Windows Firewall implementeren met Windows Server IaaS-VM's
De netwerkbeheerder bij Contoso maakt zich zorgen over conflicterende firewallinstellingen tussen Microsoft Azure Firewall en Windows Defender Firewall met Windows Server IaaS-VM's. U onderzoekt hoe u deze twee systemen instelt om samen te werken.
Wat is Windows Defender Firewall met geavanceerde beveiliging?
Windows Defender Firewall met geavanceerde beveiliging is een firewall op basis van een host voor het verbeteren van de beveiliging van Windows Server. Windows Defender Firewall met geavanceerde beveiliging is meer dan alleen een eenvoudige firewall, omdat het functies zoals firewallprofielen en verbindingsbeveiligingsregels bevat.
Notitie
In uw on-premises omgeving kunt u Windows Defender Firewall handmatig configureren met geavanceerde beveiliging op elke server of groepsbeleid gebruiken om de firewallregels centraal te configureren.
Windows Defender Firewall-regels configureren
Regels bestaan uit een verzameling criteria die bepalen welk verkeer u met de firewall toestaat, blokkeert of beveiligt. U kunt verschillende soorten regels configureren, zoals beschreven in de volgende tabel.
| Regeltype | Beschrijving |
|---|---|
| Inkomend | Inkomende regels staan verkeer dat voldoet aan de criteria in de regels expliciet toe of blokkeert het verkeer. U kunt bijvoorbeeld een regel configureren om HTTP-verkeer van het interne netwerk via de firewall toe te staan, maar hetzelfde verkeer te blokkeren als deze afkomstig is van internet. Wanneer Windows Server voor het eerst wordt geïnstalleerd, wordt al het ongevraagde inkomende verkeer standaard geblokkeerd. Als u ongevraagd binnenkomend verkeer wilt toestaan, moet u een binnenkomende regel maken die het verkeer beschrijft dat u wilt toestaan. Voor Windows Server-functies en -onderdelen hoeft u de regels niet te maken. Als u bijvoorbeeld Microsoft Internet Information Services (IIS) inschakelt, wordt Windows Defender Firewall automatisch aangepast om het juiste verkeer toe te staan. U kunt de standaardactie wijzigen om alle verbindingen toe te staan of te blokkeren, ongeacht regels. Als u alle verbindingen toestaat, wordt de beveiliging verwijderd die de firewall biedt. |
| Uitgaand | Windows Defender Firewall staat al het uitgaande verkeer toe, tenzij een regel dit blokkeert. Uitgaande regels staan verkeer expliciet toe of weigeren dat afkomstig is van de computer die voldoet aan de criteria in de regels. U kunt bijvoorbeeld een regel configureren om uitgaand verkeer via de firewall expliciet te blokkeren, maar hetzelfde verkeer voor andere computers toe te staan. Met deze regel kunt u een IP-adres, een IP-adresbereik of een jokerteken (*) opgeven. |
| Verbindingsbeveiliging | Firewallregels en verbindingsbeveiligingsregels zijn complementair en dragen beide bij aan een diepgaande verdedigingsstrategie om uw servercomputer te beschermen. Verbindingsbeveiligingsregels helpen bij het beveiligen van verkeer met behulp van IPsec (Internet Protocol Security), terwijl het verkeer het netwerk overschrijdt. Gebruik beveiligingsregels voor verbindingen om op te geven dat verbindingen tussen twee computers moeten worden geverifieerd of versleuteld. Beveiligingsregels voor verbindingen geven aan hoe en wanneer verificatie plaatsvindt. Ze staan echter geen verbindingen toe. Als u een verbinding wilt toestaan, maakt u een inkomende of uitgaande regel. Nadat een verbindingsbeveiligingsregel is gemaakt, kunt u opgeven dat regels voor binnenkomend en uitgaand verkeer alleen van toepassing zijn op specifieke gebruikers of computers. |
Regeltypen voor inkomend en uitgaand verkeer
In Windows Defender Firewall met geavanceerde beveiliging kunt u vier soorten regels voor inkomend en uitgaand verkeer maken, zoals beschreven in de volgende tabel.
| Regeltype voor inkomend en uitgaand verkeer | Beschrijving |
|---|---|
| Programmaregels | Deze regels kunnen verbindingen voor een programma beheren, ongeacht de poortnummers die worden gebruikt. Gebruik dit type firewallregel om een verbinding toe te staan op basis van het programma dat verbinding probeert te maken. Deze regels zijn handig wanneer u niet zeker weet of de poort of andere vereiste instellingen zijn, omdat u alleen het pad opgeeft van het uitvoerbare programmabestand (.exe bestand). |
| Poortregels | Deze regels kunnen verbindingen voor een TCP- of UDP-poort beheren, ongeacht de toepassing. Gebruik dit type firewallregel om een verbinding toe te staan op basis van het TCP- of UDP-poortnummer waarmee de computer verbinding probeert te maken. U geeft het protocol en afzonderlijke of meerdere lokale poorten op. |
| Vooraf gedefinieerde regels | Deze regels kunnen verbindingen voor een Windows-onderdeel beheren, bijvoorbeeld bestands- en afdrukdeling of AD DS. Gebruik dit type firewallregel om een verbinding toe te staan door een van de services in de lijst te selecteren. Dit soort Windows-onderdelen voegen doorgaans automatisch hun eigen vermeldingen toe aan deze lijst tijdens de installatie of configuratie. U kunt een regel of regels als groep in- en uitschakelen. |
| Aangepaste regels | Deze regels kunnen combinaties zijn van de andere regeltypen, zoals poortregels en programmaregels. |
Windows Defender Firewall beheren
U kunt Windows Defender Firewall beheren met Geavanceerde beveiliging met behulp van de interface die wordt weergegeven in de volgende schermopname, of anders met behulp van Windows PowerShell.
Windows PowerShell gebruiken om firewallinstellingen te beheren
Er zijn veel Windows PowerShell-cmdlets die u kunt gebruiken om Windows Firewall te beheren.
Als u bijvoorbeeld een firewallregel wilt maken om gebruik te maken van de toepassing die gebruikmaakt van het application.exe uitvoerbaar bestand, voert u bij de Windows PowerShell-opdrachtprompt de volgende opdracht in en selecteert u Vervolgens Enter:
New-NetFirewallRule -DisplayName “Allow Inbound Application” -Direction Inbound -Program %SystemRoot%\System32\application.exe -RemoteAddress LocalSubnet -Action Allow
Als u een bestaande regel wilt wijzigen, voert u bij de Windows PowerShell-opdrachtprompt de volgende opdracht in en selecteert u Enter:
Set-NetFirewallRule –DisplayName “Allow Web 80” -RemoteAddress 192.168.0.2
Als u een bestaande regel wilt verwijderen, voert u bij de Windows PowerShell-opdrachtprompt de volgende opdracht in en selecteert u Enter:
Remove-NetFirewallRule –DisplayName “Allow Web 80”
Als u meer Windows PowerShell-cmdlets wilt bekijken, gaat u naar de pagina NetSecurity .
Firewallregels maken bij het maken van een VIRTUELE machine in Azure
Wanneer u IaaS-VM's met Windows Server in Azure maakt, moet u ervoor zorgen dat u de firewall correct configureert. Het is haalbaar om Windows Defender Firewall te configureren met geavanceerde beveiliging om een poort te blokkeren of toe te staan die wordt toegestaan of geblokkeerd door Azure Firewall. Wanneer u voor het eerst een virtuele machine in Azure maakt, moet u de regels voor binnenkomende poort definiëren. Deze niet-overeenkomende instellingen kunnen leiden tot niet-beschikbaarheid en verwarring van de service.