Общие сведения о брандмауэре Windows в режиме повышенной безопасности.
Применимо к:Windows Server 2012 R2, Windows Server 2012, Windows 8
В данном разделе представлен обзор Брандмауэр Windows в режиме повышенной безопасности (WFAS) и компонентов IPsec в Windows Server 2012.
Возможно, вы имели в виду...
Описание компонента
Брандмауэр Windows в режиме повышенной безопасности — это важная часть многоуровневой модели безопасности. Предоставляя централизованную двунаправленную фильтрацию сетевого трафика, Брандмауэр Windows в режиме повышенной безопасности блокирует неразрешенный входящий и исходящий сетевой трафик на локальном компьютере.Брандмауэр Windows в режиме повышенной безопасности также работает со службой сведений о подключенных сетях и поэтому может применять настройки безопасности в зависимости от типа сети, к которой подключен компьютер. Параметры конфигурации брандмауэра Windows и IPsec интегрированы в единую консоль Microsoft Management Console (MMC) под названием Брандмауэр Windows в режиме повышенной безопасности, поэтому брандмауэр Windows также стал важной частью стратегии сетевой изоляции.
Практическое применение
Чтобы решить проблему сетевой безопасности в вашей организации, Брандмауэр Windows в режиме повышенной безопасности обладает следующими преимуществами:
Уменьшение риска угроз безопасности сети. Брандмауэр Windows в режиме повышенной безопасности снижает уязвимость компьютера, обеспечивая дополнительный уровень в модели глубокой обороны. Чем менее уязвим компьютер, тем лучше его управляемость и ниже вероятность успешных атак. Функция защиты доступа к сети (NAP) в Windows Server 2012 также обеспечивает соблюдение на клиентских компьютерах политик, определяющих необходимое программное обеспечение и конфигурации системы. Интегрированная защита доступа к сети предотвращает соединения между отвечающими и не отвечающими требованиям компьютерами.
Защищает конфиденциальные данные и интеллектуальную собственность. При интеграции с IPsec Брандмауэр Windows в режиме повышенной безопасности предлагает простой способ создания сквозных сетевых подключений с проверкой подлинности. Предоставляется также масштабируемый послойный доступ к доверенным сетевым ресурсам, помогающий обеспечить целостность и конфиденциальность данных.
Повышает прибыльность капитальных вложений. Поскольку Брандмауэр Windows в режиме повышенной безопасности является централизованным брандмауэром, который входит в Windows Server 2012 и предыдущие операционные системы Windows, а также интегрирован с доменными службами Active Directory® (AD DS) и групповой политикой, дополнительное аппаратное или программное обеспечение не требуется.Брандмауэр Windows в режиме повышенной безопасности также дополняет существующие решения для сетевой безопасности от сторонних разработчиков посредством программного интерфейса (API) с подробной документацией.
Новые и измененные функции
В следующей таблице перечислены некоторые новые возможности для Брандмауэр Windows в режиме повышенной безопасности в Windows Server 2012.
Компонент или функция |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
Протокол IKE версия 2 (IKEv2) для транспортного режима IPsec |
X |
|
Сетевая изоляция приложений из Магазина Windows |
X |
|
Командлеты Windows PowerShell для брандмауэра Windows |
X |
IKEv2 для транспортного режима IPsec
В Windows Server 2012 IKEv2 поддерживает дополнительные сценарии, включая подключения "узел-узел" транспортного режима IPsec.
Какой эффект дает это изменение?
Поддержка Windows Server 2012 IKEv2 обеспечивает взаимодействие Windows с другими операционными системами посредством IKEv2 для защиты подключения между узлами, а также соответствует требованиям стандарта Suite B (RFC 4869).
Что работает иначе?
В Windows Server 2008 R2 IKEv2 доступен в качестве туннельного протокола виртуальной частной сети (VPN), который поддерживает автоматическое переподключение VPN. IKEv2 поддерживает сопоставление безопасности на постоянном уровне независимо от изменений в базовом подключении.
В Windows Server 2012 поддержка IKEv2 была расширена.
Сетевая изоляция приложений из Магазина Windows
Если администраторы хотят иметь расширенный контроль над приложениями из Магазина Windows, то они могут настроить доступ к сети в брандмауэре Windows.
Какой эффект дает это изменение?
Компонент позволяет устанавливать и поддерживать границы сети, гарантируя, что ненадежные приложения смогут подключаться только к тем сетям, в которые им явно разрешен доступ. Это значительно уменьшает область их влияния на другие приложения, систему и сеть. Кроме того, приложения могут быть изолированы и защищены от вредоносного доступа из сети.
Что работает иначе?
Правила брандмауэра можно задавать не только для программ и служб, но и для приложений из Магазина Windows и их различных возможностей.
Командлеты Windows PowerShell для брандмауэра Windows
Windows PowerShell имеет обширный набор командлетов для настройки брандмауэра Windows и управления им.
Какой эффект дает это изменение?
Вы можете полностью настраивать брандмауэр Windows, IPsec и соответствующие компоненты, а также управлять ими с помощью очень мощного Windows PowerShell с поддержкой сценариев.
Что работает иначе?
В предыдущих версиях Windows для выполнения многих функций настройки и управления можно было использовать Netsh. Данная возможность была значительно расширена посредством более мощного скриптового языка Windows PowerShell.
См. также:
Дополнительные сведения о Брандмауэр Windows в режиме повышенной безопасности в Windows Server 2012 см. в следующих разделах.