ファイアウォールの規則の [セキュリティで保護されている場合、接続を許可する] は、ネットワーク パケットがインターネット プロトコル セキュリティ (IPsec) で保護される必要があり、保護されない場合は規則に一致しないことを指定する場合に選択します。このオプションの横にある [カスタマイズ] をクリックすると、必須とする IPsec 保護の種類を指定するためのオプションを構成できます。

次に説明する最初 3 つのオプションのいずれかを選択する必要があります。最後のオプションの [ブロックの規則より優先する] は、これらのオプションとは別に選択できます。

このダイアログ ボックスを表示するには
  • 新規のファイアウォール規則ウィザードを使用してファイアウォールの規則を作成する場合、[操作] ページの [セキュリティで保護されている場合、接続を許可する] をクリックし、[カスタマイズ] をクリックします。

  • 既存のファイアウォールの規則を変更するには、[全般] タブの [セキュリティで保護されている場合、接続を許可する] をクリックし、[カスタマイズ] をクリックします。

認証され整合性が保護されている接続のみを許可する

これは既定のオプションです。このオプションは、照合するすべてのネットワーク パケットに対し、接続セキュリティの各規則に定義されているとおりに IPsec 認証と整合性アルゴリズムの両方を使用することを要求する場合に使用します。その他のすべての条件に一致するネットワーク パケットが、認証されず整合性アルゴリズムで保護されていない場合、そのパケットはこの規則に一致しないためブロックされます。

この設定は、Windows Vista 以降のバージョンの Windows が実行されているコンピューターに適用される場合にサポートされます。

接続の暗号化を要求する

このオプションは、照合するすべてのネットワーク パケットに対し、接続セキュリティの各規則に定義されているとおりにデータの暗号化を使用することを要求する場合に使用します。その他のすべての条件に一致するネットワーク パケットが暗号化されていない場合、そのパケットはこの規則に一致しないためブロックされます。このオプションが有効な場合、セキュリティが強化された Windows ファイアウォールで [データ保護設定のカスタマイズ] ダイアログ ボックスの設定が使用されます。

コンピューターに動的な暗号化の交渉を許可する

このオプションは、受信規則でのみ利用可能です。このオプションは、認証が成功した後に、暗号化アルゴリズムのネゴシエート中に暗号化されていないネットワーク トラフィックを送受信するためのネットワーク接続を許可する場合に使用します。

セキュリティについての 注

暗号化がネゴシエートされる間、ネットワーク トラフィックはクリア テキストとして送信されます。このオプションは、この時間中に接続を介して送信されるネットワーク トラフィックが、テキスト形式で転送するには機密上の問題がある場合は使用しないでください。

接続に NULL カプセル化の使用を許可する

このオプションは、照合するすべてのネットワーク パケットが IPsec 認証を使用することを要求し、整合性または暗号化による保護を要求しない場合に使用します。このオプションは、カプセル化セキュリティ ペイロード (ESP) または認証ヘッダー (AH) 整合性プロトコルとの互換性がないネットワーク機器やソフトウェアが存在する場合にのみ使用することをお勧めします。

この設定は、Windows 7 または Windows Server 2008 R2 が実行されているコンピューターに適用される場合にサポートされます。以前のバージョンの Windows が実行されているコンピューターには適用されません。

ブロックの規則より優先する

このファイアウォール規則に一致するネットワーク パケットが任意のブロック ファイアウォール規則を上書きすることを許可するには、このオプションを使用します。このオプションは、認証されたバイパスとも呼ばれます。通常、接続を明示的にブロックする規則は、接続を許可する規則より優先されます。このオプションを使用すると、別の規則によって接続がブロックされる場合でも、接続が許可されます。この規則に一致するネットワーク トラフィックは、承認および信頼されたユーザーまたはコンピューターからのトラフィックとして認証されるため、許可するネットワーク トラフィックを効果的に指定することになります。

通常このオプションは、ネットワークの脆弱性スキャナーやその他のネットワーク ツールなどの信頼されたプログラムを、制限なく実行することを許可する場合に使用します。通常のファイアウォール構成ではこうしたデバイスからのネットワーク トラフィックがブロックされることはありませんが、承認されたコンピューターを特定する規則を作成できます。[ブロックの規則より優先する] オプションを使用すると、これらの承認されたコンピューターからのトラフィックのみが許可されます。このオプションを使用しない場合は、同じファイアウォール規則の条件に一致するブロック ファイアウォール規則が優先され、接続がブロックされます。

このオプションをオンにした場合、新規のファイアウォールの規則ウィザードの [コンピューター] ページまたは [<ファイアウォール規則名>のプロパティ] ダイアログ ボックスの [コンピューター] タブで、認証のためのコンピューターまたはコンピューター グループを 1 つ以上指定する必要があります。

ファイアウォールの動作状態を [すべての接続をブロック] に設定すると ([セキュリティが強化された Windows ファイアウォールのプロパティ] ダイアログ ボックス)、すべてのネットワーク トラフィックは、このオプションが設定されている場合でもブロックされます。

関連項目


目次