン設定ファイル、専用の設定ファイル、およびパブリック設定ファイルがあります。構成ファイルは、ファイアウォールの規則や接続セキュリティの規則など、コンピューターの場所に基づいて適用される設定をグループ化する方法です。たとえば、コンピュータが社内LANにあるのか、それとも地元の喫茶店にいるのかによって異なります。

私の意見では、これまで説明してきたWindows 2008 Advanced Security Firewallのすべての改善点の中で最も重要な改善点は、より複雑なファイアウォール規則です。次に示すように、Windows Server 2003ファイアウォールに例外を追加するオプションを見てみましょう。

図5、Windows 2003 Serverファイアウォールの例外ウィンドウ

Windows 2008 Serverの設定ウィンドウを比較しましょう。

図6、Windows 2008 Serverの高度なファイアウォール例外設定ウィンドウ

プロトコルラベルとポートラベルは、このマルチラベルウィンドウのほんの一部にすぎません。ユーザーとコンピュータ、プログラムとサービス、およびIPアドレス範囲にもルールを適用できます。この複雑なファイアウォールルール構成により、マイクロソフトはWindows Advanced Security FirewallをマイクロソフトのIASサーバーに移行しました。

Windows Advanced Security Firewallによって提供される既定の規則の数も驚くべきものです。 Windows 2003 Serverでは、デフォルトの例外ルールは3つしかありません。 Windows 2008 Advanced Security Firewallは、約90の既定の受信ファイアウォール規則と少なくとも40の既定の送信規則を提供します。

図7、Windows 2008 Server Advancedファイアウォールの既定の受信規則

では、この新しいWindows Advanced Firewallを使用して規則をどのように作成しますか。見てみましょう。カスタムインバウンドルールを作成する方法Windows 2008サーバにWindows版のApache Webサーバをインストールしたとします。 Windows内蔵のIIS Webサーバーを既に使用している場合は、このポートが自動的に開きます。ただし、現在サードパーティのWebサーバーを使用しており、インバウンドファイアウォールを開いているので、このウィンドウを手動で開く必要があります。手順は次のとおりです。·マスクしたいプロトコルを特定します - この場合はTCP /IP（UDP /IPまたはICMPに対応）です。

·送信元IPアドレス、送信元ポート番号、送信先IPアドレス、および送信先ポートを識別します。私たちが行っているWeb通信は、任意のIPアドレスと任意のポート番号からこのサーバーのポート80に流れるデータ通信です。 （ここではApache HTTPサーバーのような特定のプログラム用のルールを作成することができます）。

· Windows Advanced Securityのファイアウォール管理コンソールを開きます。

&ルールの追加 - Windows Advanced Security Firewall MMCの[新しいルール]ボタンをクリックして、新しいルールを起動するためのウィザードを起動します。

図8、Windows 2008 Serverの高度なファイアウォール管理コンソール - [新しいルール]ボタン

·ポート用に作成するルールを選択します。 ·プロトコルとポート番号の設定 - デフォルトのTCPプロトコルを選択し、ポートとして80と入力して、[次へ]をクリックします。 ·デフォルトの[接続を許可する]を選択し、[次へ]をクリックします。 ·このルールをすべてのプロファイルに適用するデフォルトを選択して、[次へ]をクリックします。 ·このルールに名前を付けて[次へ]をクリックします。この時点で、次のようなルールが表示されます。

図9、ルール作成後のWindows 2008 Server Advancedファイアウォール管理コンソール

このルールが有効になっていない場合私が最近インストールしたApache Webサーバーは機能しません。ただし、この規則を作成した後は、正常に機能します。

まとめ：ファイアウォール設定ファイル、複雑なルール設定、元の30倍の数のデフォルトルール、およびこの記事では説明していない多くの高度なセキュリティ機能を使用すると、大幅な改善ができます。 Windows 2008 Serverの高度なセキュリティファイアウォールは確かに真の名前であり、実際にマイクロソフトが呼んでいる高レベルのファイアウォールです。この内蔵の無料の高度なホストベースのファイアウォールは、Windows Serverが将来さらに安全になることを保証します。しかし、あなたがそれを使わなければ、それはあなたを助けません。それで、あなたが今日この新しいWindows Advanced Firewallを経験することを願っています。
zh-CN"],null,[1],zh-TW"]]]