فصل هشتم: پیکربندی Configuring Windows Firewall and Network Access Protection
مقدمه
Configuring Windows Firewall and Network Access Protection در شبکه ها این امکان وجود دارد که بخواهند با شبکه های ناسالم که همراه با بدافزار ها و … در ارتباط باشند. این مشکل باعث شده تا برای امنیت هزینه هایی انجام شود تا با برقراری این ارتباطات به شبکه آسیبی نرسد. ویندوز سرور 2008 از دو تکنولوژی مفید برای بهبود امنیت شبکه استفاده می کند.
Window Firewall و Network Access Protection یا NAP
Windows firewall می تواند ترافیک های ورودی و خروجی را فیلتر کند و جلوی بسیاری از بدافزارها به این شکل گرفته می شود.
NAP کامپیوترها را ملزم می کند تا چک لیستی را تکمیل کنند که این چک لیست بر اساس معیارهای امنیتی تهیه شده اند و اگر کامپیوتری این معیار های امنیتی را تکمیل نکند اجازه ی دسترسی به منابع اصلی و حیاتی به آن داده نمی شود و کامپیوترها ملزم می شوند تا مشکلات را حل کنند تا دسترسی ها برقرار شود.
درس های این فصل
- پیکربندی windows firewall
- پیکربندی Network Access Protection
عنوان درس اول: پیکربندی windows firewall
Windows firewall ترافیک ورودی را کنترل می کند و اجازه ی ورود ترافیک بار ناخواسته به شبکه را نمی دهد.
هچنین ترافیک های خروجی را نیز بررسی می کند و جلوی ریسک بدافزارها را می گیرد.
به صورت پیش فرض جلوی ترافیک های ورودی گرفته شده است و به صورت پیش فرض هم پیکربندی شده است اما یک مدیرشبکه می تواند برای بهبود وضعیت شبکه و محافظت بیشتر،به درستی آن را پیکربندی کند. Configuring Windows Firewall and Network Access Protection
خلاصه درس
- Firewallها برای جلوگیری از ارتباطات ناخواسته طراحی شده اند و برقراری ارتباط های سالم را برای شبکه مقدور می سازد.
- ویندوز 7 و ویندوز 2008 ( به بالا) از 3 پروفایل در فایروال پشتیبانی می کند.
پروفایل Domain، Private و Public
Domain Profile: ارتباطات کامپیوترها (هرچه که باشد) با Domain Controller را برقرار می کند.
Private Profile: در Private Profile باید تنظیمات به صورت دستی به شبکه اعمال شود.
Public Profile: در این پروفایل هر زمان domain دردسترس نباشد تنظیمات را اعمال می کند و در این حالت تنظیمات نباید بر روی Private Profile باشد.
- در سرویس جدیدی که مایکروسافت در ویندوز سرور 2008 و ویندوز 7 ایجاد کرده است ( به نام windows firewall with advanced security) می توان rule های inbound تعریف کرد تا server application ها بتوانند ترافیک های ورودی را داشته باشند یا نه. همچنین می توان outbound rule تعریف کرد تا client application ها بتوانند تغییری در ترافیک خروجی داشته باشند یا نه.به صورت پیش فرض inbound rule ها allow هستند و می توان آنها را block کرد.
اطلاعات جانبی
- ویژگی های firewall قابل تغییر هستند.می توانید محدوده ای را مشخص کنید تا محدودیت ها در آن محدوده اعمال شود.با تعریف محدوده می توان ریسک حملات از شبکه های دیگر را کاهش داد.
- اگر در محیطی از IPSec استفاده می کنید می توانید rule های firewall را به گونه ای تنظیم کنید که تنها بر پایه ی ارتباطات امن اجازه ترافیک های ورودی و خروجی را صادر کند و تنها به کامپیوترها و یوزرهای مورد تایید اجازه بدهد.
- Group policy هم یکی از موثرترین راه های پیکربندی تنظیمات windows firewall برای تمامی کامپیوترهای متصل به domain هستند.با استفاده از group policy می توان به سرعت برای تعداد زیادی از کامپیوترها امنیت را بالا برد و application هایی که اجازه ی ورود و ارتباط با شبکه را دارند کنترل کرد.
- Windows firewall شامل log file است که تمامی اجازه ها و جلوگیری هایی که تنظیم کرده را می تواند لیست کند.این اطلاعات برای رفع خطاهای شبکه ای که firewall بوجود آورده است بسیار مفید است.
- اگر یک application باید یک سری از ارتباطات ورودی را قبول کند اما توسعه دهنده ی آن برنامه پورت ارتباطی که توسط application مورد استفاده قرار می گیرد را وارد نکرده باشد با استفاده از دستور Netstat می توان پورت موردنظر را مشاهده کرد.بر اساس این اطلاعات می توان rule موردنظر را در firewall تعریف کرد.
عنوان درس دوم : پیکربندی Network Access Protection
- برای مثال شما شبکه ای خصوصی را در نظر بگیرید که هزار کامپیوتر دارد.firewall شبکه را ازحملات اینترنتی محافظت می کند.(مثل worm یا کرم های اینترنتی). بعضی از این wormها به دلیل update نبودن کلاینت ها (security) به وجود می آیند.بنابر این اینکه سیستمی به روز است یا نه در تنظیمات firewall نیست.Network Access Protection (NAP) در چنین شرایطی بسیار موثر و کارا است.زمانی که کامپیوترها به شبکه متصل می شوند اول موارد سلامتی آنها مانند به روز بودن و … بررسی می شود.
- NAP بر اساس لیستی که از سلامتی ایجاد کرده است سلامتی کلاینت ها را مورد بررسی قرار می دهد و اگر سلامتی تایید شد به کلاینت ها دسترسی نامحدود می دهد.برای اینکه کامپیوترها توسط NAP مورد بررسی قرار بگیرند بایستی از VPN server 802.1x /IPSec و یا DHCP استفاده کنند.
- زمانی که NAP راه اندازی می شود ابتدا یک طرح سلامتی ایجاد می شود که در آن موارد مورد اهمیت تنظیم شده است و در صورتی که کلاینت ها موارد را رعایت نکنن از دسترسی آنها در شبکه جلوگیری می شود.
- قبل از پیاده سازی NAP بایدNAP کلاینت را تنظیم کنید.به علاوه زمانی که از روش IPSec برای عبور و مورد بررسی قرار گرفتن توسط NAP استفاده می کنید باید policyهای مربوط به آن را نیز پیکربندی کنید.
- به صورت پیش فرض NAP رخداد ها را در security event log ثبت می کند مثل مواردی که کامپیوتری موارد مورد تایید NAP را نداشته باشد.مدیر شبکه باید log ها را بررسی کرده و مواردی که نیاز به تغییر دارند را پیکربندی کند تا دسترسی به کلاینت ها ( اعمال کردن قوانین سلامتی ) را برقرار کند.
خلاصه فصل
- به صورت پیش فرض windows firewall تمام ارتباطات ناخواسته ی ورودی incoming را جلوگیری می کند.در تنظیمات اضافه تر شما می توانید به یک subnet خاص و یا user و یا گروه خاص ویا applicationهایی که بر روی ارتباطات خروجی تاثیر گذار هستند را کنترل کنید، ارتباطاتی که allow (اجازه داده شده) هستند را محدود کنید. Configuring Windows Firewall and Network Access Protection
- Network Access Protection (NAP) به صورت پیش فرض فعال نیست و نیاز به تنظیمات زیاد و پیچیده ای دارد.بعد از تنظیم کردن، NAP از شبکه به صورت مطلوبی محافظت می کند و براساس لیستی از موارد سلامتی تنها به کامپیوترهایی که مورد تایید قرار می گیرند اجازه ی دسترسی می دهد.
مطالعه بیشتر دوره های تخصصی در آموزشگاه هیواشبکه
سایت طراحی و بهینه سازی سایت هیواشبکه
هیواشبکه
ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
دیدگاه یک پست