社内で利用している下記のWindows2000Server サーバ2台

社内で利用している下記のWindows2000Server サーバ2台について、
パーソナルファイアウォールを入れようということになりました。

・ドメインサーバ（ADサーバ、ドメインユーザのログイン管理）
・ファイルサーバ（共有サーバのほか、社内イントラのWebサーバとしても利用）

WEBサーバの場合、ポートは80や443等になると思いますが、パーソナルファイアウォールを導入するとなった場合、対象ポートを決める順序的なものはあるのでしょうか？
（勝手に考えているのは、例えばファイルサーバのTCPコネクションをモニタリングし、
今使われている接続は利用者の接続なので、それを候補にする、というやり方です。もちろん
その中でも良い悪いは判断する必要がありますが・・・）

また、上記のようなサーバの場合、対象とするポートは一般的には何になるのでしょうか？

No.1 ベストアンサー 回答者： koi1234 回答日時： 2010/07/06 14:49

その会社毎の考え方（ポリシー）次第だと思いますが

既に使っている環境に対して極力制限がかからない方向でファイヤーフォール
導入したいんであれば
（この場合それがファイヤーフォールとして有功か？って事も考えたほうが良いでしょう）
>例えばファイルサーバのTCPコネクションをモニタリングし、
>今使われている接続は利用者の接続なので、それを候補にする、というやり方です
書かれているこのようなやり方もあるでしょう

かなりがちがちにしてしている企業であれば必要最低限のものしか
使用できないとしている場合もあります
ブラウズ（基本は80/8080）とメール(関連として25/110/445/587/995)だけ とか
※ ポート番号間違えてるかも（443は必須ってわけでもないと思います）

言える事としては制限付けるればつけるほどファイヤーフォールの意味は高いけれど
使い勝手は悪くなる
反対に色々通過させれば使い勝手は増すがファイヤーフォールとしては
ちょっと弱い ってことです

何処で区切るかが其々のポリシー 一般的って言うのはありません

No.2 回答者： Toshi0230 回答日時： 2010/07/06 14:56

指定するのがTCPまたはUDPのポート番号だけだったら通常は順番は考慮する必要はないです。

IP+ポートであれば考慮する必要がありますが、どうすればよいかはファイアウォール製品によって多少異なると思うので、一概には言えません。
（もっとも、私の知る範囲ではたいてい先頭行から順に評価されていきますが…）
そんなに難しいロジックではないはずなので、製品の説明書をよく読んでください。

ただ、個人的見解を言えば、サーバへのパーソナルファイアウォールって予期せぬトラブルを起こす可能性が高いのであまりおすすめできません。
WEBサーバくらいだったらまだいいんですが、RPC使ったアプリケーションとかだとポートがダイナミックに変わって設定しにくいものもありますし…

むしろ、2010年7月（ってもう今月ですが）でサポートが切れるWindows2000の環境を2003なり2008なりに移行することを考える方が適当と考えます。