加一道防護網:Win2008的進階防火牆

來源:互聯網
上載者:User
微軟的Windows Server 2003中防火牆的功能如此之簡陋,讓很多系統管理員將其視為雞肋,它一直是一個簡單的、僅支援入站防護、基於主機的狀態防火牆。而隨著Windows Server 2008的日漸向我們走近,其內建的防火牆功能得到了巨大的改進。下面讓我們一起來看一下這個新的進階防火牆將如何協助我們防護系統,以及如何使用管理主控台單元來配置它。

為什麼你應該使用這個Windows的基於主機的防火牆?

今天許多公司正在使用外置安全硬體的方式來加固它們的網路。 這意味著,它們使用防火牆和入侵保護系統在它們的網路周圍建立起了一道銅牆鐵壁,保護它們自然免受互連網上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻 破外圍的防線,從而獲得對內部網路的訪問,將只有Windows認證安全來阻止他們來訪問公司最有價值的資產-它們的資料。

這是因為大多數IT人士沒有使用基於主機的防火牆來加固他們的伺服器的安全。為什麼會出現這樣的情況呢?因為多數IT人士認為,部署基於主機的防火牆所帶來的麻煩要大於它們帶來的價值。

我希望在您讀完這篇文章後,能夠花一點時間來考慮Windows這個基於主機的防火牆。在Windows Server 2008中,這個基於主機的防火牆被內建在Windows中,已經被預先安裝,與前面版本相比具有更多功能,而且更容易配置。它是加固一個關鍵的基礎伺服器的最好方法之一。具有進階安全性的 Windows 防火牆結合了主機防火牆和IPSec.與邊界防火牆不同,具有進階安全性的 Windows 防火牆在每台運行此版本 Windows 的電腦上運行,並對可能穿越邊界網路或源於組織內部的網路攻擊提供本地保護。它還提供電腦到電腦的串連安全,使您可以對通訊要求身分識別驗證和資料保護。

那麼,這個Windows Server進階防火牆可以為你做什麼,你又該如何配置它?讓我們繼續看下去。

新防火牆具備的功能及對你的協助

這個Windows Server 2008中的內建防火牆現在“進階”了。這不僅僅是我說它進階,微軟現在已經將其稱為進階安全Windows防火牆(簡稱WFAS)。

以下是可以證明它這個新名字的新功能:

1、新的圖形化介面。

現在通過一個管理主控台單元來配置這個進階防火牆。

2、雙向保護。

對出站、入站通訊進行過濾。

3、與IPSEC更好的配合。

具有進階安全性的Windows防火牆將Windows防火牆功能和網際網路通訊協定 (IP)安全(IPSec)整合到一個控制台中。使用這些進階選項可以按照環境所需的方式配置金鑰交換、資料保護(完整性和加密)以及身分識別驗證設定。

4、進階規則配置。

你可以針對Windows Server上的各種對象建立防火牆規則,配置防火牆規則以確定阻止還是允許流量通過具有進階安全性的Windows防火牆。

傳入資料包到達電腦時,具有進階安全性的Windows防火牆檢查該資料包,並確定它是否符合防火牆規則中指定的標準。如果資料包與規則中的標準匹配,則具有進階安全性的Windows防火牆執行規則中指定的操作,即阻止串連或允許串連。如果資料包與規則中的標準不匹配,則具有進階安全性的Windows防火牆丟棄該資料包,並在防火牆記錄檔中建立條目(如果啟用了日誌記錄)。

對規則進行配置時,可以從各種標準中進行選擇:例如應用程式名稱、系統服務名稱、TCP連接埠、UDP連接埠、本地IP地址、遠程IP地址、設定檔、介面類型(如網路介面卡)、使用者、使用者組、電腦、電腦群組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多,具有進階安全性的Windows防火牆匹配傳入流量就越精細。

通過增加雙向防護功能、一個更好的圖形介面和進階的規則配置,這個進階安全Windows防火牆正在變得和傳統的基於主機的防火牆一樣強大,例如ZoneAlarm Pro等。

我知道任何伺服器管理員在使用一個基於主機的防火牆時首先想到的是:它是否會影響這個關鍵伺服器基礎應用的正常工作?然而對於任何安全措施這都是一個可能存在的問題,Windows 2008進階安全防火牆會自動的為添加到這個伺服器的任何新角色自動設定新的規則。但是,如果你在你的伺服器上運行一個非微軟的應用程式,而且它需要入站網路連接的話,你將必鬚根據通訊的類型來建立一個新的規則。

通過使用這個進階防火牆,你可以更好的加固你的伺服器以免遭攻擊,讓你的伺服器不被利用去攻擊別人,以及真正確定什麼資料在進出你的伺服器。下面讓我們看一下如何來實現這些目的。

瞭解配置Windows防火牆進階安全性的選擇

在以前Windows Server中,你可以在去配置你的網路介面卡或從控制台中來配置Windows防火牆。這個配置是非常簡單的。

對於Windows進階安全防火牆,大多數管理員可以或者從Windows伺服器管理員配置它,或者從只有Windows進階安全防火牆MMC嵌入式管理單元中配置它。

我發現啟動這個Windows進階安全防火牆的最簡單最快速的方法是,在開始菜單的搜尋方塊中鍵入‘防火牆’

快速啟動Windows 2008進階安全防火牆管理主控台的方法

另外,你還可以用配置網路組件設定的命令列工具Netsh來配置Windows進階安全防火牆。使用netsh advfirewall可以建立指令碼,以便自動同時為IPv4和IPv6流量配置一組具有進階安全性的Windows防火牆設定。還可以使用netsh advfirewall命令顯示具有進階安全性的Windows防火牆的配置和狀態。

使用新的Windows進階安全防火牆MMC嵌入式管理單元能配置什嗎?

由於使用這個新的防火牆管理主控台你可以配置如此眾多的功能,我不可能面面俱道的提到它們。如果你曾經看過Windows 2003內建防火牆的配置圖形介面,你會迅速的發現在這個新的Windows進階安全防火牆中躲了如此眾多的選項。下面讓我選其中一些最常用的功能來介紹給大家。

預設情況下,當你第一次進入Windows進階安全防火牆管理主控台的時候,你將看到Windows進階安全防火牆預設開啟,並且阻擋不匹配入站規則的入站串連。此外,這個新的出站防火牆預設被關閉。

你將注意的其他事情是,這個Windows進階安全防火牆還有多個設定檔供使用者選擇。

在Windows 2008進階安全防火牆中提供的設定檔

在這個Windows進階安全防火牆中有一個網域設定檔案、專用設定檔和公用設定檔。設定檔是一種分組設定的方法,如防火牆規則和串連安全規則,根據電腦串連的位置將其應用於該電腦。例如根據你的電腦是在企業區域網路中還是在本地咖啡店中。

在我看來,在我們討論過的Windows 2008進階安全防火牆的所有改進中,意義最重大的改進當屬更複雜的防火牆規則。看一下在Windows Server 2003防火牆增加一個例外的選項。

Windows 2003 Server防火牆例外視窗

再來對比一下Windows 2008 Server中的配置視窗。

Windows 2008 Server進階防火牆例外設定視窗

注意協議和連接埠標籤只是這個多標籤視窗中的一小部分。你還可以將規則應用到使用者及電腦、程式和服務以及IP位址範圍。通過這種複雜的防火牆規則配置,微軟已經將Windows進階安全防火牆朝著微軟的IAS Server發展。

Windows進階安全防火牆所提供的預設規則的數量也是令人吃驚的。在Windows 2003 Server中,只有三個預設的例外規則。而

Windows 2008進階安全防火牆提供了大約90個預設入站防火牆規則和至少40個預設外出規則。

Windows 2008 Server進階防火牆預設入站規則

那麼你如何使用這個新的Windows進階防火牆建立一個規則呢?讓我們接下來看一下。

如何建立一個定製的入站規則?

假如說你已經在你的Windows 2008 Server上安裝了Windows版的Apache網站伺服器。如果你已經使用了Windows內建的IIS網站伺服器,這個連接埠自動會為你開啟。但是,由於你現在使用一個來自第三方的網站伺服器,而且你開啟了入站防火牆,你必須手動的開啟這個視窗。

以下是步驟:

·識別你要屏蔽的協議-在我們的例子中,它是TCP/IP(與之對應的則是UDP/IP或ICMP)。

·識別源IP地址、源連接埠號碼、目的IP地址和目的連接埠。我們進行的Web通訊是來自於任何IP地址和任何連接埠號碼併流向這個伺服器80連接埠的資料通訊。(注意,你可以為一個特定的程式建立一條規則,諸如這兒的apache HTTP伺服器)。

·開啟Windows進階安全防火牆管理主控台。

·增加規則-點擊在Windows進階安全防火牆MMC中的建立規則按鈕,開始啟動新規則的嚮導。

Windows 2008 Server進階防火牆管理主控台-建立規則按鈕

·為一個連接埠選擇你想要建立的規則。

·配置協議及連接埠號碼-選擇預設的TCP協議,並輸入80作為連接埠,然後點擊下一步。

·選擇預設的“允許串連”並點擊下一步。

·選擇預設的應用這條規則到所有設定檔,並點擊下一步。

·給這個規則起一個名字,然後點擊下一步。

建立規則後的Windows 2008 Server進階防火牆管理主控台

經過我測試,當不啟用這個規則的時候,我最近安裝的Apache網站伺服器不能正常工作。但是,建立了這個規則後,它可以正常工作了!

結論:大有改進 值得一試

具有防火牆設定檔、複雜的規則設定和原先30倍數量的預設規則,還有本文中未提到很多進階安全功能,Windows 2008 Server進階安全防火牆的確名副其實,真正是一個微軟所說的進階防火牆。我相信這個內建、免費、進階的基於主機的防火牆將確保Windows Server未來變得更加安全。但是,如果你不使用它,它不會對你有任何協助。因此我希望你今天就來體驗一下這個新的Windows進階防火牆。



相關文章

Alibaba Cloud 10 Year Anniversary

With You, We are Shaping a Digital World, 2009-2019

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。