如何配置WindowsServer2008高级防火墙

微软Windows Server 2003的防火墙功能如此，所以很多系统管理员都会认为是鸡肋，它总是很简单，只支持入站防火墙保护，状态基于主机。随着Windows Server 2008接近我们，它内置的防火墙功能在这里得到了极大的改进。让我们看看这个新的高级防火墙将如何帮助我们的保护系统，以及如何使用管理控制台单元配置它。
为什么要使用这个Windows的基于主机的防火墙
今天，许多公司都使用外部安全硬件来加强他们的网络。这意味着他们使用的防火墙和入侵保护系统在网络上建立一个与自然铜墙铁壁的入侵防护、恶意攻击在互联网上。然而，如果攻击者能够攻破防御的外围线，进入内部网络，只有Windows认证安全防止其进入公司的最有价值的资产--数据。
这是因为大多数IT人员不使用基于主机的防火墙来加强服务器的安全性。为什么会这样呢因为大多数IT人员认为部署基于主机的防火墙比它们带来的价值更麻烦。
我希望在读完这篇文章之后，您可以花点时间考虑Windows，一个基于主机的防火墙，在Windows Server 2008中，基于主机的防火墙是在Windows中构建的。它已经预先安装好了。与以前的版本相比，它具有更多的功能和更容易配置。这是一个加强的重点基地服务器的最佳方式。Windows防火墙的高级安全结合主机防火墙和IPSec。不像边界防火墙，具有先进的安全运行在每一台电脑在这个版本的Windows上运行的Windows防火墙，并提供可通过边界网络或源于组织网络攻击地方保护。它还提供安全的连接计算机与计算机，你可以要求身份验证和数据保护的通信。

那么，这个Windows服务器高级防火墙能为您做些什么，以及您应该如何配置它来保持我们的外观。
U3000 U3000
新防火墙的功能及对您的帮助
在Windows Server 2008内置的防火墙现在先进这不是我说它是先进的，但微软现在称之为高级安全Windows防火墙（WFAS）。
下面是可以证明其新名称的新函数：
1。一种新的图形界面。
现在，这个高级防火墙配置了一个管理控制台单元。
2、双向保护。
出站和入站之间的通信被过滤。
3，更好地配合IPSec。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet协议安全（IPSec）集成到一个控制台中，使用这些高级选项可以按环境要求的方式配置密钥交换、数据保护（完整性和加密）和身份验证设置。
4。高级规则配置。
您可以为Windows服务器上的各种对象创建防火墙规则，配置防火墙规则，以确定是否阻塞或允许通信流通过高级安全的Windows防火墙。
当传入的数据包到达计算机，Windows防火墙的高级安全检查数据包并确定它是否符合防火墙规则指定的标准。如果数据包匹配标准的规则，在Windows防火墙高级安全规则的执行指定的操作是防止连接或允许连接。如果数据包不匹配的规则标准，Windows防火墙的高级安全将丢弃该数据包，并在防火墙的日志文件中创建条目，如果启用了日志记录。
规则的配置，你可以选择一个不同的标准：例如应用程序名称、服务名称、TCP端口、UDP端口、本地IP地址、IP地址、远程配置和接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP类型等。在规则的标准加在一起；更多的标准添加、更复杂的Windows防火墙的高级安全火柴的传入流量。
通过增加双向保护功能，更好的图形界面和先进的规则配置，高级安全Windows防火墙已成为传统防火墙基于主机的强大，如ZoneAlarm Pro。
我知道，任何基于服务器管理员主机在第一思想利用防火墙是否会影响正常工作的关键服务器的任何安全应用的措施，这是一个可能的问题，Windows 2008的高级安全防火墙将自动添加到该服务器的新规则自动配置任何新的角色。但如果你在你的服务器上运行一个非微软应用程序，它需要入境的网络连接，您必须创建一个基于通信类型的新规则。

通过使用这种高级防火墙，您可以更好地整合服务器以避免攻击，这样您的服务器就不会被用来攻击其他人，并且真正决定服务器中的数据进出，让我们来看看如何实现这些目的。
U3000 U3000
了解配置Windows防火墙高级安全性的选项
在以前的Windows服务器上，您可以配置网络适配器或从控制面板配置Windows防火墙。
对于Windows高级安全防火墙，大多数管理员可以从Windows服务器管理器配置它，或者仅从Windows高级安全防火墙MMC管理单元配置它：

图1，Windows Server 2008服务器管理器

图2 Windows 2008高级安全防火墙管理控制台
我发现启动Windows高级防火墙的最简单和最快的方式是在开始菜单的搜索框，'防火墙'类型，和下面的图：

图3，一种快速启动Windows 2008高级安全防火墙管理控制台的方法

此外，您可以使用命令行工具，配置Windows高级安全防火墙Netsh，配置与配置网络组件。使用netsh advfirewall，你可以创建脚本来自动为IPv4和IPv6流量的高级安全配置一套Windows防火墙设置。您也可以使用netsh advfirewall命令显示具有高级安全功能的Windows防火墙的配置和状态
可以配置什么来配置新的Windows高级安全防火墙MMC管理单元
因为你可以用这个新的防火墙管理控制台配置太多的功能，我不能说他们所有的方式。如果你所看到的Windows 2003内置的防火墙的配置界面，你很快就会发现，你已经被隐藏在新的Windows高级防火墙多选择。我选择了一些最常用的功能介绍给你。
默认情况下，当您第一次进入Windows高级安全防火墙管理控制台时，您将看到默认情况下打开Windows高级安全防火墙，它与入站规则的入站连接不匹配。此外，默认情况下关闭新的出站防火墙。
您将注意到的另一件事是Windows高级安全防火墙有多个配置文件供用户选择。

图4 Windows 2008高级安全防火墙中提供的配置文件
有一个域配置文件，一个专用的配置文件，并在Windows高级安全防火墙的公共配置文件，配置文件是一个数据包的设置方法，如防火墙规则和连接安全规则，这是根据计算机的位置应用到计算机。例如，您的计算机在企业局域网或在当地的一家咖啡馆。
在我看来，Windows 2008高级防火墙的所有改进中最显著的改进是更复杂的防火墙规则。请查看在Windows Server 2003防火墙中添加异常的选项，如下所示：

图5 Windows 2003服务器防火墙异常窗口
然后比较Windows 2008服务器中的配置窗口。

图6 Windows 2008服务器高级防火墙异常设置窗口
注意协议和端口标签只是多标签窗口的一小部分，您也可以将规则应用到用户和计算机、程序和服务以及IP地址的范围内，通过这个复杂的防火墙规则配置，微软已经开发了Windows高级安全防火墙，用于微软的IAS服务器。
Windows高级安全防火墙提供的默认规则数量也令人吃惊。在Windows 2003服务器中，只有三个默认异常规则。Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认输出规则。

图7 Windows 2008服务器高级防火墙默认入站规则

那么如何使用这个新的Windows高级防火墙来创建一个规则，让我们接下来看看它。
U3000 U3000
如何创建自定义入站规则
如果您已经在Windows 2008服务器上安装了Apache Web服务器的Windows版本，如果您已经使用Windows内置的IIS Web服务器，那么这个端口将自动为您打开。但是，由于您现在正在使用来自第三方的Web服务器，并且已经打开入站防火墙，您必须手动打开窗口。
以下是步骤：
确定要屏蔽的协议——在我们的例子中，它是TCP/IP（对应于UDP IP或ICMP）。
标识源IP地址、源端口号、目的IP地址和目的端口。我们的Web通信是来自任何IP地址和任何端口号的数据通信，并流向服务器的80端口。
打开Windows高级安全防火墙管理控制台。
添加规则-单击Windows高级安全防火墙MMC中的新规则按钮来启动新规则的向导。

图8，Windows 2008服务器高级防火墙管理控制台-新规则按钮
选择要为端口创建的规则。
配置协议和端口号-选择默认的TCP协议，然后输入80作为端口，然后单击下一步。
选择默认的允许连接并单击下一步。
选择此规则的默认应用程序到所有配置文件，然后单击下一步。
给规则一个名称并单击下一步。
这时，您将得到如下规则。

图9，创建规则后的Windows 2008服务器高级防火墙管理控制台

在我的测试中，当没有启用此规则时，我最近安装的Apache站点服务器不能正常工作，但是在创建了这个规则之后，它工作得很好！
U3000 U3000

结论：巨大的改进是值得尝试的。
使用默认的防火墙规则配置文件和复杂的规则和原数的30倍，这是不是在许多先进的安全功能所说，Windows 2008 Server的高安全性的防火墙确实是名副其实，真正的高级防火墙微软说。我相信这个内置的，自由的，先进的基于主机的防火墙将确保Windows服务器将成为未来更加安全。但如果你不使用它，它不会帮助你。所以我想你今天体验了这一全新的Windows防火墙