iThome

在Windows Vista及Server 2008中的「具有進階安全性的Windows防火牆」是一種狀態式主機型防火牆,它可以依據管理員的設定值來篩選連入與連出連線。這個功能除了可以在本機上直接設定,還可以透過群組原則來操作。

相較於XP/Server 2003的防火牆,新版本整合了網際網路通訊安全性 (IPsec)協定,可以根據特定的IPsec設定結果來控制流量,此它還支援包含AD中的使用者及群組、來源及目的地IP位址、IP連接埠號碼、ICMP設定,以及特定的服務等。

在具有進階安全性的Windows防火牆中,包含了網域、私人及公用等3種網路位置類型,分別對應使用者所在的網路環境。由於企業內部幾乎都是採用網域網路,因此設定時也應該選擇這個類型。選擇完網路類型後,接下來就可以利用這項群組原則來決定防火牆的行為。首先必須先選擇輸入、輸出,或是連線安全性規則,接下來再指定規則的類型,包含:程式、連接埠(TCP或UDP)、預先定義(AD網域服務或DNS服務等12種),以及自訂規則等。如果以阻擋Windows Live Messenger(WLM)為例,可以選擇建立程式規則,之後再到「這個程式路徑」欄目中填入msnmsgr.exe的位置。

之後要再從允許連線、封鎖連線,或是僅允許安全連線中挑選一種防火牆執行規則,如果選擇僅允許安全連線,可以再指定允許授權及規則例外的電腦。完成防火牆設定後,當使用者想要執行WLM,系統將提示連線有問題。設定時必須注意,使用者電腦必須先重新啟動,才會套用這項群組原則。

雖然具有進階安全性的防火牆可以用來阻擋員工使用未經授權的軟體,但它的主要功能其實是流量和連線的控管,所以僅能依照軟體的執行檔路徑或雜湊值來鎖定,有心人士仍可以透過更換版本等手法來突破封鎖。

如果只是想要阻擋軟體,可以利用Windows 7/Server 2008 R2環境專屬的功能「AppLocker」,它可以依照軟體的發行單位、名稱、雜湊值、路徑或版本等詳細資訊來設定,以建立更完整的阻擋規則。

 

防火牆可管理各種網路環境

具有進階安全性的Windows防火牆可說是一種網路行為感知應用程式,它可以依照使用者電腦所在的網路環境,來允許/封鎖特定的軟體或連線。

 

直接套用IPSec設定

由於整合了IPsec,在設定防火牆執行動作時,可以選擇讓連線以IPsec內容中的設定,以及連線安全性規則節點中的規則為驗證標準,亦可要求加密。

 


相關報導請參考「用群組原則輕鬆管理使用者電腦


熱門新聞

Advertisement