Sfaturi pentru pregătirea unui paravan de protecție pentru filtrarea traficului de rețea
Etapa pregătitoare
Dacă utilizați Active Directory (AD), un computer desktop este un membru de domeniu cu contul corespunzător, cel mai simplu mod de a seta Windows Firewall pentru autentificarea utilizatorilor - utilizarea Group Policy Object GPO (GPO). După instalarea programului XP SP2 pe computere desktop, setările pentru firewall sunt configurate atunci când aparatele sunt reînnoite și de fiecare dată când politica este actualizată. Dacă utilizați de gestionare director de produse terță parte sau de afaceri nu sunt controlate de către un administrator de computer, care nu fac parte dintr-un domeniu AD, atunci setările pentru paravanul de protecție Windows în loc de GPO, puteți folosi fișiere lot sau script-uri. Puteți configura configurația paravanului de protecție în cursul procedurilor automate sau interactive de instalare pentru XP SP2.
Configurarea paravanului de protecție Windows
Când configurați configurația Windows Firewall, amintiți-vă caracteristicile de bază ale paravanului de protecție:
Înainte de configurarea configurației paravanului de protecție Windows, trebuie să efectuați un inventar al aplicațiilor pe stațiile de lucru și pe serverele care pot organiza puncte finale ale conexiunilor; porturile utilizate de aplicații și sistemul de operare; Surse de trafic pentru fiecare mașină gazdă cu Paravan de protecție Windows. Pentru sistemele mobile, cum ar fi laptop-uri, în timpul inventarierii trebuie să țină seama de natura diferită a traficului în rețea atunci când sistemul este conectat la rețeaua corporativă cu controlere de domeniu și profil activ de domeniu Windows Firewall firewall, spre deosebire de sistemul conectat la o rețea publică cu un profil activ standard. Trebuie să selectați întotdeauna profilul Standard și să permiteți doar traficul necesar de intrare prin paravanul de protecție, pentru a minimiza amenințarea la adresa mașinilor mobile conectate la rețea.
Atunci când configurați profiluri de domenii Windows Firewall și Domeniu standard, este recomandat să setați excepții pentru anumite aplicații. Cu excepția cazului, aplicația va putea să instaleze toate destinațiile dorite și să primească trafic prin ele. Există două motive bune pentru a atribui excepții aplicațiilor. Mai întâi, este mai ușor să definiți și să descrieți aplicațiile decât porturile individuale pe care le folosesc, mai ales pentru că porturile utilizate de mai multe aplicații nu sunt complet documentate sau sunt atribuite dinamic. În al doilea rând, numeroase aplicații, inclusiv aplicații neautorizate, utilizează aceleași porturi ca și aplicațiile legale; specificând aplicații în loc de porturi, puteți priva aplicațiile neaprobate de capacitatea de a stabili parametrii de conectare. Ori de câte ori este posibil, este recomandat să nu faceți excepții la profilul Standard și să respingeți toate conexiunile primite.
Windows Firewall pentru servere
Pentru unele servere, nu este dificil să configurați Paravanul de protecție Windows. De exemplu, neadministrate independent Web server, în zona demilitarizată (DMZ) este necesar să accepte numai conexiunile de intrare la portul 80 / TCP (HTTP) sau 443 / TCP (HTTP Secure-HTTPS), în cazul în care certificatul este instalat și activat de protecție SSL (Secure Sockets Layer).
Pe un server cu două sau mai multe interfețe, dintre care o interfață este conectat la Internet, și altele - la rețeaua corporativă, puteți activa Windows Firewall, și apoi dezactivați-l pe toate interfețele cu excepția de pe Internet, și să configurați firewall-ul, care permite numai inbound necesare cu privire la conexiunea de interfață Internet.
Pe mai multe servere, inclusiv pe cele care execută multe aplicații și servicii, configurați selectiv Windows Firewall. Trebuie să specificați porturile care sunt ascultate de aplicații și servicii, să eliminați porturile inutile și să configurați Paravanul de protecție Windows pentru porturile necesare. Puteți defini porturile deschise și aplicațiile și serviciile de ascultare utilizând comanda Netstat (netstat.exe), care este actualizată în cele mai recente pachete de actualizare. Specificând linia de comandă
Puteți vedea toate porturile TCP deschise (indiferent de starea) și porturile UDP din sistem, ID-ul procesului (PID) pentru fiecare conexiune activă (informația de ieșire a eșantionului este afișată pe ecranul 1). După cum sa menționat deja, Paravanul de protecție Windows poate fi configurat pentru a permite traficul de intrare pentru aplicațiile numite, indiferent de porturile pe care le ascultă. Singurul dezavantaj al Netstat este că echipa oferă doar un "instantaneu" al sistemului. Nu poate identifica aplicațiile, serviciile și porturile lor dacă aceste aplicații nu sunt active atunci când este pornit Netstat. Pentru a obține o imagine reală, puteți face mai multe fotografii în momente diferite.
Se recomandă să activați funcțiile de înregistrare a paravanului de protecție Windows după ce configurația serverului este finalizată. Puteți înregistra informații despre conexiunile de succes și cele nereușite. Dacă după configurarea și activarea Paravanului de protecție Windows aveți probleme cu anumite aplicații, puteți utiliza informațiile din jurnale pentru a determina porturile suplimentare pe care doriți să le deschideți. Pentru a configura funcțiile de înregistrare, deschideți panoul de control, porniți utilitarul Paravan de protecție Windows, faceți clic pe fila Complex și apoi pe butonul Setări din secțiunea Jurnal de securitate. Se deschide caseta de dialog Setări jurnal (ecranul 2). Jurnalul de paravan de protecție Windows ar trebui salvat pe un disc rapid, iar dimensiunea maximă a jurnalului ar trebui să fie suficientă pentru a înregistra informațiile necesare pentru o perioadă lungă de timp. După verificarea corectitudinii configurației paravanului de protecție Windows, puteți dezactiva înregistrarea.
Ecranul 2. Configurarea înregistrării în Paravanul de protecție Windows
Paravanul de protecție Windows poate fi, de asemenea, configurat pentru a transfera traficul autentificat IPsec de la mașini de încredere, ocolind paravanul de protecție. În acest mod, puteți transfera servere și stații de lucru astfel încât acestea să treacă doar traficul client necesar, oferind în același timp acces nelimitat pentru administrarea stațiilor de lucru și a serverelor.
Disponibilitate maximă
După finalizarea pregătirii pentru implementarea Paravanului de protecție Windows, este recomandat să activați paravanul de protecție mai întâi pentru grupul pilot de utilizatori. Dacă există dificultăți în desfășurarea procesului, trebuie să activați modul de înregistrare; Jurnalele conțin informații care vor ajuta la determinarea cauzei problemelor. După depanarea și implementarea cu succes a Paravanului de protecție Windows, firewall-ul va deveni o componentă neprețuită a sistemului de securitate al companiei.
John Howie - Manager de formare practică la Microsoft Security Center of Excellence. Are certificate CISSP, CISM și CISA. [email protected]
Resurse suplimentare
Informații despre paravanul de protecție Windows pot fi găsite pe următoarele site-uri Web:
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
Trimiteți-le prietenilor: