Windowsファイアウォールは、Windowsオペレーティングシステムに組み込まれたセキュリティツールで、インバウンドおよびアウトバウンドのネットワークトラフィックを制御して、不正アクセスや侵入を防ぐのに役立ちます。 Windows Elastic Compute Service (ECS) インスタンスでシステムファイアウォール (Windowsファイアウォール) を有効にし、外部アクセスをブロックするようにファイアウォールルールを設定した場合、インスタンスに接続できない場合があります。 このトピックでは、Windows ECSインスタンスでシステムファイアウォールのステータスの表示、システムファイアウォールの有効化または無効化、およびファイアウォールルールの設定方法について説明します。
システムファイアウォールのステータスの確認
システムファイアウォールが有効になっているかどうかは、システムファイアウォールの状態に基づいて確認できます。
仮想ネットワークコンピューティング (VNC) を使用してWindows ECSインスタンスに接続します。 詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。
メニューバーで、 を選択します。
[すべてのコントロールパネル項目] ウィンドウの右上隅で、[表示] を [小さなアイコン] に設定します。 次に、[Windows Defenderファイアウォール] をクリックします。
説明システムファイアウォールの表示名は、Windowsオペレーティングシステムのバージョンによって異なる場合があります。 Windows Defenderファイアウォールが使用できない場合は、Windowsファイアウォールを選択します。
Windows Defenderファイアウォールウィンドウで、[詳細設定] をクリックします。
[セキュリティが強化されたWindows Defenderファイアウォール] ウィンドウで、中央ペインの [概要] セクションでシステムファイアウォールのステータスを表示できます。
説明システムファイアウォールを有効または無効にする場合は、すべてのプロファイル (ドメインプロファイル、プライベートプロファイル、およびパブリックプロファイル) でファイアウォールを有効または無効にすることを推奨します。 システムファイアウォールの状態を確認する場合は、ドメインプロファイル、プライベートプロファイル、およびパブリックプロファイルのファイアウォールの状態が同じかどうかを確認することを推奨します。 プロファイルのファイアウォールのステータスが他のプロファイルのファイアウォールのステータスと異なる場合は、プロファイルのシステムファイアウォールを有効または無効にします。
システムファイアウォールの有効化または無効化
ビジネス要件に基づいてシステムファイアウォールを有効または無効にします。 システムファイアウォールを有効にした後、ファイアウォールルールを設定する必要があります。
システムファイアウォールの有効化
Windows ECSインスタンスでシステムファイアウォールを有効にすると、システムファイアウォールは、設定されたファイアウォールルールに基づいて、インスタンスの受信および送信ネットワークトラフィックを監視および制御します。
[高度なセキュリティを備えたWindows Defenderファイアウォール] ウィンドウで、[Windows Defenderファイアウォールのプロパティ] をクリックします。
説明Windows Defenderファイアウォールと高度なセキュリティウィンドウを開く方法の詳細については、このトピックのシステムファイアウォールのステータスの確認を参照してください。
Windowsの状態ドロップダウンリストから [オン (推奨)] を選択し、[適用] をクリックしてシステムファイアウォールを有効にします。
説明[ドメインプロファイル] 、[プライベートプロファイル] 、および [パブリックプロファイル] タブでシステムファイアウォールを有効にすることを推奨します。
システムファイアウォールを無効にする
Windows ECSインスタンスのシステムファイアウォールを無効にすると、ファイアウォールはインスタンスの受信および送信ネットワークトラフィックを制御しなくなります。
[高度なセキュリティを備えたWindows Defenderファイアウォール] ウィンドウで、[Windows Defenderファイアウォールのプロパティ] をクリックします。
説明Windows Defenderファイアウォールと高度なセキュリティウィンドウを開く方法の詳細については、このトピックのシステムファイアウォールのステータスの確認を参照してください。
Windowsの状態ドロップダウンリストから [オフ] を選択し、[適用] をクリックしてシステムファイアウォールを無効にします。
説明[ドメインプロファイル] 、[プライベートプロファイル] 、および [パブリックプロファイル] タブでシステムファイアウォールを無効にすることを推奨します。
ファイアウォールルールの設定
システムファイアウォールを有効にした後、特定のアクセスを制御するようにファイアウォールルールを設定する必要があります。 このセクションでは、Windows ECSインスタンスのシステムファイアウォールにポートルールと定義済みルールを追加して、インスタンスへのアクセスを許可する方法について説明します。 ビジネス要件に基づいて、システムファイアウォールでファイアウォールルールを設定できます。 ファイアウォールポリシーの構成の詳細については、「Windowsシステムファイアウォールポリシー構成ガイド」をご参照ください。
方法1: ポートルールを追加する
リモートデスクトップサービス (RDS) ポートを開いてWindows ECSインスタンスへのアクセスを許可するように、インバウンドファイアウォールルールを設定します。 デフォルトのRDSポートはTCPポート3389です。
RDSポート番号を変更した場合は、実際のRDS番号を使用して、システムファイアウォールでインバウンドファイアウォールルールを設定します。
[高度なセキュリティを備えたWindows Defenderファイアウォール] ウィンドウの左側のナビゲーションウィンドウで、[インバウンドルール] をクリックします。 次に、[操作] ペインで [新しいルール...] をクリックします。
説明Windows Defenderファイアウォールと高度なセキュリティウィンドウを開く方法の詳細については、このトピックのシステムファイアウォールのステータスの確認を参照してください。
[新しいインバウンドルールウィザード] ウィンドウの [ルールタイプ] ページで、[ポート] を選択し、[次へ] をクリックします。
[プロトコルとポート] ページで、[TCP] を選択し、[特定のローカルポート] フィールドにポート番号を入力し、[次へ] をクリックします。
説明実際のRDSポート番号を指定します。 デフォルトのRDSポート番号は3389です。
[アクション] ページで、[接続を許可] を選択し、[次へ] をクリックします。
[プロファイル] ページで、デフォルト設定を使用して [次へ] をクリックします。
[名前] ページで、
RemoteDesktopなどのルールの名前を指定し、[完了] をクリックします。スコープを設定します。
特定のIPアドレスからのネットワークトラフィックにのみルールを適用するように、ファイアウォールルールのスコープを設定します。 ファイアウォールルールのスコープを設定すると、スコープで指定されたIPアドレスのみがWindows ECSインスタンスに接続できます。
[セキュリティが強化されたWindowsファイアウォール] ウィンドウで、中央のウィンドウで作成した
[RemoteDesktop]受信ファイアウォールルールを右クリックし、[プロパティ] を選択します。
[スコープ] タブで、[リモートIPアドレス] セクションで [これらのIPアドレス:] を選択し、[追加] をクリックして、コンピューターのパブリックIPアドレスなどの1つ以上のIPアドレスまたはCIDRブロックを追加し、[OK] をクリックします。
重要Workbenchを使用してWindows ECSインスタンスに接続する場合は、
47.96.60.0/24と118.31.243.0/24をスコープに追加します。
Windows ECSインスタンスに接続します。 [コンピュータ] フィールドに、Windows ECSインスタンスのIPアドレスとRDSポート番号を <IPアドレス >:< RDSポート番号> 形式で入力します。 [オプションの表示] をクリックし、[ユーザー名] フィールドにWindows ECSインスタンスのユーザー名を入力します。 この例では、
192.168.1.2:3389が [コンピューター] フィールドに入力され、管理者が [ユーザー名] フィールドに入力されます。
方法2: 定義済みのルールを設定する
定義済みのルールリストからRDS関連のインバウンドファイアウォールルールを追加して、Windows ECSインスタンスへのRDS接続を許可します。
デフォルトのRDSポートを使用する場合は、この方法を使用できます。 デフォルトのRDSポートはTCPポート3389です。
[高度なセキュリティを備えたWindows Defenderファイアウォール] ウィンドウの左側のナビゲーションウィンドウで、[インバウンドルール] をクリックします。 次に、[操作] ペインで [新しいルール...] をクリックします。
説明Windows Defenderファイアウォールと高度なセキュリティウィンドウを開く方法の詳細については、このトピックの「システムファイアウォールのステータスの確認」を参照してください。
[新しいインバウンドルールウィザード] ウィンドウの [ルールの種類] ページで、[定義済み] を選択し、[定義済み] ドロップダウンリストから [リモートデスクトップ] を選択し、[次へ] をクリックします。
[定義済みルール] ページで、[リモートデスクトップ-ユーザーモード (TCP-In)] を選択し、[次へ] をクリックします。
説明以前のバージョンのWindowsを使用していて、リモートデスクトップ-ユーザーモード (TCP-In) が使用できない場合は、[リモートデスクトップ (TCP-In)] を選択します。
[アクション] ページで、[接続を許可] を選択し、[完了] をクリックします。
スコープを設定します。
特定のIPアドレスからのネットワークトラフィックにのみルールを適用するように、ファイアウォールルールのスコープを設定します。 ファイアウォールルールのスコープを設定すると、スコープで指定されたIPアドレスのみがWindows ECSインスタンスに接続できます。
[高度なセキュリティを備えたWindowsファイアウォール] ウィンドウの左側のナビゲーションウィンドウで、[インバウンドルール] をクリックします。 中央のペインで、作成した受信ファイアウォールルールを右クリックし、[プロパティ] を選択します。
[スコープ] タブで、[リモートIPアドレス] セクションで [これらのIPアドレス:] を選択し、[追加] をクリックして、コンピューターのパブリックIPアドレスなどの1つ以上のIPアドレスまたはCIDRブロックを追加し、[OK] をクリックします。
重要Workbenchを使用してWindows ECSインスタンスに接続する場合は、
47.96.60.0/24と118.31.243.0/24をスコープに追加します。
Windows ECSインスタンスに接続します。 [コンピュータ] フィールドに、Windows ECSインスタンスのIPアドレスとRDSポート番号を <IPアドレス >:< RDSポート番号> 形式で入力します。 [オプションの表示] をクリックし、[ユーザー名] フィールドにWindows ECSインスタンスのユーザー名を入力します。 この例では、
192.168.1.2:3389が [コンピューター] フィールドに入力され、管理者が [ユーザー名] フィールドに入力されます。