如何配置Windows Server2008高級防火墻
微軟的Windows Server 2003中防火墻的功能如此之簡陋,讓很多系統(tǒng)管理員將其視為雞肋,它一直是一個簡單的、僅支持入站防護、基于主機的狀態(tài)防火墻.而隨著Windows Server 2008的日漸向我們走近,其內置的防火墻功能得到了巨大的改進.下面讓我們一起來看一下這個新的高級防火墻將如何幫助我們防護系統(tǒng),以及如何使用管理控制臺單元來配置它.
為什么你應該使用這個Windows的基于主機的防火墻?
今天許多公司正在使用外置安全硬件的方式來加固它們的網(wǎng)絡。 這意味著,它們使用防火墻和入侵保護系統(tǒng)在它們的網(wǎng)絡周圍建立起了一道銅墻鐵壁,保護它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻 破外圍的防線,從而獲得對內部網(wǎng)絡的訪問,將只有Windows認證安全來阻止他們來訪問公司最有價值的資產(chǎn)-它們的數(shù)據(jù)。
這是因為大多數(shù)IT人士沒有使用基于主機的防火墻來加固他們的服務器的安全。為什么會出現(xiàn)這樣的情況呢?因為多數(shù)IT人士認為,部署基于主機的防火墻所帶來的麻煩要大于它們帶來的價值。
我希望在您讀完這篇文章后,能夠花一點時間來考慮Windows這個基于主機的防火墻。在Windows Server 2008中,這個基于主機的防火墻被內置在Windows中,已經(jīng)被預先安裝,與前面版本相比具有更多功能,而且更容易配置。它是加固一個關鍵的基礎服務器的 最好方法之一。具有高級安全性的 Windows 防火墻結合了主機防火墻和IPSec。與邊界防火墻不同,具有高級安全性的 Windows 防火墻在每臺運行此版本 Windows 的計算機上運行,并對可能穿越邊界網(wǎng)絡或源于組織內部的網(wǎng)絡攻擊提供本地保護。它還提供計算機到計算機的連接安全,使您可以對通信要求身份驗證和數(shù)據(jù)保護。
這個Windows Server 2008中的內置防火墻現(xiàn)在“高級”了。這不僅僅是我說它高級,微軟現(xiàn)在已經(jīng)將其稱為高級安全Windows防火墻(簡稱WFAS)。
以下是可以證明它這個新名字的新功能:
1、新的圖形化界面。
現(xiàn)在通過一個管理控制臺單元來配置這個高級防火墻。
2、雙向保護。
對出站、入站通信進行過濾。
3、與IPSEC更好的配合。
具有高級安全性的Windows防火墻將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(完整性和加密)以及身份驗證設置。
4、高級規(guī)則配置。
你可以針對Windows Server上的各種對象創(chuàng)建防火墻規(guī)則,配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。
傳入數(shù)據(jù)包到達計算機時,具有高級安全性的Windows防火墻檢查該數(shù)據(jù)包,并確定它是否符合防火墻規(guī)則中指 定的標準。如果數(shù)據(jù)包與規(guī)則中的標準匹配,則具有高級安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作,即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標 準不匹配,則具有高級安全性的Windows防火墻丟棄該數(shù)據(jù)包,并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。
對規(guī)則進行配置時,可以從各種標準中進行選擇:例如應用程序名稱、系統(tǒng)服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網(wǎng)絡適配器)、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標準添加在一起;添加的標準越多,具有高級安全性的Windows防火墻匹配傳入流量就越精細。
通過增加雙向防護功能、一個更好的圖形界面和高級的規(guī)則配置,這個高級安全Windows防火墻正在變得和傳統(tǒng)的基于主機的防火墻一樣強大,例如ZoneAlarm Pro等。
我知道任何服務器管理員在使用一個基于主機的防火墻時首先想到的是:它是否會影響這個關鍵服務器基 礎應用的正常工作?然而對于任何安全措施這都是一個可能存在的問題,Windows 2008高級安全防火墻會自動的為添加到這個服務器的任何新角色自動配置新的規(guī)則。但是,如果你在你的服務器上運行一個非微軟的應用程序,而且它需要入站 網(wǎng)絡連接的話,你將必須根據(jù)通信的類型來創(chuàng)建一個新的規(guī)則。
在以前Windows Server中,你可以在去配置你的網(wǎng)絡適配器或從控制面板中來配置Windows防火墻。這個配置是非常簡單的。
對于Windows高級安全防火墻,大多數(shù)管理員可以或者從Windows服務器管理器配置它,或者從只有Windows高級安全防火墻MMC管理單元中配置它。以下是兩個配置界面的截圖:
圖1、Windows Server 2008服務器管理器
圖2、Windows 2008高級安全防火墻管理控制臺
我發(fā)現(xiàn)啟動這個Windows高級安全防火墻的最簡單最快速的方法是,在開始菜單的搜索框中鍵入‘防火墻’,如下圖:
圖3、快速啟動Windows 2008高級安全防火墻管理控制臺的方法
由于使用這個新的防火墻管理控制臺你可以配置如此眾多的功能,我不可能面面俱道的提到它們。如果你曾經(jīng)看過Windows 2003內置防火墻的配置圖形界面,你會迅速的發(fā)現(xiàn)在這個新的Windows高級安全防火墻中躲了如此眾多的選項。下面讓我選其中一些最常用的功能來介紹給大家。
默認情況下,當你第一次進入Windows高級安全防火墻管理控制臺的時候,你將看到Windows高級安全防火墻默認開啟,并且阻擋不匹配入站規(guī)則的入站連接。此外,這個新的出站防火墻默認被關閉。
你將注意的其他事情是,這個Windows高級安全防火墻還有多個配置文件供用戶選擇。
圖4、在Windows 2008高級安全防火墻中提供的配置文件
在這個Windows高級安全防火墻中有一個域配置文件、專用配置文件和公用配置文件。配置文件是一種分組設置的方法,如防火墻規(guī)則和連接安全規(guī)則,根據(jù)計算機連接的位置將其應用于該計算機。例如根據(jù)你的計算機是在企業(yè)局域網(wǎng)中還是在本地咖啡店中。
在我看來,在我們討論過的Windows 2008高級安全防火墻的所有改進中,意義最重大的改進當屬更復雜的防火墻規(guī)則。看一下在Windows Server 2003防火墻增加一個例外的選項,如下圖:
圖5、Windows 2003 Server防火墻例外窗口
再來對比一下Windows 2008 Server中的配置窗口。
圖6、Windows 2008 Server高級防火墻例外設置窗口
注意協(xié)議和端口標簽只是這個多標簽窗口中的一小部分。你還可以將規(guī)則應用到用戶及計算機、程序和服務以及IP地址范圍。通過這種復雜的防火墻規(guī)則配置,微軟已經(jīng)將Windows高級安全防火墻朝著微軟的IAS Server發(fā)展。
Windows高級安全防火墻所提供的默認規(guī)則的數(shù)量也是令人吃驚的。在Windows 2003 Server中,只有三個默認的例外規(guī)則。而Windows 2008高級安全防火墻提供了大約90個默認入站防火墻規(guī)則和至少40個默認外出規(guī)則。
圖7、Windows 2008 Server高級防火墻默認入站規(guī)則
假如說你已經(jīng)在你的Windows 2008 Server上安裝了Windows版的Apache網(wǎng)站服務器。如果你已經(jīng)使用了Windows內置的IIS網(wǎng)站服務器,這個端口自動會為你打開。但是,由于你現(xiàn)在使用一個來自第三方的網(wǎng)站服務器,而且你打開了入站防火墻,你必須手動的打開這個窗口。
以下是步驟:
·識別你要屏蔽的協(xié)議-在我們的例子中,它是TCP/IP(與之對應的則是UDP/IP或ICMP)。
·識別源IP地址、源端口號、目的IP地址和目的端口。我們進行的Web通信是來自于任何IP地址和任何端口號并流向這個服務器80端口的數(shù)據(jù)通信。(注意,你可以為一個特定的程序創(chuàng)建一條規(guī)則,諸如這兒的apache HTTP服務器)。
·打開Windows高級安全防火墻管理控制臺。
·增加規(guī)則-點擊在Windows高級安全防火墻MMC中的新建規(guī)則按鈕,開始啟動新規(guī)則的向導。
圖8、Windows 2008 Server高級防火墻管理控制臺-新建規(guī)則按鈕
·為一個端口選擇你想要創(chuàng)建的規(guī)則。
·配置協(xié)議及端口號-選擇默認的TCP協(xié)議,并輸入80作為端口,然后點擊下一步。
·選擇默認的“允許連接”并點擊下一步。
·選擇默認的應用這條規(guī)則到所有配置文件,并點擊下一步。
·給這個規(guī)則起一個名字,然后點擊下一步。
這時候,你將得到如下圖的一條規(guī)則:
圖9、創(chuàng)建規(guī)則后的Windows 2008 Server高級防火墻管理控制臺
結論:大有改進 值得一試
具有防火墻配置文件、復雜的規(guī)則設置和原先30倍數(shù)量的默認規(guī)則,還有本文中未提到很多高級安全功 能,Windows 2008 Server高級安全防火墻的確名副其實,真正是一個微軟所說的高級防火墻。我相信這個內置、免費、高級的基于主機的防火墻將確保Windows Server未來變得更加安全。但是,如果你不使用它,它不會對你有任何幫助。因此我希望你今天就來體驗一下這個新的Windows高級防火墻