, indledningen, vinduerne firewall er nået langt, siden det blev oprettet i vinduer xp og windows server - 2003 sp 2.i betragtning af vinduer firewall med avanceret sikkerhed, er der ingen grund til at bruge en tredje part firewall, selv om nogle ledere foretrækker måske at gøre det for særlige karakteristika eller formål.vinduerne firewall med avanceret sikkerhed (wfas) har alt hvad du har brug for at skabe et sikkert netværk konfiguration.endvidere er der i den nye wfas tilføjer, at en firewall elementer og omfatter forbindelse sikkerhedsregler, som er ipsec regler, der gør det lettere end nogensinde for at skabe sikre ipsec forbindelser mellem kunder og servere, og servere til server, på deres net. i denne artikel, vil vi gå over til nogle af de nye og seje wfas elementer, der indgår i windows server - 2008 r2 og windows 7.anden firewall profiler, tildeler hver nic,,, i vinduerne firewall fra fortiden, du kun kunne have en firewall profil kan være aktive på et tidspunkt.hvis en computer er forbundet med mere end ét net, så den profil, som havde den mest restriktive bestemmelser blev anvendt på alle industri.den offentlige profil var de mest restriktive, og de private profil, og endelig område profil.det kan give problemer, som unødigt begrænser adgangen for domæne og private net., og nu det her fungerer, som det skal hvert nationalt er tildelt sin egen profil.trafikken er sendt til eller kommer fra hvert net er behandlet i henhold til de bestemmelser, der er relevante for nic, der forbinder hvert net.,, fest med snesevis af firewalls, wfas er meget mere end en simpel vært baseret firewall.ud over en firewall, det omfatter:,,, ipsec forbindelse sikkerhedsregler, network service hårdhed, boot tid filtre, firewall filtre, stealth - filtre,,, i fortiden, jeg slukker firewall betød også invaliderende alle andre tjenesteydelser vinduerne firewall er fastsat.det betød, at hvis du havde en anden firewall, som ikke har fremlagt alle de tjenester, vinduer firewall er, du mistede de vinduer firewall tjenesteydelser (og muligvis udsat for systemet til trusler).når en anden vært baseret firewall er installeret, firewall er installatøren kan uskadeliggøre komponenter af vinduerne firewall, at konflikten.andre vinduer firewall tjenesteydelser er aktiveret.,, har mellemliggende cas?intet problem!, i fortiden, den forbindelse sikkerhed regler anvendes kun certifikater udstedt af et rod certificeringsmyndighed.du kan nu anvende certifikater, der er udstedt af mellemliggende cas for din ipsec baseret forbindelse sikkerhedsregler.,, ikke alle behøver at vise sine papirer, du kan nu skabe firewall forskrifter, der angiver undtagelser fra den godkendte liste.det giver dig mulighed for at oprette firewallreglerne siger, at alle undtagen a, b og c "kan få adgang til værten.trafikken fra computere eller brugere, de anfører i undtagelse liste er blokeret, selv om trafik fra alle andre medlemmer af den godkendte liste er tilladt.du kan også skabe regler for udgående trafik med angivelse af godkendte computere og undtagelser fra den godkendte liste.,, anvende de gui at konfigurere havne og protokoller for forbindelse sikkerhedsregler, nu kan du bruge mmc at skabe forbindelse sikkerheds forskrifter, der angiver havn numre eller protokoller.kun net trafik til eller fra bestemte havne, eller med det angivne protokol, er betinget af, at der ipsec krav i den forbindelse sikkerhed regel.i fortiden, du var nødt til at gå til den "mørke", og de, netsh, ordre til at skabe disse regler.hvorfor vil du bo i 1960 'erne kommandolinjen verden, når du har et fedt og nyttige gui?nu behøver du ikke!,, konfigurere firewallreglerne, at støtte en hel række tcp eller udp - havne, nu kan du få regler, der omfatter forskellige havn numre.f.eks. kan man anvende en regel, der anvender havne 5000 gennem 5010.du kan også bruge havn intervaller i forbindelse sikkerheds forskrifter, der angiver autentificering fritagelse.,, vinduerne firewall nu "b" suite!,, forbindelse sikkerhedsregler nu støtte de suite b "række algoritmer, som er defineret i rfc 4869.i fortiden, du skulle køre dig sindssyg forsøger at skabe suite b regler ved hjælp af den, netsh, værktøj.det er en god nyhed for alle dem, admins, der havde været bange for, at den "sjæl af vinduer" var svinder ind i en linux som kommandolinjen mareridt (alias powerhell).misforstå mig ikke, kommando linjen er godt for visse opgaver, og nogle mennesker foretrækker de fleste af deres arbejde.men andre kan lide vinduer, netop på grund af den grafiske grænsef­lade og jeg kan godt lide at have begge muligheder.,,, samtidig med at den glade giver nettet på samme tid, du kan nu skabe forbindelse sikkerhedsregler, der gør det muligt for ipsec autentificering, men uden at security payload (esp) eller bekræftet header (ah) beskyttelse af pakkerne.det er rigtigt!du får godkendelse uden kryptering.det er muligt, når nettet i autentificering spasser ud og fortælle dig, at du ikke kan bruge esp eller - fordi de bringe selskabet i gæld ved at betale overpriser for net - anordning, som ingen nogensinde ser.det nye element, giver dig mulighed for at bekræfte den forbindelse forsøg, men der er ingen ipsec kryptering, så ids kan se alt som bevæger sig over wire.,, få ipsec beskyttelse af mobile anordninger, nu kan du få ipsec beskyttelse, selv når man ikke kan forudsige, hvad den ip - adressen på begge sider af forbindelsen vil blive.i fortiden, du ikke kunne skabe ipsec regler for situationer, hvor en af værterne ville blive tillagt en dynamisk ip - adresse.,, ipsec tunnelmodus får et skub, så nu kan du få ipsec tunnelmodus, således at både tidsmæssigt og godkendte computere og brugere til at etablere en tunnel til din ipsec port.det er noget, som directaccess udnytter, således at både brugerne og edb - autentificering for infrastruktur og intranet tunneler.,, du kan skabe tunnelmodus regler, der definerer autentificering, som kan bekræfte en computer eller bruger.så computeren eller brugerkonto er i forhold til den godkendte liste, og så den tunnel er etableret, og data kan udveksles, hvis brugeren eller computer er tilladt.hvis den konto er ikke tilladt, så den forbindelse svigter.du kan også fastsætte undtagelser, der giver dig mulighed for at oprette "alle undtagen usera" regler på konsollen.en begrænsning, er det tunnelmodus tilladelse virker kun for indkommende tunneller.,, hvad er diffie - (hellman) med authip?,, bekræftet ip (authip) anvendes i stedet for ikewhen du skaber regler, som er områder, som ikke er støttet af ikev1.authip anvender den hemmelighed, der genereres af autentificering metode har anmodet om.for eksempel, hvis du bruger kerberos v5 autentificering, så kerberos hemmelighed er anvendt i stedet for den hemmelighed, der genereres af en diffie - hellman udveksling.men du vil måske bruge diffie - hellman.hvis du nu kan kræve, at diffie - hellman anvendes i alle ipsec vigtigste transportform forhandlinger, selv når authip anvendes til godkendelse., bruger forskellige diffie - hellman algoritmer i vigtigste transportform forslag, i vinduerne vista og windows server - 2008, kan de angive eneste diffie - hellman algoritme, der anvendes i alle ipsec forslag.denne begrænsede til at sikre, at alle computere i deres organisation, der anvendes den samme diffie - hellman algoritme for ipsec forhandlinger.startende med windows 7 og windows server - 2008 r2, kan de angive et andet diffie - hellman algoritme for hver af de vigtigste transportform forslag, som de skaber.,, føle kærligheden til ipv6 overgang protokoller, der er teredo og 6to4, men de er så i går.hvad med noget nyt og forbedret og skabt af microsoft?det er hvad du får med ipv6 i https, også kendt som ip-https.ip-https er en ny teknologi, der inddrager ipv6 overgang ipv6 - pakker i en https header.ip-https tillader ipv6 trafikken til at gå over til en ipv4, internet og udfører lignende opgaver teredo og 6to4.men i modsætning til teredo, du behøver ikke at åbne en særlig rapport om firewall 'en til at give adgang til ip-https, da alle ved, at tcp port 443 er den universelle firewall bypass havn.,, men du kan stadig bruge teredo.som ip-https, teredo, er uden protokol, som lægger en ipv4 header på ipv6 - pakker.for vinduer firewall på regel, du kan sætte udp - havn, kant traversal, i stedet for en bestemt havn nummer til vinduer firewall automatisk genkender og klare forbindelse hensigtsmæssigt.,, ikke sammenfatte, medmindre du har til i fortiden, da nettet trafik, der var ipsec beskyttede blev sendt gennem en ipsec tunnel det var pakket ind i en ipsec og up header.det er en masse rør!når du ønsker at få en tunnelmodus regel, netværk, trafik, der allerede er ipsec beskyttet, vil blive undtaget fra den tunnel, og den bevæger sig til tunnelen endpoint uden yderligere indkapsling.,, få en klar opfattelse af firewall begivenheder i betragteren, i fortiden, firewall hændelser anset for "revision" begivenheder, og blev der skabt kun, hvis den relevante revision kategori blev aktiveret.nogle af disse bivirkninger betragtes som "operationelle" begivenheder, og anføres i tilfælde af seerne, uden at have mulighed for først.de optræder under, applikationer og tjenester kævler. microsoft,., vinduer,., vinduer firewall med avanceret sikkerhed.det gør det meget nemmere at løse en række firewall relaterede scenarier.,,,, vinduerne firewall bliver bare bedre og bedre.i denne artikel, vi gennemgik en række nye og forbedrede elementer i windows 7 og windows server - 2008 r2 firewall.hvis du allerede ved vinduerne firewall med avanceret sikkerhed, er du klar over den magt, du kommer med denne bygget i værtslandet baseret firewall.hvis du er ny i vinduerne firewall med avanceret sikkerhed, så skal du få det indtryk, at de er bygget i firewall indgår med vinduer er alt, du behøver, og ofte er der ingen grund til, at du skal installere en tredjeparts firewall (som ofte skaber en situation, hvor de har system ustabilitet og pegen fingre).også huske, at de vinduer firewall med avanceret sikkerhed er meget mere end bare en firewall.dens vigtigste opgave uden for vært baseret firewall er sit ansvar for ipsec forbindelser, som afhænger af forbindelse sikkerhedsregler.