Функция брандмауэра в Microsoft Windows Server 2003 настолько элементарна, что многие системные администраторы считают ее бесполезной. Это всегда был простой межсетевой экран с отслеживанием состояния хоста, который поддерживал только входящую защиту. По мере того, как Windows Server 2008 приближается к нам, ее встроенная функция брандмауэра значительно улучшилась. Давайте посмотрим на этот новый максимум
Почему вам следует использовать этот межсетевой экран на базе хоста для Windows?
Многие компании сегодня используют внешнее оборудование безопасности для усиления защиты своих сетей. Это означает, что они используют межсетевые экраны и системы предотвращения вторжений, чтобы построить железную стену вокруг своих сетей, естественным образом защищая их от злоумышленников в Интернете. Однако если злоумышленнику удастся прорвать защиту периметра и получить доступ к внутренней сети, только безопасность сертификации Windows не позволит ему получить доступ к самому ценному активу компании — ее данным.
Это связано с тем, что большинство ИТ-специалистов не используют межсетевые экраны на хосте для защиты своих серверов. Почему это происходит? Потому что большинство ИТ-специалистов считают, что развертывание межсетевых экранов на хосте вызывает больше проблем, чем пользы, которую они приносят?
Я надеюсь, что после прочтения этой статьи вы уделите время рассмотрению брандмауэров на базе хоста Windows. В Windows Server 2008 этот межсетевой экран на базе хоста встроен в Windows, поставляется предустановленным, имеет больше функций, чем предыдущие версии, и его проще настроить. Это один из лучших способов укрепить критически важный базовый сервер. Брандмауэр Windows в режиме повышенной безопасности сочетает в себе брандмауэр хоста и IPSec. В отличие от брандмауэра периметра, брандмауэр Windows в режиме повышенной безопасности работает на каждом компьютере под управлением этой версии Windows и обеспечивает локальную защиту от сетевых атак, которые могут пересекать сеть периметра или исходить внутри организации. Он также обеспечивает безопасность соединения между компьютерами, позволяя вам требовать аутентификацию и защиту данных для связи.
Итак, что может сделать для вас этот расширенный брандмауэр Windows Server и как его настроить? Давайте читаем дальше.
Что есть в новом брандмауэре и чем он может вам помочь
Встроенный брандмауэр в Windows Server 2008 теперь «продвинутый». Не только я говорю, что это продвинутая технология, Microsoft теперь назвала ее Брандмауэром Windows с повышенной безопасностью (сокращенно WFAS).
Вот новые функции, которые оправдывают его новое название:
1. Новый графический интерфейс.
Теперь настройте этот расширенный брандмауэр через консоль управления.
2. Двусторонняя защита.
Фильтрация исходящих и входящих сообщений.
3. Лучшее сотрудничество с IPSEC.
Брандмауэр Windows в режиме повышенной безопасности объединяет функции брандмауэра Windows и безопасность протокола Интернета (IPSec) в единой консоли. Используйте эти расширенные параметры для настройки обмена ключами, защиты данных (целостность и шифрование) и параметров аутентификации в соответствии с требованиями вашей среды.
4. Расширенная настройка правил.
Вы можете создавать правила брандмауэра для различных объектов на Windows Server и настраивать правила брандмауэра, чтобы определять, следует ли блокировать или разрешать трафик через брандмауэр Windows в режиме повышенной безопасности.
Когда входящий пакет достигает вашего компьютера, брандмауэр Windows в режиме повышенной безопасности проверяет пакет и определяет, соответствует ли он критериям, указанным в правилах брандмауэра. Если пакет соответствует критериям правила, Брандмауэр Windows в режиме повышенной безопасности выполняет действие, указанное в правиле, т. е. блокирует или разрешает соединение. Если пакет не соответствует критериям правила, Брандмауэр Windows в режиме повышенной безопасности удаляет пакет и создает запись в файле журнала брандмауэра (если ведение журнала включено).
При настройке правила вы можете выбирать из множества критериев: например, имя приложения, имя системной службы, TCP-порт, UDP-порт, локальный IP-адрес, удаленный IP-адрес, файл конфигурации, тип интерфейса (например, сетевой адаптер), пользователь. , группа пользователей, компьютер, группа компьютеров, протокол, тип ICMP и т. д. Критерии в правиле суммируются; чем больше критериев вы добавляете, тем точнее брандмауэр Windows в режиме повышенной безопасности сопоставляет входящий трафик.
Добавляя двустороннюю защиту, улучшенный графический интерфейс и расширенную настройку правил, брандмауэр Windows в режиме повышенной безопасности становится таким же мощным, как традиционные межсетевые экраны на хосте, такие как ZoneAlarm Pro.
Я знаю, что первое, о чем думает любой администратор сервера при использовании межсетевого экрана на хосте: повлияет ли это на нормальную работу этой критически важной серверной инфраструктуры. Однако это возможная проблема с любой мерой безопасности, брандмауэр Windows 2008 Advanced Security повлияет на это? автоматически настраивать новые правила для любых новых ролей, добавленных на этот сервер. Однако если вы запускаете на своем сервере приложение, созданное не Microsoft, и для него требуется входящее сетевое подключение, вам придется создать новое правило в зависимости от типа связи.
Используя этот усовершенствованный брандмауэр, вы можете лучше защитить свой сервер от атак, предотвратить использование вашего сервера для атак на других и точно определить, какие данные входят и выходят с вашего сервера. Давайте посмотрим, как достичь этих целей.
Узнайте о вариантах настройки дополнительной безопасности брандмауэра Windows.
В предыдущих версиях Windows Server вы могли настроить сетевой адаптер или брандмауэр Windows из панели управления. Эта конфигурация очень проста.
Брандмауэр Windows в режиме повышенной безопасности большинство администраторов могут настроить либо из диспетчера сервера Windows, либо только с помощью оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности». Ниже приведены снимки экрана двух интерфейсов конфигурации:
Рисунок 1. Диспетчер сервера Windows Server 2008.
Рис. 2. Консоль управления брандмауэром Windows 2008 Advanced Security.
Самый простой и быстрый способ запустить брандмауэр Windows в режиме повышенной безопасности — это ввести «брандмауэр» в поле поиска меню «Пуск», как показано ниже:
Рис. 3. Как быстро запустить консоль управления брандмауэром Windows 2008 Advanced Security
Кроме того, вы можете настроить брандмауэр Windows в режиме повышенной безопасности с помощью Netsh — инструмента командной строки, который настраивает параметры сетевых компонентов. Используйте netsh advfirewall для создания сценариев, которые автоматически настраивают набор параметров брандмауэра Windows с повышенной безопасностью для трафика IPv4 и IPv6. Вы также можете использовать команду netsh advfirewall для отображения конфигурации и состояния брандмауэра Windows в режиме повышенной безопасности.
[Вырезанная страница] Что можно настроить с помощью новой оснастки MMC «Брандмауэр Windows с повышенной безопасностью»?
Поскольку с помощью этой новой консоли управления брандмауэром можно настроить так много функций, я не могу упомянуть их все. Если вы когда-нибудь смотрели на графический интерфейс конфигурации встроенного брандмауэра Windows 2003, вы быстро заметили, что в этом новом брандмауэре повышенной безопасности Windows скрыто очень много опций. Позвольте мне представить вам некоторые из наиболее часто используемых функций.
По умолчанию при первом входе в консоль управления Брандмауэр Windows в режиме повышенной безопасности вы увидите, что Брандмауэр Windows в режиме повышенной безопасности включен по умолчанию и блокирует входящие соединения, не соответствующие правилам для входящих подключений. Кроме того, этот новый брандмауэр исходящей почты по умолчанию отключен.
Еще вы заметите, что этот брандмауэр Windows с повышенной безопасностью также имеет несколько профилей, из которых пользователи могут выбирать. 
Рис. 4. Файлы конфигурации, представленные в брандмауэре Windows 2008 в режиме повышенной безопасности.
В этом брандмауэре Windows с повышенной безопасностью есть профиль домена, частный профиль и общедоступный профиль. Профили — это способ группировки параметров, таких как правила брандмауэра и правила безопасности подключения, которые применяются к компьютеру в зависимости от того, где он подключен. Например, в зависимости от того, находится ли ваш компьютер в корпоративной локальной сети или в местной кофейне.
По моему мнению, из всех улучшений, которые мы обсуждали в брандмауэре расширенной безопасности Windows 2008, наиболее значительным улучшением являются более сложные правила брандмауэра. Взгляните на возможность добавления исключения в брандмауэре Windows Server 2003, как показано ниже:
[img]/u/info_img/2009-06/05/20071018183935294.jpg
Рис. 5. Окно исключений брандмауэра Windows 2003 Server.
Давайте сравним окно конфигурации в Windows 2008 Server .
Обратите внимание, что вкладки «Протокол» и «Порт» представляют собой лишь небольшую часть этого окна с несколькими вкладками. Вы также можете применять правила к пользователям и компьютерам, программам и службам, а также диапазонам IP-адресов. Благодаря этой сложной настройке правил брандмауэра Microsoft переместила брандмауэр Windows Advanced Security в сторону IAS- сервера Microsoft.
Количество правил по умолчанию, предоставляемых брандмауэром Windows в режиме повышенной безопасности, также удивляет. В Windows 2003 Server существует только три правила исключений по умолчанию. Брандмауэр повышенной безопасности Windows 2008 предоставляет примерно 90 правил брандмауэра для входящего трафика по умолчанию и не менее 40 правил для исходящего трафика по умолчанию.
Как создать собственное правило для входящего трафика?
Предположим, вы установили версию сервера веб-сайта Apache для Windows на свой сервер Windows 2008 Server . Если вы уже используете встроенный веб-сервер IIS Windows, этот порт будет автоматически открыт для вас. Однако, поскольку теперь вы используете сторонний веб-сервер и у вас включен брандмауэр входящей почты, вам необходимо открыть это окно вручную.
Вот шаги:
·Определите протокол, который вы хотите заблокировать — в нашем случае это TCP/IP (его аналогом будет UDP/IP или ICMP).
·Определите IP-адрес источника, номер порта источника, IP-адрес назначения и порт назначения. Веб-связь, которую мы осуществляем, представляет собой передачу данных, исходящую с любого IP-адреса и любого номера порта и идущую на порт 80 этого сервера. (Обратите внимание, что здесь вы можете создать правило для конкретной программы, например HTTP-сервера Apache).
· Откройте брандмауэр Windows с помощью консоли управления расширенной безопасностью.
·Добавить правила. Нажмите кнопку «Новое правило» в MMC «Брандмауэр Windows в режиме повышенной безопасности», чтобы запустить мастер создания нового правила.
Рис. 8. Консоль управления расширенным брандмауэром Windows 2008 Server — кнопка «Новое правило»
·Выберите правило, которое вы хотите создать для порта.
·Настройте протокол и номер порта. Выберите протокол TCP по умолчанию и введите 80 в качестве порта, затем нажмите «Далее».
·Выберите значение по умолчанию «Разрешить соединение» и нажмите «Далее».
·Выберите «Применить это правило ко всем профилям по умолчанию» и нажмите «Далее».
· Дайте этому правилу имя и нажмите «Далее».
В это время вы получите правило, как показано ниже:
Рис. 9. Консоль управления брандмауэром Windows 2008 Server Advanced после создания правил.
После моего тестирования мой недавно установленный сервер веб-сайта Apache не работал должным образом, когда это правило не было включено. Однако после создания этого правила оно работает нормально!
Вывод: отличные улучшения, которые стоит попробовать.
Благодаря файлам конфигурации брандмауэра, сложным настройкам правил, 30-кратному количеству правил по умолчанию и множеству расширенных функций безопасности, не упомянутых в этой статье, брандмауэр Windows 2008 Server Advanced Security действительно является тем, что Microsoft называет расширенным брандмауэром. Я считаю, что этот встроенный, бесплатный, усовершенствованный межсетевой экран на базе хоста обеспечит еще большую безопасность Windows Server в будущем. Но если вы им не воспользуетесь, это не принесет вам никакой пользы. Поэтому я надеюсь, что сегодня вы опробуете этот новый расширенный брандмауэр Windows.
Узнайте о вариантах настройки дополнительной безопасности брандмауэра Windows.
В предыдущих версиях Windows Server вы могли настроить сетевой адаптер или брандмауэр Windows из панели управления. Эта конфигурация очень проста.
Брандмауэр Windows в режиме повышенной безопасности большинство администраторов могут настроить либо из диспетчера сервера Windows, либо только с помощью оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности». Ниже приведены снимки экрана двух интерфейсов конфигурации:
Рисунок 1. Диспетчер сервера Windows Server 2008.
Рис. 2. Консоль управления брандмауэром Windows 2008 Advanced Security.
Самый простой и быстрый способ запустить брандмауэр Windows в режиме повышенной безопасности — это ввести «брандмауэр» в поле поиска в меню «Пуск», как показано ниже:
Рис. 3. Как быстро запустить консоль управления брандмауэром Windows 2008 Advanced Security
Кроме того, вы можете настроить брандмауэр Windows в режиме повышенной безопасности с помощью Netsh — инструмента командной строки, который настраивает параметры сетевых компонентов. Используйте netsh advfirewall для создания сценариев, которые автоматически настраивают набор параметров брандмауэра Windows с повышенной безопасностью для трафика IPv4 и IPv6. Вы также можете использовать команду netsh advfirewall для отображения конфигурации и состояния брандмауэра Windows в режиме повышенной безопасности.