微軟的Windows Server 2003中防火牆的功能如此之簡陋,讓很多系統管理員將其視為雞肋,它一直是一個簡單的、僅支援入站防護、基於主機的狀態防火牆。而隨著Windows Server 2008的日漸向我們走近,其內建的防火牆功能得到了巨大的改進。下面讓我們一起來看一下這個新的高階防火牆將如何幫助我們防護系統,以及如何使用管理控制檯單元來配置它。
為什麼你應該使用這個Windows的基於主機的防火牆?
今天許多公司正在使用外接安全硬體的方式來加固它們的網路。 這意味著,它們使用防火牆和入侵保護系統在它們的網路周圍建立起了一道銅牆鐵壁,保護它們自然免受網際網路上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻 破外圍的防線,從而獲得對內部網路的訪問,將只有Windows認證安全來阻止他們來訪問公司最有價值的資產-它們的資料。
這是因為大多數 IT人士沒有使用基於主機的防火牆來加固他們的伺服器的安全。為什麼會出現這樣的情況呢?因為多數IT人士認為,部署基於主機的防火牆所帶來的麻煩要大於它們帶來的價值。
我希望在您讀完這篇文章後,能夠花一點時間來考慮Windows這個基於主機的防火牆。在Windows Server 2008中,這個基於主機的防火牆被內建在Windows中,已經被預先安裝,與前面版本相比具有更多功能,而且更容易配置。它是加固一個關鍵的基礎伺服器的最好方法之一。具有高階安全性的 Windows 防火牆結合了主機防火牆和IPSec.與邊界防火牆不同,具有高階安全性的 Windows 防火牆在每臺執行此版本 Windows 的計算機上執行,並對可能穿越邊界網路或源於組織內部的網路攻擊提供本地保護。它還提供計算機到計算機的連線安全,使您可以對通訊要求身份驗證和資料保護。
那麼,這個Windows Server高階防火牆可以為你做什麼,你又該如何配置它?讓我們繼續看下去。
新防火牆具備的功能及對你的幫助
這個Windows Server 2008中的內建防火牆現在“高階”了。這不僅僅是我說它高階,微軟現在已經將其稱為高階安全Windows防火牆(簡稱WFAS)。
以下是可以證明它這個新名字的新功能:
1、新的圖形化介面。
現在透過一個管理控制檯單元來配置這個高階防火牆。
2、雙向保護。
對出站、入站通訊進行過濾。
3、與IPSEC更好的配合。
具有高階安全性的Windows防火牆將 Windows防火牆功能和Internet 協議安全(IPSec)整合到一個控制檯中。使用這些高階選項可以按照環境所需的方式配置金鑰交換、資料保護(完整性和加密)以及身份驗證設定。
4、高階規則配置。
你可以針對Windows Server上的各種物件建立防火牆規則,配置防火牆規則以確定阻止還是允許流量透過具有高階安全性的Windows防火牆。
傳入資料包到達計算機時,具有高階安全性的Windows防火牆檢查該資料包,並確定它是否符合防火牆規則中指定的標準。如果資料包與規則中的標準匹配,則具有高階安全性的Windows防火牆執行規則中指定的操作,即阻止連線或允許連線。如果資料包與規則中的標準不匹配,則具有高階安全性的Windows防火牆丟棄該資料包,並在防火牆日誌檔案中建立條目(如果啟用了日誌記錄)。
對規則進行配置時,可以從各種標準中進行選擇:例如應用程式名稱、系統服務名稱、TCP埠、UDP埠、本地IP地址、遠端IP地址、配置檔案、介面型別(如網路介面卡)、使用者、使用者組、計算機、計算機組、協議、ICMP型別等。規則中的標準新增在一起;新增的標準越多,具有高階安全性的Windows防火牆匹配傳入流量就越精細。
透過增加雙向防護功能、一個更好的圖形介面和高階的規則配置,這個高階安全Windows防火牆正在變得和傳統的基於主機的防火牆一樣強大,例如ZoneAlarm Pro等。
我知道任何伺服器管理員在使用一個基於主機的防火牆時首先想到的是:它是否會影響這個關鍵伺服器基礎應用的正常工作?然而對於任何安全措施這都是一個可能存在的問題,Windows 2008高階安全防火牆會自動的為新增到這個伺服器的任何新角色自動配置新的規則。但是,如果你在你的伺服器上執行一個非微軟的應用程式,而且它需要入站網路連線的話,你將必須根據通訊的型別來建立一個新的規則。
透過使用這個高階防火牆,你可以更好的加固你的伺服器以免遭攻擊,讓你的伺服器不被利用去攻擊別人,以及真正確定什麼資料在進出你的伺服器。下面讓我們看一下如何來實現這些目的。
瞭解配置Windows防火牆高階安全性的選擇
在以前Windows Server中,你可以在去配置你的網路介面卡或從控制皮膚中來配置Windows防火牆。這個配置是非常簡單的。
對於Windows高階安全防火牆,大多數管理員可以或者從Windows伺服器管理器配置它,或者從只有Windows高階安全防火牆MMC管理單元中配置它。
我發現啟動這個Windows高階安全防火牆的最簡單最快速的方法是,在開始選單的搜尋框中鍵入‘防火牆’
快速啟動Windows 2008高階安全防火牆管理控制檯的方法
另外,你還可以用配置網路元件設定的命令列工具Netsh來配置Windows高階安全防火牆。使用 netsh advfirewall可以建立指令碼,以便自動同時為IPv4和IPv6流量配置一組具有高階安全性的Windows防火牆設定。還可以使用netsh advfirewall命令顯示具有高階安全性的Windows防火牆的配置和狀態。
使用新的Windows高階安全防火牆MMC管理單元能配置什麼?
由於使用這個新的防火牆管理控制檯你可以配置如此眾多的功能,我不可能面面俱道的提到它們。如果你曾經看過Windows 2003內建防火牆的配置圖形介面,你會迅速的發現在這個新的Windows高階安全防火牆中躲瞭如此眾多的選項。下面讓我選其中一些最常用的功能來介紹給大家。
預設情況下,當你第一次進入Windows高階安全防火牆管理控制檯的時候,你將看到Windows高階安全防火牆預設開啟,並且阻擋不匹配入站規則的入站連線。此外,這個新的出站防火牆預設被關閉。
你將注意的其他事情是,這個Windows高階安全防火牆還有多個配置檔案供使用者選擇。
在Windows 2008高階安全防火牆中提供的配置檔案
在這個Windows高階安全防火牆中有一個域配置檔案、專用配置檔案和公用配置檔案。配置檔案是一種分組設定的方法,如防火牆規則和連線安全規則,根據計算機連線的位置將其應用於該計算機。例如根據你的計算機是在企業區域網中還是在本地咖啡店中。
在我看來,在我們討論過的Windows 2008高階安全防火牆的所有改進中,意義最重大的改進當屬更復雜的防火牆規則。看一下在Windows Server 2003防火牆增加一個例外的選項.
Windows 2003 Server防火牆例外視窗
再來對比一下Windows 2008 Server中的配置視窗。
Windows 2008 Server高階防火牆例外設定視窗
注意協議和埠標籤只是這個多標籤視窗中的一小部分。你還可以將規則應用到使用者及計算機、程式和服務以及IP地址範圍。透過這種複雜的防火牆規則配置,微軟已經將Windows高階安全防火牆朝著微軟的IAS Server發展。
Windows高階安全防火牆所提供的預設規則的數量也是令人吃驚的。在Windows 2003 Server中,只有三個預設的例外規則。而
Windows 2008高階安全防火牆提供了大約90個預設入站防火牆規則和至少40個預設外出規則。
Windows 2008 Server高階防火牆預設入站規則
那麼你如何使用這個新的Windows高階防火牆建立一個規則呢?讓我們接下來看一下。
如何建立一個定製的入站規則?
假如說你已經在你的Windows 2008 Server上安裝了Windows版的Apache網站伺服器。如果你已經使用了Windows內建的IIS網站伺服器,這個埠自動會為你開啟。但是,由於你現在使用一個來自第三方的網站伺服器,而且你開啟了入站防火牆,你必須手動的開啟這個視窗。
以下是步驟:
識別你要遮蔽的協議-在我們的例子中,它是TCP/IP(與之對應的則是UDP/IP或ICMP)。
識別源IP地址、源埠號、目的IP地址和目的埠。我們進行的Web通訊是來自於任何IP地址和任何埠號並流向這個伺服器80埠的資料通訊。(注意,你可以為一個特定的程式建立一條規則,諸如這兒的apache HTTP伺服器)。
開啟Windows高階安全防火牆管理控制檯。
增加規則-點選在Windows高階安全防火牆MMC中的新建規則按鈕,開始啟動新規則的嚮導。 ( www.3lian.com)
Windows 2008 Server高階防火牆管理控制檯-新建規則按鈕
為一個埠選擇你想要建立的規則。
配置協議及埠號-選擇預設的TCP協議,並輸入80作為埠,然後點選下一步。
選擇預設的“允許連線”並點選下一步。
選擇預設的應用這條規則到所有配置檔案,並點選下一步。
給這個規則起一個名字,然後點選下一步。
建立規則後的Windows 2008 Server高階防火牆管理控制檯
經過我測試,當不啟用這個規則的時候,我最近安裝的Apache網站伺服器不能正常工作。但是,建立了這個規則後,它可以正常工作了!
結論:大有改進 值得一試
具有防火牆配置檔案、複雜的規則設定和原先30倍數量的預設規則,還有本文中未提到很多高階安全功能,Windows 2008 Server高階安全防火牆的確名副其實,真正是一個微軟所說的高階防火牆。我相信這個內建、免費、高階的基於主機的防火牆將確保Windows Server未來變得更加安全。但是,如果你不使用它,它不會對你有任何幫助。因此我希望你今天就來體驗一下這個新的Windows高階防火牆。