Документация по брандмауэру Windows

Опубликовано: 8 Апреля, 2023
Документация по брандмауэру Windows

Введение

Вокруг брандмауэра Windows и его настроек в Windows Server 2008 R2 и Windows 7 возникает много путаницы. Это может быть связано с историей брандмауэра Windows, которая не так впечатляюща. На самом деле, если бы вы спросили любого администратора сети или рабочего стола Windows, будет ли он использовать брандмауэр Windows для Windows 2000, XP или 2003, он, скорее всего, ответил бы вам категорическим «НЕТ». Тем не менее, Microsoft вложила много усилий и денег в новый брандмауэр Windows для Windows Server 2008, Windows Server 2008 R2 и Windows 7, сделав его жизнеспособной и даже стандартной конфигурацией для обеспечения безопасности конечных точек в ваших сетях. Большой вопрос заключается в том, как вы можете использовать то, что есть по умолчанию, и эффективно добавлять параметры безопасности?

Новая среда брандмауэра Windows

Чтобы увидеть новую среду брандмауэра Windows, сначала нужно ее найти. В Windows Server 2008 существует некоторая путаница в отношении того, где найти фактические параметры брандмауэра, а также где их настроить. Как и почти в любой операционной системе от Microsoft, большинство пользователей заходят в панель управления, чтобы найти параметры конфигурации. Если вы зайдете в панель управления брандмауэром Windows, вы найдете его, но он может не дать вам того, что вы ищете. На рис. 1 показано, что вы видите, когда щелкаете апплет брандмауэра Windows для Windows Server 2008.

Изображение 23218
Рис. 1. Апплет брандмауэра Windows Server 2008 в панели управления.

Обратите внимание на рис. 1, что для доступа к настройкам брандмауэра очень мало вариантов выбора. Прежде чем вы начнете щелкать, чтобы найти существующие правила брандмауэра, позвольте мне сказать вам, что вам будет трудно найти их из этого интерфейса.

Для Windows Server 2008 вам нужно будет войти в Диспетчер серверов, чтобы увидеть фактические правила брандмауэра и их конфигурации. Чтобы просмотреть правила брандмауэра Windows с помощью диспетчера серверов, выполните следующие действия:

  1. Нажмите «Пуск» — «Администрирование» — «Диспетчер серверов».
  2. В диспетчере серверов разверните узел «Конфигурация», затем узел «Брандмауэр Windows в режиме повышенной безопасности».
  3. Щелкните узел Inbound Rules, который откроет список всех входящих правил брандмауэра для этого компьютера, что также показано на рисунке 2.

Изображение 23219
Рисунок 2. Правила брандмауэра для входящего трафика

Для Windows Server 2008 R2 и Windows 7 Microsoft внесла некоторые изменения в доступ к правилам брандмауэра Windows. Вы по-прежнему можете использовать диспетчер серверов, но в апплете брандмауэра Windows через панель управления теперь вы можете получить доступ к правилам брандмауэра. Чтобы получить доступ к брандмауэру Windows и правилам с помощью панели управления на компьютерах с Windows Server 2008 R2 и Windows 7, просто щелкните пункт меню «Дополнительные параметры» в левой части окна, как показано на рисунке 3.

Изображение 23220
Рис. 3. Windows Server 2008 R2 и брандмауэр Windows 7.

Документирование настроек брандмауэра Windows

Я знаю, документация заставляет вас съеживаться, но поверьте мне, эта документация очень проста! Может быть две причины, по которым вы хотите задокументировать настройки брандмауэра Windows со своих серверов и настольных компьютеров. Во-первых, вы можете захотеть задокументировать аварийное восстановление. Если бы вы полностью потеряли сервер, без какой-либо другой формы резервного копирования, кроме документации настроек, то, по крайней мере, у вас есть это. Чтобы задокументировать настройки брандмауэра Windows, выполните следующие действия:

  1. Получите доступ к представлению «Правила для входящих подключений» и «Правила для исходящих подключений» (подробности см. на рис. 2).
  2. Щелкните правой кнопкой мыши узел «Правила для входящих подключений» и выберите параметр «Экспортировать список».
  3. Щелкните правой кнопкой мыши узел Outbound Rules и выберите параметр Export List.

(Для шагов 2 и 3 вы можете создать файл с разделителями табуляцией или запятыми)

Вторая причина того, что документирование настроек брандмауэра настолько важно, поскольку можно сделать быстрые ссылки на то, что настроено (или что было настроено) на каждом сервере. Часто вносятся изменения (обычно по ошибке или непреднамеренно), которые могут изменить настройку брандмауэра, конфигурацию порта, конфигурацию приложения и т. д. Чтобы исключить настройки брандмауэра как причину проблемы, нужно быстро сравнить задокументированные настройки с текущими настройками. Экспорт правил брандмауэра для входящего и исходящего трафика обеспечит этот уровень документации.

Сравнение существующих настроек с настройками по умолчанию

В дополнение к документированию существующих настроек также важно знать, каковы стандартные настройки брандмауэра по умолчанию. Часто бывают случаи, когда сервер настраивается, добавляются приложения, изменяются настройки и т. д., которые вносят изменения «под капотом». Во многих из этих случаев изменения, внесенные в течение одного месяца, не будут отображаться как проблема до следующего месяца или двух. По прошествии стольких лет изменения, вызвавшие проблему, очень трудно запомнить и отследить (конечно, если вы не ведете журналы изменений сервера, которые вы якобы ведете!).

Простой способ получить параметры брандмауэра по умолчанию для Windows Server 2008 и Server 2008 R2 — воспользоваться мастером настройки безопасности. В этом мастере находится база данных конфигурации безопасности. Эта база данных включает все «роли» серверов для этих платформ, которые представляют собой полный список служб, портов и настроек брандмауэра, необходимых для каждой роли. Дополнительные сведения о SCW и базе данных см. здесь.

Резюме

Крайне важно убедиться, что у вас есть задокументированные настройки брандмауэра Windows. Во многих случаях этот процесс сложен и занимает много времени. Напротив, это не относится к настройкам брандмауэра. Конечно, это может быть сложно с некоторыми операционными системами Windows, но это не должно быть так уж плохо. Windows Server 2008 R2 и Windows 7 значительно упрощают эту задачу, а Windows Server 2008 просто требует, чтобы вы знали, куда идти. Как только вы доберетесь туда, это легко задокументировать. Использование этих методов и приемов даст вам все, что вам нужно знать о настройках вашего брандмауэра.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023