Функция брандмауэра в Microsoft Windows Server 2003 настолько элементарна, что многие системные администраторы считают ее бесполезной. Это всегда был простой межсетевой экран с отслеживанием состояния хоста, который поддерживает только входящую защиту. С появлением Windows Server 2008. Функциональность встроенного брандмауэра была значительно улучшена. Давайте посмотрим, как этот новый расширенный брандмауэр поможет нам защитить наши системы и как его настроить с помощью модуля консоли управления.
Почему вам следует использовать этот межсетевой экран на базе хоста для Windows?
Многие компании сегодня используют внешнее оборудование безопасности для усиления защиты своих сетей. Это означает, что они используют межсетевые экраны и системы предотвращения вторжений, чтобы построить железную стену вокруг своих сетей, естественным образом защищая их от злоумышленников в Интернете. Однако если злоумышленнику удастся прорвать защиту периметра и получить доступ к внутренней сети, только безопасность сертификации Windows не позволит ему получить доступ к самому ценному активу компании — ее данным.
Это связано с тем, что большинство ИТ-специалистов не используют межсетевые экраны на хосте для защиты своих серверов. Почему это происходит? Потому что большинство ИТ-специалистов считают, что развертывание межсетевых экранов на хосте вызывает больше проблем, чем пользы, которую они приносят?
Я надеюсь, что после прочтения этой статьи вы уделите время рассмотрению брандмауэров на базе хоста Windows. В Windows Server 2008 этот межсетевой экран на базе хоста встроен в Windows, поставляется предустановленным, имеет больше функций, чем предыдущие версии, и его проще настроить. Это один из лучших способов укрепить критически важный базовый сервер. Брандмауэр Windows в режиме повышенной безопасности сочетает в себе брандмауэр хоста и IPSec. В отличие от брандмауэра периметра, брандмауэр Windows в режиме повышенной безопасности работает на каждом компьютере под управлением этой версии Windows и обеспечивает локальную защиту от сетевых атак, которые могут пересекать сеть периметра или исходить внутри организации. Он также обеспечивает безопасность соединения между компьютерами, позволяя вам требовать аутентификацию и защиту данных для связи.
Итак, что же может сделать для вас этот расширенный брандмауэр Windows Server и как его настроить? Давайте читаем дальше.
Что есть в новом брандмауэре и чем он может вам помочь
Встроенный брандмауэр в Windows Server 2008 теперь «продвинутый». Не только я говорю, что это продвинутая технология, Microsoft теперь назвала ее Брандмауэром Windows с повышенной безопасностью (сокращенно WFAS).
Вот новые функции, которые оправдывают его новое название:
1. Новый графический интерфейс.
Теперь настройте этот расширенный брандмауэр через консоль управления.
2. Двусторонняя защита.
Фильтрация исходящих и входящих сообщений.
3. Лучшее сотрудничество с IPSEC.
Брандмауэр Windows в режиме повышенной безопасности объединяет функции брандмауэра Windows и безопасность протокола Интернета (IPSec) в единой консоли. Используйте эти расширенные параметры для настройки обмена ключами, защиты данных (целостность и шифрование) и параметров аутентификации в соответствии с требованиями вашей среды.
4. Расширенная настройка правил.
Вы можете создавать правила брандмауэра для различных объектов на Windows Server и настраивать правила брандмауэра для блокировки или разрешения трафика через брандмауэр Windows в режиме повышенной безопасности.
Когда входящий пакет достигает вашего компьютера, брандмауэр Windows в режиме повышенной безопасности проверяет пакет и определяет, соответствует ли он критериям, указанным в правилах брандмауэра. Если пакет соответствует критериям правила, Брандмауэр Windows в режиме повышенной безопасности выполняет действие, указанное в правиле, т. е. блокирует или разрешает соединение. Если пакет не соответствует критериям правила, Брандмауэр Windows в режиме повышенной безопасности удаляет пакет и создает запись в файле журнала брандмауэра (если ведение журнала включено).
При настройке правила вы можете выбирать из множества критериев: например, имя приложения, имя системной службы, TCP-порт, UDP-порт, локальный IP-адрес, удаленный IP-адрес, файл конфигурации, тип интерфейса (например, сетевой адаптер), пользователь. , группа пользователей, компьютер, группа компьютеров, протокол, тип ICMP и т. д. Критерии в правиле суммируются; чем больше критериев вы добавляете, тем точнее брандмауэр Windows в режиме повышенной безопасности сопоставляет входящий трафик.
Добавляя двустороннюю защиту, улучшенный графический интерфейс и расширенную настройку правил, брандмауэр Windows в режиме повышенной безопасности становится таким же мощным, как традиционные межсетевые экраны на хосте, такие как ZoneAlarm Pro.
Я знаю, что первое, о чем думает любой администратор сервера при использовании межсетевого экрана на хосте: повлияет ли это на нормальную работу этой критически важной серверной инфраструктуры. Однако это возможная проблема с любой мерой безопасности, брандмауэр Windows 2008 Advanced Security повлияет на это? автоматически настраивать новые правила для любых новых ролей, добавленных на этот сервер. Однако если вы запускаете на своем сервере приложение, созданное не Microsoft, и для него требуется входящее сетевое подключение, вам придется создать новое правило в зависимости от типа связи.
Используя этот усовершенствованный брандмауэр, вы можете лучше защитить свой сервер от атак, предотвратить использование вашего сервера для атак на других и точно определить, какие данные входят и выходят с вашего сервера. Давайте посмотрим, как достичь этих целей.
Узнайте о вариантах настройки дополнительной безопасности брандмауэра Windows.
В предыдущих версиях Windows Server вы могли настроить сетевой адаптер или брандмауэр Windows с панели управления. Эта конфигурация очень проста.