Implementace brány Windows Firewall s virtuálními počítači IaaS s Windows Serverem
Správce sítě ve společnosti Contoso se obává, že koliduje nastavení brány firewall mezi bránou Microsoft Azure Firewall a bránou firewall v programu Windows Defender s virtuálními počítači IaaS s Windows Serverem. Prozkoumáte, jak tyto dva systémy nastavit tak, aby spolupracovaly.
Co je brána firewall v programu Windows Defender s pokročilým zabezpečením?
Brána firewall v programu Windows Defender s pokročilým zabezpečením je brána firewall založená na hostiteli pro zvýšení zabezpečení Windows Serveru. Brána firewall v programu Windows Defender s pokročilým zabezpečením není jen jednoduchá brána firewall, protože obsahuje funkce, jako jsou profily brány firewall a pravidla zabezpečení připojení.
Poznámka:
V místním prostředí můžete buď ručně nakonfigurovat bránu Firewall v programu Windows Defender s pokročilým zabezpečením na každém serveru, nebo pomocí zásad skupiny centrálně nakonfigurovat pravidla brány firewall.
Konfigurace pravidel brány firewall v programu Windows Defender
Pravidla tvoří kolekci kritérií, která definují, který provoz povolíte, zablokujete nebo zabezpečíte pomocí brány firewall. Můžete nakonfigurovat různé druhy pravidel, jak je popsáno v následující tabulce.
| Typ pravidla | Popis |
|---|---|
| Příchozí | Příchozí pravidla explicitně povolují nebo blokují provoz, který odpovídá kritériím v pravidlech. Můžete například nakonfigurovat pravidlo, které povolí provoz HTTP z interní sítě přes bránu firewall, ale zablokuje stejný provoz, pokud pochází z internetu. Při první instalaci Windows Serveru se ve výchozím nastavení zablokuje veškerý nevyžádaný příchozí provoz. Pokud chcete povolit nevyžádaný příchozí provoz, musíte vytvořit příchozí pravidlo, které popisuje provoz, který chcete povolit. U rolí a funkcí Windows Serveru nemusíte pravidla vytvářet. Například povolení služby Microsoft Internetová informační služba (IIS) automaticky upraví bránu firewall v programu Windows Defender tak, aby umožňovala odpovídající provoz. Výchozí akci můžete změnit tak, aby povolovala nebo blokovala všechna připojení bez ohledu na všechna pravidla. Když povolíte všechna připojení, odebere se ochrana, která brána firewall poskytuje. |
| Odchozí | Brána firewall v programu Windows Defender umožňuje veškerý odchozí provoz, pokud ho pravidlo neblokuje. Odchozí pravidla explicitně povolují nebo zakazují provoz pocházející z počítače, který odpovídá kritériím v pravidlech. Můžete například nakonfigurovat pravidlo, které explicitně zablokuje odchozí provoz do počítače přes bránu firewall, ale povolí stejný provoz pro ostatní počítače. Toto pravidlo může zadat IP adresu, rozsah IP adres nebo zástupný znak (*). |
| Zabezpečení připojení | Pravidla brány firewall a pravidla zabezpečení připojení jsou doplňková a obě přispívají ke strategii hloubkové ochrany, která pomáhá chránit váš serverový počítač. pravidla zabezpečení Připojení pomáhají zabezpečit provoz pomocí protokolu IPsec (Internet Protocol Security), zatímco provoz prochází sítí. Pomocí pravidel zabezpečení připojení určete, že připojení mezi dvěma počítači musí být ověřena nebo šifrovaná. pravidla zabezpečení Připojení určují, jak a kdy dojde k ověřování. Nepovolují ale připojení. Pokud chcete povolit připojení, vytvořte příchozí nebo odchozí pravidlo. Po vytvoření pravidla zabezpečení připojení můžete určit, že příchozí a odchozí pravidla platí jenom pro konkrétní uživatele nebo počítače. |
Typy příchozích a odchozích pravidel
V bráně firewall v programu Windows Defender s pokročilým zabezpečením můžete vytvořit čtyři druhy příchozích a odchozích pravidel, jak je popsáno v následující tabulce.
| Typ příchozího a odchozího pravidla | Popis |
|---|---|
| Pravidla programu | Tato pravidla můžou řídit připojení pro program bez ohledu na čísla portů, která používá. Tento typ pravidla brány firewall použijte k povolení připojení na základě programu, který se pokouší připojit. Tato pravidla jsou užitečná, pokud si nejste jisti portem nebo jiným požadovaným nastavením, protože zadáváte pouze cestu ke spustitelnému souboru programu (soubor .exe). |
| Pravidla portů | Tato pravidla můžou řídit připojení pro port TCP nebo UDP bez ohledu na aplikaci. Pomocí tohoto typu pravidla brány firewall povolte připojení na základě čísla portu TCP nebo UDP, ke kterému se počítač pokouší připojit. Zadáte protokol a jednotlivé nebo více místních portů. |
| Předdefinovaná pravidla | Tato pravidla můžou řídit připojení pro komponentu systému Windows, například sdílení souborů a tisku nebo službu AD DS. Pomocí tohoto typu pravidla brány firewall povolte připojení výběrem jedné ze služeb ze seznamu. Tyto druhy součástí Systému Windows obvykle při instalaci nebo konfiguraci automaticky přidávají do tohoto seznamu vlastní položky. Pravidlo nebo pravidla můžete povolit a zakázat jako skupinu. |
| Vlastní pravidla | Tato pravidla můžou být kombinací ostatních typů pravidel, jako jsou pravidla portů a pravidla programu. |
Správa nastavení brány firewall v programu Windows Defender
Bránu firewall v programu Windows Defender s pokročilým zabezpečením můžete spravovat pomocí rozhraní zobrazeného na následujícím snímku obrazovky nebo pomocí Windows PowerShellu.
Správa nastavení brány firewall pomocí Windows PowerShellu
Existuje mnoho rutin prostředí Windows PowerShell, které můžete použít ke správě brány Windows Firewall.
Pokud chcete například vytvořit pravidlo brány firewall, které povolí použití aplikace, která používá spustitelný soubor application.exe, na příkazovém řádku Windows PowerShellu zadejte následující příkaz a pak vyberte Enter:
New-NetFirewallRule -DisplayName “Allow Inbound Application” -Direction Inbound -Program %SystemRoot%\System32\application.exe -RemoteAddress LocalSubnet -Action Allow
Pokud chcete upravit existující pravidlo, na příkazovém řádku Windows PowerShellu zadejte následující příkaz a pak vyberte Enter:
Set-NetFirewallRule –DisplayName “Allow Web 80” -RemoteAddress 192.168.0.2
Pokud chcete odstranit existující pravidlo, na příkazovém řádku Windows PowerShellu zadejte následující příkaz a pak vyberte Enter:
Remove-NetFirewallRule –DisplayName “Allow Web 80”
Další rutiny Prostředí Windows PowerShell najdete na stránce NetSecurity .
Vytváření pravidel brány firewall při vytváření virtuálního počítače v Azure
Při vytváření virtuálních počítačů IaaS s Windows Serverem v Azure musíte být opatrní, abyste bránu firewall správně nakonfigurovali. Bránu firewall v programu Windows Defender s pokročilým zabezpečením je možné nakonfigurovat tak, aby blokovala nebo povolovala povolený nebo blokovaný port službou Azure Firewall. Při prvním vytvoření virtuálního počítače v Azure musíte definovat pravidla portů pro příchozí spojení. Tato neshodná nastavení můžou způsobit nedostupnost služby a nejasnosti.
