目錄

• 什么是防火墻
• 墻和門衛(wèi)的區(qū)別
• Windows Server 2008 防火墻
• windows 防火墻配置
• 如何創(chuàng)建一個(gè)定制的入站規(guī)則?

什么是防火墻

防火墻一般都是指網(wǎng)絡(luò)防火墻，是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)網(wǎng)絡(luò)防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

講人話就是，防火墻相當(dāng)于一個(gè)“門衛(wèi)”，它只關(guān)心兩樣?xùn)|西：從哪里來(lái)和到哪里去。

墻和門衛(wèi)的區(qū)別

墻所起的作用是隔斷，無(wú)論誰(shuí)都過(guò)不去，但是門衛(wèi)就不一樣了，他的職能是檢查和判斷是否可以通過(guò)，只要符合條件就可以通過(guò)，門衛(wèi)更加靈活一些。

Windows Server 2008 防火墻

簡(jiǎn)介

Windows Server 2008 高級(jí)安全 Windows 防火墻(簡(jiǎn)稱 WFAS)。

新增功能

1、新的圖形化界面：現(xiàn)在通過(guò)一個(gè)管理控制臺(tái)單元來(lái)配置這個(gè)高級(jí)防火墻。

2、雙向保護(hù)：對(duì)出站、入站通信進(jìn)行過(guò)濾。

3、與 IPSEC 更好的配合：具有高級(jí)安全性的 Windows 防火墻將 Windows 防火墻功能和 Internet?協(xié)議安全(IPSec)集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。

4、高級(jí)規(guī)則配置：你可以針對(duì) Windows Server 上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過(guò)具有高級(jí)安全性的 Windows 防火墻。

傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的 Windows 防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的 Windows 防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)安全性的 Windows 防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。

對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP 端口、UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP 類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的 Windows 防火墻匹配傳入流量就越精細(xì)。

通過(guò)增加雙向防護(hù)功能、一個(gè)更好的圖形界面和高級(jí)的規(guī)則配置，這個(gè)高級(jí)安全 Windows 防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大，例如 ZoneAlarm Pro 等。

通過(guò)使用這個(gè)高級(jí)防火墻，你可以更好的加固你的服務(wù)器以免遭攻擊，讓你的服務(wù)器不被利用去攻擊別人，以及真正確定什么數(shù)據(jù)在進(jìn)出你的服務(wù)器。

windows 防火墻配置

管理員可以或者從 Windows 服務(wù)器管理器配置它，或者從只有 Windows 高級(jí)安全防火墻 MMC 管理單元中配置它。

啟動(dòng)這個(gè) Windows 高級(jí)安全防火墻的最簡(jiǎn)單最快速的方法是，在開始菜單的搜索框中鍵入‘防火墻’。

另外，你還可以用配置網(wǎng)絡(luò)組件設(shè)置的命令行工具 Netsh 來(lái)配置 Windows 高級(jí)安全防火墻。使用 netsh advfirewall 可以創(chuàng)建腳本，以便自動(dòng)同時(shí)為 IPv4 和 IPv6 流量配置一組具有高級(jí)安全性的 Windows 防火墻設(shè)置。還可以使用 netsh advfirewall 命令顯示具有高級(jí)安全性的 Windows 防火墻的配置和狀態(tài)。

默認(rèn)情況下，當(dāng)你第一次進(jìn)入 Windows 高級(jí)安全防火墻管理控制臺(tái)的時(shí)候，你將看到 Windows 高級(jí)安全防火墻默認(rèn)開啟，并且阻擋不匹配入站規(guī)則的入站連接。此外，這個(gè)新的出站防火墻默認(rèn)被關(guān)閉。

（這里我已經(jīng)配置過(guò)了，所以是關(guān)閉的）

你將注意的其他事情是，這個(gè) Windows 高級(jí)安全防火墻還有多個(gè)配置文件供用戶選擇。

在這個(gè) Windows 高級(jí)安全防火墻中有一個(gè)域配置文件、專用配置文件和公用配置文件。配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)計(jì)算機(jī)連接的位置將其應(yīng)用于該計(jì)算機(jī)。例如根據(jù)你的計(jì)算機(jī)是在企業(yè)局域網(wǎng)中還是在本地咖啡店中。

再來(lái)對(duì)比一下 Windows 2008 Server 中的配置窗口。

注意協(xié)議和端口標(biāo)簽只是這個(gè)多標(biāo)簽窗口中的一小部分。你還可以將規(guī)則應(yīng)用到用戶及計(jì)算機(jī)、程序和服務(wù)以及 IP 地址范圍。通過(guò)這種復(fù)雜的防火墻規(guī)則配置，微軟已經(jīng)將 Windows 高級(jí)安全防火墻朝著微軟的 IAS Server 發(fā)展。

如何創(chuàng)建一個(gè)定制的入站規(guī)則?

假如說(shuō)你已經(jīng)在你的 Windows 2008 Server 上安裝了 Windows 版的 Nginx 網(wǎng)站服務(wù)器。如果你已經(jīng)使用了 Windows 內(nèi)置的 IIS 網(wǎng)站服務(wù)器，這個(gè)端口自動(dòng)會(huì)為你打開。但是，由于你現(xiàn)在使用一個(gè)來(lái)自第三方的網(wǎng)站服務(wù)器，而且你打開了入站防火墻，你必須手動(dòng)的打開這個(gè)窗口。

以下是步驟：

識(shí)別你要屏蔽的協(xié)議-在我們的例子中，它是 TCP/IP(與之對(duì)應(yīng)的則是 UDP/IP 或 ICMP)。

識(shí)別源 IP 地址、源端口號(hào)、目的 IP 地址和目的端口。我們進(jìn)行的 Web 通信是來(lái)自于任何 IP 地址和任何端口號(hào)并流向這個(gè)服務(wù)器 80 端口的數(shù)據(jù)通信。(注意，你可以為一個(gè)特定的程序創(chuàng)建一條規(guī)則，諸如這兒的 Nginx 服務(wù)器)。

打開 Windows 高級(jí)安全防火墻管理控制臺(tái)。

增加規(guī)則-點(diǎn)擊在 Windows 高級(jí)安全防火墻 微軟管理控制臺(tái)（英語(yǔ)：Microsoft Management Console，簡(jiǎn)稱MMC） 中的新建規(guī)則按鈕，開始啟動(dòng)新規(guī)則的向?qū)А?/p>

1、設(shè)置入站規(guī)則

2、設(shè)置規(guī)則類型

3、設(shè)置協(xié)議與端口

4、設(shè)置連接符合指定條件時(shí)應(yīng)該進(jìn)行什么操作？

5、設(shè)置配置文件

6、設(shè)置名稱與描述

7、新增完畢

8、開啟防火墻

至此，我們已經(jīng)可以配置windows Server 2008 的防火墻啦。

到此這篇關(guān)于Windows Server 2008配置防火墻策略詳解的文章就介紹到這了,更多相關(guān)Win2008配置防火墻 內(nèi)容請(qǐng)搜索以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持！