XPには詳細なファイアウォール設定が付属しています

現在リリースされているwindows xpサービスパック2（sp2）には、以前はインターネット接続ファイアウォール（icf）と呼ばれていたwindowsファイアウォールが含まれています。 Windowsファイアウォールは、求められていないすべての着信トラフィック、つまり応答コンピュータに送信された要求に対応しないトラフィック（要求されたトラフィック）も破棄される、ホストベースのステートフルファイアウォールです。要求されていないトラフィック（異常トラフィック）を許可します。 Windowsファイアウォールは、悪意のあるユーザーや、迷惑な着信トラフィックに依存してネットワーク上のコンピューターを攻撃するプログラムに対して、ある程度の保護を提供します。

Windows XP SP2では、Windowsファイアウォールに次のような多くの新機能があります。

デフォルトでは、コンピュータへのすべての接続が有効になり、すべての接続に新しいグローバル設定オプションが使用されます。グローバル設定、新しい動作モード、起動時のセキュリティ、ローカルネットワークの制限、異常なトラフィック、アプリケーションファイル名によるインターネットプロトコルバージョン6（ipv6）の組み込みサポートのための新しいダイアログセット

netshおよびグループポリシーを使った新しい設定オプション

この記事では、新しいWindowsファイアウォールを手動で設定するためのダイアログセットについて詳しく説明します。 windows xp（pre-sp2）のicpとは異なり、これらの設定ダイアログはipv4とipv6の両方のトラフィックを設定できます。

Windows XP（SP2以前のバージョン）のicf設定には、インターネットからのこのコンピュータへのアクセスを制限またはブロックすることで保護する（接続プロパティの[詳細]タブにある）単一のチェックボックスが含まれています[コンピュータとネットワーク]チェックボックス、および[設定]ボタンを使用して、トラフィックの設定、ログ設定、および許可されたicmpトラフィックを記録できます。

Windows XP SP2では、接続プロパティの[詳細設定]タブのチェックボックスは、一般設定、プログラム、およびサービスのアクセス許可を設定するために使用できる[設定]ボタンに置​​き換えられています。 、接続の設定、ログ設定、および許可されたicmpトラフィックを指定します。

[設定]ボタンをクリックすると、新しい[Windowsファイアウォール]コントロールパネルプログラム（[ネットワークとインターネット接続とセキュリティセンター]のカテゴリにあります）が実行されます。

新しい[Windowsファイアウォール]ダイアログには、次のタブがあります。

全般[例外] [詳細]全般タブ

[全般]タブ次のオプションから選択できます。

"有効にする（推奨）"

[詳細設定]タブで選択したすべてのネットワーク接続に対してWindowsファイアウォールを有効にするには、このオプションを選択します。

Windowsファイアウォールが有効になっていると、要求されたトラフィックと異常なトラフィックのみが許可されます。異常なトラフィックは[例外]タブで設定できます。

"異常なトラフィックは許可されていません"

このオプションをクリックすると、受信トラフィックのみがリクエストに許可されます。これは異常な着信トラフィックを許可しません。 [例外]タブの設定は無視され、[詳細設定]タブの設定に関係なくすべての接続が保護されます。

"無効にする"

Windowsファイアウォールを無効にするには、このオプションを選択します。特にインターネット経由で直接アクセスできるネットワーク接続では、これはお勧めできません。

Windows XP SP2を実行しているコンピュータへのすべての接続および新しく作成された接続では、Windowsファイアウォールの既定の設定は "有効（推奨）"です。これは、迷惑な着信トラフィックに依存するプログラムまたはサービスの通信に影響を与える可能性があります。このような場合は、機能しなくなったプログラムを特定し、それらのプログラムまたはそのトラフィックを異常なトラフィックとして追加する必要があります。インターネットブラウザや電子メールクライアント（Outlook Expressなど）などの多くのプログラムは、迷惑な着信トラフィックに依存しないため、Windowsファイアウォールを有効にしても正常に動作します。

グループポリシーを使用してWindows XP SP2を実行しているコンピュータ用のWindowsファイアウォールを構成している場合、構成したグループポリシー設定でローカル構成が許可されないことがあります。このような場合、[一般]タブや他のタブのオプションがグレー表示されて選択できないことがあります。ローカル管理者でも選択できません。

グループポリシーベースのWindowsファイアウォール設定を使用すると、ドメインプロファイル（ドメインコントローラを含むネットワークに接続したときに適用される一連のWindowsファイアウォール設定）と標準プロファイル（一連のWindowsファイアウォール設定）を構成できます。ドメインコントローラを含まないインターネットなどのネットワークに接続したときに適用されるWindowsファイアウォール設定。これらの設定ダイアログには、現在適用されているプロファイルのWindowsファイアウォール設定のみが表示されます。現在適用されていないプロファイルの設定を表示するには、netsh firewall showコマンドを使用します。現在適用されていないプロファイルの設定を変更するには、netsh firewall setコマンドを使用します。

[例外]タブ
[<例外>]タブでは、既存のプログラムまたはサービスを有効または無効にしたり、異常なトラフィックを定義するプログラムまたはサービスを維持したりできます。のリスト。 [全般]タブの[異常トラフィックを許可する]オプションが選択されていると、異常トラフィックは拒否されます。

windows xp（pre-sp2）の場合、Transmission Control Protocol（tcp）またはUser Datagram Protocol（udp）ポートに基づいてのみ異常なトラフィックを定義できます。 Windows XP SP2では、TCPポートとUDPポート、またはプログラムやサービスのファイル名に基づいて、異常なトラフィックを定義できます。この設定の柔軟性により、プログラムまたはサービスのtcpポートまたはudpポートが不明であるか、プログラムまたはサービスの開始時に動的に決定する必要がある場合に、異常トラフィックの設定が容易になります。

一連の事前設定済みのプログラムとサービスがあります。

ファイルとプリンタの共有、リモートアシスタント（デフォルトで有効）、リモートデスクトップ、upnpフレームワーク、これらの事前定義済みのプログラムとサービス削除できません。

グループポリシーで許可されている場合は、[プログラムの追加]をクリックして指定したプログラム名に基づいて追加の例外トラフィックを作成し、[ポートの追加]をクリックしてTCPまたはUDPベースのポートを作成することもできます。異常なトラフィック

[プログラムの追加]をクリックすると[プログラムの追加]ダイアログボックスが表示され、プログラムを選択したりプログラムのファイル名を参照したりできます。

[ポートの追加]をクリックすると、[ポートの追加]ダイアログボックスが表示され、そこでTCPポートまたはUDPポートを設定できます。

新しいWindowsファイアウォールの機能の1つは、着信トラフィックの範囲を定義できることです。スコープは、異常なトラフィックを開始することを許可されているネットワークセグメントを定義します。プログラムまたはポートの範囲を定義するときには、2つの選択肢があります。

"any computer"

任意のIPアドレスからの異常なトラフィックを許可します。

「自分のネットワーク（サブネット）のみ」

次のIPアドレスからの異常なトラフィックのみを許可します。つまり、トラフィックを受信するネットワーク接続に接続されているローカルネットワークセグメント（sub）です。ネット）が一致します。たとえば、ネットワーク接続のIPアドレスが192.168.0.99に設定され、サブネットマスクが255.255.0.0の場合、異常トラフィックは192.168.0.1から192.168.255.254までのIPアドレスにしか許可されません。

ローカルホームネットワークから同じサブネット上のコンピュータに接続してプログラムやサービスにアクセスすることを許可したいが、悪意のあるインターネットユーザーにアクセスを許可したくない場合は、「自分のネットワーク」だけを使用します。 （サブネット） "設定したアドレス範囲は役に立ちます。

追加されたプログラムまたはポートは、[プログラムとサービス]リストではデフォルトで無効になっています。

[例外]タブで有効になっているすべてのプログラムまたはサービスは、[詳細設定]タブで選択したすべての接続に対して有効です。

詳細設定タブ

詳細設定タブには、以下のオプションがあります。

ネットワーク接続設定、セキュリティログ、icmp、デフォルト設定

"ネットワーク接続設定 "

"ネットワーク接続設定 "では、次のことができます。

1、Windowsファイアウォールを有効にするインターフェイスセットを指定します。 Windowsファイアウォールを有効にするには、ネットワーク接続名の横にあるチェックボックスをオンにします。 Windowsファイアウォールを無効にするには、チェックボックスをオフにします。既定では、Windowsファイアウォールはすべてのネットワーク接続に対して有効になっています。ネットワーク接続がこのリストに表示されない場合、それは、標準のネットワーク接続ではありません。この例としては、インターネットサービスプロバイダ（ISP）が提供するカスタムダイヤラがあります。

2.ネットワーク接続名をクリックしてから[設定]をクリックして、個々のネットワーク接続の詳細設定を構成します。

ネットワーク接続設定のチェックボックスをすべてオフにすると、[全般]タブで（推奨）を有効にしているかどうかにかかわらず、Windowsファイアウォールはコンピュータを保護しません。 。 [全般]タブで[異常なトラフィックを許可しない]を選択した場合、[ネットワーク接続設定]の設定は無視されます。その場合、すべてのインターフェースが保護されます。

[設定]をクリックすると、[詳細設定]ダイアログボックスが表示されます。

[詳細設定]ダイアログの[サービス]タブ（tcpまたはudpポートでのみ設定）で特定のサービスを設定したり、[icmp]タブで特定の種類を有効にしたりできます。 ICMPトラフィック

これら2つのタブは、windows xp（sp2以前）のicf設定の設定タブに相当します。

"セキュリティログ"

"セキュリティログ"で、 "設定"をクリックして "ログ設定"ダイアログボックスでWindowsファイアウォールログの設定を指定してください。

[ログ設定]ダイアログで、破棄されたパケットまたは正常に接続されたパケットをログに記録するかどうかを設定し、ログファイルの名前と場所（デフォルトはsystemrootpfirewall.log）とその最大容量を指定できます。

"icmp"

"icmp"で、[設定]をクリックして[icmp]ダイアログボックスで許可されているicmpトラフィックの種類を指定します。

in " [icmp]ダイアログでは、[詳細設定]タブで選択したすべての着信接続に対してWindowsファイアウォールが許可するicmpメッセージの種類を有効または無効にできます。 icmpメッセージは、診断、エラー状態の報告、および設定に使用されます。デフォルトでは、このリストにicmpメッセージは許可されていません。

接続の問題を診断する一般的な手順は、pingツールを使用して、接続しようとしているコンピュータのアドレスを確認することです。検証時には、icmp echoメッセージを送信してから、応答としてicmp echo replyメッセージを受け取ることができます。既定では、Windowsファイアウォールは着信icmpエコーメッセージを許可しないため、コンピュータは応答としてicmpエコー返信メッセージを返信することはできません。着信icmpエコーメッセージを許可するようにWindowsファイアウォールを設定するには、[着信エコー要求を許可する]設定を有効にする必要があります。

"デフォルト設定"

"デフォルトに戻す"をクリックして、Windowsファイアウォールを初期のインストール状態にリセットします。

[デフォルトに戻す]をクリックすると、Windowsファイアウォールの設定を変更する前に決定を確認するように求められます。