Planear el Firewall de Windows con seguridad avanzada de diseño
Se aplica a: Windows Server 2012
Una vez que haya recopilado la información pertinente en las secciones anteriores y comprender los conceptos básicos de los diseños, tal como se describe anteriormente en esta guía, puede seleccionar el diseño (o combinación de diseños) que satisfacen sus necesidades.
Diseño de servidor de seguridad básico
Se recomienda implementar al menos el diseño del servidor de seguridad básico. Como se describe en laProteger los equipos frente al tráfico de red no deseadosección, firewalls basados en host son un elemento importante en una estrategia de defensa en profundidad y complementar la mayoría otras medidas de seguridad se establecen en su organización.
Cuando esté listo para examinar las opciones de configuración de directiva de firewall, consulte laPlanear la configuración de una directiva de servidor de seguridad básicosección.
Algoritmo y la compatibilidad con el método y la selección
Para crear un diseño de aislamiento de aislamiento o servidor de dominio, debe comprender los algoritmos disponibles en cada versión de Windows, así como sus puntos fuertes. Para revisar los algoritmos y métodos admitidos en las versiones del sistema operativo Windows, vea algoritmos IPsec y los métodos admitidos en Windows (https://go.microsoft.com/fwlink/?linkid=129230).
Consideraciones de rendimiento de IPsec
Aunque IPsec es muy importante para proteger el tráfico de red hacia y desde sus equipos, existen costos asociados con su uso. Los algoritmos de cifrado matemáticamente intensivos requieren una cantidad significativa de potencia informática, puede impedir que el equipo de hacer uso de todo el ancho de banda disponible. Por ejemplo, un equipo habilitado para IPsec mediante los protocolos de cifrado AES en un 10 gigabits por segundo vínculo de red (Gbps) podría ver un rendimiento de 4,5 Gbps. Esto es debido a las peticiones realizadas en la CPU para realizar las funciones de cifrado requeridas por los algoritmos de integridad y cifrado de IPsec.
Descarga de tareas de IPsec es una tecnología de Windows que es compatible con los adaptadores de red equipados con procesadores criptográficos dedicados para realizar el trabajo de cálculo intensivo necesario por IPsec. Esto libera la CPU de un equipo y puede aumentar drásticamente el rendimiento de la red. Para el mismo vínculo de red que anteriormente, el rendimiento con la descarga de tareas de IPsec habilitado mejora aproximadamente 9.2 Gbps. Para obtener más información, consulte mejorar el rendimiento de la red mediante el uso de la descarga de tareas de IPsec (https://go.microsoft.com/fwlink/?linkid=129229).
Diseño de aislamiento de dominio
Este diseño se incluyen en los planes:
Si tiene un dominio de Active Directory del que la mayoría de los equipos es miembros.
Si desea evitar que los equipos de su organización acepte cualquier tráfico no solicitado de equipos que no forman parte del dominio.
Si planea incluye el diseño de servidor de seguridad básico como parte de la implementación, se recomienda que implemente las directivas de firewall para confirmar que funcionan correctamente. También planea habilitar las reglas de seguridad de conexión en modo de solicitud en primer lugar, en lugar de los permisos más restrictivos requieren el modo, hasta que esté seguro de que los equipos protegen correctamente todo el tráfico de red con IPsec. Si algo va mal, modo de solicitud aún permite comunicaciones continúe mientras está solucionando.
Cuando esté preparado para examinar las opciones para crear un dominio aislado, vea elPlaneación de zonas de aislamiento de dominiosección.
Diseño de aislamiento de servidor
Este diseño se incluyen en los planes:
Si tiene un dominio aislado y desea además restringir el acceso a servidores específicos a sólo los usuarios autorizados y equipos.
Está implementando un dominio aislado, pero desea aprovechar las ventajas similares para algunos servidores específicos. Puede restringir el acceso a los servidores aislados que sólo los usuarios autorizados y equipos.
Si planea incluir el aislamiento de dominio en la implementación, se recomienda completar esa capa y confirmar su correcto funcionamiento antes de implementar los elementos de aislamiento de servidor adicional.
Cuando esté preparado para examinar las opciones para aislar los servidores, consulte elPlaneación de zonas de aislamiento de servidorsección.
Diseño de la autenticación basada en certificados
Este diseño se incluyen en los planes:
Si desea implementar algunos de los elementos de aislamiento de dominio o servidor en equipos que no están unidos a un dominio de Active Directory o no desean utilizar la pertenencia al dominio como un mecanismo de autenticación.
Dispone de un dominio aislado y desea incluir un servidor que no es miembro del dominio de Active Directory porque el equipo no está ejecutando Windows, o por cualquier otro motivo.
Debe habilitar los equipos externos que no están administrados por la organización para tener acceso a información en uno de los servidores y desea hacerlo de forma segura.
Si planea incluir el aislamiento de dominio o servidor en la implementación, se recomienda completar esos elementos y confirmar su funcionamiento correcto antes de agregar la autenticación basada en certificados a los equipos que lo requieran.
Cuando esté preparado para examinar las opciones para usar la autenticación basada en certificados, consulte elPlanear la autenticación basada en certificadossección.
Documentar el diseño
Cuando termine de seleccionar los diseños que va a utilizar, debe asignar cada uno de los equipos a la zona de aislamiento adecuado y documentar la asignación para su uso por el equipo de implementación.
Diseño de grupos y GPO
Una vez haya seleccionado todavía un diseño y los equipos asignados a las zonas, puede comenzar a diseñar los grupos de aislamiento para cada zona, los grupos de acceso de red para el acceso de servidor aislado y los GPO que se utilizará para aplicar la configuración y reglas para los equipos.
Cuando esté listo para examinar las opciones para los grupos, filtros y GPO, vea laPlanear la implementación de directiva de grupo para las zonas de aislamientosección.
Siguiente: Planear la configuración de una directiva de servidor de seguridad básico