二是针对端口来设置防火墙策略。其实这是第一种情况的衍生品。在应用程序部署过程中或者部署完成后,安全管理员可以在防火墙上打开或者关闭某个端口。如在IIS应用程序的端口中,其会默认打开几个需要用到的端口。但是管理员可能出于某种特殊的需要,如为了提高安全性,会改变某些协议如HTTP或者FTP 协议的默认端口。如果采用了默认端口的话,则攻击者通过扫描工具就可以了解某台应用服务器开启了哪些服务。即攻击者可以轻而易举的了解到攻击所需要的信息。而改变系统相关服务的默认端口,那么端口扫描工具就会失去其应有的作用。这也可以在很大程度上提高IIS应用服务器的安全型。不过这也会带来一个弊端。如对于FTP或者HTTP常用的服务,改变了其端口的话,则在访问时可能需要带上端口参数。为此只有在对于安全比较严格的场合,或者比较专业的环境中才会改变服务的默认端口。通常情况下,是不建议改变这些信息的。因为对于普通用户来说,让他们通过浏览器来访问服务器,在地址后面还需要加上一个端口号,现在要求有点高。所以改变默认端口的防火墙策略,通常只有在特定的场合中采使用。我们针对端口来进行防火墙策略的调整,主要是用来开启或者关闭某个端口。或者改变一些管理所需要的服务的端口,如SSH等等。这些管理所需要用到的服务,其涉及的范围比较少,有可能只有管理员一个人使用。再者其往往具有比较大的权限,故需要对这些服务给与特殊的照顾。为此在部署这些服务的时候,可以在安装向导中更改其所使用的默认端口。
三是可以选择预先定义的规则。如现在需要在一个IIS服务器上同时实现网站、邮件、FTP、OA办公自动化系统等应用。其中可能只有网站与FTP采用了微软的产品。而邮件与OA办公自动化软件采用的是第三方的产品。在安装过程中,只有微软的产品防火墙才会自动使用默认的规则。这就是应用服务与防火墙整合的好处。而如果采用的是第三方的产品,则微软的防火墙就不会自动谁别,从而也就不会自动套用系统默认的规则。此时管理员也不需要一个个端口或者服务的进行配置。而可以直接选择已有的策略进行配置。在系统中内置了很多预定义的规则,如FTP、BITS等等。只要选择了这些对象规则,则防火墙就会自动启用某些服务与端口。因为不同的应用服务,如FTP、邮件等等,虽然其提供商是不同的。但是往往其所需要的服务与端口都是相同的。故可以采用内置的预定义规则来简化配置。
三、IIS、防火墙、其他安全技术结合使用
在Windows2008、IIS7.0应用环境中,自带的系统防火墙不再只是一个替代品。它已经切切实实的成为了提高IIS7服务器安全的一大帮手。在实际工作中,除了防火墙之外,我们管理员还会采用其他的一些安全手段,与这些产品进行整合,从而构建一个立体的防御体系。如防火墙策略其主要作用在应用层。而在IIS中实现IPSec安全策略的话,也可以从传输层来提高IIS应用服务的安全性。也就是说,新增加的基于作用域、配置文件、IPSec状态等因素自定义规则的能力可以进一步似的服务器操作系统集成具有更高程度的安全性。或许在不久的将来,基于微软操作系统的IIS应用服务,不需要第三方的安全产品,也能够在很大程度上满足企业用户的安全需求。
在以前的产品中,微软在这方面做的并不是很好。不过在2008以及IIS7.0之后,在安全方面有了长足的进步,真正实现了安全与性能兼顾、攻守兼备的安全防御体系。在这个安全体系中,Windows防火墙其功不可没。