Настройка брандмауэра windows 2003

Советы по подготовке брандмауэра к фильтрации сетевого трафика

В состав версий Windows Server 2003 Service Pack 1 (SP1) и Windows XP SP2 входит размещаемый в системе брандмауэр Windows Firewall, гораздо более эффективный, чем его предшественник, Internet Connection Firewall (ICF). В отличие от ICF, который поставлялся с Windows 2003 и XP, Windows Firewall подходит для развертывания в масштабах предприятия благодаря возможности управлять политиками брандмауэра из единого центра, нескольким интерфейсам настройки и множеству новых функций безопасности. В этой статье я расскажу о том, как лучше подойти к планированию, настройке конфигурации и применению брандмауэра на предприятии.

Подготовительный этап

Важно помнить о выбираемом по умолчанию режиме Windows Firewall. В XP SP2 брандмауэр Windows Firewall активен по умолчанию, а в Windows 2003 SP1 его стандартное состояние — выключенное, если только SP1 не развертывается на системе с запущенным ICF. В этом случае режим брандмауэра не изменяется. Если пакет SP1 размещен на установочном компакт-диске с операционной системой, то Windows Firewall всегда активизируется в режиме включения по умолчанию, когда в процессе установки происходит соединение со службой Windows Update для получения последних обновлений. Поэтому, если развернуть XP SP2, не уделяя должного внимания настройке Windows Firewall, и опрометчиво принять стандартные параметры, можно лишиться доступа к инструментарию для дистанционного управления настольными компьютером. Если администратор не готов использовать Windows Firewall или работает с брандмауэром независимого поставщика, то можно спокойно отключить Windows Firewall и развернуть SP2 без него.

Если для аутентификации пользователей применяется Active Directory (AD), а настольные компьютеры являются членами домена с соответствующими учетными записями, то самый простой способ настроить Windows Firewall — задействовать объекты групповой политики Group Policy Object (GPO). После установки XP SP2 на настольных компьютерах параметры брандмауэра настраиваются при перезагрузке машин и каждый раз при обновлении политики. Если используется продукт управления каталогами независимого поставщика или на предприятии имеются не управляемые администратором компьютеры, которые не входят в состав домена AD, то для настройки Windows Firewall вместо объектов GPO можно использовать пакетные файлы или сценарии. Настроить конфигурацию брандмауэра можно и в ходе автоматизированных или интерактивных процедур установки XP SP2.

Настройка Windows Firewall

Приступая к настройке конфигурации Windows Firewall, следует помнить об основных характеристиках брандмауэра:

  • Windows Firewall не выполняет фильтрации исходящего трафика, то есть не ограничивает его. Если предприятие нуждается в фильтрации исходящего трафика, следует использовать брандмауэр независимого поставщика.
  • Возможности Windows Firewall шире, чем у ICF: в Windows Firewall можно настраивать исключения, чтобы разрешить входящий трафик с учетом не только транспортного протокола (TCP или UDP) и номера порта, но и приложения (например, одноранговой программы обмена файлами).
  • Можно уточнить исключения по области действия, то есть разрешить соединения от всех компьютеров, от компьютеров в указанных подсетях, только из локальной подсети или от компьютеров с определенными IP-адресами.
  • Windows Firewall активизируется по умолчанию для всех сетевых соединений, но для каждого сетевого интерфейса можно настроить разные правила брандмауэра.
  • Настраивать Windows Firewall может только администратор. Если управление брандмауэром централизованное (через AD или GPO), то можно лишить локальных администраторов права изменять параметры.
  • С помощью Windows Firewall можно ограничить трафик IPv4 и IPv6.
  • Windows Firewall располагает двумя профилями, Domain и Standard. Профиль Domain активизируется, если компьютер подключен к сети с контроллерами домена (DC), членом которого он является. Профиль Standard применяется, если компьютер подключен к другой сети, например общедоступной беспроводной сети или скоростному соединению в номере отеля. Рекомендуется настроить профили Domain и Standard для серверов и настольных компьютеров, а также для ноутбуков.

Прежде чем настраивать конфигурацию Windows Firewall, следует провести инвентаризацию приложений на рабочих станциях и серверах, которые могут организовать оконечные точки соединений; портов, используемых приложениями и операционной системой; источников трафика для каждой хост-машины с Windows Firewall. Для мобильных систем, таких как ноутбуки, в ходе инвентаризации следует учитывать различную природу сетевого трафика при подключении системы к корпоративной сети с контроллерами домена и активным профилем Domain брандмауэра Windows Firewall, в отличие от системы, подключенной к общедоступной сети с активным профилем Standard. Нужно всегда выбирать профиль Standard и разрешать только необходимый входящий трафик через брандмауэр, чтобы свести к минимуму угрозу для подключенных к сети мобильных машин.

В Windows Firewall определены четыре встроенные административные службы, представляющие типовые исключения для любой политики брандмауэра: File and Print, Remote Administration, Remote Desktop и Universal Plug and Play (UpnP). Remote Administration обеспечивает управление системой через типовые административные интерфейсы и подсистемы, такие как Windows Management Instrumentation (WMI) и вызов удаленных процедур (remote procedure call — RPC). Remote Desktop позволяет подключиться к одной системе с другой через RDP и используется при запросе на поддержку Remote Assistance. Администраторы часто применяют Remote Desktop для подключения к удаленным серверам, которыми они управляют. Протокол UpnP обеспечивает корректную работу устройств, которые обнаруживают и динамически настраивают друг друга с учетом активных приложений и служб. Типовой пример использования UpnP — взаимодействие XP с UPnP-совместимым широкополосным маршрутизатором при запуске MSN Messenger, в результате которого аудио и видеосоединения устанавливаются через встроенный брандмауэр маршрутизатора.

При настройке профилей Domain и Standard брандмауэра Windows Firewall рекомендуется задать исключения для конкретных приложений. Благодаря исключению приложение сможет установить любые нужные оконечные точки и принимать через них трафик. Существуют две веские причины, чтобы назначать исключения для приложений. Во-первых, проще определить и описать приложения, нежели отдельные используемые ими порты, особенно потому, что порты, используемые многими приложениями, документированы не полностью или назначаются динамически. Во-вторых, многие приложения, в том числе несанкционированные, используют те же порты, что и легальные приложения; указав приложения вместо портов, можно лишить неутвержденные приложения возможности установить оконечные точки соединения. Всегда, когда возможно, рекомендуется не делать исключений для профиля Standard и отклонять все входящие соединения.

Windows Firewall для серверов

Microsoft не дает специальных рекомендаций по настройке Windows Firewall для серверов. По умолчанию брандмауэр блокирован, если только пакет Windows Server 2003 SP1 не устанавливается на системе с активным ICF, однако брандмауэром можно воспользоваться для укрепления безопасности сервера Windows 2003. Применяя брандмауэр на сервере, следует помнить, что серверы по своей природе служат для размещения приложений и служб, с которыми устанавливают соединения приложения и службы на других серверах, настольных компьютерах и ноутбуках. Прежде чем активизировать Windows Firewall на сервере, следует продумать его конфигурацию.

Для некоторых серверов настроить Windows Firewall не составляет труда. Например, неуправляемому автономному Web-серверу в демилитаризованной зоне (DMZ) требуется принимать только входящие соединения через порт 80/TCP (HTTP) или 443/TCP (HTTP Secure-HTTPS), если установлен сертификат и активизирована защита SSL (Secure Sockets Layer).

На сервере с двумя или несколькими интерфейсами, из которых один интерфейс подключен к Internet, а другие — к корпоративным сетям, можно активизировать Windows Firewall, а затем отключить его на всех интерфейсах, кроме Internet, и настроить брандмауэр, разрешив только необходимые входящие соединения на интерфейсе Internet.

В простых файл- и принт-серверах корпоративной сети, входящих в состав домена, можно активизировать Windows Firewall и задействовать встроенную службу File and Printer Sharing для подключения пользователей к этим серверам. Можно также использовать Windows Firewall для защиты сервера, службы которого прослушивают известные порты, например сервера базы данных Microsoft SQL Server 2000. Для этого следует разрешить в брандмауэре трафик через соответствующие порты.

Настроить Windows Firewall на сервере можно с помощью мастера Security Configuration Wizard (SCW). SCW, факультативный компонент Windows 2003 SP1, уменьшает поверхность атаки сервера, задавая роль или роли для сервера. SCW содержит ролевую информацию для DC и других серверов инфраструктуры; он блокирует необязательные службы и ограничивает входящий трафик через Windows Firewall.

Windows Firewall не следует размещать на некоторых серверах, в том числе контроллерах домена AD и некоторых серверах приложений, которые прослушивают большой диапазон портов или используют динамические порты, таких как серверы Exchange Server 2003. В последнем случае можно развернуть Windows Firewall, если серверы и клиенты, подключенные к серверам Exchange, входят в состав домена. Брандмауэр настраивается на передачу аутентифицированного трафика IPsec в обход Windows Firewall (этот прием будет рассмотрен ниже), а клиенты настраиваются на использование IPsec.

На многих серверах, в том числе таких, на которых выполняется множество приложений и служб, необходима выборочная настройка Windows Firewall. Требуется указать порты, прослушиваемые приложениями и службами, отбросить необязательные порты и настроить Windows Firewall для необходимых портов. Определить открытые порты и прослушивающие их приложения и службы можно с помощью команды Netstat (netstat.exe), усовершенствованной в последних пакетах обновлений. Указав в командной строке

netstat -a -b

можно увидеть все открытые порты TCP (независимо от состояния) и порты UDP в системе, идентификатор процесса (PID) для каждого активного соединения (образец выходной информации приведен на экране 1). Как уже упоминалось, Windows Firewall можно настроить на разрешение входящего трафика для поименованных приложений, независимо от прослушиваемых ими портов. Единственный недостаток Netstat заключается в том, что команда выдает лишь «моментальный снимок» системы. С ее помощью нельзя идентифицировать приложения, службы и их порты, если эти приложения неактивны в момент запуска Netstat. Чтобы получить достоверную картину, можно сделать несколько снимков в разное время.

Более простая альтернатива Netstat — инструмент Port Reporter, который можно получить по адресу http://support.microsoft.com/?kbid=837243. Программа устанавливается как служба и регистрирует сетевую активность, в том числе подробные сведения об активных программах и службах, и даже учетную запись пользователя, с которой работает приложение или служба. С помощью сопутствующего инструмента Port Reporter Parser (http://www.support.microsoft.com/?kbid=884289) можно извлечь данные из журналов, генерируемых Port Reporter. Правильно настроив и запуская Port Reporter в течение определенного промежутка времени, можно идентифицировать приложения, которые открывают порты сервера и должны быть настроены в Windows Firewall по приложениям или отдельным портам. Длительность применения Port Reporter зависит от приложений и особенностей работы пользователей. Предостережение: Port Reporter может слегка снизить производительность системы, а журналы очень велики. Файлы журналов следует записывать на быстрый диск с достаточным количеством свободного места.

Рекомендуется активизировать функции протоколирования Windows Firewall после завершения настройки серверов. Можно записывать сведения об успешных и неудачных соединениях. Если после настройки и активизации Windows Firewall возникают проблемы при выполнении некоторых приложений, то с помощью информации из журналов можно определить дополнительные порты, которые следует открыть. Для настройки функций протоколирования следует открыть панель управления, запустить утилиту Windows Firewall, щелкнуть на вкладке Advanced, а затем на кнопке Settings в разделе Security Logging. Откроется диалоговое окно Log Settings (экран 2). Журнал Windows Firewall следует сохранять на быстром диске, а максимальный размер журнала должен быть достаточным для записи необходимой информации в течение длительного времени. Проверив корректность настройки Windows Firewall, можно отключить протоколирование.


Экран 2. Настройка протоколирования в Windows Firewall

Windows Firewall можно настроить и таким образом, чтобы передавать аутентифицированный трафик IPsec от доверенных машин в обход брандмауэра. В этот режим можно перевести серверы и рабочие станции, чтобы они пропускали только необходимый клиентский трафик, одновременно обеспечивая неограниченный доступ для администрирования рабочих станций и серверов.

Полная готовность

После завершения подготовки к развертыванию Windows Firewall рекомендуется активизировать брандмауэр сначала для пилотной группы пользователей. Если в процессе пробного развертывания возникнут трудности, следует активизировать режим протоколирования; в журналах содержится информация, которая поможет определить причину проблем. После устранения неполадок и успешного развертывания Windows Firewall брандмауэр станет неоценимым компонентом системы безопасности предприятия.

Джон Хоуи — Менеджер по проведению практических занятий в центре Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA. jhowie@microsoft.com

Дополнительные ресурсы

Более подробную информацию о Windows Firewall можно найти в следующих статьях на сайте Windows IT Pro/RE:

Азы Windows Firewall, http://www.osp.ru/win2000/safety/507_6.htm

Port Reporter, http://www.osp.ru/win2000/worknt/509_3.htm

Информацию о Windows Firewall можно найти на следующих Web-узлах:

Windows Server 2003 Service Pack 1 (SP1), http://www.microsoft.com/windowsserver2003/ downloads/servicepacks/sp1/default.mspx

Windows XP SP2, http://www.microsoft.com/windowsxp/sp2/default.mspx

Microsoft Help and Support, http://support.microsoft.com

Источник

Configuring a firewall on a Windows 2003 system is a critical step in securing your server and protecting it from unauthorized access and potential threats. Windows Server 2003 includes a built-in firewall that can be configured to control incoming and outgoing traffic based on specified security rules. This article will guide you through the essential steps and considerations for effectively configuring the firewall on a Windows 2003 system.

Understanding Windows Firewall

The Windows Firewall in Windows Server 2003 is designed to help protect your server from malicious attacks by filtering network traffic. It operates by allowing or blocking traffic based on a set of predefined rules. By default, the firewall is disabled, which means that all incoming traffic is allowed. Therefore, it is crucial to enable and configure the firewall to enhance security.

Enabling Windows Firewall

To enable the Windows Firewall on your Windows 2003 system, follow these steps:

  1. Click on the Start menu.
  2. Select Control Panel.
  3. Double-click on Windows Firewall.
  4. In the Windows Firewall dialog box, select the On (recommended) option.
  5. Click OK to apply the changes.

Configuring Firewall Settings

Once the firewall is enabled, you can configure its settings to allow or block specific traffic. Here are the key settings to consider:

1. Allowing Specific Programs

You may want to allow certain programs to communicate through the firewall. To do this:

  1. Open the Windows Firewall settings as described above.
  2. Click on the Exceptions tab.
  3. Click Add Program.
  4. Select the program you want to allow and click OK.

2. Creating Custom Rules

For more granular control, you can create custom rules to allow or block specific ports or IP addresses. Here’s how:

  1. Open the Windows Firewall settings.
  2. Go to the Advanced tab.
  3. Click on Settings</strong) under Network Connection Settings.

  4. Select the connection you want to configure and click Properties.
  5. In the Advanced tab, click on Add to create a new rule.
  6. Specify the port number or IP address and choose whether to allow or block the traffic.
  7. Click OK to save the rule.


3. Logging Firewall Activity

Enabling logging can help you monitor the firewall’s activity and identify potential security threats. To enable logging:

  1. Open the Windows Firewall settings.
  2. Go to the Advanced tab.
  3. Click on Settings under Logging.
  4. Select the Log dropped packets and Log successful connections options.
  5. Specify the log file location and size, then click OK.

Best Practices for Firewall Configuration

  • Regularly Update Rules: Review and update your firewall rules regularly to adapt to changing security needs.
  • Limit Open Ports: Only open the ports that are necessary for your applications to function.
  • Monitor Logs: Regularly check the firewall logs for any suspicious activity.
  • Backup Configuration: Always back up your firewall configuration settings to restore them in case of failure.

Conclusion

Configuring the firewall on a Windows 2003 system is essential for maintaining the security of your server. By enabling the firewall, allowing specific programs, creating custom rules, and monitoring activity, you can significantly reduce the risk of unauthorized access and potential threats. For those looking for reliable hosting solutions, consider exploring options like USA VPS Hosting to ensure your applications run securely and efficiently.


Источник

There is a false sense of security when you envision your network as inside and outside, with a firewall protecting you from hostile users on the outside.

One particularly nasty problem is when users bring their laptops home, surf, read email, and then plug it right back in to the corporate LAN on Monday morning.

Windows Server 2003 has a fairly flexible host based firewall that you can install to protect your servers from those inside your main firewall.

Here is an Nmap scan of a fresh install of Windows Server 2003 with IIS, and the default client, printer, and file sharing for Microsoft Networks enabled:

[usr-1@srv-1 ~]$ nmap -sV 10.50.100.112
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-08-03 17:09 EDT
Interesting ports on 10.50.100.112:
(The 1655 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE      VERSION
80/tcp   open  http         Microsoft IIS webserver 6.0
135/tcp  open  msrpc        Microsoft Windows msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds Microsoft Windows 2003 microsoft-ds
1025/tcp open  msrpc        Microsoft Windows msrpc
Nmap run completed -- 1 IP address (1 host up) scanned in 42.176 seconds

Let’s block everything going to this server except port 80, the HTTP port that IIS uses by default, and the standard port for HTTP.

First, go into the Local Area Connection Properties and click the Advanced tab:

Click the settings button. Click the On radio button:

fwart2

Картинка с сайта: www.netadmintools.com

Click the Exceptions tab, and click Add Port:

fwart3

Картинка с сайта: www.netadmintools.com

Enter http (or whatevery you want to call the service), and type 80 in the Port number box:

Click OK until all of the dialog boxes are closed.

The service will be running correctly right away without a reboot.

Let’s run another scan and make sure everything is being blocked except for port 80:

  
[usr-1@srv-1 ~]$ nmap -sV 10.50.100.112
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-08-03 17:19 EDT
Interesting ports on 10.50.100.112:
(The 1659 ports scanned but not shown below are in state: filtered)
PORT   STATE SERVICE VERSION
80/tcp open  http    Microsoft IIS webserver 6.0
Nmap run completed -- 1 IP address (1 host up) scanned in 37.085 seconds
[usr-1@srv-1 ~]$

We are good.

Now, this box is locked down so well that it will be difficult to authenticate users against a domain or share files, of course, but that may be desired in some cases.

Choose what ports you have to have open and specifically allow those ports if needed.

Disallow the rest by default.

If you don’t need full time access to file shares on your webserver, consider only allowing access when you prop the new site.

Источник

Специальный файл справки по этому компоненту появляется даже на рабочем столе.
Кроме множества действий по конфигурации безопасности он также выполняет настройку брандмауэра для сетевой карты. Даже если ваша система является контроллером домена.
вот пример его настроек брандмауэра для контроллера домена (примерная конфигурация):

Конфигурация профиля Domain:
——————————————————————-
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадресных и широковещательных ответов = Enable
Режим уведомления = Enable

Конфигурация службы для профиля Domain:
Режим Настройка Имя
——————————————————————-
Enable Нет Общий доступ к файлам и принтерам
Enable Нет Дистанционное управление рабочим столом

Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
——————————————————————-
Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe
Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe
Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe

Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
——————————————————————-
53 TCP Enable Порт 53 TCP
88 TCP Enable Порт 88 TCP
135 TCP Enable Порт 135 TCP
137 TCP Enable Порт 137 TCP
389 TCP Enable Порт 389 TCP
464 TCP Enable Порт 464 TCP
636 TCP Enable Порт 636 TCP
3268 TCP Enable Порт 3268 TCP
3269 TCP Enable Порт 3269 TCP
53 UDP Enable Порт 53 UDP
67 UDP Enable Порт 67 UDP
88 UDP Enable Порт 88 UDP
123 UDP Enable Порт 123 UDP
389 UDP Enable Порт 389 UDP
464 UDP Enable Порт 464 UDP
139 TCP Enable Порт 139 TCP
445 TCP Enable Порт 445 TCP
137 UDP Enable Порт 137 UDP
138 UDP Enable Порт 138 UDP
3389 TCP Enable Порт 3389 TCP

Конфигурация ICMP для профиля Domain:
Режим Тип Описание
——————————————————————-
Enable 8 Разрешать запрос входящего эха

Конфигурация журнала:
——————————————————————-
Размещение файла = C:\WINDOWS\pfirewall.log
Наибольший размер файла = 4096 КБ
Пропущенные пакеты = Disable
Подключения = Disable

Конфигурация брандмауэра Подключение по локальной сети:
——————————————————————-
Рабочий режим = Enable

Рекомендую воспользоваться именно им.
Однако, перед всяким изменением конфигурации рабочих систем необходимо вначале протестировать эти изменения.
Вот вы включили брандмауэр на вашем контроллере и получили проблемы — этого и следовало ожидать — даже если вспомнить что одна из основных задач его — блокировать входящие подключения к системе — что клиенты домена непременно должны делать — хотябы для обращениям к объектам Active Directory.

Источник: oszone.ru

Оцените статью: Голосов

Источник

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Штатные обои windows 10
  • Ttl windows 10 mts
  • Qnap приложение для windows
  • Какие файлы сохраняются при переустановке windows 10
  • Msreview net windows 11