# » course » networking-advanced » WindowsServer.08

Zapora sieciowa w systemie Windows Server

Zapora sieciowa (ang. firewall – ściana przeciwogniowa) to jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.

Ponieważ wyłączenie całkowite zapory sieciowej jest wysoce niezalecane, konieczne będzie skonfigurowanie jej tak, aby przepuszczała odpowiednie żądania do serwera.

Windows Server obsługuje trzy profile: domenowy, publiczny oraz prywatny. Profil zapory jest ściśle związany z typem połączenia sieciowego serwera. Jeśli serwer należy do domeny Active Directory, automatycznie przypisywany jest profil domenowy. W wypadku komputerów niepracujących w domenie decyzja o implementacji profilu jest podejmowana na podstawie wskazanego systemowi typu sieci. Określamy go, korzystając z opcji Network and Sharing Centrer (Centrum sieci i udostępniania) w Panelu sterowania i wybierając skrót Customize. Głównym celem stosowania profili jest możliwość zróżnicowania ustawień zapory podczas komunikacji z sieciami o innych poziomach bezpieczeństwa.

Profil Public powinien zawierać bardzo restrykcyjne ustawienia. Jeśli system pracuje w sieci lokalnej, która jest chroniona inną zaporą, np. sprzętową, można obniżyć poziom zabezpieczenia serwera i skonfigurować profil Private.

Domyślnym ustawieniem zapory systemowej jest stan włączona i blokowanie wszystkich połączeń przychodzących z pewnymi wyjątkami. Wyjątki tworzone są często automatycznie podczas instalacji usług.

A. Konfiguracja zapory sieciowej dla ICMP (ping)

Domyślnie zapora systemu Windows Server blokuje odpowiedź na ping. Aby zmienić ten stan należy:

1. Przejść do ustawień zapory systemowej Panel sterowania -> System i zabezpieczenia -> Zapora systemu Windows
2. Uruchomić zaporę systemu jeśli była wyłączona.
3. Sprawdzić łączność klienta z serwerem i odwrotnie za pomocą ping'a i zapamiętujemy wynik.
4. Następnie w ustawieniach zaawansowanych zapory zmieniamy reguły:
   • W opcjach reguł przychodzących odszukujemy i włączamy regułę Udostępnianie plików i drukarek (żądanie echa - ruch przychodząca ICMPv4) lub File and Printer Sharing (Echo Request - ICMPv4-In)
   • W opcjach reguł wychodzących odszukujemy i włączamy regułę Udostępnianie plików i drukarek (żądanie echa - ruch wychodzące ICMPv4)
5. Po zastosowaniu zmian na kliencie i na serwerze można przetestować połączenie poleceniem ping:

   ping AdresIpSerwera

Jeśli potrzebujemy reguł dla IPv6 to też możemy je włączyć.

B. Konfiguracja zapory sieciowej dla http (www)

Tworzenie reguł

Aby utworzyć lub zarządzać regułami, musisz przejść do folderu Inbound Rules lub Outboud Rules. Tworzenie reguły należy rozpocząć od zaznaczenia folderu Inbound Rules lub Outbound Rules i wybrania z menu Action polecenia New Rule. System wyświetli okno dialogowe związane z typem filtrowanych treści. Do wyboru otrzymasz możliwości: blokowania programów, portów, wykorzystania gotowych reguł oraz utworzenia niestandardowego filtru komunikacji. Dalsze działanie kreatora zależy od zaznaczonej opcji. Jeśli wybierzesz Program, musisz wskazać nazwę aplikacji, reakcję na próbę połączenia z nią, powiązanie z profilem oraz nazwę. Po wybraniu opcji Port system pyta o numer i typ protokołu (TCP lub UDP). Najwięcej możliwości oferuje zaznaczenie pola Custom. Niestandardowa konfiguracja pozwala na jawne wskazanie typu i numeru protokołu, numerów portów lokalnych i zdalnych oraz zakresu sieci, w której reguła ma być aktywna. Pamiętaj, że utworzony filtr jest automatycznie aktywowany. Dezaktywacja następuje po zaznaczeniu reguły i wybraniu opcji Disable Rule w sekcji Actions.

Zmiana reguł

Zmiana parametrów utworzonych reguł zapory jest bardzo prosta. Po zaznaczeniu wybranego obiektu listy Inbound Rules przejdź do menu Action i kliknij polecenie Properties. W oknie właściwości system wyświetla sześć kart konfiguracyjnych, obejmujących zaawansowane ustawienia filtru.

Użycie konsoli

Ustawienia Zapory można również modyfikować poprzez linię poleceń, Np.:

netsh firewall set icmpsetting 8

Do wykonania poleceń wymagane są uprawnienia Administratora.