Firewall do Windows com segurança avançada guia de Design
Aplica-se a: Windows Server 2012
Firewall do Windows com Segurança AvançadaemWindows Server 2012Windows Server 2008 R2Windows Server 2008Windows 8Windows 7eWindows Vistaé um firewall de host que ajuda a proteger o computador de duas maneiras. Primeiro, ele pode filtrar o tráfego de rede permitido a inserir o computador da rede e também controlar o tráfego de rede que o computador tem permissão para enviar à rede. Segundo,Firewall do Windows com Segurança Avançadaoferece suporte a IPsec, que permite que você exija autenticação de qualquer computador que está tentando se comunicar com o computador. Quando a autenticação for necessária, os computadores que não possam autenticar não podem se comunicar com o computador. Usando o IPsec, você pode exigir que o tráfego de rede específico seja criptografado para impedir que ele seja lido ou interceptados em trânsito entre computadores.
A interface paraFirewall do Windows com Segurança Avançadaé muito mais capazes e flexível do que a interface do consumidor amigável encontrada no painel de controle do Firewall do Windows. Eles tanto interagem com os mesmos serviços subjacentes, mas fornecem níveis diferentes de controle sobre esses serviços. Enquanto o painel de controle do Firewall do Windows atende as necessidades para proteger um único computador em um ambiente doméstico, ele não fornece recursos de gerenciamento ou de segurança bastante centralizados para ajudar a proteger o tráfego de rede mais complexo em um ambiente de empresa típicos de negócios.
Para obter mais informações gerais sobreFirewall do Windows com Segurança AvançadaeFirewall do Windows com a visão geral da segurança avançada.
Sobre este guia
Este guia fornece recomendações para ajudá-lo a escolher ou criar um projeto de implantaçãoFirewall do Windows com Segurança Avançadano ambiente corporativo. O guia descreve alguns dos objetivos comuns para usarFirewall do Windows com Segurança Avançadae, em seguida, ajuda a mapear as metas que se aplicam ao seu cenário para os designs que são apresentados neste guia.
Este guia destina-se a profissionais de TI que recebeu a tarefa de implantação do firewall e IPsec tecnologias na rede de uma organização para ajudar a atender aos objetivos de segurança da organização.
Firewall do Windows com Segurança Avançadadeve ser parte de uma solução de segurança abrangente que implementa uma variedade de tecnologias de segurança, como firewalls de perímetro, sistemas de detecção de intrusão, rede virtual privada (VPN), a autenticação IEEE 802.1 X para conexões com e sem fio e regras de segurança de conexão IPsec.
Para poder usar este guia, é necessário um bom entendimento dos recursos fornecidos peloFirewall do Windows com Segurança Avançadae entregar as definições de configuração para computadores gerenciados por meio da diretiva de grupo no Active Directory.
Você pode usar as metas de implantação para formar um dessesFirewall do Windows com Segurança Avançadadesigns ou um design personalizado que combina elementos de às apresentadas aqui:
Design da diretiva de firewall básico. Restringe o tráfego de rede e os computadores apenas aquele que é necessário e autorizados.
Design de diretiva de isolamento de domínio. Impede que os computadores que são membros do domínio recebam o tráfego de rede não solicitado de computadores que não são membros do domínio. "Zonas" adicionais podem ser estabelecidas para suportar os requisitos especiais de alguns computadores, como:
Uma "zona limite" para computadores que devem ser capazes de receber solicitações de computadores não isolado.
Uma "zona de criptografia" para computadores que armazenam dados confidenciais que devem ser protegidos durante a transmissão de rede.
Design de diretiva de isolamento de servidor. Restringe o acesso a um servidor para apenas um grupo limitado de usuários e computadores autorizados. Normalmente configurado como uma zona em um projeto de isolamento de domínio, mas também pode ser configurado como um projeto autônomo, oferecendo muitos dos benefícios do isolamento de domínio para um pequeno grupo de computadores.
Design da diretiva de isolamento com base em certificado. Esse design é um complemento para qualquer um dos dois designs anteriores e oferece suporte a qualquer um dos seus recursos. Ele usa certificados de criptografia que são implantados em clientes e servidores para autenticação, em vez da autenticação Kerberos V5 usada por padrão no Active Directory. Isso permite que os computadores que não fazem parte de um domínio do Active Directory, como computadores que executam sistemas operacionais diferentes do Windows, para participar de sua solução de isolamento.
Além de exemplo para cada projeto e descrições, você encontrará diretrizes para coletar dados necessários sobre o seu ambiente. Você pode usar essas diretrizes para planejar e projetar suaFirewall do Windows com Segurança Avançadaimplantação. Depois de ler este guia e concluir a coleta, documentar e mapear os requisitos da organização, você tem as informações necessárias começar a implantarFirewall do Windows com Segurança Avançadausando a orientação doFirewall do Windows com Segurança Avançadaguia de implantação.
Você pode encontrar oFirewall do Windows com Segurança Avançadaguia de implantação nesses locais:
(Página da Web)
(Documento do Word para download)
Terminologia usada neste guia
A tabela a seguir identifica e define os termos usados neste guia.
Termo |
Definição |
|---|---|
Domínio do Active Directory |
Um grupo de computadores e usuários gerenciados por um administrador usando os serviços de domínio Active Directory (AD DS). Computadores em um domínio compartilham um diretivas de segurança e banco de dados de diretório comum. Vários domínios podem coexistir em uma "floresta", com relações de confiança que estabelecem a floresta como o limite de segurança. |
Autenticação |
Um processo que permite que o remetente de uma mensagem para provar sua identidade para o receptor. Para segurança de conexão no Windows, a autenticação é implementada pelo conjunto de protocolos IPsec. |
Zona de limite |
Um subconjunto de computadores em um domínio isolado que deve ser capaz de receber o tráfego de rede não solicitado e não autenticada de computadores que não são membros do domínio isolado. Computadores na zona limite de solicitação, mas não exigir autenticação. Eles usam IPsec para se comunicar com outros computadores no domínio isolado. |
Regra de segurança de conexão |
Uma regra noFirewall do Windows com Segurança Avançadaque contém um conjunto de condições e uma ação a ser aplicado aos pacotes de rede que correspondem às condições. A ação permitirem o pacote, bloquear o pacote ou exigem o pacote a ser protegido por IPsec. Nas versões anteriores do Windows, isso era chamado de umregra IPsec. |
Isolamento com base em certificado |
Uma maneira de adicionar computadores que não podem usar a autenticação Kerberos V5 para um domínio isolado, usando uma técnica de autenticação alternativas. Todos os computadores no domínio isolado e os computadores que não podem usar o Kerberos V5 são fornecidos com um certificado de computador que pode ser usado para autenticar com o outro. Isolamento com base em certificado requer uma maneira de criar e distribuir um certificado apropriado (se você optar por não comprar um de um provedor de certificados comerciais). |
Isolamento de domínio |
Uma técnica para ajudar a proteger os computadores em uma organização exigindo que os computadores autentiquem identidade um do outro antes de troca de informações e recusar solicitações de conexão de computadores que não pode se autenticar. Isolamento de domínio tira proveito da associação de domínio do Active Directory e o protocolo de autenticação Kerberos V5 disponível a todos os membros do domínio. Consulte também "Domínio isolado" nesta tabela. |
Zona de criptografia |
Um subconjunto de computadores em um domínio isolado que processam dados confidenciais. Os computadores que fazem parte da zona de criptografia têm todo o tráfego criptografado para impedir a exibição por usuários não autorizados. Computadores que fazem parte da zona de criptografia também normalmente estão sujeitos às restrições de controle de acesso do isolamento de servidor. |
Regra de firewall |
Uma regra noFirewall do Windows com Segurança Avançadaque contém um conjunto de condições usado para determinar se um pacote de rede tem permissão para passar pelo firewall. Por padrão, as regras de firewall noWindows Server 2012Windows Server 2008 R2Windows Server 2008Windows 8Windows 7eWindows VistaBloquear tráfego de rede de entrada não solicitado. Da mesma forma, por padrão, todo tráfego de rede de saída é permitido. O firewall incluído nas versões anteriores do Windows filtrada apenas o tráfego da rede. |
Internet Protocol security (IPsec) |
Um conjunto de protocolos e serviços de proteção baseados em criptografia padrão do setor. O IPsec protege todos os protocolos no conjunto de protocolos TCP/IP exceto o Address Resolution Protocol (ARP). |
Diretiva IPsec |
Uma coleção de regras de segurança de conexão que fornecem a proteção necessária para tráfego de rede entram e saem do computador. A proteção inclui a autenticação de enviar e receber o computador, proteção de integridade do tráfego de rede trocados entre eles e pode incluir a criptografia. |
Domínio isolado |
Um domínio Active Directory (ou uma floresta do Active Directory ou conjunto de domínios com relações de confiança bidirecionais) que tem configurações de diretiva de grupo aplicadas para ajudar a proteger seus computadores membro usando regras de segurança de conexão IPsec. Membros do domínio isolado requerem autenticação em todas as conexões de entrada não solicitadas (com exceções manipuladas por outras zonas). Neste guia, o termodomínio isoladose refere ao conceito de um grupo de computadores que podem compartilhar a autenticação IPsec. O termodomínio do Active Directoryrefere-se ao grupo de computadores que compartilham um banco de dados de segurança usando o Active Directory. |
Isolamento de servidor |
Uma técnica para usar associação de grupo para restringir o acesso a um servidor que geralmente já é um membro de um domínio isolado. A proteção adicional vem de usando as credenciais de autenticação do computador solicitante para determinar sua associação de grupo e só permitir acesso se a conta de computador (e, opcionalmente, a conta de usuário) é um membro de um grupo autorizado. |
Tráfego de rede solicitado |
Tráfego de rede que é enviado em resposta a uma solicitação. Por padrão,Firewall do Windows com Segurança Avançadapermite tráfego de rede tudo solicitado por meio. |
Tráfego de rede não solicitado |
Tráfego de rede que não é uma resposta a uma solicitação anterior e que o computador receptor necessariamente imprevisíveis. Por padrão,Firewall do Windows com Segurança Avançadabloqueia todo o tráfego não solicitado. |
Zona |
Uma zona é um agrupamento lógico de computadores que compartilham diretivas IPsec comuns devido a seus requisitos de comunicações. Por exemplo, a zona de limite permite conexões de entrada de computadores não confiáveis. A zona de criptografia requer que todas as conexões sejam criptografadas. Isso não está relacionado à zona de termo como usado pelo sistema de nome de domínio (DNS). |
Avançar: Noções básicas sobre o Firewall do Windows com o processo de Design de segurança avançada