2.方案概述

  • 格式:docx
  • 大小:28.47 KB
  • 文档页数:3

方案概述

更新时间:2009年8月

应用到:Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista

在本指南中,将通过逐步完成在典型方案中所必须执行的常见任务的过程,了解如何创建和部署高级安全Windows防火墙的设置。

具体而言,您将配置GPO中的设置以控制以下高级安全Windows防火墙选项:

 启用或禁用Windows防火墙,以及配置其基本行为。

 确定允许哪些程序和网络端口接收入站网络流量。

 确定允许或阻止哪种出站网络流量。

 支持使用多个端口或动态端口的网络流量,例如使用远程过程调用(RPC)或文件传输协议(FTP)的网络流量。

 要求所有进入特定服务器的网络流量都由Internet协议安全性(IPsec)身份验证保护并且可以选择进行加密。

您将使用多台计算机执行典型网络环境中的常见角色。这些计算机包括一台域控制器、一台成员服务器以及一台客户端计算机,如下图中所示。

在本指南中描述的方案包括查看和配置防火墙设置,以及配置域隔离环境。其中还包括服务器隔离,服务器隔离需要具有组成员身份才能访问服务器,也可以选择要求与服务器的所有流量均进行加密。最后,还包括允许受信任的网络设备绕过防火墙规则进行故障排除的机制。

将在以下部分介绍方案中的每个步骤。 检查客户端和服务器上的默认设置

在本节中,您将使用“控制面板”中的“Windows防火墙”设置、netsh命令行工具以及高级安全Windows防火墙Microsoft管理控制台(MMC)管理单元,检查CLIENT1和MBRSVR1计算机上的默认高级安全Windows防火墙设置。若要查看计算机上处于活动状态的当前配置以及防火墙和连接安全规则,直接在本地计算机上使用这些工具会很有用。本节还对可以使用高级安全Windows防火墙MMC配置的功能以及使用netsh命令行工具配置的功能进行了比较。

使用组策略部署基本防火墙设置

本节向您说明了如何创建包含基本防火墙设置的组策略对象(GPO),以及之后如何将该GPO应用到客户端计算机。为确保只有正确的计算机可以应用GPO设置,可使用安全组筛选和WindowsManagementInstrumentation(WMI)筛选来限制将GPO只应用于位于指定的计算机组以及运行指定Windows版本的计算机。

所配置的GPO包括一些基本的高级安全Windows防火墙设置(属于典型的企业GPO设置),例如:

 忽略用户(甚至本地管理员)创建的任何本地防火墙设置。

 确保使用指定的网络流量处理启用防火墙,并且不能禁用防火墙。

 当高级安全Windows防火墙阻止程序侦听某一网络端口时,计算机将不显示通知。

创建允许所需传入网络流量的规则

默认情况下,Windows防火墙会阻止所有与“允许”规则不匹配的传入网络连接。在不承载任何服务的客户端计算机上,这可能已经足够了。但对于任何用作网络服务的程序,您必须创建规则,以允许来自要连接到该应用程序或网络服务的远程计算机的未经请求的网络数据包。在本节中,您将创建并修改入站防火墙允许规则以完成下列操作:

 使用预定义规则组支持常见网络服务。

 允许程序侦听它需要操作的任何网络流量。

 仅允许程序侦听指定TCP或UDP端口上的网络流量。

 允许网络服务侦听网络流量。

 仅将来自指定IP地址的网络流量限制到特定类型的网络。

 基于计算机所连接的网络位置类型应用不同的防火墙行为。

 支持使用RPC的动态端口分配功能的程序。

将防火墙和IPsec集成到一个高级安全Windows防火墙接口的主要优势在于,如果网络流量受IPsec保护,它能够创建允许该流量的防火墙规则。这些规则在本指南中的服务器隔离和经过身份验证的绕过部分中讨论。

阻止不需要的出站网络流量 默认情况下,Windows防火墙允许所有出站网络连接。由于潜在出站网络感知客户端程序数量巨大且种类繁多,因此,尝试限制出站流量将会是一项艰巨的工作。但是,在某些组织中,如果应用程序的批准列表已知,并且其安全性规定不得允许其他应用程序访问该网络,则高级安全Windows防火墙支持将默认出站规则更改为阻止出站允许规则不允许的网络流量。在本节中,您将配置防火墙以阻止所有出站流量,然后创建出站防火墙规则,只允许批准的程序从计算机发送出站流量。

部署基本域隔离策略

在本节中,您将对您的域成员计算机创建IPsec连接安全规则,只允许来自经过身份验证的域成员计算机的传入网络连接请求。

通过要求加密和组成员身份隔离服务器

在本节中,您将通过创建连接安全和防火墙规则,要求服务器或服务器组只允许来自授权组成员计算机的网络流量,从而扩展在前一节中创建的身份验证规则。这些规则还指定必须加密出入这些服务器的流量。

创建允许受IPsec保护的网络流量绕过阻止规则的防火墙规则

当您设置了防火墙和连接安全规则并运行之后,通常会阻止网络安全工具(如端口扫描程序),使其无法执行作业。高级安全Windows防火墙可允许您创建防火墙允许规则,仅当满足特定要求时才能够覆盖阻止规则。在本节中,您将配置防火墙和连接安全规则,以允许受IPsec保护的网络流量绕过防火墙阻止规则。您还将进一步限制这些规则,只允许经过特别授权的用户或计算机,如网络故障排除和安全组使用的网络端口扫描程序。

创建隧道模式IPsec连接安全规则

您为上述方案创建的这些规则全部都使用IPsec传输模式规则。传输模式提供了从初始的源主机一直到最终的目标主机的端到端保护。IPsec支持另一种模式的操作呼叫隧道模式,在这种模式下,只对两个主机之间的部分路径保护IPsec通信。在本节中,您将配置隧道模式连接安全规则,以允许客户端计算机通过IPsec网关访问远程网络。

下一主题:部署高级安全Windows防火墙的技术概述