MicrosoftのWindows Server 2003のファイアウォール機能は非常に初歩的であるため、多くのシステム管理者はこれを役に立たないと考えています。これは常に、受信保護のみをサポートする単純なホストベースのステートフル ファイアウォールでした。 Windows Server 2008が近づくにつれ、その内蔵ファイアウォール機能が大幅に強化されました。この新しい高度なファイアウォールがシステムの保護にどのように役立つか、また管理コンソール ユニットを使用してファイアウォールを構成する方法を見てみましょう。
Windows にこのホストベースのファイアウォールを使用する必要があるのはなぜですか?
現在、多くの企業が外部セキュリティ ハードウェアを使用してネットワークを強化しています。 これは、ファイアウォールと侵入防止システムを使用してネットワークの周囲に鉄壁を構築し、インターネット上の悪意のある攻撃者から自然にネットワークを保護することを意味します。ただし、攻撃者が境界防御を突破して内部ネットワークにアクセスできる場合、企業の最も貴重な資産であるデータへのアクセスを阻止できるのは Windows 認定セキュリティだけです。
これは、ほとんどの IT プロフェッショナルがサーバーを強化するためにホストベースのファイアウォールを使用していないためです。なぜこのようなことが起こるのでしょうか? ほとんどの IT プロフェッショナルは、ホストベースのファイアウォールを導入すると、それがもたらす価値よりも多くの問題を引き起こすと信じているからです。
この記事を読んだ後、Windows ホストベースのファイアウォールについて検討していただければ幸いです。 Windows Server 2008 では、このホストベースのファイアウォールが Windows に組み込まれており、プレインストールされており、以前のバージョンよりも多くの機能があり、構成が簡単になっています。これは、重要なベース サーバーを強化する最良の方法の 1 つです。高度なセキュリティを備えた Windows ファイアウォールは、ホスト ファイアウォールと IPSec を組み合わせています。境界ファイアウォールとは異なり、セキュリティが強化された Windows ファイアウォールは、このバージョンの Windows を実行しているすべてのコンピューターで実行され、境界ネットワークを越えたり、組織内から発生する可能性のあるネットワーク攻撃に対するローカル保護を提供します。また、コンピュータ間の接続セキュリティも提供し、通信に認証とデータ保護を要求できるようにします。
Windows Server 2008 の組み込みファイアウォールは「高度」になりました。これが先進的だと言っているのは私だけではなく、Microsoft は現在、これを Advanced Security 付き Windows ファイアウォール (略して WFAS) と呼んでいます。
新しい名前にふさわしい新機能は次のとおりです。
1. 新しいグラフィカルインターフェイス。
次に、管理コンソール ユニットを使用して、この高度なファイアウォールを設定します。
2. 双方向の保護。
アウトバウンド通信とインバウンド通信をフィルタリングします。
3. IPSECとの連携強化。
セキュリティが強化された Windows ファイアウォールは、Windows ファイアウォールの機能とインターネット プロトコル セキュリティ (IPSec) を 1 つのコンソールに統合します。これらの詳細オプションを使用して、環境に必要な方法でキー交換、データ保護 (整合性と暗号化)、および認証設定を構成します。
4. 高度なルール設定。
Windows Server 上のさまざまなオブジェクトに対してファイアウォール ルールを作成し、セキュリティが強化された Windows ファイアウォールを通過するトラフィックをブロックまたは許可するファイアウォール ルールを構成できます。
受信パケットがコンピューターに到達すると、セキュリティが強化された Windows ファイアウォールによってパケットが検査され、ファイアウォール ルールで指定された基準を満たしているかどうかが判断されます。パケットがルールの基準に一致する場合、セキュリティが強化された Windows ファイアウォールはルールで指定されたアクションを実行します。つまり、接続をブロックするか接続を許可します。パケットがルールの基準に一致しない場合、セキュリティが強化された Windows ファイアウォールはパケットをドロップし、ファイアウォール ログ ファイルにエントリを作成します (ログ記録が有効な場合)。
ルールを構成する場合、アプリケーション名、システム サービス名、TCP ポート、UDP ポート、ローカル IP アドレス、リモート IP アドレス、構成ファイル、インターフェイス タイプ (ネットワーク アダプタなど)、ユーザーなどのさまざまな基準から選択できます。 、ユーザー グループ、コンピュータ、コンピュータ グループ、プロトコル、ICMP タイプなど。ルール内の条件が追加されると、追加する条件が増えるほど、セキュリティが強化された Windows ファイアウォールは受信トラフィックをより詳細に照合します。
双方向の保護、より優れたグラフィカル インターフェイス、および高度なルール構成を追加することにより、高度なセキュリティを備えた Windows ファイアウォールは、ZoneAlarm Pro などの従来のホストベースのファイアウォールと同等の強力なものになりました。
ホストベースのファイアウォールを使用するときにサーバー管理者が最初に考えるのは、「この重要なサーバー インフラストラクチャの通常の動作に影響が出るのではないか」ということだと思いますが、これはどのようなセキュリティ対策でも起こり得る問題であり、Windows 2008 Advanced Security ではファイアウォールが影響を受けます。このサーバーに追加された新しいロールに対して新しいルールが自動的に構成されます。ただし、サーバー上で Microsoft 以外のアプリケーションを実行しており、受信ネットワーク接続が必要な場合は、通信の種類に基づいて新しいルールを作成する必要があります。