ファイアウォール規則を追加または編集する

セキュリティの構成ウィザード (SCW) を使用すると、ファイアウォール規則を作成して、プログラム、システムサービス、コンピューター、またはユーザーとのトラフィックの送受信をこのコンピューターに許可できます。規則の条件に一致するすべての接続に対して、3 つの操作 (接続を許可、インターネットプロトコルセキュリティ (IPsec) を使用してセキュリティ保護された接続のみを許可、または接続を明示的にブロック) のいずれかを行うようにファイアウォール規則を作成できます。

重要

ファイアウォール規則はファイアウォールを通過するトラフィックを許可しますが、トラフィックのセキュリティ保護は行いません。IPsec を使ってトラフィックをセキュリティ保護するには、接続セキュリティ規則を作成します。ただし、接続セキュリティ規則を作成しても、ファイアウォールを通過するトラフィックが許可されるわけではありません。トラフィックがファイアウォールの既定の動作によって許可されない場合は、そのトラフィックを許可するファイアウォール規則を作成する必要があります。接続セキュリティ規則はプログラムやサービスには適用されず、2 つのコンピューター間に適用されます。接続セキュリティ規則を作成するには、セキュリティが強化された Windows ファイアウォールスナップイン (FW.msc) を使用する必要があります。

[全般] タブ

受信トラフィックまたは送信トラフィックのいずれかに対して規則を作成できます。規則は、プログラム、サービス、プロトコル、またはポートを指定するように構成できます。IT 環境の変化に応じて、規則の変更、作成、または削除を行うことができます。

ファイアウォール規則は、次の優先順位に従って適用されます。

認証されたバイパス (ブロックの規則より優先される規則)
接続のブロック
接続の許可

受信の規則

受信の規則は、規則の条件に一致するコンピューターへのアクセスを明示的に許可またはブロックします。たとえば、ファイアウォールを通過するリモートデスクトップについて、IPsec によってセキュリティ保護されたトラフィックを明示的に許可し、セキュリティ保護されていないトラフィックをブロックする規則を構成できます。Windows を最初にインストールしたときは、受信トラフィックはブロックされます。トラフィックを許可するには、受信規則を作成する必要があります。

送信の規則

送信の規則は、規則の条件に一致するコンピューターからのアクセスを明示的に許可またはブロックします。たとえば、ファイアウォールを通過して特定のコンピューターへ送信されたトラフィックを明示的にブロックし、他のコンピューターへの同様のトラフィックは許可する規則を構成できます。送信トラフィックは既定で許可されるため、トラフィックをブロックするには送信の規則を作成する必要があります。

[プログラムおよびサービス] タブ

セキュリティが強化された Windows ファイアウォールは、受信者側が送信を要求していない着信 TCP/IP トラフィックを既定ですべてブロックするため、サーバー、リスナー、またはピアとして動作しているプログラムやサービスに対して、プログラム、ポート、およびシステムサービスの規則を構成する必要が生じる場合があります。プログラム、ポート、およびシステムサービスの規則は、サーバーの役割や構成が変わったときに、そのつど管理する必要があります。

重要

ファイアウォール規則の設定を行うと、接続要求が規則に一致しなければならない条件の制約レベルが累積されます。たとえば、[プログラムおよびサービス] タブでプログラムやサービスを指定していない場合、その他の条件に一致するとすべてのプログラムとサービスが接続を許可されます。したがって、条件を詳細にするほど規則はより限定的になり、一致する可能性が低くなります。

規則の一覧にプログラムを追加するには、プログラムが使用する実行可能 (.exe) ファイルの完全なパスを指定する必要があります。固有の .exe ファイルの内部で実行され、サービスコンテナーにホストされていないシステムサービスはプログラムと見なされ、規則の一覧に追加できます。同様に、システムサービスのように動作し、ユーザーがコンピューターにログオンしているかどうかに関係なく実行されるプログラムも、固有の .exe ファイルの内部で実行される限りプログラムと見なされます。

注意

規則に制約を追加せずに、サービスをホストするプログラム (Svchost.exe、Dllhost.exe、Inetinfo.exe など) を規則の一覧に追加すると、コンピューターがセキュリティ上の脅威にさらされる可能性があります。また、これらのプログラムを追加すると、Windows Server 2008 R2 または Windows Server 2008 を実行するコンピューターに設定された他のサービスのセキュリティ強化ポリシーと競合する可能性があります。

プログラムを規則の一覧に追加すると、セキュリティが強化された Windows ファイアウォールはそのプログラムに必要なポートを動的に開いたり (ブロック解除) 閉じたり (ブロック) します。プログラムが実行中で着信トラフィックをリッスンしている場合、セキュリティが強化された Windows ファイアウォールは必要なポートを開きます。プログラムが実行されていない場合、または着信トラフィックをリッスンしていない場合は、セキュリティが強化された Windows ファイアウォールはポートを閉じます。このように動的な動作が行われるため、セキュリティが強化された Windows ファイアウォールを通過する、受信者側が送信を要求していない着信トラフィックを許可する場合は、規則の一覧にプログラムを追加することをお勧めします。

注

プログラムの規則を使用すると、プログラムが Windows ソケット (Winsock) を使ってポートの割り当てを作成した場合にのみ、セキュリティが強化された Windows ファイアウォールを通過する、受信者側が送信を要求していない着信トラフィックを許可できます。プログラムが Winsock を使ってポートを割り当てていない場合は、プログラムが使用するポートを特定し、それらのポートを規則の一覧に追加する必要があります。

[プロトコルおよびポート] タブ

規則の一覧にプログラムやシステムサービスを追加できないことがあります。このような場合は、そのプログラムまたはシステムサービスが使用するポート (複数可) を特定し、それをセキュリティが強化された Windows ファイアウォールの規則の一覧に追加する必要があります。

[プロトコルおよびポート] タブで、最もよく使用されるプロトコルとそれらに関連付けられたプロトコル番号の一覧から選択できます。追加する必要があるプロトコルが一覧にない場合は、[カスタム] を選択して、プロトコル番号を指定します。

TCP プロトコルまたは UDP プロトコルのどちらかを選択する場合、規則を適用するローカルまたはリモートのポートを指定できます。TCP ポートまたは UDP ポートを規則の一覧に追加した場合は、セキュリティが強化された Windows ファイアウォールが実行中であれば、そのポートへの着信トラフィックをリッスンしているプログラムやシステムサービスがあるかどうかに関係なく、常にポートが開かれます (ブロック解除)。このため、セキュリティが強化された Windows ファイアウォールを通過する、受信者側が送信を要求していない着信トラフィックを許可する必要がある場合は、ポートの規則ではなくプログラムの規則を作成する必要があります。

[スコープ] タブ

[スコープ] タブを使用して、IP アドレス、サブネット、または IP アドレスの範囲を指定します。IPv4 および IPv6 IP アドレスの両方を使用できます。

ローカル IP アドレス

[ローカル IP アドレス] では、ターゲットコンピューターがローカルコンピューターの場合に適用されるファイアウォール規則を構成できます。さらに、ネットワークの特定のブランチに属するコンピューターに規則を適用するために IP アドレスまたは IP アドレスの範囲を指定することで、規則がローカルコンピューターにいつ適用されるかを特定できます。

リモート IP アドレス

[リモート IP アドレス] では、ターゲットコンピューターがリモートコンピューターの場合に適用されるファイアウォール規則を構成できます。さらに、ネットワークの特定のブランチに属するコンピューターに規則を適用するために IP アドレスまたは IP アドレスの範囲を指定して、規則がリモートコンピューターにいつ適用されるかを特定できます。

IP アドレスの指定について

IPv4。ネットワークで IPv4 アドレスを使用している場合は、172.30.160.169 のような単一の IP アドレスを指定するか、146.53.0.0/24 のようなサブネットを指定します。
IPv6。ネットワークで IPv6 アドレスを使用している場合は、単一の IP アドレスを、コロンで区切られた 4 桁の 16 進数 8 セットから構成される形式 (または相当する許可された形式) で指定するか、またはサブネットとして指定します。
どちらの形式の場合でも、アドレスの範囲を指定するには、規則に含まれる最初 ([開始]) と最後 ([終了]) の IP アドレスを指定するだけです。