最新服務器操作系統Windows Server 2008已經發布���,在這款微軟所宣稱的“史上安全性最強”的服務器操作系統中�,新增了很多安全方面的設計和功能,其中它的防火墻也有了重大的改進�����,不過對于服務器操作系統來說��,系統自帶的普通防火墻顯然功能過于簡陋���,我們今天介紹的是它的高級安全Windows防火墻�,這是一款讓Windows Server 2008的安全性大幅提高的一個利器����。
了解高級安全Windows防火墻
在“深層防御”體系中,網絡防火墻處于周邊層�,而Windows防火墻處于主機層面。和Windows xp和Windows 2003的防火墻一樣�,Windows Server 2008的防火墻也是一款基于主機的狀態防火墻,它結合了主機防火墻和ipSec�,可以對穿過網絡邊界防火墻和發自企業內部的網絡攻擊進行防護�����,可以說基于主機的防火墻是網絡邊界防火墻的一個有益的補充�。
與以前Windows版本中的防火墻相比����,Windows Server 2008中的高級安全防火墻(WFAS)有了較大的改進,首先它支持雙向保護���,可以對出站�����、入站通信進行過濾��。
其次它將Windows防火墻功能和Internet 協議安全(IPSec)集成到一個控制臺中�����。使用這些高級選項可以按照環境所需的方式配置密鑰交換����、數據保護(完整性和加密)以及身份驗證設置。
而且WFAS還可以實現更高級的規則配置�����,你可以針對Windows Server上的各種對象創建防火墻規則�����,配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻���。
傳入數據包到達計算機時,具有高級安全性的Windows防火墻檢查該數據包�����,并確定它是否符合防火墻規則中指定的標準�����。如果數據包與規則中的標準匹配�����,則具有高級安全性的Windows防火墻執行規則中指定的操作�,即阻止連接或允許連接。如果數據包與規則中的標準不匹配,則具有高級安全性的Windows防火墻丟棄該數據包���,并在防火墻日志文件中創建條目(如果啟用了日志記錄)��。
對規則進行配置時��,可以從各種標準中進行選擇:例如應用程序名稱�����、系統服務名稱��、TCP端口���、UDP端口、本地IP地址��、遠程IP地址���、配置文件�、接口類型(如網絡適配器)���、用戶�����、用戶組�����、計算機���、計算機組���、協議、ICMP類型等��。規則中的標準添加在一起;添加的標準越多��,具有高級安全性的Windows防火墻匹配傳入流量就越精細�����。
我們可以通過多種方式來配置Windows Server 2008防火墻和IPSec的設置和選項����,下面讓我們具體看一下如何來配置Window Server 2008的這款高級防火墻��。
使用高級安全Windows防火墻管理單元管理防火墻
這種方式可以讓你在一個界面中同時配置防火墻設置和IPSec設置,還可以在監視節點中查看當前應用的策略���、規則和其它信息�。
從啟動菜單的管理工具中找到高級安全Windows防火墻���,點擊打開MMC管理單元��。
從以上界面中我們可以看到��,Windows 2008的高級安全Windows防火墻使用出站和入站兩組規則來配置其如何響應傳入和傳出的流量;通過連接安全規則來確定如何保護計算機和其它計算機之間的流量���。而且可以監視防火墻活動和規則。
下面我們來通過實際例子查看一下如何配置這幾個規則�。
首先從入站規則開始,假如我們在Windows Server 2008上安裝了一個Apache Web服務器��,默認情況下���,從遠端是無法訪問這個服務器的��,因為在入站規則中沒有配置來確認對這些流量“放行”�,下面我們就為它增加一條規則����。
打開高級安全Windows防火墻�����,點擊入站規則后從右邊的入站規則列表中我們可以看到Windows Server 2008自帶的一些安全規則�����,因為Apache是一款第三方應用軟件����,所以我們需要通過右邊操作區的【新規則】來新建一條�����。
在這兒可以看到��,我們可以基于具體的程序�����、端口�、預定義或自定義來創建入站規則���,其中每個類型的步驟會有細微的差別�����。在我們這個例子中�,我們選擇【程序】類型,點擊下一步接下來選擇具體的程序路徑�����。
第三步指定對符合條件的流量進行什么操作��,我們這兒當然是允許連接了�,接下來選擇應用規則的配置文件和為規則指定名稱后,這條規則就創建完了���,從入站規則列表中可以看到你創建的規則了?����,F在就可以正常從遠程訪問你的Apache服務器了�����,如果要對這個已經創建的規則進行修改等操作���,可以在選中規則后�,從右邊的操作區域進行操作�����。
點擊【屬性】按鈕�,會彈出下圖窗口,在這兒可以對規則進行更詳細的修改����,我們看到一條規則的可定制化屬性比以前版本的規則屬性要多很多。出站規則的配置與入站規則完全相同�,筆者不再重復,下面我們來看一下連接安全規則���。
連接安全包括在兩臺計算機開始通信之前對它們進行身份驗證�����,并確保在兩臺計算機之間正在發送的信息的安全性。具有高級安全性的 Windows 防火墻包含了 Internet 協議安全 (IPSec) 技術�,通過使用密鑰交換、身份驗證���、數據完整性和數據加密(可選)來實現連接安全�。
對于單個服務器來說,可以使用高級安全Windows防火墻管理控制單元來對防火墻進行設置����,如果在你的企業網絡中有大量計算機需要設置,這種方法就不再適合��,應該找一種更高效的方法���。
使用組策略來管理高級安全Windows防火墻
在一個使用活動目錄(AD)的企業網絡中���,為了實現對大量計算機的集中管理,你可以使用組策略來應用高級安全Windows防火墻的配置�。組策略提供了高級安全Windows防火墻的完全功能的訪問,包括配置文件��、防火墻規則和計算機安全連接規則����。
實際上,在組策略管理控制臺中為高級安全Windows防火墻配置組策略的時候是打開的同一個控制單元���。值得注意的是��,如果你使用組策略來在一個企業網絡中配置高級安全Windows防火墻的話�����,本地系統管理員是無法修改這個規則的屬性的�����。通過創建組策略對象�,可以配置一個域中所有計算機使用相同的防火墻設置。這一部分內容比較復雜����。
使用Netsh advfirewall命令行工具,雖然圖形化配置界面比較簡單直觀����,但是對于一些有經驗的系統管理員來說,則往往更喜歡使用命令行方式來完成它們的配置工作��,因為后者一旦熟練掌握的話��,可以更靈活更準確更迅速的實現配置任務����。
Netsh是可以用于配置網絡組件設置的命令行工具。具有高級安全性的Windows防火墻提供netsh advfirewall工具�����,可以使用它配置具有高級安全性的Windows防火墻設置�����。使用netsh advfirewall可以創建腳本���,以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows 防火墻設置����。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態�����。
Netsh advfirewall的命令非常多�,今天我們選擇你必須掌握的幾個最常見的命令介紹給大家。
1�����、help命令(或“?”)
這個命令雖然簡單,但這卻可能是最有用的命令�����。任何時候當你鍵入“?”命令的時候�,你會看到和上下文相關的所有選項。
2�����、consec(連接安全規則)命令
這個連接規則可以讓你創建兩個系統之間的IPSEC VPN�。換句話說,consec規則能夠讓你加強通過防火墻的通信的安全性���,而不僅僅是限制或過濾它�����。
這個命令會將你帶入到連接安全配置模式��,如下所示:
Netsh advfirewall>consec
Netsh advfirewall consec>
現在如果你鍵入“?”命令的話�,你將會在netsh advfirewall consec中看到六個不同的命令���。
從這兒你可以看到你可以通過以下命令來修改安全規則:
此上下文中的命令:
add命令可以讓你添加新連接安全規則;
delete命令讓你刪除所有匹配的連接安全規則;
dump命令顯示一個配置腳本;
help可以顯示命令列表��。
set命令讓你為現有規則的屬性設置新值��。
show命令
要想查看防火墻現在的狀況�����,你將必須使用這個show命令�,再其下提供三個不同的命令可用����。
Show alias為你列出所有定義的別名;
show helper列出所有頂層幫助者;
Show mode命令可以鋼珠你顯示防火墻是在線還是離線。
3���、Export命令
這個命令可以讓你導出防火墻當前的所有配置到一個文件中����。這個命令非常有用��,因為你可以備份所有的配置到文件中�,如果你對已經作出的配置不滿意的話,可以隨時使用這個文件來恢復到修改前的狀態��。
以下是一個應用示例:
netsh advfirewall export “c:/advfirewall.wfw”
4��、Firewall命令
使用這個命令你可以增加新的入站和出站規則到你的防火墻中。它還可以讓你修改防火墻中的規則��。
在firewall上下文命令中��,你會看到四個重要的命令�����,分別是:
Add命令讓你增加入站和出站規則;
Delete命令讓你刪除一條規則;
Set命令為現有規則的屬性設置新值;
Show命令將顯示一個指定的防火墻規則����。
以下是增加和刪除一個防火墻規則的示例:
增加一個針對messenger.exe的入站規則
netsh advfirewall firewall add rule name="allow messenger" dir=in PRogram="c:/programfiles/messenger/msmsgs.exe” action=allow
刪除針對本地21端口的所有入站規則:
netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
5、Import命令
Import命令讓你可以從一個文件中導入防火墻的配置����。這個命令可以讓你把之前你使用export命令導出的防火墻配置再恢復回去。示例如下:
Netsh advfirewall import “c:/advfirewall.wfw”
6��、Reset
這個命令讓你重新設置防火墻策略到默認策略狀態�����。使用這個命令的時候務必謹慎�����,因為一旦你鍵入這個命令并按下回車后,它將不再讓你確認是否真要重設���,直接恢復防火墻的策略����。
示例命令如下:
Netsh advfirewall reset
7��、Set命令
set命令將允許你修改防火墻的不同設置狀態����。相關的上下文命令有六個�����。
set allprofiles讓你修改所有配置文件中的屬性����。
set currentprofile 讓你只修改活動配置文件中的屬性。
set domainprofile讓你修改域配置文件中的屬性��。
set global讓你修改防火墻的全局屬性�����。
set privateprofile讓你修改專用配置文件中的屬性。
set publicprofile讓你修改公用配置文件中的屬性����。
set store讓你為當前交互式會話設置策略存儲。
以下是使用set命令的一些例子:
讓防火墻關閉所有配置文件:
netsh advfirewall set allprofiles state off
在所有配置文件中設置默認阻擋入站并允許出站通信:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
在所有配置文件中打開遠程管理:
netsh advfirewall set allprofiles settings remotemanagement enable
在所有配置文件中記錄被斷開的連接:
netsh advfirewall set allprofiles logging droppedconnections enable
8��、Show命令
這個show命令將讓你可以查看所有不同的配置文件中的設置和全局屬性���。
