Suchen

Die Firewall des Windows Server 2008 - Teil 4 Firewall-Regeln und IPSec-Authentifizierung für expliziten Traffic

| Autor / Redakteur: Johann Baumeister / Stephan Augsten

Wie wir in den ersten drei Praxisartikeln dieser Serie erfahren haben, bietet die erweiterte Firewall im Windows Server 2008 weitaus mehr Funktionen und Konfigurationsmöglichkeiten. In diesem Teil unserer Artikelreihe widmen wir uns dem Einstellen von Regeln für einen bestimmten Datenverkehr und die mögliche IPSec-Authentifizierung zwischen Kommunikationspartnern.

Für bestimmten Traffic lassen sich über die erweiterte Firewall im Windows Server 2008 explizite Regeln erstellen.
Für bestimmten Traffic lassen sich über die erweiterte Firewall im Windows Server 2008 explizite Regeln erstellen.
( Archiv: Vogel Business Media )

Die Firewall des Windows Servers 2008 erlaubt eine feingranulare Einstellung der Firewall-Regeln. Nach der Selektion des Profils im Server Manager und darunter im Eintrag zur „Windows Firewall with Advanced Security“ kann der Administrator unter „Settings“ | „Customize“ (Einstellungen | Anpassen) diese Feineinstellung vornehmen. Hier sind nun die weiteren Konfigurationen für das jeweils gewählte Profil einzustellen.

Unter dem Bereich der „Firewalleinstellungen“ ist festzulegen, ob das System eine Nachricht generieren soll, wenn eine eingehende Verbindung durch die Firewall geblockt wird. Die Voreinstellung dabei ist „Nein“.

Bildergalerie

Dies sollte man auch so beibehalten. Ansonsten werden unzählige Meldungen generiert, die natürlich nur dann sinnvoll sind, wenn sie auch ausgewertet werden. Eine Änderung an dieser Einstellung ist anzuraten, wenn der Verdacht auf einen Angriff besteht.

Multicast erhöht Netzwerklast

Die Option unter „Unicast response” (Unicastantwort) bestimmt, ob auf Unicast- und auch Multicast-Anfragen reagiert werden sollte oder diese zu blockieren sind. Diese Option steht standardmäßig auf „Ja“. Damit antwortet der Server auf Unicast-Anfragen aus dem Netzwerk.

Wenn allerdings in einer Systemumgebung keine Multi- oder Unicast-Kommunikation stattfindet, sollte auch dieser Eintrag verneint werden. Dabei gilt es zu beachten, dass ältere Applikationen häufig mittels NetBIOS über TCP/IP operierten und daher Multi- oder Unicast-Kommunikation benötigen.

Die letzte Option in dieser Konfigurationsmaske schließlich bezieht sich auf die Verknüpfung von Regeln mittels der Group Policies. Neben diesen, hier erwähnten, Dialog-gestützten Einstellungen der Firewall-Parameter besteht ferner die Konfiguration über die Gruppenrichtlinien.

Durch die Schalter des „Rule Merging“ wird bestimmt, wie die Geräte verfahren sollen, wenn Firewall-Richtlinien lokal konfiguriert sind, aber auch durch die Gruppenrichtlinien zugewiesen werden. Standardmäßig werden beiden Richtliniensätze nach den Regeln der Gruppenrichtlinien miteinander kombiniert.

Unter Logging (Protokollierung) ist der Pfad der Logdatei und deren Größe anzugeben. Ferner ist hier zu bestimmen, ob „Verworfene Pakete“ und „Erfolgreiche Verbindungen“ protokolliert werden sollen. Um insbesondere in der Anfangsphase keine Log-Informationen zu verlieren, sollte diese Datei groß genug gewählt werden.

Seite 2: IPSec sichert die Kommunikation ab

(ID:2017006)