Windows XP のインターネット接続ファイアウォールについて

文書翻訳 文書翻訳
文書番号: 320855 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows XP Home Edition、Microsoft Windows XP Professional、Windows XP Home Edition Service Pack 1 (SP1)、および Windows XP Professional SP1 に含まれるインターネット接続ファイアウォール (ICF) について説明します。

詳細

インターネット接続ファイアウォールについて

インターネット接続ファイアウォールは、ホーム ネットワークや小規模オフィスのネットワークとインターネットとの間で通信する情報に制限を設定するために使用するソフトウェアです。

ネットワークでインターネット接続の共有を使用して、複数のコンピュータがインターネットにアクセスできるようにしている場合、共有するインターネット接続で、インターネット接続ファイアウォールを有効にすることをお勧めします。インターネット接続の共有とインターネット接続ファイアウォールは個別に有効にすることができます。インターネットに直接接続している Microsoft Windows XP ベースのコンピュータのインターネット接続では、インターネット接続ファイアウォールを有効にすることをお勧めします。

インターネット接続ファイアウォールは、インターネットに接続している単一のコンピュータも保護できます。単一のコンピュータがケーブル モデム、DSL モデム、またはダイヤルアップ モデムでインターネットに接続している場合、インターネット接続ファイアウォールはインターネット接続の保護に役立ちます。仮想プライベート ネットワーク (VPN) には、インターネット接続ファイアウォールを使用しないでください。インターネット接続ファイアウォールによって、ファイルの共有やその他の VPN の機能が妨げられます。

インターネット接続ファイアウォールの動作

インターネット接続ファイアウォールは "ステートフル" ファイアウォールです。ステートフル ファイアウォールとは、その経路を通る通信のすべての状況を監視し、ファイアウォールが処理する各メッセージの送信元アドレスと送信先アドレスを検査するファイアウォールです。接続のパブリック側から一方的に送られてくる迷惑なトラフィックがプライベート側に侵入しないようにするため、インターネット接続ファイアウォールは、インターネット接続ファイアウォールを実行中のコンピュータから発信されるすべての通信のテーブルを保持します。単一のコンピュータの場合、インターネット接続ファイアウォールはそのコンピュータから発信されたトラフィックを追跡します。インターネット接続ファイアウォールをインターネット接続の共有と共に使用した場合、インターネット接続ファイアウォールは、インターネット接続ファイアウォールとインターネット接続の共有を実行中のコンピュータから発信されるすべてのトラフィックを追跡し、プライベート ネットワークのコンピュータから発信されるすべてのトラフィックを追跡します。インターネット接続ファイアウォールは、インターネットからのすべての受信トラフィックを、テーブル内のエントリと比較します。コンピュータまたはプライベート ネットワークで交信が開始されたことを示す対応するエントリがテーブル内にある場合のみ、受信インターネット トラフィックはネットワーク内のコンピュータに転送されます。

インターネットなど、インターネット接続ファイアウォールを実行中のコンピュータの外側の発信元からの通信は、通過を許可するエントリを [サービス] タブで作成しない限り、ファイアウォールによって廃棄されます。インターネット接続ファイアウォールは、一方的に送られてくる迷惑な通信をユーザーへの通知なしで破棄します。これにより、ポート スキャンなどの一般的な不正侵入の試みを防止します。このような通知は頻繁に送信されるため、作業の邪魔になる場合があります。インターネット接続ファイアウォールは、通知の代わりにファイアウォールによる追跡活動を確認できるようにセキュリティ ログを作成します。

インターネットからの迷惑なトラフィックを、インターネット接続ファイアウォールを実行中のコンピュータからプライベート ネットワークに転送するように、サービスを構成することができます。たとえば、HTTP Web サーバー サービスをホストしていて、コンピュータで HTTP サービスを有効にしている場合は、インターネット接続ファイアウォールを実行中のコンピュータから HTTP Web サーバーに迷惑な HTTP トラフィックを転送します。迷惑なインターネット トラフィックをプライベート ネットワーク上の Web サーバーに転送するためには、インターネット接続ファイアウォールで操作情報 (サービス定義) が必要です。

インターネット接続ファイアウォールの注意事項

インターネットに直接接続しないすべての接続でインターネット接続ファイアウォールを有効にすることはお勧めできません。インターネット接続の共有を使用するクライアント コンピュータのネットワーク アダプタに対して、インターネット接続ファイアウォールを有効にすると、インターネット接続ファイアウォールにより、そのコンピュータとネットワークにある他のすべてのコンピュータとの間で一部の通信が妨害されます。同様の理由から、ネットワーク セットアップ ウィザードを使用して、インターネット接続の共有ホストのプライベート接続に対し、インターネット接続ファイアウォールを有効にすることはできません。これはインターネット接続の共有ホスト コンピュータとインターネット接続の共有クライアント コンピュータを接続する接続です。この場所でファイアウォールを有効にすると、ネットワーク通信が妨げられます。

ネットワークで既にファイアウォールやプロキシ サーバーを使用している場合、インターネット接続ファイアウォールを使用する必要はありません。

ネットワークで共有するインターネット接続が 1 つだけの場合、インターネット接続ファイアウォールを有効にして、ネットワークを保護することをお勧めします。個々のクライアント コンピュータが、ダイヤルアップ モデムや DSL モデムなどのアダプタを使用してインターネットに接続している場合もあり、ファイアウォールの保護がないと攻撃されやすくなります。インターネット接続ファイアウォールは、このサービスを有効にしているインターネット接続を通る通信だけをチェックすることができます。インターネット接続ファイアウォールは接続単位で機能するため、ネットワーク全体を保護するには、インターネットに接続しているすべてのコンピュータで、サービスを有効にする必要があります。インターネット接続の共有のホスト コンピュータのインターネット接続に対してインターネット接続ファイアウォールを有効にしても、直接インターネットに接続するクライアント コンピュータでインターネット接続ファイアウォールを使用して保護していなければ、ネットワークはその保護されていない接続から攻撃される可能性があります。

インターネット接続ファイアウォールを越えてサービスが動作するようにするサービス定義も、接続単位で機能します。ネットワークで複数のファイアウォール接続を使用する場合、接続を通してサービスを動作させるインターネット接続ファイアウォールごとにサービス定義を構成する必要があります。


インターネット接続ファイアウォールと通知メッセージ

インターネット接続ファイアウォールはすべての着信を検査するため、インターネット接続ファイアウォールを有効にすると、一部のプログラム、特に電子メール プログラムの動作が変わることがあります。電子メール プログラムには、定期的に電子メール サーバーに新しいメールをポーリングするものと、電子メール サーバーからの通知を待つものとがあります。

たとえば、Microsoft Outlook Express はタイマーからの指示により、新しい電子メール メッセージを自動的にチェックします。新しい電子メール メッセージが存在する場合、Outlook Express は新しい電子メール メッセージ通知によりユーザーに受信を促します。新しい電子メール メッセージ通知の要求はファイアウォールの内側から発信されているため、インターネット接続ファイアウォールにより Outlook Express の動作が影響を受けることはありません。インターネット接続ファイアウォールはテーブルにこの要求を送信したことを示すエントリを作成します。メール サーバーが新しい電子メールの受信を肯定する応答を送信すると、インターネット接続ファイアウォールはテーブルから対応するエントリを見つけ、通信の通過を許可します。その後、新しい電子メール メッセージが到着したという通知がユーザーに表示されます。

Microsoft Outlook 2000 は、リモート プロシージャ コール (RPC) を使用して新しい電子メール メッセージ通知をクライアントに送る Microsoft Exchange ベースのサーバーに接続します。Outlook 2000 は Exchange ベースのサーバーに接続している場合、新しい電子メール メッセージを自動的には確認しません。新しいメッセージが到着すると、Exchange ベースのサーバーから Outlook 2000 に通知されます。RPC 通知はファイアウォールの外側にある Exchange ベースのサーバーから発信される (Outlook 2000 によってではない) ため、インターネット接続ファイアウォールはテーブルに対応するエントリを見つけることができません。インターネット接続ファイアウォールは RPC メッセージがインターネットからホーム ネットワークに渡されることを許可しません。RPC 通知メッセージは廃棄されます。電子メール メッセージは送受信できますが、新しい電子メールは手動で確認する必要があります。


インターネット接続ファイアウォールの詳細設定

インターネット接続ファイアウォールのセキュリティ ログの作成機能を使用して、ファイアウォール活動のセキュリティ ログを作成できます。インターネット接続ファイアウォールでは、許可されたトラフィックと拒否されたトラフィックの両方をログに記録できます。たとえば、インターネットからのエコー要求の着信はデフォルトでインターネット接続ファイアウォールにより許可されません。インターネット制御メッセージ プロトコル (ICMP) の [エコー要求の着信を許可する] という設定が有効にされていない場合、着信要求は成功せず、着信接続の失敗を記録するログ エントリが作成されます。

[エコー要求の着信を許可する]、[タイムスタンプ要求の着信を許可する]、[ルーター要求の着信を許可する]、[リダイレクトを許可する] などのさまざまな ICMP オプションを有効にすることにより、インターネット接続ファイアウォールの動作を変更することができます。これらのオプションの簡単な説明は、[ICMP] タブに表示されます。

サービス拒否 (Denial-Of-Service) の攻撃によって発生する可能性があるオーバーフローを防ぐため、セキュリティ ログの許容サイズを設定できます。イベント ログは World Wide Web Consortium (W3C) により規定された拡張ログファイル形式で作成されます。

関連情報

インターネット接続ファイアウォールを有効または無効にする方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsxp/pro/using/itpro/securing/enableicf.mspx
インターネット接続ファイアウォールを有効または無効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
283673 Windows XP でインターネット ファイアウォールを有効または無効にする方法
インターネット接続ファイアウォールでファイルやプリンタの共有ができなくなる状況の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
298804 インターネット ファイアウォールによってインターネットの参照やファイルの共有ができなくなる
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
306203 インターネット接続ファイアウォールおよびベーシック ファイアウォールで Internet Protocol Version 6 トラフィックがブロックされない
インターネット接続ファイアウォールのセキュリティ ログ ファイルの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
サービス定義の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx
ICMP の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx
Windows XP SP2 に含まれる Windows ファイアウォールのバージョンの関連情報を参照するには、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsxp/using/security/internet/sp2_wfintro.mspx

プロパティ

文書番号: 320855 - 最終更新日: 2007年5月30日 - リビジョン: 5.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
キーワード:?
kbinfo kbfirewall kbenv KB320855
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com