高级安全Windows防火墙

与以前Windows版本中的防火墙相比,WindowsServer 2008中的高级安全Windows防火墙(WFAS)有了较大的改进,首先它支持双向保护,可以对入站、出站通信进行过滤。其次它将Windows防火墙功能和Internet协议安全(IPSec)集成到一个控制台中。在Windows Server 2008高级防火墙配置中,通过使用配置规则来响应传入和传出流量,以便确定允许或阻止哪种数据流量。当传入数据包到达计算机时,防火墙检查该数据包,并确定它是否符合防火墙规则中指定的标准,如果数据包与规则中的标准匹配,则防火墙将执行规则中指定的操作,即阻止连接或允许连接;如果数据包与规则中的标准不匹配,则防火墙将丢弃该数据包,并在防火墙日志中创建相应条目(如果启用了日志记录)。对规则进行配置时,可以从各种标准中进行选择,包括应用程序名称、系统服务名称、系统端口、IP地址等。下面就通过不同的实例,分别介绍不同规则的应用方法。1 入站规则入站规则明确允许或者阻止与规则条件匹配的通信。在默认情况下将阻止入站通信,若要允许通信,必须创建一个入站规则。例如,在一台服务器(192.168.1.25)上安装并启用FTP服务后,防火墙中将添加一条允许所有FTP入站连接的入站规则。如何配置防火墙规则以阻止客户端192.168.1.10通过FTP连接到服务器,而其他客户端都能够通过FTP连接到服务器?具体操作步骤如下所述。(1)在“管理工具”中打开“服务器管理器”。展开“配置”→“高级安全Windows防火墙”,右击“入站规则”,选择“新规则”,如图7.1所示。图7.1 新建入站规则(2)在规则类型页面中选择“端口”,单击“下一步”,如图7.2所示。图7.2 选择防火墙规则类型(3)在协议和端口页面中选择“TCP”和“特定本地端口”,并输入“21”,单击“下一步”,如图7.3所示。图7.3 选择协议和端口(4)在操作页面中选择“阻止连接”,单击“下一步”,如图7.4所示。图7.4阻止连接(5)在配置文件页面中选择“域”、“专用”、“公用”,单击“下一步”,如图7.5所示。图7.5 选择配置文件(6)在名称页面中输入名称和描述,然后单击“完成”按钮,如图7.6所示。图7.6 指定入站规则名称注意啦:防火墙有域配置文件、专用配置文件和公用配置文件三个配置文件,分别用于域环境、单机环境和公用环境,一般可以选择域、专用和公用复选框以便规则适用于各种环境。 (7)在入站规则中右击“FTP入站”规则,选择“属性”,在“作用域”选项卡中添加本地IP地址和要阻止的远程IP地址,如图7.7所示。图7.7 配置入站规则属性在IP地址为192.168.1.10的计算机上通过ftp://192.168.1.25访问FTP服务器;在其他IP地址的计算机上通过ftp://192.168.1.25访问FTP服务器。前者的访问结果如图7.8所示,而后者可以正常访问。图7.8 访问FTP服务器错误2 出站规则出站规则明确允许或者拒绝来自与规则条件匹配的计算机的通信。例如,可以将规则配置为明确阻止出站通信通过防火墙到达某一台计算机,但允许同样的通信到达其他计算机。默认情况下允许出站通信,因此必须创建出站规则来阻止通信。案例:有一台Web服务器的IP地址为192.168.1.10,本地计算机的默认出站连接设置为允许,如何通过出站规则阻止本地计算机通过IE访问Web服务器?具体操作步骤如下所述。(1)在“管理工具”中打开“服务器管理器”。展开“配置”→“高级安全Windows防火墙”,右击“出站规则”,选择“新规则”,如图7.9所示。图7.9新建出站规则(2)在规则类型页面中选择要创建的规则类型为“程序”,单击“下一步”,如图7.10所示图7.10指定规则类型(3)在程序页面中选择“此程序路径”,并输入“%ProgramFiles%\InternetExplorer\ iexplore. exe”,然后单击“下一步”按钮,如图7.11所示。图7.11指定程序路径(4)在操作页面中选择“阻止连接”,单击“下一步”,如图7.12所示。图7.12阻止连接(5)在配置文件页面中选择“域”、“专用”、“公用”,单击“下一步”,如图7.13所示。图7.13选择配置文件(6)在名称页面中输入名称和描述,然后单击“完成”按钮,如图7.14所示。图7.14指定出站规则名称(7)单击出站规则,查看创建的“IE出站”规则,如图7.15所示。图7.15查看出站规则在本地计算机上通过IE访问Web服务器,结果如图7.16所示。单击“诊断连接问题”,查看Windows网络诊断结果,如图7.17所示。图7.16访问Web服务器错误图7.17诊断连接问题通过对入站和出站规则的合理设置,系统的安全性将大大增强,从而能够更有效地增强计算机的安全性。