実際、WindowsファイアウォールはWindows XP SP2のリリースで登場し、ICFと比較して多くの重要な改善が含まれており、デフォルトでOSに含まれていました。 後者の事実は、最初は多くの場合、多くの時代遅れのアプリケーションの動作不能、Windowsでの追加設定の指定の必要性、そしてもちろん、MSへの批判につながりました。 そして、発信フィルタリングの欠如についてはどのくらい書かれていましたか...しかし、Nimda、Slammer、Blaster、その他の聴衆にとって心地よい名前はすでにガタガタと鳴りました。
VistaおよびWindows Server 2008では、Windowsファイアウォールにさらに大きな変更が加えられました。実際、ファイアウォールが機能し、サードパーティのソリューションを作成できる新しいフィルタリングプラットフォームが登場し、IPsecポリシーがファイアウォール設定と組み合わされ、発信フィルタリングが登場しました。
この投稿の一環として、「7」およびR2のWindowsファイアウォールの機能について詳しく説明します。 もちろん、これらの機能は、同じTechNetのさまざまな記事に既に記載されていますが、原則として、改善の本質がすり抜けて過小評価される可能性があります。
複数のアクティブプロファイル
Windows 7のファイアウォールの最初の主要な機能は、複数のプロファイルを同時にアクティブにできることです。
Windows Vista以降、組み込みのファイアウォールはドメイン、プライベート、パブリックの3つのプロファイルをサポートしています(XPではドメインと標準の2つがありました)。 各プロファイルは、ファイアウォールによって適用される一連のルールです。 コンピューターがネットワークに接続するたびに、OSはこのネットワークを識別し、適切なプロファイルを適用しようとします。 特に、コンピューターを所有するドメインコントローラーがネットワーク上で利用可能な場合、ドメインプロファイルが自動的に適用されます。 コンピューターが接続されている新しいネットワークでドメインコントローラーが存在しない場合、最も制限の厳しいパブリックプロファイルが適用されます。 同時に、このネットワークのプロファイルを明示的に選択できるウィンドウがユーザーの前に表示されます(図1を参照)。
図 1
Network Location Awareness(NLA)サービスは、専用のデータベースにネットワーク情報を保存します。 次回コンピューターがこのネットワークに接続し、NLAがデータベースに保存された情報に基づいてネットワークを正常に識別すると、ファイアウォールは適切なプロファイルを自動的に適用します。
そのため、Windows Vistaでは、常に1つのプロファイルのみをアクティブにできます。 つまり、各時点で、1つのプロファイルの設定のみが、ファイアウォールが有効になっているすべてのネットワークインターフェイスに適用されます。
これにより、特定の問題が発生します。 たとえば、ドメインプロファイルでは、管理者は特定のビジネスアプリケーション(オプションとしてMicrosoft Office Groove)の着信接続を許可しました。 ユーザーはドメインネットワークのラップトップで作業し、このビジネスアプリケーションを使用します。 ユーザーが、公共のWiFiネットワークが利用できる会議室、たとえば次の階のオフィスや携帯電話会社に移動するとします。 ラップトップのWiFiアダプターは自動的にこのパブリックネットワークに接続し、パブリックプロファイルを適用する必要があります。 同様の状況で、アダプターが異なるネットワークを「見る」と、Vistaは常に最も制限の厳しいプロファイル、つまりパブリックを適用します。このプロファイルでは、すべての着信接続が禁止されます。 その結果、ビジネスアプリケーションは正常に動作しなくなります。
別の例はVPNです。 同じユーザーがラップトップから企業リソースにアクセスしようとしていますが、自宅からです。 彼はVPN接続を確立し、彼の前には企業ネットワーク全体があります。 ただし、VPN接続などにプライベートプロファイルが使用されるため、ファイアウォールドメインプロファイルの設定は適用されず、ビジネスアプリケーションは再び正常に機能しません。 これはすべて、会社のIT部門にとって特定の頭痛の種です。
Windows 7は、同じ3つのファイアウォールプロファイルをサポートしています。 ただし、一度に複数のプロファイルをアクティブにすることができます。 各ネットワークアダプターは、接続先のネットワークに最適なプロファイルを使用します(図2を参照)。
図 2
そのため、VPNを使用してインターネットカフェから企業ネットワークに接続した後、VPNトンネルを通過するすべてのトラフィックにドメインプロファイルが適用され、他のすべてのトラフィックはパブリックプロファイルによって保護されます。
以下はそれほど重要ではありませんが、注目に値する非常に有用な変更です。
複数のプロファイルの除外の設定
コントロールパネルのWindowsファイアウォールアプレットインターフェイスには、いくつかの拡張機能があります。 以前は、例外を設定するとき、つまり、ファイアウォールを介して動作することを許可するアプリケーションを指定するとき、設定は現在の(現在アクティブな)プロファイルに保存されていました。 Windows 7では、この例外を適用する1つ以上のプロファイルを明示的に選択できます(図3を参照)。
図 3
一部のアプリケーションがファイアウォールを通過しようとしているという通知が表示された場合にも、同様の可能性が存在します(図4を参照)。
図 4
Windowsファイアウォールアプレットについて話していることを強調します。 セキュリティが強化されたWindowsファイアウォールを使用してルールを作成した場合、VistaおよびWindows 7では、作成されたルールをすぐに複数のプロファイルに拡張できます。
プロファイルのファイアウォールを有効/無効にする
Windows 7では、特定のプロファイルまたはプロファイルのアラートをブロックするだけでなく、ファイアウォールを簡単にオンまたはオフにすることができます(図5を参照)。
図 5
サイトリンク
「7」のWindowsファイアウォールアプレットから追加のリンクを使用すると、セキュリティが強化されたWindowsファイアウォールコンソール、既定の設定、または問題解決ツールにすばやくアクセスできます。 通常は注意が払われていないこの些細なことは、時間の節約に役立ちます(図6)。
図 6
ユーザーとコンピューターの例外
Windows Vistaでルールを作成する場合、IPSecを使用して、特定のユーザーやコンピューターに対して接続が許可されるように指定できます。 Windows 7 plusでは、ユーザーやコンピューターに例外を設定できます(図7を参照)。
図 7
ポート範囲
最後に注意したいのは、ルールでポート範囲を指定する機能です。 Vistaでは、特定のポート番号をコンマで区切って指定できます(図8を参照)。
図 8
また、サードパーティの開発者が以前のバージョンと比較して更新されたAPIにアクセスできることを追加する必要があります。これにより、一方では独自の機能を追加し、他方では組み込みファイアウォールの必要な機能のみを使用できます。 たとえば、開発者はファイアウォール管理ポリシーを実装できますが、組み込みのIPsecポリシーに依存しています。
ただし、APIではなく、通常のWindowsツール(コントロールパネル、netsh)を使用してWindowsファイアウォールを無効にすると、すべてのIPsecポリシーが無効になることに注意してください。 後者は、たとえば、クライアントのDirectAccessを無効にします。
もう1つの機能は、仮想アカウントとサービスSIDのフィルターを構成する機能です。 ここでこれらのメカニズムの両方について詳細に議論します 。
そのため、Windowsファイアウォールはオペレーティングシステムと共に進化し、セキュリティの脅威の積極的な改善に対応しています。
強力な専用ファイアウォールであると主張することなく、Windowsファイアウォールは「すぐに使用可能」になり、グループポリシーまたはスクリプトによって効果的に管理され、その主なタスク-外部の望ましくないネットワークの影響からのワークステーション/サーバーの追加保護を実行します。 このタスクに非常にうまく対処しているように思えます。 なぜ使用しないのですか?