Obsługa zapory sieciowej Windows Firewall with Advanced Security w systemach Windows Vista i Windows Server 2008 – cz. 2.

Opublikowano: 29 stycznia 2008

Zawartość strony

	Wstęp
	Zarządzanie aplikacją Windows Firewall with Advanced Security
	Zarządzanie pojedynczym komputerem za pomocą wtyczki Windows Firewall with Advanced Security
	Zarządzanie aplikacją Windows Firewall with Advanced Security z użyciem narzędzi Group Policy
	Korzystanie z narzędzia Netsh advfirewall
	/Monitorowanie
	Podsumowanie

Wstęp

W poprzedniej części była mowa o Windows Firewall with Advanced Security w ramach strategii bezpieczeństwa "Defense in depth” oraz o nowych lub ulepszonych funkcjach programu Windows Firewall with Advanced Security.

W tej zajmiemy się zarządzaniem aplikacją Windows Firewall with Advanced Security, zarządzaniem pojedynczym komputerem za pomocą wtyczki Windows Firewall with Advanced Security oraz aplikacją Windows Firewall with Advanced Security z użyciem narzędzi Group Policy. Omówimy także Korzystanie z narzędzia Netsh advfirewall.

 Do początku strony

Zarządzanie aplikacją Windows Firewall with Advanced Security

Windows Firewall with Advanced Security pozwala na implementowanie ustawień na lokalnych i zdalnych komputerach z wykorzystaniem kilku różnych technik. Aplikację tę można skonfigurować na jeden z poniższych sposobów:

• Konfigurujemy lokalny lub zdalny komputer za pomocą wtyczki Windows Firewall with Advanced Security lub polecenia Netsh advfirewall.
• Konfigurujemy ustawienia aplikacji Windows Firewall with Advanced Security, korzystając z konsoli Group Policy Management Console (GPMC) lub polecenia Netsh advfirewall.

Windows Firewall with Advanced Security analizuje reguły z zachowaniem określonej kolejności.

Uwaga: Reguły dopuszczające i blokujące są dopasowywane na podstawie stopnia ich szczegółowości. Przykładowo, jeśli reguła 1 ma parametry A i B, a reguła 2 posiada parametry A, B i C, jako pierwsza przeanalizowana zostanie reguła 2.

Kolejność reguł jest następująca:

Uwaga:

Opisana powyżej kolejność reguł jest zachowywana zawsze, nawet wtedy, gdy reguły zdefiniowane zostały za pomocą Group Policy. Wszystkie reguły są sortowane, a następnie wykorzystywane. Administratorzy domeny mogą zezwolić lub zabronić administratorom lokalnym tworzyć nowe reguły.

 Do początku strony

Zarządzanie pojedynczym komputerem za pomocą wtyczki Windows Firewall with Advanced Security

Aplikację Windows Firewall with Advanced można uruchomić na jeden z poniższych sposobów.

Aby otworzyć program Windows Firewall with Advanced Security za pomocą panelu sterowania:

1. Klikamy przycisk Start i wybieramy polecenie następnie Panel sterowania z wyświetlonego menu.
2. W panelu sterowania klikamy ikonę Sytem and Maintenance.
3. Klikamy Administartive to ols.
4. Dwukrotnie klikamy ikonę Windows Firewall with Advanced Security.

Aby dodać wtyczkę Windows Firewall with Advanced Security do konsoli MMC:

1. Klikamy przycisk start Start, a następnie All Programs, Accessories i Run.
2. W oknie Open wpisujemy mmc i naciskamy ENTER.
3. Jeśli wyświetlone zostanie okno User Account Control, weryfikujemy podane informacje i wprowadzamy wymagane dane dostępowe.
4. Wybieramy polecenie Add/Remove Snap-in z menu File.
5. Na liście Available snap-ins zaznaczamy pozycję Windows Firewall with Advanced Security, a następnie klikamy przycisk Add.
6. Klikamy przycisk OK.
7. Powtarzamy kroki od 1 do 6, dodając wtyczki Group Policy Management Console, IP Security Monitor, IP Security Policy Management oraz inne wtyczki, które chcemy wykorzystać do konfigurowania protokołu IPsec oraz narzędzi Group Policy. Warto również dodać narzędzie Event Viewer w celu przeglądania dzienników zdarzeń.
8. Przed zamknięciem wtyczki należy zapisać i nadać nazwę opracowanym ustawieniom konsoli.

Konfigurowanie właściwości zapory

Aby skonfigurować właściwości zapory sieciowej, klikamy Windows Firewall Properties w panelu Overview. Okno Windows Firewall with Advanced Security on Local Computer zawiera jedną zakładkę dla każdego z trzech dostępnych profili (domeny, prywatnego oraz publicznego), a także zakładkę z ustawieniami protokołu IPsec.

Konfigurowanie profilu

Zakładki przypisane do każdego z profili zawierają takie same opcje. Kontrolują one działanie aplikacji Windows Firewall with Advanced Security po podłączeniu komputera do danego typu sieci.

Dla każdego z trzech profili skonfigurować możemy następujące opcje:

• Firewall State. W każdym z profili możemy włączyć lub wyłączyć działanie aplikacji Windows Firewall with Advanced Security.

• Inbound Connections. Połączenia przychodzące możemy skonfigurować z wykorzystaniem jednej z poniższych reguł:

  • Block (ustawienie domyślne). Windows Firewall with Advanced Security blokuje połączenia niespełniające wymogów zdefiniowanych w aktywnych regułach zapory.
  • Block all connections. Windows Firewall with Advanced Security ignoruje reguły i blokuje wszystkie połączenia przychodzące.
  • Allow. Windows Firewall with Advanced Security zezwala na połączenia przychodzące niespełniające wymogów zdefiniowanych w aktywnych regułach zapory.

• Outbound Connections. Połączenia wychodzące możemy skonfigurować z wykorzystaniem jednej z poniższych reguł:

  • Allow (ustawienie domyślne). Windows Firewall with Advanced Security zezwala na nawiązywanie połączeń niespełniających wymogów zdefiniowanych w aktywnych regułach zapory.
  • Block. Windows Firewall with Advanced Security blokuje połączenia wychodzące, które nie spełniają wymogów zdefiniowanych w aktywnych regułach zapory.

• Settings. Klikając przycisk Customize w obszarze Settings, możemy skonfigurować następujące ustawienia.

  • Display notifications. Włączenie tej opcji powoduje wyświetlanie komunikatów o zablokowaniu próby nawiązania połączenia z programem działającym na komputerze. System informuje użytkownika o zablokowanych połączeniach przychodzących. Jeśli dozwolone jest lokalne zastępowanie ustawień, użytkownik będzie miał możliwość odblokowania połączenia nawiązywanego z aplikacją.
  • Allow unicast response to multicast or broadcast requests. Po włączeniu tej opcji komputer będzie mógł odbierać odpowiedzi w trybie emisji pojedynczej na zapytania wysyłane w trybie multiemisji lub emisji zwykłej.
  • Apply local firewall rules. Tę opcję zaznaczamy, gdy chcemy, aby administrator miał możliwość dodawania własnych reguł zapory sieciowej do reguł zdefiniowanych z użyciem Group Policy. Po jej wyłączeniu administrator nadal będzie miał możliwość tworzenia reguł, ale nie będą one stosowane przez zaporę. Omawiana opcja jest dostępna tylko podczas konfigurowania profilu z użyciem Group Policy.
  • Allow local connection security rules. Tę opcję zaznaczamy, gdy chcemy, aby administrator miał możliwość dodawania własnych reguł związanych z ochroną połączenia do reguł zdefiniowanych z użyciem Group Policy. Po jej wyłączeniu administrator nadal będzie miał możliwość tworzenia reguł, ale nie będą one wykorzystywane.

• Logging. Klikając przycisk Customize w obszarze Logginguzyskujemy dostęp do poniższych opcji:

  • Name. Domyślnie plik przechowywany jest pod nazwą pfirewall.log, w katalogu %systemroot%\system32\LogFiles\WindowsFirewall
  • Size limit. Domyślne ograniczenie rozmiaru wynosi 4096 KB.
  • Log dropped packets. Według domyślnych ustawień odrzucone pakiety nie są zapisywane w dzienniku.
  • Log successful connections. Według domyślnych ustawień nawiązane połączenia nie są zapisywane w dzienniku.

Uwaga:

Konfigurując zaporę za pomocą Group Policy musimy się upewnić, że usługa Windows Firewall ma możliwość zapisywania danych za pomocą identyfikatora SID (Security Identifier) we wskazanej lokacji.

Konfigurowanie ustawień protokołu IPsec

Okno dialogowe IPsec Settings otwieramy, klikając przycisk Customize w zakładce IPsec Settings w Windows Firewall with Advanced Security on Local Computer. Zdefiniowane w nim ustawienia są wykorzystywane w trakcie tworzenia reguł ochrony połączenia. Do dyspozycji mamy następujące opcje:

• Key Exchange. W celu ustanowienia bezpiecznego kanału komunikacji między dwoma komputerami muszą one mieć dostęp do tego samego klucza, bez konieczności przesyłania go przez sieć. Po kliknięciu przycisku Settingsmożemy ustalić metody zabezpieczania połączenia, wybrać algorytm wymiany klucza oraz okres ważności klucza.
• Data Protection. Ochrona danych z użyciem protokołu IPsec umożliwia zdefiniowanie algorytmów zapewniających integralność danych i umożliwiających ich szyfrowanie. Dzięki integralności zyskujemy pewność, że dane nie zostaną zmodyfikowane w trakcie transmisji. Windows Firewall with Advanced Security chroni dane z wykorzystaniem protokołu Authentication Header (AH) lub protokołu Encapsulating Security Payload (ESP). Szyfrowanie chroni przesyłane informacje przed niepowołanym dostępem w przypadku ich przechwycenia i jest przeprowadzane z wykorzystaniem protokołu ESP
• Authentication Method. Korzystając z tego ustawienia, wybieramy domyślną metodę uwierzytelniania dla połączeń realizowanych w ramach protokołu IPsec na lokalnym komputerze. Jako domyślna wybrana jest metoda Kerberos V5. Możemy również wprowadzić ograniczenia w zakresie połączeń realizowanych przez komputery przypisane do określonej domeny lub użytkownika oraz komputery posiadające certyfikat wydany przez wybrane Centrum Certyfikacji.

Tworzenie nowych reguł

Windows Firewall with Advanced Security pozwala na tworzenie następujących typów reguł:

• Reguła programu. Reguły tego typu dopuszczają przesyłanie pakietów przez wybrany program, identyfikowany przez ścieżkę dostępu oraz plik startowy.
• Reguła portu. Reguły tego typu dopuszczają przesyłanie pakietów za pośrednictwem określonego numeru portu (lub ich zakresu) w protokole TCP lub UDP.
• Reguła predefiniowana. W systemie Windows do dyspozycji mamy szereg funkcji, które możemy aktywować. Jako przykład podać można narzędzia File and Printer Sharing, Remote Assistance oraz Windows Collaboration. Za pomocą reguł predefiniowanych możemy tworzyć grupy reguł zezwalające wybranym funkcjom systemu na dostęp do sieci.
• Własna reguła. Do tej kategorii zaliczamy reguły, których nie można utworzyć z użyciem reguł innych typów.

Tworzenie reguł ochrony połączenia

Reguły zabezpieczania połączenia opisują, w jaki sposób dwa równorzędne komputery muszą przeprowadzić uwierzytelnianie przed nawiązaniem połączenia i rozpoczęciem przesyłania danych. W programie Windows Firewall with Advanced Security reguły te są realizowane z wykorzystaniem protokołu IPsec. Wyróżniamy następujące rodzaje reguł ochrony połączenia:

• Reguły izolowania. Reguły tego typu izolują komputer, blokując połączenia oparte na danych uwierzytelniających takich, jak członkostwo domeny czy status kondycji. Dzięki nim realizować można strategię izolowania serwera lub domeny.
• Wyjątki w zakresie uwierzytelniania. Korzystając z tych reguł, możemy zdefiniować połączenia niewymagające uwierzytelniania. Biorące w nich udział komputery wskazywać można poprzez podanie adresu (lub zakresu adresów) IP, a także wybranie podsieci lub wcześniej zdefiniowanej grupy (na przykład bramy).
• Reguły połączeń między serwerami. Reguły zaliczane do tej kategorii chronią połączenia między wybranymi komputerami (zwykle serwerami). Tworząc je, określamy punkty końcowe w sieci, między którymi połączenie ma być chronione. Następnie określamy dodatkowe wymagania oraz stosowany mechanizm uwierzytelniania.
• Reguły tuneli. Za pomocą tych reguł chronić można połączenia między komputerami wchodzącymi w skład bramy. Są one zwykle wykorzystywane podczas łączenia bram za pośrednictwem Internetu. Definiując je, musimy podać adresy IP punktów końcowych i określić stosowaną metodę uwierzytelniania.
• Własne reguły. Z tych reguł korzystamy, gdy niemożliwe jest zdefiniowanie metod uwierzytelniania (w ramach połączenia między dwoma punktami końcowymi) z użyciem pozostałych typów reguł.

 Do początku strony

Zarządzanie aplikacją Windows Firewall with Advanced Security z użyciem narzędzi Group Policy

W celu scentralizowania procesu konfiguracji dużej liczby komputerów w zorganizowanej sieci wykorzystującej usługę Active Directory, możemy wprowadzić ustawienia dla aplikacji Windows Firewall with Advanced Security, korzystając z narzędzia Group Policy. Umożliwia ono pełen dostęp do funkcji programu Windows Firewall with Advanced Security, wliczając w to konfigurowanie profili i definiowanie reguł zapory oraz ochrony połączenia. Ustawienia Group Policy dla programu Windows Firewall with Advanced Security konfigurujemy za pomocą tej samej wtyczki, otwieranej z użyciem konsoli Group Policy Management Console. Komputery przypisane do domeny wymagają regularnych uaktualnień Group Policy, w związku, z czym związane z ich pobieraniem połączenia nie są blokowane po włączeniu aplikacji Windows Firewall with Advanced Security (chyba że jako domyślne ustawienie dla połączeń wychodzących wybierzemy blokowanie wszystkich połączeń).

Ostrzeżenie:

Jeśli połączenia wychodzące mają być blokowane, przed wdrożeniem programu Windows Firewall with Advanced Security z wykorzystaniem Group Policy należy przeprowadzić testy w środowisku testowym. W omawianym przypadku trzeba również aktywować reguły Group Policy dla połączeń wychodzących. W przeciwnym wypadku wszystkie tak skonfigurowane komputery nie będą mogły dokonywać aktualizacji profilu (konieczne będzie przeprowadzenie jej ręcznie).

Uwaga:

Ustawienia aplikacji Windows Firewall with Advanced Security opracowane w sieci organizacji z wykorzystaniem Group Policy nie mogą zostać zmienione przez lokalnych administratorów.

W poprzednich wersjach systemu Windows profile przetwarzane były w następujących sytuacjach:

• Profile komputera były przetwarzane w trakcie uruchamiania systemu Windows.
• Profile użytkownika były przetwarzane w trakcie logowania.
• Oba rodzaje profili były regularnie odświeżane.

W systemach Windows Vista i Windows Server 2008 profile Group Policy przetwarzane są również w następujących przypadkach:

• Profile komputera i użytkownika są przetwarzane, gdy komputer nawiąże połączenie ze zdalną witryną za pośrednictwem sieci VPN.
• Profile komputera i użytkownika są przetwarzane, gdy komputer wychodzi ze stanu uśpienia lub oczekiwania.
• Dzięki dodatkowym warunkom przetwarzania komputery mają dostęp do aktualnych profili Group Policy częściej oraz przy każdej zmianie ustawień połączenia.

 Do początku strony

Korzystanie z narzędzia Netsh advfirewall

Netsh to narzędzie wiersza poleceń wykorzystywane do konfigurowania ustawień składników sieciowych. W systemach Windows Vista i Windows Server 2008 możemy konfigurować ustawienia aplikacji Windows Firewall with Advanced Security za pomocą poleceń wpisywanych w kontekście Netsh advfirewall. Korzystając z omawianego narzędzia, możemy tworzyć skrypty automatycznie konfigurujące ustawienia programu Windows Firewall with Advanced Security, wyświetlać jego bieżący stan, opracowywać reguły oraz monitorować połączenia.

W celu wykorzystania zaawansowanych poleceń Netsh należy uruchomić wiersz poleceń.

Aby uruchomić wiersz poleceń:

1. Klikamy przycisk Start i wybieramy polecenie All Programs.
2. Klikamy ikonę Accessories.
3. Klikamy ikonę command prompt prawym przyciskiem myszy i wybieramy polecenie Run as administrator.
4. W oknie dialogowym User Account Control Prompt klikamy przycisk Continue.

Aby przejść do kontekstu Netsh advfirewall, wpisujemy:

netsh

Po przejściu do konteksu Netsh, wyświetlony zostanie wiersz poleceń tego narzędzia. Podajemy w nim typ kontekstu advfirewall, wpisując poniższe polecenie:

advfirewall

W kontekście advfirewall możemy wpisywać wybrane polecenia. Do wyboru mamy następujące komendy:

• export - eksportuje profil zapory do pliku;

• help - wyświetla listę dostępnych poleceń;

• import - importuje profil ze wskazanego pliku;

• reset - przywraca domyślny profil aplikacji Windows Firewall with Advanced Security;

• show - wyświetla właściwości określonego profilu. Na przykład:

  • show allprofiles
  • show domainprofile
  • show privateprofile
  • show publicprofile

Oprócz poleceń dostępnych w kontekście advfirewall, narzędzie obsługuje również cztery podkonteksty. Aby wybrać jeden z nich należy wpisać jego nazwę w wierszu poleceń Netsh advfirewall. Dostępne są następujące podkonteksty:

• consec. Umożliwia wyświetlanie i konfigurowanie reguł związanych z zabezpieczaniem połączenia;
• firewall. Umożliwia wyświetlanie i konfigurowanie reguł zapory sieciowej;
• monitor. Umożliwia wyświetlenie konfiguracji monitorowania.

Uwaga:

We wszystkich kontekstach Netsh możemy wpisać polecenie help w celu uzyskania pełnej listy poleceń, w tym także tych zależnych od kontekstu. Szczegółowe informacje na temat wybranego polecenia oraz jego składni uzyskać można wpisując <nazwapolecenia> /?.

 Do początku strony

/Monitorowanie

Windows Firewall with Advanced Security zawiera wbudowane narzędzia do monitorowania reguł dotyczących zapory sieciowej, połączeń między komputerami oraz powiązań związanych z bezpieczeństwem.

Firewall

Korzystając z tego katalogu, możemy monitorować wejściowe i wyjściowe reguły zapory sieciowej.

Connection security

Za pomocą tego katalogu można monitorować następujące reguły:

• Connection Security Rules. W tym katalogu znajduje się lista wszystkich reguł, wraz ze szczegółowymi informacjami na temat ich ustawień. W trakcie ustanawiania połączenia między danym komputerem a innymi maszynami reguły ochrony połączenia korzystają z protokołu IPsec. Określają one, jakie metody uwierzytelniania, wymiany klucza, zapewnienia integralności danych oraz szyfrowania mogą być wykorzystane podczas tworzenia powiązania bezpieczeństwa SA (Security Authentication). Powiązanie bezpieczeństwa definiuje zabezpieczenia wykorzystywane do ochrony komunikacji między nadawcą i odbiorcą.

• Security associations. W tym katalogu znajduje się lista wszystkich powiązań bezpieczeństwa Main Mode i Quick Mode, wraz ze szczegółowymi informacjami na temat ich ustawień oraz punktów końcowych.

  • Main Mode. W tym katalogu znajduje się lista wszystkich powiązań bezpieczeństwa Main Mode, wraz ze szczegółowymi informacjami na temat ich ustawień oraz punktów końcowych. Korzystając z niego możemy przeanalizować adresy IP punktów końcowych.
  • Quick Mode. W tym katalogu znajduje się lista wszystkich powiązań bezpieczeństwa Quick Mode, wraz ze szczegółowymi informacjami na temat ich ustawień oraz punktów końcowych. Korzystając z niego, możemy przeanalizować adresy IP punktów końcowych.

 Do początku strony

Podsumowanie

Windows Firewall with Advanced Security w systemach Windows Vista® i Windows Server® 2008 to rozbudowana, wykorzystująca serwer zapora sieciowa, która filtruje przesyłane pakiety w oparciu o reguły ustalone w trakcie jej konfiguracji. Konfiguracja na poziomie użytkownika nadal jest przeprowadzana za pośrednictwem panelu Windows Firewall Control Panel, ale zaawansowana konfiguracja odbywa się z użyciem wtyczki Windows Firewall with Advanced Security, działającej w ramach programu Microsoft Management Control (MMC). Funkcje zapory są zintegrowane z protokołem IPsec, co zmniejsza prawdopodobieństwo konfliktu między tymi mechanizmami.

Aplikacja Windows Firewall with Advanced Security współpracuje również z mechanizmem Network Location Awareness, dzięki czemu możliwe jest skonfigurowanie zabezpieczeń na podstawie parametrów sieci, do której podłączony jest dany komputer. Program obsługuje również osobne profile komputerów przypisanych do określonej domeny lub połączonych z prywatną albo publiczną siecią.

 Do początku strony