1. 要約(3行まとめ)
- 環境によらず必要不可欠なサービスは、Web、DNS、NTPの3種類。
- 企業の場合、上記に加え、Mail、VPN、VoIPなど、業務に必要なサービスを追加する。
- 家庭の場合、OutboundはAll Allow、InboundはAll Denyとしてしまうことも多い。
2. 概要
- 自宅等でファイアウォールの設定をする際に、「あれ?何許可しとけばいいんだっけ?」となることがあるので、一般的な企業や家庭で許可されることの多い(と思われる)ポート番号を整理してみました。
- 本記事の内容は経験則(主観)に基づくものなので、まあ普通こんな感じだよね、くらいのニュアンスで読んでいただけると幸いです。
- 使い方としては、後述の表をベースに、個別の要件を加味してカスタムする、という想定になります。
3. 凡例
〇・・・許可
-・・・拒否
Outbound・・・From 内部、To 外部
Inbound・・・From 外部、To 内部
4. 企業(エンタープライズネットワーク)
4-1. Outbound
Port |
Service |
TCP |
UDP |
25 |
SMTP |
〇 |
- |
53 |
DNS |
- |
〇 |
80 |
HTTP |
〇 |
- |
123 |
NTP |
- |
〇 |
443 |
HTTPS |
〇 |
- |
- Outboundは、Web Proxyサーバ、Mailサーバ、DNSサーバ、NTPサーバを立てて、クライアントからの通信を集約するのが一般的かと思います。
- Web Proxyサーバとは別に、Windows UpdateのためにWSUSサーバを立てる場合もありますが、ポート番号はWeb Proxyサーバと同じになります。
- Mailサーバについては、クラウドサービス(Office 365等)を利用している場合は、不要になります。
- DNSサーバ+NTPサーバ=Active Directoryサーバとすることも可能です。
- その他、最近だとビデオ会議(VoIPを含む)に必要なポート等を、追加で許可する必要があるかもしれません。
- ポート番号ではないですが、PINGの可否はお好みで。
4-2. Inobound
Port |
Service |
TCP |
UDP |
25 |
SMTP |
〇 |
- |
53 |
DNS |
- |
〇 |
80 |
HTTP |
〇 |
- |
443 |
HTTPS |
〇 |
- |
- Inboundは、「外部公開サーバ=必要なポート」になりますので、非常に分かり易いと思います。
- WebサーバとMailサーバについては、クラウドサービスを利用している場合は、不要になります。
- DNSサーバについては、クラウドサービスやISPのサービスを利用している場合は、不要になります。
- その他、管理やVPN(IPsecを含む)に必要なポート等を、追加で許可する必要があるかもしれません。
5. 家庭(ホームネットワーク)
5-1. Outbound
Port |
Service |
TCP |
UDP |
53 |
DNS |
- |
〇 |
80 |
HTTP |
〇 |
- |
123 |
NTP |
- |
〇 |
443 |
HTTPS |
〇 |
- |
- 一般家庭では、Outboundの通信(とその戻り)は制限しないことが多いと思いますが、あえて制限するとすれば、最低限上記サービスは必要になります。
- DNSとNTPについては、ファイアウォール(≒ルータ)に機能があれば、集約するのもアリです。
- ポート番号ではないですが、PINGは許可しておいたほうが便利ですね。(そもそも制限できないことも多い)
5-2. Inbound
なし
- オンラインゲームをする、自宅にサーバを立てて外部に公開する、IoT機器を設置して外部から操作する、等がなければ特にInboundの通信を許可する必要はありません。
- むしろIPv6も含めてすべての着信パケットをDropしてしまったほうが安全です。
6. 雑記
7. 更新履歴
- 2020/06/09:初版投稿
- 2020/06/11:オンラインゲームに関する内容を追記