深入剖析Windows防火墙（三）

一、前言

Windows Defender高级安全防火墙设计

Windows Defender高级安全防火墙是一种主机防火墙，它通过两种方式帮助保护设备。 首先 ，它可以筛选允许从网络进入设备的网络流量，还可以控制允许设备发送到网络的网络流量。 其次 ，Windows Defender防火墙支持 IPsec，这使您能够要求来自任何尝试与设备通信的设备进行身份验证。 当需要身份验证时，无法进行身份验证的设备无法与设备通信。 通过使用 IPsec，还可以要求对特定网络流量进行加密，以防止在设备之间传输时读取或截获它。

防火墙界面Windows Defender防火墙控制面板中的消费者友好界面更具有功能Windows Defender灵活。 它们与相同的基础服务交互，但提供对这些服务的不同级别的控制。 尽管 Windows Defender 防火墙控制面板满足保护家庭环境中单个设备的需求，但它无法提供足够的集中式管理或安全功能来帮助保护典型企业环境中找到的更复杂的网络流量。

目标

• 保护设备不受垃圾网络流量的危害
• 限制为仅访问受信任的设备
• 访问敏感网络资源时要求加密
• 将敏感资源的访问权限限制为仅指定用户或设备

关键词说明：（ 上下文中 的术语域是指通信信任的边界，而不是 Active Directory 域）

独立域： 是受信任设备的主要区域。 此区域中的设备使用连接安全性和防火墙规则来控制可在区域中的设备之间发送的通信。

---

边界区域： 在大多数组织中， 某些设备可以从不是隔离域一部分的设备接收网络流量，因此无法进行身份验证 。 若要接受来自不受信任的设备的通信，请创建隔离域中的边界区域。

边界区域中的设备是可接收来自其他独立域成员设备和不受信任的设备的通信请求的受信任设备 。 边界区域设备尝试使用 IPsec 验证任何传入请求，并启动与原始设备的 IKE 协商。

为边界区域构建的 GPO 包括 IPsec 或连接安全规则， 这些规则请求对入站和出站网络连接进行身份验证，但不要求进行身份验证。

这些边界区域设备可能会从使用纯文本的不受信任的设备接收未经请求的入站通信，并且必须以其他方式进行仔细管理和保护 。 减轻此额外风险是决定是否将设备添加到边界区域的重要部分。

---

加密区域： 组织中的某些服务器托管非常敏感的数据，包括医疗、财务或其他个人数据。 政府或行业法规可能要求在设备之间传输此敏感信息时必须对其进行加密。

为了支持这些服务器的其他安全要求，建议您创建一个加密区域以包含设备，并且要求加密敏感入站和出站网络流量。

必须在 Active Directory 中创建一个组以包含加密区域的成员。 加密区的设置和规则通常与隔离域的设置和规则类似，并且可以通过复制这些 GPO 作为起始点来节省时间和工作量。 然后，修改安全方法列表，以仅包括包含加密协议的算法组合。

---

Active Directory：

存储有关网络上对象的信息 ，并让管理员和用户可以更容易地使用这些信息。使用结构化数据存储作为目录信息的逻辑层次组织的基础。

主要功能：

1. 服务器及客户端 计算机管理 ：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施 组策略 。
2. 用户服务 ：管理用户 域账户 、用户信息、企业通讯录（与电子邮件 系统集成 ）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。
3. 资源管理 ：管理打印机、文件共享服务等网络资源。
4. 桌面配置 ： 系统管理员 可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
5. 应用系统支撑 ：支持财务、人事、电子邮件、企业信息门户、 办公自动化 、补丁管理、防病毒系统等各种应用系统。

---

GPO： 是组策略对象，是一种与域或组织单元相联系的物理策略每台计算机都有本地的GPO，可以通过运行gpedit.msc来定制也可以通过AD定义一个集中的策略，应用在域中指定的对象上。

一个GPO由两部分组成的： 组策略容器（GPC）和组策略模板（GPT）

GPC是GPO在AD中的一个实例，在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码（GUID）。在“活动目录用户和计算机”插件中选择“浏览”，从MMC菜单中选择“高级属性”，就可以看到“系统”容器。

GPT是组策略在Windows文件系统中的表现，与一个GPO有关的所有文件依赖于GPT。

---

IPsec： 是一个协议簇，通过对 IP协议 的 分组 进行 加密 和 认证 来保护IP协议的 网络传输协议 簇 （一些相互关联的协议的集合）。

IPsec主要由以下 协议 组成：

1. 认证头（AH） ，为 IP数据报 提供 无连接 数据完整性 、 消息认证 以及 防 重放攻击 保护；
2. 封装安全载荷（ESP） ，提供 机密性 、 数据源认证 、 无连接完整性 、 防重放 和 有限的传输流 （traffic-flow） 机密性 ；
3. 安全关联（SA） ，提供算法和数据包，提供AH、ESP操作所需的参数。
4. 密钥协议（IKE） ，提供对称密码的钥匙的生存和交换。

---

二、Windows Defender高级安全防火墙设计基本内容

可帮助你选择或创建一个在企业环境中Windows Defender防火墙的设计。

可以使用实现目标来构建以下高级安全Windows Defender防火墙"设计之一，或形成一个结合了下面这些元素的自定义设计：

• 基本防火墙策略设计 。 将设备中和设备的网络流量限制为仅需要和授权的网络流量。
• 域隔离策略设计 。 阻止作为域成员的设备接收来自非域成员的设备的未经请求的网络流量。 可以建立其他"区域"来支持某些设备的特殊要求，例如：
• 一个"边界区域"，用于必须能够接收来自非隔离设备的请求的设备。
• 一个"加密区域"，用于存储必须在网络传输期间保护的敏感数据的设备。
• 服务器隔离策略设计 。 将访问服务器限制为仅访问一组有限的授权用户和设备。 通常配置为域隔离设计中的区域，但也可以配置为独立设计，为一小组设备提供域隔离的许多好处。
• 基于证书的隔离策略设计 。 此设计是对前两个设计之一的补充，并支持其任何功能。 它使用部署到客户端和服务器的加密证书进行身份验证，而不是在 Active Directory 中默认使用的 Kerberos V5 身份验证。 这样，不是 Active Directory 域一部分的设备（如运行非 active Directory 域Windows设备）可以参与隔离解决方案。

注意：将目标映射到设计中

三、基本防火墙策略设计

应用和大多数现代Windows的默认行为使此任务变得简单：

• 在客户端设备上， 默认防火墙行为已支持典型的客户端程序 。 作为安装过程的一部分，程序会创建任何所需的规则 。 只有当客户端程序必须能够接收来自另一台设备的未经请求的入站网络流量时，才需要创建规则。
• 安装必须接受未经请求的入站网络流量的服务器程序时，安装程序可能会在服务器上创建或启用相应的规则。
  例如，安装服务器角色时，会自动创建并启用相应的防火墙规则。
• 对于其他标准网络行为，可以在 GPO 和 Windows 中轻松配置内置于 Windows 11、Windows 10、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8 和 Windows 7 中的预定义规则。部署到组织中设备。
  例如，通过使用核心网络和文件和打印机共享的预定义组，你可以轻松地为常用网络协议配置规则 GPO。

除少数情况外，可以在所有配置上启用防火墙 。 因此，我们建议在组织的每台设备上启用防火墙。 包括外围网络中、连接到网络的移动和远程客户端以及内部网络内的所有服务器和客户端上的服务器。

注意：Microsoft 不支持停止Windows Defender高级安全防火墙关联的服务。

下图显示了此设计示例所需的流量保护：

1. 运行服务（如 Active Directory、DNS、DHCP 或 WINS）的网络基础结构服务器可以接收来自网络客户端的未经请求的入站请求。 网络客户端可以从基础结构服务器接收响应。
2. WGBank 前端服务器可以接收来自客户端设备和 WGBank 合作伙伴服务器的未经请求的入站流量。 WGBank 客户端设备和合作伙伴服务器可以接收响应。
3. WGBank 前端服务器可以将更新的信息发送到客户端设备以支持实时显示。 客户端不轮询此未经请求的流量，但必须能够接收它。
4. WGBank 后端服务器可以接收SQL WGBank 前端服务器发送的查询请求。 WGBank 前端服务器可以接收相应的响应。
5. 客户端设备和 WGBank 后端设备之间没有直接通信。
6. 没有从 WGBank 后端设备到 WGBank 前端服务器的未经请求的流量。
7. 公司策略禁止使用对等文件传输软件。 IT 人员最近审查的一项发现，尽管外围防火墙确实阻止了此类别中大多数程序运行，但不需要外部服务器的员工使用两个程序。 防火墙规则必须阻止这些程序创建的网络流量。
8. WGBank 合作伙伴服务器可以通过 Internet 接收来自合作伙伴设备的入站请求。

四、域隔离策略设计

此设计的特征（如图所示）包括：

• 隔离 (区域 A) - 隔离域中的设备仅接收来自隔离域的其他成员或来自身份验证豁免规则中引用的设备的未经请求的入站流量 。 隔离域中的设备可以将流量发送到任何设备。 这包括到不在隔离域中的设备的未经身份验证的流量。 无法加入 Active Directory 域但可以使用证书进行身份验证的设备可以是隔离域的一部分。
• 边界 (区域 B) - 边界区域中的设备是隔离域的一部分，但允许接受来自不受信任的设备 （如 Internet 上的客户端）的入站连接。
  边界区域请求中的设备，但不需要身份验证进行通信。 当隔离域的成员与边界区域成员通信时，流量会经过身份验证。 当不是隔离域一部分的设备与边界区域成员通信时，流量未经过身份验证。
  由于边界区域设备向来自不受信任的潜在恶意设备的网络流量公开，因此必须仔细管理和保护它们 。 仅放入此区域中必须由外部设备访问的设备。 使用防火墙规则确保仅接受您希望向非域成员设备公开的服务的网络流量。
• (区域 C) 的受信任的非域成员 - 通过配置身份验证豁免规则，允许不是域成员或无法使用 IPsec 身份验证的网络上设备进行通信 。 这些规则允许隔离域中的设备接受来自这些受信任的非域成员设备的入站连接。
• 不受信任的非域成员 (D) 区域 - 非组织管理且具有未知安全配置的设备必须仅有权访问贵组织正确开展业务所需的设备。 存在域隔离，以在这些不受信任的设备和组织的设备之间设置逻辑障碍。

下图显示了此设计示例所需的流量保护：

1. Woodgrove Bank 公司网络上作为 Active Directory 域成员的所有设备必须对入站网络流量进行身份验证，因为入站网络流量来自作为域成员的另一台计算机。 除非特别指定，否则 Woodgrove Bank 的设备将拒绝所有未经身份验证的未经请求的入站网络流量。 如果还实现了基本防火墙设计，则甚至会丢弃经过身份验证的入站网络流量，除非它符合入站防火墙规则。
2. 承载 WGPartner 程序的服务器必须能够接收来自合作伙伴所拥有的设备（不是 Woodgrove Bank 域的成员）的未经请求的入站通信。
3. 客户端设备可以启动与不是域成员的设备的未经过身份验证的出站通信，例如浏览外部网站。 阻止来自非域成员的未经请求的入站流量。
4. 加密区域中的设备要求所有入站和出站网络流量必须加密，此外还必须加密隔离域已要求的身份验证。

五、服务器隔离策略设计

此设计的特征包括：

• 隔离 (区域 A) - 域隔离策略设计中介绍的同一隔离域。 如果隔离域包含边界区域，则边界区域中的设备的行为方式与隔离域的其他成员的行为方式类似，与服务器隔离区域中的设备进行交互的方式一样。
• 隔离 (区域 B) - 服务器隔离区域中的设备限制对授权访问的网络访问组 (NAG) 成员（可选）的设备的访问。
• 加密 (区域 C) - 如果要交换的数据足够敏感，则区域的连接安全规则也可以要求对网络流量进行加密。 加密区域通常作为作为服务器隔离区域一部分的规则实现，而不是作为单独的区域实现。 该图将概念作为一个子集进行说明，仅供概念参考。

下图显示了此设计示例的流量保护需求：

1. 对 SQL Server设备的访问权限必须仅限于那些具有访问数据业务要求的计算机或用户帐户。 这包括 WGBank 前端服务器使用的服务帐户，以及 SQL SERVER管理员。 此外，仅在从授权计算机发送访问权限时授予访问权限。 授权由使用 NAG (网络访问组) 。
2. 发来和来自SQL Server的所有网络流量必须加密。
3. 其帐户不是 NAG 成员的客户端设备或用户无法访问隔离服务器。

六、基于证书的隔离策略设计

与域隔离策略设计和服务器隔离策略设计的区别是在网络流量的身份验证过程中用于共享标识凭据的方法。

域隔离和服务器隔离可帮助为网络上运行 Windows且可加入 Active Directory 域的设备提供安全性。 但是，在大多数企业环境中，通常某些设备必须运行另一个操作系统。 如果没有安装第三方程序包，这些设备将无法加入 Active Directory 域。 此外，由于各种原因，某些Windows无法加入域。 若要依赖 Kerberos V5 作为身份验证协议，设备需要加入 Active Directory，对于支持 Kerberos 作为身份验证协议的非 (Windows设备) Kerberos。

为了向非域成员设备进行身份验证，IPsec 支持使用基于标准的加密证书。 由于许多第三方操作系统也支持此身份验证方法，因此它可用于将隔离域扩展到不运行 Windows。

域和服务器隔离设计的相同原则适用于此设计。 在这种情况下，只有 (身份验证的设备，通过提供指定的证书) 可以与隔离域中的设备通信。

对于 Windows Active Directory 域的一部分的设备，可以使用组策略部署与受信任设备（但不是 Active Directory 域的一部分）进行通信所需的证书。 对于其他设备，你必须使用所需的证书手动配置它们，或使用第三方程序以安全方式分发证书。

注意：这种隔离策略通俗来说就是为非域成员配置身份证书，只有非域成员获得证书的时候，才可以与隔离域内的设备进行通信。

七、结语

1.防火墙对所有企业的网络都是很重要的，企业只需根据业务需求，管理员只需按照官方文档，配置以上四条策略即可，支持结合使用，效果俱佳。

2.防火墙对个人计算机也很重要，自Windows10，Windows11，Windows Server 2016及更高级的版本配备了Windows Defender高级防火墙，足以满足个人需求，只要你不关闭Windows Defender高级防火墙，就能享受Windows Defender高级防火墙带来的幸福感。

3.以上三篇文章讲的比较零散和理论，仔细看完这三篇对window防火墙应该有了大致的概念，下一篇将深入讲解具体实施，感谢支持 :) :) :)