セキュリティが強化された Windows ファイアウォールの概要
適用対象: Windows Server 2012 R2,Windows Server 2012,Windows 8
ここでは、セキュリティが強化された Windows ファイアウォール のWindows Server 2012 (WFAS) 機能とインターネット プロトコル セキュリティ (IPsec) 機能の概要を示します。
以下のリソースも参照してください。
機能の説明
セキュリティが強化された Windows ファイアウォールは、多層型セキュリティ モデルでは重要な要素です。セキュリティが強化された Windows ファイアウォールは、コンピューターにホスト ベースの双方向のネットワーク トラフィック フィルター処理を提供することで、ローカル コンピューターで送受信される承認されていないネットワーク トラフィックをブロックします。 また、セキュリティが強化された Windows ファイアウォールはネットワーク認識と連携して、コンピューターの接続先のネットワークの種類に適したセキュリティ設定を適用できるようにします。 Windows ファイアウォールとインターネット プロトコル セキュリティ (IPsec) の構成設定は、セキュリティが強化された Windows ファイアウォールという Microsoft 管理コンソール (MMC) に統合されたため、Windows ファイアウォールも、ネットワークの分離方法の重要な要素になります。
実際の適用例
組織のネットワーク セキュリティに関する課題に対応する場合に、セキュリティが強化された Windows ファイアウォールを使用すると次のようなメリットがあります。
ネットワーク セキュリティの脅威に関連するリスクの軽減。 セキュリティが強化された Windows ファイアウォールを使用すると、コンピューターが攻撃を受ける機会を低減でき、多層防御モデルにもう 1 層保護を追加できます。 コンピューターが攻撃を受ける機会を低減できると、管理性は高まり、攻撃が成功する可能性は低くなります。 また、Windows Server 2012 の機能であるネットワーク アクセス保護 (NAP) は、ネットワークへ接続するコンピューターで必要となるソフトウェア構成とシステム構成を定義するポリシーに、クライアント コンピューターを確実に準拠させる場合に役立ちます。 NAP と統合されることで、準拠しているコンピューターと非準拠のコンピューター間の通信を防ぎます。
機密データおよび知的所有権の保護。 IPsec との統合により、セキュリティが強化された Windows ファイアウォールは、認証されたエンド ツー エンドのネットワーク通信を強制するための簡単な手段を提供します。 信頼されたネットワーク リソースへのスケーラブルで多層型のアクセスを提供して、データの整合性を維持し、必要に応じてデータの機密性を保護します。
既存の投資の価値の増大。 セキュリティが強化された Windows ファイアウォールは Windows Server 2012 および以前の Windows オペレーティング システムに付属するホスト ベースのファイアウォールであり、Active Directory® ドメイン サービス (AD DS) およびグループ ポリシーと緊密に統合されているため、追加で必要になるハードウェアやソフトウェアがありません。 また、セキュリティが強化された Windows ファイアウォールは、ドキュメントが用意されているアプリケーション プログラミング インターフェイス (API) を利用して、既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完できるように設計されています。
新機能と変更された機能
次の表に、セキュリティが強化された Windows ファイアウォール でのWindows Server 2012の新機能の一部を示します。
機能 |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
IPsec トランスポート モード用のインターネット キー交換バージョン 2 (IKEv2) |
○ |
|
ネットワーク上の Windows ストア アプリの分離 |
○ |
|
Windows ファイアウォール用の Windows PowerShell コマンドレット |
○ |
IPsec トランスポート モード用の IKEv2
Windows Server 2012 では、IKEv2 によって、IPsec のエンド ツー エンドのトランスポート モード接続を含む追加のシナリオがサポートされます。
この変更の利点
Windows Server 2012 の IKEv2 サポートにより、エンド ツー エンドのセキュリティを提供する IKEv2 を使用して Windows と他のオペレーティング システムとの相互運用性が確保され、Suite B (RFC 4869) 要件がサポートされます。
動作の相違点
Windows Server 2008 R2 では、IKEv2 は、仮想プライベート ネットワーク (VPN) の自動再接続をサポートする VPN トンネリング プロトコルとして使用できます。 IKEv2 により、基になる接続が変更されてもセキュリティ アソシエーションは変更されません。
Windows Server 2012 では、IKEv2 のサポートが拡張されています。
ネットワーク上の Windows ストア アプリの分離
管理者は、Windows ストア アプリをよりきめ細かく制御する必要がある場合に、Windows ファイアウォールのカスタム構成を行ってネットワーク アクセスを微調整できます。
この変更の利点
この機能により、ネットワーク境界を設定して強制的に適用できるため、セキュリティが侵害されたアプリは、明示的にアクセスが許可されているネットワークにしかアクセスできません。 そのため、他のアプリ、システム、およびネットワークへの影響の範囲をきわめて小さくすることができます。 さらに、アプリを分離し、ネットワークからの悪意のあるアクセスから保護することもできます。
動作の相違点
プログラムやサービスに対して作成できるファイアウォール規則に加えて、Windows ストア アプリおよびその各種の機能に対してもファイアウォール規則を作成できます。
Windows ファイアウォール用の Windows PowerShell コマンドレット
Windows PowerShell には、Windows ファイアウォールの構成と管理のために豊富なコマンドレットが用意されています。
この変更の利点
非常に強力な、スクリプト可能な Windows PowerShell を使って Windows ファイアウォール、IPsec、および関連機能を完全に構成、管理できます。
動作の相違点
以前のバージョンの Windows では、Netsh を使用して多くの構成機能や管理機能を実行できました。 この機能は、より強力な Windows PowerShell スクリプト言語を使って大きく拡張されています。
関連項目
セキュリティが強化された Windows ファイアウォール のWindows Server 2012の詳細については、以下のトピックを参照してください。