Windows Vistaには、Windowsファイアウォールと呼ばれる双方向のステートフルインスペクションパケットフィルタリングファイアウォールが搭載されています。Windowsファイアウォールは、すべての接続で使用可能なため、コンピュータが起動すると保護を開始します。既定では、以下の処理が行われます。

  • Windowsファイアウォールは、すべての受信トラフィック(ユーザーのコンピュータが送信した要求に応答して送信されたトラフィックを除く)と、例外の作成によって明示的に許可された要求していないトラフィックを破棄する。
  • すべての送信トラフィックは、構成された例外に一致しなければ許可される。

 パケットが破棄されても通知はされませんが、それらすべてのイベントのログを作成することができます(オプション)。

ステートフルインスペクションパケットフィルタリングについて

 ほとんどのファイアウォールは(少なくとも部分的に)、「パケットフィルタリング」を行います。パケットフィルタリングにより、ファイアウォールに到達した各パケットの内容に応じて、送信のブロックや許可が行われます。パケットフィルタは、各パケットのいくつかの属性を調べ、以下に示す属性に基づいて、パケットの送信(指定された宛先コンピュータにパケットを送信)やブロックを行います。

  • ソースアドレス
    パケットを生成したコンピュータのIP アドレス
  • 宛先アドレス
    パケットの宛先コンピュータのIP アドレス
  • ネットワークプロトコル
    インターネットプロトコル(IP)などのトラフィックの種類
  • トランスポートプロトコル
    伝送制御プロトコル(TCP : Transmission Control Protocol)やユーザーデータグラムプロトコル(UDP : User Datagram Protocol)などの高レベルプロトコル
  • ソースポートと宛先ポート
    通信するコンピュータが通信チャネルを識別するために使用する数値

 パケットフィルタリングだけでは、ソリューションとしては不完全です。パケットフィルタの基準のすべてを満たす受信トラフィックが、ユーザーが要求していないか望んでいないものである場合があります。「ステートフルインスペクションパケットフィルタリング」は、ユーザーのコンピュータからの要求に応答した受信トラフィックを制限することにより、さらに一歩先を行っています。ここでは、適切な受信トラフィックを許可するステートフルインスペクションパケットフィルタリングのしくみの簡単な例を示します。

  1. ブラウザのアドレスバーに URLを入力する。
  2. ブラウザは、アドレス指定された複数のデータパケットを Webサーバーに送信する。宛先ポートは HTTP Webサーバーの標準ポートの 80、ソースポートは1,024~ 65,535の間の任意の値になる。
  3. ファイアウォールは、接続についての情報を状態テーブルに保存する。状態テーブルは、返された受信トラフィックを検証するのに使用される。
  4. Webサーバーとコンピュータが TCP接続を開くために必要なハンドシェイキングが終了した後、Webサーバーはコンピュータの IPアドレスとソースポートにアドレス指定された返信(ユーザーが要求した Webページのコンテンツ)を送信する。
  5. ファイアウォールは、受信トラフィックを受信して、受信元および宛先のアドレスとポートを状態テーブル内にある情報と照合する。情報と一致すれば、ファイアウォールはブラウザへの応答を許可する。データが一部しか一致しない場合は、ファイアウォールは何もせずにパケットを破棄する。
  6. 受信した情報がブラウザに表示される。

 Windows XPに搭載されている Windowsファイアウォールと比べると、WindowsVistaの Windowsファイアウォールは以下のような点が強化されています。

  • Windowsファイアウォールは、受信ネットワークトラフィックと送信ネットワークトラフィックの両方をサポートしている。
  • [セキュリティが強化された Windowsファイアウォール]スナップインによって、Windowsファイアウォールには、非常に多くの構成オプションが用意され、リモートで構成することができる。新規の規則ウイザードを使用すると、ルールを簡単に作成して設定することができる。また、ネットワークトラフィックの認証、暗号化、フィルタリングを処理するメカニズムである IPsecの設定を、[セキュリティが強化された Windowsファイアウォール]スナップインでも実行することができる。
  • 通常の基準(アドレス、プロトコル、ポート)に加えて、Windowsファイアウォールの例外は、サービス、Active Directoryアカウントとグループ、受信トラフィックと送信トラフィックの送信元と宛先のIPアドレス、TCPとUDP以外のトランスポートプロトコル、ネットワーク接続の種類で構成できる。
  • Windowsファイアウォールは 3つの異なるプロファイルを保持している。プロファイルは、コンピュータがドメイン、プライベートの非ドメインネットワーク、またはパブリックネットワークのいずれに接続されているかどうかに応じて、適切なものが選択される。