Windows Server 2008設定防火牆策略詳解

什麼是防火牆

防火牆一般都是指網路防火牆，是一個位於計算機和它所連線的網路之間的軟體。計算機流入流出的所有網路通訊均要經過網路防火牆。防火牆對流經它的網路通訊進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通訊。最後，它可以禁止來自特殊站點的存取，從而防止來自不明入侵者的所有通訊。

講人話就是，防火牆相當於一個“門衛”，它只關心兩樣東西：從哪裡來和到哪裡去。

牆和門衛的區別

牆所起的作用是隔斷，無論誰都過不去，但是門衛就不一樣了，他的職能是檢查和判斷是否可以通過，只要符合條件就可以通過，門衛更加靈活一些。

Windows Server 2008 防火牆

簡介

Windows Server 2008 高階安全 Windows 防火牆(簡稱 WFAS)。

新增功能

1、新的圖形化介面：現在通過一個管理控制檯單元來設定這個高階防火牆。

2、雙向保護：對出站、入站通訊進行過濾。

3、與 IPSEC 更好的配合：具有高階安全性的 Windows 防火牆將 Windows 防火牆功能和 Internet?協定安全(IPSec)整合到一個控制檯中。使用這些高階選項可以按照環境所需的方式設定金鑰交換、資料保護(完整性和加密)以及身份驗證設定。

4、高階規則設定：你可以針對 Windows Server 上的各種物件建立防火牆規則，設定防火牆規則以確定阻止還是允許流量通過具有高階安全性的 Windows 防火牆。

傳入封包到達計算機時，具有高階安全性的 Windows 防火牆檢查該封包，並確定它是否符合防火牆規則中指定的標準。如果封包與規則中的標準匹配，則具有高階安全性的 Windows 防火牆執行規則中指定的操作，即阻止連線或允許連線。如果封包與規則中的標準不匹配，則具有高階安全性的 Windows 防火牆丟棄該封包，並在防火牆紀錄檔檔案中建立條目(如果啟用了紀錄檔記錄)。

對規則進行設定時，可以從各種標準中進行選擇：例如應用程式名稱、系統服務名稱、TCP 埠、UDP 埠、本地 IP 地址、遠端 IP 地址、組態檔、介面型別(如網路介面卡)、使用者、使用者組、計算機、計算機組、協定、ICMP 型別等。規則中的標準新增在一起;新增的標準越多，具有高階安全性的 Windows 防火牆匹配傳入流量就越精細。

通過增加雙向防護功能、一個更好的圖形介面和高階的規則設定，這個高階安全 Windows 防火牆正在變得和傳統的基於主機的防火牆一樣強大，例如 ZoneAlarm Pro 等。

通過使用這個高階防火牆，你可以更好的加固你的伺服器以免遭攻擊，讓你的伺服器不被利用去攻擊別人，以及真正確定什麼資料在進出你的伺服器。

windows 防火牆設定

管理員可以或者從 Windows 伺服器管理器設定它，或者從只有 Windows 高階安全防火牆 MMC 管理單元中設定它。

啟動這個 Windows 高階安全防火牆的最簡單最快速的方法是，在開始選單的搜尋方塊中鍵入‘防火牆’。

另外，你還可以用設定網路元件設定的命令列工具 Netsh 來設定 Windows 高階安全防火牆。使用 netsh advfirewall 可以建立指令碼，以便自動同時為 IPv4 和 IPv6 流量設定一組具有高階安全性的 Windows 防火牆設定。還可以使用 netsh advfirewall 命令顯示具有高階安全性的 Windows 防火牆的設定和狀態。

預設情況下，當你第一次進入 Windows 高階安全防火牆管理控制檯的時候，你將看到 Windows 高階安全防火牆預設開啟，並且阻擋不匹配入站規則的入站連線。此外，這個新的出站防火牆預設被關閉。

（這裡我已經設定過了，所以是關閉的）

你將注意的其他事情是，這個 Windows 高階安全防火牆還有多個組態檔供使用者選擇。

在這個 Windows 高階安全防火牆中有一個域組態檔、專用組態檔和公用組態檔。組態檔是一種分組設定的方法，如防火牆規則和連線安全規則，根據計算機連線的位置將其應用於該計算機。例如根據你的計算機是在企業區域網中還是在本地咖啡店中。

再來對比一下 Windows 2008 Server 中的設定視窗。

注意協定和埠標籤只是這個多標籤視窗中的一小部分。你還可以將規則應用到使用者及計算機、程式和服務以及 IP 地址範圍。通過這種複雜的防火牆規則設定，微軟已經將 Windows 高階安全防火牆朝著微軟的 IAS Server 發展。

如何建立一個客製化的入站規則?

假如說你已經在你的 Windows 2008 Server 上安裝了 Windows 版的 Nginx 網站伺服器。如果你已經使用了 Windows 內建的 IIS 網站伺服器，這個埠自動會為你開啟。但是，由於你現在使用一個來自第三方的網站伺服器，而且你開啟了入站防火牆，你必須手動的開啟這個視窗。

以下是步驟：

識別你要遮蔽的協定-在我們的例子中，它是 TCP/IP(與之對應的則是 UDP/IP 或 ICMP)。

識別源 IP 地址、源埠號、目的 IP 地址和目的埠。我們進行的 Web 通訊是來自於任何 IP 地址和任何埠號並流向這個伺服器 80 埠的資料通訊。(注意，你可以為一個特定的程式建立一條規則，諸如這兒的 Nginx 伺服器)。

開啟 Windows 高階安全防火牆管理控制檯。

增加規則-點選在 Windows 高階安全防火牆 微軟管理控制檯（英語：Microsoft Management Console，簡稱MMC） 中的新建規則按鈕，開始啟動新規則的嚮導。

1、設定入站規則

2、設定規則型別

3、設定協定與埠

4、設定連線符合指定條件時應該進行什麼操作？

5、設定組態檔

6、設定名稱與描述

7、新增完畢

8、開啟防火牆

至此，我們已經可以設定windows Server 2008 的防火牆啦。

到此這篇關於Windows Server 2008設定防火牆策略詳解的文章就介紹到這了,更多相關Win2008設定防火牆 內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com！