Állítsd be a konfigurációs Windows tűzfal, Windows IT Pro
Tippek előállítására tűzfal szűrni a hálózati forgalom
Az előkészítő szakasz
Ha az Active Directory (AD), egy asztali számítógép egy tartomány tagja a megfelelő fiókot, a legegyszerűbb módja, hogy a Windows tűzfal a felhasználók hitelesítésére - használja GPO csoportházirend-objektumot (GPO). Telepítése után XP SP2 a tűzfalat beállításai, ha újraindítja a gépet, és minden egyes alkalommal, amikor a politika frissítés. Ha ön használ címtármenedzselő harmadik féltől származó termékek vagy az üzleti nem ellenőrzi a számítógép rendszergazdája, akik nem részei AD domain, akkor a beállításokat a Windows tűzfal helyett GPO, akkor batch fájlokat vagy szkripteket. Állítsa be a tűzfal konfigurációs lehet, és ennek során az automatikus vagy interaktív XP SP2 telepítési eljárásokat.
Konfigurálása Windows tűzfal
Első konfigurálása Windows tűzfal, tisztában kell lennie a fő jellemzői a tűzfal:
Mielőtt a Windows tűzfal konfigurációt kell leltárt készít alkalmazások munkaállomások és szerverek is szervez végpontok vegyületek; által használt portok alkalmazások és az operációs rendszer; forgalmi források az egyes gazda Windows tűzfal. Mobil rendszerek, mint például a laptopok, közben a leltár során figyelembe kell venni az eltérő jellegét hálózati forgalmat, amikor a rendszer kapcsolódik a vállalati hálózathoz tartományvezérlő és az aktív profil Domain Windows tűzfal tűzfal, ellentétben a rendszer csatlakozik a nyilvános hálózathoz aktív standard profilt. csak a szükséges bejövő forgalmat a tűzfalon keresztül, hogy minimalizáljuk a fenyegetések hálózatra csatlakoztatott mobil gépek mindig választhat a standard profil és megoldására.
Amikor beállítja a Domain profil és a Standard Windows tűzfal tűzfal ajánlott beállítani kivételek speciális alkalmazásokhoz. Megszüntetésével alkalmazás állíthatja be tetszőleges végpontok és kap a forgalom rajtuk keresztül. Két jó ok, hogy rendelni kivételek alkalmazásokhoz. Először is, könnyebb azonosítani és leírni az alkalmazás, hanem az egyes kikötőkben használnak, különösen azért, mert az által használt portok sok alkalmazás, amelyek nem teljesen dokumentált, vagy dinamikusan hozzárendelve. Másodszor, a legtöbb alkalmazás, beleértve a jogosulatlan használat azonos port, mint a törvényes alkalmazását; meghatározva az alkalmazás helyett a port, akkor távolítsa el a jóvá nem hagyott alkalmazás telepítéséhez végpontok kapcsolatot. Amikor csak lehetséges, hogy nem ajánlott, hogy a kivétel a Standard Profile, és elutasítja az összes bejövő kapcsolatokat.
A Windows tűzfal szerverek
Egyes kiszolgálók beállítása Windows tűzfal egyszerű. Például menedzselt önálló web-szerver a demilitarizált zóna (DMZ) csak akkor van szükség a bejövő kapcsolatok fogadására alkalmas kikötői 80 / TCP (HTTP) vagy 443 / TCP (HTTP Secure-HTTPS), ha a tanúsítvány telepítve és engedélyezve van az SSL védelem (Secure Sockets Layer).
A kiszolgáló két vagy több felületek, amelyek közül az egyik felület csatlakozik az internetre, és mások - a vállalati hálózathoz, akkor aktiválhatja a Windows tűzfal, majd tiltsa le az összes csatolón kivéve az internet, és a tűzfal, így csak a szükséges bejövő a felületen csatlakozó Internet.
Sok szerver, köztük azokat, amelyek futnak a sok alkalmazás és szolgáltatás, amelyek szelektív beállítás Windows tűzfal. Ez szükséges portokat, hogy hallgat, alkalmazások és szolgáltatások, megválni felesleges port, és állítsa be a Windows tűzfal a szükséges portokat. Határozza meg a port nyitva, és hallgatni a az alkalmazások és szolgáltatások A netstat parancs (Netstat.exe), javult a legújabb szervizcsomagot. Megadva a parancssorban
lehet látni minden nyitott TCP-portok (függetlenül az állam) és UDP-portok a rendszerben, a folyamat azonosító (PID) minden egyes hatóanyag (a mintát a kimeneti információ az 1. ábrán látható). Mint említettük, a Windows tűzfal be lehet állítani, hogy a bejövő forgalmat a megnevezett alkalmazási, függetlenül a port figyel rájuk. Netstat egyetlen hátránya, hogy a csapat egy „pillanatfelvétel” a rendszer. Vele, akkor nem tudja azonosítani az alkalmazásokat, szolgáltatásokat és kikötők, ha ezek az alkalmazások inaktív idején elindítása Netstat. Ahhoz, hogy megbízható képet, akkor lehet, hogy egy pár kép különböző időpontokban.
Javasoljuk, hogy aktiválja a Windows tűzfal naplózási funkció befejezése után a kiszolgáló beállításait. Akkor információkat rögzíthet sikeres és sikertelen kapcsolat. Ha a konfigurációs és aktiválása Windows tűzfal problémái egyes alkalmazások, akkor információt a naplókat, megadhatja további portok kell nyitni. Konfigurálja a naplózási funkciót, nyissa meg a Vezérlőpult, a segédprogram futtatásához Windows tűzfal, majd a Speciális fülre, majd a Beállítások gombra a Biztonsági naplózás részben. Nyílt Log Settings párbeszédablak (képernyő 2). Windows tűzfal folyóirat kell tartani a gyors lemez, és a maximális méret elegendőnek kell lennie ahhoz, hogy rögzítse a szükséges információkat sokáig. Érvényesítse a Windows tűzfal beállításait, akkor naplózás kikapcsolásához.
2. képernyő: konfigurálása Windows tűzfal log
A Windows tűzfal be lehet állítani, és így továbbítja a hitelesített IPsec forgalmat a megbízható gépeket, hogy megkerülje a tűzfal. Ebben a módban, akkor át a szerverek és munkaállomások, így telt csak a szükséges kliens forgalom, miközben teljes hozzáférést biztosít az adminisztráció munkaállomásokhoz és szerverekhez.
mindig készen áll
Befejezése után a felkészülés a telepítését Windows tűzfal ajánlott aktiválja a tűzfalat, először egy kísérleti csoportja számára. Ha egy teszt során telepítését semmilyen problémát, aktiválni kell a naplózási mód; naplók információkat tartalmaznak, amelyek segítenek meghatározni az oka a problémákat. Miután a hibaelhárítás, és sikeresen telepíteni a Windows tűzfal lesz felbecsülhetetlen értékű eleme a vállalati biztonság.
John Howe - menedzsere a gyakorlati képzés központjában Microsoft Security Center of Excellence. Ez egy CISSP tanúsítás, CISM és CISA. [email protected]
további források
További információt a Windows tűzfal, keresse fel a következő web-oldalak:
Ossza meg képeit barátaival és kollégáival