Konfigurasi firewall tingkat lanjut pada server

Informatec Digital » Sumber daya » Konfigurasi firewall tingkat lanjut pada server

Kuasai konfigurasi firewall tingkat lanjut pada server Ini bukan lagi hanya urusan perusahaan besar. Setiap perusahaan yang menganggap serius keamanan siber perlu memahami cara melakukan segmentasi jaringan, mendefinisikan zona, membuat aturan terperinci, dan memaksimalkan baik firewall perimeter maupun firewall Windows itu sendiri di setiap komputer dan server.

Sepanjang panduan ini, Anda akan melihat secara rinci bagaimana cara Firewall Generasi Berikutnya (NGFW)Cara mendesain zona (LAN, WAN, DMZ, VLAN), jenis aturan apa yang harus diterapkan (program, port, protokol, IP…), dan cara memanfaatkan fitur-fitur yang tersedia. Windows Firewall dengan Keamanan Tingkat LanjutApa peran alat seperti SimpleWall, dan praktik terbaik apa yang harus diikuti untuk mencegah seluruh struktur ini menjadi kekacauan yang tidak terkendali?

Firewall Generasi Berikutnya pada server: lebih dari sekadar penyaringan port

Firewall generasi berikutnya, seperti FortiGate NGFWPerangkat ini menggabungkan fungsi jaringan canggih dan keamanan mendalam dalam satu perangkat. Mereka tidak hanya membuka atau menutup port; mereka menganalisis lalu lintas pada tingkat aplikasi, memeriksa konten terenkripsi, dan terintegrasi dengan arsitektur cloud, LAN, WLAN, dan akses jarak jauh yang kompleks.

Dalam kasus FortiGate, inti dari sistem ini adalah FortiOSSistem operasi khusus yang menyatukan kebijakan keamanan dan fungsi jaringan: SD-WAN terintegrasi, ZTNA universal, kontrol lalu lintas di jaringan nirkabel dan kabel, serta manajemen terpusat berkat FortiManager.

Selain itu, tim-tim ini bergantung pada Arsitektur ASIC milik sendiri (chip khusus) untuk mempercepat inspeksi dan dekripsi paket tanpa merusak kinerja atau meningkatkan konsumsi daya secara drastis, bahkan ketika jaringan sedang dalam beban berat dan terdapat ratusan atau ribuan sesi simultan.

Perlindungan terhadap ancaman diperkuat dengan Layanan FortiGuardyang menambahkan kecerdasan buatan untuk mendeteksi malware, lalu lintas mencurigakan, eksploitasi, dan serangan yang ditargetkan, menyelaraskan semuanya dalam konsep Fortinet Security Fabric: sebuah infrastruktur keamanan yang mencakup jaringan, titik akhir, dan cloud untuk merespons insiden secara terkoordinasi.

Desain zona firewall dan segmentasi jaringan pada server

Sebelum mulai membuat aturan seolah-olah tidak ada hari esok, Anda harus mendesainnya terlebih dahulu... arsitektur zonasi dan segmentasi jaringanSemakin rata jaringnya, semakin mudah bagi penyerang untuk bergerak ke samping begitu mereka masuk ke dalam area penalti.

Langkah pertama adalah mengidentifikasi aset dan layanan utamaServer web, basis data, aplikasi internal, perangkat point-of-sale, PBX VoIP, jaringan tamu, dll. Tergantung pada tingkat kekritisan dan kerentanannya, perangkat-perangkat ini dikelompokkan ke dalam zona logis yang berbeda.

Praktik standar adalah membuat DMZ (zona demiliterisasi) Untuk server yang menyediakan layanan langsung ke Internet (email, VPN, aplikasi web, portal publik, dll.), sistem ini harus diisolasi dari jaringan eksternal dan jaringan internal yang paling sensitif, membatasi sebisa mungkin lalu lintas yang dapat mengalir antar area yang berbeda.

Server yang hanya dapat diakses dari dalam organisasi terletak di area server internalSelanjutnya, jaringan-jaringan ini dipisahkan dari jaringan pengguna, jaringan manajemen, dan lingkungan laboratorium atau pengujian apa pun. Agar hal ini praktis, biasanya digunakan switch yang mendukung fitur-fitur tertentu. VLAN untuk menjaga pemisahan juga pada level 2.

Dalam lingkungan IPv4, semua jaringan internal harus menggunakan lapangan tembak pribadi (RFC1918) dan mengandalkan mekanisme NAT untuk mengakses Internet. Penerjemahan biasanya dilakukan di firewall perimeter, yang juga memberlakukan kebijakan lalu lintas masuk dan keluar untuk setiap zona tertentu.

Daftar kontrol akses (ACL) dan aturan antar zona

Setelah zona-zona didefinisikan dan ditetapkan ke antarmuka atau subantarmuka firewall, saatnya untuk... ACL (Daftar Kontrol Akses)yaitu aturan yang menentukan lalu lintas apa yang diizinkan dan apa yang ditolak di antara zona-zona tersebut.

Ide dasarnya adalah untuk mendefinisikan, untuk setiap antarmuka atau subantarmuka, serangkaian aturan yang sesederhana mungkin. spesifik dan terperinci Persyaratan yang mungkin termasuk: IP atau subnet sumber, IP atau subnet tujuan, protokol (TCP, UDP, ICMP, dll.), port yang terlibat, dan tindakan (izinkan atau tolak). Semakin spesifik aturannya, semakin sedikit celah keamanan yang akan ada.

Praktik yang baik adalah mengakhiri setiap ACL dengan aturan berikut: “menyangkal segalanya” tersiratIni berfungsi sebagai jaring pengaman: jika sebuah paket tidak sesuai dengan aturan izin yang sudah ada, paket tersebut akan diblokir. Dari situ, pengecualian yang sangat spesifik dibuat untuk alur data yang benar-benar dibutuhkan.

Sebaiknya juga menonaktifkan akses publik ke antarmuka administrasi dari firewall (HTTP, HTTPS, SSH, dll.), yang hanya mengizinkan manajemen dari jaringan internal yang sangat spesifik atau melalui VPN manajemen yang aman.

NGFW modern dapat melampaui port dan IP, dengan memanfaatkan kontrol aplikasiKategori web, IPS, dan analisis file tingkat lanjut (sandboxing). Jika Anda sudah membayar fitur-fitur ini, ada baiknya untuk mengaktifkan dan mengkonfigurasikannya dalam alur kerja penting, terutama yang melintasi perimeter.

Firewall permisif vs. firewall restriktif pada server

Poin penting saat mendesain kebijakan firewall (baik perimeter maupun sistem operasi) adalah memutuskan apakah akan memulai dari suatu postur. permisif atau restriktif.

Dalam satu firewall permisif Aturan implisit utamanya adalah "izinkan semuanya." Hanya apa yang secara eksplisit didefinisikan oleh aturan penolakan yang diblokir. Pendekatan ini biasanya digunakan pada jaringan area lokal (LAN) tepercaya atau pada komputer yang dikonfigurasi sebagai "jaringan pribadi" di Windows.

Dalam satu firewall yang membatasi Yang terjadi justru sebaliknya: aturan utamanya adalah "tolak semua". Hanya lalu lintas yang sesuai dengan aturan izin eksplisit yang diperbolehkan. Filosofi ini umum diterapkan pada antarmuka jaringan area luas (WAN), pada firewall seperti pfSense atau NGFW perusahaan, dan pada perangkat yang dikonfigurasi sebagai "jaringan publik".

Windows, misalnya, menggunakan secara default. kebijakan pembatasan pada koneksi masuk (memblokir semua yang tidak diizinkan secara eksplisit) dan kebijakan permisif terhadap pengeluaran (Ini mengizinkan semuanya kecuali yang telah Anda blokir.) Ini dapat disesuaikan dari properti lanjutan firewall.

Apa sebenarnya yang dapat ditawarkan Windows Firewall pada server?

El Windows Firewall dengan Keamanan Tingkat Lanjut Ini jauh lebih ampuh daripada yang disadari banyak orang. Ia dapat mengontrol lalu lintas masuk dan keluar, memfilter berdasarkan alamat IP, port, protokol, layanan, antarmuka jaringan, jenis profil (domain, privat, publik), dan bahkan berdasarkan pengguna atau grup dalam beberapa skenario.

Di antara kemampuannya, berikut ini yang paling menonjol: penyaringan paket Pada tingkat rendah, ia menghasilkan log terperinci (yang kemudian dapat dianalisis dengan Event Viewer atau dikirim ke SIEM), mendeteksi jaringan publik untuk secara otomatis menerapkan profil yang lebih ketat, dan terintegrasi dengan lapisan keamanan lain seperti Windows Defender.

Bagi usaha kecil dan banyak lingkungan server, server yang dikonfigurasi dengan baik dapat menjadi lebih dari cukupTerutama jika dikombinasikan dengan perangkat lunak antivirus yang andal dan praktik administrasi yang baik. Namun, penting untuk menyadari keterbatasannya: ini bukan pengganti NGFW perimeter atau IPS khusus.

Sebagai kelemahan, perlu disebutkan bahwa firewall Windows tidak menawarkan fitur ini secara default. inspeksi paket mendalam Dengan tanda tangan tingkat lanjut, ia tidak secara bawaan memblokir telemetri sistem, notifikasinya bersifat diskret (hampir tidak memberi tahu Anda tentang koneksi baru), dan cara untuk melihat log tidak ramah pengguna bagi pengguna non-teknis.

Akses ke Windows Firewall dengan keamanan tingkat lanjut.

Untuk mengelola pengaturan firewall tingkat lanjut dalam lingkungan Domain Active DirectoryIdealnya, seseorang harus bekerja dengan GPO (Group Policy Objects)Sangat penting untuk menjadi anggota grup Administrator Domain atau memiliki izin yang didelegasikan pada GPO.

Dari konsol manajemen kebijakan, Anda menavigasi melalui Kebijakan > Konfigurasi Komputer > Pengaturan Windows > Pengaturan Keamanan > Firewall Windows dengan Keamanan Tingkat LanjutDi sana, aturan umum dapat ditentukan untuk komputer klien dan server yang tergabung dalam domain.

Jika sudah sebuah server tunggal atau komputer lokalAnda hanya memerlukan hak akses administrator pada perangkat tersebut. Cara tercepat untuk membuka konsol adalah dengan menekan tombol START dan mengetik wf.msc lalu tekan Enter. Konsol Windows Firewall dengan keamanan tingkat lanjut untuk komputer tersebut akan terbuka.

Layar utama menampilkan aturan masuk, aturan keluar, aturan keamanan koneksi dan konfigurasi berbagai profil (domain, privat, publik), beserta area pemantauan di mana hanya aturan aktif yang terlihat.

Profil, kebijakan global, dan perilaku default

Panel properti firewall mengontrol opsi global untuk setiap profil jaringan (domain, privat, publik). Opsi-opsi ini menentukan bagaimana firewall berperilaku ketika adaptor jaringan dikaitkan dengan tipe jaringan tertentu.

Untuk setiap profil, Anda dapat memutuskan apakah firewall diaktifkan atau tidak. hidup atau matiApakah koneksi masuk yang tidak sesuai dengan aturan apa pun diblokir atau diizinkan, dan hal yang sama berlaku untuk koneksi keluar.

Parameter seperti berikut ini juga dapat disesuaikan: pemberitahuan saat memblokir program, lokasi di mana log firewall, ukuran maksimum log tersebut dan perlakuan khusus terhadap lalu lintas yang dilindungi oleh terowongan VPN IPsec, yang umumnya dianggap lebih andal.

Di Pengawasan Semua aturan yang saat ini aktif ditampilkan, termasuk yang berasal dari Objek Kebijakan Grup (GPO) dan yang didefinisikan secara lokal. Di sinilah Anda dapat melihat aturan mana yang sebenarnya aktif dan dengan parameter apa, dan dari sana Anda dapat membuka dan memodifikasi propertinya.

Aturan masuk dan keluar: pengaturan lalu lintas

Saat bekerja dengan aturan di firewall Windows, salah satu kesalahan yang paling umum adalah membingungkan arah lalu lintasAturan masuk berlaku untuk paket yang tiba di komputer; aturan keluar berlaku untuk paket yang meninggalkan komputer menuju mesin lain.

Jika tujuannya adalah untuk mencegah koneksi dari Internet ke server, maka perlu dibuat atau dimodifikasi. aturan masukNamun, jika tujuannya adalah untuk mencegah layanan atau program server terhubung ke luar, maka tindakan harus diambil pada aturan keluar.

Setiap entri dalam daftar menunjukkan apakah aturan tersebut diaktifkan (ikon centang hijau) atau dinonaktifkan. Aturan yang dinonaktifkan tidak memengaruhi lalu lintas, meskipun aturan tersebut masih didefinisikan. Seringkali ditemukan banyak aturan Windows yang telah ditentukan sebelumnya yang ada tetapi tidak aktif sampai dibutuhkan.

Untuk memahami dengan baik Alur sumber/tujuan dan port lokal/jarak jauh Hal ini penting untuk menghindari pembuatan aturan yang tidak pernah diterapkan atau yang membuka lebih banyak kemungkinan daripada yang sebenarnya diperlukan, sesuatu yang sangat umum terjadi saat mengkonfigurasi layanan yang kompleks.

Jenis-jenis aturan di Windows Firewall

Windows Firewall New Rule Wizard menawarkan empat kategori utama: program, port, yang telah ditentukan sebelumnya dan kustomMasing-masing dirancang untuk skenario yang berbeda, dan penting untuk memilih dengan cermat tergantung pada apa yang ingin Anda capai.

Aturan program fokus pada file eksekusi tertentu; yang mana pelabuhan Mereka melakukan penyaringan berdasarkan nomor port TCP atau UDP; sudah ditentukan sebelumnya Mereka menyederhanakan pengelolaan layanan Windows yang sudah dikenal; dan dipersonalisasi Mereka memungkinkan penyesuaian yang sangat detail dengan menggabungkan beberapa kriteria sekaligus.

Dalam semua kasus, wizard diakhiri dengan menanyakan tindakan apa yang ingin kita terapkan (izinkan, izinkan hanya jika aman dengan IPsec, atau blokir) dan ke profil jaringan mana aturan tersebut akan diterapkan (domain, privat, publik). Terakhir, sebuah nama dan deskripsi sehingga dapat dengan mudah diidentifikasi nantinya.

Pada server-server penting, ada baiknya meluangkan waktu untuk mendokumentasikan aturan dengan benar, yang menunjukkan Layanan apa yang dilindunginya dan mengapa layanan ini ada?sehingga di masa mendatang dalam audit atau perubahan apa pun, tidak akan ada keraguan tentang kegunaannya.

Aturan berdasarkan program: kontrol ketat terhadap layanan spesifik.

Aturan tipe program Ini adalah cara praktis untuk mengontrol lalu lintas aplikasi tanpa harus menghafal semua port yang digunakannya. Pengaturan ini dapat diterapkan pada lalu lintas masuk maupun keluar.

Di wizard, pilih opsi "Jalur program ini" dan tentukan jalur yang dapat dieksekusiDimungkinkan untuk menggunakan variabel lingkungan untuk memastikan bahwa aturan diterapkan dengan benar meskipun program diinstal di jalur yang berbeda pada komputer yang berbeda.

Pada server yang menampung layanan di dalam svchost.exe Untuk kontainer multi-layanan lainnya, dimungkinkan untuk menyesuaikan aturan agar hanya berlaku untuk layanan tertentu dengan memilih layanan berdasarkan nama singkatnya. Hal ini memungkinkan Anda untuk membedakan, misalnya, lalu lintas layanan RPC tertentu dalam proses yang sama.

Sangat disarankan untuk menggabungkan aturan program dengan pembatasan di tab Protokol dan portDengan secara eksplisit menentukan port mana yang dapat didengarkan atau digunakan oleh aplikasi tersebut. Jika Anda mencoba membuka port yang berbeda, firewall akan memblokirnya.

Aturan port: penyaringan TCP/UDP klasik

Aturan tipe pelabuhan Fitur ini memungkinkan Anda untuk mengizinkan atau memblokir lalu lintas berdasarkan nomor port lokal atau jarak jauh dan protokol (terutama TCP atau UDP). Fitur ini dapat digunakan untuk aturan masuk dan keluar.

Dalam aturan masuk standar untuk membuka, misalnya, Port TCP 21TCP dipilih, "port lokal spesifik" ditunjukkan, dan 21 dimasukkan. Beberapa port yang dipisahkan oleh koma dapat ditentukan (misalnya, 21,20,22) atau rentang seperti 5000-5100, bahkan mencampur port individual dan rentang dalam aturan yang sama.

Selanjutnya, Anda menentukan tindakan (izinkan, izinkan jika aman, blokir) dan profil tempat tindakan tersebut akan diterapkan. Ini adalah cara sederhana untuk membuka layanan standar tertentu (HTTP, HTTPS, RDP, dll.) tanpa perlu mempelajari detail program tertentu.

Dalam kasus aturan keluarPraktik yang paling umum adalah menentukan port jarak jauh, karena ini adalah tujuan yang coba dihubungkan oleh server. Contoh penggunaan yang umum adalah memblokir semua lalu lintas keluar ke port yang mencurigakan atau membatasi aplikasi tertentu agar tidak berkomunikasi hanya pada port yang sangat spesifik.

Aturan yang telah ditentukan sebelumnya dan yang dapat disesuaikan.

itu aturan yang telah ditentukan sebelumnya Mereka mengelompokkan konfigurasi siap pakai untuk layanan Windows umum (Berbagi File dan Printer, Desktop Jarak Jauh, dll.). Cukup pilih layanannya, tentukan apakah akan mengizinkan atau memblokirnya, pilih profil, dan selesai.

Opsi ini praktis ketika Anda ingin dengan cepat mengaktifkan atau membatasi layanan internal tanpa harus menyelidiki port dan protokol apa yang digunakannya dalam setiap kasus. Di balik layar, sistem membuat beberapa aturan khusus yang mencakup layanan tersebut.

itu aturan khusus Ini adalah yang paling komprehensif dan menawarkan kontrol terbesar. Anda dapat menentukan semua parameter: program (atau semua program), jenis layanan, protokol IP (dengan daftar TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route, dll.), kombinasi port lokal dan jarak jauh, alamat IP sumber dan tujuan (termasuk rentang dan subnet), dan kondisi tambahan.

Dalam protokol seperti ICMPv4 atau ICMPv6, Anda dapat memilih apakah akan Mereka mendukung semua jenis ICMP. atau hanya pesan-pesan tertentu (permintaan gema, balasan gema, waktu terlampaui, dll.). Anda bahkan dapat menentukan jenis dan kode spesifik yang tidak muncul dalam daftar umum.

Selain itu, saat menentukan alamat IP di bagian cakupan, wizard memungkinkan menambahkan seluruh rentang atau subnet (misalnya, 192.168.10.0/24) untuk mempersempit lebih lanjut perangkat mana yang dapat menggunakan aturan tersebut, baik secara lokal maupun jarak jauh.

Aturan masuk ICMP pada server

Mengizinkan atau tidak mengizinkan lalu lintas ICMP ke server adalah keputusan strategis. aturan ICMP yang masuk Fitur ini memungkinkan perangkat untuk merespons ping dan pesan diagnostik jaringan tertentu, yang sangat membantu untuk tugas administratif, tetapi juga dapat memberikan informasi kepada penyerang.

Untuk membuat aturan ICMP masuk di firewall Windows, buka konsol lanjutan, lalu masuk ke Aturan masuk dan aturan khusus baru dibuat. Di bagian program, Anda biasanya memilih "Semua program".

Pada layar protokol, pilih ICMPv4 atau ICMPv6 Ini bergantung pada tumpukan jaringan yang digunakan. Jika Anda bekerja dengan IPv4 dan IPv6, Anda perlu membuat aturan untuk masing-masing. Opsi penyesuaian memungkinkan Anda untuk memilih jenis ICMP spesifik yang ingin Anda izinkan (hanya permintaan gema/balasan gema, atau serangkaian yang lebih luas).

Selanjutnya, cakupan (IP mana yang dapat di-ping), tindakan (biasanya mengizinkan koneksi), dan profil jaringan tempat aturan akan berlaku ditentukan. Terakhir, nama deskriptif diberikan pada aturan tersebut agar mudah dikenali.

Aturan layanan atau program masuk dan keluar

Dalam beberapa skenario, keinginannya adalah untuk membiarkan Layanan khusus, mendengarkan lalu lintas masuk. di port mana pun yang dibutuhkan, atau sebaliknya: mencegah program berkomunikasi dengan dunia luar melalui port mana pun.

Untuk bagian yang masuk, aturan khusus dibuat, "Jalur program ini" dipilih, dan file eksekusi layanan ditentukan. Ini kemudian dapat disesuaikan sehingga aturan hanya berlaku untuk layanan yang dihosting di dalam file eksekusi tersebut, dengan memilih layanan berdasarkan nama singkatnya.

Bahkan ada opsi untuk menyesuaikannya. tipe SID layanan menggunakan perintah sc sidtype Ini memengaruhi bagaimana layanan tersebut dapat digunakan dalam aturan firewall. Mengubahnya menjadi TERBATAS dapat mencegahnya untuk dimulai, jadi hal ini harus dilakukan dengan hati-hati dan hanya jika jenis perlindungan tersebut diperlukan.

Untuk bagian yang keluar, prosesnya serupa tetapi dengan membuat aturan keluarJika Anda ingin memblokir akses program tersebut ke internet sepenuhnya, tentukan jalur ke file yang dapat dieksekusi, atur tindakan ke "Blokir koneksi," dan pilih profil yang ingin Anda batasi.

Konfigurasi khusus untuk RPC dan port dinamis

Layanan yang menggunakan RPC (Panggilan Prosedur Jarak Jauh) Lalu lintas ini bisa sangat sensitif karena menggunakan port dinamis yang ditetapkan sistem saat dijalankan. Untuk mengizinkan lalu lintas ini secara terkontrol melalui firewall Windows, biasanya perlu membuat dua aturan khusus.

Yang pertama menuju ke Layanan Penugasan Titik Akhir RPCTerletak di %systemroot%\system32\svchost.exe. Aturan ini disesuaikan untuk diterapkan pada layanan RpcSs, TCP diatur sebagai protokol, dan opsi "RPC Endpoint Mapper" dipilih untuk port lokal.

Aturan kedua dibuat untuk Layanan jaringan yang mendukung RPC yang ingin kita izinkan, dengan menentukan jalur ke file yang dapat dieksekusi yang menampungnya, dan juga mengaitkannya dengan layanan spesifik tersebut. Dalam hal ini, "port dinamis RPC" dipilih untuk port lokal.

Pada kedua aturan tersebut, cakupan (alamat IP yang diizinkan), tindakan (izinkan koneksi), dan profil kemudian disesuaikan. Dengan cara ini, hanya perangkat dan layanan yang memenuhi persyaratan ini yang dapat memanfaatkan penerusan port RPC.

Pencatatan log, audit, dan pemecahan masalah firewall Windows.

Ketika ada sesuatu yang tidak berfungsi sebagaimana mestinya, log firewall dan peristiwa audit adalah sumber informasi pertamaSebaiknya pengumpulan log dikonfigurasi dengan benar sebelum Anda membutuhkannya.

Di properti firewall, pada tab setiap profil, Anda dapat menyesuaikan jalur file logUkuran maksimum dalam KB, dan apakah paket yang hilang, koneksi yang berhasil, atau keduanya dicatat. Di lingkungan server, biasanya ada baiknya untuk mencatat keduanya agar mendapatkan gambaran yang jelas.

Di sisi lain, dengan alat baris perintah auditpol.exe Subkategori audit spesifik, seperti perubahan kebijakan, dapat diaktifkan sehingga sistem menghasilkan peristiwa terperinci ketika kebijakan firewall atau IPsec dimodifikasi.

Saat menyelidiki suatu masalah, akan sangat membantu untuk menangkap status jaringan dengan netstat -ano > netstat.txt dan daftar proses dengan daftar tugas > tasklist.txtDengan mencocokkan PID proses dalam tasklist dengan koneksi aktif di netstat, dimungkinkan untuk mengetahui program mana yang menggunakan port tertentu.

Dalam skenario yang kompleks, Microsoft menyediakan skrip seperti TSS.ps1 untuk mengumpulkan jejak lanjutan dari Windows Filtering Engine (WFP), yang kemudian dikemas ke dalam file ZIP dan dapat dianalisis atau dikirimkan ke dukungan teknis.

Alat eksternal: SimpleWall dan firewall pihak ketiga

Firewall bawaan Windows berfungsi dengan baik, tetapi seringkali diabaikan. antarmuka yang lebih intuitif dan memberikan notifikasi yang jelas ketika sebuah aplikasi mencoba mengakses internet untuk pertama kalinya. Di situlah solusi pihak ketiga berperan.

Salah satu pilihan open-source yang ringan untuk Windows adalah Dinding SederhanaFitur ini bergantung pada Windows Filtering Platform (WFP) tetapi tidak secara langsung memodifikasi Windows Firewall. Sebaliknya, fitur ini membuat aturannya sendiri melalui WFP untuk mengontrol aplikasi mana yang memiliki akses.

Di antara fitur-fiturnya adalah sebuah editor aturan sederhanaDaftar internal untuk memblokir telemetri dan pengintaian Windows, log paket yang diblokir, kompatibilitas IPv6, dan dukungan untuk layanan sistem dan aplikasi Microsoft Store.

SimpleWall memungkinkan Anda membuat aturan permanen atau sementara (yang akan hilang setelah restart), mengaktifkan filter secara global, dan mengklasifikasikan program sebagai diizinkan, diblokir, atau diblokir secara diam-diam. Namun, agar aturan Anda berlaku, SimpleWall sendiri harus berjalan di latar belakang.

Selain SimpleWall, beberapa pengguna memilih firewall komersial dengan lebih banyak fitur: inspeksi paket mendalam, daftar anti-pelacakan yang telah dikonfigurasi sebelumnya, sandboxing, analisis perilaku, dasbor grafis canggih, dan peningkatan visibilitas terhadap lalu lintas keluar. Banyak dari produk ini terintegrasi dengan Windows Firewall atau sebagian menggantikannya.

Kinerja, kelebihan, dan kekurangan penggunaan firewall pada server.

Penggunaan firewall, baik di tingkat perimeter maupun sistem operasi, memiliki sedikit biaya dalam kinerjaKarena setiap paket jaringan dianalisis terhadap satu atau lebih aturan. Hal ini dapat terlihat pada peralatan dengan perangkat keras yang sangat terbatas atau sangat tua. Periksa Panduan optimasi server Linux untuk mengurangi dampak.

Namun, keuntungan memiliki penghalang pertahanan pertama Ini sangat penting: mengurangi paparan terhadap serangan eksternal, mengontrol aplikasi mana yang dapat terhubung dari luar, menghasilkan log yang berguna untuk audit, dan menyesuaikan tingkat perlindungan tergantung pada apakah Anda berada di jaringan tepercaya atau jaringan publik.

Kerugian utama, selain dampaknya terhadap kinerja, adalah: kompleksitas pemeliharaan (khususnya bagi pengguna yang kurang berpengalaman) dan rasa aman yang semu: firewall tidak menggantikan antivirus yang baik, pembaruan sistem, atau, tentu saja, akal sehat administrator.

Selain itu, pengelolaan aturan yang tepat membutuhkan waktu: meninjau apa yang sebenarnya digunakan, menghapus aturan yang sudah usang, mendokumentasikan perubahan, dan memverifikasi bahwa tidak ada celah yang secara tidak sengaja dibiarkan terbuka saat melakukan pengujian cepat atau pengecualian sementara.

Praktik terbaik tingkat lanjut untuk keamanan firewall pada server.

Dalam lingkungan server yang serius, tidak cukup hanya dengan mengatur empat aturan dan melupakannya. Ada sejumlah hal yang perlu dipertimbangkan. praktik yang baik yang membantu menjaga kendali dan mengurangi risiko jangka panjang.

Pertama adalah menerapkan prinsip hak istimewa paling rendah (PoLP)Ini berlaku untuk pengguna dan aturan. Pendekatan ini menghindari aturan umum seperti "izinkan semuanya dari IP mana pun" dan sebagai gantinya mendefinisikan aturan yang disesuaikan dengan IP atau subnet tertentu, port tertentu, dan aplikasi yang dikenal.

Kunci lainnya adalah memelihara firewall dan komponen-komponennya. selalu diperbaruiHal ini mencakup penerapan patch sistem operasi, firmware firewall fisik, tanda tangan IPS, dan pembaruan apa pun yang dirilis oleh vendor, sebaiknya setelah diuji di lingkungan pengujian.

Terakhir, sangat penting untuk melakukan penyebaran. pemantauan dan pencatatan yang efektifKirim log ke SIEM, tetapkan peringatan untuk pola yang mencurigakan (misalnya, banyak paket yang diblokir dari IP yang sama) dan tinjau laporan secara berkala, jangan hanya mengumpulkannya "untuk berjaga-jaga".

Selain lapisan logika, keamanan fisik Fitur penting firewall ini meliputi: peralatan dalam rak tertutup, akses terbatas ke ruang teknis, dan cadangan konfigurasi untuk memungkinkan pemulihan cepat jika terjadi kerusakan setelah perubahan.

Lapisan tambahan: penyaringan URL, VPN, IPS, QoS, dan kontrol aplikasi.

Sebagian besar NGFW modern memungkinkan Anda untuk mengaktifkan fitur-fitur canggih yang melengkapi penyaringan paket dasar dan aturan IP/port.

El Penyaringan URL Fitur ini memungkinkan Anda mengklasifikasikan situs web berdasarkan kategori (malware, jejaring sosial, konten dewasa, unduhan P2P, dll.) dan memblokir situs yang dianggap tidak pantas atau berbahaya, yang membantu memperkuat keamanan dan menegakkan kebijakan penggunaan yang dapat diterima.

itu VPNBaik itu koneksi antar lokasi atau akses jarak jauh, VPN mengandalkan protokol seperti IPsec atau SSL/TLS untuk mengenkripsi lalu lintas antara kantor dan pengguna jarak jauh. Firewall biasanya mengintegrasikan penghentian VPN ini dan menerapkan kebijakan kontrol yang sama pada lalu lintas terenkripsi seperti pada jaringan lainnya.

Un Sistem Pencegahan Intrusi (IPS) Sistem ini memeriksa lalu lintas secara real-time untuk mencari pola serangan yang dikenal atau perilaku yang mencurigakan, dan dapat secara otomatis memblokir koneksi yang mencoba mengeksploitasi kerentanan sistem atau aplikasi.

El kontrol aplikasi Fitur ini memberikan visibilitas yang jauh lebih besar daripada sekadar port: fitur ini memungkinkan Anda untuk memutuskan aplikasi spesifik mana (misalnya, Skype, Dropbox, aplikasi game, dll.) yang diizinkan atau diblokir, bahkan ketika aplikasi tersebut menggunakan port standar atau terenkripsi.

Akhirnya Kualitas Layanan (QoS) Hal ini memungkinkan untuk memprioritaskan lalu lintas penting (suara, konferensi video, aplikasi bisnis) di atas aliran data lain yang kurang penting, mencegah pengunduhan atau pencadangan data besar-besaran menyebabkan jaringan tidak dapat digunakan oleh pengguna akhir.

Jagalah dengan saksama konfigurasi firewall tingkat lanjut pada serverMulai dari desain zona dan aturan yang terperinci hingga penggunaan fungsi generasi berikutnya, pencatatan log, audit, dan alat seperti SimpleWall atau NGFW khusus, hal ini membuat perbedaan antara jaringan yang "kurang lebih hanya berfungsi" dan infrastruktur yang benar-benar siap untuk menahan serangan, berkembang tanpa kehilangan kendali, dan memenuhi persyaratan keamanan saat ini.