2023年11月27日发(作者:)

最新服务器操作系统Windows Server 2008已经发布,在这款微软所宣称的安全性的服务器操作系统中,新增了很多安全

⽅⾯的设计和功能,其中它的防⽕墙也有了重⼤的改进,不过对于服务器操作系统来说,系统⾃带的普通防⽕墙显然功能过于

简陋,我们今天介绍的是它的⾼级安全Windows防⽕墙,这是⼀款让Windows Server 2008的安全性⼤幅提⾼的⼀个利器。

了解⾼级安全Windows防⽕墙

深层防御体系中,络防⽕墙处于周边层,⽽Windows防⽕墙处于主机层⾯。和Windows XPWindows 2003的防⽕

墙⼀样,Windows Server 2008的防⽕墙也是⼀款基于主机的状态防⽕墙,它结合了主机防⽕墙和IPSec,可以对穿过络边界

防⽕墙和发⾃企业内部的络攻击进⾏防护,可以说基于主机的防⽕墙是络边界防⽕墙的⼀个有益的补充。

与以前Windows版本中的防⽕墙相⽐,Windows Server 2008中的⾼级安全防⽕墙(WFAS)有了较⼤的改进,⾸先它⽀持

双向保护,可以对出站、⼊站通信进⾏过滤。

其次它将Windows防⽕墙功能和Internet 协议安全(IPSec)集成到⼀个控制台中。使⽤这些⾼级选项可以按照环境所需的⽅

式配置密钥交换、数据保护(完整性和加密)以及⾝份验证设置。

⽽且WFAS还可以实现更⾼级的规则配置,你可以针对Windows Server上的各种对象创建防⽕墙规则,配置防⽕墙规则

以确定阻⽌还是允许流量通过具有⾼级安全性的Windows防⽕墙。

传⼊数据包到达计算机时,具有⾼级安全性的Windows防⽕墙检查该数据包,并确定它是否符合防⽕墙规则中指定的标

准。如果数据包与规则中的标准匹配,则具有⾼级安全性的Windows防⽕墙执⾏规则中指定的操作,即阻⽌连接或允许连

接。如果数据包与规则中的标准不匹配,则具有⾼级安全性的Windows防⽕墙丢弃该数据包,并在防⽕墙⽇志⽂件中创建条

(如果启⽤了⽇志记录)

对规则进⾏配置时,可以从各种标准中进⾏选择:例如应⽤程序名称、系统服务名称、TCP端⼝、UDP端⼝、本地IP

址、远程IP地址、配置⽂件、接⼝类型(如络适配器)、⽤户、⽤户组、计算机、计算机组、协议、ICMP类型等。规则中的标

准添加在⼀起;添加的标准越多,具有⾼级安全性的Windows防⽕墙匹配传⼊流量就越精细。

我们可以通过多种⽅式来配置Windows Server 2008防⽕墙和IPSec的设置和选项,下⾯让我们具体看⼀下如何来配置

Window Server 2008的这款⾼级防⽕墙。

使⽤⾼级安全Windows防⽕墙管理单元管理防⽕墙

这种⽅式可以让你在⼀个界⾯中同时配置防⽕墙设置和IPSec设置,还可以在监视节点中查看当前应⽤的策略、规则和其

它信息。

从启动菜单的管理⼯具中找到⾼级安全Windows防⽕墙,点击打开MMC管理单元。

从以上界⾯中我们可以看到,Windows 2008的⾼级安全Windows防⽕墙使⽤出站和⼊站两组规则来配置其如何响应传⼊

和传出的流量;通过连接安全规则来确定如何保护计算机和其它计算机之间的流量。⽽且可以监视防⽕墙活动和规则。

下⾯我们来通过实际例⼦查看⼀下如何配置这⼏个规则。

⾸先从⼊站规则开始,假如我们在Windows Server 2008上安装了⼀个Apache Web服务器,默认情况下,从远端是⽆法

访问这个服务器的,因为在⼊站规则中没有配置来确认对这些流量放⾏,下⾯我们就为它增加⼀条规则。

打开⾼级安全Windows防⽕墙,点击⼊站规则后从右边的⼊站规则列表中我们可以看到Windows Server 2008⾃带的⼀些

安全规则,因为Apache是⼀款第三⽅应⽤软件,所以我们需要通过右边操作区的【新规则】来新建⼀条。

在这⼉可以看到,我们可以基于具体的程序、端⼝、预定义或⾃定义来创建⼊站规则,其中每个类型的步骤会有细微的差

别。在我们这个例⼦中,我们选择【程序】类型,点击下⼀步接下来选择具体的程序路径。

第三步指定对符合条件的流量进⾏什么操作,我们这⼉当然是允许连接了,接下来选择应⽤规则的配置⽂件和为规则指定

名称后,这条规则就创建完了,从⼊站规则列表中可以看到你创建的规则了。现在就可以正常从远程访问你的Apache服务器

了,如果要对这个已经创建的规则进⾏修改等操作,可以在选中规则后,从右边的操作区域进⾏操作。

点击【属性】按钮,会弹出下图窗⼝,在这⼉可以对规则进⾏更详细的修改,我们看到⼀条规则的可定制化属性⽐以前版

本的规则属性要多很多。出站规则的配置与⼊站规则完全相同,笔者不再重复,下⾯我们来看⼀下连接安全规则。

连接安全包括在两台计算机开始通信之前对它们进⾏⾝份验证,并确保在两台计算机之间正在发送的信息的安全性。具有

⾼级安全性的 Windows 防⽕墙包含了 Internet 协议安全 (IPSec) 技术,通过使⽤密钥交换、⾝份验证、数据完整性和数据加

(可选)来实现连接安全。

对于单个服务器来说,可以使⽤⾼级安全Windows防⽕墙管理控制单元来对防⽕墙进⾏设置,如果在你的企业络中有⼤

量计算机需要设置,这种⽅法就不再适合,应该找⼀种更⾼效的⽅法。

使⽤组策略来管理⾼级安全Windows防⽕墙

在⼀个使⽤活动⽬录(AD)的企业络中,为了实现对⼤量计算机的集中管理,你可以使⽤组策略来应⽤⾼级安全Windows

防⽕墙的配置。组策略提供了⾼级安全Windows防⽕墙的完全功能的访问,包括配置⽂件、防⽕墙规则和计算机安全连接规

则。

实际上,在组策略管理控制台中为⾼级安全Windows防⽕墙配置组策略的时候是打开的同⼀个控制单元。值得注意的

是,如果你使⽤组策略来在⼀个企业络中配置⾼级安全Windows防⽕墙的话,本地系统管理员是⽆法修改这个规则的属性

的。通过创建组策略对象,可以配置⼀个域中所有计算机使⽤相同的防⽕墙设置。这⼀部分内容⽐较复杂。

使⽤Netsh advfirewall命令⾏⼯具,虽然图形化配置界⾯⽐较简单直观,但是对于⼀些有经验的系统管理员来说,则往往

更喜欢使⽤命令⾏⽅式来完成它们的配置⼯作,因为后者⼀旦熟练掌握的话,可以更灵活更准确更迅速的实现配置任务。

Netsh是可以⽤于配置络组件设置的命令⾏⼯具。具有⾼级安全性的Windows防⽕墙提供netsh advfirewall⼯具,可以使

⽤它配置具有⾼级安全性的Windows防⽕墙设置。使⽤netsh advfirewall可以创建脚本,以便⾃动同时为IPv4IPv6流量配置

⼀组具有⾼级安全性的Windows 防⽕墙设置。还可以使⽤netsh advfirewall命令显⽰具有⾼级安全性的Windows防⽕墙的配置

和状态。

Netsh advfirewall的命令⾮常多,今天我们选择你必须掌握的⼏个最常见的命令介绍给⼤家。

1help命令(“?”)

这个命令虽然简单,但这却可能是最有⽤的命令。任何时候当你键⼊“?”命令的时候,你会看到和上下⽂相关的所有选

项。

2consec(连接安全规则)命令

这个连接规则可以让你创建两个系统之间的IPSEC VPN。换句话说,consec规则能够让你加强通过防⽕墙的通信的安全

性,⽽不仅仅是限制或过滤它。

这个命令会将你带⼊到连接安全配置模式,如下所⽰:

Netsh advfirewall>consec

Netsh advfirewall consec>

现在如果你键⼊“?”命令的话,你将会在netsh advfirewall consec中看到六个不同的命令。

从这⼉你可以看到你可以通过以下命令来修改安全规则:

此上下⽂中的命令:

add命令可以让你添加新连接安全规则;

delete命令让你删除所有匹配的连接安全规则;

dump命令显⽰⼀个配置脚本;

help可以显⽰命令列表。

set命令让你为现有规则的属性设置新值。

show命令

要想查看防⽕墙现在的状况,你将必须使⽤这个show命令,再其下提供三个不同的命令可⽤。

Show alias为你列出所有定义的别名;

show helper列出所有顶层帮助者;

Show mode命令可以钢珠你显⽰防⽕墙是在线还是离线。

3Export命令

这个命令可以让你导出防⽕墙当前的所有配置到⼀个⽂件中。这个命令⾮常有⽤,因为你可以备份所有的配置到⽂件中,

如果你对已经作出的配置不满意的话,可以随时使⽤这个⽂件来恢复到修改前的状态。

以下是⼀个应⽤⽰例:

netsh advfirewall export “c:”

4Firewall命令

使⽤这个命令你可以增加新的⼊站和出站规则到你的防⽕墙中。它还可以让你修改防⽕墙中的规则。

firewall上下⽂命令中,你会看到四个重要的命令,分别是:

Add命令让你增加⼊站和出站规则;

Delete命令让你删除⼀条规则;

Set命令为现有规则的属性设置新值;

Show命令将显⽰⼀个指定的防⽕墙规则。

以下是增加和删除⼀个防⽕墙规则的⽰例:

增加⼀个针对的⼊站规则

netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:”

action=allow

删除针对本地21端⼝的所有⼊站规则:

netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21

5Import命令

Import命令让你可以从⼀个⽂件中导⼊防⽕墙的配置。这个命令可以让你把之前你使⽤export命令导出的防⽕墙配置再恢

复回去。⽰例如下:

Netsh advfirewall import “c:”

6Reset

这个命令让你重新设置防⽕墙策略到默认策略状态。使⽤这个命令的时候务必谨慎,因为⼀旦你键⼊这个命令并按下回车

后,它将不再让你确认是否真要重设,直接恢复防⽕墙的策略。

⽰例命令如下:

Netsh advfirewall reset

7Set命令

set命令将允许你修改防⽕墙的不同设置状态。相关的上下⽂命令有六个。

set allprofiles让你修改所有配置⽂件中的属性。

set currentprofile 让你只修改活动配置⽂件中的属性。

set domainprofile让你修改域配置⽂件中的属性。

set global让你修改防⽕墙的全局属性。

set privateprofile让你修改专⽤配置⽂件中的属性。

set publicprofile让你修改公⽤配置⽂件中的属性。

set store让你为当前交互式会话设置策略存储。

以下是使⽤set命令的⼀些例⼦:

在所有配置⽂件中打开远程管理:

netsh advfirewall set allprofiles settings remotemanagement enable

在所有配置⽂件中记录被断开的连接:

netsh advfirewall set allprofiles logging droppedconnections enable

8Show命令

这个show命令将让你可以查看所有不同的配置⽂件中的设置和全局属性。