Защита устройств от нежелательного сетевого трафика

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Хотя брандмауэры периметра сети обеспечивают важную защиту сетевых ресурсов от внешних угроз, существуют сетевые угрозы, от которые брандмауэр периметра не может защититься. Некоторые атаки могут успешно проникать в брандмауэр периметра, и на этом этапе что может остановить его? Другие атаки могут происходить из сети, например вредоносных программ, которые завозят на портативном носите и запускают на надежном устройстве. Портативное устройство часто за пределы сети и подключено непосредственно к Интернету без надлежащей защиты между устройством и угрозами безопасности.

Сообщения о целенаправленных атаках на организации, правительства и отдельных лиц стали более распространенными в последние годы. Общий обзор этих угроз, также известных как расширенные постоянные угрозы (APT), см. в портал для обнаружения угроз (Microsoft) Report.

Запуск брандмауэра на основе хостов на каждом устройстве, которое управляет ваша организация, является важным слоем в стратегии безопасности с "глубокой защитой". Брандмауэр на основе хостов может защититься от атак, исходящей из сети, а также обеспечить дополнительную защиту от атак из-за пределов сети, которые могут проникать в брандмауэр периметра. Он также путешествует с портативным устройством, чтобы обеспечить защиту, когда оно находится вдали от сети организации.

Брандмауэр на основе хост-сайта помогает обеспечить безопасность устройства, отбросив весь сетевой трафик, который не совпадает с установленным администратором правилом для разрешенного сетевого трафика. Этот дизайн, соответствующий основному дизайнуполитики брандмауэра, предоставляет следующие преимущества:

  • Сетевой трафик, который является ответом на запрос с локального устройства, разрешен в устройство из сети.

  • Сетевой трафик, который не является нежелательным, но соответствует правилу разрешенного сетевого трафика, разрешен в устройство из сети.

    Например, Банк Woodgrove хочет, чтобы SQL Server устройство, которое SQL, отправленное ему с помощью клиентских устройств. Политика брандмауэра, развернутая на устройстве с SQL Server, включает правила брандмауэра, которые специально позволяют входящий сетевой трафик для SQL Server программы.

  • Исходящие сетевые трафикы, не заблокированные специально, разрешены в сети.

    Например, Банк Woodgrove имеет корпоративную политику, которая запрещает использование определенных одноранговых программ общего доступа к файлам. Политика брандмауэра, развернутая на компьютерах в сети, включает правила брандмауэра, которые блокируют как входящий, так и исходящие сетевые трафики для запрещенных программ. Все остальные исходящие потоки разрешены.

Для этой цели развертывания рекомендуется использовать следующий компонент:

  • Active Directory. Active Directory поддерживает централизованное управление правилами безопасности подключения, настраивая правила в одном или несколько объектах групповой политики (GPOs), которые могут автоматически применяться ко всем соответствующим компьютерам в домене.

Доступны другие средства развертывания политики брандмауэра, например создание скриптов с использованием средства командной строки netsh, а затем запуск этих скриптов на каждом компьютере организации. Это руководство использует Active Directory в качестве рекомендуемого средства развертывания из-за его способности масштабироваться до очень крупных организаций.

Далее: Ограничение доступа только к доверенным устройствам