Windows2008高级防火墙的配置

在微软的WindowsServer2003防火墙的功能很简单，很多管理者认为这是鸡。这是一个简单的状态防火墙只支持入保护主机，windowsserver2008离我们越来越近，其内置的防火墙功能有了很大的提高。现在让我们来看看如何在新的先进的防火墙将帮助我们保护我们的系统，以及如何使用它来配置。

为什么要使用这个Windows的基于主机的防火墙

今天，许多公司都使用外部安全硬件来加强他们的网络。这意味着他们使用的防火墙和入侵保护系统在网络上建立一个与自然铜墙铁壁的入侵防护、恶意攻击在互联网上。然而，如果攻击者能够攻破防御的外围线，进入内部网络，只有Windows认证安全防止其进入公司的最有价值的资产--数据。

这是因为大多数IT人员不使用基于主机的防火墙来加强服务器的安全性。为什么会这样呢因为大多数IT人员认为部署基于主机的防火墙比它们带来的价值更麻烦。

我希望你读完这篇文章后，你可以花一点时间思考的窗口，一个基于主机的防火墙，windowsserver2008，基于主机的防火墙是建立在Windows。它已经预先安装好了。与以前的版本相比，它具有更多的功能和更容易配置。这是一个加强的重点基地服务器的最佳方式。Windows防火墙的高级安全结合主机防火墙和IPSec。不像边界防火墙，具有先进的安全运行在每一台电脑在这个版本的Windows上运行的Windows防火墙，并提供可通过边界网络或源于组织网络攻击地方保护。它还提供安全的连接计算机与计算机，你可以要求身份验证和数据保护的通信。

所以，有什么可以为你做这个服务器先进的防火墙，以及如何配置它让我们看。

新防火墙的功能及对您的帮助

在这windowsserver2008内置的防火墙现在先进这不是我说它是先进的，但微软现在称之为高级安全Windows防火墙（WFAS）。

下面是可以证明其新名称的新函数：

1。一种新的图形界面。

现在，这个高级防火墙配置了一个管理控制台单元。

2、双向保护。

出站和入站之间的通信被过滤。

3，更好地配合IPSec。

具有高级安全性的Windows防火墙将Windows防火墙功能和Internet协议安全（IPSec）集成到一个控制台中，使用这些高级选项可以按环境要求的方式配置密钥交换、数据保护（完整性和加密）和身份验证设置。

4。高级规则配置。

你可以创建各种对象在服务器的防火墙规则，配置防火墙规则以确定是否阻止或允许流量通过防火墙高级安全设置。

当传入的数据包到达计算机，Windows防火墙的高级安全检查数据包并确定它是否符合防火墙规则指定的标准。如果数据包匹配标准的规则，在Windows防火墙高级安全规则的执行指定的操作是防止连接或允许连接。如果数据包不匹配的规则标准，Windows防火墙的高级安全将丢弃该数据包，并在防火墙的日志文件中创建条目，如果启用了日志记录。

规则的配置，你可以选择一个不同的标准：例如应用程序名称、服务名称、TCP端口、UDP端口、本地IP地址、IP地址、远程配置和接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP类型等。在规则的标准加在一起；更多的标准添加、更复杂的Windows防火墙的高级安全火柴的传入流量。

通过增加双向保护功能，更好的图形界面和先进的规则配置，高级安全Windows防火墙已成为传统防火墙基于主机的强大，如ZoneAlarmPro。

我知道，任何基于服务器管理员主机在第一思想利用防火墙是否会影响正常工作的关键服务器的任何安全应用的措施，这是一个可能的问题，Windows2008高级安全防火墙将自动添加到任何新的角色，这个服务器自动配置新的规则。但如果你运行您的服务器的非微软应用程序，它需要入境的网络连接，您必须创建一个基于通信类型的新规则。

通过使用这种高级防火墙，您可以更好地整合服务器以避免攻击，这样您的服务器就不会被用来攻击其他人，并且真正决定服务器中的数据进出，让我们来看看如何实现这些目的。

了解配置Windows防火墙高级安全性的选项

在以前的服务器，您可以配置您的网络适配器或从控制面板中配置Windows防火墙配置是非常简单的。

对于Windows高级安全防火墙，大多数管理员可以从Windows服务器管理器配置它，或者仅从Windows高级安全防火墙MMC管理单元配置它：

图1，windowsserver2008服务器管理器

图2、Windows2008高级安全防火墙管理控制台

我发现启动Windows高级防火墙的最简单和最快的方式是在开始菜单的搜索框，'防火墙'类型，和下面的图：

图3，一种快速启动Windows2008高级安全防火墙管理控制台

此外，您可以使用命令行工具，配置Windows高级安全防火墙Netsh，配置与配置网络组件。使用netshadvfirewall可以创建脚本来自动配置一套高级安全Windows防火墙设置为IPv4和IPv6的流量。你也可以使用netshadvfirewall命令显示一个具有高级安全性的Windows防火墙的配置和状态。

可以配置什么来配置新的Windows高级安全防火墙MMC管理单元

因为你可以用这个新的防火墙管理控制台配置太多的功能，我不能说他们所有的方式。如果你看过Windows2003内置防火墙的配置界面，你很快就会发现，你已经被隐藏在新的Windows高级防火墙许多选择。我选择了一些最常用的功能介绍给你。

默认情况下，当您第一次进入Windows高级安全防火墙管理控制台时，您将看到默认情况下打开Windows高级安全防火墙，它与入站规则的入站连接不匹配。此外，默认情况下关闭新的出站防火墙。

您将注意到的另一件事是Windows高级安全防火墙有多个配置文件供用户选择。

图4，在Windows2008高级安全防火墙提供的配置文件

有一个域配置文件，一个专用的配置文件，并在Windows高级安全防火墙的公共配置文件，配置文件是一个数据包的设置方法，如防火墙规则和连接安全规则，这是根据计算机的位置应用到计算机。例如，您的计算机在企业局域网或在当地的一家咖啡馆。

在我看来，在Windows2008高级安全防火墙的最重要的改进我们所讨论的是一个更复杂的防火墙规则，看看选项添加例外的WindowsServer2003防火墙，如下：

图5、windows2003server防火墙例外的窗口

然后将配置Windows Windows2008Server。

图6，防火墙设置窗口Windows2008Server先进

注意协议和端口的标签仅仅是多标签窗口的一小部分。你也可以运用规则以用户和计算机的范围、程序和服务，以及IP地址，通过这个复杂的防火墙规则配置，微软已经开发了Windows高级安全防火墙对微软的iasserver。

默认规则由Windows高级安全防火墙提供的数量也令人吃惊。在windows2003server，只有三个默认的例外规则，Windows2008高级安全防火墙提供了约90的默认入站防火墙规则和至少40的默认输出规则。
图7，高级防火墙默认规则Windows2008Server入境

那么你如何使用这个新的Windows高级防火墙创建一个规则，让我们看下。如何如果你已经安装了Windows的版本在你的Windows2008Server Apache Web服务器创建一个自定义的入站规则。如果你已经使用Windows自带的IIS Web服务器，该端口会自动为你打开然而，既然你现在正在使用第三方的Web服务器和你打开入站防火墙，你必须手动打开窗户。下面是步骤：。确定要屏蔽的协议——在我们的例子中，它是TCP/IP（对应于UDP IP或ICMP）。

识别源IP地址、源端口号、目的IP地址和目的端口。我们的网络通信是数据通信的任何IP地址和任何端口数和流服务器的80端口。（注意，你可以创建一个规则的一个特定的程序，比如这里的apachehttp服务器）。

打开Windows高级安全防火墙管理控制台。

添加规则-单击Windows高级安全防火墙MMC中的新规则按钮来启动新规则的向导。

图8、Windows2008Server高级防火墙管理控制台-新规则按钮

选择您想要创建一个端口规则配置协议和端口号-选择默认的TCP协议，并输入80的端口，然后单击下一步。选择默认的允许连接；单击下一步。选择该规则的所有配置文件默认的应用程序并单击下一步。给规则名称并单击下一步。在这个时候，你会得到一个规则如下。

图9、Windows2008Server高级防火墙管理控制台在创建规则

在我的测试中，当没有启用此规则时，我最近安装的Apache站点服务器不能正常工作，但是在创建了这个规则之后，它工作得很好！

结论：巨大的改进是值得尝试的。

有防火墙配置文件、复杂的规则设置和默认规则的30倍。本文中没有提到许多高级安全功能。Windows2008Server高级安全防火墙真是名副其实，真正的微软先进的防火墙。我相信这个内置的，自由的，先进的基于主机的防火墙将确保服务器将成为未来更加安全。但如果你不使用它，它不会帮助你。所以我想你今天经历这新的Windows防火墙。

图9、Windows2008Server高级防火墙管理控制台在创建规则

在我的测试中，当没有启用此规则时，我最近安装的Apache站点服务器不能正常工作，但是在创建了这个规则之后，它工作得很好！