Функция брандмауэра в Microsoft Windows Server 2003 настолько элементарна, что многие системные администраторы считают ее бесполезной. Это всегда был простой межсетевой экран с отслеживанием состояния хоста, который поддерживал только входящую защиту. По мере того, как Windows Server 2008 приближается к нам, ее встроенная функция брандмауэра значительно улучшилась. Давайте посмотрим, как этот новый усовершенствованный межсетевой экран поможет нам защитить наши системы и как его настроить с помощью модуля консоли управления.
Почему вам следует использовать этот межсетевой экран на базе хоста для Windows?
Многие компании сегодня используют внешнее оборудование безопасности для усиления защиты своих сетей. Это означает, что они используют межсетевые экраны и системы предотвращения вторжений, чтобы построить железную стену вокруг своих сетей, естественным образом защищая их от злоумышленников в Интернете. Однако если злоумышленнику удастся прорвать защиту периметра и получить доступ к внутренней сети, только безопасность сертификации Windows не позволит ему получить доступ к самому ценному активу компании — ее данным.
Это связано с тем, что большинство ИТ-специалистов не используют межсетевые экраны на хосте для защиты своих серверов. Почему это происходит? Потому что большинство ИТ-специалистов считают, что развертывание межсетевых экранов на хосте вызывает больше проблем, чем пользы, которую они приносят?
Я надеюсь, что после прочтения этой статьи вы уделите время рассмотрению брандмауэров на базе хоста Windows. В Windows Server 2008 этот межсетевой экран на базе хоста встроен в Windows, поставляется предустановленным, имеет больше функций, чем предыдущие версии, и его проще настроить. Это один из лучших способов укрепить критически важный базовый сервер. Брандмауэр Windows в режиме повышенной безопасности сочетает в себе брандмауэр хоста и IPSec. В отличие от брандмауэра периметра, брандмауэр Windows в режиме повышенной безопасности работает на каждом компьютере под управлением этой версии Windows и обеспечивает локальную защиту от сетевых атак, которые могут пересекать сеть периметра или исходить внутри организации. Он также обеспечивает безопасность соединения между компьютерами, позволяя вам требовать аутентификацию и защиту данных для связи.
Встроенный брандмауэр в Windows Server 2008 теперь «продвинутый». Не только я говорю, что это продвинутая технология, Microsoft теперь назвала ее Брандмауэром Windows с повышенной безопасностью (сокращенно WFAS).
Вот новые функции, которые оправдывают его новое название:
1. Новый графический интерфейс.
Теперь настройте этот расширенный брандмауэр через консоль управления.
2. Двусторонняя защита.
Фильтрация исходящих и входящих сообщений.
3. Лучшее сотрудничество с IPSEC.
Брандмауэр Windows в режиме повышенной безопасности объединяет функции брандмауэра Windows и безопасность протокола Интернета (IPSec) в единой консоли. Используйте эти расширенные параметры для настройки обмена ключами, защиты данных (целостность и шифрование) и параметров аутентификации в соответствии с требованиями вашей среды.
4. Расширенная настройка правил.
Вы можете создавать правила брандмауэра для различных объектов на Windows Server и настраивать правила брандмауэра для блокировки или разрешения трафика через брандмауэр Windows в режиме повышенной безопасности.
Когда входящий пакет достигает вашего компьютера, брандмауэр Windows в режиме повышенной безопасности проверяет пакет и определяет, соответствует ли он критериям, указанным в правилах брандмауэра. Если пакет соответствует критериям правила, Брандмауэр Windows в режиме повышенной безопасности выполняет действие, указанное в правиле, т. е. блокирует или разрешает соединение. Если пакет не соответствует критериям правила, Брандмауэр Windows в режиме повышенной безопасности удаляет пакет и создает запись в файле журнала брандмауэра (если ведение журнала включено).
При настройке правила вы можете выбирать из множества критериев: например, имя приложения, имя системной службы, TCP-порт, UDP-порт, локальный IP-адрес, удаленный IP-адрес, файл конфигурации, тип интерфейса (например, сетевой адаптер), пользователь. , группа пользователей, компьютер, группа компьютеров, протокол, тип ICMP и т. д. Критерии в правиле суммируются; чем больше критериев вы добавляете, тем точнее брандмауэр Windows в режиме повышенной безопасности сопоставляет входящий трафик.
Добавляя двустороннюю защиту, улучшенный графический интерфейс и расширенную настройку правил, брандмауэр Windows в режиме повышенной безопасности становится таким же мощным, как традиционные межсетевые экраны на хосте, такие как ZoneAlarm Pro.
Я знаю, что первое, о чем думает любой администратор сервера при использовании межсетевого экрана на хосте: повлияет ли это на нормальную работу этой критически важной серверной инфраструктуры. Однако это возможная проблема с любой мерой безопасности, брандмауэр Windows 2008 Advanced Security повлияет на это? автоматически настраивать новые правила для любых новых ролей, добавленных на этот сервер. Однако если вы запускаете на своем сервере приложение, созданное не Microsoft, и для него требуется входящее сетевое подключение, вам придется создать новое правило в зависимости от типа связи.