Windows ECS インスタンスで Windows Defender ファイアウォールを設定して、アプリケーション、ポート、IP アドレスを許可またはブロックします。
前提条件
以下が揃っていることを確認してください:
-
Windows Server を実行している ECS インスタンス。
-
VNC を使用してインスタンスに接続するためのアクセス権。
設定の選択
| 設定 | 機能 | 使用場面 |
|---|---|---|
| ファイアウォール経由のアプリケーションの許可 | アプリケーションの実行中にのみポートを開きます | アプリケーションがファイアウォールによってブロックされている場合 |
| 特定のローカルポートへのアクセスの許可またはブロック | ポートを永続的に開くか閉じます | 未使用のサービスをブロックします (例: FTP が不要な場合はポート 21 をブロックします) |
| 特定の IP アドレスからのアクセスの許可またはブロック | アプリケーション、サービス、またはポートにアクセスできる IP アドレスを制限します | 信頼できる IP アドレスのみにアクセスを制限します |
Windows Defender ファイアウォール経由のアプリケーションの許可
ポートを永続的に開くことなく、特定のアプリケーションが受信接続を受け入れることを許可します。
-
Windows ECS インスタンスに VNC を使用して接続します。
-
[スタート] > [コントロール パネル] > [システムとセキュリティ] > [Windows Defender ファイアウォール] の順に移動します。
-
左側のメニューで、[Windows Defender ファイアウォールを介したアプリまたは機能を許可] をクリックします。
-
[別のアプリを許可] をクリックします。
-
[アプリの追加] ダイアログボックスの [アプリ] セクションで、アプリケーションをダブルクリックします。アプリケーションが一覧にない場合は、[参照] をクリックしてアプリケーション ファイルを見つけます。

特定のローカルポートへのアクセスの許可またはブロック
特定のポートでのトラフィックを永続的に許可またはブロックする受信の規則を作成します。たとえば、ポート 21 をブロックして FTP を無効にします。
この規則は、ポートを永続的に開いたまま、または閉じたままにします。意図的に公開またはブロックしたいサービスに関連付けられているポートにのみ使用してください。アプリケーション固有の制御については、代わりに「Windows Defender ファイアウォール経由のアプリケーションの許可」を使用してください。
-
Windows ECS インスタンスにVNC を使用して接続してください。
-
[スタート] > [コントロール パネル] > [システムとセキュリティ] > [Windows Defender ファイアウォール] の順に移動します。
-
[詳細設定] をクリックします。

-
左側のメニューで [受信の規則] をクリックします。右側の [操作] ウィンドウで、[新しい規則] をクリックします。

-
規則ウィザードを完了します:
-
[規則の種類] で [ポート] を選択し、[次へ] をクリックします。

-
[プロトコルおよびポート] のステップで、[TCP] または [UDP] を選択し、[特定のローカルポート] を選択してポート番号 (例:
8080) を入力し、[次へ] をクリックします。
-
[操作] のステップで、[接続を許可する] または [接続をブロックする] を選択し、[次へ] をクリックします。

-
[プロファイル] のステップで、適用するプロファイルを選択し、[次へ] をクリックします。
説明デフォルトではすべてのプロファイルが選択されています。ネットワーク環境に応じて調整してください。
-
[名前] のステップで、規則の名前と説明を入力し、[完了] をクリックします。
-
特定の IP アドレスからのアクセスの許可またはブロック
特定の IP アドレスまたは CIDR ブロックからの受信トラフィックを制限します。規則の操作によって効果が決まります:
-
[接続を許可する]: 指定された IP アドレスは、対象のアプリケーション、サービス、またはポートにアクセスできます。
-
[接続をブロックする]: 指定された IP アドレスは、対象のアプリケーション、サービス、またはポートにアクセスできません。
IP スコープを既存の規則に適用するか、新しい規則の作成時に設定します。
既存の受信の規則への IP スコープの適用
すでに作成した規則に IP ベースのフィルタリングを追加します。
-
VNC を使用して Windows ECS インスタンスに接続します。
-
[スタート] > [コントロール パネル] > [システムとセキュリティ] > [Windows Defender ファイアウォール] の順に移動します。
-
[詳細設定] をクリックします。

-
[受信の規則] をクリックし、更新する規則を右クリックして [プロパティ] を選択します。

-
[スコープ] タブの [リモート IP アドレス] で、[これらの IP アドレス] を選択し、[追加] をクリックします。

-
IP アドレスまたは CIDR ブロック (例:オンプレミスコンピューターのパブリック IP) を入力し、[OK] をクリックします。
説明[追加] を再度クリックして、さらに IP アドレスまたは CIDR ブロックを追加します。

-
[OK] をクリックします。これで、規則は指定された IP アドレスまたは CIDR ブロックにのみ適用されます。
IP スコープを指定した規則の作成
特定のポートと特定の IP アドレスの両方を対象とする新しい規則を作成します。
-
VNC を使用して Windows ECS インスタンスに接続します。
-
[スタート] > [コントロール パネル] > [システムとセキュリティ] > [Windows Defender ファイアウォール] の順に移動します。
-
[詳細設定] をクリックします。

-
左側のメニューで [受信の規則] をクリックします。右側の [操作] ウィンドウで、[新しい規則] をクリックします。

-
規則ウィザードを完了します:
-
[規則の種類] で [カスタム] を選択し、[次へ] をクリックします。

-
[プログラム] のステップで、[すべてのプログラム] または [このプログラムのパス] を選択し、[次へ] をクリックします。
説明[すべてのプログラム] はすべてのプログラムに規則を適用します。[このプログラムのパス] は単一のプログラムに適用します。

-
[プロトコルおよびポート] のステップで、ポートとプロトコルを指定し、[次へ] をクリックします。

-
[スコープ] ステップの「[この規則はどのリモート IP アドレスに適用されますか?]」という項目で、[これらの IP アドレス] を選択し、[追加] をクリックします。

-
IP アドレスまたは CIDR ブロック (例:オンプレミスコンピューターのパブリック IP) を入力して [OK] をクリックします。次に、[次へ] をクリックします。
説明[追加] を再度クリックして、さらに IP アドレスまたは CIDR ブロックを追加します。

-
[操作] のステップで、[接続を許可する] または [接続をブロックする] を選択し、[次へ] をクリックします。

-
[プロファイル] のステップで、適用するプロファイルを選択し、[次へ] をクリックします。
説明デフォルトではすべてのプロファイルが選択されています。ネットワーク環境に応じて調整してください。
-
[名前] のステップで、規則の名前と説明を入力し、[完了] をクリックします。
-
次のステップ
-
インスタンスに接続できない場合は、リモート接続を許可する規則を追加します。詳細については、「Windows インスタンスのシステム ファイアウォールの管理」をご参照ください。
-
ファイアウォールの設定を確認しても接続に失敗する場合は、「Windows インスタンスへのリモート接続の失敗のトラブルシューティング」および「RDP 接続の問題」をご参照ください。