高度なセキュリティ設計のガイドでの Windows ファイアウォール
適用対象: Windows Server 2012
セキュリティが強化された Windows ファイアウォールWindows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7、およびWindows Vistaは 2 つの方法でコンピューターをセキュリティで保護を支援するホスト ファイアウォールです。 最初に、コンピューターをネットワークから入力を許可するネットワーク トラフィックをフィルター処理し、コンピューターがネットワークに送信を許可はどのようなネットワーク トラフィックの制御もできます。 次に、セキュリティが強化された Windows ファイアウォールIPsec では、コンピューターと通信を試行している任意のコンピューターからの認証を必要とすることができますが、サポートしています。 認証が必要な場合は、コンピューターを認証できないが、コンピューターと通信できません。 IPsec を使用するを読み取り、またはコンピューター間で転送中に傍受を防ぐために、特定のネットワーク トラフィックを暗号化することが必要なことができます。
インターフェイスは、セキュリティが強化された Windows ファイアウォール対応と、コンシューマーが容易なインターフェイスが Windows ファイアウォールのコントロール パネル内のよりも柔軟です。 これらにより、同じ基になるサービスでは、操作両方はさまざまなレベルのこれらのサービスに制御を提供します。 Windows ファイアウォールのコントロール パネルでは、ホーム環境での 1 台のコンピューターを保護するためのニーズを満たす、中に、一般的なビジネスのエンタープライズ環境で検出されたネットワーク トラフィックのより複雑なセキュリティで保護するのに十分な一元的な管理やセキュリティの機能は提供しません。
詳細についてはセキュリティが強化された Windows ファイアウォールを参照してくださいと高度なセキュリティの概要での Windows ファイアウォールです。
このガイドについて
このガイドは、展開するためのデザインを作成するかを選択するための推奨事項を示しますセキュリティが強化された Windows ファイアウォール、エンタープライズ環境でします。 このガイドを使用するための一般的な目標のいくつかについて説明しますセキュリティが強化された Windows ファイアウォール、し、このガイドで説明されているデザインは、シナリオに適用される目標にマップすることがします。
このガイドでは、ファイアウォールと IPsec のテクノロジ、組織のセキュリティの目標を達成するために、組織のネットワーク上の展開のタスクが割り当てられている IT プロフェッショナルの目的です。
セキュリティが強化された Windows ファイアウォールさまざまな境界ファイアウォール、侵入検出システム、仮想プライベート ネットワーク (VPN)、ワイヤレスおよびワイヤード (有線) 接続、および IPsec の接続セキュリティ規則の IEEE 802.1 X 認証などのセキュリティ テクノロジを実装するための包括的なセキュリティ ソリューションの一部にする必要があります。
このガイドを正常に使用する必要がありますが提供する両方の機能を十分に理解セキュリティが強化された Windows ファイアウォール、および Active Directory でグループ ポリシーを使用して、構成設定を管理対象コンピューターに配信する方法です。
展開の目標には、これらのいずれかの形式を使用するセキュリティが強化された Windows ファイアウォールデザイン、またはカスタムのデザインの要素をここで説明したものを 1 つです。
基本的なファイアウォール ポリシーの設計です。 必要ですが、承認されているものだけに、コンピューターとの間でのネットワーク トラフィックを制限します。
ドメイン分離ポリシーの設計です。 ドメインのメンバーではないコンピューターからの要請していないネットワーク トラフィックの受信からドメイン メンバーであるコンピューターをできないようにします。 などの一部のコンピューターでは、特別な要件をサポートするためには、追加の「ゾーン」を確立できます。
分離ではないコンピューターからを受信できる必要があるコンピューターの「境界ゾーン」を要求します。
コンピューターの「暗号化ゾーン」を機密データを格納ネットワーク送信中に保護する必要があります。
サーバー分離ポリシーの設計です。 承認されたユーザーとコンピューターの制限付きのグループのみにサーバーへのアクセスを制限します。 よく設計では、ドメインの分離、ゾーンとして構成されているが、少数のコンピューターをドメインの分離の利点の多くを提供する、スタンドアロンのデザインとしても構成されていることができます。
証明書ベースの分離ポリシーの設計です。 この設計では、前の 2 つの設計では、いずれかを補完するし、その機能のいずれかの操作をサポートしています。 クライアントと認証の場合、既定では、Active Directory で使用される Kerberos V5 認証ではなくサーバーに配置されている暗号化の証明書を使用します。 これにより、分離のソリューションに参加するための Windows 以外のオペレーティング システムを実行しているコンピューターなど、Active Directory ドメインの一部ではないコンピューターです。
説明とそれぞれの設計の例では、だけでなく、環境に関する必要なデータを収集するためのガイドラインが見つかります。 計画と設計は、次のガイドラインを使用することができますし、セキュリティが強化された Windows ファイアウォール展開します。 このガイドでは、収集、文書化、および、組織の要件のマッピングを完了して後の展開を開始するために必要な情報があるセキュリティが強化された Windows ファイアウォールのガイダンスを使用して、セキュリティが強化された Windows ファイアウォール展開ガイド。
検索することができます、セキュリティが強化された Windows ファイアウォールこれらの場所では、『 展開ガイド 』。
(Web ページ)
(ダウンロード可能な Word 文書)
このガイドで使用する用語
次の表を識別し、このガイドで使用される用語を定義します。
用語 |
定義 |
|---|---|
Active Directory ドメイン |
コンピューターと Active Directory ドメイン サービス (AD DS) を使用して、管理者によって管理されているユーザーのグループ。 ドメイン内のコンピューターでは、一般的なディレクトリ データベースおよびセキュリティ ポリシーを共有します。 複数のドメインは、セキュリティ境界として、フォレストを設定する、信頼関係を持つフォレストでは"、"共存できます。 |
認証 |
受信側に id を証明するメッセージの送信者を可能にするプロセス。 Windows での接続のセキュリティ、認証は、IPsec プロトコル スイートで実装されます。 |
境界ゾーン |
分離ドメインのメンバーではないコンピューターからの要請していないと認証されていないネットワーク トラフィックを受信できる必要がある分離ドメイン内のコンピューターのサブセットです。 境界ゾーン内のコンピューターでは、要求が、認証は必要ありません。 これらは、分離ドメインの他のコンピューターとの通信に IPsec を使用します。 |
接続セキュリティ規則 |
ルールセキュリティが強化された Windows ファイアウォール条件、および条件に一致するネットワーク パケットに適用するアクションのセットを格納します。 アクションでは、パケットを許可する、パケットのブロック、または IPsec で保護するパケットを必要とことができます。 以前のバージョンの Windows では、これと呼ばれる、IPsec 規則です。 |
証明書ベースの分離 |
Kerberos V5 認証、分離ドメインを使用して、別の認証方法を使用することはできませんが、コンピューターを追加する方法。 すべてのコンピューターで、分離されたドメインと Kerberos V5 を使用できないコンピューターでは、相互の認証に使用できるコンピューターの証明書が提供されます。 証明書ベースの分離では、作成し、(商用の証明書プロバイダーから購入しないことを選択) 場合は、適切な証明書を配布する方法が必要です。 |
ドメインの分離 |
方法についてを交換する前に、コンピューターが互いの id を認証し、コンピューターから接続要求を拒否したり、認証できないことを要求することで、組織内のコンピューターを保護することです。 ドメインの分離では、Active Directory ドメインのメンバーシップの利点と使用可能な Kerberos V5 認証プロトコルを受け取り、ドメインのすべてのメンバーにします。 またこのテーブルには、「分離のドメイン」を参照してください。 |
暗号化ゾーン |
分離ドメイン内の機密データを処理するコンピューターのサブセットです。 暗号化のゾーンの一部であるコンピューターでは、承認されていないユーザーが表示できないように暗号化されたすべてのネットワーク トラフィックがあります。 暗号化のゾーンの一部も通常はコンピューターでは、サーバーの分離は、アクセス制御制限される可能性があります。 |
ファイアウォール規則 |
ルールセキュリティが強化された Windows ファイアウォール、ファイアウォールを通過するネットワーク パケットを許可するかどうかを決定するための条件のセットを格納します。 既定では、ファイアウォールのルールでWindows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7、およびWindows Vista一方的な受信ネットワーク トラフィックをブロックします。 同様に、既定では、すべての送信ネットワーク トラフィックを許可します。 以前のバージョンの Windows に含まれる、ファイアウォールでは、受信ネットワーク トラフィックのみフィルター処理されます。 |
インターネット プロトコル セキュリティ (IPsec) |
業界標準、暗号化ベースの保護サービスとプロトコルのセット。 IPsec は、TCP/IP プロトコル スイートを除く、アドレス解決プロトコル (ARP) のすべてのプロトコルを保護します。 |
IPsec ポリシー |
ネットワーク トラフィックが、コンピューターに出入りするに必要な保護を提供する接続セキュリティ規則のコレクション。 保護には、送信と受信のコンピューターの認証が含まれています。、ネットワーク トラフィックの整合性の保護は、それらの間で交換され、暗号化を含めることができます。 |
分離ドメイン |
Active Directory ドメイン (または Active Directory フォレスト、または双方向の信頼関係を持つドメインのセット) を持つ、IPsec の接続セキュリティ規則を使用してそのメンバーのコンピューターを保護するためにグループ ポリシーを設定します。 分離ドメインのメンバーでは、(他のゾーンで処理される例外) を含むすべての要請していない着信接続の認証が必要です。 このガイドでは、用語分離ドメインは認証に共有できるコンピューターのグループの IPsec の概念を参照します。 用語Active Directory ドメインは Active Directory を使用してセキュリティ データベースを共有するコンピューターのグループを参照します。 |
サーバーの分離 |
グループのメンバーシップを使用して、通常既に分離ドメインのメンバーであるサーバーへのアクセスを制限するための手法です。 追加の保護では、要求元のコンピューターの認証の資格情報を使用して、そのグループのメンバーシップを決定して、コンピューター アカウント (および必要に応じて、ユーザー アカウント)、承認されたグループのメンバーである場合に、のみのアクセスを許可しから取得されます。 |
要請されたネットワーク トラフィック |
要求に対する応答で送信されるネットワーク トラフィック。 既定では、セキュリティが強化された Windows ファイアウォールを要請されたすべてのネットワーク トラフィックを許可します。 |
要請されていないネットワーク トラフィック |
ネットワーク トラフィックが、以前の要求への応答ではありませんし、受信側のコンピューターが予測できないとは限りません。 既定では、セキュリティが強化された Windows ファイアウォール要請していないすべてのネットワーク トラフィックをブロックします。 |
ゾーン |
ゾーンは、それらの通信要件のための一般的な IPsec ポリシーを共有するコンピューターの論理グループです。 たとえば、境界のゾーンは、信頼されていないコンピューターからの受信接続を許可します。 暗号化のゾーンでは、すべての接続を暗号化することが必要です。 これは、説明は、用語のゾーンでは、ドメイン ネーム システム (DNS) を使用するには関係ありません。 |