Советы по подготовке брандмауэра к фильтрации сетевого трафика
В состав версий Windows Server 2003 Service Pack 1 (SP1) и Windows XP SP2 входит размещаемый в системе брандмауэр Windows Firewall, гораздо более эффективный, чем его предшественник, Internet Connection Firewall (ICF). В отличие от ICF, который поставлялся с Windows 2003 и XP, Windows Firewall подходит для развертывания в масштабах предприятия благодаря возможности управлять политиками брандмауэра из единого центра, нескольким интерфейсам настройки и множеству новых функций безопасности. В этой статье я расскажу о том, как лучше подойти к планированию, настройке конфигурации и применению брандмауэра на предприятии.
Подготовительный этап
Важно помнить о выбираемом по умолчанию режиме Windows Firewall. В XP SP2 брандмауэр Windows Firewall активен по умолчанию, а в Windows 2003 SP1 его стандартное состояние — выключенное, если только SP1 не развертывается на системе с запущенным ICF. В этом случае режим брандмауэра не изменяется. Если пакет SP1 размещен на установочном компакт-диске с операционной системой, то Windows Firewall всегда активизируется в режиме включения по умолчанию, когда в процессе установки происходит соединение со службой Windows Update для получения последних обновлений. Поэтому, если развернуть XP SP2, не уделяя должного внимания настройке Windows Firewall, и опрометчиво принять стандартные параметры, можно лишиться доступа к инструментарию для дистанционного управления настольными компьютером. Если администратор не готов использовать Windows Firewall или работает с брандмауэром независимого поставщика, то можно спокойно отключить Windows Firewall и развернуть SP2 без него.
Если для аутентификации пользователей применяется Active Directory (AD), а настольные компьютеры являются членами домена с соответствующими учетными записями, то самый простой способ настроить Windows Firewall — задействовать объекты групповой политики Group Policy Object (GPO). После установки XP SP2 на настольных компьютерах параметры брандмауэра настраиваются при перезагрузке машин и каждый раз при обновлении политики. Если используется продукт управления каталогами независимого поставщика или на предприятии имеются не управляемые администратором компьютеры, которые не входят в состав домена AD, то для настройки Windows Firewall вместо объектов GPO можно использовать пакетные файлы или сценарии. Настроить конфигурацию брандмауэра можно и в ходе автоматизированных или интерактивных процедур установки XP SP2.
Настройка Windows Firewall
Приступая к настройке конфигурации Windows Firewall, следует помнить об основных характеристиках брандмауэра:
- Windows Firewall не выполняет фильтрации исходящего трафика, то есть не ограничивает его. Если предприятие нуждается в фильтрации исходящего трафика, следует использовать брандмауэр независимого поставщика.
- Возможности Windows Firewall шире, чем у ICF: в Windows Firewall можно настраивать исключения, чтобы разрешить входящий трафик с учетом не только транспортного протокола (TCP или UDP) и номера порта, но и приложения (например, одноранговой программы обмена файлами).
- Можно уточнить исключения по области действия, то есть разрешить соединения от всех компьютеров, от компьютеров в указанных подсетях, только из локальной подсети или от компьютеров с определенными IP-адресами.
- Windows Firewall активизируется по умолчанию для всех сетевых соединений, но для каждого сетевого интерфейса можно настроить разные правила брандмауэра.
- Настраивать Windows Firewall может только администратор. Если управление брандмауэром централизованное (через AD или GPO), то можно лишить локальных администраторов права изменять параметры.
- С помощью Windows Firewall можно ограничить трафик IPv4 и IPv6.
- Windows Firewall располагает двумя профилями, Domain и Standard. Профиль Domain активизируется, если компьютер подключен к сети с контроллерами домена (DC), членом которого он является. Профиль Standard применяется, если компьютер подключен к другой сети, например общедоступной беспроводной сети или скоростному соединению в номере отеля. Рекомендуется настроить профили Domain и Standard для серверов и настольных компьютеров, а также для ноутбуков.
Прежде чем настраивать конфигурацию Windows Firewall, следует провести инвентаризацию приложений на рабочих станциях и серверах, которые могут организовать оконечные точки соединений; портов, используемых приложениями и операционной системой; источников трафика для каждой хост-машины с Windows Firewall. Для мобильных систем, таких как ноутбуки, в ходе инвентаризации следует учитывать различную природу сетевого трафика при подключении системы к корпоративной сети с контроллерами домена и активным профилем Domain брандмауэра Windows Firewall, в отличие от системы, подключенной к общедоступной сети с активным профилем Standard. Нужно всегда выбирать профиль Standard и разрешать только необходимый входящий трафик через брандмауэр, чтобы свести к минимуму угрозу для подключенных к сети мобильных машин.
В Windows Firewall определены четыре встроенные административные службы, представляющие типовые исключения для любой политики брандмауэра: File and Print, Remote Administration, Remote Desktop и Universal Plug and Play (UpnP). Remote Administration обеспечивает управление системой через типовые административные интерфейсы и подсистемы, такие как Windows Management Instrumentation (WMI) и вызов удаленных процедур (remote procedure call — RPC). Remote Desktop позволяет подключиться к одной системе с другой через RDP и используется при запросе на поддержку Remote Assistance. Администраторы часто применяют Remote Desktop для подключения к удаленным серверам, которыми они управляют. Протокол UpnP обеспечивает корректную работу устройств, которые обнаруживают и динамически настраивают друг друга с учетом активных приложений и служб. Типовой пример использования UpnP — взаимодействие XP с UPnP-совместимым широкополосным маршрутизатором при запуске MSN Messenger, в результате которого аудио и видеосоединения устанавливаются через встроенный брандмауэр маршрутизатора.
При настройке профилей Domain и Standard брандмауэра Windows Firewall рекомендуется задать исключения для конкретных приложений. Благодаря исключению приложение сможет установить любые нужные оконечные точки и принимать через них трафик. Существуют две веские причины, чтобы назначать исключения для приложений. Во-первых, проще определить и описать приложения, нежели отдельные используемые ими порты, особенно потому, что порты, используемые многими приложениями, документированы не полностью или назначаются динамически. Во-вторых, многие приложения, в том числе несанкционированные, используют те же порты, что и легальные приложения; указав приложения вместо портов, можно лишить неутвержденные приложения возможности установить оконечные точки соединения. Всегда, когда возможно, рекомендуется не делать исключений для профиля Standard и отклонять все входящие соединения.
Windows Firewall для серверов
Microsoft не дает специальных рекомендаций по настройке Windows Firewall для серверов. По умолчанию брандмауэр блокирован, если только пакет Windows Server 2003 SP1 не устанавливается на системе с активным ICF, однако брандмауэром можно воспользоваться для укрепления безопасности сервера Windows 2003. Применяя брандмауэр на сервере, следует помнить, что серверы по своей природе служат для размещения приложений и служб, с которыми устанавливают соединения приложения и службы на других серверах, настольных компьютерах и ноутбуках. Прежде чем активизировать Windows Firewall на сервере, следует продумать его конфигурацию.
Для некоторых серверов настроить Windows Firewall не составляет труда. Например, неуправляемому автономному Web-серверу в демилитаризованной зоне (DMZ) требуется принимать только входящие соединения через порт 80/TCP (HTTP) или 443/TCP (HTTP Secure-HTTPS), если установлен сертификат и активизирована защита SSL (Secure Sockets Layer).
На сервере с двумя или несколькими интерфейсами, из которых один интерфейс подключен к Internet, а другие — к корпоративным сетям, можно активизировать Windows Firewall, а затем отключить его на всех интерфейсах, кроме Internet, и настроить брандмауэр, разрешив только необходимые входящие соединения на интерфейсе Internet.
В простых файл- и принт-серверах корпоративной сети, входящих в состав домена, можно активизировать Windows Firewall и задействовать встроенную службу File and Printer Sharing для подключения пользователей к этим серверам. Можно также использовать Windows Firewall для защиты сервера, службы которого прослушивают известные порты, например сервера базы данных Microsoft SQL Server 2000. Для этого следует разрешить в брандмауэре трафик через соответствующие порты.
Настроить Windows Firewall на сервере можно с помощью мастера Security Configuration Wizard (SCW). SCW, факультативный компонент Windows 2003 SP1, уменьшает поверхность атаки сервера, задавая роль или роли для сервера. SCW содержит ролевую информацию для DC и других серверов инфраструктуры; он блокирует необязательные службы и ограничивает входящий трафик через Windows Firewall.
Windows Firewall не следует размещать на некоторых серверах, в том числе контроллерах домена AD и некоторых серверах приложений, которые прослушивают большой диапазон портов или используют динамические порты, таких как серверы Exchange Server 2003. В последнем случае можно развернуть Windows Firewall, если серверы и клиенты, подключенные к серверам Exchange, входят в состав домена. Брандмауэр настраивается на передачу аутентифицированного трафика IPsec в обход Windows Firewall (этот прием будет рассмотрен ниже), а клиенты настраиваются на использование IPsec.
На многих серверах, в том числе таких, на которых выполняется множество приложений и служб, необходима выборочная настройка Windows Firewall. Требуется указать порты, прослушиваемые приложениями и службами, отбросить необязательные порты и настроить Windows Firewall для необходимых портов. Определить открытые порты и прослушивающие их приложения и службы можно с помощью команды Netstat (netstat.exe), усовершенствованной в последних пакетах обновлений. Указав в командной строке
netstat -a -b
можно увидеть все открытые порты TCP (независимо от состояния) и порты UDP в системе, идентификатор процесса (PID) для каждого активного соединения (образец выходной информации приведен на экране 1). Как уже упоминалось, Windows Firewall можно настроить на разрешение входящего трафика для поименованных приложений, независимо от прослушиваемых ими портов. Единственный недостаток Netstat заключается в том, что команда выдает лишь «моментальный снимок» системы. С ее помощью нельзя идентифицировать приложения, службы и их порты, если эти приложения неактивны в момент запуска Netstat. Чтобы получить достоверную картину, можно сделать несколько снимков в разное время.
Более простая альтернатива Netstat — инструмент Port Reporter, который можно получить по адресу http://support.microsoft.com/?kbid=837243. Программа устанавливается как служба и регистрирует сетевую активность, в том числе подробные сведения об активных программах и службах, и даже учетную запись пользователя, с которой работает приложение или служба. С помощью сопутствующего инструмента Port Reporter Parser (http://www.support.microsoft.com/?kbid=884289) можно извлечь данные из журналов, генерируемых Port Reporter. Правильно настроив и запуская Port Reporter в течение определенного промежутка времени, можно идентифицировать приложения, которые открывают порты сервера и должны быть настроены в Windows Firewall по приложениям или отдельным портам. Длительность применения Port Reporter зависит от приложений и особенностей работы пользователей. Предостережение: Port Reporter может слегка снизить производительность системы, а журналы очень велики. Файлы журналов следует записывать на быстрый диск с достаточным количеством свободного места.
Рекомендуется активизировать функции протоколирования Windows Firewall после завершения настройки серверов. Можно записывать сведения об успешных и неудачных соединениях. Если после настройки и активизации Windows Firewall возникают проблемы при выполнении некоторых приложений, то с помощью информации из журналов можно определить дополнительные порты, которые следует открыть. Для настройки функций протоколирования следует открыть панель управления, запустить утилиту Windows Firewall, щелкнуть на вкладке Advanced, а затем на кнопке Settings в разделе Security Logging. Откроется диалоговое окно Log Settings (экран 2). Журнал Windows Firewall следует сохранять на быстром диске, а максимальный размер журнала должен быть достаточным для записи необходимой информации в течение длительного времени. Проверив корректность настройки Windows Firewall, можно отключить протоколирование.
Экран 2. Настройка протоколирования в Windows Firewall |
Windows Firewall можно настроить и таким образом, чтобы передавать аутентифицированный трафик IPsec от доверенных машин в обход брандмауэра. В этот режим можно перевести серверы и рабочие станции, чтобы они пропускали только необходимый клиентский трафик, одновременно обеспечивая неограниченный доступ для администрирования рабочих станций и серверов.
Полная готовность
После завершения подготовки к развертыванию Windows Firewall рекомендуется активизировать брандмауэр сначала для пилотной группы пользователей. Если в процессе пробного развертывания возникнут трудности, следует активизировать режим протоколирования; в журналах содержится информация, которая поможет определить причину проблем. После устранения неполадок и успешного развертывания Windows Firewall брандмауэр станет неоценимым компонентом системы безопасности предприятия.
Джон Хоуи — Менеджер по проведению практических занятий в центре Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA. jhowie@microsoft.com
Дополнительные ресурсы
Более подробную информацию о Windows Firewall можно найти в следующих статьях на сайте Windows IT Pro/RE:
Азы Windows Firewall, http://www.osp.ru/win2000/safety/507_6.htm
Port Reporter, http://www.osp.ru/win2000/worknt/509_3.htm
Информацию о Windows Firewall можно найти на следующих Web-узлах:
Windows Server 2003 Service Pack 1 (SP1), http://www.microsoft.com/windowsserver2003/ downloads/servicepacks/sp1/default.mspx
Windows XP SP2, http://www.microsoft.com/windowsxp/sp2/default.mspx
Microsoft Help and Support, http://support.microsoft.com
Enabling the Windows Server 2003 Firewall in 6 Easy Steps
To turn on the ICF (Internet Connection Firewall) feature in Windows Server 2003, follow these steps:
- First, navigate to your Network Connections by clicking on the Start menu -> Settings -> Control Panel, and then double-clicking on Network Connections.
- Right-click the connection that you want to enable the Firewall for and then click Properties on the shortcut menu that appears.
- Click on the Advanced tab, and then click to select the “Protect my computer and network by limiting or preventing access to this computer from the Internet” check box.
- Click on Settings. In the Services list, click to select the check boxes of services on the computer which you want to permit external access (if that is what you want).
*Note: By default, no services are selected. This is known as a default deny stance. You must explicitly permit external access to the computer. For the most secure environment, do not select any of the check boxes. - Click OK twice.
- When you’re finished, close the Network Connections window.
And there you have it!
Popular Links
Looking for more information on Firewalls? Search our Knowledge Base!
Interested in more articles about Security? Navigate to our Categories page using the bar on the left or check out these popular articles:
- How to Clear the YUM Cache
- How to Install Maldet and Run a Scan
- Reset the MySQL Root Password on Windows Server
Popular tags within this category include: YUM, Maldet, SSL, and more.
Don’t see what you’re looking for? Use the search bar at the top to search our entire Knowledge Base.
The Hivelocity Difference
Seeking a better Dedicated Server solution? In the market for Private Cloud or Colocation services? Check out Hivelocity’s extensive list of products for great deals and offers.
With best-in-class customer service, affordable pricing, a wide-range of fully-customizable options, and a network like no other, Hivelocity is the hosting solution you’ve been waiting for.
Unsure which of our services is best for your particular needs? Call or live chat with one of our sales agents today and see the difference Hivelocity can make for you.
If you have any further issues, questions, or would like some assistance checking on this or anything else, please reach out to us from your my.hivelocity.net account and provide your server credentials within the encrypted field for the best possible security and support.
If you are unable to reach your my.hivelocity.net account or if you are on the go, please reach out from your valid my.hivelocity.net account email to us here at: support@hivelocity.net. We are also available to you through our phone and live chat system 24/7/365.
Настройка Windows server 2003 firewall
На чтение 4 мин Опубликовано Обновлено
Фаервол (брандмауэр) является незаменимым инструментом для обеспечения безопасности сервера. Он позволяет контролировать входящий и исходящий сетевой трафик, блокировать подозрительные соединения и предотвращать несанкционированный доступ к серверу. Одним из популярных вариантов фаервола для операционной системы Windows Server 2003 является встроенный фаервол Windows Firewall.
В данном руководстве мы рассмотрим процесс настройки фаервола Windows Server 2003, шаг за шагом. Сначала мы расскажем о базовых принципах работы фаервола и его основных функциях. Затем мы опишем, как включить фаервол и настроить его параметры с помощью интерфейса Windows Server 2003.
Важно отметить, что фаервол должен быть настроен с учетом конкретных потребностей вашего сервера и сети. Перед настройкой фаервола рекомендуется провести анализ угроз и рисков, чтобы определить необходимые правила доступа и защиты. Также следует учесть, что неправильная настройка фаервола может привести к проблемам сетевого взаимодействия и доступности сервисов на сервере.
В этом руководстве мы предоставим подробные инструкции по настройке фаервола Windows Server 2003, которые помогут вам обеспечить высокий уровень безопасности вашего сервера.
Содержание
- Шаг 1: Открытие настроек фаервола Windows server 2003
- Шаг 2: Создание правила для входящего трафика
- Шаг 3: Создание правила для исходящего трафика
Перед тем как приступить к настройке фаервола Windows server 2003, необходимо открыть окно настроек. Следуйте инструкциям ниже, чтобы выполнить этот шаг:
- Зайдите в меню «Пуск».
- Выберите пункт «Панель управления».
- В открывшемся окне «Панель управления» найдите и выберите иконку «Сетевые подключения».
- В появившемся окне «Сетевые подключения» найдите и выберите активное сетевое подключение, с которым вы планируете работать.
- Нажмите правой кнопкой мыши на выбранное подключение и выберите пункт «Свойства».
- В открывшемся окне «Свойства» найдите и выберите вкладку «Дополнительно».
- На вкладке «Дополнительно» найдите раздел «Защита» и нажмите кнопку «Настройка Windows Firewall».
После выполнения приведенных выше действий откроется окно с настройками фаервола Windows server 2003, где вы сможете настраивать правила и параметры безопасности.
Продолжайте следующим шагом, чтобы узнать, как настроить фаервол Windows server 2003.
Шаг 2: Создание правила для входящего трафика
Для настройки фаервола Windows Server 2003 и обеспечения безопасности вашей сети требуется создать правило для входящего трафика. Это позволит контролировать, какие соединения разрешены и какие блокируются.
Вот как создать правило для входящего трафика:
-
Шаг 1: Откройте Панель управления и выберите Фаервол Windows.
-
Шаг 2: В меню Фаервол Windows щелкните Настройка безопасности.
-
Шаг 3: В открывшемся окне выберите вкладку Исключения.
-
Шаг 4: Нажмите на кнопку Добавить порт.
-
Шаг 5: Укажите имя порта и номер порта, которые хотите разрешить в поле Имя порта и номер порта.
-
Шаг 6: Щелкните на кнопку Изменить область и выберите определенные IP-адреса или подсети, с которых будет разрешен входящий трафик.
-
Шаг 7: Щелкните на кнопку Применить и затем на кнопку ОК, чтобы сохранить настройки.
Теперь у вас есть созданное правило для входящего трафика, которое позволяет контролировать доступ к вашей сети и повысить безопасность сервера.
Шаг 3: Создание правила для исходящего трафика
Для настройки фаервола Windows server 2003 и создания правил для исходящего трафика, выполните следующие действия:
- Откройте панель управления Windows server 2003.
- Выберите «Настройка безопасности» и откройте «Межсетевой экран Windows».
- Во вкладке «Исключения» нажмите кнопку «Добавить порт».
- Укажите название правила, например «Исходящий трафик».
- Выберите тип порта (TCP или UDP) и укажите номер порта (например, 80 для HTTP).
- Опционально, укажите диапазон IP-адресов, для которых будет применяться правило.
- Нажмите «OK», чтобы создать правило для исходящего трафика.
После создания правила, фаервол Windows server 2003 будет разрешать исходящий трафик через указанный порт и для указанных IP-адресов. Это позволит разрешить доступ серверу к внешним ресурсам и сетям.
Имя | Тип | Порт | IP-адреса |
---|---|---|---|
Исходящий трафик | TCP | 80 | Все IP-адреса |
Теперь вы успешно завершили шаг 3 настройки фаервола Windows server 2003 и создали правило для исходящего трафика. Продолжайте настройку, переходя к следующим шагам.
С момента его появления брандмауэр Windows Server 2003 SP1 firewall стал основным брандмауэром. В операционной системе Windows Server 2008 встроенный брандмауэр был значительно улучшен. Давайте узнаем, как новые расширенные возможности брандмауэра могут помочь вам, а также как настроить его с помощью дополнений к MMC.
Для чего необходимо использовать Windows брандмауэр?
На сегодняшний день многие обеспечивают безопасность своей сети благодаря подходу «мощная внешняя оболочка». Это означает, что они создают мощную защиту по периметру своей сети с брандмауэрами и системами IPS, защищая себя таким образом от злоумышленников из Internet. Однако, если злоумышленник сможет проникнуть внутрь периметра и получить доступ к внутренней сети, то останется лишь аутентификация Windows, чтобы остановить его от получения доступа к ценному имуществу компании – к информации.
Это происходит из-за того, что большинство специалистов по безопасности не защищают свои сервера с помощью локальных брандмауэров. Почему так? Им кажется, что от локальных брандмауэров больше проблем, чем пользы «.
После прочтения этой статьи, я надеюсь, что многие из вас по-другому посмотрят на локальные брандмауэры Windows firewall. В операционной системе Windows Server 2008, локальный брандмауэр уже встроен и установлен, а также обладает большим количеством возможностей, а также его легче настраивать. Плюс ко всему этому, это лучший способ обеспечить безопасность важного сервера в вашей инфраструктуре. Итак, что может для вас сделать брандмауэра Windows Server Advanced firewall, и как его настроит? Давайте выясним.
Что предлагает новый расширенный брандмауэр, и как он может вам помочь?
Новый брандмауэр, встроенный в операционную систему Windows Server 2008, теперь также является расширенным. И это не только потому, что мы его так называем, компания Microsoft теперь называет его “Windows Firewall with Advanced Security” или брандмауэр с расширенной безопасностью (WFAS).
Ниже приведены новые возможности, которые подтверждают такое новое название:
- Новый графический интерфейс (GUI) – дополнение к MMC, которое теперь можно использовать для настройки брандмауэра.
- Двунаправленность (Bi-directional) – позволяет отфильтровывать как входящий, так и исходящий трафик.
- Улучшена работа с IPSEC – теперь правила брандмауэра и настройки шифрования IPSec интегрированы в одном интерфейсе.
- Настройка дополнительных правил – вы можете создавать правила для брандмауэра (исключения) для службы учетных записей Windows Active Directory (AD), групп, IP адресов, номеров протоколов, портов TCP/UDP, трафика ICMP, IPv6 и интерфейсов на сервере Windows Server.
С появлением двунаправленности, улучшением графического интерфейса GUI и появлению дополнительных правил, расширенный брандмауэр Windows Advanced firewall стал таким же хорошим, как традиционные локальные брандмауэры (как например ZoneAlarm Pro).
Я знаю, что первый вопрос любого администратора сервера при использовании локального брандмауэра звучит так: «А что, если важные серверные приложения перестанут работать?» Хотя в целях безопасности всегда существует такая возможность, WFAS автоматически настроит новые правила для любой новой роли сервера, которая добавляется на сервер. Однако, если вы запускаете приложения сторонних производителей на вашем сервере, для которых необходимо внешнее подключение к сети, то вы должны создать новое правило для трафика такого типа.
Благодаря использованию расширенного брандмауэра windows firewall, вы можете лучше обезопасить ваш сервер от атак, а также жестко контролировать входящий и исходящий трафик на ваших серверах. Давайте посмотрим, как это делается.
Какие параметры для настройки брандмауэра Windows Firewall с расширенной безопасностью (Advanced Security)?
Ранее, на сервере Windows Server вы могли настроить брандмауэр Windows firewall при настройке вашего сетевого адаптера или с помощью панели управления (control panel). Настройка была очень простой.
Брандмауэр Windows Firewall Advanced Security (WFAS), большинство администраторов настраивают из менеджера Windows Server Manager или MMC с единственной консолью WFAS. Так выглядят обе:
Я выяснил, что самый быстрый и простой способ для запуска консоли WFAS MMC заключается в том, чтобы набрать firewall в текстовом поле Search (найти) меню Start (Пуск), вот так:
Есть также новый параметр netsh advfirewall CLI для настройки WFAS.
Что я могу настроить с помощью нового дополнения WFAS MMC?
Я не могу рассказать обо всех параметрах, которые вы можете настроить с помощью нового дополнения WFAS MMC, т.к. их очень много, невозможно рассказать о каждом из них. Если вы когда-нибудь видели графический интерфейс для настройки встроенного брандмауэра Windows 2003, то вы должны были обратить внимание на то, сколько там много настроек. Однако, позвольте мне рассказать о некоторых, наиболее часто используемых параметрах.
Когда вы впервые заходите в WFAS MMC, то по умолчанию вы увидите, что WFAS включен (ON) и блокирует входящие соединения, которые не удовлетворяют правилу. Дополнительно, выключены правила для исходящего трафика.
Также вы можете обратить внимание, что есть несколько различных профилей для WFAS (смотрите на Рисунке 4 ниже).
Есть профиль домена (domain profile), частный профиль (private profile) и общий профиль (public profile) для WFAS. С помощью этих различных профилей вы можете создавать входящие/исходящие правила, а также применять эти правила для различных групп, на вашем сервере.
Но из всех улучшений, которые появились в WFAS, на мой взгляд, самым значительным является появление более усовершенствованных правил для брандмауэра. Давайте посмотрим на настройку для добавления исключений (правил) в брандмауэра Windows 2003 Server Firewall, на Рисунке 5.
Теперь, давайте сравним его с Windows 2008 Server:
Обратите внимание, что теперь закладка Protocols and Ports (протоколы и порты) являются лишь небольшой часть окна с несколькими закладками. Вы можете также настраивать правила и применять их для пользователей, компьютеров, программ, служб и интервалов IP адресов. Благодаря этим усовершенствованным правилам для брандмауэра компания Microsoft приблизила WFAS к IAS server.
Количество правил по умолчанию, которые предлагаются в WFAS действительно впечатляет. В Windows 2003 Server существовало 3 правила по умолчанию. Не то, что в Windows Server. WFAS предлагает около 90 входящих правил по умолчанию, и по крайней мере 40 исходящих правил по умолчанию – WOW!
Как создать общее правило для входящего трафика
Итак, как создать правило с помощью нового расширенного брандмауэра Windows Advanced Firewall? Давайте рассмотрим это поэтапно.
Предположим вы установили веб сервер Apache для Windows на вашей операционной системе Windows 2008 Server. Если вы использовали IIS, встроенный в Windows, то порт должен быть открыт по умолчанию. Однако, если вы используете веб сервер сторонних организаций, и у вас включен локальный брандмауэр, то вы должны вручную открыть этот порт.
Необходимо выполнить следующее:
- Идентифицировать протокол, который вы хотите контролировать – в нашем случае это TCP/IP (в противоположность к UDP/IP или ICMP)
- Идентифицировать исходящий IP адрес, номер порта, IP адрес и номер порта места назначения – наш веб трафик будет приходить с любого IP адреса и любого порта, приходить на наш сервер по порту 80. (обратите внимание, что вы также можете создать правило для определенного приложения, например, для HTTP Server).
- Открыть консоль брандмауэра Windows Firewall с расширенной безопасностью Advanced Security
- Добавить правило – нажмите на кнопку New Rule(новое правило) в консоли Windows Firewall Advanced Security MMC для запуска мастера New Inbound Rule Wizard
- Выберите, что вы хотите создать правило для порта (port)
- Configure protocol & port number – выберите по умолчанию TCP и задайте номер порта 80, а затем нажмите на кнопку Next(далее).
- Выберите по умолчанию “allow this connection” (разрешить это соединение) и нажмите на кнопку Next(далее)
- Оставьте по умолчанию, что применить это правило для всех профилей, и нажмите на кнопку Next(далее).
- Назовите правило и нажмите на кнопку Finish(завершить).
После этого у вас должно появиться правило, которое выглядит так:
Я проверил, что мой только что установленный веб сервер Apache не работал, если я включаю брандмауэр. Однако, после этого правила, он прекрасно работате!
Заключение
Благодаря профилям брандмауэра (firewall profile), усовершенствованным конфигурациям правил (в нем в 30 раз больше правил по умолчанию, чем у предшественника), брандмауэр в операционной системе Windows 2008 Server полностью оправдывает свое название «расширенный». Я верю, что этот встроенный, бесплатный, расширенный брандмауэр позволит стать серверам Windows гораздо более безопасными. Однако, он не сможет обеспечить безопасность вашего сервера, если вы не будете его использовать. Поэтому, я надеюсь, что вы попробуете использовать новый расширенный брандмауэр Windows Advanced Firewall прямо сейчас!
04.06.2009 —
Posted by |
ms windows server 2008
Sorry, the comment form is closed at this time.
There is a false sense of security when you envision your network as inside and outside, with a firewall protecting you from hostile users on the outside.
One particularly nasty problem is when users bring their laptops home, surf, read email, and then plug it right back in to the corporate LAN on Monday morning.
Windows Server 2003 has a fairly flexible host based firewall that you can install to protect your servers from those inside your main firewall.
Here is an Nmap scan of a fresh install of Windows Server 2003 with IIS, and the default client, printer, and file sharing for Microsoft Networks enabled:
[usr-1@srv-1 ~]$ nmap -sV 10.50.100.112 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-08-03 17:09 EDT Interesting ports on 10.50.100.112: (The 1655 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS webserver 6.0 135/tcp open msrpc Microsoft Windows msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds 1025/tcp open msrpc Microsoft Windows msrpc Nmap run completed -- 1 IP address (1 host up) scanned in 42.176 seconds
Let’s block everything going to this server except port 80, the HTTP port that IIS uses by default, and the standard port for HTTP.
First, go into the Local Area Connection Properties and click the Advanced tab:
Click the settings button. Click the On radio button:
Click the Exceptions tab, and click Add Port:
Enter http (or whatevery you want to call the service), and type 80 in the Port number box:
Click OK until all of the dialog boxes are closed.
The service will be running correctly right away without a reboot.
Let’s run another scan and make sure everything is being blocked except for port 80:
[usr-1@srv-1 ~]$ nmap -sV 10.50.100.112 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-08-03 17:19 EDT Interesting ports on 10.50.100.112: (The 1659 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS webserver 6.0 Nmap run completed -- 1 IP address (1 host up) scanned in 37.085 seconds [usr-1@srv-1 ~]$
We are good.
Now, this box is locked down so well that it will be difficult to authenticate users against a domain or share files, of course, but that may be desired in some cases.
Choose what ports you have to have open and specifically allow those ports if needed.
Disallow the rest by default.
If you don’t need full time access to file shares on your webserver, consider only allowing access when you prop the new site.