Die Firewall-Funktion von Microsofts Windows Server 2003 ist so rudimentär, dass viele Systemadministratoren sie für nutzlos halten. Es handelte sich dabei immer um eine einfache, hostbasierte Stateful-Firewall, die nur den Schutz vor eingehenden Daten unterstützt. Da Windows Server 2008 immer näher rückt, wurde seine integrierte Firewall-Funktion erheblich verbessert. Werfen wir einen Blick auf diesen neuen Höchststand
Warum sollten Sie diese hostbasierte Firewall für Windows verwenden?
Viele Unternehmen nutzen heute externe Sicherheitshardware, um ihre Netzwerke zu schützen. Das bedeutet, dass sie Firewalls und Intrusion-Prevention-Systeme verwenden, um eine eiserne Mauer um ihre Netzwerke zu errichten und sie so auf natürliche Weise vor böswilligen Angreifern im Internet zu schützen. Wenn es einem Angreifer jedoch gelingt, die Perimeterverteidigung zu durchbrechen und Zugriff auf das interne Netzwerk zu erhalten, kann ihn nur die Windows-Zertifizierungssicherheit daran hindern, auf das wertvollste Gut eines Unternehmens zuzugreifen – seine Daten.
Dies liegt daran, dass die meisten IT-Experten keine hostbasierten Firewalls zur Absicherung ihrer Server verwenden. Warum passiert das? Weil die meisten IT-Experten glauben, dass der Einsatz hostbasierter Firewalls mehr Probleme verursacht als der Nutzen, den sie bringen.
Ich hoffe, dass Sie sich nach der Lektüre dieses Artikels einen Moment Zeit nehmen, um über hostbasierte Windows-Firewalls nachzudenken. In Windows Server 2008 ist diese hostbasierte Firewall in Windows integriert, vorinstalliert, verfügt über mehr Funktionen als frühere Versionen und ist einfacher zu konfigurieren. Dies ist eine der besten Möglichkeiten, einen kritischen Basisserver zu härten. Die Windows-Firewall mit erweiterter Sicherheit kombiniert Host-Firewall und IPSec. Im Gegensatz zur Perimeter-Firewall läuft die Windows-Firewall mit erweiterter Sicherheit auf jedem Computer, auf dem diese Windows-Version ausgeführt wird, und bietet lokalen Schutz vor Netzwerkangriffen, die das Perimeternetzwerk überqueren oder innerhalb der Organisation entstehen können. Darüber hinaus bietet es Sicherheit für Computer-zu-Computer-Verbindungen, sodass Sie Authentifizierung und Datenschutz für die Kommunikation fordern können.
Was kann diese Windows Server Advanced Firewall für Sie tun und wie konfigurieren Sie sie? Lesen wir weiter.
Was die neue Firewall bietet und wie sie Ihnen helfen kann
Die integrierte Firewall in Windows Server 2008 ist jetzt „erweitert“. Nicht nur ich sage, dass es fortschrittlich ist, Microsoft hat es jetzt Windows Firewall with Advanced Security (kurz WFAS) genannt.
Hier sind die neuen Funktionen, die den neuen Namen rechtfertigen:
1. Neue grafische Oberfläche.
Konfigurieren Sie nun diese erweiterte Firewall über eine Verwaltungskonsoleneinheit.
2. Zwei-Wege-Schutz.
Filtern Sie ausgehende und eingehende Kommunikation.
3. Bessere Zusammenarbeit mit IPSEC.
Die Windows-Firewall mit erweiterter Sicherheit integriert die Windows-Firewall-Funktionalität und Internet Protocol Security (IPSec) in einer einzigen Konsole. Verwenden Sie diese erweiterten Optionen, um Schlüsselaustausch, Datenschutz (Integrität und Verschlüsselung) und Authentifizierungseinstellungen so zu konfigurieren, wie es Ihre Umgebung erfordert.
4. Erweiterte Regelkonfiguration.
Sie können Firewallregeln für verschiedene Objekte auf Windows Server erstellen und Firewallregeln konfigurieren, um zu bestimmen, ob Datenverkehr durch die Windows-Firewall mit erweiterter Sicherheit blockiert oder zugelassen werden soll.
Wenn ein eingehendes Paket Ihren Computer erreicht, überprüft die Windows-Firewall mit erweiterter Sicherheit das Paket und stellt fest, ob es die in den Firewallregeln festgelegten Kriterien erfüllt. Wenn das Paket den Kriterien in der Regel entspricht, führt die Windows-Firewall mit erweiterter Sicherheit die in der Regel angegebene Aktion aus, d. h. blockiert die Verbindung oder lässt die Verbindung zu. Wenn ein Paket nicht den Kriterien der Regel entspricht, verwirft die Windows-Firewall mit erweiterter Sicherheit das Paket und erstellt einen Eintrag in der Firewall-Protokolldatei (sofern die Protokollierung aktiviert ist).
Beim Konfigurieren einer Regel können Sie aus einer Vielzahl von Kriterien wählen: z. B. Anwendungsname, Systemdienstname, TCP-Port, UDP-Port, lokale IP-Adresse, Remote-IP-Adresse, Konfigurationsdatei, Schnittstellentyp (z. B. Netzwerkadapter), Benutzer , Benutzergruppe, Computer, Computergruppe, Protokoll, ICMP-Typ usw. Kriterien in einer Regel werden addiert; je mehr Kriterien Sie hinzufügen, desto genauer passt die Windows-Firewall mit erweiterter Sicherheit den eingehenden Datenverkehr an.
Durch das Hinzufügen von Zwei-Wege-Schutz, einer besseren grafischen Benutzeroberfläche und erweiterter Regelkonfiguration wird die Windows-Firewall mit erweiterter Sicherheit genauso leistungsstark wie herkömmliche hostbasierte Firewalls wie ZoneAlarm Pro.
Ich weiß, das erste, woran jeder Serveradministrator denkt, wenn er eine hostbasierte Firewall verwendet, ist: Wird dies den normalen Betrieb dieser kritischen Serverinfrastruktur beeinträchtigen? Dies ist jedoch ein mögliches Problem bei jeder Sicherheitsmaßnahme, auch bei Windows 2008 Advanced Security Konfigurieren Sie automatisch neue Regeln für alle neuen Rollen, die diesem Server hinzugefügt werden. Wenn Sie jedoch eine Nicht-Microsoft-Anwendung auf Ihrem Server ausführen und diese eingehende Netzwerkkonnektivität erfordert, müssen Sie eine neue Regel basierend auf der Art der Kommunikation erstellen.
Durch die Verwendung dieser fortschrittlichen Firewall können Sie Ihren Server besser gegen Angriffe absichern, verhindern, dass Ihr Server für Angriffe auf andere ausgenutzt wird, und genau feststellen, welche Daten auf Ihrem Server ein- und ausgehen. Werfen wir einen Blick darauf, wie wir diese Ziele erreichen können.
Erfahren Sie mehr über Optionen zum Konfigurieren der erweiterten Sicherheit der Windows-Firewall
In früheren Versionen von Windows Server konnten Sie Ihren Netzwerkadapter oder die Windows-Firewall über die Systemsteuerung konfigurieren. Diese Konfiguration ist sehr einfach.
Die Windows-Firewall mit erweiterter Sicherheit können die meisten Administratoren entweder über den Windows Server-Manager oder nur über das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ konfigurieren. Im Folgenden finden Sie Screenshots der beiden Konfigurationsoberflächen:
Abbildung 1. Windows Server 2008 Server Manager
Abbildung 2. Windows 2008 Advanced Security Firewall-Verwaltungskonsole
Der einfachste und schnellste Weg, den ich gefunden habe, um diese Windows-Firewall mit erweiterter Sicherheit zu starten, besteht darin, „Firewall“ in das Suchfeld des Startmenüs einzugeben, wie unten gezeigt:
Abbildung 3. So starten Sie schnell die Windows 2008 Advanced Security Firewall-Verwaltungskonsole
Darüber hinaus können Sie die Windows-Firewall mit erweiterter Sicherheit mithilfe von Netsh konfigurieren, einem Befehlszeilentool, das Netzwerkkomponenteneinstellungen konfiguriert. Verwenden Sie netsh advfirewall, um Skripte zu erstellen, die automatisch eine Reihe von Windows-Firewall-Einstellungen mit erweiterter Sicherheit für IPv4- und IPv6-Verkehr konfigurieren. Sie können auch den Befehl netsh advfirewall verwenden, um die Konfiguration und den Status der Windows-Firewall mit erweiterter Sicherheit anzuzeigen.
[Seite ausschneiden] Was kann mit dem neuen MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ konfiguriert werden?
Da es so viele Funktionen gibt, die Sie mit dieser neuen Firewall-Verwaltungskonsole konfigurieren können, ist es mir unmöglich, sie alle zu erwähnen. Wenn Sie sich schon einmal die grafische Benutzeroberfläche der in Windows 2003 integrierten Firewall-Konfiguration angesehen haben, werden Sie schnell feststellen, dass in dieser neuen Windows Advanced Security Firewall so viele Optionen verborgen sind. Lassen Sie mich einige der am häufigsten verwendeten Funktionen auswählen, um sie Ihnen vorzustellen.
Wenn Sie zum ersten Mal die Verwaltungskonsole „Windows-Firewall mit erweiterter Sicherheit“ aufrufen, sehen Sie standardmäßig, dass die Windows-Firewall mit erweiterter Sicherheit standardmäßig aktiviert ist und eingehende Verbindungen blockiert, die nicht den Eingangsregeln entsprechen. Darüber hinaus ist diese neue ausgehende Firewall standardmäßig deaktiviert.
Sie werden außerdem feststellen, dass diese Windows-Firewall mit erweiterter Sicherheit auch über mehrere Profile verfügt, aus denen Benutzer auswählen können. 
Abbildung 4. Konfigurationsdateien, die in der Windows 2008-Firewall mit erweiterter Sicherheit bereitgestellt werden
In dieser Windows-Firewall mit erweiterter Sicherheit gibt es ein Domänenprofil, ein privates Profil und ein öffentliches Profil. Profile sind eine Möglichkeit, Einstellungen wie Firewall-Regeln und Verbindungssicherheitsregeln zu gruppieren, die auf einen Computer angewendet werden, je nachdem, wo er verbunden ist. Abhängig davon, ob sich Ihr Computer beispielsweise in einem Firmen-LAN oder einem lokalen Café befindet.
Meiner Meinung nach sind von allen Verbesserungen, die wir in der Windows 2008 Advanced Security Firewall besprochen haben, die bedeutendsten Verbesserungen komplexere Firewallregeln. Sehen Sie sich die Option zum Hinzufügen einer Ausnahme in der Windows Server 2003-Firewall an, wie unten gezeigt:
[img]/u/info_img/2009-06/05/20071018183935294.jpg
Abbildung 5. Windows 2003 Server- Firewall-Ausnahmefenster
Vergleichen wir das Konfigurationsfenster in Windows 2008 Server .
Beachten Sie, dass die Registerkarten „Protokoll“ und „Port“ nur einen kleinen Teil dieses Fensters mit mehreren Registerkarten ausmachen. Sie können Regeln auch auf Benutzer und Computer, Programme und Dienste sowie IP-Adressbereiche anwenden. Durch diese komplexe Firewall-Regelkonfiguration hat Microsoft die Windows Advanced Security Firewall auf den IAS- Server von Microsoft umgestellt.
Überraschend ist auch die Anzahl der Standardregeln, die die Windows-Firewall mit erweiterter Sicherheit bereitstellt. In Windows 2003 Server gibt es nur drei Standardausnahmeregeln. Die Windows 2008 Advanced Security Firewall bietet etwa 90 standardmäßige eingehende Firewallregeln und mindestens 40 standardmäßige ausgehende Regeln.
Wie erstelle ich eine benutzerdefinierte Eingangsregel?
Angenommen, Sie haben die Windows-Version des Apache-Website-Servers auf Ihrem Windows 2008- Server installiert. Wenn Sie bereits den integrierten IIS-Webserver von Windows verwenden, wird dieser Port automatisch für Sie geöffnet. Da Sie nun jedoch einen Webserver eines Drittanbieters nutzen und die Inbound-Firewall aktiviert haben, müssen Sie dieses Fenster manuell öffnen.
Hier sind die Schritte:
·Identifizieren Sie das Protokoll, das Sie blockieren möchten – in unserem Fall ist es TCP/IP (sein Gegenstück wäre UDP/IP oder ICMP).
·Identifizieren Sie die Quell-IP-Adresse, die Quell-Portnummer, die Ziel-IP-Adresse und den Ziel-Port. Bei der von uns durchgeführten Webkommunikation handelt es sich um Datenkommunikation, die von einer beliebigen IP-Adresse und einer beliebigen Portnummer ausgeht und zum Port 80 dieses Servers fließt. (Beachten Sie, dass Sie hier eine Regel für ein bestimmtes Programm erstellen können, z. B. den Apache-HTTP-Server.)
·Öffnen Sie die Windows-Firewall mit der Advanced Security Management Console.
·Regeln hinzufügen – Klicken Sie in der MMC „Windows-Firewall mit erweiterter Sicherheit“ auf die Schaltfläche „Neue Regel“, um den Assistenten zum Starten einer neuen Regel zu starten.
Abbildung 8. Windows 2008 Server Advanced Firewall Management Console – Schaltfläche „Neue Regel“.
·Wählen Sie die Regel aus, die Sie für einen Port erstellen möchten.
·Protokoll und Portnummer konfigurieren – Wählen Sie das Standard-TCP-Protokoll aus, geben Sie 80 als Port ein und klicken Sie dann auf Weiter.
·Wählen Sie die Standardeinstellung „Verbindung zulassen“ und klicken Sie auf „Weiter“.
·Wählen Sie „Diese Regel standardmäßig auf alle Profile anwenden“ und klicken Sie auf „Weiter“.
·Geben Sie dieser Regel einen Namen und klicken Sie auf Weiter.
Zu diesem Zeitpunkt erhalten Sie eine Regel wie unten gezeigt:
Abbildung 9. Windows 2008 Server Advanced Firewall-Verwaltungskonsole nach dem Erstellen von Regeln
Nach meinen Tests funktionierte mein kürzlich installierter Apache-Website-Server nicht richtig, wenn diese Regel nicht aktiviert war. Nach dem Erstellen dieser Regel funktioniert sie jedoch einwandfrei!
Fazit: Tolle Verbesserungen, die einen Versuch wert sind
Mit Firewall-Konfigurationsdateien, komplexen Regeleinstellungen, der 30-fachen Anzahl an Standardregeln und vielen erweiterten Sicherheitsfunktionen, die in diesem Artikel nicht erwähnt werden, ist die Windows 2008 Server Advanced Security Firewall wirklich das, was Microsoft eine erweiterte Firewall nennt. Ich glaube, dass diese integrierte, kostenlose, fortschrittliche hostbasierte Firewall dafür sorgen wird, dass Windows Server in Zukunft noch sicherer wird. Aber wenn Sie es nicht nutzen, wird es Ihnen nichts nützen. Ich hoffe also, dass Sie diese neue Windows Advanced Firewall noch heute ausprobieren.
Erfahren Sie mehr über Optionen zum Konfigurieren der erweiterten Sicherheit der Windows-Firewall
In früheren Versionen von Windows Server konnten Sie Ihren Netzwerkadapter oder die Windows-Firewall über die Systemsteuerung konfigurieren. Diese Konfiguration ist sehr einfach.
Die Windows-Firewall mit erweiterter Sicherheit können die meisten Administratoren entweder über den Windows Server-Manager oder nur über das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ konfigurieren. Im Folgenden finden Sie Screenshots der beiden Konfigurationsoberflächen:
Abbildung 1. Windows Server 2008 Server Manager
Abbildung 2. Windows 2008 Advanced Security Firewall-Verwaltungskonsole
Der einfachste und schnellste Weg, den ich gefunden habe, um diese Windows-Firewall mit erweiterter Sicherheit zu starten, besteht darin, „Firewall“ in das Suchfeld im Startmenü einzugeben, wie unten gezeigt:
Abbildung 3. So starten Sie schnell die Windows 2008 Advanced Security Firewall-Verwaltungskonsole
Darüber hinaus können Sie die Windows-Firewall mit erweiterter Sicherheit mithilfe von Netsh konfigurieren, einem Befehlszeilentool, das Netzwerkkomponenteneinstellungen konfiguriert. Verwenden Sie netsh advfirewall, um Skripte zu erstellen, die automatisch eine Reihe von Windows-Firewall-Einstellungen mit erweiterter Sicherheit für IPv4- und IPv6-Verkehr konfigurieren. Sie können auch den Befehl netsh advfirewall verwenden, um die Konfiguration und den Status der Windows-Firewall mit erweiterter Sicherheit anzuzeigen.