Siden begynnelsen, Windows Server 2003 SP1 brannmur har vært en grunnleggende, innkommende beskyttet, vertsbasert, Stateful brannmur. Med Windows Server 2008, har den innebygde brannmuren blitt dramatisk forbedret. La oss finne ut hvordan den nye avanserte brannmur kan hjelpe deg og hvordan du konfigurerer den ved hjelp av MMC snap-in.

Hvorfor skal du bruke Windows host-basert brannmur?

Mange bedrifter i dag sikre sitt nettverk ved hjelp av "harde ytre skallet /gooey center" tilnærming. Hva dette betyr er at de skaper en sterk perimeter rundt deres nettverk med brannmurer og IPS systemer, beskytte seg mot ondsinnede angripere på Internett. Men hvis en angriper kan trenge den ytre perimeter og få tilgang til det interne nettverket, det ville bare være Windows-godkjenning sikkerhet for å stoppe dem fra å få tilgang til selskapets mest verdifulle eiendeler -. Sine data

Dette er fordi de fleste IT-eksperter ikke sikre sine servere med vertsbaserte brannmurer. Hvorfor det? Vi ser vertsbaserte brannmurer som "mer trøbbel enn de er verdt".

Etter å ha lest denne artikkelen, håper jeg at mange av dere vil ta en ekstra titt på Windows vertsbasert brannmur. Med Windows Server 2008, og vertsbasert brannmur innebygd i Windows, er allerede installert, har nå flere funksjoner, og er nå enklere å konfigurere. Plus, det er virkelig en av de beste måtene å sikre en avgjørende infrastruktur server. Så, hva kan Windows Server Advanced brannmur gjøre for deg og hvordan konfigurerer du det? La oss finne ut

Hva betyr den nye avanserte brannmur tilbudet &.; hvordan kan det hjelpe deg?

Ny med Windows Server 2008, den innebygde brannmuren er nå "avansert". . Og det er ikke bare meg å si at Microsoft nå kaller det "Windows-brannmur med avansert sikkerhet" (la oss forkorte at så WFAS)

Her er de nye funksjonene som bidrar til å rettferdiggjøre at nytt navn:

Ny GUI grensesnitt Anmeldelser - et MMC snap-in er nå tilgjengelig for å konfigurere avanserte brannmuren.
• Toveis Anmeldelser - filtre utgående trafikk samt inngående trafikk.
• Fungerer bedre med IPSEC Anmeldelser - nå brannmurregler og IPSec krypterings konfigurasjoner er integrert i ett grensesnitt.
• Avanserte Regler konfigurasjon Anmeldelser - du kan opprette brannmurregler (unntak) for Windows Active Directory (AD) tjenestekontoer & grupper, kilde /destinasjon IP-adresser, protokollnummer, kilden og målet TCP /UDP-porter, ICMP, IPv6 trafikk, og grensesnitt på Windows Server.
  

  Med tillegg av å være en toveis brannmur En bedre GUI, og avanserte regler konfigurasjonen er Windows Advanced brannmur på grensen til å være like bra som tradisjonelle vertsbaserte brannmurer (som Zonealarm Pro, for eksempel).
  

  Jeg vet at den første bekymring for noen server admin i et vertsbasert brannmur er: hva om det hindrer kritiske apps server infrastruktur fra å fungere? Mens det er alltid en mulighet med noen sikkerhetstiltak, vil WFAS automatisk konfigurere nye regler for eventuelle nye serverroller som er lagt til serveren. Men hvis du kjører noen ikke-Microsoft-programmer på serveren din som trenger innkommende nettverkstilkobling, må du opprette en ny regel for den type trafikk.
  

  Ved hjelp av avanserte Windows brannmur, du kan bedre sikre serverne fra angrepet, dine servere fra å angripe andre, og virkelig spikeren ned hva trafikken som går inn og ut av dine servere. La oss se hvordan det gjøres.
  
  Hva er alternativene for å konfigurere Windows-brannmur med avansert sikkerhet?
  

  Tidligere med Windows Server, kan du konfigurere Windows-brannmuren når du gikk for å konfigurere nettverks adapter eller fra kontrollpanelet. Konfigurasjonen var veldig grunnleggende.
  

  Med Windows-brannmur med avansert sikkerhet (WFAS), de fleste admins vil konfigurere brannmuren enten fra Windows Server Manager
  eller MMC med bare WFAS snap-in. Her er hva de begge ser ut som:
  

  
  Figur 1:
  Windows 2008 Server Manager
  

  
  Figur 2:
  Windows 2008 brannmur med avansert sikkerhet MMC bare
  

  Det jeg har funnet er at den raskeste & enkleste måten å starte WFAS MMC er å bare skrive brannmur
  i Start-menyen søkeboksen, slik:
  

  
  Figur 3:
  Windows 2008-brannmur med Advanced Security MMC bare
  

  Det er også en ny netsh advfirewall
  CLI alternativ for konfigurering WFAS.
  
  Hva kan jeg konfigurere ved hjelp av den nye WFAS MMC Snap-in?
  

  Fordi det er så mange mulige funksjoner du kan konfigurere med den nye WFAS MMC snap-in, jeg kan umulig dekke dem alle. Hvis du noensinne har sett GUI konfigurasjonen for Windows 2003 innebygd brannmur, vil du raskt legge merke til hvor mange flere alternativer det ser ut til å være med WFAS. Men la meg treffe på noen av de mest brukte.
  

  Når du først gå inn i WFAS MMC snap i, som standard, vil du se at WFAS er PÅ og blokkere innkommende tilkoblinger som ikke har en matchende utgående regel. I tillegg er den nye utgående brannmur slått av.
  

  Noe annet du vil legge merke til er at det finnes også forskjellige profiler for WFAS (se figur 4 nedenfor)
  

  
  Figur 4:.
  Profiler nå tilgjengelig i Windows 2 008 brannmur med avansert sikkerhet
  

  Det er en domene profil, private profil, og offentlige profil for WFAS. Hva disse forskjellige profiler tillate deg å gjøre er å ta mange innkommende & utgående regler du kan ha og bruke den gruppen av brannmurregler til datamaskinen basert på hvor datamaskinen er koblet til nettverket (si bedriftens LAN kontra den lokale kaffebaren).
  

  Ut av alle forbedringene vi har snakket om med WFAS, etter min mening, er den viktigste forbedringen de mer sofistikerte brannmurregler. Ta en titt på Windows 2003 Server brannmur mulighet til å legge et unntak (en regel), i figur 5.
  

  
  Figur 5:
  Windows 2003 Server Firewall Exception vindu Anmeldelser

  Nå, la oss sammenligne det med Windows 2008 Server:
  

  
  Figur 6:
  Windows 2008 Server Advanced Firewall Exception vindu
  

  Legg merke til hvordan protokoller og porter Kategorien er bare en liten del av multi-faner. Du kan også konfigurere regler for å søke om å Brukere og amp; Datamaskiner, programmer og tjenester, og IP-adressen Scopes. Med denne typen sofistikerte brannmurregler konfigurasjon, har Microsoft presset WFAS mer mot Microsofts IAS server.
  

  Antallet standardregler som tilbys av WFAS er virkelig fantastisk. I Windows 2003 Server, var det de 3 standard unntak (regler). Ikke så i Windows Server. WFAS tilbyr ca 90 standard innkommende brannmurregler og minst 40 standard utgående regler - WOW
  

  
  Figur 7:
  Windows Server Advanced brannmur Standard Innkommende regler 2008
  
  Hvordan lage en Inngående Custom brannmur regel
  

  Så hvordan du oppretter en regel å bruke den nye Windows Advanced brannmur? La oss gå gjennom den.
  

  Si at du har installert Apache web server for Windows på Windows 2008 Server. Hvis du hadde brukt IIS, innebygd med Windows, havnen ville ha blitt automatisk åpnet for deg. . Men som du bruker en tredjeparts web server, og du har inngående brannmur aktivert, må du åpne porten manuelt
  

  Her er fremgangsmåten for å følge:
  

  
  Identifisere protokollen du ønsker å filtrere Anmeldelser - i vårt tilfelle, går det å være TCP /IP (i motsetning til UDP /IP eller ICMP)
  • Identifisere kilden IP-adresse, kilde portnummer, destinasjon IP-adresse, og målportnummeret Anmeldelser - vår web-trafikk kommer fra en IP-adresse og et portnummer, kommer til denne serveren, på port 80. (Merk at du også kan lage en regel for et bestemt program, som for eksempel Apache HTTP Server).
  • Åpne
    Windows-brannmur med avansert sikkerhet MMC
    
  • Legg Rule -
    Klikk på Ny regel
    knappen i Windows brannmur med avansert sikkerhet MMC for å få frem ny innkommende regel Wizard
    

    
    Figur 8:
    Windows 2008 Server Advanced brannmur MMC - ny regel knappen
    

    • Velg at du vil lage en regel for en port
      
    • Konfigurer protokoll & portnummer Anmeldelser - ta mislighold av TCP og skriv inn portnummeret som 80 og klikk på Neste.
    • Ta mislighold av "tillat denne sammenheng" & Klikk på Neste
      .
    • Ta standard for å bruke denne regelen på alle profilene & Klikk på Neste
      .
    • Gi regelen et navn og klikk Fullfør
      

      På dette punktet, bør du ha en regel som ser slik ut:.
      

      
      Figur 9:
      Windows 2008 Server Advanced Brannmur MMC - etter regelen ble opprettet
      

      Jeg testet at min nylig installert Apache webserver ikke ville fungere når nettopp installert med brannmuren aktivert. Men etter regelen, det fungerer kjempebra!
      
      I Konklusjon
      

      Med brannmurprofiler, sofistikert regel konfigurasjon, og 30 ganger mer standard regler enn det forgjengeren, sannelig, Windows 2008 Server brannmur liv opp til navnet sitt, og viser at det virkelig er "avansert" brannmur som Microsoft hevder den skal være. Jeg tror at denne innebygde, gratis, avansert host-basert brannmur vil sørge for at Windows-servere i morgen er mye sikrere. Men det kan ikke bidra til å sikre din server med mindre det er brukt. Så håper jeg du vil prøve ut den nye Windows Advanced brannmur i dag
      

      Andre ressurser
      

      Microsoft: Komme i gang med Windows-brannmur med avansert sikkerhet Anmeldelser

      
      
      
      Previous:Gruppepolicy Extensions i Windows Vista og Windows Server 2008, del 3
      Next Page:Gruppepolicy Extensions i Windows Vista og Windows Server 2008, del 2