Innledning
Det ’ s vært en lang reise, men vi ’ re slutt på slutten av denne oktett av artikler om de nye funksjonene og funksjonaliteten i Windows Server 2012 nettverksteknologier. I del 1 til 7, dekket vi mer enn et dusin viktige endringer, forbedringer og tillegg. I denne, del 8 av serien, vi ’ ll diskutere Windows Server 2012 ’ s implementering av Windows-brannmur med avansert sikkerhet og hva ’ s ny og forbedret på den fronten
Her ’. Er vår liste igjen, viser de elementene vi ’ ve allerede omtalt i tidligere artikler, og den vi ’ ll se på i denne artikkelen:
Tidligere artikler:
802.1x Godkjente Kablet og trådløst tilgangs
Branchcache
Data Center Bridging (DCB)
Domain Name System (DNS)
DHCP
Hyper-V nettverk virtualisering
IP Address Management (IPAM)
Low Latency arbeidsmengde teknologier
Network Load Balancing
Nettverk Regler og Access Services
NIC Teaming
Windows QoS
Direct og Unified RRAS
Denne artikkelen:
Windows-brannmur med avansert sikkerhet
Det er bare noen få tilføyelser på Windows-brannmur med avansert sikkerhet i Windows Server 2012, men de ’ re viktige. La ’ s bryte opp dette
Oversikt: Utviklingen av Windows-brannmuren
Det var en gang, de fleste nettverk støttet seg primært på perimeterbaserte brannmurer for å beskytte nettverket ’ servere s, og mange IT-eksperter ansett som en vertsbasert brannmur for å være noe som er designet for å beskytte de stasjonære eller bærbare maskiner av hjemmebrukere eller andre som har datamaskiner levde utenfor “ befestede byer og rdquo; av bedriftens LAN. . Imidlertid har tilnærming til nettverkssikkerhet gradvis endret seg over årene
Et trekk mot en lagdelt sikkerhetsmodell (populært kalt “ forsvar i dybden ”) var den første drivkraft som begynte å endre holdninger til vert-basert brannmur. I en lagdelt sikkerhets tilnærming, starter du ved å beskytte omkretsen men du skjønner ’ t stoppe der. Du antar at disse edge forsvar kunne svikte, så du plassere flere kontroller inne i utkanten, og skaper mindre konsentriske sirkler av beskyttelse når du beveger deg innover, for å beskytte enkelte deler av nettet og individuelle maskiner
I dag, vi &rsquo.; re dypt inn i en epoke av “ nettverk uten grenser, ” et nytt sikkerhetsparadigme I ’ ve skrevet om ved flere anledninger. Kanten er erklært død, og selv om de fleste organisasjoner fortsatt plasser brannmurer der, er fokus ikke lenger er der. Nå er det ’ s handler om å bringe de mest konsentrerte beskyttende mekanismer innover til vertsmaskinen eller til selve dataene. Det betyr vertsbaserte brannmurer ta på seg en ny og mer viktig rolle.
Som de fleste av oss (kjendis avkom og avkom av royalty ekskludert), Windows-brannmuren begynte sitt liv i relativ obskuritet. Microsoft har inkludert en innebygd brannmur på sin server operativsystemer siden advent av Windows Server 2003; det ble først kalt Internet Connection Firewall (ICF), og var også en del av Windows XP, men ble ikke opprinnelig aktivert som standard. På den tiden ICF dukket opp, ble det sett på som en løsning for hjem og småbedrifter brukere. De fleste selskaper som hadde utplassert en ytre brannmuren slått WF av. Microsoft ’ s egen TechNet dokumentasjon tok denne enten /eller tilnærming, sammenligne funksjonene i de to og sier at ICF var riktig bare for bedrifter med færre enn fem brukere
Service Pack 2 ekstra funksjonalitet, endret navnet til. Windows-brannmur og slått den på som standard i Windows XP. Men fordi mange nettsider hadde kompatibilitetsproblemer med brannmur, IT-eksperter ofte slått den av, og fortsatt betraktet det en unødvendig vedheng på Windows Server. Og fordi det var, i disse dager, en veldig rudimentær brannmur, det wasn ’ t brukes mye på hver server eller klient; det var mange tredjepart verts brannmurer som var mer sofistikert og effektiv.
Men Microsoft holdt legge forbedringer i Windows-brannmuren, og med Windows Vista og Windows Server 2008, upped de anten med evnen til å gå utover grunnleggende brannmurkonfigurasjoner som var tilgjengelige via Kontrollpanel grensesnittet og sette mer komplekse alternativer gjennom en Microsoft Management Console snap-in som heter “ Windows-brannmur med avansert sikkerhet ” (som vi nå forkorte til WFAS). En av de mest velkommen endringene var i tillegg av utgående pakkefiltrering, slik at muligheten til å blokkere bestemte typer utgående trafikk i tillegg til at det å komme i. Andre forbedringer inkludert muligheten til å lage regler bruker kilde og destinasjon IP-adresser og områder av portnumre , sammen med integrering av IPsec. Dette gjør WFAS et nyttig verktøy for å implementere en server isolasjon plan.
Nye funksjoner og funksjonalitet
Windows Server 2012 bringer tre grunnleggende forbedringer i Windows-brannmur med avansert sikkerhet. Dette inkluderer muligheten til å bedre kontroll apps fra Windows Store (Windows 8 apps), støtte for IPsec ende-til-ende transport modus forbindelser utnytte IKEv2, og nye Powershell cmdlets for å konfigurere og administrere WFAS.
WFAS og Windows Store-apper
brannmurtjeneste for WFAS integrerer mye mer enn selve brannmuren. Faktisk, mange Windows 8-brukere oppdaget til sin overraskelse, at de ikke var i stand til å installere apper fra Windows Store Hvis brannmurtjenesten ikke kjørte. I så fall, når du forsøker å installere programmer, møter du en feilmelding som sier:
Programmet kunne ikke installeres, fordi brannmuren tjenesten ikke kjører. Vennligst aktiver Windows Firewall-tjenesten og prøv igjen
Hvis du ikke rsquo;. T vil bruke WFAS (fordi, for eksempel, har du en tredjepart vertsbasert brannmur installert), bør du la brannmuren tjenesten aktivert og satt til å kjøre automatisk, og gå inn i brannmuren ’ s innstillinger og satt sine profiler (domene, offentlige og private) til « av &rdquo.; Hvis du bruker WFAS, kan du bruke den til å isolere Windows Store apps og begrense deres tilgang, slik at de vil bare være i stand til å få tilgang til disse nettverkene som de har fått tillatelse. Du gjør dette ved å opprette brannmurregler for butikken apps og sine evner.
Developers for Store programmer er i stand til å konfigurere apps med tilgang begrenset til bestemte typer nettverk. Når de gjør dette, er brannmurregler opprettes automatisk når du installerer apps. Du, som administrator, kan skape ytterligere regler for mer kontroll over apps. Datamaskinene må være knyttet til et Windows-domene, og du må definere ditt nettverk før du kan opprette egendefinerte brannmurregler. Å definere ditt nettverk, konfigurerer du et gruppepolicyobjekt som definerer adresseområdet.
Du kan lage en brannmur policy i Windows Server 2012 som gjelder for en bestemt Windows Store-app, eller til alle Windows Store apps som bruker en bestemt app evne (for eksempel til evnen tilgang til Internett-tilkobling, eller for å få tilgang til biblioteket Bilder, eller å oppdage /bruke gjeldende plassering, etc.). Du oppretter en egendefinert regel i GPO (via Group Policy Management redaktør), og bruke den til programpakker. Denne evnen til å anvende reglene til programpakker bare er det som gjør at du kan lage regler som bare påvirker Windows Store apps og ikke andre programmer og tjenester.
For detaljert steg-for-steg instruksjoner om hvordan du definerer ditt nettverk og lage dine regler, se Isola Windows Store-apper på din Network Windows Server 2012 øker støtten til Internett Key Exchange-v2-protokollen, noe som gjør IKEv2 tilgjengelig som en VPN tunneling protokoll med automatisk VPN oppkobling. Sikkerhets foreninger forbli den samme selv om den underliggende tilkoblingen er endret. Dette forbedret støtte for IKEv2 har mange fordeler, blant annet bedre interoperabilitet med ikke-Windows-operativsystemer som bruker IKEv2 Du ’. Ll trenger å ha en Public Key Infrastructure (PKI), fordi sertifikater brukes for autentisering. Fremgangsmåten for å konfigurere IKEv2 å sikre ende-til-ende IPsec-tilkoblinger avhenger av hvorvidt datamaskinene er koblet til et domene. Hvis ja, du ’ ll opprette en sikkerhetsgruppe og GPO som ’ s knyttet til domenet, angi tillatelser og sertifikatet som skal brukes for autentisering, og skape en IKEv2 sikkerhetsregelen. Hvis ikke, du ’ ll opprette en lokal IPsec policy på hver av datamaskinene som skal inkluderes i sikker tilkobling Uansett, må du bruke Powershell for å konfigurere IKEv2.; det ’ s ingen måte å gjøre det gjennom det grafiske brukergrensesnittet. For trinnvise instruksjoner om prosedyren, både for domene sluttet og ikke-domene datamaskiner, se Sikring End-to-End IPsec tilkoblinger med IKEv2 i Windows Server 2012 Nå har de fleste IT-eksperter fått memo: Powershell er Microsoft ’ s visjon for fremtiden for Windows server administrasjon. WFAS er intet unntak; du kan bruke Powershell til å konfigurere og administrere brannmuren og IPsec, og noen konfigurasjoner kan gjøres på noen annen måte (for eksempel IKEv2 konfigurasjon omtalt ovenfor). En stor fordel med Powershell er at det gjør det enkelt å automatisere mange av prosessene, og Microsoft doesn ’ t forlate deg på egen hånd på Powershell ledeteksten. De har gitt dokumentasjon i form av Windows-brannmur med avansert sikkerhet og administrasjon med Windows guide Powershell Powershell cmdlets og skript kan brukes til å kontroll brannmur atferd, skape (og endre og slette) brannmurregler og IPsec regler, oppnå domene og server isolasjon med IPsec og kan administreres eksternt med – CimSession. Guiden inneholder detaljert informasjon om hvordan du gjør alle disse oppgavene Åtte artikler senere, er vi endelig på slutten av dette titt på hva ’. Er nytt i Windows Server 2012 bare i forhold til operativsystemet ’ s nettverk funksjoner og funksjonalitet. Jeg håper dette har gitt en god oversikt som kan få deg pekte i riktig retning for å dra nytte av disse nye funksjonene. Takk for lesing! – Deb
på TechNet nettstedet.
IKEv2 og IPsec transportmiddel
på TechNet nettstedet.
Powershell cmdlets
på TechNet nettstedet. Denne guiden inkluderer scriptlets du kan kjøre på Powershell 3.0 i Windows Server 2012. Du ’ ll trenger å installere den valgfrie Windows Powershell ISE gjennom Server Manager hvis du haven ’. T allerede
Sammendrag