使用netsh這個工具以Windows命令行界面(CLI)的方式對防火墻進行配置。選擇這種配置方式的理由有很多，讓我們一起尋找答案吧。

　　了解Netsh advfirewall工具

　　在新的Windows 2008 Server中，你會看到一個更加高級的基于主機的防火墻。在上篇文章中我們已經(jīng)提到它的一些新功能：

　　·新的圖形化界面—現(xiàn)在通過一個管理控制臺單元來配置這個高級防火墻。

　　·雙向保護—對出站、入站通信進行過濾。

　　·與IPSEC更好的配合—現(xiàn)在防火墻規(guī)則和IPSec加密配置被集成到一個界面中。

　　·高級規(guī)則配置—你可以針對Windows Server上的各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。

　　Netsh是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。具有高級安全性的Windows防火墻提供netsh advfirewall工具，可以使用它配置具有高級安全性的Windows防火墻設(shè)置。使用netsh advfirewall可以創(chuàng)建腳本，以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows 防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態(tài)。 

為什么要使用命令行界面來配置一個Windows防火墻?

　　俗話說，蘿卜青菜各有所愛。有的人喜歡使用圖形化的管理單元來配置這個新的防火墻，有的人則更愿意通過命令行方式來完成他們的配置工作，理由如下：

　　·配置更快速—一旦你熟練掌握了如何使用netsh advfirewall命令，在配置防火墻的時候要比使用圖形化界面速度快的多。

　　·可以編寫腳本—使用這個工具你可以對一些常用的功能編寫腳本。

　　·在圖形化界面不可用時依然可以配置防火墻—和其他命令行工具一樣，當圖形化界面不可用的時候，例如在Windows Server 2008 Core模式下，你依然能夠使用netsh advfirewall工具來對防火墻進行配置。 

有哪些命令可用?

　　Netsh advfirewall的命令非常多，今天我們選擇你必須掌握的幾個最常見的命令介紹給大家。

　　1、help命令(或“?”)

　　雖然簡單，但這卻可能是最有用的命令。任何時候當你鍵入“?”命令的時候，你會看到和上下文相關(guān)的所有選項，如圖1。

圖1、netsh advfirewall的和help選項

    
    2、consec(連接安全規(guī)則)命令

　　這個連接規(guī)則可以讓你創(chuàng)建兩個系統(tǒng)之間的IPSEC VPN。換句話說，consec規(guī)則能夠讓你加強通過防火墻的通信的安全性，而不僅僅是限制或過濾它。

　　這個命令會將你帶入到連接安全配置模式，如下所示：

　　Netsh advfirewall>consec

　　Netsh advfirewall consec>

　　現(xiàn)在如果你鍵入“?”命令的話，你將會在netsh advfirewall consec中看到六個不同的命令(見圖2)。

　　從這兒你可以看到你可以通過以下命令來修改安全規(guī)則：

　　此上下文中的命令:

　　·add命令可以讓你添加新連接安全規(guī)則；

　　·delete命令讓你刪除所有匹配的連接安全規(guī)則；

　　·dump命令顯示一個配置腳本；

　　·help可以顯示命令列表。

　　·set命令讓你為現(xiàn)有規(guī)則的屬性設(shè)置新值。

圖2、netsh advfirewall consec命令選項

    
    show命令

　　要想查看防火墻現(xiàn)在的狀況，你將必須使用這個show命令，再其下提供三個不同的命令可用。

　　·Show alias為你列出所有定義的別名;

　　·show helper列出所有頂層幫助者；

　　·Show mode命令可以鋼珠你顯示防火墻是在線還是離線。

　　3、Export命令

　　這個命令可以讓你導(dǎo)出防火墻當前的所有配置到一個文件中。這個命令非常有用，因為你可以備份所有的配置到文件中，如果你對已經(jīng)作出的配置不滿意的話，可以隨時使用這個文件來恢復(fù)到修改前的狀態(tài)。

　　以下是一個應(yīng)用示例：

　　netsh advfirewall export “c:\advfirewall.wfw”

　　4、Firewall命令

　　使用這個命令你可以增加新的入站和出站規(guī)則到你的防火墻中。它還可以讓你修改防火墻中的規(guī)則。

圖3、netsh advfirewall firewall

    
    在firewall上下文命令中，你會看到四個重要的命令，分別是：

　　·Add命令讓你增加入站和出站規(guī)則；

　　·Delete命令讓你刪除一條規(guī)則；

　　·Set命令為現(xiàn)有規(guī)則的屬性設(shè)置新值；

　　·Show命令將顯示一個指定的防火墻規(guī)則。

　　以下是增加和刪除一個防火墻規(guī)則的示例：

　　增加一個針對messenger.exe的入站規(guī)則

　　netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow

　　刪除針對本地21端口的所有入站規(guī)則：

　　netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21

　　5、Import命令

　　Import命令讓你可以從一個文件中導(dǎo)入防火墻的配置。這個命令可以讓你把之前你使用export命令導(dǎo)出的防火墻配置再恢復(fù)回去。示例如下：

　　Netsh advfirewall import “c:\advfirewall.wfw”

　　6、Reset

　　這個命令讓你重新設(shè)置防火墻策略到默認策略狀態(tài)。使用這個命令的時候務(wù)必謹慎，因為一旦你鍵入這個命令并按下回車后，它將不再讓你確認是否真要重設(shè)，直接恢復(fù)防火墻的策略。

　　示例命令如下：

　　Netsh advfirewall reset

　　7、Set命令

　　set命令將允許你修改防火墻的不同設(shè)置狀態(tài)。相關(guān)的上下文命令有六個。

圖4、netsh advfirewall set

    
    ·set allprofiles讓你修改所有配置文件中的屬性。

　　·set currentprofile 讓你只修改活動配置文件中的屬性。

　　·set domainprofile讓你修改域配置文件中的屬性。

　　·set global讓你修改防火墻的全局屬性。

　　·set privateprofile讓你修改專用配置文件中的屬性。

　　·set publicprofile讓你修改公用配置文件中的屬性。

　　·set store讓你為當前交互式會話設(shè)置策略存儲。

　　以下是使用set命令的一些例子：

　　·讓防火墻關(guān)閉所有配置文件：

　　netsh advfirewall set allprofiles state off

　　·在所有配置文件中設(shè)置默認阻擋入站并允許出站通信：

　　netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

　　·在所有配置文件中打開遠程管理：

　　netsh advfirewall set allprofiles settings remotemanagement enable

　　·在所有配置文件中記錄被斷開的連接：

　　netsh advfirewall set allprofiles logging droppedconnections enable

　　8、Show命令

　　這個show命令將讓你可以查看所有不同的配置文件中的設(shè)置和全局屬性。

關(guān)鍵字：Window2008、防火墻、命令行