この記事では、Microsoft Windows 2003 ベースのコンピューターで TCP/IP フィルター処理を構成する方法について説明します。
適用対象: Windows Server 2003
元の KB 番号: 816792
まとめ
Windows 2003 ベースのコンピューターでは、受信アクセスを制御するいくつかの方法がサポートされています。 受信アクセスを制御する最もシンプルで最も強力な方法の 1 つは、TCP/IP フィルタリング機能を使用することです。 TCP/IP フィルター処理は、すべての Windows 2003 ベースのコンピューターで使用できます。
TCP/IP フィルタリングはカーネル モードで動作するため、セキュリティに役立ちます。 これに対し、IPSec ポリシー フィルターやルーティングとリモート アクセス サーバーの使用など、Windows 2003 ベースのコンピューターへの受信アクセスを制御するその他の方法は、ユーザー モード プロセスまたはワークステーションおよびサーバー サービスによって異なります。
TCP/IP 受信アクセス制御スキームをレイヤー化するには、IPSec フィルターとルーティングとリモート アクセスパケットフィルタリングを使用して TCP/IP フィルタリングを使用します。 この方法は、受信と送信の両方の TCP/IP アクセスを制御する場合に特に便利です。TCP/IP セキュリティだけでは受信アクセスのみが制御されるためです。
Note
TCP/IP フィルター処理では、受信トラフィックのみをフィルター処理でき、 Permit Only IP Protocols 列で構成されている設定や、インターネット プロトコル 1 を許可しないかどうかに関係なく、ICMP (インターネット制御メッセージ プロトコル) メッセージをブロックすることはできません。 送信アクセスをより詳細に制御する必要がある場合は、IPSec ポリシーまたはパケット フィルタリングを使用します。
Note
SBS 2003 ベースのコンピューターで、2 つのネットワーク アダプターがある電子メールとインターネット接続の構成ウィザードを使用し、[ファイアウォール] オプションをオンにしてから、外部ネットワーク アダプターで必要なポートを開くことをお勧めします。 電子メールとインターネット接続の構成ウィザードの詳細については、 Startを選択し、 Help and Supportを選択します。 [ 検索 ボックスに「電子メールとインターネット接続の構成ウィザード」と入力し、 検索の開始を選択します。 電子メールおよびインターネット接続の構成ウィザードに関する情報は、Small Business Server トピックの結果セットの一覧にあります。
Windows Server 2003 での TCP/IP セキュリティの構成
TCP/IP セキュリティを構成するには:
開始を選択し、コントロール パネルをポイントし、Network 接続をポイントして、構成するローカルエリア接続を選択します。
[ Connection の状態 ] ダイアログ ボックスで、[プロパティ 選択。
Internet Protocol (TCP/IP)を選択し、Properties を選択します。
[ Internet Protocol (TCP/IP) のプロパティ ダイアログ ボックスで、 Advanced を選択します。
オプションを選択します。
[オプションの設定]で[TCP/IP フィルタリング選択しProperties を選択します。
[
有効な TCP/IP フィルタリング (すべてのアダプター) ] チェック ボックスをオンにします。Note
このチェック ボックスをオンにすると、すべてのアダプターに対してフィルター処理が有効になりますが、アダプターごとにフィルターを個別に構成します。 同じフィルターがすべてのアダプターに適用されるわけではありません。
TCP/IP フィルタリング ダイアログ ボックスには、TCP ポート、ユーザー データグラム プロトコル (UDP) ポート、インターネット プロトコルのフィルター処理を構成できる 3 つのセクションがあります。 セクションごとに、コンピューターに適したセキュリティ設定を構成します。
Note
Permit All がアクティブになると、TCP または UDP トラフィックのすべてのパケットが許可されます。 許可のみ では、許可されたポートを追加することで、選択した TCP または UDP トラフィックのみを許可できます。 ポートを指定するには、 Add ボタンを使用します。 すべての UDP または TCP トラフィックをブロックするには、 Permit Only を選択しますが、 UDP ポート 列または TCP ポート 列にポート番号を追加しないでください。 [IP プロトコルの場合のみ 許可]を選択し IP プロトコル 6 と 17 を除外して、UDP または TCP トラフィックをブロックすることはできません。
Windows Small Business Server 2003 での TCP/IP セキュリティの構成
TCP/IP フィルタリングを構成するには、次の手順に従います。
Note
この手順を実行するには、ローカル コンピューターの Administrators グループまたはネットワーク構成オペレーター グループのメンバーである必要があります。
[開始] を選択し、コントロール パネルをポイントし、[Network 接続を右クリックして、開くを選択します。
受信アクセス制御を構成するネットワーク接続を右クリックし、 Properties を選択します。
[General] タブの [adaptorName 接続プロパティで、Internet Protocol (TCP/IP)を選択し、Properties を選択します。
[ Internet Protocol (TCP/IP) のプロパティ ダイアログ ボックスで、 Advanced を選択します。
[Options](オプション) タブをクリックします。
TCP/IP フィルタリングを選択し、Properties を選択します。
[
有効な TCP/IP フィルタリング (すべてのアダプター) ] チェック ボックスをオンにします。Note
このチェック ボックスをオンにすると、すべてのアダプターのフィルター処理が有効になります。 ただし、各アダプターでフィルター構成を完了する必要があります。 TCP/IP フィルタリングが有効になっている場合は、 Permit All オプションを選択して各アダプターを構成するか、特定の IP プロトコル、TCP ポート、UDP (ユーザー データグラム プロトコル) ポートのみが受信接続を受け入れるようにすることができます。 たとえば、TCP/IP フィルタリングを有効にし、ポート 80 のみを許可するように外部ネットワーク アダプターを構成した場合、外部ネットワーク アダプターは Web トラフィックのみを受け入れます。 内部ネットワーク アダプターでも TCP/IP フィルタリングが有効になっていて、 Permit All オプションが選択されている場合は、内部ネットワーク アダプターで無制限の通信が有効になります。
TCP/IP フィルタリングには、次のラベルを持つ 3 つの列があります。
- TCP ポート
- UDP ポート
- IP プロトコル
各列で、次のいずれかのオプションを選択する必要があります。
- すべて許可。 TCP または UDP トラフィックのすべてのパケットを許可する場合は、このオプションを選択します。
- 許可のみ。 選択した TCP または UDP トラフィックのみを許可する場合は、このオプションを選択し、 追加を選択し、 [フィルターの追加 ] ダイアログ ボックスに適切なポートまたはプロトコル番号を入力します。 [IP プロトコル] 列で Permit Only を選択し、IP プロトコル 6 と 17 を追加して、UDP または TCP トラフィックをブロックすることはできません。
Note
IP プロトコル列で Permit Only を選択し、IP プロトコル 1 を含めなくても、ICMP メッセージをブロックすることはできません。
TCP/IP フィルタリングでは、受信トラフィックのみをフィルター処理できます。 この機能は、送信要求からの応答を受け入れるために作成された送信トラフィックまたは TCP 応答ポートには影響しません。 送信アクセスをより詳細に制御する必要がある場合は、IPSec ポリシーまたはルーティングとリモート アクセスパケットフィルタリングを使用します。
Note
[UDP ポート]、[TCP ポート]、または [IP プロトコル] 列で Permit Only を選択し、リストを空白のままにすると、ネットワーク アダプターはローカルまたはインターネット上のネットワーク経由で何も通信できなくなります。
関連情報
TCP ポート番号と UDP ポート番号の詳細については、「 Service Name and Transport Protocol Port Number Registry」を参照してください。