マイクロソフト製品として、初めてファイアウォール機能を標準搭載したOSがWindows XPである。ファイアウォールとは、ネットワークを利用するうえで外部との通信に何らかの形で制限をかける機能のことで、一般的には不正アクセスやウイルスの侵入を防ぐために用いられる。本稿では、Windows XPに搭載されたファイアウォール機能の概要と設定方法、そして市販されているパーソナルファイアウォール製品との機能的な違いについて見ていくことにしよう。

特定の通信をブロックするファイアウォールの仕組み

　ファイアウォールは通信を制限するものだと述べたが、実際にはどのようにして通信を制限しているのだろうか。まずは、インターネットで利用されているプロトコル「TCP/IP」の仕組みについて簡単に説明していこう。

　インターネット上（TCP/IPネットワーク）では、さまざまなプロトコルを利用して通信が行われている。たとえば、Webで使用する「HTTP」やファイルの転送に使用する「FTP」、メールの送受信に使われている「SMTP/POP3」などはよく聞くプロトコルだ。さらに、こうしたプロトコルを使用してやり取りされているデータが、どのプロトコルのものなのかを識別し、サーバ側で正しくその要求を振り分けるために使われるのがポート番号だ。インターネット上ではこれらさまざまなプロトコルのデータが入り乱れてやり取りされている。

　TCP/IPのパケットのヘッダにはポート番号というものがあり、各プロトコルは標準的な使用ポート番号をもっている。一般的にサーバ側ではそのポート番号をもつデータをそのサーバソフトに振り分ける。たとえば、Web（HTTP）は80番、メール送信（SMTP）は25番などといったぐあいだ。つまり、基本的にデータのポート番号を見ることで、その通信がどのプロトコルを利用しているのかを判断できるのである。

　ファイアウォールでは、こうした仕組みを基本原理として通信に制限をかける。送られて来たデータパケットのポート番号を調べ、許可されたポート番号以外のデータパケットを拒否するのだ。こうすることで不要な通信を遮断し、不正アクセスを防ぐことができる。この方法は、一般的にパケットフィルタリングとよばれており、Windows XPのファイアウォール機能もパケットフィルタリング方式を採用している。

ポート番号をチェックするパケットフィルタリング方式

　パケットフィルタリングは、通信のチェックに使うのがポート番号だけなので、フィルタリングの動作が比較的高速にできるという特徴を備えている。反面、特定のプロトコルを使用する通信はすべて通過させてしまうため、Webで使われているHTTPなどのプロトコルを利用した攻撃は防ぐことができない。たとえば、HTTPを利用してIISのセキュリティホールを突く「Nimda」のようなウイルスは、パケットフィルタリングでは防ぐことができないのだ。

　これに対して、ポート番号だけでなく、データの内容についてもチェックする「アプリケーションプロキシ」、「ステートフルパケットインスペクション」などの方式もあるが、これらはすべてのデータをチェックするために処理が重く、未対応のデータ形式はチェックすることができないといった欠点もある。したがって、強力なファイアウォールでは、これら複数の方式を組み合わせるなどして高度なセキュリティを実現している。