最新伺服器作業系統Windows Server 2008已經發布,在這款微軟所宣稱的“史上安全性最強”的伺服器作業系統中,新增了很多安全方面的設計和功能,其中它的防火牆也有了重大的改進,不過對於伺服器作業系統來說,系統內建的普通防火牆顯然功能過於簡陋,我們今天介紹的是它的進階安全Windows防火牆,這是一款讓Windows Server 2008的安全性大幅提高的一個利器。
瞭解進階安全Windows防火牆
在“深層防禦”體系中,網路防火牆處於周邊層,而Windows防火牆處於主機層面。和Windows XP和Windows 2003的防火牆一樣,Windows Server 2008的防火牆也是一款基於主機的狀態防火牆,它結合了主機防火牆和IPSec,可以對穿過網路邊界防火牆和發自企業內部的網路攻擊進行防護,可以說基於主機的防火牆是網路邊界防火牆的一個有益的補充。
與以前Windows版本中的防火牆相比,Windows Server 2008中的進階安全防火牆(WFAS)有了較大的改進,首先它支援雙向保護,可以對出站、入站通訊進行過濾。
其次它將Windows防火牆功能和網際網路通訊協定 (IP)安全(IPSec)整合到一個控制台中。使用這些進階選項可以按照環境所需的方式配置金鑰交換、資料保護(完整性和加密)以及身分識別驗證設定。
而且WFAS還可以實現更進階的規則配置,你可以針對Windows Server上的各種對象建立防火牆規則,配置防火牆規則以確定阻止還是允許流量通過具有進階安全性的Windows防火牆。
傳入資料包到達電腦時,具有進階安全性的Windows防火牆檢查該資料包,並確定它是否符合防火牆規則中指定的標準。如果資料包與規則中的標準匹配,則具有進階安全性的Windows防火牆執行規則中指定的操作,即阻止串連或允許串連。如果資料包與規則中的標準不匹配,則具有進階安全性的Windows防火牆丟棄該資料包,並在防火牆記錄檔中建立條目(如果啟用了日誌記錄)。
對規則進行配置時,可以從各種標準中進行選擇:例如應用程式名稱、系統服務名稱、TCP連接埠、UDP連接埠、本地IP地址、遠程IP地址、設定檔、介面類型(如網路介面卡)、使用者、使用者組、電腦、電腦群組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多,具有進階安全性的Windows防火牆匹配傳入流量就越精細。
我們可以通過多種方式來配置Windows Server 2008防火牆和IPSec的設定和選項,下面讓我們具體看一下如何來配置Window Server 2008的這款進階防火牆。
使用進階安全Windows防火牆嵌入式管理單元管理防火牆
這種方式可以讓你在一個介面中同時配置防火牆設定和IPSec設定,還可以在監視節點中查看當前應用的策略、規則和其它資訊。
從啟動菜單的管理工具中找到進階安全Windows防火牆,點擊開啟MMC嵌入式管理單元。
從以上介面中我們可以看到,Windows 2008的進階安全Windows防火牆使用出站和入站兩組規則來配置其如何響應傳入和傳出的流量;通過串連安全規則來確定如何保護電腦和其它電腦之間的流量。而且可以監視防火牆活動和規則。
下面我們來通過實際例子查看一下如何配置這幾個規則。
首先從入站規則開始,假如我們在Windows Server 2008上安裝了一個Apache Web伺服器,預設情況下,從遠端是無法訪問這個伺服器的,因為在入站規則中沒有配置來確認對這些流量“允許存取”,下面我們就為它增加一條規則。
開啟進階安全Windows防火牆,點擊入站規則後從右邊的入站規則列表中我們可以看到Windows Server 2008內建的一些安全規則,因為Apache是一款第三方應用軟體,所以我們需要通過右邊操作區的【新規則】來建立一條。
在這兒可以看到,我們可以基於具體的程式、連接埠、預定義或自訂來建立入站規則,其中每個類型的步驟會有細微的差別。在我們這個例子中,我們選擇【程式】類型,點擊下一步接下來選擇具體的程式路徑。
第三步指定對合格流量進行什麼操作,我們這兒當然是允許串連了,接下來選擇應用規則的設定檔和為規則指定名稱後,這條規則就建立完了,從入站規則列表中可以看到你建立的規則了。現在就可以正常從遠端存取你的Apache伺服器了,如果要對這個已經建立的規則進行修改等操作,可以在選中規則後,從右邊的操作地區進行操作。
點擊【屬性】按鈕,會彈出下圖視窗,在這兒可以對規則進行更詳細的修改,我們看到一條規則的可定製化屬性比以前版本的規則屬性要多很多。出站規則的配置與入站規則完全相同,筆者不再重複,下面我們來看一下串連安全規則。