O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 2: Windows-Firewall mit erweiterter Sicherheit 181
Weitere Informationen NLA
Weitere Informationen über Network Location Awareness (NLA) finden Sie in dem Tech-
Net-Artikel http://technet.microsoft.com/de-de/library/cc753545.aspx.
Konfigurieren von WFAS-Regeln
Windows-Firewall mit erweiterter Sicherheit (WFAS, Windows-Firewall with Advanced Se-
curity) ermöglicht Ihnen die Konfiguration von Firewallregeln, die auf der Basis des aktiven
Netzwerkprofils (Domäne, Öffentlich oder Privat) wirksam werden. Außerdem wird berück-
sichtigt, ob die Verbindung über eine sichere Netzwerkschnittstelle erfolgt. Sie können auch
Firewallregeln auf der Basis eines Protokolls, Ports, der Quell- und der Ziel-IP-Adresse kon-
figurieren und Regeln für bestimmte Benutzer- und Computerkonten festlegen. Die WFAS-
Konsole kann Firewallkonfigurationen importieren und exportieren. Das kann sich als sehr
nützlich erweisen, wenn Sie für die Verwaltung einer großen Anzahl eigenständiger Win-
dows Server 2008-Computer zuständig sind und häufig dieselbe WFAS-Konfiguration ein-
stellen müssen.
Konfigurieren eingehender Regeln
Eingehende Regeln lassen eine bestimmte Art von Datenverkehr zu, die von der Regel fest-
gelegt wird. Wenn die Firewall ein eingehendes Datenpaket untersucht, überprüft sie es an-
hand der Liste der eingehenden Regeln. Passt das Paket zu einer dieser eingehenden Regeln,
wird es so bearbeitet, wie die Regel es festlegt. Passt es zu keiner eingehenden Regel, wird
es verworfen. Windows Server 2008 aktiviert automatisch die passenden eingehenden Re-
geln, wenn Sie eine Rolle oder ein Feature installieren oder aktivieren, das eingehende Ver-
bindungen erfordert. Wenn Sie beispielsweise die Rolle Webserver (IIS) aktivieren, wird
WFAS automatisch so konfiguriert, dass sie eingehenden HTTP-Datenverkehr auf Port 80
und eingehenden HTTPS-Datenverkehr auf Port 443 zulässt. Windows Server 2008 wird mit
einer Reihe von vorkonfigurierten eingehenden Regeln ausgeliefert. Mit dem Assistenten für
neue eingehende Regel können Sie auch eigene erstellen.
Auf der ersten Seite des Assistenten für neue eingehende Regel (Abbildung 4.13) wählen Sie
die Art der Regel, die Sie erstellen möchten. Zur Wahl stehen die Typen Programm, Port,
Vordefiniert und Benutzerdefiniert. Die Liste der vordefinierten Regeln ist umfangreich und
deckt
praktisch jede Art von Feature oder Rollendienst ab, den Sie auf einem Windows Server
2008-Computer installieren können. Benutzerdefinierte Regeln ermöglichen es, alle Aspekte
einer Regel festzulegen. Außerdem können Sie Programme und Ports ebenso hinzufügen
wie IP-Adressbereiche. Wenn Sie Verbindungen sperren möchten, die auf einem bestimmten
Port mit einem bestimmten Programm auf bestimmten Computern (entsprechend einem be-
stimmten Bereich von IP-Adressen) erfolgen, können Sie eine benutzerdefinierte Regel
erstellen. Es ist übrigens nicht erforderlich, sowohl ein Programm als auch einen Port an-
zugeben, weil sich ein einzelner Port nur an ein einziges Programm oder einen einzigen
Dienst binden lässt. Wenn Sie eine Regel für einen bestimmten Dienst erstellen möchten,
also nicht für ein Programm, müssen Sie eine benutzerdefinierte Regel erstellen. Im weite-
ren Verlauf dieser Lektion wird noch beschrieben, wie man für Firewallregeln IP-Adress-
bereiche festlegt.
182 Kapitel 4: Netzwerkzugriffssicherheit
Abbildung 4.13 Der Assistent für neue eingehende Regel
Wenn Sie eine Regel für ein Programm erstellen möchten, müssen Sie den Pfad angeben,
unter dem das Programm auf dem Server zu finden ist. Falls mehrere Versionen des Pro-
gramms auf dem Server installiert sind, müssen Sie für jeden Speicherort eine separate Pro-
grammregel erstellen. Wenn Sie eine Portregel erstellen, müssen Sie angeben, ob die Regel
für TCP- oder UDP-Verbindungen gilt und für welche Ports. Dabei können Sie auch mehrere
Ports angeben, wobei die nächste Portangabe jeweils durch ein Komma von der vorherigen
getrennt wird. In einer der Übungen am Ende dieser Lektion erstellen Sie eine eingehende
Regel.
Portnummern
Wenn Sie die Prüfungen zum MCSA oder zum MCSE abgelegt haben, wissen Sie wahr-
scheinlich, welche TCP-Ports von den gebräuchlichsten Netzwerkprotokollen verwendet
werden. Merken Sie sich, falls Sie einige vergessen haben, dass FTP die Ports 20 und 21
verwendet, SSH den Port 22, Telnet den Port 23, SMTP den Port 25, DNS den Port 53,
HTTP den Port 80, Kerberos den Port 88, POP3 den Port 110, IMAP den Port 143, LDAP
den Port 389 und HTTPS den Port 443. Eine Liste aller registrierten Portnummern finden
Sie unter http://www.iana.org/assignments/port-numbers.
Auf der Seite Aktion des Assistenten für neue eingehende Regel können Sie angeben, wie
WFAS reagieren soll, wenn der Datenverkehr zur Regel passt. Wie Abbildung 4.14 zeigt,
haben Sie die Wahl, die Verbindung zu blocken, die Verbindung zuzulassen oder die Verbin-
dung zuzulassen, wenn sie sicher ist. Die Zulassung einer Verbindung ist einfach. Wenn der
Datenverkehr zur Regel passt, kann er WFAS durchlaufen. Wenn Sie die Option Verbindung
zulassen, wenn sie sicher ist wählen, wird eine weitere Seite zum Assistenten hinzugefügt,

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required