วิธีกำหนดค่าไฟร์วอลล์ Windows Server 2008

ผู้เขียน：Eve Cole เวลาอัปเดต：2009-06-05 17:18:12

ฟังก์ชันไฟร์วอลล์ใน Windows Server 2003 ของ Microsoft ถือเป็นคุณสมบัติพื้นฐานที่ผู้ดูแลระบบจำนวนมากมองว่าไม่มีประโยชน์ เป็นไฟร์วอลล์แบบ stateful แบบโฮสต์ที่สนับสนุนเฉพาะการป้องกันขาเข้าเท่านั้น เนื่องจาก Windows Server 2008 ใกล้เข้ามาใกล้เราแล้ว ฟังก์ชันไฟร์วอลล์ในตัวจึงได้รับการปรับปรุงอย่างมาก เรามาดูจุดสูงสุดใหม่นี้กัน

เหตุใดคุณจึงควรใช้ไฟร์วอลล์แบบโฮสต์สำหรับ Windows

บริษัทหลายแห่งในปัจจุบันใช้ฮาร์ดแวร์รักษาความปลอดภัยภายนอกเพื่อทำให้เครือข่ายของตนแข็งแกร่งขึ้น ซึ่งหมายความว่าพวกเขาใช้ไฟร์วอลล์และระบบป้องกันการบุกรุกเพื่อสร้างกำแพงที่แข็งแกร่งรอบเครือข่าย ปกป้องพวกเขาตามธรรมชาติจากผู้โจมตีที่เป็นอันตรายบนอินเทอร์เน็ต อย่างไรก็ตาม หากผู้โจมตีสามารถเจาะการป้องกันขอบเขตและเข้าถึงเครือข่ายภายในได้ มีเพียงการรักษาความปลอดภัยของ Windows Certification เท่านั้นที่จะป้องกันไม่ให้พวกเขาเข้าถึงทรัพย์สินที่มีค่าที่สุดของบริษัท นั่นก็คือข้อมูลของพวกเขา

เนื่องจากผู้เชี่ยวชาญด้านไอทีส่วนใหญ่ไม่ใช้ไฟร์วอลล์แบบโฮสต์เพื่อทำให้เซิร์ฟเวอร์ของตนแข็งแกร่งขึ้น เหตุใดสิ่งนี้จึงเกิดขึ้น เนื่องจากผู้เชี่ยวชาญด้านไอทีส่วนใหญ่เชื่อว่าการติดตั้งไฟร์วอลล์แบบโฮสต์ทำให้เกิดปัญหามากกว่ามูลค่าที่พวกเขาได้รับ

ฉันหวังว่าหลังจากอ่านบทความนี้แล้ว คุณจะใช้เวลาสักครู่เพื่อพิจารณาไฟร์วอลล์ที่ใช้โฮสต์ของ Windows ใน Windows Server 2008 ไฟร์วอลล์แบบโฮสต์นี้สร้างขึ้นใน Windows มีการติดตั้งไว้ล่วงหน้า มีคุณสมบัติมากกว่าเวอร์ชันก่อนหน้า และกำหนดค่าได้ง่ายกว่า นี่เป็นหนึ่งในวิธีที่ดีที่สุดในการทำให้เซิร์ฟเวอร์ฐานที่สำคัญแข็งแกร่งขึ้น Windows Firewall พร้อมความปลอดภัยขั้นสูงผสมผสานไฟร์วอลล์โฮสต์และ IPSec ต่างจาก Perimeter Firewall ตรงที่ Windows Firewall พร้อมความปลอดภัยขั้นสูงทำงานบนคอมพิวเตอร์ทุกเครื่องที่ใช้ Windows เวอร์ชันนี้ และให้การป้องกันเฉพาะที่จากการโจมตีเครือข่ายที่อาจข้ามเครือข่าย Perimeter หรือเกิดขึ้นภายในองค์กร นอกจากนี้ยังให้ความปลอดภัยในการเชื่อมต่อระหว่างคอมพิวเตอร์กับคอมพิวเตอร์ ช่วยให้คุณสามารถกำหนดการรับรองความถูกต้องและการปกป้องข้อมูลสำหรับการสื่อสารได้

แล้วไฟร์วอลล์ขั้นสูงของ Windows Server นี้สามารถทำอะไรให้คุณได้บ้าง และคุณจะกำหนดค่ามันอย่างไร เรามาอ่านกันดีกว่า

ไฟร์วอลล์ใหม่มีอะไรบ้างและจะช่วยคุณได้อย่างไร

ไฟร์วอลล์ในตัวใน Windows Server 2008 กลายเป็น "ขั้นสูง" แล้ว ไม่ใช่แค่ฉันที่บอกว่ามันล้ำหน้า แต่ตอนนี้ Microsoft เรียกมันว่า Windows Firewall พร้อมความปลอดภัยขั้นสูง (เรียกสั้น ๆ ว่า WFAS)

นี่คือคุณสมบัติใหม่ที่ทำให้ชื่อใหม่เหมาะสม:

1. อินเทอร์เฟซแบบกราฟิกใหม่

ตอนนี้กำหนดค่าไฟร์วอลล์ขั้นสูงนี้ผ่านยูนิตคอนโซลการจัดการ

2. การป้องกันสองทาง

กรองการสื่อสารขาออกและขาเข้า

3. ความร่วมมือที่ดีขึ้นกับ IPSEC

Windows Firewall พร้อมความปลอดภัยขั้นสูงรวมฟังก์ชัน Windows Firewall และ Internet Protocol Security (IPSec) ไว้ในคอนโซลเดียว ใช้ตัวเลือกขั้นสูงเหล่านี้เพื่อกำหนดค่าการแลกเปลี่ยนคีย์ การปกป้องข้อมูล (ความสมบูรณ์และการเข้ารหัส) และการตั้งค่าการตรวจสอบสิทธิ์ตามที่สภาพแวดล้อมของคุณต้องการ

4. การกำหนดค่ากฎขั้นสูง

คุณสามารถสร้างกฎไฟร์วอลล์สำหรับออบเจ็กต์ต่างๆ บน Windows Server และกำหนดค่ากฎไฟร์วอลล์เพื่อกำหนดว่าจะบล็อกหรืออนุญาตการรับส่งข้อมูลผ่านไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงหรือไม่

เมื่อแพ็กเก็ตขาเข้ามาถึงคอมพิวเตอร์ของคุณ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงจะตรวจสอบแพ็กเก็ตและพิจารณาว่าตรงตามเกณฑ์ที่ระบุในกฎไฟร์วอลล์หรือไม่ หากแพ็กเก็ตตรงกับเกณฑ์ในกฎ Windows Firewall พร้อมความปลอดภัยขั้นสูงจะดำเนินการตามที่ระบุไว้ในกฎ เช่น บล็อกการเชื่อมต่อหรืออนุญาตการเชื่อมต่อ หากแพ็กเก็ตไม่ตรงกับเกณฑ์ในกฎ Windows Firewall ที่มีความปลอดภัยขั้นสูงจะทิ้งแพ็กเก็ตและสร้างรายการในไฟล์บันทึกไฟร์วอลล์ (หากเปิดใช้งานการบันทึก)

เมื่อกำหนดค่ากฎ คุณสามารถเลือกจากเกณฑ์ต่างๆ ได้ เช่น ชื่อแอปพลิเคชัน ชื่อบริการระบบ พอร์ต TCP พอร์ต UDP ที่อยู่ IP ในเครื่อง ที่อยู่ IP ระยะไกล ไฟล์การกำหนดค่า ประเภทอินเทอร์เฟซ (เช่น อะแดปเตอร์เครือข่าย) ผู้ใช้ , กลุ่มผู้ใช้, คอมพิวเตอร์, กลุ่มคอมพิวเตอร์, โปรโตคอล, ประเภท ICMP เป็นต้น เกณฑ์ในกฎจะถูกรวมเข้าด้วยกัน ยิ่งคุณเพิ่มเกณฑ์มากเท่าใด Windows Firewall ที่มีความปลอดภัยขั้นสูงก็จะตรงกับการรับส่งข้อมูลขาเข้ามากขึ้นเท่านั้น

ด้วยการเพิ่มการป้องกันแบบสองทาง อินเทอร์เฟซแบบกราฟิกที่ดีขึ้น และการกำหนดค่ากฎขั้นสูง Windows Firewall พร้อมความปลอดภัยขั้นสูงจึงมีประสิทธิภาพเทียบเท่ากับไฟร์วอลล์บนโฮสต์แบบดั้งเดิม เช่น ZoneAlarm Pro

ฉันรู้ว่าสิ่งแรกที่ผู้ดูแลระบบเซิร์ฟเวอร์คิดเมื่อใช้ไฟร์วอลล์แบบโฮสต์คือ: จะส่งผลต่อการทำงานปกติของโครงสร้างพื้นฐานเซิร์ฟเวอร์ที่สำคัญนี้หรือไม่ อย่างไรก็ตาม นี่เป็นปัญหาที่เป็นไปได้กับมาตรการรักษาความปลอดภัย Windows 2008 Advanced Security ไฟร์วอลล์จะทำเช่นนั้น กำหนดค่ากฎใหม่โดยอัตโนมัติสำหรับบทบาทใหม่ที่เพิ่มในเซิร์ฟเวอร์นี้ อย่างไรก็ตาม หากคุณใช้งานแอปพลิเคชันที่ไม่ใช่ของ Microsoft บนเซิร์ฟเวอร์ของคุณและจำเป็นต้องมีการเชื่อมต่อเครือข่ายขาเข้า คุณจะต้องสร้างกฎใหม่ตามประเภทของการสื่อสาร

ด้วยการใช้ไฟร์วอลล์ขั้นสูงนี้ คุณจะสามารถเสริมความแข็งแกร่งให้กับเซิร์ฟเวอร์ของคุณจากการโจมตีได้ดีขึ้น ป้องกันเซิร์ฟเวอร์ของคุณจากการถูกโจมตีผู้อื่น และกำหนดได้ว่าข้อมูลใดเข้าและออกจากเซิร์ฟเวอร์ของคุณอย่างแท้จริง เรามาดูวิธีการบรรลุเป้าหมายเหล่านี้กัน

[ตัดหน้า]

เรียนรู้เกี่ยวกับตัวเลือกสำหรับการกำหนดค่า Windows Firewall Advanced Security

ใน Windows Server เวอร์ชันก่อนหน้า คุณสามารถกำหนดค่าอะแดปเตอร์เครือข่ายของคุณหรือกำหนดค่า Windows Firewall จากแผงควบคุมได้ การกำหนดค่านี้ง่ายมาก

สำหรับ Windows Firewall ที่มีความปลอดภัยขั้นสูง ผู้ดูแลระบบส่วนใหญ่สามารถกำหนดค่าได้จาก Windows Server Manager หรือจาก Windows Firewall ที่มีสแน็ปอิน MMC ความปลอดภัยขั้นสูงเท่านั้น ต่อไปนี้คือภาพหน้าจอของอินเทอร์เฟซการกำหนดค่าทั้งสอง:

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com

รูปที่ 1 ตัวจัดการเซิร์ฟเวอร์ Windows Server 2008

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com
รูปที่ 2 คอนโซลการจัดการไฟร์วอลล์ความปลอดภัยขั้นสูงของ Windows 2008

วิธีที่ง่ายและรวดเร็วที่สุดที่ฉันพบในการเริ่ม Windows Firewall ด้วยการรักษาความปลอดภัยขั้นสูงคือพิมพ์ 'ไฟร์วอลล์' ในช่องค้นหาของเมนู Start ดังที่แสดงด้านล่าง:

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com
รูปที่ 3 วิธีเริ่มคอนโซลการจัดการไฟร์วอลล์ความปลอดภัยขั้นสูงของ Windows 2008 อย่างรวดเร็ว

นอกจากนี้ คุณยังสามารถกำหนดค่า Windows Firewall ด้วยการรักษาความปลอดภัยขั้นสูงโดยใช้ Netsh ซึ่งเป็นเครื่องมือบรรทัดคำสั่งที่กำหนดค่าการตั้งค่าส่วนประกอบเครือข่าย ใช้ netsh advfirewall เพื่อสร้างสคริปต์ที่กำหนดค่าชุดการตั้งค่า Windows Firewall โดยอัตโนมัติพร้อมการรักษาความปลอดภัยขั้นสูงสำหรับการรับส่งข้อมูลทั้ง IPv4 และ IPv6 คุณยังสามารถใช้คำสั่ง netsh advfirewall เพื่อแสดงการกำหนดค่าและสถานะของ Windows Firewall พร้อมความปลอดภัยขั้นสูง

[ตัดหน้า]

สิ่งที่สามารถกำหนดค่าได้โดยใช้ Windows Firewall ใหม่พร้อมสแน็ปอิน Advanced Security MMC
เนื่องจากมีคุณสมบัติมากมายที่คุณสามารถกำหนดค่าได้โดยใช้คอนโซลการจัดการไฟร์วอลล์ใหม่นี้ ฉันจึงไม่สามารถพูดถึงคุณสมบัติทั้งหมดเหล่านี้ได้ หากคุณเคยดูอินเทอร์เฟซกราฟิกการกำหนดค่าไฟร์วอลล์ในตัวของ Windows 2003 คุณจะสังเกตเห็นได้อย่างรวดเร็วว่ามีตัวเลือกมากมายที่ซ่อนอยู่ใน Windows Advanced Security Firewall ใหม่นี้ ฉันขอเลือกฟังก์ชันที่ใช้บ่อยที่สุดบางส่วนมาแนะนำให้คุณรู้จัก

ตามค่าเริ่มต้น เมื่อคุณเข้าสู่คอนโซลการจัดการ Windows Firewall พร้อม Advanced Security เป็นครั้งแรก คุณจะเห็นว่า Windows Firewall พร้อม Advanced Security เปิดใช้งานตามค่าเริ่มต้น และบล็อกการเชื่อมต่อขาเข้าที่ไม่ตรงกับกฎขาเข้า นอกจากนี้ ไฟร์วอลล์ขาออกใหม่นี้จะถูกปิดตามค่าเริ่มต้น

สิ่งอื่น ๆ ที่คุณจะสังเกตเห็นก็คือ Windows Firewall พร้อมความปลอดภัยขั้นสูงนี้มีหลายโปรไฟล์ให้ผู้ใช้เลือก

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com

รูปที่ 4 ไฟล์การกำหนดค่าที่มีให้ในไฟร์วอลล์ Windows 2008 พร้อมความปลอดภัยขั้นสูง

ใน Windows Firewall พร้อมความปลอดภัยขั้นสูงนี้จะมีโปรไฟล์โดเมน โปรไฟล์ส่วนตัว และโปรไฟล์สาธารณะ ส่วนกำหนดค่าเป็นวิธีหนึ่งในการจัดกลุ่มการตั้งค่า เช่น กฎไฟร์วอลล์และกฎความปลอดภัยในการเชื่อมต่อ ซึ่งใช้กับคอมพิวเตอร์ตามตำแหน่งที่เชื่อมต่อ ขึ้นอยู่กับว่าคอมพิวเตอร์ของคุณอยู่บนระบบ LAN ขององค์กรหรือร้านกาแฟในพื้นที่ เป็นต้น

ในความคิดของฉัน จากการปรับปรุงทั้งหมดที่เราได้กล่าวถึงใน Windows 2008 Advanced Security Firewall การปรับปรุงที่สำคัญที่สุดคือกฎไฟร์วอลล์ที่ซับซ้อนมากขึ้น ดูตัวเลือกในการเพิ่มข้อยกเว้นในไฟร์วอลล์ Windows Server 2003 ดังที่แสดงด้านล่าง:

[img]/u/info_img/2009-06/05/20071018183935294.jpg
รูปที่ 5 หน้าต่างข้อยกเว้นไฟร์วอลล์ เซิร์ฟเวอร์ Windows 2003

มาเปรียบเทียบหน้าต่างการกำหนดค่าใน Windows 2008 Server กัน

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com

โปรดทราบว่าแท็บโปรโตคอลและพอร์ตเป็นเพียงส่วนเล็กๆ ของหน้าต่างหลายแท็บนี้ คุณยังสามารถใช้กฎกับผู้ใช้และคอมพิวเตอร์ โปรแกรมและบริการ และช่วงที่อยู่ IP ด้วยการกำหนดค่ากฎไฟร์วอลล์ที่ซับซ้อนนี้ Microsoft ได้ย้าย Windows Advanced Security Firewall ไปยัง IAS Server ของ Microsoft

จำนวนกฎเริ่มต้นที่ Windows Firewall พร้อมความปลอดภัยขั้นสูงมอบให้ก็น่าประหลาดใจเช่นกัน ใน Windows 2003 Server มีกฎข้อยกเว้นเริ่มต้นเพียงสามข้อเท่านั้น Windows 2008 Advanced Security Firewall มีกฎไฟร์วอลล์ขาเข้าเริ่มต้นประมาณ 90 กฎ และกฎขาออกเริ่มต้นอย่างน้อย 40 กฎ

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com

จะสร้างกฎขาเข้าแบบกำหนดเองได้อย่างไร
สมมติว่าคุณได้ติดตั้งเซิร์ฟเวอร์เว็บไซต์ Apache เวอร์ชัน Windows บน เซิร์ฟเวอร์ Windows 2008 ของคุณ หากคุณใช้เว็บเซิร์ฟเวอร์ IIS ในตัวของ Windows อยู่แล้ว พอร์ตนี้จะถูกเปิดให้คุณโดยอัตโนมัติ อย่างไรก็ตาม เนื่องจากขณะนี้คุณกำลังใช้เว็บเซิร์ฟเวอร์จากบุคคลที่สาม และคุณได้เปิดใช้งานไฟร์วอลล์ขาเข้าไว้ คุณจะต้องเปิดหน้าต่างนี้ด้วยตนเอง

นี่คือขั้นตอน:

·ระบุโปรโตคอลที่คุณต้องการบล็อก - ในกรณีของเราคือ TCP/IP (คู่กันคือ UDP/IP หรือ ICMP)

·ระบุที่อยู่ IP ต้นทาง หมายเลขพอร์ตต้นทาง ที่อยู่ IP ปลายทาง และพอร์ตปลายทาง การสื่อสารทางเว็บที่เราดำเนินการคือการสื่อสารข้อมูลที่มาจากที่อยู่ IP และหมายเลขพอร์ตใด ๆ และไหลไปยังพอร์ต 80 ของเซิร์ฟเวอร์นี้ (โปรดทราบว่าคุณสามารถสร้างกฎสำหรับโปรแกรมเฉพาะได้ เช่น เซิร์ฟเวอร์ apache HTTP ที่นี่)

·เปิดไฟร์วอลล์ Windows ด้วยคอนโซลการจัดการความปลอดภัยขั้นสูง

·เพิ่มกฎ - คลิกปุ่มกฎใหม่ในไฟร์วอลล์ Windows พร้อม MMC ความปลอดภัยขั้นสูงเพื่อเริ่มตัวช่วยสร้างสำหรับการเริ่มกฎใหม่

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com
รูปที่ 8 คอนโซลการจัดการไฟร์วอลล์ขั้นสูงของ Windows 2008 Server- ปุ่มกฎใหม่

·เลือกกฎที่คุณต้องการสร้างสำหรับพอร์ต

·กำหนดค่าโปรโตคอลและหมายเลขพอร์ต - เลือกโปรโตคอล TCP เริ่มต้นและป้อน 80 เป็นพอร์ต จากนั้นคลิกถัดไป

·เลือกค่าเริ่มต้น "อนุญาตการเชื่อมต่อ" แล้วคลิกถัดไป

·เลือกใช้กฎนี้กับโปรไฟล์ทั้งหมดตามค่าเริ่มต้น แล้วคลิกถัดไป

·ตั้งชื่อกฎนี้แล้วคลิกถัดไป

ในเวลานี้คุณจะได้รับกฎดังที่แสดงด้านล่าง:

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com
รูปที่ 9 คอนโซลการจัดการไฟร์วอลล์ขั้นสูง ของเซิร์ฟเวอร์ Windows 2008 หลังจากสร้างกฎ

หลังจากการทดสอบของฉัน เซิร์ฟเวอร์เว็บไซต์ Apache ที่เพิ่งติดตั้งของฉันทำงานไม่ถูกต้องเมื่อไม่ได้เปิดใช้งานกฎนี้ อย่างไรก็ตาม หลังจากสร้างกฎนี้แล้ว มันก็ใช้ได้ดี!

สรุป: การปรับปรุงที่ยอดเยี่ยมคุ้มค่าแก่การลอง

ด้วยไฟล์การกำหนดค่าไฟร์วอลล์ การตั้งค่ากฎที่ซับซ้อน จำนวนกฎเริ่มต้น 30 เท่า และคุณลักษณะด้านความปลอดภัยขั้นสูงมากมายที่ไม่ได้กล่าวถึงในบทความนี้ Windows 2008 Server Advanced Security Firewall คือสิ่งที่ Microsoft เรียกว่าไฟร์วอลล์ขั้นสูงอย่างแท้จริง ฉันเชื่อว่าไฟร์วอลล์โฮสต์ขั้นสูงในตัวฟรีนี้จะช่วยให้มั่นใจได้ว่า Windows Server จะมีความปลอดภัยมากยิ่งขึ้นในอนาคต แต่ถ้าคุณไม่ใช้มัน มันก็จะไม่เกิดประโยชน์อะไรกับคุณ ฉันหวังว่าคุณจะลองใช้ Windows Advanced Firewall ใหม่นี้ในวันนี้

[ตัดหน้า]

เรียนรู้เกี่ยวกับตัวเลือกสำหรับการกำหนดค่า Windows Firewall Advanced Security

วิธีกำหนดค่า 2008 firewall_Webpage Teaching Network_จัดระเบียบโดย webjx.com

รูปที่ 1 ตัวจัดการเซิร์ฟเวอร์ Windows Server 2008

วิธีที่ง่ายและรวดเร็วที่สุดที่ฉันพบในการเริ่ม Windows Firewall ด้วยการรักษาความปลอดภัยขั้นสูงคือพิมพ์ 'ไฟร์วอลล์' ในช่องค้นหาบนเมนู Start ดังที่แสดงด้านล่าง: