Назад | Перейти на главную страницу

Куда делась фильтрация TCP / IP в Windows Server 2008?

Я настраиваю нашу новую машину с Windows Server 2008. В Windows Server 2003 мы включили бы фильтрацию TCP / IP на наших сетевых картах, чтобы пропускать трафик только на определенных портах. Это было сделано путем щелчка правой кнопкой мыши по сетевому соединению и выбора свойств. Затем выберите «Протокол Интернета (TCP / IP)» и нажмите «Свойства». Затем нажмите «Дополнительно» и выберите вкладку параметров. В дополнительных настройках была фильтрация TCP / IP. Выберите, Фильтрация TCP / IP и щелкните Свойства.

В окне TCP / IP Filtering вы можете разрешить трафик только на определенных портах. Вкладка «Параметры» больше не существует в Windows Server 2008. Я искал в Google и TechNet, но не могу найти, где они ее спрятали или какой должна быть замена для этих настроек. Кто-нибудь знает, где эти настройки в Windows Server 2008? Брандмауэр Windows так близко, как я собираюсь получить? Является ли брандмауэр Windows таким же надежным, как старые настройки, которые я использовал?

Короткий ответ: Эти настройки больше не существуют, и вы должны использовать Брандмауэр Windows или Брандмауэр Windows в режиме повышенной безопасности настроить блокировку портов. Если вы хотите автоматизировать процесс, вы можете использовать сетка инструмент командной строки для открытия или закрытия портов.

Длинный ответ: Параметр фильтрации TCP / IP, указанный в разделе свойств Интернет-протокола (TCP / IP), представлял собой оболочку графического интерфейса пользователя для API фильтрации IP, добавленного в Windows Server 2000 и описанного в этом документе. документ (Найдите EnableSecurityFilters, TcpAllowedPorts и UdpAllowedPorts для получения дополнительных сведений). Эти фильтры были для каждой сетевой карты и были отделены от настроек брандмауэра Windows, которые работали на более высоком уровне.

В Vista и Server 2008 настройки для каждой сетевой карты были заменены настройками профиля домена, общедоступной и частной сети с использованием новая модель фильтрации называется Платформа фильтрации Windows (ВПП). WFP API используется брандмауэром Windows и IPsec, а также сторонними брандмауэрами, антивирусами, диагностическими и другими типами сетевых приложений:

Платформа фильтрации Windows (WFP) - это новая архитектура в Windows Vista и Windows Server 2008, которая позволяет независимым поставщикам программного обеспечения (ISV) фильтровать и изменять пакеты TCP / IP, отслеживать или авторизовывать соединения, фильтровать трафик, защищенный безопасностью Интернет-протокола (IPsec), и фильтровать вызовы удаленных процедур (RPC). Фильтрация и изменение пакетов TCP / IP обеспечивает беспрецедентный доступ к тракту обработки пакетов TCP / IP. По этому пути вы можете проверять или изменять исходящие и входящие пакеты до того, как произойдет дополнительная обработка. Получая доступ к пути обработки TCP / IP на разных уровнях, вы можете более легко создавать межсетевые экраны, антивирусное программное обеспечение, диагностическое программное обеспечение и другие типы приложений и служб.

WFP предоставляет API-интерфейсы, чтобы вы могли участвовать в принятии решений о фильтрации, которые происходят на нескольких уровнях стека протоколов TCP / IP. WFP также интегрирует и обеспечивает поддержку функций межсетевого экрана нового поколения, таких как аутентифицированная связь и динамическая конфигурация межсетевого экрана, основанная на использовании приложением Windows Sockets API. Эта возможность также известна как политика на основе приложений.

WFP - это не межсетевой экран. Это набор системных служб и интерфейсов API пользовательского режима и режима ядра, которые позволяют разрабатывать брандмауэры и другое программное обеспечение для мониторинга соединений или обработки пакетов. Например, брандмауэр Windows в Windows Vista и Windows Server 2008 использует WFP.

Основываясь на моем поиске в Google, вот что я нашел:

И TCP \ IP Filtering, и брандмауэр Windows до Windows XP были привязаны к определенному сетевому адаптеру. Независимо от того, к какому типу сети был подключен компьютер, фильтрация и брандмауэр были либо включены, либо выключены. Это эффективно, но не разумно.

В Vista, 7 и W2K8 брандмауэр привязан к определенному сетевому профилю, а не к сетевой карте. Таким образом, теперь можно применять разные правила и условия брандмауэра к каждому сетевому адаптеру или к конкретным сетевым адаптерам в зависимости от типа сети, к которой подключен компьютер. Например, вы можете разрешить входящие HTTP-соединения с вашей беспроводной сетевой картой, когда вы подключены к частной сети, но не когда вы подключены к публичной сети. Вы можете разрешить входящие FTP-соединения к вашей сетевой карте Ethernet, когда вы подключены к публичной сети, но не когда вы подключены к частной сети. И т. Д. И т. Д. Намного более интеллектуальный и более детальный контроль.

Я считаю, что вы правы, теперь они централизовали это в конфигурации брандмауэра на сервере. Я сам немного покопался и не смог найти другого места, чтобы это настроить.

Мы используем фильтр IP в групповых политиках. На большинстве серверов Windows 2008 R2.