Zapora systemu Windows z zabezpieczeniami zaawansowanymi — omówienie
Dotyczy: Windows Server 2012 R2, Windows Server 2012, Windows 8
Ten artykuł zawiera omówienie funkcji Zapora systemu Windows z zabezpieczeniami zaawansowanymi (WFAS) i zabezpieczeń protokołu internetowego (IPsec) w systemie Windows Server 2012.
Czy chodziło o:
Opis funkcji
Funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest ważnym elementem warstwowego modelu zabezpieczeń. Funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi blokuje nieautoryzowany ruch sieciowy przychodzący do lub wychodzący z komputera lokalneg, zapewniając komputerowi dwukierunkowe filtrowanie ruchu sieciowego oparte na hoście. Ponadto funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi współpracuje także z funkcją Rozpoznawanie sieci i dzięki temu stosuje ustawienia zabezpieczeń właściwe dla tego typu sieci, z którą komputer jest aktualnie połączony. Ustawienia konfiguracji Zapory systemu Windows i zabezpieczeń protokołu internetowego (IPsec) są zintegrowane w jednej konsoli Microsoft Management Console o nazwie Zapora systemu Windows z zabezpieczeniami zaawansowanymi, więc Zapora systemu Windows jest również istotną częścią strategii izolowania sieci.
Zastosowania praktyczne
Funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi oferuje następujące korzyści, które mogą pomóc w pokonywaniu trudności z zabezpieczaniem sieci organizacji:
Obniża ryzyko wystąpienia zagrożeń dotyczących sieci Funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi zmniejsza podatność komputera na ataki, zapewniając dodatkową warstwę zabezpieczeń w ramach modelu głębokiej ochrony. Zmniejszenie podatności komputera na ataki ułatwia zarządzanie nim i zmniejsza prawdopodobieństwo udanego ataku. Dostępna w systemie Windows Server 2012 funkcja Ochrona dostępu do sieci pomaga również w pilnowaniu, aby komputery łączące się z daną siecią robiły to zgodnie z zasadami określającymi wymagania co do oprogramowania i konfiguracji systemu. Integracja funkcji Ochrona dostępu do sieci ułatwia blokowanie komunikacji komputerów niezgodnych z tymi zasadami z komputerami zgodnymi.
Zabezpiecza dane poufne i własność intelektualną. Dzięki integracji z zabezpieczeniami protokołu internetowego (IPsec) funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi zapewnia prostą metodę wymuszania uwierzytelnionej komunikacji sieciowej na całej trasie. Zapewnia skalowalny, warstwowy dostęp do zaufanych zasobów sieciowych, pomaga w wymuszaniu integralności danych oraz — opcjonalnie — w chronieniu poufności danych.
Zwiększa wartość dotychczasowych inwestycji. Ponieważ funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi to zapora oparta na hoście, dostarczana wraz z systemem Windows Server 2012 i starszymi systemami operacyjnymi z rodziny Windows, silnie zintegrowana z Usługami domenowymi Active Directory® (AD DS) i z zasadami grupy, nie wymaga ona żadnego dodatkowego sprzętu ani oprogramowania. Funkcja Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest również zaprojektowana tak, aby mogła uzupełniać istniejące rozwiązania z zakresu zabezpieczania sieci opracowane przez inne firmy, za pośrednictwem interfejsu programowania aplikacji (API) z odpowiednią dokumentacją.
Nowe i zmienione funkcje
Poniższa tabela przedstawia niektóre z nowych funkcji oprogramowania Zapora systemu Windows z zabezpieczeniami zaawansowanymi w systemie Windows Server 2012.
Funkcja |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
Protokół IKEv2 (Internet Key Exchange, wersja 2) dla trybu transportu IPsec |
X |
|
Izolacja sieci dla aplikacji ze Sklepu Windows |
X |
|
Polecenia cmdlet środowiska Windows PowerShell dla Zapory systemu Windows |
X |
Protokół IKEv2 dla trybu transportu IPsec
W systemie Windows Server 2012 protokół IKEv2 obsługuje dodatkowe scenariusze, w tym połączenia trybu transportu IPsec na całej trasie.
Jakie korzyści zapewnia ta zmiana?
Obsługa protokołu IKEv2 w systemie Windows Server 2012 umożliwia współdziałanie systemu Windows z innymi systemami operacyjnymi używającymi protokołu IKEv2 do zapewniania zabezpieczeń na całej trasie, a także spełnienie wymagań pakietu Suite B (RFC 4869).
Co się zmieniło?
W systemie Windows Server 2008 R2 protokół IKEv2 jest dostępny jako protokół tunelowania wirtualnej sieci prywatnej (VPN), obsługujący automatyczne nawiązywanie ponownego połączenia z siecią VPN. Protokół IKEv2 umożliwia zachowanie skojarzenia zabezpieczeń bez zmian niezależnie od zmian w podstawowym połączeniu.
W systemie Windows Server 2012 obsługa protokołu IKEv2 została rozszerzona.
Izolacja sieci dla aplikacji ze Sklepu Windows
Jeśli administratorzy chcą mieć większą kontrolę nad aplikacjami ze Sklepu Windows, mogą stosować niestandardowe konfiguracje Zapory systemu Windows w celu precyzyjnego określania dostępu do sieci.
Jakie korzyści zapewnia ta zmiana?
Ta funkcja dodaje możliwość konfigurowania oraz wymuszania przestrzegania granic sieci, dzięki czemu aplikacje, których bezpieczeństwo może zostać naruszone, będą mogły uzyskiwać dostęp tylko do tych sieci, do których jawnie przyznano im dostęp. Pozwala to znacznie ograniczyć ich wpływ na inne aplikacje, system oraz sieć. Ponadto aplikacje mogą być izolowane i chronione przed nieautoryzowanym dostępem przez sieć.
Co się zmieniło?
Oprócz reguł zapory dla programów i usług można także tworzyć reguły zapory dla aplikacji ze Sklepu Windows i ich różnych funkcji.
Polecenia cmdlet środowiska Windows PowerShell dla Zapory systemu Windows
Środowisko Windows PowerShell zawiera szeroką gamę poleceń cmdlet umożliwiających konfigurowanie Zapory systemu Windows i zarządzanie nią.
Jakie korzyści zapewnia ta zmiana?
Teraz można w pełni konfigurować Zaporę systemu Windows, zabezpieczenia IPsec i inne powiązane z nimi funkcje, a także zarządzać nimi za pomocą niezwykle zaawansowanego, skryptowego środowiska Windows PowerShell.
Co się zmieniło?
W poprzednich wersjach systemu Windows do wykonywania wielu działań z zakresu konfiguracji i zarządzania można było używać narzędzia Netsh. Te możliwości zostały znacznie rozszerzone w bardziej zaawansowanym języku skryptowym środowiska Windows PowerShell.
Zobacz też
Aby uzyskać więcej informacji o funkcji Zapora systemu Windows z zabezpieczeniami zaawansowanymi w systemie Windows Server 2012, zapoznaj się z poniższymi tematami.
Typ zawartości |
Odwołania |
|---|---|
Wdrażanie |
Zabezpieczenia IPsec End-to-End połączenia przy użyciu IKEv2 w systemie Windows Server 2012 | Izolowanie aplikacji ze Sklepu Windows w sieci | Zapora systemu Windows z funkcją administrowania zabezpieczeniami zaawansowanymi za pomocą programu Windows PowerShell |
Rozwiązywanie problemów |