このトピックでは、Windows Serverを実行するElastic Compute Service (ECS) インスタンスのファイアウォールルールを構成する方法について説明します。
概要
次の表では、ファイアウォールの機能について説明し、各機能の設定手順へのリンクを示します。 この例では、Windows Server 2022を実行するECSインスタンスが使用されています。
機能 | 説明 |
この設定を使用して、特定のアプリケーションまたはサービスがインターネットまたは他のネットワークからの受信接続要求を受け入れることを許可し、アプリケーションまたはサービスがWindows Defenderファイアウォールによってブロックされることなく期待どおりに動作できるようにすることができます。 たとえば、ファイル共有ソフトウェアやインスタントメッセージングソフトウェアなどのソフトウェアがWindows Defenderファイアウォールを通過できるようにすることができます。 | |
インターネットや他のネットワークから特定のローカルポートへのアクセスを許可またはブロックして、マルウェアや攻撃者がポートを悪用する可能性を減らすことができます。 たとえば、デフォルトでポート21を使用するFTPサービスを使用する必要がない場合、脅威を防ぐためにポート21へのアクセスを拒否できます。 | |
この設定を使用して、特定のIPアドレスによるプログラム、サービス、またはポートへのアクセスを許可またはブロックできます。 これにより、マルウェアや攻撃者が侵入の脆弱性を悪用する可能性が低くなります。 たとえば、オンプレミスコンピューターのIPアドレスがインスタンスに接続できるようにすることができます。 |
機能1: アプリケーションまたは機能がWindows Defenderファイアウォールを通過できるようにする
仮想ネットワークコンピューティング (VNC) を使用してWindows ECSインスタンスに接続します。 詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。
を選択します。
[Windows Defenderファイアウォール] ウィンドウの左側のナビゲーションウィンドウで、[Windows Defenderファイアウォールを介してアプリまたは機能を許可する] をクリックします。
[別のアプリを許可] をクリックします。
[アプリの追加] ダイアログボックスで、[アプリ] セクションで追加するアプリケーションをダブルクリックします。 [アプリ] セクションで追加するアプリケーションが見つからない場合は、[参照] をクリックします。 ファイルシステムでアプリケーションのファイルを見つけ、ファイルをダブルクリックします。
機能2: 特定のローカルポートへのアクセスを許可またはブロック
仮想ネットワークコンピューティング (VNC) を使用してWindows ECSインスタンスに接続します。 詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。
を選択します。
[詳細設定] をクリックします。
[セキュリティが強化されたWindows Defenderファイアウォール] ウィンドウの左側のナビゲーションウィンドウで、[インバウンドルール] をクリックします。 右側の [操作] パネルで、[新しいルール] をクリックします。
ルールを設定します。
[ルールタイプ] ステップで、[ポート] を選択し、[次へ] をクリックします。
[プロトコルとポート] ステップで、[TCP] または [UDP] を選択し、[特定のローカルポート] を選択し、アクセスを許可または拒否するオンプレミスのポートを入力します。 例:
8080。 [次へ]をクリックします。
アクションステップで、[接続をブロック] または [接続を許可] を選択します。 [次へ] をクリックします。
[プロファイル] ステップで、適切なプロファイルを1つ以上選択し、[次へ] をクリックします。
説明デフォルトでは、すべてのプロファイルが選択されています。 オンプレミスのネットワーク環境に基づいてプロファイルを選択します。
[名前] ステップで、ルール名と説明を入力し、[完了] をクリックします。
機能3: 特定のIPアドレスからのアクセスを許可またはブロック
インバウンドルールが適用されるIPアドレスの範囲を指定します。 インバウンドルールは、IPアドレスが特定のアプリケーション、サービス、またはポートにアクセスすることをIPアドレスがブロックすることを可能にする。 既存のインバウンドルールのスコープを指定するか、カスタムのインバウンドルールを作成するときに指定できます。
[アクション] ステップで、インバウンドルールのアクションが [接続を許可] に設定されている場合、IPアドレスはルールで指定されたアプリケーション、サービス、またはポートにアクセスできます。
[アクション] ステップで、インバウンドルールのアクションが [接続のブロック] に設定されている場合、IPアドレスはルールで指定されたアプリケーション、サービス、またはポートにアクセスできません。
既存のインバウンドルールのスコープを指定する
仮想ネットワークコンピューティング (VNC) を使用してWindows ECSインスタンスに接続します。 詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。
を選択します。
[詳細設定] をクリックします。
[受信ルール] をクリックします。 スコープを指定するインバウンドルールを見つけて、ルールを右クリックし、[プロパティ] を選択します。
[スコープ] タブで、[リモートIPアドレス] セクションの [これらのIPアドレス] を選択し、[追加] をクリックします。
IPアドレスまたはCIDRブロック (オンプレミスコンピューターのパブリックIPアドレスなど) を入力し、[OK] をクリックします。
説明[追加] をクリックすると、複数のIPアドレスまたはCIDRブロックを追加できます。
IPアドレスまたはCIDRブロックを追加したら、[OK] をクリックします。 インバウンドルールは、指定されたIPアドレスまたはCIDRブロックに対して有効になります。
ルールを作成し、ルールのスコープを指定する
仮想ネットワークコンピューティング (VNC) を使用してWindows ECSインスタンスに接続します。 詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。
を選択します。
[詳細設定] をクリックします。
[セキュリティが強化されたWindows Defenderファイアウォール] ウィンドウの左側のナビゲーションウィンドウで、[インバウンドルール] をクリックします。 右側の [操作] パネルで、[新しいルール] をクリックします。
ルールを設定します。
[ルールタイプ] ステップで、[カスタム] を選択し、[次へ] をクリックします。
[プログラム] ステップで、[すべてのプログラム] または [このプログラムパス] を選択し、[次へ] をクリックします。
説明[すべてのプログラム] は、オンプレミスマシン上のすべてのプログラムを示します。 このプログラムパスは、特定の単一プログラムを示す。
[プロトコルとポート] ステップで、ビジネス要件に基づいてルールが適用されるポートとプロトコルを指定します。
では、このルールはどのリモートIPアドレスに適用されますか? [スコープ] ステップのセクションで、[これらのIPアドレス] を選択し、[追加] をクリックします。
IPアドレスまたはCIDRブロック (オンプレミスコンピューターのパブリックIPアドレスなど) を入力し、[OK] をクリックします。 [次へ] をクリックします。
説明[追加] をクリックすると、複数のIPアドレスまたはCIDRブロックを追加できます。
アクションステップで、[接続をブロック] または [接続を許可] を選択し、[次へ] をクリックします。
[プロファイル] ステップで、適切なプロファイルを1つ以上選択し、[次へ] をクリックします。
説明デフォルトでは、すべてのプロファイルが選択されています。 オンプレミスのネットワーク環境に基づいてプロファイルを選択します。
[名前] ステップで、ルールの名前と説明を入力し、[完了] をクリックします。
関連ドキュメント
インスタンスに接続できない場合は、システムファイアウォールのリモート接続を許可するルールを追加できます。 詳細については、「Windowsインスタンスのシステムファイアウォールの管理」をご参照ください。
システムファイアウォールが正しく設定されていることを確認してもインスタンスに接続できない場合は、他の問題をトラブルシューティングできます。 詳細については、「」をご参照ください。Windowsインスタンスに接続できない場合はどうすればよいですか? およびRDP接続の問題。