Windows 2000 で IPSec の IP フィルタ一覧を使用する方法

文書番号: 313190 - 対象製品
この記事は、以前は次の ID で公開されていました: JP313190
すべて展開する | すべて折りたたむ

目次

概要

IPSec (インターネット プロトコル セキュリティ) を使用すると、Windows 2000 ベースのコンピュータのネットワーク通信をセキュリティで保護できます。IPSec は、IPSec ポリシーに基づいて通信に適用されます。IPSec ポリシーを使用して、コンピュータ間の通信に IPSec を適用する条件を指定できます。また、IPSec ポリシーを使用して、コンピュータのネットワーク インターフェイスで受信または送信を許可するパケットを制御できます。

IPSec ポリシーは、以下の 2 つの要素に基づいています。
  • IP フィルタ一覧
  • IP フィルタ操作
IP (インターネット プロトコル) フィルタ一覧は、プロトコルとフォルダの一覧です。たとえば、フィルタ一覧に、すべてのコンピュータがローカル インターフェイスの TCP ポート 80 へアクセスすることを許可するエントリを作成できます。また、同じ一覧の別のエントリでローカル インターフェイスの TCP ポート 25 へのアクセスを許可し、さらに別のエントリでローカル インターフェイスの UDP (ユーザー データグラム プロトコル) ポート 53 へのアクセスを許可できます。

コンピュータ インターフェイスに着信したパケットに対応するエントリがフィルタ一覧にあると、IPSec ポリシー エージェントによって、フィルタ一覧に割り当てられているフィルタ操作が適用されます。たとえば、上記のフィルタ一覧にブロック フィルタ操作を指定した場合、宛先が TCP ポート 80、TCP ポート 25、または UDP ポート 53 のパケットがすべてブロックされます。ただし、上記のフィルタ一覧に許可フィルタ操作を指定すると、宛先が TCP ポート 80、TCP ポート 25、または UDP ポート 53 のパケットが許可されます。

IPSec フィルタ一覧とフィルタ操作は、すべてのインターフェイスにおけるアクセスを制御するための効果的な方法として使用できます。ただし、マルチホーム コンピュータでは、IPSec ポリシーはすべてのインターフェイスに適用されます。IPSec ポリシーを特定のインターフェイスにのみ適用する方法はありません。

Windows 2000 には、以下の 2 つのデフォルトの IP フィルタ一覧が含まれています。
  • すべての ICMP トラフィック

    および
  • すべての IP トラフィック
Windows 2000 には、以下の 3 つのデフォルトのフィルタ操作があります。
  • 許可

    および
  • セキュリティを要求 (省略可能)

    および
  • セキュリティが必要

IPSec フィルタ一覧を作成する方法

受信 TCP ポート 80 と TCP ポート 25 の両方に適用される IPSec フィルタ一覧を作成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。
  2. [セキュリティの設定] を展開します。
  3. 左側のウィンドウで [ローカル コンピュータの IP セキュリティ ポリシー] を右クリックし、[IP フィルタ一覧とフィルタ操作の管理] をクリックします。
  4. [IP フィルタ一覧とフィルタ操作の管理] ダイアログ ボックスの [IP フィルタ一覧の管理] タブをクリックし、[追加] をクリックします。
  5. [名前] ボックスに TCP 80 と 25 の着信と入力し、[説明] ボックスに TCP ポート 80 と 25 への着信を許可します。と入力します。
  6. [追加ウィザードを使用] チェック ボックスをオフにします。[追加] をクリックして、新しいフィルタ一覧のエントリを追加します。
  7. [フィルタのプロパティ] ダイアログ ボックスの [アドレスの指定] タブをクリックします。
  8. [発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックします。
  9. [宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。このように構成することにより、フィルタが受信パケットに適用されます。
  10. [ミラー化] チェック ボックスをオフにします。
  11. [プロトコル] タブをクリックします。
  12. [プロトコルの種類の選択] ボックスの一覧の [TCP] をクリックします。
  13. [任意の発信ポート] をクリックし、[次の宛先ポート] をクリックします。
  14. [次の宛先ポート] ボックスに 80 と入力します。
  15. [適用] をクリックし、[OK] をクリックします。
  16. [IP フィルタ一覧] ダイアログ ボックスで [追加] をクリックします。
  17. [アドレスの指定] タブをクリックします。
  18. [発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックします。
  19. [宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。このように構成することにより、フィルタが受信パケットに適用されます。
  20. [ミラー化] チェック ボックスをオンにします。このチェック ボックスをオンにすると、発信元と宛先の IP アドレスを逆にしたフィルタも作成されます。
  21. [プロトコル] タブをクリックします。
  22. [プロトコルの種類の選択] ボックスの一覧の [TCP] をクリックします。
  23. [任意の発信ポート] をクリックし、[次の宛先ポート] をクリックします。
  24. [次の宛先ポート] ボックスに 25 と入力します。
  25. [適用] をクリックし、[OK] をクリックします。
  26. [IP フィルタ一覧] ダイアログ ボックスで [閉じる] をクリックします。
  27. [IP フィルタ一覧とフィルタ操作の管理] ダイアログ ボックスの [閉じる] をクリックします。

フィルタ一覧に基づく IPSec ポリシーを作成する方法

フィルタ一覧に基づく IPSec ポリシーを作成するには、以下の手順を実行します。
  1. ローカル セキュリティ ポリシーの左側のウィンドウで [ローカル コンピュータの IP セキュリティ ポリシー] を右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。
  2. [IP セキュリティ ポリシー ウィザードの開始] で、[次へ] をクリックします。
  3. [IP セキュリティ ポリシー名] で、[名前] ボックスに TCP 80 と 25 への着信を許可すると入力し、[次へ] をクリックします。
  4. [既定の応答規則をアクティブにする] チェック ボックスをオフにし、[次へ] をクリックします。
  5. [IP セキュリティ ポリシー ウィザードの完了] で、[プロパティを編集する] チェック ボックスがオフになっている場合はこれをオンにしてから、[完了] をクリックします。
  6. [規則] タブをクリックします。
  7. [追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  8. [IP フィルタ一覧] タブをクリックします。
  9. [TCP 80 と 25 の着信] の左側にあるボタンをクリックします。
  10. [フィルタ操作] タブをクリックします。
  11. [許可] の左側にあるボタンをクリックします。
  12. [適用] をクリックし、[OK] をクリックします。
  13. [TCP 80 と 25 の着信] チェック ボックスがオンになっていることを確認します。[閉じる] をクリックします。
IPSec ポリシーは、宛先がローカル インターフェイスの TCP ポート 80 と TCP ポート 25 のパケットを確認し、パケットが許可フィルタ操作と一致するかどうかを確認します。許可フィルタ操作は、パケットがインターフェイスを通過することを許可します。

: このポリシーを適用しても、その他のトラフィックを防ぐ拒否規則が存在しないため、すべてのトラフィックが許可されます。上記のポリシーで指定したトラフィックのみを許可するには、すべてのトラフィックを拒否する拒否規則を作成する必要があります。

先頭へ戻る | フィードバック

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
301284
(http://support.microsoft.com/kb/301284/ )
2 つのホスト間で IPSec を使用してセキュリティで保護された通信を行う方法
先頭へ戻る | フィードバック

プロパティ

文書番号: 313190 - 最終更新日: 2005年9月29日 - リビジョン: 2.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhowtomaster KB313190
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る