こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

Windows ファイアウォールの設定について

[目的]

Windows7で数十台のネットワークがあります。その中の数台のPCで、下記のようなことをしたいのです。

1 あるプログラムが、ローカルエリア内の他のPCに接続するのをブロックしたい

2 そのプログラムが、特定のサイト”以外”に接続するのをブロックしたい

3 ローカルエリア内のプリンタは利用したい

[方法]

・Windowファイアウォールを開き、送信規則で新しい規則を作成

・プログラムのパスを指定する

・全般タブの「操作」は「接続を許可」→指定したスコープのみに接続されるようになる

・プロトコルは「任意」を選択

・コンピュータの欄には何も記述しない→すべてのPCへの送信を許可しない

・「スコープ」の、ローカルIPアドレスの欄には、

 (1)接続されているプリンタのIPアドレス

 (2)当該プログラムから接続したいインターネットのサイトのIPアドレスを記述する

[質問]

1 ファイアウォールの挙動が今ひとつつかめないのですが、この方法で合っているでしょうか?

2 送信規則と受信規則の違いがよくわかりません。「特定のサイト」とは、プログラムが利用するデータのサーバなのですが、あらゆる送信をブロック(操作で「接続をブロック」)すると、当然通信ができなくなります。しかし、操作で「接続を許可」にすると、スコープに適当なIPアドレスを入れただけで通信ができてしまいます。

何か大きな勘違いをしているような気がするので、上記の内容がわかる方がいらっしゃいましたら教えて下さいませ。このサイトを読め、という助言も歓迎します。

投稿日時 - 2014-07-03 14:36:26

QNo.8663313

すぐに回答ほしいです

質問者が選んだベストアンサー

おそらくその設定は質問者さんの思っている通りには動かないと思います。

まず、有効になっているすべての規則にマッチしない通信がどうなるかを決めます。
既定の設定では、送信時は規則にマッチしない場合は許可されます(通信できます)。
受信時は拒否されます(通信できません)。
この設定は、ファイアウォールの詳細設定画面の左のツリーで「ローカルコンピューターの
セキュリティが強化されたWindowsファイアウォール」を右クリックして「プロパティ」を出すと
見る・設定することができます。

> 1 あるプログラムが、ローカルエリア内の他のPCに接続するのをブロックしたい
これはあるプログラムからLAN内への通信が拒否され、それ以外はすべて許可するというものですので、
送信規則でプログラムを指定して通信の拒否規則を作ります。
このとき、リモートIPアドレスにローカルネットワークで使用しているIPアドレスの範囲を指定して下さい。
ただしプリンターのIPアドレスが範囲に入らないように書いてください。
それ以外は何も書かなくても自動的に許可されます。

> 2 そのプログラムが、特定のサイト”以外”に接続するのをブロックしたい
残念ながらこのルールはWindowsファイアウォールで設定できそうにないです。
サイトとのことですのでWebのフィルタリングソフトなどを導入したほうが良さそうです。

> 3 ローカルエリア内のプリンタは利用したい
1のところでプリンターのIPアドレスを範囲に入れていなければ、特に何も設定しなくても
利用できます。

送信規則とは、そのパソコンからネットワークに出ていく通信に対する制限です。
受信規則とは、そのパソコンがネットワークの他の機器から受信する通信に対する制限です。
実際の通信(TCP)では通信を送ると相手がそれに返信してきますから通信は常に双方向に発生するのですが、
Windows Vista移行の強化されたWindowsファイアウォールでは、最初に通信を送った方を送信者、
受け取った方を受信者として扱います。
つまり、自分(自分が使っているパソコン)が最初に通信を送ると、その通信には送信規則が適用され、
相手が最初に送ってきた通信に対しては、受信規則が適用されます。

投稿日時 - 2014-07-04 21:02:18

お礼

詳しく丁寧に教えていただき、ありがとうございます!
何も理解していなかったことに改めて気が付きました。
特に、
最初にファイアーウォール自体の規則を決めるところ、
受信規則と送信規則の違い
サイトへの接続はコントロールできなそうなところ
これらは全く理解しておりませんでした。
PCだけはやたらたくさんある職場で誰もネットワークの知識がなく通常業務をやりながらネットの情報を頼りに適当にメンテナンスをしている次第です。
やっぱり基本中の基本の本などを読まないとヤケドしそうですね。。。
まずは、教えていただいたことを基本に、トライしてみたいと思います。

投稿日時 - 2014-07-04 22:48:05

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

 業務でのサイト制限やIPセキュアフィルタ―機能、セキュリティ対策機能などを総合的に考えるのであれば、PCネットワークの上位にUTM若しくはセキュリティ・ルーターなどでのセキュリティ制限になるかと。
 業務での部門・LAN分割セキュリティやサイトアクセス制限、不正アクセス制限など、PC側での対処は限界が有ります。(PC側が故障、データ不具合時に再度Windowsセキュリティの設定をするのですか?)
 数十台のPC端末が有る場合には尚更で、障害が出た時の一元対応やSysLog取得など、総合的に判断下さい。
 セキュリティ・ルーター及びUTM装置については、Yamaha「FWX120」やFortiNet「FortiGate-90D」などが良いかと。
 Yamahaですと、ルーター側でのIPセキュアフィルター設定にて、LAN1インターフェイスにそれぞれ個別のフィルター設定をする事も可能ですし、LANポート毎の分割設定(ポートベースVLAN)にて端末分離も可能です。
 ※「http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/」、「http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html#define

投稿日時 - 2014-07-05 08:06:23

お礼

うーむ。。。やはりネットワーク関連は難しいですね。仕事の片手間になんとかなるレベルを超えています(^_^;)
WindowsのOSレベルでのセキュリティと、さらにその上位の管理するシステムで根本的に異なるということは理解出来ました。深く感謝いたします。

投稿日時 - 2014-07-08 23:58:41

あなたにオススメの質問