Планирование брандмауэра Защитник Windows с помощью advanced Security Design

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

После сбора соответствующих сведений в предыдущих разделах и понимания основ конструкций, описанных ранее в этом руководстве, можно выбрать дизайн (или сочетание проектов), которые соответствуют вашим потребностям.

Базовый дизайн брандмауэра

Рекомендуется развернуть по крайней мере базовый проект брандмауэра. Как было рассмотрено в разделе Защита устройств от нежелательного сетевого трафика, брандмауэры на основе хостов являются важным элементом в глубокой стратегии защиты и дополняют большинство других мер безопасности, принятых в организации.

Когда вы будете готовы изучить параметры параметров политики брандмауэра, Параметры разделе Планирование политики брандмауэра.

Поддержка и выбор алгоритма и метода

Чтобы создать дизайн изоляции домена или сервера, необходимо понимать алгоритмы, доступные в каждой версии Windows, а также их относительные сильные стороны.

Соображения производительности IPsec

Несмотря на то, что IPsec имеет решающее значение для обеспечения безопасности сетевого трафика на устройствах и с их помощью, существуют затраты, связанные с его использованием. Для математически интенсивных криптографических алгоритмов требуется значительное количество вычислительной мощности, что может помешать устройству использовать всю доступную пропускную способность. Например, устройство с поддержкой IPsec с протоколами шифрования AES на сетевой ссылке 10 гигабит в секунду может видеть пропускную способность 4,5 Гбит/с. Это сокращение обусловлено требованиями, которые наложены на ЦП для выполнения криптографических функций, необходимых алгоритмами целостности и шифрования IPsec.

Разгрузка задач IPsec — это технология Windows, которая поддерживает сетевые адаптеры, оборудованные выделенными криптографическими процессорами для выполнения вычислительно-интенсивной работы, требуемой IPsec. Эта конфигурация позволяет освободить ЦП устройства и значительно увеличить пропускную способность сети. Для той же сетевой ссылки, что и выше, пропускная способность с включенной загрузкой задач IPsec повышается до 9,2 Гбит/с.

Проектирование изоляции домена

Включите этот проект в планы:

  • Если у вас есть домен Active Directory, большинство из которых являются участниками.

  • Если вы хотите запретить устройствам в организации принимать нежелательный сетевой трафик с устройств, которые не являются частью домена.

Если вы планируете включить в развертывание базовый проект брандмауэра, рекомендуется сначала развернуть политики брандмауэра, чтобы подтвердить, что они работают должным образом. Кроме того, запланируйте сначала включить правила безопасности подключения в режиме запроса, а не более строгий режим, пока вы не убедитесь, что все устройства правильно защищают сетевой трафик с помощью IPsec. Если что-то не так, режим запроса по-прежнему позволяет поддерживать связь во время устранения неполадок.

Когда вы готовы изучить варианты создания изолированного домена, см. в разделе Планирование зон изоляции домена.

Проектирование изоляции сервера

Включите этот проект в планы:

  • Если у вас есть изолированный домен и вы хотите дополнительно ограничить доступ к определенным серверам только уполномоченным пользователям и устройствам.

  • Вы не развертывание изолированного домена, но хотите воспользоваться аналогичными преимуществами для нескольких определенных серверов. Доступ к изолированным серверам можно ограничить только уполномоченным пользователям и устройствам.

Если планируется включить изоляцию домена в развертывание, рекомендуется завершить этот уровень и подтвердить его правильную работу перед реализацией дополнительных элементов изоляции сервера.

Когда вы будете готовы изучить варианты изоляции серверов, см. в разделе Зоны изоляции серверов планирования.

Проектирование проверки подлинности на основе сертификатов

Включите этот проект в планы:

  • Если вы хотите реализовать некоторые элементы изоляции домена или сервера на устройствах, которые не присоединились к домену Active Directory или не хотят использовать членство в домене в качестве механизма проверки подлинности.

  • У вас есть изолированный домен, и вы хотите включить сервер, который не является членом домена Active Directory, так как устройство не работает Windows или по какой-либо другой причине.

  • Необходимо включить внешние устройства, которыми не управляет организация, доступ к данным на одном из серверов, и это необходимо сделать безопасным способом.

Если вы планируете включить изолированность домена или сервера в развертывание, мы рекомендуем завершить эти элементы и подтвердить их правильную работу, прежде чем добавить проверку подлинности на основе сертификатов на устройства, которые этого требуют.

Когда вы будете готовы изучить варианты использования проверки подлинности на основе сертификатов, см. в разделе Проверка подлинности на основе сертификата планирования.

Документировать дизайн

После выбора проектов, которые вы будете использовать, необходимо назначить каждое устройство в соответствующую зону изоляции и за документировать назначение для использования командой развертывания.

Проектирование групп и GPOs

После выбора дизайна и присвоения устройств зонам можно приступить к разработке групп изоляции для каждой зоны, групп сетевого доступа для изолированного доступа к серверу и GPOs, которые будут применяться для применения параметров и правил на устройствах.

Когда вы будете готовы изучить параметры групп, фильтров и GPOs, см. в разделе Развертывание групповой политики планирования для зон изоляции.

Далее: планирование Параметры для базовой политики брандмауэра