PCにNICを2枚挿しした時のファイアウォール設定

PCにNICを2枚挿しして、一方は社内LANに接続してファイル共有やインターネットアクセス、他方にはルータを接続して、不特定の端末からそのPCに特定プログラムでデータの授受のみ行うネットワーク構成を検討しています。
　・概要図
　　　社内LAN -- <<PC>> -- ルータ -- 不特定の端末
　　　　　　　　　　　　　 共有フォルダ etc

セキュリティ上、ルーター経由の端末からは、PC上の共有フォルダや、社内LAN上の他端末の存在を知られたくない(特定のプロトコルのみPCと通信する)ようにしたいのですが、PCのWindowsファイアウォールの設定を変更することで実現で可能でしょうか？

WindowsXPではファイアウォール設定でNIC毎にファイルとプリンタ共有のON/OFF等を設定(特定プログラムを例外登録)すれば実現できそうなんですが、Windows7ではNIC毎の設定というのが無くて困っています。

No.6 ベストアンサー 回答者： pc_net_sp 回答日時： 2014/05/07 15:27

ルーターやレイヤー2スイッチングHUBより、設定が楽なソフトを見つけました。

余分な機能もありますが、セキュリティー強化には役立ちます。

富士通ソフトウェアテクノロジーズ
Portshutter Premium（ポートシャッター プレミアム）
http://jp.fujitsu.com/group/fst/services/portshu …

問い合わせは、ＵＲＬの書いてあるフリーダイヤルでＯＫ！！
http://jp.fujitsu.com/group/fst/contact/service. …

体験版も用意されていますので、一度試されてみては如何でしょうか？？

ＮＩＣ２枚ざしにするＰＣの台数や、ルーター価格・他端末の個別設定の手間など色々考えると、このソフトはそれほど高くありません。
企業で一番怖いのが、ＰＣ知識の乏しい社員がフリーソフトや作成データの持ち込み・持ち出しを自由に出来る所です。

アンチウィルスソフトを入れていても、フリーソフトの場合はインストーラーのファイル圧縮型式により、アンチウィルスソフトに引っかかりません。
一般的なインストーラは、msi型式のＭＳ開発圧縮ファイル、lzhファイル、cabファイル、zipファイルなどですが、ウィルスが仕込んであるファイルの場合は、各ＯＳバージョンで普通では開かないファイル圧縮形式を使います。

例えば、gzip・YZ1・TAR・BGA・ISEなどなど・・・・

一般的なアンチウィルスソフトは、圧縮ファイル内のウィルスも検出しますが、各ＯＳバージョンで普通では開けないファイル圧縮型式は、インストーラ（*.exe）の中身をチェックできません。
それを、社員が持ち込んだら、社内ＰＣ・Ｓｅｒｖｅｒにあっという間に伝染します。

また、普通のファイルWordやExcelファイルの持ち込み持ち出し禁止は、持ち出し＝情報漏えい・持込＝ウィルス以外の改ざんデータの持込やゲームソフトの持込などセキュリティーを脅かす操作を、シャットアウトできます。
どうしても必要な作業がある場合は、システム管理者が他端末（社外人員）の変わりに作業をする事で、セキュリティー保護が出来ます。

富士通のPortshutter Premium（ポートシャッター プレミアム）を入れることにより、ＮＩＣの２枚挿しが不要で、素人のＰＣ使用者には、今までと変わりないしに使って頂けます。

あとは、自己責任で・・・

　　　　　　

この回答へのお礼

セキュリティ面の懸念点等、詳細な情報ありがとうございました。
ご提示いただいたソフトを検討してみようと思います。

お礼日時：2014/05/07 17:23

No.5 回答者： pc_net_sp 回答日時： 2014/05/01 18:32

Ｎｏ．４の継ぎ方で、、、、、

＞実験用PCから、他方のPCの共有フォルダ等をアクセスできないようにする、
ルーター２グループのＰＣ同士は共有アクセスできますが、ルーター1グループのＰＣ＜＝＞ルーター2グループのＰＣでは共有フォルダー等は出来ません。

ルーター１にＨＴＴＰ・ＦＴＰサーバなどがある場合は、サーバーの設定でルーター２グループのＰＣをアクセス拒否できます。


＞ルーター１のネットワーク上の他のPCからはアクセスできるままにしたいという内容です。
ルーター１グループのＰＣ同士は共有アクセスできます。ネットワークドライブマウントも問題ありません。


ルーター１グループのＰＣは、ルーター２グループのＰＣにもアクセスさせたい場合は、ルーター２の設定かルーター２の接続方法を考えないといけませんね！！


当たり前の質問ですが、全てのＰＣでグローバルインターネットアクセスが出来るのが前提ですよね！？
　
　
　　　　

この回答へのお礼

度々、お付き合いありがとうございます。

>当たり前の質問ですが、全てのＰＣでグローバルインターネットアクセスが出来るのが前提ですよね！？

ルーター１グループは現行どおりインターネットアクセスができる必要がありますが、
ルーター２グループのPCからはインターネットアクセスは不要です。
(逆に自由にアクセスされると困る)

ルーター２グループのPCは、あくまでルーター１・２両方に接続しているPCにだけアクセスができれば良いんです。

わかりにくくて、すみません...

お礼日時：2014/05/02 09:47

No.4 回答者： pc_net_sp 回答日時： 2014/04/30 10:37

自宅でルーター２段にしてみました。

ＣＡＴＶモデム＜＝＞ルーター１（192.168.0.1）今までのＰＣ全て（実験用ＰＣを除く）＜＝＞ルーター２（10.3.56.1）このＩＰは昔使っていた名残（実験用ＰＣのみ接続 10.3.56.2）

この接続で、実験用ＰＣがルーター１ネットワークにアクセスできるのは、ＨＴＴＰ・ＦＴＰなどＩＥでのアクセスのみ
ファイル共有・ネットワークドライブはアクセスできません。

ルーター２を192.168.1.1に変更してテストもしていますが、ファイル共有・ネットワークドライブはアクセスできません。
実験用ＰＣのＩＰ 192.168.1.2

ファイル共有・ネットワークドライブを使用可能にしようとポートを空けてみましたが、ルーターをまたいでのファイル共有・ネットワークドライブ接続は不可能でした。
開放ポート１３７～１３９と４４５のＴＣＰ／ＵＤＰ

2台のルーターはBuffalo AirStation G54とA54G54

この状態がご希望なのでしょうか？？

この回答へのお礼

書き込みありがとうございます。

構成としては若干違うように思います。
ルーター２には、実験用PCと、ルーター１に接続されているPCの１つ(の2つ目のNIC)を接続することになります。

その際に、実験用PCから、他方のPCの共有フォルダ等をアクセスできないようにする、
ルーター１のネットワーク上の他のPCからはアクセスできるままにしたいという内容です。

お礼日時：2014/05/01 10:34

No.3 回答者： pc_net_sp 回答日時： 2014/04/25 14:43

回答Ｎｏ．１のお礼で、2つのＮＩＣ両方ともＤＨＣＰによるＩＰアドレス取得では、絶対無理です。

また、ＮＩＣの１つをＤＨＣＰによるＩＰアドレス取得で、もう１つを固定ＩＰにしてもＤＮＳサーバーやデフォルトゲートウェイ・サブネットマスクが２つのＮＩＣで同じであれば、ＮＩＣを２つにする意味がないです。

物理的に分かりやすく書くと、２つのＮＩＣのＬＡＮケーブルネットワークを別々にしないと、ＬＡＮネットワークの通信データを分けれません。（全てのＰＣでＮＩＣ２枚ざしにする。）

ソフト的に区別する場合は、１つ目のＮＩＣはＤＨＣＰにして、もう片方は固定ＩＰにするか別のルーターでＤＨＣＰのＩＰアドレスを変える。
デフォルトゲートウェイの設定で、１つは「１９２．１６８．０．１」　もう１つは「１９２．１６８．１０．１」にする。
しかしこの設定も全てのＰＣで同じ事をしないと意味がありません。
なぜなら、自分のＰＣはＮＩＣ２枚ざしでもそれ以外のＰＣがＮＩＣ１枚なら、ＤＨＣＰで取得されるＩＰアドレスは１系統のみになります。

タダたんにＩＰアドレスを２つ使いたいだけなら、ＮＩＣは１枚でも使えます。　（ＤＨＣＰは使えません。）


＞不特定の端末からそのPCに特定プログラムでデータの授受のみ行うネットワーク構成を検討しています。
特定プログラムでデータの授受のみ行うネットワーク構築は、全てのＰＣに設定を入れないと実現しません。

＞社内LAN上の他端末の存在を知られたくない
他端末が２枚ざしＮＩＣのＰＣを認識できないと言うことは、データ通信が出来ないという事です。
当然、ファイル共有も出来ません。


システム管理者の立場から考えると、ＮＩＣ１枚でＩＰアドレスも１つで構築は可能です。
ただし、概要図のルーターをＬ２－HUB（レイヤー２ スイッチングＬＡＮ－ＨＵＢ）に変えないといけません。
そして、Ｌ２－ＨＵＢに通信許可ポートと拒否ポートを設定する必要があります。
特定プログラムが何か分かりませんが、そのプログラムがネット通信するさいのポート番号が分かっていないといけません。
それでも、「他端末の存在を知られたくない」と言う事は無理です。
ネットワーク上に相手のＰＣが存在するかどうかを検出してから、ＬＡＮデータ通信が始まります。
存在がないＰＣ宛にデータ通信を行うと、ＬＡＮトラフィックで全てのＰＣ（端末）が通信不能になります。

http://www.softether.jp/1-product/11-vpn
http://www2.softether.jp/en/vpn2/old/overview/pa …
（http://www2.softether.jp/en/vpn2/）

http://www.onocomm.jp/support/manual/pdf/vpnsett …

こんな感じで仮想通信アプリを使えば、思い通りにいくかもしれませんが、細かい事はこのソフトメーカーの方にお問い合わせください。

ソフトの使い方ではなく、どうしてこの通信が可能かが分からないと、ＯＳバージョンが何であれ希望しているような通信は不可能です。

初心者なので分かりやすく説明して下さいと言う方は、紹介アプリを使おうが使うまいがまずハードルが高すぎます。

色々なネットワーク通信についての書籍もあって、その中にはご希望の情報が書いてある書籍もあったと思いますが、書籍のタイトルまでは覚えていません。

まずは片っ端から、立ち読みして下さい。
ネットワーク関係の書籍だけでも数千冊はあります。　（月刊誌も含む）


　　　　　

この回答へのお礼

ご回答ありがとうざいます。

書き方が悪くて誤解されたのかもしれませんが...以下のような背景です。
・既存の社内LANにPCが接続されている(IPは社内LAN上のルータからDHCPで取得)
・今回新たにルータ設置して、不特定の端末が通信を行う小規模ネットワークを別に構築する
・小規模ネットワークからは、特定のプログラムを介して社内LAN上の１つのPCにデータを送る

既存の社内LANの構成(機器)変更は、影響範囲が大きいのと費用もかかるので、安価に済ませるためにこのような構成を考えています。
PCのNICを2つにして接続するネットワークを分けることで、そのPC以外は他方のネットワークにはそのままでもアクセスはできない(と理解しています)。

問題としているのは、両ネットワークに接続するPCにある資産(共有ファイル等)が両方のネットワークからも見えてしまうので、不特定の端末が接続する小規模ネットワーク側にだけ蓋をしたいといった内容です。
ですので、そのPCの(Windows標準の)ファイアウォールの設定を変更することで、対処できればなぁと思った次第です。

お礼日時：2014/04/25 15:42

No.2 回答者： yambejp 回答日時： 2014/04/25 12:28

＞ルーティング見直しのみでセキュリティを確保できる

ああ、主題はセキュリティでしたね、ごめんなさい

基本的には２つのネットワークに参加する限り高度なセキュリティを
確保することはできません。

最低でも市販のファイウォール系のソフトはいれないとまずいでしょうね
社内LANの管理者ともよく相談してみてください
（そもそもがそういう運用がNGといわれるかもしれませんので）

この回答へのお礼

ご回答ありがとうございます。

社内LAN内の他PCには外からアクセスできない、中間のPC上の共有ファイル等にもアクセスできないって言う程度のセキュリティがWindows標準のファイアウォールで容易に保てればいいんですが、やっぱりでは難しいんですかね～

お礼日時：2014/04/25 14:15

No.1 回答者： yambejp 回答日時： 2014/04/25 11:22

双方のネットワークにIPアドレスに競合がないのであれば

ルーティングテーブルの設定でいけそうな気がしますが？

この回答へのお礼

ご回答ありがとうございます。

ネットワーク知識に乏しくて、素人質問で恐縮ですが...
IPアドレスについては、両方共DHCPでの自動取得で考えています。
現行の社内LANにルータを後付けなので、ルータの設定変更でセグメントを変えることは可能です。
これであれば、ファイアウォール設定の変更は不要で、ルーティング見直しのみでセキュリティを確保できるって理解で合ってますか？

お礼日時：2014/04/25 11:47