Как защитить доступ в Интернет средствами Windows, если сервер в домене
 

В домене единственный контроллер на W2K8 Ent x64, обеспечивающий также общий доступ к Интернету с помощью RRAS через NAT.
Задача - защитить сервер и локальную сеть от вторжений из Интернета, обмен сервера с локальной сетью не ограничивать.
В 2K3 я не включал бы Windows Firewall, а на RRAS в NAT включил бы Basic Firewall для интернет-интерфейсов.
В 2K8 Basic Firewall из RRAS был убран, Windows Firewall нельзя отключить для конкретного интерфейса, а активным может быть только один профиль, в моем случае - доменная сеть (domain profile), и все правила профиля применяются ко всем интерфейсам.

Иного варианта, кроме как в профиле отредактировать те правила для входящего трафика, по которым хочу разрешить обмен только с локальной сетью, прописав в них IP-адреса, с которых разрешены подключения (например, 10.0.0.0/24) и использовать RRAS-фильтры для защиты локальной сети, не вижу.

Получается гораздо сложнее, чем в w2k3, а такого быть не должно, т.к. это более новая ОС и, как правило, у новых версий всё проще и лучше. Какие более оптимальные варианты решения задачи ещё есть?

P.S.
ISA Server 2006 не предлагать, он не ставится на Windows Server 2008 :)
Kerio Winroute Firewall также не подходит: в нём нет поддержки IPv6, он мне нужен
Также интересны варианты другого ПО для маршрутизации и/или защиты

TMG Beta 2 :)

Что-то меня Ваш смайл смущает. О чем он нам говорит? :)
Пока Beta, ставить в эксплуатацию не буду.

Ни о чем. Настроение хорошее.
Но это в любом случае лучше, чем придумывать способы обхода. TMG имеет весь функционал ISA, плюс много всяких плюсов. Например Source Routing, ISP Redudance. Т.к. уже вышла RTM-версия для MBE (кстати, вы можете поставить ее), то бета не такая уж и бета. Почти готовый продукт. Почитайте блог Артема Синицына. Там неплохо описан продукт, много ссылок на дополнительные ресурсы.

Речь не о способах обхода, а о способах правильного решения задачи. В первую очередь, средствами Windows. Server 2008 - не детская игрушка, а серьезный серверный продукт уровня enterprise. В нём есть firewall, есть router - этого достаточно для базового уровня защиты. Только вот я не уверен, что предложенный мною вариант их настройки вместе самый оптимальный, в первую очередь из-за неоходимости правки множества правил.

Большое спасибо за то, что обратили моё внимание на TMG. ISA для W2K8 :). Пока не хочется с ней связываться, потому что она стоит денег, в ней надо будет долго разбираться и не факт, что у меня получится её удалить (не везет мне при удалении экземпляров SQL...)

Isotonic, Forefront Threat Management Gateway Версия: 6.0.6417.100 MBE, работает с 14-го декабря, именно на w2k8, особых проблем не наблюдается, хотя перед установкой сделай бекап системы, всё-таки beta

Да верю я вам, верю :)
Мне не хочется вообще всё усложнять, т.к. ещё убежден, что всё можно решить средствами Windows и забыть.

Security Configuration Wizard + Security Templates Вам в помощь :)

Oleg Krylov, пожалуйста, дайте более детальный ответ в стиле "How to ..."
На свой пост в Вашем стиле я бы мог ответить "RRAS и Windows Firewall Вам в помощь". Мне мало просто знать название инструментов.

Хорошо, но только вечером. Времени в обрез. Вы приведите типичные Интернет-задачи для Вашей компании. Т.е. куда и по каким протоколам нужно будет иметь доступ серверу в Интернет, и откуда и по каким протоколам нужен доступ извне. Можно в PM.