|
|
Начиная с 1983 года, когда протокол TCP/IP полностью заменил своего предшественника – NCP, объединив
компьютеры в разных учреждениях и странах, в тот момент, только зарождавшуюся сеть Интернет,
встал вопрос о защите сети. Это стал одним из наиважнейших вопросов для IT специалистов,
таковым он является и на сей день. Сетевые администраторы должны установить и проверять соблюдение
политик безопасности, которые должны обеспечивать надежную защиту и в то же время, должны быть
достаточно гибкими для учета потребностей растущего числа внутренних и внешних пользователей,
устройств, конфигураций системы, сети и типов подключения. В дополнение к ряду усовершенствований в
Active Directory, которые помогут сделать управление доступом более эффективным, Windows Server 2008
включает в себя несколько дополнительных мер безопасности и политик улучшения:
Сетевая политика и услуги доступа к сети
Сетевая политика и услуги доступа в Windows Server 2008 обеспечивают разнообразные методы, помогающие
в предоставлении пользователям безопасных сетевых подключений как локальных, так и удаленных;
соединять сегменты сети и позволяют администраторам централизованно управлять сетевым доступом и
клиентской политикой безопасности. В Network Access Services, Вы можете более надежно развернуть
виртуальные частные сети (VPN) серверов, dial-up серверы, маршрутизаторы, защищенные точки 802.1X
(беспроводной доступ). Вы также можете разместить RADIUS серверы, прокси, и использовать Connection
Manager Administration Kit для создания профилей удаленного доступа, которые позволяют клиентским
компьютерам безопасно подключаться к сети.
Сетевые политики и сервисы доступа в Windows Server 2008 обеспечивают следующие сетевые решения:
-Защита сетевого доступа.
Или иначе, Network Access Protection (NAP). NAP является новым клиентом политики безопасности и
сохранности. Он занимается созданием, деятельностью, и восстановительными технологиями, который
доступен для операционных систем Windows XP, Windows Vista и Windows Server 2008. С помощью NAP,
администраторы могут создавать и автоматически применять политики в области безопасности, которые
могут включать в себя требования безопасности и обновления требований для программного обеспечения,
набор необходимых конфигураций компьютера и другие настройки.
-Высоко защищенный проводной и беспроводной доступ. При развертывании беспроводных точек
доступа 802.1X, чтобы обеспечить высшую степень надежности беспроводного доступа мобильных пользователей
с повышенной безопасностью, используется метод аутентификации, на основе пароля. При развертывании
аутентификации 802.1X, проводной доступ поможет вам защитить сеть путем обеспечения внутренней
аутентификации пользователей, прежде чем они смогут подключаться к сети или получить IP-адрес с помощью DHCP.
-Удаленный доступ (RAS). С помощью RAS можно предоставить доступ к сети вашей организации,
пользователям VPN и традиционного коммутируемого доступа. Вы также можете подключить филиалы к сети
с помощью VPN решений, развернуть полную версию программного обеспечения маршрутизаторов в вашей сети,
разрешить подключения к Интернету пользователей Интранет.
-Центральное управление сетевой политикой с RADIUS Сервера и прокси. Вместо того, чтобы
конфигурировать политики сетевого доступа на каждом сетевом сервере доступа, таких как беспроводные точки
доступа, 802.1X коммутаторы, VPN-сервера и dial-up сервера, вы можете создать в одном месте политику,
которая определит все аспекты сетевого соединения, в том числе определение кому разрешено связываться друг
с другом, когда они смогут связываться друг с другом, и уровень безопасности, который они должны
использовать для подключения к сети.
Защита сетевого доступа.
Количество клиентских устройств подверженных заражению вредоносными программами, такими как вирусы и
черви, продолжает расти. Эти программы могут получить доступ к неохраняемым или неправильно настроенным
системам, а затем использовать эту систему в момент подключения этих устройств, в том числе и портативных,
для распространения на другие устройства и на всю корпоративную сеть. Сетевые администраторы имеют новую
платформу для защиты от этой угрозы - Network Access Protection (NAP) от Microsoft, новый набор
компонентов операционной системы, включенный в Windows Server 2008 и Windows Vista, который обеспечит
уверенностью сетевых администраторов, что подключаемые к корпоративной сети клиентские компьютеры
отвечают определенным требованиям системы безопасности.
Брандмауэр Windows с повешенной безопасностью.
Начиная с Windows Vista и Windows Server 2008, Windows Firewall и безопасность Интернет - протокола IPsec,
объединяются в единый инструмент, Windows Firewall с расширенными возможностями безопасности MMC snap-in.
По умолчанию, Windows Firewall с расширенными возможностями безопасности объединяет и усиливает две функции,
которые ранее управлялись отдельно:
- Фильтрация всех IP версии 4 (IPv4) и IP версии 6 (IPv6) входящего или исходящего трафика системы.
По умолчанию, весь входящий трафик блокируется, если он не ответ на предыдущий исходящий запрос от
компьютера или, если это специальное правило созданное, чтобы разрешить такой трафик. По умолчанию
весь исходящий трафик, допускается, за исключением случаев, когда ужесточается определенное правило.
- Можно разрешить трафик на основе номера порта, IPv4 или IPv6-адреса, путь и имя приложения, имя службы,
которая работает на компьютере, или по другим критериям.
- Защита сетевого входящего или исходящего трафика, используя протокол IPsec для проверки целостности
сетевого трафика, для идентификации отправляющего или принимающего информацию компьютера или пользователя,
а также дополнительно шифруется трафик для обеспечения конфиденциальности.
В предыдущих версиях Windows, внедрения сервера или домена изоляции иногда требовало создание
большого количества правил IPsec, чтобы убедиться, что требуемый сетевой трафик был защищен.
Эта сложность исправлена в Windows Server 2008, по умолчанию используется новое поведение, которое
приводит к более безопасным передачам трафика и легче для диагностики окружающей сетевой среды.
|
|
|
