Съвети за подготовка на защитна стена за филтриране на мрежовия трафик
Подготвителната фаза
Ако използвате Active Directory (AD), настолен компютър е член на домейн с подходящ профил, най-лесният начин да се определи защитната стена на Windows за удостоверяване на потребителите - използвайте GPOs Group Policy Object (GPO). След като инсталирате XP SP2 на десктопа настройките на защитната стена са конфигурирани при рестартирането на машината и всеки път, когато актуализацията на политика. Ако използвате за управление на директория продукти на трети страни или бизнес не са контролирани от компютър администратор, които не са част от АД домейн, тогава настройките за Windows Firewall вместо GPO, които можете да използвате партида файлове или скриптове. Конфигуриране на конфигурацията на защитната стена може да бъде и в хода на автоматични или интерактивни инсталационни процедури XP SP2.
Конфигуриране на защитната стена на Windows
Първи конфигуриране на защитната стена на Windows, трябва да е наясно с основните характеристики на защитната стена:
Преди да можете да конфигурирате защитната стена на Windows конфигурация трябва да направи опис на приложения за работни станции и сървъри, които могат да организират крайни точки съединения; пристанища, използвани от приложения и операционната система; източници на трафик за всеки хост с защитната стена на Windows. За мобилни системи като лаптопи, по време на инвентаризацията трябва да вземат предвид различния характер на трафика в мрежата, когато системата е свързана с корпоративната мрежа с контролери на домейни и активен профил домейн защитната стена на Windows защитна стена, за разлика от системата, свързана с обществена мрежа с активен Стандарт профил. само необходимата входящ трафик през защитната стена, за да сведе до минимум заплахите за свързаните към мрежата на мобилните машини винаги трябва да изберат Standard профила и решаване.
Когато конфигурирате профил в домейна и Standard защитната стена на Windows защитна стена се препоръчва да се определят изключения за конкретни приложения. С премахването на приложение може да зададете желаните крайни точки и да получават трафик през тях. Има две добри причини, за да зададете изключения за приложения. Първо, тя е по-лесно да се идентифицират и описват заявлението, а не отделните пристанища, които използват, най-вече защото пристанищата, използвани от много приложения, които не са напълно документирани или динамично възложени. На второ място, много от приложенията, включително и неправомерното използване на същите портове като легитимен заявлението; уточняване на прилагането вместо пристанищата, можете да премахнете неодобрена молба за инсталиране на крайни точки връзка. Когато е възможно, се препоръчва да не се правят изключения за стандартен профил, както и да отхвърлите всички входящи връзки.
Windows Firewall за сървъри
За някои сървъри настроите защитната стена на Windows е лесно. Например, неуправляван самостоятелен уеб-сървър в демилитаризираната зона (DMZ) се изисква само приема входящи връзки на порт 80 / TCP (HTTP) или 443 / TCP (HTTP Secure-HTTPS), ако сертификатът е инсталиран и активиран SSL защита (Secure Sockets Layer).
На сървъра с две или повече интерфейси, от които един интерфейс е свързан към интернет, а други - към корпоративната мрежа, можете да активирате защитната стена на Windows, а след това да го изключите за всички интерфейси, различни от Интернет, и конфигуриране на защитната стена, което позволява само необходимата ЬхоЗяща върху връзката на интерфейса Интернет.
На много сървъри, включително и тези, които се изпълняват много приложения и услуги, които изискват избирателно регулиране на защитната стена на Windows. Необходимо е да се уточни, че пристанищата слушат приложения и услуги, да изхвърли ненужни портове и да защитната стена на Windows за необходимите портове. Определяне на пристанищата отворен и се вслушат в техните приложения и услуги може да използвате командата Netstat (Netstat.exe), подобрена в новия сервизен пакет. Зададени в командния ред
може да се види всички отворени TCP портове (независимо от състоянието) и UDP портове в системата, ID на процеса (PID) за всяко активно съединение (проба от информацията за изход е показано на фигура 1). Както споменахме, защитната стена на Windows може да бъде конфигуриран да позволи входящ трафик на име прилагане, независимо от пристанището ги слуша. Netstat Единственият недостатък е, че екипът предвижда "моментна снимка" на системата. С него не може да се идентифицира приложенията, услугите и пристанищата, ако тези заявления не са активни по време на старта Netstat. За да получите достоверна представа, можете да направите няколко снимки в различни моменти.
Препоръчително е да се активира функцията за сеч защитната стена на Windows след приключване на настройките на сървъра. Можете да запишете информация за успешни и неуспешни връзки. Ако конфигурацията и активирането на защитната стена на Windows има проблеми работата с приложения, можете да използвате информация от регистрационните файлове, можете да посочите допълнителни портове, които трябва да бъдат отворени. За да конфигурирате функции за запис, отворете Control Panel, стартирайте помощната програма за защитната стена на Windows, щракнете върху раздела Разширени, а след това върху бутона Настройки в раздела Logging сигурност. Отворете диалоговия прозорец Настройки на дневника (екран 2). Защитна стена на Windows дневник трябва да се държат на бърз диск, както и максималният размер на дневник трябва да е достатъчна, за да записва необходимата информация за дълго време. Проверка на настройките на защитната стена на Windows, можете да деактивирате сеч.
Екран 2: Конфигуриране на защитната стена на Windows дневник
Защитна стена на Windows може да бъде конфигуриран и по този начин да се предаде заверено IPsec трафик от надеждни машини, за да се заобиколят защитната стена. В този режим, можете да прехвърлите на сървъри и работни станции, така че те преминали само необходимата клиент трафик, като същевременно осигурява пълен достъп до администрацията на работни станции и сървъри.
Винаги готов
След приключване на подготовката за разполагането на защитната стена на Windows е препоръчително да активирате защитната стена, първо за пилотна група от потребители. Ако по време на внедряването на един тест на всяка трудност, е необходимо да активирате режим сеч; трупи съдържат информация, която може да помогне да се определи причината за проблеми. След отстраняване на неизправности и успешно разполагане на защитната стена на Windows ще бъде безценен елемент от корпоративна сигурност.
John Howe - управител на практическото обучение в центъра на сигурност Център за върхови постижения на Microsoft. Той разполага с CISSP сертификация, CISM и CISA. [email protected]
допълнителни ресурси
За информация за защитната стена на Windows, посетете следните уеб-сайтове:
Сподели снимки с приятели и колеги
Свързани статии