微軟的WindowsServer2003中防火墻的功能如此之簡(jiǎn)陋�,讓很多系統(tǒng)管理員將其視為雞肋��,它一直是一個(gè)簡(jiǎn)單的����、僅支持入站防護(hù)、基于主機(jī)的狀態(tài)防火墻���。而隨著WindowsServer2008的日漸向我們走近�����,其內(nèi)置的防火墻功能得到了巨大的改進(jìn)��。下面讓我們一起來(lái)看一下這個(gè)新的高級(jí)防火墻將如何幫助我們防護(hù)系統(tǒng),以及如何使用管理控制臺(tái)單元來(lái)配置它��。
今天許多公司正在使用外置安全硬件的方式來(lái)加固它們的網(wǎng)絡(luò)�����。 這意味著����,它們使用防火墻和入侵保護(hù)系統(tǒng)在它們的網(wǎng)絡(luò)周圍建立起了一道銅墻鐵壁���,保護(hù)它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵��。但是���,如果一個(gè)攻擊者能夠攻 破外圍的防線,從而獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)����,將只有Windows認(rèn)證安全來(lái)阻止他們來(lái)訪問(wèn)公司最有價(jià)值的資產(chǎn)-它們的數(shù)據(jù)。
這是因?yàn)榇蠖鄶?shù)IT人士沒(méi)有使用基于主機(jī)的防火墻來(lái)加固他們的服務(wù)器的安全�����。為什么會(huì)出現(xiàn)這樣的情況呢?因?yàn)槎鄶?shù)IT人士認(rèn)為��,部署基于主機(jī)的防火墻所帶來(lái)的麻煩要大于它們帶來(lái)的價(jià)值��。
我希望在您讀完這篇文章后���,能夠花一點(diǎn)時(shí)間來(lái)考慮Windows這個(gè)基于主機(jī)的防火墻���。在WindowsServer2008中,這個(gè)基于主機(jī)的防火墻被內(nèi)置在Windows中�����,已經(jīng)被預(yù)先安裝,與前面版本相比具有更多功能���,而且更容易配置����。它是加固一個(gè)關(guān)鍵的基礎(chǔ)服務(wù)器的 最好方法之一����。具有高級(jí)安全性的 Windows防火墻結(jié)合了主機(jī)防火墻和IPSec。與邊界防火墻不同���,具有高級(jí)安全性的 Windows防火墻在每臺(tái)運(yùn)行此版本 Windows的計(jì)算機(jī)上運(yùn)行���,并對(duì)可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全�,使您可以對(duì)通信要求身份驗(yàn)證和數(shù)據(jù)保護(hù)。
那么�����,這個(gè)WindowsServer高級(jí)防火墻可以為你做什么,你又該如何配置它?讓我們繼續(xù)看下去��?�! ⌒路阑饓邆涞墓δ芗皩?duì)你的幫助
這個(gè)WindowsServer2008中的內(nèi)置防火墻現(xiàn)在“高級(jí)”了�����。這不僅僅是我說(shuō)它高級(jí)�����,微軟現(xiàn)在已經(jīng)將其稱為高級(jí)安全Windows防火墻(簡(jiǎn)稱WFAS)���。
以下是可以證明它這個(gè)新名字的新功能:
現(xiàn)在通過(guò)一個(gè)管理控制臺(tái)單元來(lái)配置這個(gè)高級(jí)防火墻。
對(duì)出站����、入站通信進(jìn)行過(guò)濾。
具有高級(jí)安全性的Windows防火墻將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個(gè)控制臺(tái)中��。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換�����、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。
你可以針對(duì)WindowsServer上的各種對(duì)象創(chuàng)建防火墻規(guī)則��,配置防火墻規(guī)則以確定阻止還是允許流量通過(guò)具有高級(jí)安全性的Windows防火墻�。
傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí),具有高級(jí)安全性的Windows防火墻檢查該數(shù)據(jù)包����,并確定它是否符合防火墻規(guī)則中指 定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配���,則具有高級(jí)安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作��,即阻止連接或允許連接��。如果數(shù)據(jù)包與規(guī)則中的標(biāo) 準(zhǔn)不匹配�����,則具有高級(jí)安全性的Windows防火墻丟棄該數(shù)據(jù)包����,并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。
對(duì)規(guī)則進(jìn)行配置時(shí)�,可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇:例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱�����、TCP端口、UDP端口���、本地IP地址���、遠(yuǎn)程IP地址����、配置文件��、接口類型(如網(wǎng)絡(luò)適配器)���、用戶�、用戶組��、計(jì)算機(jī)��、計(jì)算機(jī)組����、協(xié)議����、ICMP類型等����。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多�,具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)��。
通過(guò)增加雙向防護(hù)功能����、一個(gè)更好的圖形界面和高級(jí)的規(guī)則配置����,這個(gè)高級(jí)安全Windows防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大�����,例如ZoneAlarm Pro等�。
我知道任何服務(wù)器管理員在使用一個(gè)基于主機(jī)的防火墻時(shí)首先想到的是:它是否會(huì)影響這個(gè)關(guān)鍵服務(wù)器基 礎(chǔ)應(yīng)用的正常工作?然而對(duì)于任何安全措施這都是一個(gè)可能存在的問(wèn)題�����,Windows2008高級(jí)安全防火墻會(huì)自動(dòng)的為添加到這個(gè)服務(wù)器的任何新角色自動(dòng)配置新的規(guī)則。但是�,如果你在你的服務(wù)器上運(yùn)行一個(gè)非微軟的應(yīng)用程序��,而且它需要入站 網(wǎng)絡(luò)連接的話�����,你將必須根據(jù)通信的類型來(lái)創(chuàng)建一個(gè)新的規(guī)則�����。
通過(guò)使用這個(gè)高級(jí)防火墻�,你可以更好的加固你的服務(wù)器以免遭攻擊��,讓你的服務(wù)器不被利用去攻擊別人���,以及真正確定什么數(shù)據(jù)在進(jìn)出你的服務(wù)器��。下面讓我們看一下如何來(lái)實(shí)現(xiàn)這些目的�����。
