Innledning
Windows Firewall har kommet en lang vei siden den først ble introdusert i Windows XP og Windows Server 2003 SP2. Faktisk, med Windows-brannmur med avansert sikkerhet, er det ingen grunn til å også bruke en tredje part brannmur, selv om noen administratorer kan foretrekke å gjøre det for bestemte funksjoner eller formål. Windows-brannmur med avansert sikkerhet (WFAS) har alt du trenger for å lage et sikkert nettverk konfigurasjon. I tillegg legger den nye WFAS til brannmurfunksjoner og inkluderer Connection Sikkerhetsregler, som er IPsec regler som gjør det enklere enn noensinne å opprette sikre IPsec-tilkoblinger mellom klienter og servere, og fra servere til server, på nettverket. Anmeldelser
I denne artikkelen vil vi gå over noen av de nye og kule WFAS funksjoner som er inkludert i Windows Server 2008 R2 og Windows 7.
tildele forskjellige brannmurprofiler til Hver NIC
I Windows-brannmuren i det siste, kan du bare har en brannmur profil kan være aktiv om gangen. Hvis en datamaskin er koblet til mer enn ett nettverk, deretter profilen som hadde de mest restriktive regler ble brukt på alle nettverkskort. Den offentlige profilen var den mest restriktive, så Private profil, og til slutt Domain profil. Dette kan føre til problemer med unødvendig å begrense tilgang på domenet og private nettverk.
Nå er dette fungerer som det skal: hver NIC er tildelt sin egen profil. Trafikk som sendes til eller kommer fra hvert nettverk er behandlet i henhold til de regler som er aktuelle for NIC som kobles til hvert nettverk.
Party Down med Dusinvis av Brannmurer
WFAS er mye mer enn bare en enkel vertsbasert brannmur. I tillegg til brannmuren, det inkluderer:
- IPsec forbindelse sikkerhetsregler
- Nettverk tjeneste herding
- Boot tids filtre
- Brannmur filtre
- Stealth filtrerer
I det siste, slå av brannmuren betydde også deaktivere alle de andre tjenestene i Windows brannmur gitt. Det betydde at hvis du har installert en annen brannmur som ikke ga alle tjenester Windows brannmur gjør, du mistet disse Windows brannmur tjenester (og muligens utsatt systemet for trusler). Nå når en annen host-basert brannmur er installert, kan brannmurens installasjons deaktivere komponenter i Windows-brannmuren som konflikt. Andre Windows-brannmur tjenester være aktivert.
Got Intermediate instanser? No Problem!
I det siste, tilkobling sikkerhetsregler bare brukes sertifikater utstedt av en rot Certification Authority. Du kan nå bruke sertifikater utstedt av mellominstanser for IPsec basert Connection Sikkerhetsregler.
Ikke alle trenger å vise sin Papers
Du kan nå opprette brannmurregler som angir unntak fra den autoriserte listen. Dette gjør det mulig å opprette brannmurregler som sier "alle bortsett fra en, b, og c" kan få tilgang til verten. Trafikk fra datamaskiner eller brukerne du angir i unntakslisten blokkert selv om trafikken fra alle andre medlemmer av den autoriserte listen er tillatt. Du kan også lage regler for utgående trafikk spesifisere autoriserte datamaskiner og unntak til den autoriserte listen.
Bruk GUI å konfigurere porter og protokoller for tilkobling Sikkerhetsregler
Nå kan du bruke MMC å opprette Tilkoblingssikkerhetsregler som angir portnumre eller protokoller. Bare nettverkstrafikk til eller fra de angitte portene, eller bruke den angitte protokollen, er underlagt de IPsec kravene i forbindelse sikkerhetsregelen. I det siste måtte du gå til "mørkt sted" og bruk netsh
kommando for å opprette disse reglene. Hvorfor ville du ønsker å leve i en 1960 kommandolinje verden når du har en kul og nyttig GUI? Nå trenger du ikke trenger å!
Konfigurer brannmur-reglene som støtter en hel rekke TCP eller UDP-porter
Nå kan du konfigurere regler som omfatter områder av portnumre. For eksempel kan du bruke en regel som bruker portene 5000 gjennom 5010. Du kan også bruke port varierer i forbindelse Sikkerhetsregler som angir godkjenningsfritak.
Windows-brannmuren nå "B" Suite!
Tilkobling Sikkerhetsregler nå støtte "Suite B" sett av algoritmer som er definert i RFC 4869. I det siste du måtte kjøre selv nøtter prøver å skape Suite B regler ved hjelp av netsh
verktøyet. Dette er gode nyheter for alle disse admins som hadde vært redd for at "sjelen til Windows" ble filtrert bort til en Linux som kommandolinje mareritt (aka PowerHell). Ikke misforstå; kommandolinjen er stor for enkelte oppgaver, og noen folk foretrekker å gjøre det meste av arbeidet sitt der. Men andre som Windows spesielt på grunn av sin grafisk grensesnitt, og jeg liker å ha begge alternativene.
Godkjenn mens Making Network Guys lykkelig på samme tid
Du kan nå opprette tilkoblingssikkerhet regler som gjør at IPsec-godkjenning, men uten Encapsulating Security Payload (ESP) eller Godkjente Header (AH) beskyttelse på datapakkene. Det er riktig! Du får godkjenning uten kryptering. Dette gjør autentisering mulig når nettverks gutta Spaz ut og fortelle deg at du ikke kan bruke ESP eller AH fordi de setter selskapet i hock ved å betale oppblåste priser på nettverks IDS enhet som ingen noensinne ser på. Denne nye funksjonen gjør at du kan godkjenne med tilkoblingsforsøket, men det er ingen IPsec kryptering, slik at IDS kan se alt beveger seg over ledningen.
Få IPsec Beskyttelse for Mobile Devices
Nå kan få IPsec beskyttelse selv når du ikke kan forutse hva IP-adressen til begge sider av forbindelsen vil være. I det siste, kan du ikke lage IPsec regler for situasjoner når en av vertene ville bli tildelt en dynamisk IP-adresse.
IPsec Tunnel Mode får et løft
Nå kan du konfigurere IPsec tunnel modus for å tillate både godkjente og autoriserte datamaskiner og brukere for å etablere en tunnel til din IPsec gateway. Dette er noe som Direct utnyttet slik at både bruker og datamaskin godkjenning for infrastruktur og intranett tunneler.
Du kan lage tunnel-modus regler som definerer godkjenning som kan godkjenne en datamaskin eller bruker. Da maskinen eller brukerkonto er i forhold til den autoriserte listen og deretter tunnelen er etablert, og data kan utveksles hvis brukeren eller datamaskinen er autorisert. Hvis kontoen ikke er autorisert, da tilkoblingen mislykkes. Du kan også angi unntak, som lar deg lage "alle unntatt USERA" regler i konsollen. En begrensning er at Tunnel-modus autorisasjon fungerer bare for inngående tunneler.
Hva er Diffie (Hellman) med AuthIP?
Godkjente IP (AuthIP) brukes i stedet for IKEwhen du lage regler som har innstillinger som ikke støttes av IKEv1. AuthIP bruker hemmeligheten generert av autentiseringsmetode spurt. For eksempel, hvis du bruker Kerberos V5-godkjenning, deretter Kerberos hemmelig brukes i stedet for den hemmelige generert av en Diffie-Hellman utveksling. Men kan det være lurt å bruke Diffie-Hellman. Hvis ja, nå kan du kreve at Diffie-Hellman brukes i alle IPsec hovedmodus forhandlinger, selv når AuthIP brukes for autentisering.
Bruk ulike Diffie-Hellman algoritmer i hovedmodus forslag
I Windows Vista og Windows Server 2008, kan du angi bare en Diffie-Hellman algoritmen som brukes i alle IPsec forslag. Dette begrenset deg til å sikre at alle datamaskiner i organisasjonen brukte samme enkelt Diffie-Hellman algoritmen for IPsec forhandlinger. Fra og med Windows 7 og Windows Server 2008 R2, kan du angi en annen Diffie-Hellman algoritmen for hver hovedmodus forslag som du oppretter.
Føler kjærlighet for IPv6 Transition Protokoller
Jada, det er Teredo og 6to4, men de er så i går. Hva med noe nytt og forbedret og skapt av Microsoft? Det er hva du får med IPv6 over HTTPS, også kjent som IP-HTTPS. IP-HTTPS er en ny IPv6 overgang teknologi som bygger inn IPv6-pakker inni en HTTPS-spissen. IP-HTTPS tillater IPv6-trafikk for å flytte over en IPv4 Internett og utfører en funksjon som ligner Teredo og 6to4. Men i motsetning til Teredo, du trenger ikke å åpne en spesiell port på brannmuren for å tillate tilgang til IP-HTTPS, siden alle vet at TCP port 443 er den universelle brannmur bypass port.
Du kan imidlertid fortsatt bruke Teredo. Som IP-HTTPS, Teredo
er en tunneling protokoll som legger en IPv4 header inn IPv6-pakker. For en Windows-brannmuren innkommende regel, kan du sette UDP port til Edge Traversal
stedet for en bestemt portnummer for å ha Windows-brannmuren automatisk gjenkjenne og håndtere tilkoblingen på riktig måte.
Ikke Kapsle Med mindre du har for bedriftenI det siste, når nettverkstrafikken som ble IPsec beskyttet ble sendt gjennom en IPsec tunnel, ble det pakket inn i en IPsec og IP header. Det er mye av overskrifter! Nå når du ønsker å konfigurere en tunnel-modus regelen, nettverkstrafikk som allerede IPsec beskyttet vil bli fritatt fra tunnelen, og den flyttes til tunnelen endepunktet uten ekstra innkapsling.
Få et klart syn på brannmur Hendelser i Viewer
I det siste, var alle brannmur hendelser betraktes som "revisjon" hendelser, og ble generert bare hvis hensiktsmessig revisjons kategorier er aktivert. Nå er noen av disse hendelsene regnes som "operative" hendelser, og vises i hendelseslisten uten å være aktivert først. De vises under Programmer og Servicelogger
\\ Microsoft
\\ Windows
\\ Windows-brannmur med avansert sikkerhet
. Dette gjør det mye enklere å feilsøke en rekke brannmurrelaterte scenarier.
Sammendrag
Windows-brannmur blir bare bedre og bedre! I denne artikkelen, gikk vi over en rekke nye og forbedrede funksjoner inkludert i Windows 7 og Windows Server 2008 R2 brannmur. Hvis du allerede vet at Windows-brannmur med avansert sikkerhet, er du klar over kraften du får med dette bygget i host-basert brannmur. Hvis du er ny til Windows-brannmur med avansert sikkerhet, så du bør være å få et inntrykk av at den innebygde brannmuren som følger med Windows er alt du trenger, og det er ofte ingen grunn til at du trenger å installere en tredjeparts brannmur (som ofte skaper en situasjon der du har et ustabilt system og finger peker). Også huske på at Windows-brannmur med avansert sikkerhet er mye mer enn bare en brannmur. Dens hovedoppgave utenfor vertsbasert brannmur er sitt ansvar for IPsec-tilkoblinger, som avhenger av tilkoblingssikkerhet reglene. Anmeldelser