PCにNICを2枚挿しした時のファイアウォール設定

このQ&Aのポイント
  • PCにNICを2枚挿しして、セキュリティを考慮したネットワーク構成を検討中です。
  • Windows 7ではNIC毎の設定ができないため、ファイアウォールの設定方法に困っています。
  • ファイアウォール設定を変更することで、ルーター経由の端末からのアクセスを制限したいと考えています。
回答を見る
  • ベストアンサー

PCにNICを2枚挿しした時のファイアウォール設定

PCにNICを2枚挿しして、一方は社内LANに接続してファイル共有やインターネットアクセス、他方にはルータを接続して、不特定の端末からそのPCに特定プログラムでデータの授受のみ行うネットワーク構成を検討しています。  ・概要図    社内LAN -- <<PC>> -- ルータ -- 不特定の端末               共有フォルダ etc セキュリティ上、ルーター経由の端末からは、PC上の共有フォルダや、社内LAN上の他端末の存在を知られたくない(特定のプロトコルのみPCと通信する)ようにしたいのですが、PCのWindowsファイアウォールの設定を変更することで実現で可能でしょうか? WindowsXPではファイアウォール設定でNIC毎にファイルとプリンタ共有のON/OFF等を設定(特定プログラムを例外登録)すれば実現できそうなんですが、Windows7ではNIC毎の設定というのが無くて困っています。

質問者が選んだベストアンサー

  • ベストアンサー
  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.6

ルーターやレイヤー2スイッチングHUBより、設定が楽なソフトを見つけました。 余分な機能もありますが、セキュリティー強化には役立ちます。 富士通ソフトウェアテクノロジーズ Portshutter Premium(ポートシャッター プレミアム) http://jp.fujitsu.com/group/fst/services/portshutter-premium/function/ 問い合わせは、URLの書いてあるフリーダイヤルでOK!! http://jp.fujitsu.com/group/fst/contact/service.html 体験版も用意されていますので、一度試されてみては如何でしょうか?? NIC2枚ざしにするPCの台数や、ルーター価格・他端末の個別設定の手間など色々考えると、このソフトはそれほど高くありません。 企業で一番怖いのが、PC知識の乏しい社員がフリーソフトや作成データの持ち込み・持ち出しを自由に出来る所です。 アンチウィルスソフトを入れていても、フリーソフトの場合はインストーラーのファイル圧縮型式により、アンチウィルスソフトに引っかかりません。 一般的なインストーラは、msi型式のMS開発圧縮ファイル、lzhファイル、cabファイル、zipファイルなどですが、ウィルスが仕込んであるファイルの場合は、各OSバージョンで普通では開かないファイル圧縮形式を使います。 例えば、gzip・YZ1・TAR・BGA・ISEなどなど・・・・ 一般的なアンチウィルスソフトは、圧縮ファイル内のウィルスも検出しますが、各OSバージョンで普通では開けないファイル圧縮型式は、インストーラ(*.exe)の中身をチェックできません。 それを、社員が持ち込んだら、社内PC・Serverにあっという間に伝染します。 また、普通のファイルWordやExcelファイルの持ち込み持ち出し禁止は、持ち出し=情報漏えい・持込=ウィルス以外の改ざんデータの持込やゲームソフトの持込などセキュリティーを脅かす操作を、シャットアウトできます。 どうしても必要な作業がある場合は、システム管理者が他端末(社外人員)の変わりに作業をする事で、セキュリティー保護が出来ます。 富士通のPortshutter Premium(ポートシャッター プレミアム)を入れることにより、NICの2枚挿しが不要で、素人のPC使用者には、今までと変わりないしに使って頂けます。 あとは、自己責任で・・・       

nobo_san
質問者

お礼

セキュリティ面の懸念点等、詳細な情報ありがとうございました。 ご提示いただいたソフトを検討してみようと思います。

その他の回答 (5)

  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.5

No.4の継ぎ方で、、、、、 >実験用PCから、他方のPCの共有フォルダ等をアクセスできないようにする、 ルーター2グループのPC同士は共有アクセスできますが、ルーター1グループのPC<=>ルーター2グループのPCでは共有フォルダー等は出来ません。 ルーター1にHTTP・FTPサーバなどがある場合は、サーバーの設定でルーター2グループのPCをアクセス拒否できます。 >ルーター1のネットワーク上の他のPCからはアクセスできるままにしたいという内容です。 ルーター1グループのPC同士は共有アクセスできます。ネットワークドライブマウントも問題ありません。 ルーター1グループのPCは、ルーター2グループのPCにもアクセスさせたい場合は、ルーター2の設定かルーター2の接続方法を考えないといけませんね!! 当たり前の質問ですが、全てのPCでグローバルインターネットアクセスが出来るのが前提ですよね!?         

nobo_san
質問者

お礼

度々、お付き合いありがとうございます。 >当たり前の質問ですが、全てのPCでグローバルインターネットアクセスが出来るのが前提ですよね!? ルーター1グループは現行どおりインターネットアクセスができる必要がありますが、 ルーター2グループのPCからはインターネットアクセスは不要です。 (逆に自由にアクセスされると困る) ルーター2グループのPCは、あくまでルーター1・2両方に接続しているPCにだけアクセスができれば良いんです。 わかりにくくて、すみません...

  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.4

自宅でルーター2段にしてみました。 CATVモデム<=>ルーター1(192.168.0.1)今までのPC全て(実験用PCを除く)<=>ルーター2(10.3.56.1)このIPは昔使っていた名残(実験用PCのみ接続 10.3.56.2) この接続で、実験用PCがルーター1ネットワークにアクセスできるのは、HTTP・FTPなどIEでのアクセスのみ ファイル共有・ネットワークドライブはアクセスできません。 ルーター2を192.168.1.1に変更してテストもしていますが、ファイル共有・ネットワークドライブはアクセスできません。 実験用PCのIP 192.168.1.2 ファイル共有・ネットワークドライブを使用可能にしようとポートを空けてみましたが、ルーターをまたいでのファイル共有・ネットワークドライブ接続は不可能でした。 開放ポート137~139と445のTCP/UDP 2台のルーターはBuffalo AirStation G54とA54G54 この状態がご希望なのでしょうか??

nobo_san
質問者

お礼

書き込みありがとうございます。 構成としては若干違うように思います。 ルーター2には、実験用PCと、ルーター1に接続されているPCの1つ(の2つ目のNIC)を接続することになります。 その際に、実験用PCから、他方のPCの共有フォルダ等をアクセスできないようにする、 ルーター1のネットワーク上の他のPCからはアクセスできるままにしたいという内容です。

  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.3

回答No.1のお礼で、2つのNIC両方ともDHCPによるIPアドレス取得では、絶対無理です。 また、NICの1つをDHCPによるIPアドレス取得で、もう1つを固定IPにしてもDNSサーバーやデフォルトゲートウェイ・サブネットマスクが2つのNICで同じであれば、NICを2つにする意味がないです。 物理的に分かりやすく書くと、2つのNICのLANケーブルネットワークを別々にしないと、LANネットワークの通信データを分けれません。(全てのPCでNIC2枚ざしにする。) ソフト的に区別する場合は、1つ目のNICはDHCPにして、もう片方は固定IPにするか別のルーターでDHCPのIPアドレスを変える。 デフォルトゲートウェイの設定で、1つは「192.168.0.1」 もう1つは「192.168.10.1」にする。 しかしこの設定も全てのPCで同じ事をしないと意味がありません。 なぜなら、自分のPCはNIC2枚ざしでもそれ以外のPCがNIC1枚なら、DHCPで取得されるIPアドレスは1系統のみになります。 タダたんにIPアドレスを2つ使いたいだけなら、NICは1枚でも使えます。 (DHCPは使えません。) >不特定の端末からそのPCに特定プログラムでデータの授受のみ行うネットワーク構成を検討しています。 特定プログラムでデータの授受のみ行うネットワーク構築は、全てのPCに設定を入れないと実現しません。 >社内LAN上の他端末の存在を知られたくない 他端末が2枚ざしNICのPCを認識できないと言うことは、データ通信が出来ないという事です。 当然、ファイル共有も出来ません。 システム管理者の立場から考えると、NIC1枚でIPアドレスも1つで構築は可能です。 ただし、概要図のルーターをL2-HUB(レイヤー2 スイッチングLAN-HUB)に変えないといけません。 そして、L2-HUBに通信許可ポートと拒否ポートを設定する必要があります。 特定プログラムが何か分かりませんが、そのプログラムがネット通信するさいのポート番号が分かっていないといけません。 それでも、「他端末の存在を知られたくない」と言う事は無理です。 ネットワーク上に相手のPCが存在するかどうかを検出してから、LANデータ通信が始まります。 存在がないPC宛にデータ通信を行うと、LANトラフィックで全てのPC(端末)が通信不能になります。 http://www.softether.jp/1-product/11-vpn http://www2.softether.jp/en/vpn2/old/overview/paper/softetherpaper.pdfhttp://www2.softether.jp/en/vpn2/http://www.onocomm.jp/support/manual/pdf/vpnsetting_win8.1.pdf こんな感じで仮想通信アプリを使えば、思い通りにいくかもしれませんが、細かい事はこのソフトメーカーの方にお問い合わせください。 ソフトの使い方ではなく、どうしてこの通信が可能かが分からないと、OSバージョンが何であれ希望しているような通信は不可能です。 初心者なので分かりやすく説明して下さいと言う方は、紹介アプリを使おうが使うまいがまずハードルが高すぎます。 色々なネットワーク通信についての書籍もあって、その中にはご希望の情報が書いてある書籍もあったと思いますが、書籍のタイトルまでは覚えていません。 まずは片っ端から、立ち読みして下さい。 ネットワーク関係の書籍だけでも数千冊はあります。 (月刊誌も含む)      

nobo_san
質問者

お礼

ご回答ありがとうざいます。 書き方が悪くて誤解されたのかもしれませんが...以下のような背景です。 ・既存の社内LANにPCが接続されている(IPは社内LAN上のルータからDHCPで取得) ・今回新たにルータ設置して、不特定の端末が通信を行う小規模ネットワークを別に構築する ・小規模ネットワークからは、特定のプログラムを介して社内LAN上の1つのPCにデータを送る 既存の社内LANの構成(機器)変更は、影響範囲が大きいのと費用もかかるので、安価に済ませるためにこのような構成を考えています。 PCのNICを2つにして接続するネットワークを分けることで、そのPC以外は他方のネットワークにはそのままでもアクセスはできない(と理解しています)。 問題としているのは、両ネットワークに接続するPCにある資産(共有ファイル等)が両方のネットワークからも見えてしまうので、不特定の端末が接続する小規模ネットワーク側にだけ蓋をしたいといった内容です。 ですので、そのPCの(Windows標準の)ファイアウォールの設定を変更することで、対処できればなぁと思った次第です。

  • yambejp
  • ベストアンサー率51% (3827/7415)
回答No.2

>ルーティング見直しのみでセキュリティを確保できる ああ、主題はセキュリティでしたね、ごめんなさい 基本的には2つのネットワークに参加する限り高度なセキュリティを 確保することはできません。 最低でも市販のファイウォール系のソフトはいれないとまずいでしょうね 社内LANの管理者ともよく相談してみてください (そもそもがそういう運用がNGといわれるかもしれませんので)

nobo_san
質問者

お礼

ご回答ありがとうございます。 社内LAN内の他PCには外からアクセスできない、中間のPC上の共有ファイル等にもアクセスできないって言う程度のセキュリティがWindows標準のファイアウォールで容易に保てればいいんですが、やっぱりでは難しいんですかね~

  • yambejp
  • ベストアンサー率51% (3827/7415)
回答No.1

双方のネットワークにIPアドレスに競合がないのであれば ルーティングテーブルの設定でいけそうな気がしますが?

nobo_san
質問者

お礼

ご回答ありがとうございます。 ネットワーク知識に乏しくて、素人質問で恐縮ですが... IPアドレスについては、両方共DHCPでの自動取得で考えています。 現行の社内LANにルータを後付けなので、ルータの設定変更でセグメントを変えることは可能です。 これであれば、ファイアウォール設定の変更は不要で、ルーティング見直しのみでセキュリティを確保できるって理解で合ってますか?

関連するQ&A

  • ファイアウォールについてお教えください

    初心者の質問ですみません。現在、CATVでインターネットをやっています。無線LANを構築してフォルダの共有をしたいのですがうまくいかず、ファイアウォールをはずせば共有できるようになりました。それはいいのですが、セキュリティーが心配ですのでファイアウォールのことを少し勉強しています。よろしくお願い致します。 (1) Windows XPにはいっているファイアウォールと、セキュリティーソフトにはいっているファイアウォールは同じことをやっているのでしょうか? (2) ファイアウォールについて、以下の理解でよろしいでしょうか? ・LANをやる前の状態は モデム→a→PC となっていて、PCの直前のaのところでファイアウォールが働いている。 ・LANを構築した場合 モデム→ブロードバンドルーター→a→PC1         ↓ 無線                 PC2 aでブロックされてしまうので、PC1とPC2の間でフォルダの共有ができないから、ファイアウォールをはずす。 ・ファイアウォールの機能はブロードバンドルーターについていて、下記のようにbのところでブロックされる。 モデム→b→ブロードバンドルーター→PC1         ↓ 無線         PC2 ・PC1とPC2間のやりとりのセキュリティーについても、ブロードバンドルーターについてきたユティリティで設定すれば大丈夫 (3) もし(2)の考えで正しいとすれば、フォルダの共有をしたい時には必ずファイアウォールをはずさないといけないはずだと思うのですが、フォルダの共有がうまくいかない場合、ファイアウォールが入っているための「可能性がある」というのが理解できません。

  • NIC 2枚差しの設定

    拠点A(192.168.1.x)の社内ネットワークからは、拠点B(192.168.2.x)に存在するファイルサーバー とWindowsファイル共有ができます。 一方、拠点Aには社内ネットワークと隔絶したADSLモデムに接続したPCが存在します。 この拠点Aに存在するPCにNICを増設し、NWセグメントの異なる拠点Bのファイルサーバーにアクセス することは可能でしょうか。 増設したNICにrouteを追加して複数GW設定にしても、拠点Bにアクセスしようとすると、ADSL側の NICが使われてしまうような気がします。 IPアドレス毎に使用するNICを指定する、というようなことはできないのでしょうか。

  • LAN内のPCでPingがとばない・・

    こんにちは。 タイトルの件で質問です。 社内のLANに接続されているクライアントPCで、 インターネットや社内共有フォルダにはアクセスできるのに、 なぜかPingをうっても応答がないPCがあります。 これはどういう原因が考えられますでしょうか。 【補足】 OS:Win XP Pro 有線接続 全社共有のDNSサーバーがあり、端末の設定は自動取得 全社共有のDHCPサーバーがあり、端末の設定は自動取得 各拠点スイッチと端末の間に無線機能内蔵ルーターをかませてますが、ルーター機能はオフにしてあります。

  • WindowsPCでNICを2つ使いたい

    はじめまして。 WindowsPCでNICを2つ使いたいのですが、うまく通信できません。 恐らくPC側の設定の問題と疑っているのですが、どなたか設定方法をご存知でしょうか? ・環境   インターネット      |    ルーター      | PC1=ハブ-PC2      |     PC3 ・PC1(OS:Windows7 Pro 64bit) NIC2枚挿しです。(1つは最初からついてるNIC、もう1つはUSB接続のNIC) それぞれのNICには、異なるセグメントのIPアドレスを割り当てたいです。 また、PC1はインターネットにアクセスします。従って、PC1のデフォルトGWは ルーターのIPアドレスです。 例えば、NICの設定を以下のように設定したとします。 NIC1:192.168.1.1/24 デフォルトGW:192.168.1.254(インターネットアクセス用セグメント) NIC2:192.168.2.1/24 デフォルトGW:設定無し(LAN用セグメント) (デフォルトGWは1つしか設定できないので、NIC2には設定しません。) NIC2枚に接続したLANケーブルは同じHUBに接続します。 ・PC2(OS:Windows7 Pro 64bit) NICは1つです。 インターネットにはアクセスしません。 LAN用セグメントで使用したいので、デフォルトGWは設定していません。 NIC:192.168.2.2/24 デフォルトGW:設定無し(LAN用セグメント) ・PC3(OS:MacOSX) NICは1つです。 インターネットにアクセスしますが、PC1、PC2とはアクセスしません。 NIC:192.168.1.10/24 デフォルトGW:192.168.1.254(インターネットアクセス用セグメント) ・問題点 PC1~PC2間でping疎通が通ったり、通らなかったりロストします。 PC1に何かの設定が不足してると思っているのですが、 このような環境でPC1~PC2間で通信できるようにする設定を教えてください。 ちなみに、PC1、PC3からインターネットは問題無くできます。

  • ウィルスバスターのファイアウォール設定で、通信を許可したいPCのみファイアウォールを通過するように設定する方法は?

    家庭内ネットワークでのフォルダ共有設定をしており、ファイアウォール設定について質問です。 自宅で使用しているデスクトップパソコンとノートパソコンとで【ネットワーク上でのフォルダー共有設定】をしました。ネットワークセットアップウィザードを利用してワークグループ名も双方ともに同じ名前で設定しました。おそらく正しく共有設定できていると思います。 2台のPC共に「ウィルスバスタ2006」を利用しており、パーソナルファイアウォールを無効にすると共有フォルダーにアクセスできるのですが、有効にするとアクセスできなくなります。 アクセスできない原因がファイアウォール設定にあると思われるのですが、セキュリティー的に設定を無効にするのはかなり不安があります。 ファイアウォールを有効に戻して、通信を許可したいPCのみファイアウォールを通過するように設定し直す方法を試してみたのですが…途中で行きずまってしまいました。 ウィルスバスターで、ファイアウォールの例外設定の追加をしてみたのですが、「通信プロトコル」や「ポート番号」や「IP設定:IPアドレス」に何を入力するのかがわかりません。 ご存知の方がいらっしゃれば、教えていただけると助かります。 ※ノートPC  OS:WindowsXP home Edition  ウィルスバスター2006  無線LAN接続 ※デスクトップPC  OS:WindowsXP home Edition  ウィルスバスター2006  有線接続(ブロードバンドルータ経由)  

  • ファイアーウォールを設定したら・・・

    win2000 2台のPCにてウイルスバスター2004をインストールしたら共有フォルダが見れなくなりました。 ファイアーウォール設定を無効にしたら、pingはつながってます。 どのルールを使っても有効にしたら、つながりません。 最適なファイアーウォール設定を教えてください。

  • WindowsXPにてNIC2枚・・・

    現在、WindowsXPでNIC2枚ざしをしているのですが、デフォルトゲートウェイを入れていない方にある端末に接続する際に、端末にはすぐたどりつけますが、共有フォルダにアクセスすると大変時間がかかります。接続できないわけではありませんが・・・。どのようにこれを解消すればよろしいでしょうか?ちなみにアクセスされる端末はW2k Pro です。デフォルトゲートウェイが入っている側の端末の共有フォルダには早くアクセスできます。もしお分かりかの方がいらっしゃいましたら助けてください。

  • 共有フォルダのためにWindowsファイアウォールの例外設定をしたい

    共有フォルダ内のファイルを読み書きできるようにする目的で Windowsファイアウォールの例外を適切に許可する設定方法を教えてください。 まず、自宅LANに PC1(IP: 192.168.0.5;XP Pro SP2) PC2(IP: 192.168.0.7;XP Pro SP2)とあり、 PC1のデスクトップに作成した「temp」共有フォルダに、PC2のマイネットワークから PC1にアクセスしようとしたら蹴られました。そこで、 Windows.FAQ - ネットワークの共有フォルダに接続できない場合のチェックリスト http://homepage2.nifty.com/winfaq/networkchecklist.html を参照し、PC1のWindowsファイアウォールを一時的に無効にしたところ、 アクセスできるようになりました。 というわけで、PC1のWindowsファイアウォール設定にある「例外」タブに PC2を許可するよう設定すれば良さそうに思うのですが、ここで設定 できるのはプログラム(exe)だけのように見受けます。 「IPアドレスが192.168.0.7コンピュータはアクセスしていいですよ」と させればよさそうに思うのですが、設定方法がわかりません。 Nortonなど、他社製ファイアウォールは導入しておりません。 よろしくお願いします。

  • 一台のPCにNICを2枚さしにした場合

    PCに2枚のNICをさし、2枚ともDHCPからIPアドレス等を自動取得する設定にし、ルーターR1とルーターR2へ接続した環境で、PCでのipconfigコマンドで最初に表示されるNICに接続されているルーターR1がPCのデフォルトゲートウェイになると聞きました。 ルーターR2をデフォルトゲートウェイにしたい場合、ipconfigコマンドでルーターR2に接続されているNICを最初に表示させるには、PCにどんな設定をすればよいのでしょうか。(ハード的な接続替えをしないで) お願いします。

  • NIC2枚装着時のルーティングテーブルについて

    現在、「社内ネットワーク」と「インターネット」に接続するWindowsサーバを構築中です。 このWindowsサーバにはNICが2枚装着してあります。   NIC1側;社内ネットワーク接続   NIC2側;インターネット接続 ※最終的にこのWindowsサーバに業務ソフトをインストールします。  業務ソフトはインターネット上のサーバ(?)から必要な情報を自動でダウンロード  して社内パソコンから閲覧します。  なお、業務ソフトがインターネット上のどこに接続するかは不特定のため不明で  あります。 インターネットで調べたところ、『NIC2枚装着時はどちらか片方のみデフォルト ゲートウェイを設定し、もう片方を「route add」にてルーティングテーブルへ 設定をする必要がある』までは理解しました。 Windowsサーバがインターネットに自由に接続できるようにするための 「route add」の構文を教えてください。 <NIC1側(社内ネットワーク)の情報> IPアドレス        120.10.10.30 サブネットマスク     255.255.0.0 デフォルトゲートウェイ  120.10.10.1 「120.10.10.1」はルータで、このルータの先には A支店(130.10.0.0/16) B支店(140.10.0.0/16) C支店(150.10.0.0/16) D支店(160.10.0.0/16) E支店(170.10.0.0/16) があります。 <NIC2側の情報> IPアドレス        200.10.10.30 サブネットマスク     255.255.0.0 デフォルトゲートウェイ  未設定 NIC2の先は「バカHUB」→「ファイアウオール」→「ルータ」→インターネット となっております。 (「バカHUB」→「ファイアウオール」→「ルータ」→インターネットは既存の ネットーワークを流用します。なお、構築した人が資料を残しておらず、また、 転勤してしまったため、ファイアウオールとルータの設定を調査中。) おそらく、ファイアウオールは 200.10.10.30からインターネットへの通信のみを許可。 インターネットから200.10.10.30への通信のみを許可。 という設定になっていると思います。 ルータ LAN側、WAN側のIPアドレスの状態は不明。 本当に情報が少なくて大変申し訳ありませんが、 ご回答をよろしくお願いします。