ファイアウォール機能ではなにが設定できるのか |
WindowsXPのファイアウォール機能では,どのような設定が可能なのだろうか。詳しく設定するためには,写真2にある「設定」ボタンをクリックしよう。するとファイアウォールの各種設定項目が表示される(写真3)。 ここで「サービス」タブをクリックすると,ホストマシンで提供するリスト1のサービスの制御を行える。また,写真3の下に配置されている「追加」,「編集」ボタンで,制御をかけるサービスとポート番号を追加できる。
リスト1■設定項目の詳細
|
チェックボックスにチェックを入れたサービスは,外部から利用できるようになるが,チェックを入れない状態だと,デフォルトではポートも閉じられている。
たとえば,FTPサーバのチェックボックスにチェックを入れた場合,サービスを提供している21番ポートだけが開放されているのがポートスキャンを仕掛けてみると分かる(写真4,5)。つまり,WindowsXPをインストールしたマシンでこのファイアウォール機能を利用していて,前述したリストの中にあるサービスを提供したい場合は,開放したいサービスのチェックボックスにチェックを入れる必要があるということだ。
ただし注意しておきたいのは,FTPサーバにアクセスするためには,このポートを空けておく必要はない,ということだ。あくまでもWindowsXPでFTPサーバを利用するときの設定であって,クライアントとしてファイルのダウンロードを行うのであれば,ここで表示されているサービスにチェックを入れなければアクセスできない,ということではない。一般的なエンドユーザーで関係あるのは,WindowsXP同士で遠隔操作しあうための「リモートデスクトップ」くらいだろう。外出先から自宅のWindowsXPを利用するためには,ここにチェックを入れておく必要がある。
|
●「セキュリティのログ」タブでログを取得
さて,次は「セキュリティのログ」タブをクリックしてみよう(写真6)。ここで設定するのは,WindowsXPに外部から送られてきたパケットに関するログと,外部から接続に成功した際のログの取得状況についてだ。取得できるのは,送信日時,パケットの送信元,送信先,ポート番号,パケットのサイズなど,必要最低限のものでしかない(リスト2)。ただ,もしマシンに不正アクセスされた際はこれが証拠になるので,定期的に保存しておくようにしよう。
リスト2■「セキュリティのログ」で取得したログ例
#Verson: 1.0 #Software: Microsoft Internet Connection Firewall #Time Format: Local #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info 2001-09-02 03:28:00 DROP ICMP 192.168.1.3 192.168.1.2 - - 92 - - - - 8 0 - 2001-09-02 03:28:16 DROP ICMP 192.168.1.3 192.168.1.2 - - 92 - - - - 8 0 - 2001-09-02 03:28:39 OPEN-INBOUND TCP 192.168.1.3 192.168.1.2 3565 21 - - - - - - - - 2001-09-02 03:29:09 CLOSE TCP 192.168.1.3 192.168.1.2 3565 21 - - - - - - - - 2001-09-02 03:29:13 OPEN TCP 192.168.1.2 127.0.0.1 3084 3001 - - - - - - - - 2001-09-02 03:29:13 OPEN TCP 192.168.1.2 192.168.1.4 3086 21 - - - - - - - - 2001-09-02 03:29:33 CLOSE TCP 192.168.1.2 192.168.1.4 3086 21 - - - - - - - - 2001-09-02 03:29:43 OPEN TCP 192.168.1.2 127.0.0.1 3087 3001 - - - - - - - - 2001-09-02 03:29:43 OPEN TCP 192.168.1.2 192.168.1.4 3089 21 - - - - - - - - 2001-09-02 03:29:55 OPEN TCP 192.168.1.2 127.0.0.1 3090 3001 - - - - - - - - 2001-09-02 03:29:55 OPEN TCP 192.168.1.2 192.168.1.4 3092 21 - - - - - - - - 2001-09-02 03:30:04 CLOSE TCP 192.168.1.2 192.168.1.4 3089 21 - - - - - - - - 2001-09-02 03:30:09 CLOSE TCP 192.168.1.2 127.0.0.1 3084 3001 - - - - - - - - 2001-09-02 03:30:09 CLOSE TCP 192.168.1.2 127.0.0.1 3087 3001 - - - - - - - - 2001-09-02 03:30:16 CLOSE TCP 192.168.1.2 192.168.1.4 3092 21 - - - - - - - - 2001-09-02 03:31:09 CLOSE TCP 192.168.1.2 127.0.0.1 3090 3001 - - - - - - - - 2001-09-02 03:39:05 DROP TCP 192.168.1.4 192.168.1.2 49153 1 48 S 425942443 0 32768 - - - 2001-09-02 03:39:07 DROP TCP 192.168.1.4 192.168.1.2 49153 1 48 S 425942443 0 32768 - - - 2001-09-02 03:39:09 DROP TCP 192.168.1.4 192.168.1.2 49153 1 48 S 425942443 0 32768 - - - 2001-09-02 03:39:09 CLOSE TCP 192.168.1.2 192.168.1.4 20 48055 - - - - - - - - 2001-09-02 03:39:10 DROP TCP 192.168.1.4 192.168.1.2 49153 1 65 R 425942444 0 0 - - - 2001-09-02 03:40:09 CLOSE TCP 192.168.1.4 192.168.1.2 49152 21 - - - - - - - - |
●「ICMP」タブでPingを無効にする
最後は「ICMP」タブをクリックしてみよう。ここでは,Internet Control Message Protocol(ICMP)の応答に関する設定を行う(写真7)。たとえば,Pingなどを送られてきた場合に,それに対する返答を行うかどうかなどが設定できる。
2/3 |