Windows ファイアウォールの概要
Windows ファイアウォールは、デバイスに出入りするネットワーク トラフィックをフィルター処理することで、デバイスを保護するのに役立つセキュリティ機能です。 このトラフィックは、送信元と宛先の IP アドレス、IP プロトコル、送信元と宛先のポート番号など、いくつかの条件に基づいてフィルター処理できます。 Windows ファイアウォールは、デバイスにインストールされているサービスとアプリケーションに基づいてネットワーク トラフィックをブロックまたは許可するように構成できます。 これにより、ネットワーク上での通信を明示的に許可されているアプリケーションとサービスのみにネットワーク トラフィックを制限できます。
Windows ファイアウォールは、オペレーティング システムに含まれ、すべての Windows エディションで既定で有効になっているホスト ベースのファイアウォールです。
Windows ファイアウォールでは、インターネット プロトコル セキュリティ (IPsec) がサポートされています。これを使用して、デバイスとの通信を試みるすべてのデバイスからの認証を要求できます。 認証が必要な場合、 信頼された デバイスとして認証できないデバイスは、デバイスと通信できません。 IPsec を使用して、悪意のあるユーザーによってネットワークに接続される可能性があるネットワーク パケット アナライザーによって読み取られるのを防ぐために、特定のネットワーク トラフィックを暗号化するように要求できます。
Windows ファイアウォールは、デバイスが接続されているネットワークの種類に適したセキュリティ設定を適用できるように、 ネットワークの場所の認識 でも機能します。 たとえば、Windows ファイアウォールは、デバイスがコーヒー ショップの Wi-Fi に接続されているときに パブリック ネットワーク プロファイルを適用し、デバイスがホーム ネットワークに接続されている場合は プライベート ネットワーク プロファイルを適用できます。 これにより、パブリック ネットワークに制限の厳しい設定を適用して、デバイスのセキュリティを維持できます。
実際の適用例
Windows ファイアウォールには、organizationのネットワーク セキュリティの課題に対処するためのいくつかの利点があります。
- ネットワーク セキュリティの脅威のリスクを軽減: デバイスの攻撃面を減らすことで、Windows ファイアウォールは多層防御モデルに対して追加の防御層を提供します。 これにより、管理性が向上し、攻撃が成功する可能性が低下します
- 機密データと知的財産の保護: Windows ファイアウォールは IPsec と統合され、認証されたエンドツーエンドのネットワーク通信を簡単に適用できます。 これにより、信頼されたネットワーク リソースへのスケーラブルで階層化されたアクセスが可能になり、データの整合性を強制し、必要に応じてデータの機密性を保護できます
- 既存の投資の拡張価値: Windows ファイアウォールは、オペレーティング システムに含まれるホスト ベースのファイアウォールであるため、追加のハードウェアやソフトウェアは必要ありません。 また、ドキュメント化された API を使用して、既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完するように設計されています
Windows エディションとライセンスに関する要件
次の表に、Windows ファイアウォールをサポートする Windows エディションを示します。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| はい | はい | はい | はい |
Windows ファイアウォールライセンスの権利は、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| はい | はい | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
概念
Windows ファイアウォールの既定の動作は次のとおりです。
- 規則を要請または一致しない限り、すべての受信トラフィックをブロック する
- ルールに一致しない限り、すべての送信トラフィックを許可する
ファイアウォール規則
ファイアウォール規則 は、許可またはブロックされたネットワーク トラフィックと、これを実現するための条件を識別します。 ルールには、トラフィックを識別するための条件が幅広く用意されています。これには、次のものが含まれます。
- アプリケーション、サービス、またはプログラム名
- 送信元と宛先の IP アドレス
- 既定のゲートウェイ、DHCP サーバー、DNS サーバー、ローカル サブネットなどの動的な値を使用できます
- プロトコルの名前または型。 トランスポート層プロトコル、TCP、UDP の場合は、ポートまたはポート範囲を指定できます。 カスタム プロトコルの場合は、IP プロトコルを表す 0 から 255 までの数値を使用できます
- インターフェイスの種類
- ICMP/ICMPv6 トラフィックの種類とコード
ファイアウォール プロファイル
Windows ファイアウォールには、ドメイン、プライベート、パブリックの 3 つのネットワーク プロファイルが用意されています。 ネットワーク プロファイルは、ルールの割り当てに使用されます。 たとえば、特定のアプリケーションがプライベート ネットワーク上で通信できるように設定できますが、パブリック ネットワーク上では通信できません。
ドメイン ネットワーク
ドメイン ネットワーク プロファイルは、ドメイン コントローラーの可用性を検出すると、Active Directory ドメインに参加しているデバイスに自動的に適用されます。 このネットワーク プロファイルを手動で設定することはできません。
ヒント
ドメイン ネットワークを検出するもう 1 つのオプションは、NetworkListManager ポリシー CSP でポリシー設定を構成することです。これは、参加しているデバイスMicrosoft Entraにも適用されます。
プライベート ネットワーク
プライベート ネットワーク プロファイルは、ホーム ネットワークなどのプライベート ネットワーク用に設計されています。 管理者がネットワーク インターフェイスで手動で設定できます。
パブリック ネットワーク
パブリック ネットワーク プロファイルは、Wi-Fi ホットスポット、コーヒーショップ、空港、ホテルなどのパブリック ネットワークに対して、より高いセキュリティを念頭に置いて設計されています。これは、未確認ネットワークの既定のプロファイルです。
ヒント
PowerShell コマンドレット Get-NetConnectionProfile を使用して、アクティブなネットワーク カテゴリ (NetworkCategory) を取得します。 PowerShell コマンドレット Set-NetConnectionProfile を使用して、 カテゴリをプライベート と パブリックの間で切り替えます。
次のステップ
Windows ファイアウォール規則と設計に関する推奨事項について説明します。
フィードバックを提供する
Windows ファイアウォールのフィードバックを提供するには、 フィードバック ハブ (WIN+F) を開き、カテゴリ セキュリティとプライバシー>ネットワーク保護を使用します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示