防火墙与ipsec的功能改进-microsoft.pptVIP

TechNet TNT1-16 Windows Vista網路架構、防火牆與 IPSec 的功能改進 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT BS7799/ISO27001 Lead Auditor 預備知識 熟悉群組原則的使用與管理 TCP/IP網路管理 講題大綱 網路架構的新變動 Windows Firewall的使用 IPSec的使用 網域與伺服器隔離(Isolation) 新功能簡表 QoS Policies的情境 QoS Policy的使用 使用Differentiated Service Code Point(DSCP)值來控制(RFC 2474) Default: 0 (Best Effort) Example: Backup :10 (low) Server Apps :26(Medium) VoIP :46 (High) 指定 Throttle Rate Example: HTTP 512Kbps Windows filtering platform 系列APIs提供3rd-party產品在不同layers可以進行過濾機制 提供下一世代的過濾特性 Authenticated communication Dynamic firewall configuration based on WinSock calls Windows Firewall and IPsec的基礎 與加密網路流共同運作 e.g., RPC WFP架構 講題大綱 網路架構的新變動 Windows Firewall的使用 IPSec的使用 網域與伺服器隔離(Isolation) 網路封包過濾 功能比較 架構的改善 程式介面的呼叫是同步的 如果程式呼叫回傳成功，規則保證會被套用 原則變動的稽核會顯示使用者資訊 ACLs設定在服務的API呼叫中 不再有登錄檔的 ACLs 不再有權限的擴展 原則的設定是漸增的 設定方式 控制台(Control panel)：類似Windows XP 新的MMC介面來提供更多的控制 “Windows Firewall with Advanced Security” snap-in 事先定義在管理工具集的主控台 能夠遠端設定 整合並簡化 IPsec 設定 新的命令列指令 netsh advfirewall 彈性的例外設定 Network Location 自動偵測網路的變動 Network profile service在連結時建立設定檔 Interfaces, DC, authenticated machine, gateway MAC, … NPS在網路變動時會通知防火牆 防火牆在 200ms 內變更 Location 設定 未加入網域時，只有 public 或 private 兩種選擇 本機管理員才能定義私人網路的條件情形 多網路介面的情形判斷 設定 Profile 允許本機管理員建立規則 當 inbound 連線被阻隔時會出現通知訊息 規則種類 Windows Firewall with Advanced Security 防火牆規則 DO Action = {By-pass | Allow | Block} IF: Protocol = X AND Direction = {In | Out} AND Local TCP/UDP port is in {Port list} AND Remote TCP/UDP port is in {Port list} AND ICMP type code is in {ICMP type-code list} AND Interface NIC is in {Interface ID list} AND Interface type is in {Interface types list} AND Local address is found in {Address list} AND Remote address is found in {Address list} AND Application = Path AND Service SID = Service Short Name AND Require authentication = {TRUE | FALSE} AND Require e