3.部署高级安全Windows防火墙的技术概述

部署高级安全Windows防火墙的技术概述更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista高级安全Windows防火墙结合了基于主机的防火墙和兼容Internet工程任务组(IETF)的Internet协议安全性(IPSec)实现。作为基于主机的防火墙，高级安全Windows防火墙运行于每台运行WindowsVista®或更高版本Windows的计算机上，针对可能通过外围网络防火墙或源于组织内部的网络攻击提供本地保护。高级安全Windows防火墙还提供基于IPsec的计算机到计算机的连接安全，使您可以通过设置要求在计算机交换数据时进行身份验证、完整性检查或加密的规则，来保护网络数据。高级安全Windows防火墙结合使用Internet协议版本4(IPv4)和IPv6流量。指南的本部分简要概述了这些功能，帮助您了解本指南后面部分介绍的方案。网络位置感知主机防火墙连接安全和IPSec组策略下一主题：网络位置感知网络位置感知更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVistaWindowsVista®和较新版本的Windows支持“网络位置感知”，该功能可使网络交互程序能够根据计算机连接到网络的方式更改其行为。如果是高级安全Windows防火墙，则可以创建仅在与特定网络位置类型关联的配置文件在计算机上活动时适用的规则。网络位置感知的工作原理下图显示Windows可以检测到的网络位置类型。Windows可以检测到下列网络位置类型：公用。默认情况下，第一次连接时，会为任何新的网络分配公用网络位置类型。公用网络被视为与全世界共享，在本地计算机和其他任何计算机之间不存在保护，因此，与公用配置文件关联的防火墙规则限制程度最高。专用。本地管理员可以为公众不能直接访问的网络连接手动选择专用网络位置类型。通过使用防火墙设备或执行网络地址转换(NAT)的设备，能够与可公开访问网络隔离的家庭或办公网络建立连接。分配了专用网络位置类型的无线网络应通过使用加密协议（例如Wi-Fi安全访问(WPA)或WPAv2）进行保护。系统从未将专用网络位置类型自动分配给网络；它必须由管理员分配。Windows会记住该网络，并在您下次连接到此网络时，自动将专用网络位置类型再次分配给网络。由于保护级别更高并且与Internet隔离，专用配置文件防火墙规则通常比公用配置文件规则集允许更多的网络活动。域。当本地计算机是ActiveDirectory域的成员，并且它可以借由其中一个网络连接通过该域所属的域控制器身份验证时，可以检测到域网络位置类型。如果满足这些条件，则自动分配域网络位置类型。管理员无法手动分配此网络位置类型。由于安全级别更高并且与Internet隔离，域配置文件防火墙规则通常比专用配置文件规则集或公用配置文件规则集允许更多的网络活动。高级安全Windows防火墙将其设置和规则存储在配置文件中，并支持每个网络位置类型对应一个配置文件。与当前检测到的网络位置类型关联的配置文件是应用于该计算机的配置文件。如果分配给网络的网络位置类型更改，则会自动应用与新的网络位置类型关联的配置文件中的规则。当您的计算机连接有多个网络适配器时，可以连接到不同类型的网络。运行Windows7和WindowsServer2008R2的计算机支持不同的网络位置类型，因此，同时也支持每个网络适配器的配置文件。各网络适配器都分配有适合其连接的网络的网络位置。Windows防火墙仅执行那些适于该网络类型的配置文件的规则。因此，来自与公用网络相连接的网络适配器的某些类型的流量会被阻止，而来自专用网络或域网络的相同类型的流量可能会允许通过。重要事项WindowsVista、WindowsServer2008、WindowsXP和WindowsServer2003一次仅支持一种活动网络位置类型。Windows会自动为安全性最低的网络选择网络位置类型，使其能够应用可提供最大保护的配置文件。例如，如果计算机有两个活动连接，一个连接到公用网络，另一个连接到专用网络，则Windows会选择公用网络类型并将其应用到该计算机上的所有网络适配器，以启用其配置文件中更严格的安全规则来保护计算机。WindowsXP和WindowsServer2003支持在概念上与以上所述相同的域配置文件。但是，早期版本的Windows仅支持“标准”配置文件，而不支持专用和公用配置文件。因此，如果通过使用组策略编辑器的管理模板部分中的Windows防火墙节点创建规则，则仅可以指定它们应用于域和标准配置文件。如果指定标准配置文件，然后将这些规则应用于运行WindowsVista或更高版本的Windows的计算机，则这些规则在计算机的网络位置配置文件设置为专用或公用时适用。域配置文件中的这些规则仍然仅在计算机的网络位置配置文件设置为域时适用。有关网络位置感知及其用于高级安全Windows防火墙中的详细信息，请参阅高级安全Windows防火墙入门中的“网络位置感知主机防火墙”部分，网址为http：//go.microsoft.com/fwlink/?linkid=64343（可能为英文网页）。下一主题：主机防火墙主机防火墙更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista高级安全Windows防火墙包含基于主机的防火墙组件，该组件是本地计算机的保护性边界，监视和限制经过计算机及其连到的网络或Internet间的信息。它提供了一条重要的防线，以防有人可能尝试在不经允许的情况下访问计算机。在WindowsVista和较高版本的Windows中，对于客户端和服务器，默认情况下，高级安全Windows防火墙中的主机防火墙处于打开状态，会阻止未经请求的入站网络流量，并允许所有出站流量。如果您的计算机托管的某个服务或程序必须能够接收未经请求的入站网络流量，您可以创建允许特定入站连接的规则，若要控制出站网络流量，您可以创建出站阻止规则，防止不需要的网络流量发送到网络。也可以将默认的出站行为配置为阻止所有流量，然后创建出站允许规则，仅允许您在规则中配置的流量。主机防火墙的工作原理流入和流出计算机的网络流量可以如下图所示进行分类。网络流量由一台计算机上的源端口向其他计算机上的目标端口发送的数据包或数据包流组成。端口仅是网络数据包中的一个整数值，它在连接的发送端或接收端上标识程序。通常，一次只有一个程序侦听一个端口。若要侦听端口，程序将向操作系统注册程序本身和它必须侦听的端口号。数据包到达本地计算机时，操作系统检查目标端口号，然后向已注册的程序提供数据包的内容以便使用该端口。使用TCP/IP协议时，计算机可以接收通过使用特定传输协议（例如TCP或UDP）以及从1到65，535的任一端口编号送到的网络流量。许多较低的编号端口已保留用于已知服务，例如在TCP端口80上使用超文本传输协议(HTTP)的Web服务器，在TCP端口23上的Telnet远程终端服务，或在端口25上的简单邮件传输协议(SMTP)。高级安全Windows防火墙的工作为：检查源地址和目标地址、源和目标端口以及数据包的协议号，然后将它们与管理员所定义的规则进行比较。当规则与网络数据包匹配时，则执行规则中指定的操作（允许或阻止数据包）。通过高级安全Windows防火墙，您还可以根据网络数据包是否受IPsec身份验证或加密的保护来允许或阻止这些网络数据包。有关主机防火墙功能及高级安全Windows防火墙功能的详细信息，请参阅位于http：//go.microsoft.com/fwlink/?linkid=64343上WindowsServer技术库中的高级安全Windows防火墙入门指南（可能为英文网页），以及位于http：//go.microsoft.com/fwlink/?linkid=95393的TechNet上的Windows防火墙（可能为英文网页）。下一主题：连接安全和IPSec连接安全和IPSec更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVistaInternet协议安全性(IPSec)是一个开放标准式框架，它使用加密安全服务来保护通过TCP/IP网络进行的通信。IPSec支持网络级对等身份验证、数据源身份验证、数据完整性、数据保密性（加密）和重播保护。Microsoft的IPSec实现基于由Internet工程任务组(IETF)（可能为英文网页）IPSec工作组开发的标准。WindowsVista和更高版本的Windows附带的IPsec实现完全集成到开放系统互连(OSI)网络参考模型的网络层（第3层）中。这允许它以对运行在计算机上的程序透明的方式，为任何基于IP的协议提供保护。它完全支持IPv4和IPv6。在保护组织的网络可访问资源的纵深防御策略中，IPSec是很重要的一层。IPSec的工作原理IPSec为网络流量提供各种连接安全服务。通过在高级安全Windows防火墙中创建连接安全规则，以识别要保护的网络流量的特性和要应用的保护实质，可以将每个服务配置为应用到特定网络流量。源身份验证。源身份验证确保参与连接的每台计算机都能够接收到说明远程计算机（也可以是远程计算机上的用户）确实是其所声称的实体的证明。身份验证涉及每台计算机向其他计算机提供可以证实其来自所声称来源的某种形式的凭据。Kerberos令牌（可以由域控制器检查），或计算机/用户证书（可以根据其受信任根证书进行密码检查）是常用的身份验证方法之一。数据完整性。数据完整性确保收到的数据包与已传输的数据包相同，并且提供保证该数据包在传输中未被损坏或修改。通过IPsec保护的连接发送的网络数据包包含该数据包的加密哈希。哈希由发送计算机计算、加密并包含在数据包中。接收计算机根据收到的数据包计算其哈希，并在解密所包含的哈希后，比较这两个哈希值。如果它们匹配，则接受并处理数据包。如果不匹配，则该数据包在传输中已损坏或已修改，将被丢弃。数据保密性。数据保密性确保非授权计算机或用户不能访问或读取在网络连接中包含的信息。当启用时，每个通过保护连接发送的网络数据包都将对其数据有效负载进行加密。有各种强度的加密协议可供使用。提供更高级别保护的协议通常需要更多的计算机资源才能处理更复杂的加密算法。传输与隧道模式IPsec以两种模式之一运行：传输或隧道模式。传输模式。在传输模式中，网络通信由源计算机的IPsec保护，并且在通过网络到达目标计算机的整个过程中都处于受保护的状态。IPsec保护的数据包在整个过程中都由路由器以标准IP数据报路至其目标计算机。传输模式提供了端对端安全。传输模式连接安全规则仅需