Поради по підготовці брандмауера до фільтрації мережевого трафіку
Підготовчий етап
Якщо для аутентифікації користувачів застосовується Active Directory (AD), а настільні комп'ютери є членами домену з відповідними обліковими записами, то найпростіший спосіб налаштувати Windows Firewall - задіяти об'єкти групової політики Group Policy Object (GPO). Після установки XP SP2 на настільних комп'ютерах параметри брандмауера налаштовуються при перезавантаженні машин і кожен раз при оновленні політики. Якщо використовується продукт управління каталогами незалежного постачальника або на підприємстві мають не якими керують адміністратори комп'ютери, які не входять до складу домену AD, то для настройки Windows Firewall замість об'єктів GPO можна використовувати пакетні файли або сценарії. Налаштувати конфігурацію брандмауера можна і в ході автоматизованих або інтерактивних процедур установки XP SP2.
Налаштування Windows Firewall
Приступаючи до налаштування конфігурації Windows Firewall, слід пам'ятати про основні характеристики брандмауера:
Перш ніж налаштовувати конфігурацію Windows Firewall, слід провести інвентаризацію додатків на робочих станціях і серверах, які можуть організувати кінцеві точки з'єднань; портів, використовуваних додатками і операційною системою; джерел трафіку для кожної хост-машини з Windows Firewall. Для мобільних систем, таких як ноутбуки, в ході інвентаризації слід враховувати різну природу мережевого трафіку при підключенні системи до корпоративної мережі з контролерами домену і активним профілем Domain брандмауера Windows Firewall, на відміну від системи, підключеної до загальнодоступної мережі з активним профілем Standard. Потрібно завжди вибирати профіль Standard і вирішувати тільки необхідний вхідний трафік через брандмауер, щоб звести до мінімуму загрозу для підключених до мережі мобільних машин.
При налаштуванні профілів Domain і Standard брандмауера Windows Firewall рекомендується задати виключення для певних програм. Завдяки виключенню додаток зможе встановити будь-які потрібні кінцеві точки і приймати через них трафік. Існують дві вагомі причини, щоб призначати виключення для додатків. По-перше, простіше визначити і описати додатки, ніж окремі використовувані ними порти, особливо тому, що порти, використовувані багатьма додатками, документовані в повному обсязі або призначаються динамічно. По-друге, багато програм, в тому числі несанкціоновані, використовують ті ж порти, що і легальні додатки; вказавши додатки замість портів, можна позбавити незміцнені додатки можливості встановити кінцеві точки з'єднання. Завжди, коли можливо, рекомендується не робити винятків для профілю Standard і відхиляти всі вхідні з'єднання.
Windows Firewall для серверів
Для деяких серверів налаштувати Windows Firewall не складає труднощів. Наприклад, некерованому автономному Web-сервера в демілітаризованій зоні (DMZ) потрібно приймати тільки вхідні з'єднання через порт 80 / TCP (HTTP) або 443 / TCP (HTTP Secure-HTTPS), якщо встановлений сертифікат і активізована захист SSL (Secure Sockets Layer).
На сервері з двома або кількома інтерфейсами, з яких один інтерфейс підключений до Internet, а інші - до корпоративних мереж, можна активізувати Windows Firewall, а потім відключити його на всіх інтерфейсах, крім Internet, і налаштувати брандмауер, дозволивши тільки необхідні вхідні з'єднання на інтерфейсі Internet.
На багатьох серверах, в тому числі таких, на яких виконується безліч додатків і служб, необхідна вибіркова настройка Windows Firewall. Потрібно вказати порти, що прослуховуються додатками і службами, відкинути необов'язкові порти і налаштувати Windows Firewall для необхідних портів. Визначити відкриті порти і прослуховують їх застосування та служби можна за допомогою команди Netstat (netstat.exe), удосконаленої в останніх пакетах оновлень. Вказавши в командному рядку
можна побачити всі відкриті порти TCP (незалежно від стану) і порти UDP в системі, ідентифікатор процесу (PID) для кожного активного з'єднання (зразок вихідної інформації наведено на екрані 1). Як уже згадувалося, Windows Firewall можна налаштувати на дозвіл вхідного трафіку для названих додатків, незалежно від прослуховує ними портів. Єдиний недолік Netstat полягає в тому, що команда видає лише «моментальний знімок» системи. З її допомогою можна ідентифікувати додатки, служби і їх порти, якщо ці додатки неактивні в момент запуску Netstat. Щоб отримати достовірну картину, можна зробити кілька знімків в різний час.
Рекомендується активізувати функції протоколювання Windows Firewall після завершення налаштування серверів. Можна записувати відомості про успішні і невдалих з'єднаннях. Якщо після настройки та активізації Windows Firewall виникають проблеми при виконанні деяких додатків, то за допомогою інформації з журналів можна визначити додаткові порти, які слід відкрити. Щоб визначити опції протоколювання слід відкрити панель управління, запустити утиліту Windows Firewall, клацнути на вкладці Advanced, а потім на кнопці Settings в розділі Security Logging. Відкриється діалогове вікно Log Settings (екран 2). Журнал Windows Firewall слід зберігати на швидкому диску, а максимальний розмір журналу повинен бути достатнім для запису необхідної інформації протягом тривалого часу. Перевіривши правильність настройки Windows Firewall, можна відключити протоколювання.
Екран 2. Налаштування протоколювання в Windows Firewall
Windows Firewall можна налаштувати і таким чином, щоб передавати аутентіфіцированний трафік IPsec від довірених машин в обхід брандмауера. В цей режим можна перевести сервери і робочі станції, щоб вони пропускали тільки необхідний клієнтський трафік, одночасно забезпечуючи необмежений доступ для адміністрування робочих станцій і серверів.
повна готовність
Після завершення підготовки до розгортання Windows Firewall рекомендується активізувати брандмауер спочатку для пілотної групи користувачів. Якщо в процесі пробного розгортання виникнуть труднощі, слід активізувати режим протоколювання; в журналах міститься інформація, яка допоможе визначити причину проблем. Після усунення неполадок і успішного розгортання Windows Firewall брандмауер стане неоціненним компонентом системи безпеки підприємства.
Джон Хоуі - Менеджер по проведенню практичних занять в центрі Microsoft Security Center of Excellence. Має сертифікати CISSP, CISM і CISA. [email protected]
додаткові ресурси
Інформацію про Windows Firewall можна знайти на наступних Web-вузлах:
Поділіться матеріалом з колегами і друзями