Windows Server 2008ファイアウォールアドバンストアプリケーション

Windows Server 2008では、組み込みのファイアウォールがこれまでにないほど改善され改良されてきました。そしてそれはもはやオリジナルの "チキンリブ"ではありません。以下では、以下の高度なアプリケーション構成を調べます。

高度なセキュリティを備えたWindowsファイアウォールは、ホストファイアウォールとIPSecを組み合わせたものです。境界ファイアウォールとは異なり、セキュリティが強化されたWindowsファイアウォールは、このバージョンのWindowsを実行しているすべてのコンピュータ上で動作し、境界ネットワークを通過したり組織内から発生したりするネットワーク攻撃に対するローカル保護を提供します。また、通信のために認証とデータ保護を要求することを可能にするコンピュータ間の接続セキュリティも提供します。

これはWindows Server 2008のAdvanced Security Windowsファイアウォール（WFAS）です。次の新機能があります。

1、新しいグラフィカルインターフェース。

この高度なファイアウォールは、管理コンソールから設定されています。

2.双方向保護。

送信トラフィックと受信トラフィックをフィルタリングします。

3、IPSECとのより良い協力。

セキュリティが強化されたWindowsファイアウォールは、Windowsファイアウォール機能とインターネットプロトコルセキュリティ（IPSec）を単一のコンソールに統合します。これらの詳細オプションを使用して、環境に応じて鍵交換、データ保護（整合性と暗号化）、および認証設定を構成します。

4.高度なルール設定。

Windows Server上のさまざまなオブジェクトに対してファイアウォールルールを作成し、トラフィックが高度なセキュリティでWindowsファイアウォールを通過することを遮断または許可するようにファイアウォールルールを設定できます。

受信パケットがコンピュータに到着すると、セキュリティが強化されたWindowsファイアウォールがそのパケットをチェックし、それがファイアウォール規則で指定された基準を満たしているかどうかを判断します。パケットがルールの条件に一致すると、セキュリティが強化されたWindowsファイアウォールは、ルールで指定されている処理を実行して、接続をブロックするか接続を許可します。パケットがルールの基準に一致しない場合、セキュリティが強化されたWindowsファイアウォールはパケットを破棄し、ログ記録が有効になっている場合はファイアウォールログファイルにエントリを作成します。

ルールを設定する際に、さまざまな標準から選択できます。アプリケーション名、システムサービス名、TCPポート、UDPポート、ローカルIPアドレス、リモートIPアドレス、設定ファイル、インターフェイスの種類（ネットワークアダプタ、ユーザー、ユーザーグループ、コンピュータ、コンピュータグループ、プロトコル、ICMPの種類など。ルールの標準はまとめて追加され、標準を追加するほど、セキュリティが強化されたWindowsファイアウォールは受信トラフィックに一致します。

双方向の保護、優れたグラフィカルインターフェイス、および高度なルール設定を追加することで、この高度なセキュリティのWindowsファイアウォールは、ZoneAlarmProなどの従来のホストベースのファイアウォールと同じくらい強力になりました。

この高度なファイアウォールを使用することで、サーバーを攻撃からよりよく強化し、他のユーザーを攻撃するためにサーバーを悪用されないようにし、実際にサーバーに送受信されるデータを特定できます。これらの目標を達成する方法を見てみましょう。

で

前のWindowsServerでWindowsファイアウォール

高度なセキュリティを設定し、することができます。ネットワークアダプタを設定するか、コントロールパネルからWindowsファイアウォールを設定します。この設定はとても簡単です。

Windows Advanced Security Firewallの場合、ほとんどの管理者はWindows Server ManagerまたはWindows Advanced Security Firewall MMCスナップインから設定できます。以下は、2つの構成インターフェイスのスクリーンショットです。

図1、Windows Server 2008サーバーマネージャ

< BR>図2. Windows 2008 Advanced Security Firewall管理コンソール

このWindows Advanced Security Firewallを起動する最も簡単で迅速な方法は、次に示すように[スタート]メニューの検索ボックスに「firewall」と入力することです。 >

図3. Windows 2008 Advanced Security Firewall管理コンソールをすばやく起動する方法

さらに、コマンドラインツールを使用してネットワークコンポーネントを設定することもできます。 Windows Advanced Security Firewallを設定するためのNetsh。 netshadvfirewallを使用して、IPv4トラフィックとIPv6トラフィックの両方に対して高度なセキュリティを備えた一連のWindowsファイアウォール設定を自動的に構成するためのスクリプトを作成します。また、netshadvfirewallコマンドを使用して、セキュリティが強化されたWindowsファイアウォールの構成とステータスを表示することもできます。

新しいWindows Advanced Security Firewall MMCスナップインで何を構成できますか？

この新しいファイアウォール管理コンソールで非常に多くの機能を設定できるので、それらすべてについて言及することはできません。 Windows 2003の内蔵ファイアウォールの設定グラフィカルインターフェイスを見たことがある方は、この新しいWindows Advanced Security Firewallには非常に多くのオプションが隠されていることがすぐにわかります。私がみんなに紹介するために最も一般的に使われる機能のいくつかを選んでみましょう。

デフォルトでは、Windows Advanced Securityファイアウォール管理コンソールを最初に起動したときに、Windows Advanced Securityファイアウォールがデフォルトで有効になっており、受信規則に一致しない受信接続がブロックされています。さらに、この新しいアウトバウンドファイアウォールはデフォルトで無効になっています。

もう1つ注意しなければならないことは、このWindows Advanced Security Firewallには、ユーザーが選択できる複数の構成ファイルがあるということです。

図4. Windows 2008 Advanced Security Firewallで提供される構成ファイル

このWindows Advanced Security Firewallにはドメイン構成ファイルがあります。専用プロファイルとパブリックプロファイル。構成ファイルは、ファイアウォールの規則や接続セキュリティの規則など、コンピューターの場所に基づいて適用される設定をグループ化する方法です。たとえば、コンピュータが企業内のLANにあるのか、それとも地元の喫茶店にいるのかによって異なります。

私の意見では、私たちが説明したWindows 2008 Advanced Security Firewallの改良点の中で最も重要な改良点は、より複雑なファイアウォール規則です。次に示すように、Windows Server 2003ファイアウォールに例外を追加するためのオプションを見てください。

図5、Windows2003Serverファイアウォールの例外ウィンドウ

Windows2008Serverの比較設定ウィンドウ

図6、Windows2008Server高度なファイアウォールの例外設定ウィンドウ

小でちょうどこのマルチタブウィンドウそのプロトコルとポートのラベルに注意してください。パートユーザーとコンピュータ、プログラムとサービス、およびIPアドレス範囲にもルールを適用できます。この複雑なファイアウォールルール構成により、マイクロソフトはWindows Advanced Security FirewallをマイクロソフトのIASサーバーに移行しました。

Windows Advanced Security Firewallが提供するデフォルトの規則の数も驚くべきものです。 Windows 2003 Serverでは、デフォルトの例外ルールは3つしかありません。 Windows 2008 Advanced Security Firewallは、約90の既定の受信ファイアウォール規則と少なくとも40の既定の送信規則を提供します。

図7、Windows2008Server高度なファイアウォールのデフォルトインバウンドルール

< Br>

では、この新しいWindows Advanced Firewallを使用してどのようにルールを作成するのですか。見てみましょう。

カスタムインバウンドルールを作成するにはどうすればよいですか。

既にWindows 2008サーバにWindows版のApache Webサーバをインストールしている場合。 Windows内蔵のIIS Webサーバーを既に使用している場合は、このポートが自動的に開きます。ただし、現在サードパーティのWebサーバーを使用しており、インバウンドファイアウォールを開いているので、このウィンドウを手動で開く必要があります。

手順は次のとおりです。

・ブロックするプロトコルを指定します。この例では、TCP /IP（UDP /IPまたはICMPに対応）です。

・送信元IPアドレス、送信元ポート番号、送信先IPアドレス、および送信先ポートを特定します。私たちが行っているWeb通信は、任意のIPアドレスと任意のポート番号からこのサーバーのポート80に流れるデータ通信です。 （ここではapacheHTTPサーバーのような特定のプログラム用のルールを作成できます）。

・Windows Advanced Securityのファイアウォール管理コンソールを開きます。

・ルールの追加 - Windows Advanced Security Firewall MMCの[新しいルール]ボタンをクリックして、新しいルールを起動するためのウィザードを起動します。

図8、Windows2008Server高度なファイアウォール管理コンソール - 新しいルール]ボタン

・作成したいポートを選択しますルール

・プロトコルとポート番号の設定 - デフォルトのTCPプロトコルを選択し、ポートとして80と入力して[次へ]をクリックします。

・デフォルトの[接続を許可する]を選択して[次へ]をクリックします。

・すべてのプロファイルにこのルールを適用するデフォルトを選択して、[次へ]をクリックします。

・このルールに名前を付けて、[次へ]をクリックします。ルールを作成した後

図9、Windows2008Server高度なファイアウォール管理：
は、

この時点で、あなたはルールの次の図を取得しますコンソール

が設定されました。

で