Konfigurimi i avancuar i firewall-it në servera

Informatec Digital » Burime » Konfigurimi i avancuar i firewall-it në servera

Zotëroni konfigurim i avancuar i firewall-it në servera Nuk është më vetëm një çështje për korporatat e mëdha. Çdo kompani që e merr seriozisht sigurinë kibernetike duhet të kuptojë se si ta segmentojë rrjetin, të përcaktojë zonat, të krijojë rregulla të detajuara dhe të përfitojë sa më shumë nga firewall-i perimetrik dhe vetë firewall-i i Windows në çdo kompjuter dhe server.

Gjatë gjithë këtij udhëzuesi do të shihni, me hollësi të konsiderueshme, se si Firewall-et e Gjeneratës së Ardhshme (NGFW)Si të projektohen zonat (LAN, WAN, DMZ, VLAN), çfarë lloje rregullash të aplikohen (programi, porta, protokolli, IP…), si të përfitohet nga Firewall i Windows me Siguri të AvancuarÇfarë roli luajnë mjete si SimpleWall dhe cilat praktika më të mira duhen ndjekur për të parandaluar që e gjithë kjo strukturë të shndërrohet në një kaos të pakontrollueshëm?

Firewall-et e gjeneratës së ardhshme në servera: shumë më tepër sesa thjesht filtrimi i porteve

Firewall-et e gjeneratës së ardhshme, si p.sh. FortiGate NGFWAto kombinojnë funksione të përparuara të rrjetëzimit dhe siguri të thellë në një pajisje të vetme. Ato nuk hapin ose mbyllin vetëm porta; ato analizojnë trafikun në nivel aplikacioni, inspektojnë përmbajtjen e enkriptuar dhe integrohen me arkitektura komplekse të cloud-it, LAN-it, WLAN-it dhe aksesit në distancë.

Në rastin e FortiGate, zemra e sistemit është FortiOSNjë sistem operativ specifik që unifikon politikat e sigurisë dhe funksionet e rrjetit: SD-WAN i integruar, ZTNA universale, kontroll i trafikut në rrjetet pa tel dhe me tel, dhe menaxhim i centralizuar falë FortiManager.

Për më tepër, këto ekipe mbështeten në një arkitekturë ASIC e patentuar (çipa të dedikuar) për të përshpejtuar inspektimin dhe dekriptimin e paketave pa dëmtuar performancën ose konsum të lartë të energjisë, edhe kur rrjeti është nën ngarkesë të madhe dhe ka qindra ose mijëra seanca të njëkohshme.

Mbrojtja kundër kërcënimeve është forcuar me Shërbimet e FortiGuardtë cilat shtojnë inteligjencë artificiale për të zbuluar programe keqdashëse, trafik të dyshimtë, shfrytëzime dhe sulme të synuara, duke i përshtatur të gjitha brenda konceptit të Fortinet Security Fabric: një strukturë sigurie që përfshin rrjetin, pikat fundore dhe cloud-in për t'iu përgjigjur incidenteve në një mënyrë të koordinuar.

Dizajnimi i zonës së firewall-it dhe segmentimi i rrjetit në servera

Përpara se të fillosh të krijosh rregulla sikur të mos kishte të nesërme, duhet të hartosh... arkitekturë zonimi dhe segmentimi i rrjetitSa më e sheshtë të jetë rrjeta, aq më e lehtë është për një sulmues të lëvizë anash pasi të hyjë brenda.

Hapi i parë është të identifikosh asetet dhe shërbimet kryesoreServerat web, bazat e të dhënave, aplikacionet e brendshme, pajisjet e pikave të shitjes, centralet telefonike VoIP, rrjetet e mysafirëve, etj. Në varësi të kritikalitetit dhe ekspozimit të tyre, ato grupohen në zona të ndryshme logjike.

Një praktikë standarde është të krijosh një DMZ (zonë e demilitarizuar) Për serverat që ofrojnë shërbime direkt në internet (email, VPN, aplikacione web, portale publike, etj.), këto sisteme duhet të jenë të izoluara si nga rrjeti i jashtëm ashtu edhe nga rrjeti i brendshëm më i ndjeshëm, duke kufizuar sa më shumë të jetë e mundur trafikun që mund të rrjedhë midis zonave të ndryshme.

Serverat që janë të arritshëm vetëm nga brenda organizatës ndodhen në zonat e serverit të brendshëmKëto nga ana tjetër janë të ndara nga rrjeti i përdoruesve, rrjeti i menaxhimit dhe çdo mjedis laboratorik ose testimi. Që kjo të jetë praktike, është e zakonshme të përdoren ndërprerës me mbështetje për VLAN-et për të ruajtur ndarjen edhe në nivelin 2.

Në mjediset IPv4, të gjitha rrjetet e brendshme duhet të përdorin vargmale private (RFC1918) dhe mbështeten në mekanizmat NAT për të aksesuar internetin. Përkthimi zakonisht kryhet në firewall-in perimetrik, i cili gjithashtu zbaton politikat e trafikut hyrës dhe dalës për secilën zonë specifike.

Listat e kontrollit të aksesit (ACL) dhe rregullat ndër-zonale

Pasi zonat të jenë përcaktuar dhe caktuar në ndërfaqet ose nënndërfaqet e firewall-it, është koha për të... ACL (Listat e Kontrollit të Qasjes)të cilat janë rregullat që vendosin se cili trafik autorizohet dhe cili refuzohet midis atyre zonave.

Ideja është të përcaktohet, për secilën ndërfaqe ose nënndërfaqe, një grup rregullash sa më të thjeshta të jetë e mundur. specifike dhe të granuluara Kërkesat e mundshme përfshijnë: IP-në ose nënrrjetin burimor, IP-në ose nënrrjetin e destinacionit, protokollin (TCP, UDP, ICMP, etj.), portet e përfshira dhe veprimin (lejo ose moho). Sa më pak të përgjithshme të jenë rregullat, aq më pak boshllëqe sigurie do të ketë.

Një praktikë e mirë është të përfundosh çdo ACL me një rregull të "moho gjithçka" impliciteKjo vepron si një rrjetë sigurie: nëse një paketë nuk përputhet me ndonjë rregull paraprak të lejes, ajo bllokohet. Prej andej, krijohen përjashtime shumë specifike për rrjedhat që janë realisht të nevojshme.

Gjithashtu këshillohet që të çaktivizoni qasje publike në ndërfaqet e administratës të firewall-it (HTTP, HTTPS, SSH, etj.), duke lejuar menaxhimin vetëm nga rrjete të brendshme shumë specifike ose përmes një VPN të sigurt menaxhimi.

NGFW-të moderne mund të shkojnë përtej portit dhe IP-së, duke shfrytëzuar kontrolli i aplikacionitKategoritë e uebit, IPS dhe analiza e avancuar e skedarëve (sandboxing). Nëse keni paguar tashmë për këto veçori, ka kuptim t'i aktivizoni dhe konfiguroni ato në rrjedhat kritike të punës, veçanërisht ato që kalojnë perimetrin.

Firewall lejues kundrejt firewall kufizues në servera

Një pikë kyçe gjatë hartimit të një politike firewall-i (qoftë perimetri apo sistemi operativ) është vendosja nëse do të fillohet nga një pozicion lejues ose kufizues.

Në një firewall lejues Rregulli përfundimtar i nënkuptuar është "lejo gjithçka". Vetëm ajo që përcaktohet në mënyrë të qartë nga rregullat e mohimit bllokohet. Kjo qasje përdoret zakonisht në rrjetet lokale (LAN) të besuara ose në kompjuterët e konfiguruar si një "rrjet privat" në Windows.

Në një firewall kufizues Ndodh e kundërta: rregulli përfundimtar është "moho të gjitha". Vetëm trafiku që përputhet me rregullat e qarta të lejimit lejohet të kalojë. Kjo filozofi është e zakonshme në ndërfaqen e rrjetit të zonës së gjerë (WAN), në firewall-et si pfSense ose NGFW-të e korporatave, dhe në pajisjet e konfiguruara si një "rrjet publik".

Windows, për shembull, përdor si parazgjedhje politikë kufizuese për lidhjet hyrëse (bllokon gjithçka që nuk lejohet shprehimisht) dhe politikë tolerante për shpenzimet (Lejon gjithçka përveç asaj që keni bllokuar.) Kjo mund të rregullohet nga vetitë e përparuara të firewall-it.

Çfarë mund të ofrojë në të vërtetë Firewall-i i Windows-it në servera?

El Firewall i Windows me Siguri të Avancuar Është shumë më i fuqishëm nga sa e kuptojnë shumë njerëz. Mund të kontrollojë trafikun hyrës dhe dalës, të filtrojë sipas adresës IP, portit, protokollit, shërbimit, ndërfaqes së rrjetit, llojit të profilit (domen, privat, publik) dhe madje edhe sipas përdoruesit ose grupit në disa skenarë.

Ndër aftësitë e tij, dallohen këto: filtrimi i paketave Në një nivel të ulët, ai gjeneron regjistra të detajuar (të cilët më pas mund të analizohen me Event Viewer ose të dërgohen në një SIEM), zbulon rrjetet publike për të aplikuar automatikisht një profil më të rreptë dhe integrohet me shtresa të tjera sigurie si Windows Defender.

Për bizneset e vogla dhe shumë mjedise serverash, një server i konfiguruar mirë mund të jetë më shumë se sa duhetSidomos kur kombinohet me një softuer antivirus të fuqishëm dhe praktika të mira administrimi. Megjithatë, është e rëndësishme të jeni të vetëdijshëm për kufizimet e tij: nuk është një zëvendësim për një NGFW perimetri ose një IPS të dedikuar.

Si pika të dobëta, duhet përmendur se firewall-i i Windows nuk e ofron këtë veçori si parazgjedhje. inspektimi i thellë i paketës Me nënshkrime të përparuara, nuk e bllokon në mënyrë native telemetrinë e sistemit, njoftimet e tij janë diskrete (mezi të njofton për lidhje të reja) dhe mënyra për të konsultuar regjistrat nuk është miqësore për përdoruesit jo-teknikë.

Qasje në Firewall-in e Windows me siguri të përparuar

Për të menaxhuar cilësimet e avancuara të firewall-it në një mjedis të Domeni i Active DirectoryIdealisht, duhet të punohet me GPO (Objektet e Politikës së Grupit)Është thelbësore të jesh pjesë e grupit të Administratorëve të Domainit ose të kesh leje të deleguara në GPO-të.

Nga konzola e menaxhimit të politikave, ju lundroni nëpër Politikat > Konfigurimi i Kompjuterit > Cilësimet e Windows > Cilësimet e Sigurisë > Firewall i Windows me Siguri të AvancuarAtje, mund të përcaktohen rregulla të përbashkëta për kompjuterët klientë dhe serverët e bashkuar me domenin.

Nëse është gati një server i vetëm ose një kompjuter lokalJu nevojiten vetëm privilegje administratori në atë pajisje. Mënyra më e shpejtë për të hapur konsolën është të shtypni START dhe të shkruani wf.msc dhe shtypni Enter. Konsola e Firewall-it të Windows me siguri të përparuar për atë kompjuter do të hapet.

Ekrani kryesor shfaq rregullat hyrëse, rregullat dalëse, rregullat e sigurisë së lidhjes dhe konfigurimin e profileve të ndryshme (domain, privat, publik), së bashku me një zonë monitorimi ku janë të dukshme vetëm rregullat aktive.

Profilet, politikat globale dhe sjellja e parazgjedhur

Paneli i vetive të firewall-it kontrollon opsionet globale për secilën profili i rrjetit (domeni, privat, publik). Këto opsione përcaktojnë se si sillet firewall-i kur një përshtatës rrjeti shoqërohet me një lloj specifik rrjeti.

Për secilin profil, mund të vendosni nëse muri i zjarrit është i aktivizuar. ndezur ose fikurNëse lidhjet hyrëse që nuk përputhen me asnjë rregull bllokohen apo lejohen, dhe e njëjta gjë vlen edhe për lidhjet dalëse.

Parametra të tillë si më poshtë mund të rregullohen gjithashtu: njoftime kur bllokohet një program, vendi ku regjistrat e firewall-it, madhësia maksimale e këtyre regjistrave dhe trajtimi special i trafikut të mbrojtur nga tunelet VPN IPsec, i cili në përgjithësi konsiderohet më i besueshëm.

Në kontroll Shfaqen të gjitha rregullat që janë aktualisht aktive, duke përfshirë ato nga Objektet e Politikës së Grupit (GPO) dhe ato të përcaktuara lokalisht. Ky është vendi ku mund të shihni se cilat rregulla janë realisht aktive dhe me cilat parametra, dhe prej andej mund të hapni dhe modifikoni vetitë e tyre.

Rregullat e hyrjes dhe daljes: drejtimi i trafikut

Kur punoni me rregulla në firewall-in e Windows-it, një nga gabimet më të zakonshme është ngatërron drejtimin e trafikutRregullat hyrëse zbatohen për paketat që mbërrijnë në kompjuter; rregullat dalëse zbatohen për paketat që largohen nga kompjuteri për në një makinë tjetër.

Nëse qëllimi është të parandalohen lidhjet nga interneti në një server, do të jetë e nevojshme të krijohen ose modifikohen rregullat e hyrjesNëse, nga ana tjetër, qëllimi është të parandalohet lidhja e një shërbimi ose programi serveri me pjesën e jashtme, duhet të merren masa në lidhje me këtë. rregullat e daljes.

Çdo hyrje në listë tregon nëse rregulli është i aktivizuar (ikona e shenjës së gjelbër) apo i çaktivizuar. Rregullat e çaktivizuara nuk ndikojnë në trafik, edhe pse ato janë ende të përcaktuara. Është e zakonshme të gjesh shumë rregulla të paracaktuara të Windows që janë të pranishme, por jo aktive derisa të nevojiten.

Për ta kuptuar mirë rrjedha burim/destinacion dhe porti lokal/i largët Kjo është thelbësore për të shmangur krijimin e rregullave që nuk zbatohen kurrë ose që zgjerohen më shumë sesa është realisht e nevojshme, diçka shumë e zakonshme kur konfigurohen shërbime komplekse.

Llojet e rregullave në Firewall-in e Windows

Ndihmësi i Rregullave të Reja të Firewall-it të Windows ofron katër kategori kryesore: program, port, i paracaktuar dhe i personalizuarSecili është projektuar për një skenar të ndryshëm, dhe është e rëndësishme të zgjidhni me kujdes në varësi të asaj që dëshironi të arrini.

Rregullat e program përqendrohuni në një ekzekutues specifik; ato të port Ato filtrohen sipas numrit të portit TCP ose UDP; paracaktuara Ato thjeshtojnë menaxhimin e shërbimeve të njohura të Windows; dhe të personalizuar Ato lejojnë një rregullim shumë të imët duke kombinuar kritere të shumta në të njëjtën kohë.

Në të gjitha rastet, magjistari përfundon duke pyetur se çfarë veprimi duam të aplikojmë (lejo, lejo vetëm nëse është i sigurt me IPsec ose blloko) dhe për cilat profile rrjeti do të zbatohet ky rregull (domain, privat, publik). Së fundmi, një emrin dhe një përshkrim në mënyrë që të identifikohet lehtësisht më vonë.

Në serverat kritikë, ia vlen të ndash kohë për të dokumentuar siç duhet rregullat, duke treguar Çfarë shërbimi mbron dhe pse ekziston?në mënyrë që në auditimet ose ndryshimet e ardhshme të mos ketë dyshime për dobinë e tij.

Rregullat sipas programit: kontroll i imët i shërbimeve specifike

Rregullat e tipit program Ato janë një mënyrë e përshtatshme për të kontrolluar trafikun e një aplikacioni pa pasur nevojë të memorizoni të gjitha portat që përdor. Ato mund të aplikohen si për trafikun hyrës ashtu edhe për atë dalës.

Në asistent, zgjidhni opsionin "Kjo rrugë programi" dhe specifikoni shtegu i ekzekutueshëmËshtë e mundur të përdoren variablat e mjedisit për të siguruar që rregulli të zbatohet saktë edhe nëse programi është instaluar në shtigje të ndryshme në kompjuterë të ndryshëm.

Në serverat që strehojnë shërbime brenda svchost.exe Për kontejnerë të tjerë me shumë shërbime, është e mundur të personalizohet rregulli që të zbatohet vetëm për shërbime specifike duke zgjedhur shërbimin sipas emrit të tij të shkurtër. Kjo ju lejon të dalloni, për shembull, trafikun e një shërbimi të caktuar RPC brenda të njëjtit proces.

Rekomandohet fuqimisht të kombinoni një rregull programi me kufizime në skedën e Protokollet dhe portetduke specifikuar në mënyrë të qartë se cilat porta mund të dëgjojë ose përdorë ai aplikacion. Nëse përpiqeni të hapni një port tjetër, firewall-i do ta bllokojë atë.

Rregullat e portit: filtrimi klasik TCP/UDP

Rregullat e tipit port Ato ju lejojnë të lejoni ose bllokoni trafikun bazuar në numrin e portit lokal ose të largët dhe protokollin (kryesisht TCP ose UDP). Ato mund të përdoren si për rregullat hyrëse ashtu edhe për ato dalëse.

Në një rregull tipik hyrës për të hapur, për shembull, Porta TCP 21Kur zgjidhet TCP, tregohet "porta lokale specifike" dhe futet numri 21. Mund të specifikohen porte të shumëfishta të ndara me presje (p.sh., 21, 20, 22) ose diapazone të tilla si 5000-5100, madje duke përzier portet dhe diapazonet individuale në të njëjtin rregull.

Më pas, vendosni për veprimin (lejo, lejo nëse është i sigurt, blloko) dhe profilet ku do të zbatohet. Është një mënyrë e thjeshtë për të hapur shërbime të caktuara standarde (HTTP, HTTPS, RDP, etj.) pa hyrë në detajet e programeve specifike.

Ne rastin e rregullat e daljesPraktika më e zakonshme është të specifikohet porta e largët, pasi ky është destinacioni me të cilin serveri përpiqet të lidhet. Një rast tipik përdorimi do të ishte bllokimi i të gjithë trafikut dalës drejt porteve të dyshimta ose kufizimi i disa aplikacioneve nga komunikimi vetëm në porte shumë specifike.

Rregulla të paracaktuara dhe të personalizuara

L rregulla të paracaktuara Ato grupojnë konfigurime të gatshme për shërbimet e zakonshme të Windows (Ndarja e Skedarëve dhe Printerëve, Desktopi në Distancë, etj.). Thjesht zgjidhni shërbimin, tregoni nëse do ta lejoni apo do ta bllokoni, zgjidhni profilet dhe keni mbaruar.

Ky opsion është i përshtatshëm kur dëshironi të aktivizoni ose kufizoni shpejt një shërbim të brendshëm pa pasur nevojë të hetoni se cilat porta dhe protokolle përdor në secilin rast. Prapa skenave, sistemi krijon disa rregulla specifike që mbulojnë atë shërbim.

L rregullat zakonore Këto janë më gjithëpërfshirëset dhe ofrojnë kontrollin më të madh. Ato ju lejojnë të specifikoni të gjithë parametrat: programin (ose të gjitha programet), llojin e shërbimit, protokollin IP (me një listë të TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route, etj.), kombinimin e porteve lokale dhe të largëta, adresat IP të burimit dhe destinacionit (duke përfshirë diapazonet dhe nënrrjetet) dhe kushte shtesë.

Në protokolle të tilla si ICMPv4 ose ICMPv6, mund të zgjidhni nëse do të Ata mbështesin të gjitha llojet e ICMP-së ose vetëm mesazhe të caktuara (kërkesë për jehonë, përgjigje për jehonë, kohë e tejkaluar, etj.). Madje mund të përcaktoni lloje dhe kode specifike që nuk shfaqen në listën e përgjithshme.

Gjithashtu, kur përcaktohen adresat IP në seksionin e fushëveprimit, magjistari lejon shtoni diapazone ose nënrrjete të tëra (për shembull, 192.168.10.0/24) për të ngushtuar më tej se cilat pajisje mund ta përdorin atë rregull, si në nivel lokal ashtu edhe në distancë.

Rregullat hyrëse të ICMP në servera

Nëse duhet lejuar apo jo trafiku ICMP në një server është një vendim strategjik. rregulli hyrës i ICMP-së Kjo i lejon pajisjes t'u përgjigjet ping-eve dhe mesazheve të caktuara diagnostikuese të rrjetit, gjë që është shumë e dobishme për detyrat administrative, por gjithashtu mund t'i ofrojë informacion një sulmuesi.

Për të krijuar një rregull ICMP hyrës në firewall-in e Windows, hapni konsolën e avancuar, shkoni te Rregullat e hyrjes dhe krijohet një rregull i ri i personalizuar. Në seksionin e programit, zakonisht zgjidhni "Të gjitha programet".

Në ekranin e protokollit, zgjidhni ICMPv4 ose ICMPv6 Kjo varet nga grupi i rrjetit që përdoret. Nëse punoni me IPv4 dhe IPv6, do t'ju duhet të krijoni një rregull për secilin. Opsioni i personalizimit ju lejon të zgjidhni llojet specifike të ICMP që dëshironi të lejoni (vetëm kërkesë për jehonë/vetëm përgjigje për jehonë ose një grup më të gjerë).

Më pas, përcaktohet fushëveprimi (cilat IP mund të pingohen), veprimi (zakonisht lejimi i lidhjes) dhe profilet e rrjetit ku rregulli do të hyjë në fuqi. Së fundmi, rregullit i caktohet një emër përshkrues për identifikim të lehtë.

Rregullat e shërbimit ose programit hyrës dhe dalës

Në disa skenarë, dëshira është të lejohet një Shërbim specifik, dëgjo trafikun hyrës në çdo port që i nevojitet, ose krejt e kundërta: parandalojnë një program të komunikojë me botën e jashtme përmes çdo porte.

Për pjesën hyrëse, krijohet një rregull i personalizuar, zgjidhet "Kjo shteg programi" dhe specifikohet ekzekutuesi i shërbimit. Kjo më pas mund të personalizohet në mënyrë që rregulli të zbatohet vetëm për shërbimet e strehuara brenda atij ekzekutuesi, duke zgjedhur shërbimin sipas emrit të tij të shkurtër.

Madje ekziston edhe mundësia për të rregulluar lloji i SID-it të shërbimit duke përdorur komandën sc sidtype Kjo ndikon në mënyrën se si mund të përdoret ai shërbim brenda rregullave të firewall-it. Ndryshimi i tij në RESTRICTED mund ta pengojë nisjen e tij, kështu që duhet të bëhet me kujdes dhe vetëm kur nevojitet ky lloj mbrojtjeje.

Për pjesën dalëse, procesi është i ngjashëm, por duke krijuar një rregulli i daljesNëse doni ta bllokoni plotësisht atë program nga qasja në internet, përcaktoni shtegun drejt skedarit ekzekutues, vendosni veprimin në "Blloko lidhjen" dhe zgjidhni profilet që dëshironi të kufizoni.

Konfigurime të veçanta për portet RPC dhe dinamike

Shërbimet që përdorin RPC (Thirrje me procedurë në distancë) Ky trafik mund të jetë veçanërisht i ndjeshëm sepse përdor porta dinamike që sistemi i cakton gjatë kohës së ekzekutimit. Për të lejuar këtë trafik në një mënyrë të kontrolluar përmes firewall-it të Windows-it, zakonisht është e nevojshme të krijohen dy rregulla specifike.

I pari shkon për në Shërbimi i Caktimit të Pikës Endore RPC, i vendosur në %systemroot%\system32\svchost.exe. Rregulli është i personalizuar për t'u zbatuar në shërbimin RpcSs, TCP është vendosur si protokoll dhe opsioni "RPC Endpoint Mapper" është zgjedhur për portin lokal.

Rregulli i dytë është krijuar për Shërbim rrjeti i aktivizuar nga RPC që duam të lejojmë, duke specifikuar rrugën drejt skedarit ekzekutues që e pret atë, dhe gjithashtu duke e shoqëruar atë me atë shërbim specifik. Në këtë rast, "portat dinamike RPC" zgjidhen për portin lokal.

Në të dyja rregullat, fushëveprimi (adresat IP të lejuara), veprimi (lejimi i lidhjes) dhe profilet rregullohen më pas. Në këtë mënyrë, vetëm pajisjet dhe shërbimet që plotësojnë këto kushte mund të përfitojnë nga përçimi i portave RPC.

Regjistrimi, auditimi dhe zgjidhja e problemeve me firewall-et e Windows-it

Kur diçka nuk funksionon siç duhet, regjistri i firewall-it dhe ngjarjet e auditimit janë burimi i parë i informacionitKëshillohet që koleksioni i regjistrave të jetë konfiguruar siç duhet përpara se të keni nevojë për të.

Në vetitë e firewall-it, në skedën e secilit profil, mund të personalizoni shtegu i skedarit të regjistritMadhësia maksimale në KB dhe nëse regjistrohen paketat e humbura, lidhjet e suksesshme ose të dyja. Në mjediset e serverëve, zakonisht është një ide e mirë të regjistrohen të dyja për të pasur një pasqyrë të qartë.

Nga ana tjetër, me mjetin e linjës së komandës auditpol.exe Nënkategoritë specifike të auditimit, të tilla si ndryshimet e politikave, mund të aktivizohen në mënyrë që sistemi të gjenerojë ngjarje të detajuara kur modifikohen politikat e firewall-it ose IPsec.

Kur hetohet një problem, është e dobishme të kapet gjendja e rrjetit me netstat -ano > netstat.txt dhe lista e proceseve me lista e detyrave > lista e detyrave.txtDuke krahasuar PID-in e proceseve në listën e detyrave me lidhjet aktive në netstat, është e mundur të zbulohet se cili program po përdor një port specifik.

Në skenarë kompleksë, Microsoft ofron skripte të tilla si TSS.ps1 për të mbledhur gjurmë të përparuara të Motorit të Filtrimit të Windows (WFP), të cilat më pas paketohen në një skedar ZIP dhe mund të analizohen ose të dërgohen te mbështetja teknike.

Mjete të jashtme: SimpleWall dhe firewall-e të palëve të treta

Firewall-i i integruar në Windows funksionon mirë, por shpesh nuk vihet re. një ndërfaqe më intuitive dhe njoftime të qarta kur një aplikacion përpiqet të hyjë në internet për herë të parë. Këtu hyjnë në lojë zgjidhjet e palëve të treta.

Një nga opsionet e lehta dhe me burim të hapur për Windows është Mur i thjeshtëMbështetet në Platformën e Filtrimit të Windows (WFP), por nuk e modifikon drejtpërdrejt Firewall-in e Windows. Në vend të kësaj, krijon rregullat e veta përmes WFP-së për të kontrolluar se cilat aplikacione kanë qasje.

Ndër karakteristikat e tij janë një redaktues i rregullave të thjeshtaLista të brendshme për të bllokuar telemetrinë dhe spiunazhin e Windows, regjistrat e paketave të bllokuara, përputhshmërinë IPv6 dhe mbështetjen për shërbimet e sistemit dhe aplikacionet e Microsoft Store.

SimpleWall ju lejon të krijoni rregulla të përhershme ose të përkohshme (të cilat zhduken pas një rinisjeje), të aktivizoni filtrat globalisht dhe të klasifikoni programet si të lejuara, të bllokuara ose të bllokuara në heshtje. Megjithatë, që rregullat tuaja të hyjnë në fuqi, vetë SimpleWall duhet të funksionojë në sfond.

Përtej SimpleWall, disa përdorues zgjedhin mure mbrojtëse komerciale me më shumë veçori: inspektim i thellë i paketave, lista të parakonfiguruara kundër gjurmimit, sandboxing, analizë sjelljeje, panele grafike të përparuara dhe dukshmëri të përmirësuar në trafikun dalës. Shumë nga këto produkte integrohen me Firewall-in e Windows-it ose e zëvendësojnë pjesërisht atë.

Performanca, avantazhet dhe disavantazhet e përdorimit të firewall-eve në servera

Përdorimi i një firewall-i, qoftë në nivel perimetri apo sistemi operativ, ka një ndikim të vogël. kosto në performancëSepse çdo paketë rrjeti analizohet sipas një ose më shumë rregullave. Kjo mund të vihet re në pajisjet me harduer shumë të kufizuar ose shumë të vjetër. Kontrolloni Udhëzues për optimizimin e serverit Linux për të zbutur ndikimet.

Megjithatë, avantazhi i të paturit të një pengesa e parë mbrojtëse Është gjigant: zvogëlon ekspozimin ndaj sulmeve të jashtme, kontrollon se cilat aplikacione mund të lidhen nga jashtë, gjeneron regjistra të dobishëm për auditim dhe përshtat nivelin e mbrojtjes në varësi të faktit nëse jeni në një rrjet të besuar apo në një rrjet publik.

Disavantazhet kryesore, përveç ndikimit në performancë, janë kompleksiteti i mirëmbajtjes (sidomos për përdoruesit pa përvojë) dhe ndjenjën e rreme të sigurisë: një firewall nuk zëvendëson një antivirus të mirë, përditësimet e sistemit ose, sigurisht, logjikën e shëndoshë të administratorit.

Për më tepër, menaxhimi i duhur i rregullave kërkon kohë: shqyrtimi i asaj që është në përdorim në të vërtetë, heqja e rregullave të vjetruara, dokumentimi i ndryshimeve dhe verifikimi që të mos lihen boshllëqe ligjore pa dashje gjatë kryerjes së testeve të shpejta ose përjashtimeve të përkohshme.

Praktikat më të mira të avancuara për sigurinë e firewall-it në servera

Në një mjedis serioz serveri, nuk mjafton vetëm të vendosësh katër rregulla dhe t'i harrosh ato. Ekzistojnë një numër i praktika të mira që ndihmojnë në ruajtjen e kontrollit dhe zvogëlimin e rreziqeve afatgjata.

E para është të aplikohet parimi i privilegjit më të vogël (PoLP)Kjo vlen si për përdoruesit ashtu edhe për rregullat. Shmang rregullat e përgjithshme si "lejo gjithçka nga çdo IP" dhe në vend të kësaj përcakton rregulla të përshtatura për IP ose nënrrjete specifike, porta specifike dhe aplikacione të njohura.

Një tjetër çelës është mirëmbajtja e firewall-it dhe komponentëve të tij. përditësuar gjithmonëKjo përfshin aplikimin e patch-eve të sistemit operativ, firmware-it fizik të firewall-it, nënshkrimeve IPS dhe çdo përditësimi të lëshuar nga shitësi, mundësisht pas testimit në një mjedis testimi.

Së fundmi, është thelbësore të vendoset monitorim dhe regjistrim efektivDërgoni regjistrat në një SIEM, përcaktoni alarme për modele të dyshimta (për shembull, shumë paketa të bllokuara nga e njëjta IP) dhe rishikoni periodikisht raportet, jo vetëm t'i mbledhni ato "për çdo rast".

Përveç shtresës logjike, siguria fizike Karakteristikat e rëndësishme të firewall-it përfshijnë: pajisje në rafte të mbyllura, akses të kufizuar në dhomën teknike dhe kopje rezervë të konfigurimit për të mundësuar një rikthim të shpejtë nëse diçka prishet pas një ndryshimi.

Shtresa shtesë: filtrim URL-sh, VPN, IPS, QoS dhe kontroll i aplikacioneve

Shumica e NGFW-ve moderne ju lejojnë të aktivizoni veçori të përparuara që plotësojnë filtrimin bazë të paketave dhe rregullat IP/port.

El Filtrimi i URL-ve Ju lejon të klasifikoni faqet e internetit sipas kategorive (programe keqdashëse, rrjete sociale, përmbajtje për të rritur, shkarkime P2P, etj.) dhe të bllokoni ato që konsiderohen të papërshtatshme ose të rrezikshme, gjë që ndihmon si në forcimin e sigurisë ashtu edhe në zbatimin e politikave të përdorimit të pranueshëm.

L VPNQoftë qasje nga një vend në tjetrin apo qasje në distancë, VPN-të mbështeten në protokolle si IPsec ose SSL/TLS për të enkriptuar trafikun midis zyrave dhe përdoruesve në distancë. Firewall-et zakonisht integrojnë ndërprerjen e këtyre VPN-ve dhe zbatojnë të njëjtat politika kontrolli për trafikun e enkriptuar si për pjesën tjetër të rrjetit.

Un Sistemi i Parandalimit të Ndërhyrjeve (IPS) Ai inspekton trafikun në kohë reale duke kërkuar modele të njohura sulmi ose sjellje të çuditshme, dhe mund të bllokojë automatikisht lidhjet që përpiqen të shfrytëzojnë dobësitë e sistemit ose të aplikacionit.

El kontrolli i aplikacionit Ofron dukshmëri shumë më të madhe sesa vetëm porta: ju lejon të vendosni se cilat aplikacione specifike (p.sh., Skype, Dropbox, aplikacionet e lojërave, etj.) lejohen ose bllokohen, edhe kur ato përdorin porta standarde ose të enkriptuara.

Së fundi, Cilësia e Shërbimit (QoS) Kjo lejon dhënien e përparësive të trafikut kritik (zëri, videokonferencat, aplikacionet e biznesit) mbi rrjedhat e tjera më pak të rëndësishme, duke parandaluar degjenerimin e një shkarkimi ose kopjeje rezervë masive në një rrjet të papërdorshëm për përdoruesin fundor.

Kujdesuni me kujdes për konfigurim i avancuar i firewall-it në serveraNga projektimi i zonave dhe rregullave të hollësishme deri te përdorimi i funksioneve të gjeneratës së ardhshme, regjistrimi, auditimi dhe mjete si SimpleWall ose NGFW i dedikuar, kjo bën diferencën midis një rrjeti që "pak a shumë ia del mbanë" dhe një infrastrukture vërtet të përgatitur për t'i bërë ballë sulmeve, për t'u rritur pa humbur kontrollin dhe për të përmbushur kërkesat aktuale të sigurisë.