微軟Windows操作系統(tǒng)自帶的防火墻是一款基于主機(jī)的防火墻，當(dāng)企業(yè)網(wǎng)絡(luò)防火墻出現(xiàn)問(wèn)題被入侵之后，此防火墻可以作為最后一個(gè)防護(hù)屏障，但是微軟在windows2008之前的系統(tǒng)防火墻功能比較簡(jiǎn)單，而在windows2008增強(qiáng)了此防火墻的功能，本文將介紹一下windows2008防火墻的新功能和配置方法。


一、我們來(lái)了解下windows2008防火墻的新功能：

1、新的管理工具
windows2008現(xiàn)在通過(guò)一個(gè)叫做“高級(jí)安全windows防火墻“的一個(gè)專用管理控制臺(tái)單元來(lái)實(shí)現(xiàn)防火墻功能的配置和管理。
2、出站和入站的雙向保護(hù)
相對(duì)于之前的防火墻只能支持入站限制來(lái)說(shuō)，windows2008同時(shí)支持對(duì)應(yīng)用程序的出站、入站雙向的通信限制，更加符合今天系統(tǒng)和應(yīng)用程序的安全性要求。
3、和IPSEC功能的集成
Windows2008的防火墻已經(jīng)將Windows防火墻功能和IPSec功能集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置，不需要再用單獨(dú)的IPSEC管理工具。
4、針對(duì)windows各種對(duì)象的安全規(guī)則
在Windows 2008防火墻的上可以針對(duì)各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許對(duì)象流量通過(guò)具有Windows防火墻。當(dāng)傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，防火墻將檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則防火墻執(zhí)行規(guī)則中指定的操作，如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則防火墻會(huì)丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建相應(yīng)記錄(如果啟用了日志記錄)。


二、windows2008防火墻的配置

1、配置方式：windows2008防火墻支持兩種配置方式

命令行配置方式
Netsh 是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。您可以通過(guò) netsh advfirewall 上下文中的命令配置 高級(jí)安全 Windows 防火墻 設(shè)置。使用 Netsh，您可以創(chuàng)建腳本自動(dòng)配置 高級(jí)安全 Windows 防火墻 設(shè)置，創(chuàng)建防火墻規(guī)則和連接安全規(guī)則，監(jiān)視活動(dòng)的連接，以及顯示 高級(jí)安全 Windows 防火墻 的配置和狀態(tài)。
通過(guò)在命令行中輸入 Netsh 上下文后，命令提示符將顯示 netsh> 提示符。此時(shí)，通過(guò)鍵入以下內(nèi)容，輸入 advfirewall 上下文：處于 advfirewall 上下文中后，可以鍵入該上下文中的命令。包括以下命令：
•export。將當(dāng)前防火墻策略導(dǎo)出到文件。
•dump。不在 advfirewall 上下文中執(zhí)行此命令。不生成輸出內(nèi)容，且不生成錯(cuò)誤消息。
•help。顯示可用命令的列表。
•import。從指定文件導(dǎo)入防火墻策略。
•reset。將 高級(jí)安全 Windows 防火墻 還原到默認(rèn)配置。
•set。支持下列命令：
•set file。將控制臺(tái)輸出復(fù)制到文件。
•set machine。設(shè)置將在其上操作的當(dāng)前計(jì)算機(jī)。
•show。顯示特定配置文件的屬性。例如：
•show allprofiles
•show domainprofile
•show privateprofile
•show publicprofile
除 advfirewall 上下文可用的命令外，advfirewall 還支持子上下文。若要輸入子上下文，請(qǐng)?jiān)?netsh advfirewall> 提示符處鍵入子上下文的名稱。可用的子上下文如下：
•consec。允許您查看和配置計(jì)算機(jī)安全連接規(guī)則。
•firewall。允許您查看和配置防火墻規(guī)則。
•mainmode。允許您查看和配置主模式配置規(guī)則。
•monitor。允許您查看當(dāng)前 IPsec、防火墻和主模式狀態(tài)和當(dāng)前快速模式和在本地計(jì)算機(jī)上建立的主模式安全關(guān)聯(lián)。還可以使用 Netsh Commands for Windows Filtering Platform (WFP) in Windows Server 2008 R2 上下文監(jiān)視 IPsec 等。
通過(guò)開(kāi)始菜單的windows高級(jí)安全防火墻來(lái)進(jìn)行配置
此工具為圖形化配置工具，通過(guò)此工具以下幾方面的配置
入站規(guī)則
出站規(guī)則
連接請(qǐng)求規(guī)則
監(jiān)視
 
對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)。

2、　創(chuàng)建高級(jí)安全規(guī)則的步驟
　
1）在 高級(jí)安全 Windows 防火墻 中的控制臺(tái)樹(shù)中，單擊“連接安全規(guī)則”。
2）在“操作”列表中，單擊“新建規(guī)則”。
使用“規(guī)則類型”頁(yè)，可以選擇要?jiǎng)?chuàng)建規(guī)則的類型。選擇一個(gè)類型，并根據(jù)以下部分中的信息使用向?qū)渲眯乱?guī)則。

使用 高級(jí)安全 Windows 防火墻，您可以創(chuàng)建以下部分中所述的規(guī)則類型。
隔離
使用隔離規(guī)則隔離計(jì)算機(jī)，方法是限制基于憑據(jù)的入站連接，如域成員身份或符合定義所需軟件和軟件配置的策略。隔離規(guī)則允許您實(shí)施服務(wù)器或域隔離策略。創(chuàng)建隔離規(guī)則時(shí)，將看到以下向?qū)ы?yè)：
•要求。需要進(jìn)行身份驗(yàn)證時(shí)可以選擇：
•請(qǐng)求對(duì)入站和出站連接進(jìn)行身份驗(yàn)證
•要求對(duì)入站連接進(jìn)行身份驗(yàn)證并請(qǐng)求對(duì)出站連接進(jìn)行身份驗(yàn)證
•要求對(duì)入站和出站連接進(jìn)行身份驗(yàn)證
•方法。可以從以下身份驗(yàn)證方法中選擇：
•默認(rèn)設(shè)置。此選擇使用“Windows 防火墻屬性”頁(yè)的“IPsec 設(shè)置”選項(xiàng)卡上指定的當(dāng)前計(jì)算機(jī)默認(rèn)選擇。
•計(jì)算機(jī)和用戶 (Kerberos V5)。此方法使用基于計(jì)算機(jī)和用戶的 Kerberos V5 身份驗(yàn)證限制到加入域的用戶和計(jì)算機(jī)的連接。用戶身份驗(yàn)證（）僅與運(yùn)行 Windows Vista 和更高版本的計(jì)算機(jī)兼容。
•計(jì)算機(jī)(Kerberos V5)。此方法使用 Kerberos V5 身份驗(yàn)證限制到加入域的計(jì)算機(jī)的連接。此方法與運(yùn)行 Windows 2000 或更高版本的計(jì)算機(jī)兼容。
•計(jì)算機(jī)證書(shū)。此方法限制到具有指定 CA 提供證書(shū)的計(jì)算機(jī)的連接。此方法與運(yùn)行 Windows 2000 或更高版本和很多其他操作系統(tǒng)的計(jì)算機(jī)兼容。將此方法用于運(yùn)行 Windows Vista 或更高版本的計(jì)算機(jī)時(shí)，還可以指定僅接受應(yīng)用 NAP 運(yùn)行狀況策略的證書(shū)。
•高級(jí)。使用此設(shè)置，您可以指定多個(gè)身份驗(yàn)證方法。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•名稱。命名規(guī)則并鍵入可選描述。
免除身份驗(yàn)證
可以使用身份驗(yàn)證豁免來(lái)指定不需要進(jìn)行身份驗(yàn)證的計(jì)算機(jī)。位于隔離域中的計(jì)算機(jī)可以與此規(guī)則中列出的計(jì)算機(jī)通信，即使他們無(wú)法進(jìn)行身份驗(yàn)證?？梢酝ㄟ^(guò) IP 地址、IP 地址范圍、子網(wǎng)或預(yù)定義組（如網(wǎng)關(guān)）來(lái)指定計(jì)算機(jī)。創(chuàng)建身份驗(yàn)證豁免規(guī)則時(shí)，必須配置以下向?qū)ы?yè)上的選項(xiàng)：
•免除計(jì)算機(jī)。添加免于身份驗(yàn)證的計(jì)算機(jī)?？梢园?IP 地址或 IP 地址范圍添加計(jì)算機(jī)，或基于其作用添加計(jì)算機(jī)，如默認(rèn)網(wǎng)關(guān)，或配置本地計(jì)算機(jī)使用的 DNS 服務(wù)器。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•“名稱”。命名規(guī)則并鍵入可選描述。
服務(wù)器到服務(wù)器
服務(wù)器到服務(wù)器規(guī)則保護(hù)指定計(jì)算機(jī)之間的連接。這種類型的規(guī)則通常保護(hù)服務(wù)器之間的連接。創(chuàng)建該規(guī)則時(shí)，指定保護(hù)期間通信的網(wǎng)絡(luò)終結(jié)點(diǎn)。然后指定要使用的身份驗(yàn)證要求和身份驗(yàn)證類型。創(chuàng)建服務(wù)器到服務(wù)器規(guī)則時(shí)，必須配置以下向?qū)ы?yè)上的選項(xiàng)：
•終結(jié)點(diǎn)。指定屬于終結(jié)點(diǎn) 1 和終結(jié)點(diǎn) 2 的計(jì)算機(jī)。終結(jié)點(diǎn) 1 可以包含所有計(jì)算機(jī)、按 IP 地址指定的計(jì)算機(jī)或可以通過(guò)指定連接類型（例如局域網(wǎng)或無(wú)線連接）訪問(wèn)的計(jì)算機(jī)。終結(jié)點(diǎn) 2 可以包含所有計(jì)算機(jī)或按 IP 地址指定的計(jì)算機(jī)。
•要求。需要進(jìn)行身份驗(yàn)證時(shí)選擇。選項(xiàng)與“隔離”部分中介紹的選項(xiàng)相同。
•身份驗(yàn)證方法。選擇身份驗(yàn)證方法，包括計(jì)算機(jī)證書(shū)或自定義高級(jí)方法。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•名稱。命名規(guī)則并鍵入可選描述。
隧道
隧道規(guī)則允許您保護(hù)網(wǎng)關(guān)計(jì)算機(jī)之間的連接，通常在 Internet 上連接兩個(gè)安全網(wǎng)關(guān)時(shí)使用。必須通過(guò) IP 地址指定隧道終結(jié)點(diǎn)并通過(guò)配置以下向?qū)ы?yè)指定身份驗(yàn)證方法：
•“隧道類型”。指定要?jiǎng)?chuàng)建的隧道的類型：客戶端到網(wǎng)關(guān)，或網(wǎng)關(guān)到客戶端，或自定義的隧道。還可以指定到達(dá)隧道終結(jié)點(diǎn)（已受
•要求。指定是否必須對(duì)通過(guò)該隧道的網(wǎng)絡(luò)通訊進(jìn)行身份驗(yàn)證，如果是，是請(qǐng)求身份驗(yàn)證，還是要求身份驗(yàn)證。
•隧道終結(jié)點(diǎn)。按 IP 地址或 IP 地址范圍識(shí)別計(jì)算機(jī)，這些計(jì)算機(jī)充當(dāng)屬于每個(gè)終結(jié)點(diǎn)（終結(jié)點(diǎn) 1 和終結(jié)點(diǎn) 2）的計(jì)算機(jī)的網(wǎng)關(guān)。這些選項(xiàng)在此頁(yè)上是否可用取決于您在首頁(yè)上選擇的隧道類型。
•身份驗(yàn)證方法。選擇身份驗(yàn)證方法，包括計(jì)算機(jī)證書(shū)或自定義高級(jí)方法。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•“名稱”。命名規(guī)則并鍵入可選描述。
自定義
當(dāng)使用新連接安全規(guī)則向?qū)е械钠渌愋偷目捎靡?guī)則無(wú)法設(shè)置所需的身份驗(yàn)證規(guī)則時(shí)，使用自定義規(guī)則對(duì)兩個(gè)終結(jié)點(diǎn)之間的連接進(jìn)行身份驗(yàn)證?？梢栽谝韵孪?qū)ы?yè)上配置選項(xiàng)：
•終結(jié)點(diǎn)。指定屬于終結(jié)點(diǎn) 1 和終結(jié)點(diǎn) 2 的計(jì)算機(jī)。終結(jié)點(diǎn) 1 可以包含所有計(jì)算機(jī)、按 IP 地址指定的計(jì)算機(jī)或可以通過(guò)指定連接類型（例如局域網(wǎng)或無(wú)線連接）訪問(wèn)的計(jì)算機(jī)。終結(jié)點(diǎn) 2 可以包含所有計(jì)算機(jī)或按 IP 地址指定的計(jì)算機(jī)。
•要求。需要進(jìn)行身份驗(yàn)證時(shí)選擇。選項(xiàng)與“隔離”部分中介紹的選項(xiàng)相同。
•方法。選擇身份驗(yàn)證方法。選項(xiàng)與“隔離”部分中介紹的選項(xiàng)相同。
•協(xié)議和端口。指定協(xié)議，和 TCP 或 UDP，受此連接安全規(guī)則影響的源端口和目標(biāo)端口。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•“名稱”。命名規(guī)則并鍵入可選描述。

3、配置防火墻屬性

  1）配置文件設(shè)置
每個(gè)配置文件的選項(xiàng)卡中的相同選項(xiàng)控制當(dāng)計(jì)算機(jī)連接到該類型的網(wǎng)絡(luò)后 高級(jí)安全 Windows 防火墻 的運(yùn)行方式。
可以為這三個(gè)配置文件中的每個(gè)配置文件進(jìn)行配置的選項(xiàng)如下所示：
•防火墻狀態(tài)?？梢詾槊總€(gè)配置文件單獨(dú)打開(kāi)或關(guān)閉 高級(jí)安全 Windows 防火墻。
•入站連接?？梢詫⑷胝具B接配置為以下設(shè)置之一：
•阻止（默認(rèn)）。 高級(jí)安全 Windows 防火墻 阻止與任何活動(dòng)防火墻規(guī)則不匹配的入站連接。選擇此設(shè)置后，必須創(chuàng)建入站允許規(guī)則以允許您的應(yīng)用程序所需的流量。
•阻止所有連接。 高級(jí)安全 Windows 防火墻 忽略所有入站規(guī)則，從而有效阻止所有入站連接。
•允許。 高級(jí)安全 Windows 防火墻 允許與活動(dòng)防火墻規(guī)則不匹配的入站連接。選擇此設(shè)置后，必須創(chuàng)建入站阻止規(guī)則以阻止您不希望出現(xiàn)的流量。
•出站連接?？梢詫⒊稣具B接配置為以下設(shè)置之一：
•允許（默認(rèn)）。 高級(jí)安全 Windows 防火墻 允許與任何活動(dòng)防火墻規(guī)則不匹配的出站連接。選擇此設(shè)置后，必須創(chuàng)建出站規(guī)則以阻止您不希望出現(xiàn)的出站網(wǎng)絡(luò)流量。
•阻止。 高級(jí)安全 Windows 防火墻 阻止與活動(dòng)防火墻規(guī)則不匹配的出站連接。選擇此設(shè)置后，必須創(chuàng)建出站規(guī)則以允許您的應(yīng)用程序所需的出站網(wǎng)絡(luò)流量。
•受保護(hù)的網(wǎng)絡(luò)連接?？梢耘渲媚膫€(gè)活動(dòng)網(wǎng)絡(luò)連接受此配置文件要求限制。默認(rèn)情況下，所有網(wǎng)絡(luò)連接受所有配置文件限制。單擊“自定義”，然后選擇希望保護(hù)的網(wǎng)絡(luò)連接。
•設(shè)置。單擊“設(shè)置”區(qū)域中的“自定義”可配置以下設(shè)置：
•當(dāng)阻止某個(gè)程序接收入站通信時(shí)，會(huì)向用戶顯示通知。該設(shè)置控制 Windows 是否顯示通知，并允許用戶知道某個(gè)入站連接已被阻止。
•允許多播或廣播請(qǐng)求的單播響應(yīng)。該設(shè)置允許計(jì)算機(jī)接收對(duì)其傳出多播或廣播請(qǐng)求的單播響應(yīng)。
•應(yīng)用本地防火墻規(guī)則。除了組策略應(yīng)用的特定于此計(jì)算機(jī)的防火墻規(guī)則之外，還要在允許本地管理員在此計(jì)算機(jī)上創(chuàng)建和應(yīng)用防火墻規(guī)則時(shí)，選擇此選項(xiàng)。當(dāng)清除該選項(xiàng)時(shí)，管理員仍然可以創(chuàng)建規(guī)則，但不會(huì)應(yīng)用規(guī)則。只有當(dāng)通過(guò)組策略配置策略時(shí)才能使用該設(shè)置。
•允許本地連接安全規(guī)則。除了組策略應(yīng)用的特定于此計(jì)算機(jī)的連接安全規(guī)則之外，還要在允許本地管理員在此計(jì)算機(jī)上創(chuàng)建和應(yīng)用連接安全規(guī)則時(shí)，選擇此選項(xiàng)。當(dāng)清除該選項(xiàng)時(shí)，管理員仍然可以創(chuàng)建規(guī)則，但不會(huì)應(yīng)用規(guī)則。
•日志記錄。單擊“日志記錄”區(qū)域中的“自定義”可配置以下日志記錄選項(xiàng)：
•名稱。默認(rèn)情況下，該文件存儲(chǔ)在 %windir%\system32\logfiles\firewall\pfirewall.log 中。
•大小限制。默認(rèn)情況下，大小限制為 4096 KB。
•記錄丟棄的數(shù)據(jù)包。默認(rèn)情況下，不記錄丟棄的數(shù)據(jù)包。
•記錄成功的連接。默認(rèn)情況下，不記錄成功的連接。

 2）配置IPSEC

在單擊“本地計(jì)算機(jī)上的高級(jí)安全 Windows 防火墻”屬性頁(yè)的“IPSec 設(shè)置”選項(xiàng)卡上的“自定義”按鈕時(shí)，將出現(xiàn)圖 5 所示的“IPSec 設(shè)置”對(duì)話框。當(dāng)創(chuàng)建計(jì)算機(jī)連接安全規(guī)則時(shí)使用這些設(shè)置。請(qǐng)注意，如果您使用組策略配置了這些 IPsec 默認(rèn)值，則對(duì)話框頂部的消息會(huì)通知用戶，并禁用受影響的控件。您仍可以單擊“自定義”按鈕以查看不同的設(shè)置，但是這些對(duì)話框上的大多數(shù)控件也會(huì)被禁用。
 
該對(duì)話框允許您選擇下列選項(xiàng)：
•“密鑰交換（主模式）”。若要啟用安全通信，必須使兩臺(tái)計(jì)算機(jī)能夠訪問(wèn)同一共享密鑰，而不通過(guò)網(wǎng)絡(luò)傳輸該密鑰。單擊“自定義”按鈕以配置安全方法、密鑰交換算法以及密鑰生存期。這些設(shè)置用于保護(hù) IPsec 協(xié)商，而 IPsec 協(xié)商反過(guò)來(lái)又會(huì)確定用于連接上發(fā)送的其余數(shù)據(jù)的保護(hù)。
•“數(shù)據(jù)保護(hù)(快速模式)”。IPsec 數(shù)據(jù)保護(hù)定義用來(lái)為連接提供數(shù)據(jù)完整性和加密的算法和協(xié)議。數(shù)據(jù)完整性確保在傳輸過(guò)程中不會(huì)修改數(shù)據(jù)。數(shù)據(jù)加密使用加密隱藏信息。高級(jí)安全 Windows 防火墻使用身份驗(yàn)證頭 (AH) 或封裝式安全措施負(fù)載 (ESP) 提供數(shù)據(jù)保護(hù)。高級(jí)安全 Windows 防火墻使用 ESP 進(jìn)行數(shù)據(jù)加密。
•身份驗(yàn)證方法。除非規(guī)則或組策略設(shè)置指定了其他方法，否則使用此設(shè)置為本地計(jì)算機(jī)上的 IPsec 連接選擇默認(rèn)的身份驗(yàn)證方法。默認(rèn)的身份驗(yàn)證方法為 Kerberos 版本 5，這種方法在實(shí)施域隔離的規(guī)則上非常有用。您還可以限制僅連接到具有來(lái)自特定證書(shū)頒發(fā)機(jī)構(gòu) (CA) 的證書(shū)的那些計(jì)算機(jī)。
此外，windows高級(jí)安全防火墻還提供防火墻的監(jiān)控功能，為管理員管理和監(jiān)控服務(wù)器的安全狀態(tài)提供了良好的依據(jù)。

【編輯推薦】

1. Windows Server 2008安全性和高可用性
2. 優(yōu)秀的接班人——Windows Server 2008
3. Windows Server 2008 VDI架構(gòu)
4. Windows Server 2008組策略安全實(shí)踐手冊(cè)
5. Windows Server 2008安全性和高可用性