Windows system >> Windowsの知識 >  >> Windows 2003システムチュートリアル >> Windows 2003のよくある質問 >> Windows 2008アドバンストファイアウォールの設定方法

Windows 2008アドバンストファイアウォールの設定方法

  

Microsoft Windows Server 2003のファイアウォールの機能は非常に単純なので、多くのシステム管理者はそれをチキンリブと見なしています。ファイアウォールそして、Windows Server 2008が私たちに近づくにつれて、その組み込みのファイアウォール機能は大幅に改善されました。この新しい高度なファイアウォールがシステムの保護にどのように役立つか、および管理コンソールユニットを使用してシステムを構成する方法を見てみましょう。

なぜこのWindowsホストベースのファイアウォールを使うべきなのでしょうか。

今日、多くの企業が外部のセキュリティハードウェアを使用してネットワークを強化しています。つまり、ファイアウォールや侵入防御システムを使用して、インターネット上の悪意のある攻撃者からネットワークを保護するための壁をネットワークの周りに作成します。しかし、攻撃者が境界の防御を突破して内部ネットワークにアクセスすることができるのであれば、Windows認証セキュリティのみが、企業の最も重要な資産であるデータへのアクセスを阻止します。

これは、ほとんどのIT担当者がサーバーを強化するためにホストベースのファイアウォールを使用していないためです。なぜこれが起こっているのですか?ほとんどのIT担当者は、ホストベースのファイアウォールを展開する際の問題は、もたらす価値よりも大きいと考えているからです。

この記事を読んだ後で、Windowsをホストベースのファイアウォールと見なすことができます。 Windows Server 2008では、このホストベースのファイアウォールはWindowsに組み込まれてプレインストールされており、以前のバージョンよりも多くの機能を備えており、構成も簡単です。重要な基盤となるサーバーを強化するための最良の方法の1つです。高度なセキュリティを備えたWindowsファイアウォールは、ホストファイアウォールとIPSecを組み合わせたものです。境界ファイアウォールとは異なり、セキュリティが強化されたWindowsファイアウォールは、このバージョンのWindowsを実行しているすべてのコンピュータ上で動作し、境界ネットワークを通過したり組織内から発生したりするネットワーク攻撃に対するローカル保護を提供します。また、通信のために認証とデータ保護を要求することを可能にするコンピュータ間の接続セキュリティも提供します。

では、このWindows Server Advanced Firewallはどのように機能しますか。また、どのように構成しますか。それを見続けましょう。

新しいファイアウォールには機能とヘルプが用意されています。

Windows Server 2008に組み込まれているファイアウォールは「高度」になりました。これは私がそれが先進的であると言っているということだけではありません、マイクロソフトは今それをAdvanced Security Windowsファイアウォール(WFAS)と呼んでいます。

以下は、新しい名前を証明できる新機能です。

1.新しいグラフィカルインターフェイス。

この高度なファイアウォールは、管理コンソールから設定されています。

2、双方向保護。

送信トラフィックと受信トラフィックをフィルタリングします。


3、IPSECとのより良い協力。

セキュリティが強化されたWindowsファイアウォールは、Windowsファイアウォールの機能とインターネットプロトコルセキュリティ(IPSec)を単一のコンソールに統合します。これらの詳細オプションを使用して、環境に応じて鍵交換、データ保護(整合性と暗号化)、および認証設定を構成します。

4、高度なルール設定。

Windows Server上のさまざまなオブジェクトに対してファイアウォール規則を作成し、トラフィックが高度なセキュリティでWindowsファイアウォールを通過することを遮断または許可するようにファイアウォール規則を構成できます。

受信パケットがコンピュータに到着すると、セキュリティが強化されたWindowsファイアウォールがそのパケットをチェックし、それがファイアウォール規則で指定された基準を満たしているかどうかを判断します。パケットがルールの条件に一致すると、セキュリティが強化されたWindowsファイアウォールは、ルールで指定されている処理を実行して、接続をブロックするか接続を許可します。パケットがルールの基準に一致しない場合、セキュリティが強化されたWindowsファイアウォールはパケットを破棄し、ログ記録が有効になっている場合はファイアウォールログファイルにエントリを作成します。

ルールを設定する際に、さまざまな標準から選択できます。アプリケーション名、システムサービス名、TCPポート、UDPポート、ローカルIPアドレス、リモートIPアドレス、設定ファイル、インターフェースタイプ(ネットワークアダプタ、ユーザー、ユーザーグループ、コンピュータ、コンピュータグループ、プロトコル、ICMPの種類など。ルールの標準はまとめて追加され、追加する標準が多いほど、セキュリティが強化されたWindowsファイアウォールは受信トラフィックと一致します。

双方向の保護、優れたグラフィカルインターフェイス、および高度なルール設定を追加することで、この高度なセキュリティのWindowsファイアウォールは、ZoneAlarm Proなどの従来のホストベースのファイアウォールと同じくらい強力になっています。

ホストベースのファイアウォールを使用するサーバー管理者は、最初に次のように考えています。これは、この重要なサーバーベースのアプリケーションの通常の運用に影響しますか?ただし、これはあらゆるセキュリティ対策で考えられる問題であり、Windows 2008 Advanced Security Firewallはこのサーバーに追加された新しい役割に対して新しい規則を自動的に構成します。ただし、サーバー上でマイクロソフト以外のアプリケーションを実行しており、インバウンドネットワーク接続が必要な場合は、通信の種類に基づいて新しいルールを作成する必要があります。

この高度なファイアウォールを使用することで、サーバーを攻撃からよりよく強化し、他のユーザーを攻撃するためにサーバーを悪用されないようにし、実際にサーバーに送受信されるデータを特定できます。これらの目標を達成する方法を見てみましょう。

Windowsファイアウォールの高度なセキュリティを設定するためのオプションについて

以前のWindows Serverでは、ネットワークアダプタを設定するか、コントロールパネルからWindowsファイアウォールを設定することができました。この設定はとても簡単です。

Windows Advanced Security Firewallの場合、ほとんどの管理者はWindows Server ManagerまたはWindows Advanced Security Firewall MMCスナップインから設定できます。以下は、2つの設定インターフェイスのスクリーンショットです。

図1、Windows Server 2008サーバーマネージャ

図2、Windows 2008の高度なセキュリティファイアウォール管理コンソール

起動したことがわかりましたこのWindows Advanced Securityファイアウォールを取得する最も簡単で最速の方法は、次に示すように、[スタート]メニューの検索ボックスに「firewall」と入力することです。

図3.クイックスタートWindows 2008 Advanced Securityファイアウォール管理コンソール

または、ネットワークコンポーネントの設定を構成するコマンドラインツールであるNetshを使用してWindows Advanced Securityファイアウォールを構成することもできます。 netsh advfirewallを使用して、IPv4トラフィックとIPv6トラフィックの両方に対して高度なセキュリティを備えた一連のWindowsファイアウォール設定を自動的に構成するスクリプトを作成します。また、netsh advfirewallコマンドを使用して、セキュリティが強化されたWindowsファイアウォールの構成と状態を表示することもできます。

この新しいファイアウォール管理コンソールで非常に多くの機能を設定できるので、それらすべてについて言及することはできません。 Windows 2003の内蔵ファイアウォールの設定グラフィカルインターフェイスを見たことがある方は、この新しいWindows Advanced Security Firewallには非常に多くのオプションが隠されていることがすぐにわかります。私がみんなに紹介するために最も一般的に使われる機能のいくつかを選んでみましょう。

デフォルトでは、Windows Advanced Securityファイアウォール管理コンソールに最初にアクセスしたときに、Windows Advanced Securityファイアウォールがデフォルトで有効になっており、受信規則に一致しない受信接続がブロックされています。さらに、この新しいアウトバウンドファイアウォールはデフォルトで無効になっています。

もう1つ注意することは、このWindows Advanced Security Firewallには、ユーザーが選択できる複数の構成ファイルがあるということです。

図4. Windows 2008 Advanced Security Firewallで提供される構成ファイル

このWindows Advanced Security Firewallには、ドメイン構成ファイル、専用の構成ファイル、およびパブリック構成ファイルがあります。構成ファイルは、ファイアウォールの規則や接続セキュリティの規則など、コンピューターの場所に基づいて適用される設定をグループ化する方法です。たとえば、コンピュータが企業内のLANにあるのか、それとも地元の喫茶店にいるのかによって異なります。

私の意見では、私たちが議論したWindows 2008 Advanced Security Firewallのすべての改善点の中で、最も重要な改善点はより複雑なファイアウォールルールです。以下に示すように、Windows Server 2003ファイアウォールに例外を追加するオプションを見てください。

図5、Windows 2003 Serverファイアウォールの例外ウィンドウ

Windows 2008 Serverの設定ウィンドウを比較しましょう。

図6. Windows 2008 Serverの高度なファイアウォール例外設定ウィンドウ

プロトコルラベルとポートラベルは、このマルチラベルウィンドウのほんの一部にすぎません。ユーザーとコンピュータ、プログラムとサービス、およびIPアドレス範囲にもルールを適用できます。この複雑なファイアウォールルール構成により、マイクロソフトはWindows Advanced Security FirewallをマイクロソフトのIASサーバーに移行しました。

Windows Advanced Security Firewallが提供するデフォルトのルールの数も驚くべきものです。 Windows 2003 Serverでは、デフォルトの例外ルールは3つしかありません。 Windows 2008 Advanced Security Firewallは、約90の既定の受信ファイアウォール規則と少なくとも40の既定の送信規則を提供します。

図7、Windows 2008 Server Advancedファイアウォールの既定の受信規則

では、この新しいWindows Advanced Firewallを使用して規則をどのように作成しますか。見てみましょう。カスタムインバウンドルールを作成する方法Windows 2008 ServerにWindows版のApache Webサーバーをインストールしたとします。 Windows内蔵のIIS Webサーバーを既に使用している場合は、このポートが自動的に開きます。ただし、現在サードパーティのWebサーバーを使用しており、インバウンドファイアウォールを開いているので、このウィンドウを手動で開く必要があります。手順は次のとおりです。·マスクしたいプロトコルを特定します - この場合はTCP /IP(UDP /IPまたはICMPに対応)です。

·送信元IPアドレス、送信元ポート番号、送信先IPアドレス、および送信先ポートを識別します。私たちが行っているWeb通信は、任意のIPアドレスと任意のポート番号からこのサーバーのポート80に流れるデータ通信です。 (ここでApache HTTPサーバーなどの特定のプログラム用のルールを作成できます)。


· Windows Advanced Securityのファイアウォール管理コンソールを開きます。

·規則の追加 - Windows Advanced Security Firewall MMCの[新しい規則]ボタンをクリックして、新しい規則を起動するためのウィザードを起動します。

図8、Windows 2008 Serverの高度なファイアウォール管理コンソール - [新しいルール]ボタン

·ポート用に作成するルールを選択します。 ·プロトコルとポート番号の設定 - デフォルトのTCPプロトコルを選択し、ポートとして80と入力して、[次へ]をクリックします。 ·デフォルトの[接続を許可する]を選択し、[次へ]をクリックします。 ·このルールをすべてのプロファイルに適用するデフォルトを選択して、[次へ]をクリックします。 ·このルールに名前を付けて[次へ]をクリックします。この時点で、次の図のようなルールが表示されます。

図9、ルール作成後のWindows 2008 Server Advancedファイアウォール管理コンソール

このルールが有効になっていない場合私が最近インストールしたApache Webサーバーは機能しません。ただし、この規則を作成した後は正常に機能します。

まとめ:ファイアウォールの設定ファイル、複雑なルール設定、元の30倍の数のデフォルトルール、そしてこの記事には記載されていない多くの高度なセキュリティ機能を使って、大きな改善を試みる価値があります。 Windows 2008 Serverの高度なセキュリティファイアウォールは確かに真の名前であり、実際にマイクロソフトが呼んでいる高レベルのファイアウォールです。この内蔵の無料の高度なホストベースのファイアウォールは、Windows Serverが将来さらに安全になることを保証します。しかし、あなたがそれを使わなければ、それはあなたを助けません。それで、あなたが今日この新しいWindows Advanced Firewallを経験することを願っています。
zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved