强大的Windows Server 2008防火墙

与以前Windows版本中的防火墙相比,Windows Server 2008中的高级安全防火墙(WFAS)有了较大的改进,首先它支持双向保护,可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以 及身份验证设置。而且WFAS还可以实现更高级的规则配置,你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高 级安全性的Windows防火墙。

传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配,则具有高级 安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。如果数据包与规则中的标准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火 墙日志文件中创建条目(如果启用了日志记录)。

对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配 器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细。

下面我们一起来了解一下如何来配置Window Server 2008的防火墙。

利用MMC单元进行管理

这种方式可以让你在一个界面中同时配置防火墙设置和IPSec设置,还可以在监视节点中查看当前应用的策略、规则和其它信息。

从启动菜单的管理工具中找到高级安全Windows防火墙,点击打开MMC管理单元。Windows 2008的高级安全Windows防火墙使用出站和入站两组规则来配置其如何响应传入 和传出的流量;通过连接安全规则来确定如何保护计算机和其它计算机之间的流量,而且可以监视防火墙活动和规则。

下面我们来通过实际例子查看一下如何配置这几个规则。

首先从入站规则开始,假如我们在Windows Server 2008上安装了一个Apache Web服务器,默认情况下,从远端是无法访问这个服务器的,因为在入站规则中没有配置来 确认对这些流量“放行”,下面我们就为它增加一条规则。

打开高级安全Windows防火墙,点击入站规则后从右边的入站规则列表中我们可以看到Windows Server 2008自带的一些安全规则,在这儿可以看到,我们可以基于具体的 程序、端口、预定义或自定义来创建入站规则,其中每个类型的步骤会有细微的差别。第三步指定对符合条件的流量进行什么操作,接下来选择应用规则的配置文件和为规 则指定名称后,规则就创建好了。

连接安全包括在两台计算机开始通信之前对它们进行身份验证,并确保在两台计算机之间正在发送的信息的安全性。具有高级安全性的 Windows 防火墙包含了 Internet 协议安全 (IPSec) 技术,通过使用密钥交换、身份验证、数据完整性和数据加密(可选)来实现连接安全。

对于单个服务器来说,可以使用高级安全Windows防火墙管理控制单元来对防火墙进行设置,以上的方法还算适用。但是如果在你的企业网络中有大量计算机需要设置, 就应该使用下面这种更高效的方法。

使用组策略进行管理

在一个使用活动目录(AD)的企业网络中,为了实现对大量计算机的集中管理,你可以使用组策略来应用高级安全Windows防火墙的配置。组策略提供了高级安全Windows防 火墙的完全功能的访问,包括配置文件、防火墙规则和计算机安全连接规则。

实际上,在组策略管理控制台中为高级安全Windows防火墙配置组策略的时候是打开的同一个控制单元。值得注意的是,如果你使用组策略来在一个企业网络中配置高级 安全Windows防火墙的话,本地系统管理员是无法修改这个规则的属性的。通过创建组策略对象,可以配置一个域中所有计算机使用相同的防火墙设置。这一部分内容比较复 杂。

使用Netsh advfirewall命令行工具,虽然图形化配置界面比较简单直观,但是对于一些有经验的系统管理员来说,则往往更喜欢使用命令行方式来完成它们的配置工作 ,因为后者一旦熟练掌握的话,可以更灵活更准确更迅速的实现配置任务。

Netsh是可以用于配置网络组件设置的命令行工具。具有高级安全性的Windows防火墙提供netsh advfirewall工具,可以使用它配置具有高级安全性的Windows防火墙设置 。使用netsh advfirewall可以创建脚本,以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows 防火墙设置。还可以使用netsh advfirewall命令显示具有高 级安全性的Windows防火墙的配置和状态。

时间: 2024-11-16 00:25:19

强大的Windows Server 2008防火墙的相关文章

Windows Server 2008防火墙配置攻略

最新服务器操作系统Windows Server 2008已经发布,在这款微软所宣称的"史上安全性最强"的服务器操作系统中,新增了很多安全方面的设计和功能,其中它的防火墙也有了重大的改进,不过对于服务器操作系统来说,系统自带的普通防火墙显然功能过于简陋,我们今天介绍的是它的高级安全Windows防火墙,这是一款让Windows Server 2008的安全性大幅提高的一个利器. 了解高级安全Windows防火墙 在"深层防御"体系中,网络防火墙处于周边层,而Windo

配置Windows Server 2008防火墙让系统更安全

相比Windows Server 2003操作系统中自带的防火墙,集成在Windows Server 2008下的防火墙功能更加全面,安全防护等级自然也是更高一筹,我们只要对该防火墙程序进行合适配置,完全可以让Windows Server 2008系统运行得更加安全.这不,本文现在就为各位朋友推荐几则Windows Server 2008系统防火墙的配置技巧,相信在这些技巧的帮助下,大家一定能够充分享受系统防火墙带给自己的惊喜! 快速查看Windows Server 2008防火墙配置状态 很多

配置Windows Server 2008防火墙

出于安全因素考虑,在Windows Server 2008上是不允许从外部对其执行Ping指令的,如果要配 置允许被 Ping 通过以往的设置步骤会发现并不能从Windows firewall里找到ICMP的相关配置项, 而该规则的操作现在必须通过"高级安全Windows防火墙" 进行配置.步骤如下: 打开管理工具中的"高级安全Windows 防火墙": 在左侧导航窗体中定位到 "入站规则",之后在入站规则中找到配置文件类型为"公共&q

Windows Server 2008防火墙详解

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   系统安全,一直是局域网络维护管理操作的重中之重,而在保证普通服务器运行安全方面,最常使用的一种方法就是安装网络防火墙.专业杀毒软件以及各种反间谍工具等. 不过,每次依赖外来力量来保护服务器系统的安全,确实让网络管理员感到种种不便,毕竟并不是每一个网络管理员都能买得起正版的网络防火墙.专业杀毒软件的:为了解决网络管理员这样的困惑,Windows Server 20

手工防范Windows Server 2008服务器系统安全

自称安全功能十分强大的Windows Server 2008系统,在安全性能方面并没有真正做到无懈可击,很多时候我们还需要自己动手,来手工防范服务器系统的安全. 相信那些至今还没有接触过Windows Server 2008系统的朋友,多少会对该系统的新特性.新本领有点神往,不过要是与之亲密接触一段时间后,这些朋友也许会觉得Windows Server 2008系统并没有想象中那样美好.这不,自称安全功能十分强大的Windows Server 2008系统,在安全性能方面并没有真正做到无懈可击,

教你正确配置Windows Server 2008高级防火墙

微软的Windows Serverhttp://www.aliyun.com/zixun/aggregation/19058.html">2003中防火墙的功能如此之简陋,让很多系统管理员将其视为鸡肋,它一直是一个简单的.仅支持入站防护.基于主机的状态防火墙.而随着WindowsServer2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它. 为什么你应该使用这个Windows的基

DC的网络连接端口与防火墙设置[为企业部署Windows Server 2008系列十]

在前面9篇文章中跟大家分享了2008上dc的搭建以及core模式下的一些应用,当我们为企业部署好基 础架构服务后为了安全起见都会启动 windows server 2008自带的windows 防火墙,并且很多企业还会 单独部署一些安全解决产品(如ISA).那么,要很好的完成这些产品的部署,我们就要了解活动目录的 服务以及DC上的网络连接端口,以便大家在部署防火墙产品的时候开放必要的端口来让我们的企业合法 用户及时连接服务. DC的网络连接端口:在这里我解释为DC上为域用户和成员计算机提供的与域

通过防火墙添加Windows Server 2008应用端口

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   Windows Server  2008如何打开一个端口? 我在防火墙中入站和出站加入了一条新规则,但是发现还是不能telnet通,而且在本地Netstat也是没有.请为这是为什么?很多朋友也许都遇到这样的疑问,下面我们就带你了解如何通过防火墙添加Windows Server 2008端口. 具体步骤: 1.打开控制面板->打开Windows防火墙,如下所

Windows Server 2008解决无法设置防火墙问题

一同事要访问连接到Windows Server 2008系统中的http://www.aliyun.com/zixun/aggregation/32372.html">网络打印机时,始终无法找到目标网络打印机,笔者从客户端系统尝试ping网络打印机所在的Windows Server 2008系统主机时,发现ping命令无法执行成功,但是从Windows Server 2008系统主机中ping客户端系统时,ping命令可以执行成功,于是笔者估计同事之所以无法找到网络打印机,很可能是Wind