كيفية تكوين جدار الحماية لنظام التشغيل Windows Server 2008

تعد وظيفة جدار الحماية في نظام التشغيل Windows Server 2003 الخاص بشركة Microsoft بدائية للغاية لدرجة أن العديد من مسؤولي النظام يعتبرونها عديمة الفائدة، وقد كانت دائمًا عبارة عن جدار حماية بسيط يعتمد على المضيف ويدعم الحماية الواردة فقط. مع اقتراب Windows Server 2008 منا، تم تحسين وظيفة جدار الحماية المضمنة فيه بشكل كبير. دعونا نلقي نظرة على هذا الارتفاع الجديد

لماذا يجب عليك استخدام جدار الحماية المعتمد على المضيف لنظام التشغيل Windows؟

تستخدم العديد من الشركات اليوم أجهزة أمان خارجية لتقوية شبكاتها. وهذا يعني أنهم يستخدمون جدران الحماية وأنظمة منع التطفل لبناء جدار حديدي حول شبكاتهم، مما يحميهم بشكل طبيعي من المهاجمين الضارين على الإنترنت. ومع ذلك، إذا كان المهاجم قادرًا على اختراق الدفاعات المحيطة والوصول إلى الشبكة الداخلية، فإن أمان شهادة Windows فقط هو الذي سيمنعه من الوصول إلى الأصول الأكثر قيمة للشركة - بياناتها.

وذلك لأن معظم متخصصي تكنولوجيا المعلومات لا يستخدمون جدران الحماية المستندة إلى المضيف لتقوية خوادمهم. لماذا يحدث هذا لأن معظم متخصصي تكنولوجيا المعلومات يعتقدون أن نشر جدران الحماية المستندة إلى المضيف يسبب مشاكل أكثر من القيمة التي يجلبها؟

آمل أنه بعد قراءة هذه المقالة، ستتوقف لحظة للتفكير في جدران الحماية المستندة إلى مضيف Windows. في Windows Server 2008، تم دمج جدار الحماية المستند إلى المضيف في Windows، ويتم تثبيته مسبقًا، ويحتوي على ميزات أكثر من الإصدارات السابقة، كما أنه أسهل في التكوين. إنها إحدى أفضل الطرق لتقوية خادم أساسي مهم. يجمع جدار حماية Windows مع الأمان المتقدم بين جدار الحماية المضيف وIPSec. على عكس جدار الحماية المحيطي، يعمل جدار حماية Windows المزود بالأمان المتقدم على كل كمبيوتر يقوم بتشغيل هذا الإصدار من Windows ويوفر حماية محلية ضد هجمات الشبكة التي قد تعبر الشبكة المحيطة أو تنشأ داخل المؤسسة. كما أنه يوفر أمان الاتصال من كمبيوتر إلى كمبيوتر، مما يسمح لك بطلب المصادقة وحماية البيانات للاتصالات.

إذًا، ما الذي يمكن أن يقدمه لك جدار الحماية المتقدم لـ Windows Server ، وكيف يمكنك تكوينه؟

ما الذي يحتوي عليه جدار الحماية الجديد وكيف يمكن أن يساعدك

أصبح جدار الحماية المدمج في Windows Server 2008 الآن "متقدمًا". لا أقول إنه متقدم فحسب، بل أطلقت عليه Microsoft الآن اسم جدار حماية Windows مع الأمان المتقدم (WFAS للاختصار).

فيما يلي الميزات الجديدة التي تبرر اسمها الجديد:

1. واجهة رسومية جديدة.

الآن قم بتكوين جدار الحماية المتقدم هذا من خلال وحدة تحكم الإدارة.

2. الحماية في اتجاهين.

تصفية الاتصالات الصادرة والواردة.

3. تعاون أفضل مع IPSEC.

يقوم جدار حماية Windows مع الأمان المتقدم بدمج وظائف جدار حماية Windows وأمان بروتوكول الإنترنت (IPSec) في وحدة تحكم واحدة. استخدم هذه الخيارات المتقدمة لتكوين تبادل المفاتيح وحماية البيانات (التكامل والتشفير) وإعدادات المصادقة بالطريقة التي تتطلبها بيئتك.

4. تكوين القاعدة المتقدمة.

يمكنك إنشاء قواعد جدار الحماية لكائنات مختلفة على Windows Server وتكوين قواعد جدار الحماية لتحديد ما إذا كان سيتم حظر حركة المرور أو السماح بها من خلال جدار حماية Windows باستخدام الأمان المتقدم.

عندما تصل حزمة واردة إلى جهاز الكمبيوتر الخاص بك، يقوم جدار حماية Windows المزود بالأمان المتقدم بفحص الحزمة وتحديد ما إذا كانت تفي بالمعايير المحددة في قواعد جدار الحماية. إذا تطابقت الحزمة مع المعايير الموجودة في القاعدة، فسيقوم جدار حماية Windows مع الأمان المتقدم بتنفيذ الإجراء المحدد في القاعدة، أي حظر الاتصال أو السماح بالاتصال. إذا كانت الحزمة لا تتطابق مع المعايير الموجودة في القاعدة، فسيقوم جدار حماية Windows المزود بالأمان المتقدم بإسقاط الحزمة وإنشاء إدخال في ملف سجل جدار الحماية (إذا تم تمكين التسجيل).

عند تكوين قاعدة، يمكنك الاختيار من بين مجموعة متنوعة من المعايير: مثل اسم التطبيق، واسم خدمة النظام، ومنفذ TCP، ومنفذ UDP، وعنوان IP المحلي، وعنوان IP البعيد، وملف التكوين، ونوع الواجهة (مثل محول الشبكة)، والمستخدم ، مجموعة المستخدمين، الكمبيوتر، مجموعة الكمبيوتر، البروتوكول، نوع ICMP، إلخ. تتم إضافة المعايير الموجودة في القاعدة معًا؛ كلما زاد عدد المعايير التي تضيفها، كلما كان جدار حماية Windows المزود بالأمان المتقدم يطابق حركة المرور الواردة بشكل أكثر دقة.

من خلال إضافة حماية ثنائية الاتجاه وواجهة رسومية أفضل وتكوين قواعد متقدم، أصبح جدار حماية Windows مع الأمان المتقدم قويًا مثل جدران الحماية التقليدية المستندة إلى المضيف مثل ZoneAlarm Pro.

أعلم أن أول شيء يفكر فيه أي مسؤول خادم عند استخدام جدار الحماية المستند إلى المضيف هو: هل سيؤثر ذلك على التشغيل العادي للبنية الأساسية للخادم المهمة، ومع ذلك، فهذه مشكلة محتملة مع أي إجراء أمني، سيؤثر جدار الحماية Windows 2008 Advanced Security قم تلقائيًا بتكوين قواعد جديدة لأي أدوار جديدة تضاف إلى هذا الخادم. ومع ذلك، إذا كنت تقوم بتشغيل تطبيق غير تابع لـ Microsoft على الخادم الخاص بك ويتطلب اتصالاً واردًا بالشبكة، فسيتعين عليك إنشاء قاعدة جديدة بناءً على نوع الاتصال.

باستخدام جدار الحماية المتقدم هذا، يمكنك تقوية خادمك بشكل أفضل ضد الهجمات، ومنع استغلال خادمك لمهاجمة الآخرين، وتحديد البيانات التي تدخل وتخرج من خادمك بشكل حقيقي. دعونا نلقي نظرة على كيفية تحقيق هذه الأهداف.

تعرف على خيارات تكوين Windows Firewall Advanced Security

في الإصدارات السابقة من Windows Server ، كان بإمكانك تكوين محول الشبكة أو تكوين جدار حماية Windows من لوحة التحكم. هذا التكوين بسيط للغاية.

بالنسبة لجدار حماية Windows المزود بالأمان المتقدم، يمكن لمعظم المسؤولين تكوينه إما من Windows Server Manager أو من جدار حماية Windows المزود بالأداة الإضافية Advanced Security MMC فقط. فيما يلي لقطات شاشة لواجهتي التكوين:

الشكل 1. مدير خادم Windows Server 2008

الشكل 2. وحدة التحكم في إدارة جدار الحماية المتقدم لنظام التشغيل Windows 2008

الطريقة الأسهل والأسرع التي وجدتها لبدء تشغيل جدار حماية Windows باستخدام الأمان المتقدم هي كتابة "جدار الحماية" في مربع البحث بقائمة "ابدأ"، كما هو موضح أدناه:

الشكل 3. كيفية بدء تشغيل وحدة التحكم في إدارة جدار حماية Windows 2008 Advanced Security بسرعة

بالإضافة إلى ذلك، يمكنك تكوين جدار حماية Windows باستخدام الأمان المتقدم باستخدام Netsh، وهي أداة سطر أوامر تقوم بتكوين إعدادات مكونات الشبكة. استخدم netsh advfirewall لإنشاء برامج نصية تقوم تلقائيًا بتكوين مجموعة من إعدادات جدار حماية Windows مع أمان متقدم لكل من حركة مرور IPv4 وIPv6. يمكنك أيضًا استخدام الأمر netsh advfirewall لعرض تكوين وحالة جدار حماية Windows مع الأمان المتقدم.

ما الذي يمكن تهيئته باستخدام جدار حماية Windows الجديد مع الأداة الإضافية Advanced Security MMC؟
نظرًا لوجود العديد من الميزات التي يمكنك تكوينها باستخدام وحدة التحكم الجديدة لإدارة جدار الحماية، فمن المستحيل بالنسبة لي أن أذكرها جميعًا. إذا سبق لك أن ألقيت نظرة على الواجهة الرسومية لتكوين جدار الحماية المضمن في نظام التشغيل Windows 2003، ستلاحظ سريعًا أن هناك العديد من الخيارات المخفية في جدار حماية الأمان المتقدم لـ Windows الجديد. اسمحوا لي أن أختار بعض الوظائف الأكثر استخدامًا لأقدمها لك.

افتراضيًا، عند دخولك لأول مرة إلى جدار حماية Windows باستخدام وحدة تحكم إدارة الأمان المتقدم، سترى أن جدار حماية Windows المزود بالأمان المتقدم ممكّن افتراضيًا ويقوم بحظر الاتصالات الواردة التي لا تتطابق مع القواعد الواردة. بالإضافة إلى ذلك، يتم إيقاف تشغيل جدار الحماية الصادر الجديد هذا بشكل افتراضي.

الأشياء الأخرى التي ستلاحظها هي أن جدار حماية Windows المزود بالأمان المتقدم يحتوي أيضًا على ملفات تعريف متعددة يمكن للمستخدمين الاختيار من بينها.

الشكل 4. ملفات التكوين المتوفرة في جدار حماية Windows 2008 مع الأمان المتقدم

يوجد في جدار حماية Windows المزود بالأمان المتقدم ملف تعريف مجال وملف تعريف خاص وملف تعريف عام. ملفات التعريف هي طريقة لتجميع الإعدادات، مثل قواعد جدار الحماية وقواعد أمان الاتصال، التي يتم تطبيقها على جهاز الكمبيوتر بناءً على مكان اتصاله. اعتمادًا على ما إذا كان جهاز الكمبيوتر الخاص بك متصلاً بشبكة LAN خاصة بالشركة أو بمقهى محلي، على سبيل المثال.

في رأيي، من بين جميع التحسينات التي ناقشناها في Windows 2008 Advanced Security Firewall، فإن التحسين الأكثر أهمية هو قواعد جدار الحماية الأكثر تعقيدًا. ألقِ نظرة على خيار إضافة استثناء في جدار حماية Windows Server 2003، كما هو موضح أدناه:

[img]/u/info_img/2009-06/05/20071018183935294.jpg
الشكل 5. نافذة استثناء جدار حماية Windows 2003 Server

دعونا نقارن نافذة التكوين في Windows 2008 Server .

لاحظ أن علامتي التبويب "البروتوكول" و"المنفذ" ليستا سوى جزء صغير من نافذة علامات التبويب المتعددة هذه. يمكنك أيضًا تطبيق القواعد على المستخدمين وأجهزة الكمبيوتر والبرامج والخدمات ونطاقات عناوين IP. من خلال هذا التكوين المعقد لقاعدة جدار الحماية، قامت Microsoft بنقل جدار حماية Windows المتقدم نحو خادم IAS الخاص بشركة Microsoft.

من المثير للدهشة أيضًا عدد القواعد الافتراضية التي يوفرها جدار حماية Windows مع الأمان المتقدم. في نظام التشغيل Windows 2003 Server ، توجد ثلاث قواعد استثناء افتراضية فقط. يوفر جدار حماية Windows 2008 Advanced Security حوالي 90 قاعدة افتراضية لجدار الحماية الوارد و40 قاعدة افتراضية صادرة على الأقل.

كيفية إنشاء قاعدة واردة مخصصة؟
لنفترض أنك قمت بتثبيت إصدار Windows من خادم موقع Apache على الويب الخاص بك الذي يعمل بنظام التشغيل Windows 2008. إذا كنت تستخدم بالفعل خادم ويب IIS المدمج في نظام التشغيل Windows، فسيتم فتح هذا المنفذ لك تلقائيًا. ومع ذلك، نظرًا لأنك تستخدم الآن خادم ويب من جهة خارجية وتم تمكين جدار الحماية الوارد، فيجب عليك فتح هذه النافذة يدويًا.

فيما يلي الخطوات:

· حدد البروتوكول الذي تريد حظره - في حالتنا، هو TCP/IP (نظيره هو UDP/IP أو ICMP).

· تحديد عنوان IP المصدر ورقم المنفذ المصدر وعنوان IP الوجهة ومنفذ الوجهة. إن اتصال الويب الذي نجريه هو اتصال بيانات يأتي من أي عنوان IP وأي رقم منفذ ويتدفق إلى المنفذ 80 لهذا الخادم. (لاحظ أنه يمكنك إنشاء قاعدة لبرنامج معين، مثل خادم Apache HTTP هنا).

· افتح جدار حماية Windows باستخدام وحدة تحكم إدارة الأمان المتقدمة.

· إضافة قواعد - انقر فوق الزر "قاعدة جديدة" في جدار حماية Windows باستخدام Advanced Security MMC لبدء المعالج لبدء قاعدة جديدة.

الشكل 8. وحدة تحكم إدارة جدار الحماية المتقدمة لنظام التشغيل Windows 2008 Server - زر القاعدة الجديدة

· حدد القاعدة التي تريد إنشاءها للمنفذ.

· تكوين البروتوكول ورقم المنفذ - حدد بروتوكول TCP الافتراضي وأدخل 80 كمنفذ، ثم انقر فوق "التالي".

· حدد الخيار الافتراضي "السماح بالاتصال" وانقر فوق "التالي".

·حدد تطبيق هذه القاعدة على كافة الملفات الشخصية بشكل افتراضي وانقر فوق "التالي".

· قم بتسمية هذه القاعدة ثم انقر فوق "التالي".

في هذا الوقت، سوف تحصل على القاعدة كما هو موضح أدناه:

الشكل 9. وحدة التحكم في إدارة جدار الحماية المتقدمة لنظام التشغيل Windows 2008 Server بعد إنشاء القواعد

بعد الاختبار، لم يعمل خادم موقع Apache الذي تم تثبيته مؤخرًا بشكل صحيح عندما لم يتم تمكين هذه القاعدة. ومع ذلك، بعد إنشاء هذه القاعدة، يعمل بشكل جيد!

الخلاصة: تحسينات رائعة تستحق المحاولة

بفضل ملفات تكوين جدار الحماية، وإعدادات القواعد المعقدة، وعدد القواعد الافتراضية 30 مرة، والعديد من ميزات الأمان المتقدمة التي لم يتم ذكرها في هذه المقالة، فإن جدار الحماية المتقدم لنظام التشغيل Windows 2008 Server هو حقًا ما تسميه Microsoft جدار الحماية المتقدم. أعتقد أن جدار الحماية المدمج والمجاني والمتقدم والمعتمد على المضيف سيضمن أن يصبح Windows Server أكثر أمانًا في المستقبل. ولكن إذا لم تستخدمه، فلن يفيدك. لذا آمل أن تجرب جدار الحماية المتقدم لـ Windows الجديد اليوم.

تعرف على خيارات تكوين Windows Firewall Advanced Security

في الإصدارات السابقة من Windows Server ، كان بإمكانك تكوين محول الشبكة أو تكوين جدار حماية Windows من لوحة التحكم. هذا التكوين بسيط للغاية.

بالنسبة لجدار حماية Windows المزود بالأمان المتقدم، يمكن لمعظم المسؤولين تكوينه إما من Windows Server Manager أو من جدار حماية Windows المزود بالأداة الإضافية Advanced Security MMC فقط. فيما يلي لقطات شاشة لواجهتي التكوين:

الشكل 1. مدير خادم Windows Server 2008

الشكل 2. وحدة التحكم في إدارة جدار الحماية المتقدم لنظام التشغيل Windows 2008

الطريقة الأسهل والأسرع التي وجدتها لبدء تشغيل جدار حماية Windows باستخدام الأمان المتقدم هي كتابة "جدار الحماية" في مربع البحث في القائمة "ابدأ"، كما هو موضح أدناه:

الشكل 3. كيفية بدء تشغيل وحدة التحكم في إدارة جدار حماية Windows 2008 Advanced Security بسرعة

بالإضافة إلى ذلك، يمكنك تكوين جدار حماية Windows باستخدام الأمان المتقدم باستخدام Netsh، وهي أداة سطر أوامر تقوم بتكوين إعدادات مكونات الشبكة. استخدم netsh advfirewall لإنشاء برامج نصية تقوم تلقائيًا بتكوين مجموعة من إعدادات جدار حماية Windows مع أمان متقدم لكل من حركة مرور IPv4 وIPv6. يمكنك أيضًا استخدام الأمر netsh advfirewall لعرض تكوين وحالة جدار حماية Windows مع الأمان المتقدم.