ファイアウォールの構成
概要
ファイアウォールの構成は、システム管理者の最も重要なタスクの1つです。ファイアウォールはハッカーからデータを守る上で非常に重要な役割を果たします。Endpoint Centralは、カスタマイズされたファイアウォール構成を簡単に配布する上で役立ちます。一般的にファイアウォール構成は、プロファイル/ルールのコレクションとして説明できます。これらのプロファイル/ルールは、指定されたポートでのすべての受信と送信の通信を定義するため、コンピューターに適用されます。Endpoint Centralを使用して、特定の構成を配布するために新しい構成を作成したり、Endpoint Centralを使用して適用されなかった既存のファイアウォール構成を変更したりできます。
Windowsファイアウォールプロファイルについて
- ドメイン :この構成はドメインに属しているコンピューターに適用されます。コンピューターがインターネット/ネットワークに接続するたびに、コンピューターのファイアウォールに適用される制限が有効になります。これはビジネス環境でのコンピューターがどのように機能するかを示す理想的な例です。
- プライベート : • コンピューターがプライベートネットワークに接続されるときにファイアウォールの制限が適用されます。プライベートネットワークは、インターネットに直接接続/公開されないネットワークです。プライベートネットワークでは、セキュリティー上の理由で、NAT(ネットワークアドレス変換)やハードウェアファイアウォールなどのセキュリティー端末がネットワークに先行するように構成されています。こにより、ドメインよりも多くのセキュリティー層が作成されます。多くの企業では、企業データを保護するためにこれを構成します。
- パブリック :このプロファイルでは、コンピューターとインターネットの間にセキュリティー端末または制限がありません。パブリックネットワークの良い例は、空港、鉄道の駅、コーヒーショップなどで見られます。これらのネットワークは一般的に保護されたインターネットへのアクセスを必要としないので、最も安全な方法でファイアウォールを構成したことを確認する必要があります。
ルールについて
ルールは、システム管理者に高度な制御を提供するための構成です。ルールは、プロファイルを介して強制されるポリシーです。ドメインのプロファイルを作成し、すべての受信通信をブロックするように指定したと仮定します。この場合でも、指定されたプロファイルに例外を追加し、特定のポートへの受信通信を許可するルールを作成できます。
Endpoint Centralは、Windows XP以降のバージョンで動作するコンピューターのファイアウォールの構成をサポートします。
ファイアウォールを構成するには、以下の手順に従います。
Windows Vista以降のバージョン
ドメイン/プライベート/パブリックなどのファイアウォールを構成するプロファイルを選択する必要があります。すべてを選択することで、すべてのプロファイル用の汎用ファイアウォール構成を作成することもできます。プロファイルを指定した後で、ファイアウォールで実行すべきアクションを選択する必要があります。これには次のようなものがあります。
- 変更しない : 既存のファイアウォール構成(構成されている場合)に影響しません。
- オン: ターゲットコンピューターのファイアウォールをオンにします。
- オフ: ターゲットコンピューターのファイアウォールをオンにします。
ファイアウォールをオンにすることを選択した場合、受信通信と送信通信のアクションを個別に指定する必要があります。
参考のためにいくつか例を示します。
- プロファイルすべて - ドメイン、プライベート、パブリックのすべてのプロファイルに適用します。
受信のアクション:許可
送信のアクション:ブロック
このケースでは、ファイアウォール上のすべての受信接続が許可され、すべての送信接続が制限されます。 - プロファイルドメイン - コンピューターがドメインネットワークに接続されているときのみ、コンピューターに適用します。
受信のアクション:許可
送信のアクション:ブロック
このケースでは、ファイアウォール上のすべての受信接続が許可され、すべての送信接続が制限されます。 - プロファイルパブリック - コンピューターがパブリックネットワークに接続されているときのみ、コンピューターに適用します。
受信のアクション:ブロック
送信のアクション:許可
このケースでは、コンピューターがパブリックネットワークに接続されている場合、ファイアウォール上のすべての受信通信はブロックされ、送信接続は許可されます。
しかし、特定のポートの受信通信を除外する特定のルールを適用した場合、指定したポートの受信通信のみが許可されます。
特定のポートでの受信/送信通信などの特定の機能を除外する特定のルールを作成できます。ルールを作成するときには、ルールの名前を指定し、ドメイン/パブリック/プライベートなど、このルールを適用するプロファイルを指定する必要があります。 さらにポート番号/プロトコル、例外として実行するアクションも指定する必要があります。同じプロファイルに1つまたは複数のルールを作成できます。
ターゲットを選択し、実行構成を指定して、構成を配布できます。これで、Windows Vista以降のバージョンで動作するコンピューターで、ファイアウォールの構成が正常に行われました。 ファイアウォール構成の作成を開始する前に、windowsファイアウォールプロファイルの詳細について説明します。windowsオペレーティングシステムで動作するすべてのコンピューターは、プロファイルを使用してインターネット