微軟的Windows Server 2003中防火牆的功能如此簡陋,讓許多系統管理員將其視為雞肋,它一直是一個簡單的、僅支援入站防護、基於主機的狀態防火牆。而隨著Windows Server 2008的日漸向我們走近,其內建的防火牆功能也得到了巨大的改進。下面讓我們一起來看看這個新的高級防火牆將如何幫助我們防護系統,以及如何使用管理控制台單元來配置它。
為什麼你應該使用這個Windows的基於主機的防火牆?
今天許多公司正在使用外部安全硬體的方式來加固它們的網路。 這意味著,它們使用防火牆和入侵保護系統在它們的網路周圍建立了一道銅牆鐵壁,保護它們自然免受網路上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻破外圍的防線,從而獲得對內部網路的訪問,將只有Windows認證安全來阻止他們來訪問公司最有價值的資產-它們的資料。
這是因為大多數IT人士沒有使用基於主機的防火牆來加固他們的伺服器的安全。為什麼會出現這樣的情況呢?因為多數IT人士認為,部署基於主機的防火牆所帶來的麻煩要大於它們帶來的價值。
我希望在您讀完這篇文章後,能夠花一點時間來考慮Windows這個基於主機的防火牆。在Windows Server 2008中,這個基於主機的防火牆內建在Windows中,已經預先安裝,與前面版本相比具有更多功能,而且更容易配置。它是加固一個關鍵的基礎伺服器的最佳方法之一。具有進階安全性的Windows 防火牆結合了主機防火牆和IPSec。與邊界防火牆不同,具有進階安全性的Windows 防火牆在每台運行此版本Windows 的電腦上運行,並對可能穿越邊界網路或源自組織內部的網路攻擊提供本機保護。它還提供電腦到電腦的連接安全,使您可以對通訊要求身份驗證和資料保護。
這個Windows Server 2008中的內建防火牆現在「進階」了。這不僅僅是我說它高級,微軟現在已經將其稱為高級安全Windows防火牆(簡稱WFAS)。
以下是可以證明它這個新名字的新功能:
1.新的圖形化介面。
現在透過一個管理控制台單元來設定這個進階防火牆。
2、雙向保護。
對出站、入站通訊進行過濾。
3.與IPSEC更好的配合。
具有進階安全性的Windows防火牆將Windows防火牆功能和Internet 協定安全性(IPSec)整合到一個控制台中。使用這些進階選項可以按照環境所需的方式設定金鑰交換、資料保護(完整性和加密)以及身分驗證設定。
4、進階規則配置。
你可以針對Windows Server上的各種物件建立防火牆規則,設定防火牆規則以確定阻止還是允許流量通過具有進階安全性的Windows防火牆。
傳入封包到達電腦時,具有進階安全性的Windows防火牆會檢查該封包,並確定它是否符合防火牆規則中指定的標準。如果封包與規則中的標準匹配,則具有進階安全性的Windows防火牆執行規則中指定的動作,即阻止連線或允許連線。如果封包與規則中的標準不匹配,則具有進階安全性的Windows防火牆丟棄該封包,並在防火牆日誌檔案中建立條目(如果啟用了日誌記錄)。
對規則進行設定時,可從各種標準中進行選擇:例如應用程式名稱、系統服務名稱、TCP連接埠、UDP連接埠、本機IP位址、遠端IP位址、設定檔、介面類型(如網路介面卡)、用戶、使用者群組、電腦、電腦群組、協定、ICMP類型等。規則中的標準添加在一起;新增的標準越多,具有進階安全性的Windows防火牆匹配傳入流量就越精細。
透過增加雙向防護功能、一個更好的圖形介面和進階的規則配置,這個進階安全Windows防火牆正在變得和傳統的基於主機的防火牆一樣強大,例如ZoneAlarm Pro等。
我知道任何伺服器管理員在使用一個基於主機的防火牆時首先想到的是:它是否會影響這個關鍵伺服器基礎應用的正常工作?然而對於任何安全措施這都是一個可能存在的問題,Windows 2008高級安全防火牆會自動的為新增到這個伺服器的任何新角色自動配置新的規則。但是,如果你在你的伺服器上運行一個非微軟的應用程序,而且它需要入站網路連接的話,你將必須根據通訊的類型來創建一個新的規則。