針對(duì)一般中小企業(yè)型來(lái)說(shuō)，如果希望對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全管理，不一定非得花高價(jià)錢(qián)購(gòu)買(mǎi)專(zhuān)業(yè)的防火墻設(shè)置，直接借助操作系統(tǒng)本身自帶的防火墻功能即可以滿(mǎn)足一般企業(yè)的應(yīng)用，今天我們就一起來(lái)探究一下Windows Server 2008 R2系統(tǒng)防火墻的強(qiáng)大功能。熟練的應(yīng)用Windows 內(nèi)置防火墻，首先需要了解網(wǎng)絡(luò)位置。

　　網(wǎng)絡(luò)位置

　　第一次連接到網(wǎng)絡(luò)時(shí)，必須選擇網(wǎng)絡(luò)位置。這將為所連接網(wǎng)絡(luò)的類(lèi)型自動(dòng)設(shè)置適當(dāng)?shù)姆阑饓桶踩O(shè)置。如果用戶(hù)在不同的位置(例如，家庭、本地咖啡店或辦公室)連接到網(wǎng)絡(luò)，則選擇一個(gè)網(wǎng)絡(luò)位置可幫助確保始終將用戶(hù)的計(jì)算機(jī)設(shè)置為適當(dāng)?shù)陌踩?jí)別。

　　在Windows Server 2008中，有四種網(wǎng)絡(luò)位置：

　　家庭網(wǎng)絡(luò)：

　　對(duì)于家庭網(wǎng)絡(luò)或在用戶(hù)認(rèn)識(shí)并信任網(wǎng)絡(luò)上的個(gè)人和設(shè)備時(shí)，請(qǐng)選擇“家庭網(wǎng)絡(luò)”。家庭網(wǎng)絡(luò)中的計(jì)算機(jī)可以屬于某個(gè)家庭組。對(duì)于家庭網(wǎng)絡(luò)，“網(wǎng)絡(luò)發(fā)現(xiàn)”處于啟用狀態(tài)，它允許用戶(hù)查看網(wǎng)絡(luò)上的其他計(jì)算機(jī)和設(shè)備并允許其他網(wǎng)絡(luò)用戶(hù)查看用戶(hù)的計(jì)算機(jī)。

　　工作網(wǎng)絡(luò)：

　　對(duì)于小型辦公網(wǎng)絡(luò)或其他工作區(qū)網(wǎng)絡(luò)，請(qǐng)選擇“工作網(wǎng)絡(luò)”。默認(rèn)情況下，“網(wǎng)絡(luò)發(fā)現(xiàn)”處于啟用狀態(tài)，它允許用戶(hù)查看網(wǎng)絡(luò)上的其他計(jì)算機(jī)和設(shè)備并允許其他網(wǎng)絡(luò)用戶(hù)查看用戶(hù)的計(jì)算機(jī)，但是，用戶(hù)無(wú)法創(chuàng)建或加入家庭組。

　　公用網(wǎng)絡(luò)：

　　為公共場(chǎng)所(例如，咖啡店或機(jī)場(chǎng))中的網(wǎng)絡(luò)選擇“公用網(wǎng)絡(luò)”。此位置旨在使用戶(hù)的計(jì)算機(jī)對(duì)周?chē)挠?jì)算機(jī)不可見(jiàn)，并且?guī)椭Ｗo(hù)計(jì)算機(jī)免受來(lái)自 Internet 的任何惡意軟件的攻擊。家庭組在公用網(wǎng)絡(luò)中不可用，并且網(wǎng)絡(luò)發(fā)現(xiàn)也是禁用的。如果用戶(hù)沒(méi)有使用路由器直接連接到 Internet，或者具有移動(dòng)寬帶連接，也應(yīng)該選擇此選項(xiàng)。

　　域網(wǎng)絡(luò)：

　　“域”網(wǎng)絡(luò)位置用于域網(wǎng)絡(luò)(如在企業(yè)工作區(qū)的網(wǎng)絡(luò))。這種類(lèi)型的網(wǎng)絡(luò)位置由網(wǎng)絡(luò)管理員控制，因此無(wú)法選擇或更改。

　　Windows 防火墻如何影響網(wǎng)絡(luò)位置

　　在公共場(chǎng)所連接網(wǎng)絡(luò)時(shí)，“公用網(wǎng)絡(luò)”位置會(huì)阻止某些程序和服務(wù)運(yùn)行，這樣有助于保護(hù)計(jì)算機(jī)免受未經(jīng)授權(quán)的訪問(wèn)。如果連接到“公用網(wǎng)絡(luò)”并且 Windows 防火墻處于打開(kāi)狀態(tài)，則某些程序或服務(wù)可能會(huì)要求用戶(hù)允許它們通過(guò)防火墻進(jìn)行通信，以便讓這些程序或服務(wù)可以正常工作。

　　在用戶(hù)允許某個(gè)程序通過(guò)防火墻進(jìn)行通信后，對(duì)于具有的位置與當(dāng)前所連接到的位置相同的每個(gè)網(wǎng)絡(luò)，也會(huì)允許該程序進(jìn)行通信。例如，如果用戶(hù)在咖啡店連接到某個(gè)網(wǎng)絡(luò)并選擇“公用網(wǎng)絡(luò)”作為位置，然后解除了對(duì)一個(gè)即時(shí)消息程序的阻止，則對(duì)于所連接到的所有公用網(wǎng)絡(luò)，對(duì)該程序的阻止都將解除。

　　如果在連接到公用網(wǎng)絡(luò)時(shí)計(jì)劃解除對(duì)多個(gè)程序的阻止，請(qǐng)考慮將網(wǎng)絡(luò)位置更改為“家庭”網(wǎng)絡(luò)或“工作”網(wǎng)絡(luò)。從這點(diǎn)而言，相對(duì)于影響用戶(hù)所連接到的每個(gè)公用網(wǎng)絡(luò)，這一更改操作可能會(huì)更安全。但請(qǐng)記住，如果進(jìn)行了此更改，用戶(hù)的計(jì)算機(jī)將對(duì)網(wǎng)絡(luò)上的其他人可見(jiàn)，這樣存在安全風(fēng)險(xiǎn)。

　　Windows防火域基本設(shè)置

　　當(dāng)我們安裝好系統(tǒng)后，默認(rèn)就已經(jīng)啟用了防火墻功能，此時(shí)，只要設(shè)置好網(wǎng)絡(luò)位置，就會(huì)阻止其他計(jì)算機(jī)與此計(jì)算機(jī)的通信。查看防火墻工作狀態(tài)的方法是，在控制面板中點(diǎn)擊系統(tǒng)和安全，從中打開(kāi)Windows防火墻即可，然后就可以看到下圖所示的狀態(tài)：

　　如果希望打開(kāi)或關(guān)閉Windows防火墻的話，只需要點(diǎn)擊左側(cè)的“打開(kāi)或關(guān)閉防火墻”即可，然后看到如下圖所示的界面：

　　從此圖可以看到針對(duì)專(zhuān)用網(wǎng)中的家庭網(wǎng)絡(luò)和工作網(wǎng)絡(luò)已經(jīng)開(kāi)啟了防火墻功能，此時(shí)就會(huì)封鎖所有的傳入連接。

　　但在實(shí)際應(yīng)用中，不能把所有的傳入連接都給封鎖，在此用戶(hù)可以根據(jù)需要設(shè)置相應(yīng)的“白名單”來(lái)放開(kāi)某些連接，方法是點(diǎn)擊防火墻工作狀態(tài)界面左側(cè)中的“允許程序或功能通過(guò)Windows防火墻”，出現(xiàn)下圖所示的界面：

　　將某個(gè)程序添加到防火墻中允許的程序列表或打開(kāi)一個(gè)防火墻端口時(shí)，則允許特定程序通過(guò)防火墻與您的計(jì)算機(jī)之間發(fā)送或接收信息。允許程序通過(guò)防火墻進(jìn)行通信(有時(shí)稱(chēng)為“解除阻止”)就像是在防火墻中打開(kāi)了一個(gè)孔。

　　每次打開(kāi)一個(gè)端口或允許某個(gè)程序通過(guò)防火墻進(jìn)行通信時(shí)，計(jì)算機(jī)的安全性也在隨之降低。您的防火墻擁有允許的程序或打開(kāi)的端口越多，黑客或惡意軟件使用這些通道傳播蠕蟲(chóng)、訪問(wèn)文件或使用計(jì)算機(jī)將惡意軟件傳播到其他計(jì)算機(jī)的機(jī)會(huì)也就越大。

　　防火墻 的高級(jí)安全設(shè)置

　　剛才的基本設(shè)置操作比較簡(jiǎn)單，但功能也單一，如果需要進(jìn)一步設(shè)置Windows 防火墻規(guī)則，就需要通過(guò)“高級(jí)安全Windows 防火墻”功能。打開(kāi)方法如下：管理工具中點(diǎn)擊高級(jí)安全Windows防火墻，或者是在剛才的防火墻狀態(tài)中點(diǎn)擊高級(jí)設(shè)置。如下圖所示，然后，可以看到右側(cè)所示的界面。

　　什么是高級(jí)安全Windows防火墻：

　　使用高級(jí)安全 Windows 防火墻可以幫助用戶(hù)保護(hù)網(wǎng)絡(luò)上的計(jì)算機(jī)。通過(guò)該防火墻您可以確定允許在計(jì)算機(jī)和網(wǎng)絡(luò)之間傳輸?shù)木W(wǎng)絡(luò)流量。它還包括使用 Internet 協(xié)議安全性 (IPsec) 保護(hù)在網(wǎng)絡(luò)間傳送的流量的連接安全規(guī)則。

　　高級(jí)安全 Windows 防火墻是一種有狀態(tài)的防火墻，它檢查并篩選 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 流量的所有數(shù)據(jù)包。在此上下文中，篩選意味著通過(guò)管理員定義的規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行處理，進(jìn)而允許或阻止網(wǎng)絡(luò)流量。默認(rèn)情況下阻止傳入流量，除非是對(duì)主機(jī)請(qǐng)求(請(qǐng)求的流量)的響應(yīng)，或者得到特別允許(即創(chuàng)建了允許該流量的防火墻規(guī)則)。可以通過(guò)指定端口號(hào)、應(yīng)用程序名稱(chēng)、服務(wù)名稱(chēng)或其他標(biāo)準(zhǔn)將高級(jí)安全 Windows 防火墻配置為顯式允許流量。

　　創(chuàng)建防火墻規(guī)則：

　　可以創(chuàng)建防火墻規(guī)則以允許此計(jì)算機(jī)向程序、系統(tǒng)服務(wù)、計(jì)算機(jī)或用戶(hù)發(fā)送流量，或者從程序、系統(tǒng)服務(wù)、計(jì)算機(jī)或用戶(hù)接收流量。當(dāng)用戶(hù)的連接匹配該規(guī)則標(biāo)準(zhǔn)的所有連接執(zhí)行以下三個(gè)操作之一：允許連接、只允許通過(guò)使用 Internet 協(xié)議安全 (IPSec) 保護(hù)的連接、阻止連接。

　　可以為入站通信或出站通信創(chuàng)建規(guī)則?？膳渲靡?guī)則以指定計(jì)算機(jī)或用戶(hù)、程序、服務(wù)或者端口和協(xié)議?？梢灾付ㄒ獞?yīng)用規(guī)則的網(wǎng)絡(luò)適配器類(lèi)型：局域網(wǎng) (LAN)、無(wú)線、遠(yuǎn)程訪問(wèn)，例如虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) 連接或者所有類(lèi)型。還可以將規(guī)則配置為使用任意配置文件或僅使用指定配置文件時(shí)應(yīng)用，當(dāng) IT 環(huán)境更改時(shí)，可能必須更改、創(chuàng)建、禁用或刪除規(guī)則。

　　連接安全的實(shí)現(xiàn)：

　　連接安全包括在兩臺(tái)計(jì)算機(jī)開(kāi)始通信之前對(duì)它們進(jìn)行身份驗(yàn)證，并確保在兩臺(tái)計(jì)算機(jī)之間發(fā)送的信息的安全性。高級(jí)安全 Windows 防火墻使用 Internet 協(xié)議安全 (IPsec) 實(shí)現(xiàn)連接安全，方法是使用密鑰交換、身份驗(yàn)證、數(shù)據(jù)完整性和數(shù)據(jù)加密(可選)。連接安全規(guī)則使用 IPsec 確保其通過(guò)網(wǎng)絡(luò)時(shí)的流量安全。使用連接安全規(guī)則指定必須對(duì)兩臺(tái)計(jì)算機(jī)之間的連接進(jìn)行身份驗(yàn)證或加密?？赡苓€要必須創(chuàng)建防火墻規(guī)則以允許由連接安全規(guī)則保護(hù)的網(wǎng)絡(luò)流量。

　　什么是防火墻配置文件：

　　防火墻配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)計(jì)算機(jī)連接到的位置將其應(yīng)用于該計(jì)算機(jī)。在運(yùn)行此版本 Windows 的計(jì)算機(jī)上，高級(jí)安全 Windows 防火墻有三個(gè)配置文件：

　　每個(gè)網(wǎng)絡(luò)適配器也就是網(wǎng)卡，分配匹配所檢測(cè)網(wǎng)絡(luò)類(lèi)型的防火墻配置文件。例如，如果將網(wǎng)絡(luò)適配器連接到公用網(wǎng)絡(luò)，則到達(dá)或來(lái)自該網(wǎng)絡(luò)的所有流量會(huì)由與公用配置文件關(guān)聯(lián)的防火墻規(guī)則篩選。

　　Windows Server 2008 R2 和 Windows 7 為每個(gè)活動(dòng)網(wǎng)絡(luò)適配器配置文件提供支持。在 Windows Vista 和 Windows Server 2008 中，每次計(jì)算機(jī)上只能有一個(gè)配置文件處于活動(dòng)狀態(tài)。如果存在多個(gè)連接到不同網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器，則具有最嚴(yán)格配置文件設(shè)置的配置文件應(yīng)用于計(jì)算機(jī)上的所有適配器。公用配置文件被認(rèn)為是最為嚴(yán)格的，然后是專(zhuān)用配置文件;域配置文件被認(rèn)為是最不嚴(yán)格的。

　　如果不更改配置文件的設(shè)置，則只要高級(jí)安全 Windows 防火墻使用配置文件，就應(yīng)用其默認(rèn)值。建議為所有三個(gè)配置文件啟用高級(jí)安全 Windows 防火墻。

　　若要配置這些配置文件，請(qǐng)?jiān)诟呒?jí)安全 Windows 防火墻 MMC 管理單元中，右鍵單擊“高級(jí)安全 Windows 防火墻”，然后單擊“屬性”。

　　如果需要使用的服務(wù)或應(yīng)用程序在列表中沒(méi)有出現(xiàn)的，用戶(hù)可以通過(guò)新建規(guī)則的方式來(lái)創(chuàng)建，如現(xiàn)在操作的計(jì)算機(jī)是一臺(tái)WEB服務(wù)器，而需要開(kāi)放給其他用戶(hù)連接此網(wǎng)站，可以通過(guò)新建規(guī)劃來(lái)開(kāi)放一個(gè)80端口的規(guī)則。

　　本地 IP 地址由本地計(jì)算機(jī)用于確定規(guī)則是否適用。規(guī)則僅適用于通過(guò)配置為使用一個(gè)指定本地 IP 地址的網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)流量。任何 IP 地址，選擇此選項(xiàng)可以指定匹配具有指定為本地 IP 地址的任意地址的網(wǎng)絡(luò)數(shù)據(jù)包的規(guī)則。選中此選項(xiàng)時(shí)本地計(jì)算機(jī)始終匹配規(guī)則。下列 IP 地址，選擇此選項(xiàng)可以指定規(guī)則匹配具有“本地 IP 地址”中指定的一個(gè)地址的網(wǎng)絡(luò)流量。如果本地計(jì)算機(jī)沒(méi)有使用一個(gè)指定 IP 地址配置的網(wǎng)絡(luò)適配器，則規(guī)則不適用。在“IP 地址”對(duì)話框上，單擊“添加”可以在列表中創(chuàng)建新條目，或單擊“編輯”可以更改列表中的現(xiàn)有條目。還可以通過(guò)選擇項(xiàng)目然后單擊“刪除”從列表中刪除某個(gè)條目。

　　遠(yuǎn)程 IP 地址：指定應(yīng)用規(guī)則的遠(yuǎn)程 IP 地址。如果目標(biāo) IP 地址是列表中的地址之一，則網(wǎng)絡(luò)流量匹配規(guī)則。任何 IP 地址，此選項(xiàng)可以指定規(guī)則匹配發(fā)自(對(duì)于入站規(guī)則)或發(fā)往(對(duì)于出站規(guī)則)包含在列表中的任意 IP 地址的網(wǎng)絡(luò)數(shù)據(jù)包。下列 IP 地址，選擇此選項(xiàng)可以指定規(guī)則僅匹配具有“遠(yuǎn)程 IP 地址”中指定的一個(gè)地址的網(wǎng)絡(luò)流量。在“IP 地址”對(duì)話

　　此外還需要將此防火墻規(guī)則應(yīng)用到相應(yīng)的配置文件和接口類(lèi)型上，因此需要指定此規(guī)則所使用的配置文件，Windows 確定每個(gè)網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)位置類(lèi)型，然后對(duì)該網(wǎng)絡(luò)適配器應(yīng)用相應(yīng)的配置文件。接口類(lèi)型指的是單擊“自定義”可以指定應(yīng)用連接安全規(guī)則的接口類(lèi)型。通過(guò)“自定義接口類(lèi)型”對(duì)話框，可以選擇“所有接口類(lèi)型”或“局域網(wǎng)”、“遠(yuǎn)程訪問(wèn)”或“無(wú)線”類(lèi)型的任意組合。最后一個(gè)需要介紹的就是邊緣遍歷。邊緣遍歷允許指的是計(jì)算機(jī)接受未經(jīng)請(qǐng)求的入站數(shù)據(jù)包，這些數(shù)據(jù)包已通過(guò)諸如網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 路由器或防火墻之類(lèi)的邊緣設(shè)備。系統(tǒng)默認(rèn)是阻止應(yīng)用程序通過(guò) NAT 邊緣設(shè)備從 Internet 接收主動(dòng)提供的流量。也可以設(shè)置為遵從用戶(hù)或者是遵從應(yīng)用程序，所謂遵從用戶(hù)指的是讓用戶(hù)決定當(dāng)應(yīng)用程序請(qǐng)求通過(guò) NAT 邊緣設(shè)備從 Internet 接收主動(dòng)提供的流量時(shí)是否允許該流量。遵從應(yīng)用程序指的是讓每個(gè)應(yīng)用程序確定是否允許通過(guò) NAT 邊緣設(shè)備從 Internet 接收主動(dòng)提供的流量。