ファイアウォール機能ではなにが設定できるのか

 WindowsXPのファイアウォール機能では,どのような設定が可能なのだろうか。詳しく設定するためには,写真2にある「設定」ボタンをクリックしよう。するとファイアウォールの各種設定項目が表示される(写真3)。 ここで「サービス」タブをクリックすると,ホストマシンで提供するリスト1のサービスの制御を行える。また,写真3の下に配置されている「追加」,「編集」ボタンで,制御をかけるサービスとポート番号を追加できる。

画面
写真3■「設定」ボタンをクリックすると,設定できる項目が表示される


リスト1■設定項目の詳細

FTPサーバ− FTPサーバからのファイル転送用のプロトコル
IMAP3 メールサービス用のプロトコル
IMAP4 メールサービス用のプロトコル
POP3 メール受信に関するプロトコル
Telnetサーバー Telnetでリモートアクセスするためのプロトコル
Webサーバー(HTTP) Webサービスで利用するプロトコル
インターネットメールサーバー(SMTP) メール送信に関するプロトコル
セキュリティで保護されたWebサーバー(HTTPS) セキュリティで保護されたWebサーバで利用されるプロトコル
リモートデスクトップ WindowsXPを外出先から操作するための設定

 チェックボックスにチェックを入れたサービスは,外部から利用できるようになるが,チェックを入れない状態だと,デフォルトではポートも閉じられている。

 たとえば,FTPサーバのチェックボックスにチェックを入れた場合,サービスを提供している21番ポートだけが開放されているのがポートスキャンを仕掛けてみると分かる(写真45)。つまり,WindowsXPをインストールしたマシンでこのファイアウォール機能を利用していて,前述したリストの中にあるサービスを提供したい場合は,開放したいサービスのチェックボックスにチェックを入れる必要があるということだ。

 ただし注意しておきたいのは,FTPサーバにアクセスするためには,このポートを空けておく必要はない,ということだ。あくまでもWindowsXPでFTPサーバを利用するときの設定であって,クライアントとしてファイルのダウンロードを行うのであれば,ここで表示されているサービスにチェックを入れなければアクセスできない,ということではない。一般的なエンドユーザーで関係あるのは,WindowsXP同士で遠隔操作しあうための「リモートデスクトップ」くらいだろう。外出先から自宅のWindowsXPを利用するためには,ここにチェックを入れておく必要がある。

画面
写真4■「FTPサーバー」にチェックを入れる

画面
写真5■ポートスキャンをかけると,FTPが利用する21番のポートだけが開いていることが確認できる(クリックすると画像を拡大)

●「セキュリティのログ」タブでログを取得

 さて,次は「セキュリティのログ」タブをクリックしてみよう(写真6)。ここで設定するのは,WindowsXPに外部から送られてきたパケットに関するログと,外部から接続に成功した際のログの取得状況についてだ。取得できるのは,送信日時,パケットの送信元,送信先,ポート番号,パケットのサイズなど,必要最低限のものでしかない(リスト2)。ただ,もしマシンに不正アクセスされた際はこれが証拠になるので,定期的に保存しておくようにしよう。

画面
写真6■「セキュリティのログ」タブで,ログのサイズや保存先を指定できる


リスト2■「セキュリティのログ」で取得したログ例

#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info


2001-09-02 03:28:00 DROP ICMP 192.168.1.3 192.168.1.2 - - 92 - - - - 8 0 -
2001-09-02 03:28:16 DROP ICMP 192.168.1.3 192.168.1.2 - - 92 - - - - 8 0 -
2001-09-02 03:28:39 OPEN-INBOUND TCP 192.168.1.3 192.168.1.2 3565 21 - - - - - - - -
2001-09-02 03:29:09 CLOSE TCP 192.168.1.3 192.168.1.2 3565 21 - - - - - - - -
2001-09-02 03:29:13 OPEN TCP 192.168.1.2 127.0.0.1 3084 3001 - - - - - - - -
2001-09-02 03:29:13 OPEN TCP 192.168.1.2 192.168.1.4 3086 21 - - - - - - - -
2001-09-02 03:29:33 CLOSE TCP 192.168.1.2 192.168.1.4 3086 21 - - - - - - - -
2001-09-02 03:29:43 OPEN TCP 192.168.1.2 127.0.0.1 3087 3001 - - - - - - - -
2001-09-02 03:29:43 OPEN TCP 192.168.1.2 192.168.1.4 3089 21 - - - - - - - -
2001-09-02 03:29:55 OPEN TCP 192.168.1.2 127.0.0.1 3090 3001 - - - - - - - -
2001-09-02 03:29:55 OPEN TCP 192.168.1.2 192.168.1.4 3092 21 - - - - - - - -
2001-09-02 03:30:04 CLOSE TCP 192.168.1.2 192.168.1.4 3089 21 - - - - - - - -
2001-09-02 03:30:09 CLOSE TCP 192.168.1.2 127.0.0.1 3084 3001 - - - - - - - -
2001-09-02 03:30:09 CLOSE TCP 192.168.1.2 127.0.0.1 3087 3001 - - - - - - - -
2001-09-02 03:30:16 CLOSE TCP 192.168.1.2 192.168.1.4 3092 21 - - - - - - - -
2001-09-02 03:31:09 CLOSE TCP 192.168.1.2 127.0.0.1 3090 3001 - - - - - - - -
2001-09-02 03:39:05 DROP TCP 192.168.1.4 192.168.1.2 49153 1 48 S 425942443 0 32768 - - -
2001-09-02 03:39:07 DROP TCP 192.168.1.4 192.168.1.2 49153 1 48 S 425942443 0 32768 - - -
2001-09-02 03:39:09 DROP TCP 192.168.1.4 192.168.1.2 49153 1 48 S 425942443 0 32768 - - -
2001-09-02 03:39:09 CLOSE TCP 192.168.1.2 192.168.1.4 20 48055 - - - - - - - -
2001-09-02 03:39:10 DROP TCP 192.168.1.4 192.168.1.2 49153 1 65 R 425942444 0 0 - - -
2001-09-02 03:40:09 CLOSE TCP 192.168.1.4 192.168.1.2 49152 21 - - - - - - - -

●「ICMP」タブでPingを無効にする

 最後は「ICMP」タブをクリックしてみよう。ここでは,Internet Control Message Protocol(ICMP)の応答に関する設定を行う(写真7)。たとえば,Pingなどを送られてきた場合に,それに対する返答を行うかどうかなどが設定できる。

画面
写真7■「ICMP」タブではPingに対する応答に許可するなどの設定が可能だ


PREV 2/3 NEXT


Special

- PR -

Special

- PR -