現在オフラインです。再接続するためにインターネットの接続を待っています

Windows XP のインターネット接続ファイアウォールについて

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

概要
この資料では、Microsoft Windows XP Home Edition、Microsoft Windows XP Professional、Windows XP Home Edition Service Pack 1 (SP1)、および Windows XP Professional SP1 に含まれるインターネット接続ファイアウォール (ICF) について説明します。

先頭に戻る
詳細

インターネット接続ファイアウォールについて

インターネット接続ファイアウォールは、ホーム ネットワークや小規模オフィスのネットワークとインターネットとの間で通信する情報に制限を設定するために使用するソフトウェアです。

ネットワークでインターネット接続の共有を使用して、複数のコンピュータがインターネットにアクセスできるようにしている場合、共有するインターネット接続で、インターネット接続ファイアウォールを有効にすることをお勧めします。インターネット接続の共有とインターネット接続ファイアウォールは個別に有効にすることができます。インターネットに直接接続している Microsoft Windows XP ベースのコンピュータのインターネット接続では、インターネット接続ファイアウォールを有効にすることをお勧めします。

インターネット接続ファイアウォールは、インターネットに接続している単一のコンピュータも保護できます。単一のコンピュータがケーブル モデム、DSL モデム、またはダイヤルアップ モデムでインターネットに接続している場合、インターネット接続ファイアウォールはインターネット接続の保護に役立ちます。仮想プライベート ネットワーク (VPN) には、インターネット接続ファイアウォールを使用しないでください。インターネット接続ファイアウォールによって、ファイルの共有やその他の VPN の機能が妨げられます。

先頭に戻る

インターネット接続ファイアウォールの動作

インターネット接続ファイアウォールは "ステートフル" ファイアウォールです。ステートフル ファイアウォールとは、その経路を通る通信のすべての状況を監視し、ファイアウォールが処理する各メッセージの送信元アドレスと送信先アドレスを検査するファイアウォールです。接続のパブリック側から一方的に送られてくる迷惑なトラフィックがプライベート側に侵入しないようにするため、インターネット接続ファイアウォールは、インターネット接続ファイアウォールを実行中のコンピュータから発信されるすべての通信のテーブルを保持します。単一のコンピュータの場合、インターネット接続ファイアウォールはそのコンピュータから発信されたトラフィックを追跡します。インターネット接続ファイアウォールをインターネット接続の共有と共に使用した場合、インターネット接続ファイアウォールは、インターネット接続ファイアウォールとインターネット接続の共有を実行中のコンピュータから発信されるすべてのトラフィックを追跡し、プライベート ネットワークのコンピュータから発信されるすべてのトラフィックを追跡します。インターネット接続ファイアウォールは、インターネットからのすべての受信トラフィックを、テーブル内のエントリと比較します。コンピュータまたはプライベート ネットワークで交信が開始されたことを示す対応するエントリがテーブル内にある場合のみ、受信インターネット トラフィックはネットワーク内のコンピュータに転送されます。

インターネットなど、インターネット接続ファイアウォールを実行中のコンピュータの外側の発信元からの通信は、通過を許可するエントリを [サービス] タブで作成しない限り、ファイアウォールによって廃棄されます。インターネット接続ファイアウォールは、一方的に送られてくる迷惑な通信をユーザーへの通知なしで破棄します。これにより、ポート スキャンなどの一般的な不正侵入の試みを防止します。このような通知は頻繁に送信されるため、作業の邪魔になる場合があります。インターネット接続ファイアウォールは、通知の代わりにファイアウォールによる追跡活動を確認できるようにセキュリティ ログを作成します。

インターネットからの迷惑なトラフィックを、インターネット接続ファイアウォールを実行中のコンピュータからプライベート ネットワークに転送するように、サービスを構成することができます。たとえば、HTTP Web サーバー サービスをホストしていて、コンピュータで HTTP サービスを有効にしている場合は、インターネット接続ファイアウォールを実行中のコンピュータから HTTP Web サーバーに迷惑な HTTP トラフィックを転送します。迷惑なインターネット トラフィックをプライベート ネットワーク上の Web サーバーに転送するためには、インターネット接続ファイアウォールで操作情報 (サービス定義) が必要です。

先頭に戻る

インターネット接続ファイアウォールの注意事項

インターネットに直接接続しないすべての接続でインターネット接続ファイアウォールを有効にすることはお勧めできません。インターネット接続の共有を使用するクライアント コンピュータのネットワーク アダプタに対して、インターネット接続ファイアウォールを有効にすると、インターネット接続ファイアウォールにより、そのコンピュータとネットワークにある他のすべてのコンピュータとの間で一部の通信が妨害されます。同様の理由から、ネットワーク セットアップ ウィザードを使用して、インターネット接続の共有ホストのプライベート接続に対し、インターネット接続ファイアウォールを有効にすることはできません。これはインターネット接続の共有ホスト コンピュータとインターネット接続の共有クライアント コンピュータを接続する接続です。この場所でファイアウォールを有効にすると、ネットワーク通信が妨げられます。

ネットワークで既にファイアウォールやプロキシ サーバーを使用している場合、インターネット接続ファイアウォールを使用する必要はありません。

ネットワークで共有するインターネット接続が 1 つだけの場合、インターネット接続ファイアウォールを有効にして、ネットワークを保護することをお勧めします。個々のクライアント コンピュータが、ダイヤルアップ モデムや DSL モデムなどのアダプタを使用してインターネットに接続している場合もあり、ファイアウォールの保護がないと攻撃されやすくなります。インターネット接続ファイアウォールは、このサービスを有効にしているインターネット接続を通る通信だけをチェックすることができます。インターネット接続ファイアウォールは接続単位で機能するため、ネットワーク全体を保護するには、インターネットに接続しているすべてのコンピュータで、サービスを有効にする必要があります。インターネット接続の共有のホスト コンピュータのインターネット接続に対してインターネット接続ファイアウォールを有効にしても、直接インターネットに接続するクライアント コンピュータでインターネット接続ファイアウォールを使用して保護していなければ、ネットワークはその保護されていない接続から攻撃される可能性があります。

インターネット接続ファイアウォールを越えてサービスが動作するようにするサービス定義も、接続単位で機能します。ネットワークで複数のファイアウォール接続を使用する場合、接続を通してサービスを動作させるインターネット接続ファイアウォールごとにサービス定義を構成する必要があります。

先頭に戻る

インターネット接続ファイアウォールと通知メッセージ

インターネット接続ファイアウォールはすべての着信を検査するため、インターネット接続ファイアウォールを有効にすると、一部のプログラム、特に電子メール プログラムの動作が変わることがあります。電子メール プログラムには、定期的に電子メール サーバーに新しいメールをポーリングするものと、電子メール サーバーからの通知を待つものとがあります。

たとえば、Microsoft Outlook Express はタイマーからの指示により、新しい電子メール メッセージを自動的にチェックします。新しい電子メール メッセージが存在する場合、Outlook Express は新しい電子メール メッセージ通知によりユーザーに受信を促します。新しい電子メール メッセージ通知の要求はファイアウォールの内側から発信されているため、インターネット接続ファイアウォールにより Outlook Express の動作が影響を受けることはありません。インターネット接続ファイアウォールはテーブルにこの要求を送信したことを示すエントリを作成します。メール サーバーが新しい電子メールの受信を肯定する応答を送信すると、インターネット接続ファイアウォールはテーブルから対応するエントリを見つけ、通信の通過を許可します。その後、新しい電子メール メッセージが到着したという通知がユーザーに表示されます。

Microsoft Outlook 2000 は、リモート プロシージャ コール (RPC) を使用して新しい電子メール メッセージ通知をクライアントに送る Microsoft Exchange ベースのサーバーに接続します。Outlook 2000 は Exchange ベースのサーバーに接続している場合、新しい電子メール メッセージを自動的には確認しません。新しいメッセージが到着すると、Exchange ベースのサーバーから Outlook 2000 に通知されます。RPC 通知はファイアウォールの外側にある Exchange ベースのサーバーから発信される (Outlook 2000 によってではない) ため、インターネット接続ファイアウォールはテーブルに対応するエントリを見つけることができません。インターネット接続ファイアウォールは RPC メッセージがインターネットからホーム ネットワークに渡されることを許可しません。RPC 通知メッセージは廃棄されます。電子メール メッセージは送受信できますが、新しい電子メールは手動で確認する必要があります。

先頭に戻る

インターネット接続ファイアウォールの詳細設定

インターネット接続ファイアウォールのセキュリティ ログの作成機能を使用して、ファイアウォール活動のセキュリティ ログを作成できます。インターネット接続ファイアウォールでは、許可されたトラフィックと拒否されたトラフィックの両方をログに記録できます。たとえば、インターネットからのエコー要求の着信はデフォルトでインターネット接続ファイアウォールにより許可されません。インターネット制御メッセージ プロトコル (ICMP) の [エコー要求の着信を許可する] という設定が有効にされていない場合、着信要求は成功せず、着信接続の失敗を記録するログ エントリが作成されます。

[エコー要求の着信を許可する]、[タイムスタンプ要求の着信を許可する]、[ルーター要求の着信を許可する]、[リダイレクトを許可する] などのさまざまな ICMP オプションを有効にすることにより、インターネット接続ファイアウォールの動作を変更することができます。これらのオプションの簡単な説明は、[ICMP] タブに表示されます。

サービス拒否 (Denial-Of-Service) の攻撃によって発生する可能性があるオーバーフローを防ぐため、セキュリティ ログの許容サイズを設定できます。イベント ログは World Wide Web Consortium (W3C) により規定された拡張ログファイル形式で作成されます。

先頭に戻る
関連情報
インターネット接続ファイアウォールを有効または無効にする方法の詳細については、次のマイクロソフト Web サイトを参照してください。 インターネット接続ファイアウォールを有効または無効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
283673 Windows XP でインターネット ファイアウォールを有効または無効にする方法
インターネット接続ファイアウォールでファイルやプリンタの共有ができなくなる状況の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
298804 インターネット ファイアウォールによってインターネットの参照やファイルの共有ができなくなる
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
306203 インターネット接続ファイアウォールおよびベーシック ファイアウォールで Internet Protocol Version 6 トラフィックがブロックされない
インターネット接続ファイアウォールのセキュリティ ログ ファイルの詳細については、次のマイクロソフト Web サイトを参照してください。 サービス定義の詳細については、次のマイクロソフト Web サイトを参照してください。 ICMP の詳細については、次のマイクロソフト Web サイトを参照してください。 Windows XP SP2 に含まれる Windows ファイアウォールのバージョンの関連情報を参照するには、以下のマイクロソフト Web サイトを参照してください。 先頭に戻る
Internet Connection Firewall Security
プロパティ

文書番号:320855 - 最終更新日: 05/30/2007 09:59:00 - リビジョン: 5.2

  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • kbinfo kbfirewall kbenv KB320855
フィードバック