|
Nowa funkcja systemuWindows Server 2008 Advanced Firewall oraz instrukcja konfiguracji wbudowanej, potężnej zapory sieciowej (umieszczonej na serwerze) przy użyciu nowej wtyczki MMC.
Zapora sieciowa jest podstawowym, wejściowym, umieszczonym na serwerze, potężnym zabezpieczeniem od początku działania Windows Server 2003 SP1. Wbudowana zapora została znacznie udoskonalona wraz z wprowadzeniem Windows Server 2008. Dowiedzmy się jak ta nowa, zaawansowana zapora może nam pomóc oraz jak skonfigurować ją przy użyciu wtyczki MMC.
Dlaczego powinno się używać wbudowanej zapory sieciowej Windows?
Wiele firm w dzisiejszych czasach zabezpiecza swoje sieci za pomocą metody „hard outer shell / gooey center". Oznacza to stworzenie mocnej granicy wokół sieci poprzez zapory sieciowe oraz systemy IPS, co zabezpiecza firmy przed złośliwymi atakami w Internecie. Jednakże jeśli atakujący mógłby się przedostać przez zewnętrzną granicą i zyskać dostęp do sieci wewnętrznej, tylko zabezpieczenie uwierzytelnienia Windows pozwoli na zatrzymanie możliwości uzyskania dostępu do firmowych danych, które są przecież najcenniejszym atutem.
Dzieje się tak, ponieważ większość profesjonalistów realizujących zadania techniczne związane z bazami danych (IT Pros), nie zabezpiecza swoich serwerów za pomocą zapór sieciowych umieszczonych na serwerach. Dlaczego? Wydaje nam się, że zapory umieszczone na serwerze „powodują więcej problemów niż są tego warte”.
Mam nadzieję, że po przeczytaniu tego artykułu wielu z Was przyjrzy się jeszcze raz zaporom sieciowym Windows umieszczonym na serwerach. Wraz z systemem Windows Server 2008 zapora sieciowa umieszczona na serwerze jest wbudowana w systemie Windows, jest już zainstalowana, ma więcej funkcji i jest teraz łatwiejsza do skonfigurowania. Ponadto jest to jeden z najlepszych sposobów, aby zabezpieczyć istotny serwer infrastruktury. A więc co może dla Ciebie zrobić Windows Server Advanced Firewall i jak ją skonfigurować? Dowiedzmy się.
Co oferuje nowa, zaawansowana zapora sieciowa i w jaki sposób może Ci pomóc?
Nowa dla Windows Server 2008, wbudowana zapora sieciowa jest teraz „zaawansowana”. I nie tylko ja tak twierdzę; Microsoft nazywa ją „Windows Firewall with Advanced Security” (z ang.: Zapora Sieciowa Windows z Zaawansowanym Zabezpieczeniem, użyjmy skrótu WFAS).
Oto nowe funkcje, które pomagają uzasadnić nową nazwę:
- Nowy interfejs GUI – wtyczka MMC jest teraz dostępna do skonfigurowania zaawansowanej zapory sieciowej.
- Dwukierunkowa – filtruje zarówno przesył wychodzący jak i przychodzący.
- Lepiej działa z IPSEC – teraz reguły zapory sieciowej oraz konfiguracje szyfrowania IPSec zostały zintegrowane do jednego interfejsu.
- Konfiguracja Zaawansowanych Reguł – możesz tworzyć reguły zapory sieciowej (wyjątki) dla Windows Active Directory (AD): usługi konta i grupy, źródło/przeznaczenie adresów IP, numery protokołów, porty przeznaczenia TCP/UDP, ICMP, przesył IPv6 oraz interfejsy na Windows Server.
Po dodaniu dwukierunkowości, lepszego GUI oraz zaawansowanej konfiguracji reguł, Windows Advanced Firewall może się równać tradycyjnym zaporom sieciowym umieszczonym na serwerach (takim jak na przykład ZoneAlarm Pro).
Wiem, że pierwszą sprawą do rozpatrzenia dla administratora serwera przy rozpatrywaniu używania zapory sieciowej umieszczonej na serwerze jest pytanie: a co, jeżeli zablokuje ona działanie kluczowe aplikacje infrastruktury serwera? Podczas gdy jest taka możliwość przy jakimkolwiek zabezpieczeniu, WFAS automatycznie skonfiguruje nowe reguły dla wszystkich ról nowego serwera, które zostają dodane. Jednak jeżeli używasz na swoim serwerze aplikacji innych niż Microsoft i wymagają one wewnętrznej łączności sieciowej, będziesz musiał stworzyć nową regułę dla tego rodzaju ruchu.
Dzięki użyciu Windows Advanced Firewall będziesz w stanie lepiej zabezpieczyć swoje serwery przed atakiem, ataki swoich serwerów na innych i dokładnie widzieć jaki jest przesył wychodzący oraz przychodzący na własnych serwerach. Zobaczmy jak to się dzieje.
Jakie są opcje konfigurowania Windows Firewall z Advanced Security?
Poprzednio – przy Windows Server – mogłeś skonfigurować zaporę sieciową Windows przy konfiguracji karty sieciowej lub z panelu sterowania. Była to bardzo podstawowa konfiguracja.
Przy Windows Firewall with Advanced Security (WFAS) większość administratorów będzie konfigurowało zaporę albo z Windows Server Manager, albo MMC tylko z wtyczką/modułem WFAS.
Oto jak wyglądają obie konfiguracje:
Rys. 1: Windows 2008 Server Manager
Rys. 2: Windows 2008 Firewall with Advanced Security, tylko MMC
Zauważyłem, że najszybszym i najprostszym sposobem rozpoczęcia WFAS MMC jest jedynie wpisanie „firewall” w oknie wyszukiwania w menu Start:
Rys. 3: Windows 2008 Firewall with Advanced Security, tylko MMC
Jest również nowa opcja netsh advfirewall CLI dla konfiguracji WFAS.
Co można skonfigurować przy użyciu nowej wtyczki WFAS MMC?
Ponieważ istnieje tyle możliwych funkcji, które można skonfigurować przy użyciu nowej wtyczki WFAS MMC, nie będę w stanie opisać ich wszystkich. Jeżeli widziałeś konfigurację GUI dla wbudowanej zapory Windows 2003, szybko zauważysz o ile więcej opcji pojawia się razem z WFAS. Jednak pozwól, że skupię się na tych najczęściej używanych.
Kiedy po raz pierwszy wejdziesz do wtyczki WFAS MMC, będzie ona domyślnie włączona i zobaczysz, że WFAS MMC blokuje połączenia wejściowe, które nie mają odpowiedniej reguły wyjściowej. Ponadto nowa, zewnętrzna zapora sieciowa jest wyłączona.
Zauważysz też, że istnieją inne profile dla WFAS (rys. 4 poniżej).
Rys 4: Profile są teraz dostępne w Windows 2008 Firewall with Advanced Security
Istnieje profil domeny, profil prywatny oraz profil publiczny dla WFAS. Te różne profile pozwalają na posiadanie wielu reguł wewnętrznych i zewnętrznych i zastosowanie tej grupy reguł zapory na komputerze, w oparciu o to, do jakiej sieci dany komputer jest podłączony (powiedzmy czy jest to firmowy LAN, czy lokalny sklep z kawą).
Ze wszystkich ulepszeń WFAS, o których mówiliśmy, najbardziej znaczącym – moim zdaniem – są bardziej wyszukane reguły zapory sieciowej. Spójrzmy na opcję Windows 2003 Server Firewall dodania wyjątku (reguły) na rysunku 5.
Rys 5: okno Windows 2003 Server Firewall Exception
A teraz porównajmy to do Windows 2008 Server:
Rys. 6: okno Windows 2008 Server Advanced Firewall Exception
Zauważ, że zakładka Protokołów i Portów (Protocols and Ports) jest tylko małą częścią wielozakładowego okna. Możesz także skonfigurować reguły, które zastosujesz dla Użytkowników i Komputerów (Users & Computers), Programów i Usług (Programs and Services) oraz Zakresów adresu IP (IP address Scopes). Poprzez ten rodzaj wyszukanej konfiguracji reguł zapory sieciowej, Microsoft przesuwa WFAS w stronę serwera Microsoftu IAS.
Ilość reguł domyślnych oferowanych przez WFAS jest naprawdę zadziwiająca. W Windows 2003 Server były 3 domyślne wyjątki (reguły). Tak już nie jest w Windows Server. WFAS oferuje około 90 domyślnych reguł wejściowych zapory ogniowej i przynajmniej 40 domyślnych reguł wyjściowych!
Rys. 7: Windows 2008 Server Advanced Firewall Default Inbound Rules
Jak stworzyć wejściową, niestandardową regułę zapory sieciowej
Jak więc stworzyć regułę, używając nowej Windows Advanced Firewall? Przejdźmy przez to.
Powiedzmy, że zainstalowałeś serwer sieciowy Apache dla Windows na swoim Windows 2008 Server. Jeżeli użyłeś IIS (wbudowanego w systemie Windows), port otworzy się automatycznie. Jednakże jeśli używasz innego serwera sieciowego i masz włączoną wejściową zaporę sieciową, musisz ręcznie otworzyć port.
Postępuj według tych kroków:
- Wybierz protokół, który chcesz filtrować – w naszym przypadku będzie to TCP/IP (w przeciwieństwie do UDP/IP lub ICMP)
- Wybierz źródłowy adres IP, źródłowy numer portu, adres IP przeznaczenia oraz numer portu przeznaczenia – nasz ruch w sieci będzie przychodził z jakiegokolwiek adresu IP i jakiegokolwiek numeru portu, przychodząc na ten serwer, na porcie 80. (zauważ, że możesz także stworzyć regułę dla określonego programu, takiego jak apache HTTP Server).
- Otwórz Windows Firewall with Advanced Security MMC
- Dodaj regułę – kliknij naprzycisk New Rule w Windows Firewall with Advanced Security MMC, aby zapoczątkować New Inbound Rule Wizard (Kreator Reguł Wejściowych).
Rys. 8: Windows 2008 Server Advanced Firewall MMC – przycisk nowej reguły
- Wybierz tworzenie reguły dla portu (a rule for a port)
- Konfiguruj protokół i numer portu (Configure protocol & port number) – wybierz jako ustawienie domyślne TCP, wprowadź numer portu 80 i kliknij Next.
- Wybierz jako ustawienie domyślne „allow this connection” (zezwól na to połączenie) i kliknij Next.
- Wybierz jako domyślne zastosowanie tej reguły dla wszystkich profili i kliknij Next.
- Nadaj nazwę tej regule i kliknij Finish.
W tym momencie powinieneś mieć regułę, która wygląda następująco:
Rys. 9: Windows 2008 Server Advanced Firewall MMC – po stworzeniu reguły
Sprawdziłem, że mój świeżo zainstalowany serwer sieciowy Apache nie działa, gdy został zainstalowany z włączoną zaporą sieciową. Jednak po dodaniu tej reguły, działa świetnie!
Podsumowanie
Z profilami zapory sieciowej, konfiguracją wyszukanej reguły i z ilością domyślnych reguł 30 razy większą niż poprzednio, zapora Windows 2008 Server Firewall zapracowała na swoje imię i pokazuje, że jest naprawdę „zaawansowaną” zaporą sieciową jak twierdzi Microsoft. Wierzę, że ta wbudowana, darmowa, zaawansowana, umieszczona na serwerze zapora sieciowa zapewni przyszłym serwerom Windows jeszcze większe bezpieczeństwo. Jednakże nie jest w stanie pomóc, jeżeli się go nie używa. Tak więc mam nadzieję, że wypróbujesz nową zaporę Windows Advanced Firewall już dzisiaj!
Źródło: windowsnetworking.com |
