の分析には、「Windowsサーバーにどのファイアウォールを選択すればよいのかわからない」という問題があります。実際、人々はこの問題についてよく私に相談しますが、私は最善の答えを見つけることができませんでした。多くの場合、サーバーがハードウェアファイアウォールで保護されている場合でも、サーバー自体に追加のソフトウェア保護をインストールしたいと思います。私のサーバーは遠隔地にあり、それらを保護するためのハードウェアレベルのファイアウォールがない場合があるので、それらを安全に保つためにサーバーにソフトウェアをインストールすることに完全に頼らなければなりません。
このように聞こえるのは簡単です。しかし実際には、私はいつの日か完璧なWindowsファイアウォールを見つけるのを待つのに十分な忍耐力を持っていたので、何度も理想的な選択がIptables Linuxを展開することであるかについて私に相談した人に説明する必要はありません。私はようやく最善のWindowsファイアウォールソリューションを見つけたと思ったことが何度もありましたが、それが私の失望のほんの始まりにすぎませんでした。
TCP /IPフィルタの速度は確かに非常に高速ですが、あなたはTCP /IPフィルタを使用する場合、あなたは間違いなく保護の別の層を追加する必要があるため、その利点は、これだけに限定されています。
のIPSecを使用すると、適用可能なルール、フィルタリングの条件を選ぶときは、グラフィカルインタフェースまたは設定するには、コマンド・ライン・インターフェースを介してすることができ、良いですが、それは、グラフィカルインタフェースまたはコマンドラインインターフェイスであるかどうか混乱する可能性があります。 IPSecが「パッケージ」をフィルタリングするため、ネットワーク自体が10%から15%遅くなる可能性があるため、この時点でネットワークの速度が低下していることがわかります。ちなみに、私がIPSecを嫌う理由は他にもあります。Windowsイベントの形式でログを記録します - ファイアウォールのログを見たい場合は、それらのイベントログをクリックして必要なものを見つける必要があります。あなたが欲しいもの - これは私がそれを使うことをあきらめるのに十分です。で
インターネット接続ファイアウォール(ICF)Windows Server 2003のわずかに優れている、それは良いパフォーマンス、およびルールで一定の柔軟性を有します。 Windows Server 2003 SP1がリリースされると、新しいWindowsファイアウォールはさらに良くなります。 Windowsファイアウォールは大きな前進です、そしてそれはグループポリシーを持っています。残念なことに、Windowsファイアウォールでは、オリジネータにルールを設定することは許可されていませんし、リモート管理と通信サービスも必要です - これらは通常必要ありません。
RASいくつかはどのように行うために求めることができますか?あなたはそれがパケットフィルタリングを持っていることに気付いたかもしれません、そして実際にそれはフィルタを設定するために他のツールのための素晴らしいAPIインターフェースを提供します。ただし、これらのフィルタはICMPなどの基になるプロトコルを制御しないため、実際にはあまり役に立ちません。
は、多くの非常に良いパーソナルファイアウォールは、デスクトップシステム上で実行することができますがありますが、彼らは必要なサーバのユーザに到達することはできません。それらのいくつかは明らかに同様の製品のレベルを超えていますが、すべてのパーソナルファイアウォールの一般的な問題は次のとおりです。単純なロギングツール、遅い実行効率、そして何より最悪の場合、ほとんどのパーソナルファイアウォールが流通しています。量が非常に多い場合は、システムが青色になる可能性があります。 Windowsとのそれらの組み合わせからこれらの問題
パーソナルファイアウォール。それらはいくつかの方法でパケットを傍受します、そしてこれもそれらの欠陥のいくつかを引き起こします。パーソナルファイアウォール製品の中には、システムカーネル情報の傍受やハードウェアドライバの上書きを伴うものがあります。この働き方のために、あなたは彼らの製品が安定していることを祈るほうがいいです、そうでなければあなたはしばしばブルースクリーン現象を見るでしょう、あなたは循環が比較的大きいとき、私たちはしばしばシステムブルースクリーンを見るでしょう。もう1つの問題は、これらのパーソナルファイアウォールの動作モードのために、通常は撤回されるため、サーバーの場合のように、PCに2セットのパーソナルファイアウォールを同時にインストールしようとしないことです。それ以外の場合は、いくつかの問題が発生する可能性があります。パーソナルファイアウォールは、無人サーバーには適していません。ほとんどのパーソナルファイアウォールは、パケットを傍受するときにダイアログボックスを表示し、ユーザーが処理方法や操作方法を選択できるようにするためです。いくつかのファイアウォール私はまたターミナルサービスがシステムトレイアイコンを通してうまくアクセスできなかったことがわかりました。
Windowsファイアウォールに最適な解決策を見つけたのは、Windows ServerにISA Server 2004をインストールしようとしたときでした。驚いたことに、それは非常にうまく機能します。それは非常に機能的であり、個人版に対する保護の点では類似していますが、より安定して動作します。私はそれが唯一の問題を抱えていることに気付きました:ISA Server 2004のためのライセンスはサーバー自体よりも高価です。これは、ユーザーが受け入れるのを難しくします。
今何をすればいいですか?私は私のサーバーを保護するために小さなハードウェアレベルのファイアウォールにお金を使うのであれば - 私は時々それをしばらくの間放置しなければならないという理由で - それは本当に頭がおかしいです。
は、すべての希望は、今後の「ロングホーン(ロングホーン)」システムに近い将来に、少なくとも、Microsoftは新しいフィルタプラットフォームWFPを作成するために取り組んでいる、失われません。このバージョンの実際のリリース日は今後1年か2年になるかもしれません。 WFPは、オペレーティングシステム内の統合パッケージフィルタリング
テクノロジ
のためのソリューションです。で
将来、サードパーティ製のファイアウォールベンダーは、単純ルールのみを設定する機能を提供し、WFPシステムにアクセスする可能性があります。 WFPは、新しいTCP /IPプロトコルの複数層をサポートする予定であり、トラフィックが解析される前にフィルタリングできます。 WFPはIPv6もサポートしています。 WFPは素晴らしく聞こえますが、それでも今日私たちを助けることはできません、それは私たちから少し離れています。そして、それが効果的で安定しているかどうかにかかわらず、実際の使用において観察する必要があります。
答えは単純すぎると思うかもしれませんが、もちろんそうではありません。これらはまだ私たちを驚かせます。現在、Windows Server Firewallに最適なソリューションは存在しません。zh-CN"],null,[1],zh-TW"]]]