為什么你應(yīng)該使用這個(gè)Windows的基于主機(jī)的防火墻？

今天許多公司正在使用外置安全硬件的方式來(lái)加固它們的網(wǎng)絡(luò)。 這意味著，它們使用防火墻和入侵保護(hù)系統(tǒng)在它們的網(wǎng)絡(luò)周圍建立起了一道銅墻鐵壁，保護(hù)它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵。但是，如果一個(gè)攻擊者能夠攻 破外圍的防線，從而獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，將只有Windows認(rèn)證安全來(lái)阻止他們來(lái)訪問(wèn)公司最有價(jià)值的資產(chǎn)-它們的數(shù)據(jù)。

這是因?yàn)榇蠖鄶?shù)IT人士沒(méi)有使用基于主機(jī)的防火墻來(lái)加固他們的服務(wù)器的安全。為什么會(huì)出現(xiàn)這樣的情況呢？因?yàn)槎鄶?shù)IT人士認(rèn)為，部署基于主機(jī)的防火墻所帶來(lái)的麻煩要大于它們帶來(lái)的價(jià)值。

我希望在您讀完這篇文章后，能夠花一點(diǎn)時(shí)間來(lái)考慮Windows這個(gè)基于主機(jī)的防火墻。在Windows Server 2008中，這個(gè)基于主機(jī)的防火墻被內(nèi)置在Windows中，已經(jīng)被預(yù)先安裝，與前面版本相比具有更多功能，而且更容易配置。它是加固一個(gè)關(guān)鍵的基礎(chǔ)服務(wù)器的最好方法之一。具有高級(jí)安全性的 Windows 防火墻結(jié)合了主機(jī)防火墻和IPSec.與邊界防火墻不同，具有高級(jí)安全性的 Windows 防火墻在每臺(tái)運(yùn)行此版本 Windows 的計(jì)算機(jī)上運(yùn)行，并對(duì)可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全，使您可以對(duì)通信要求身份驗(yàn)證和數(shù)據(jù)保護(hù)。

那么，這個(gè)Windows Server高級(jí)防火墻可以為你做什么，你又該如何配置它？讓我們繼續(xù)看下去。

新防火墻具備的功能及對(duì)你的幫助

這個(gè)Windows Server 2008中的內(nèi)置防火墻現(xiàn)在“高級(jí)”了。這不僅僅是我說(shuō)它高級(jí)，微軟現(xiàn)在已經(jīng)將其稱為高級(jí)安全Windows防火墻（簡(jiǎn)稱WFAS）。

以下是可以證明它這個(gè)新名字的新功能：

1、新的圖形化界面。

現(xiàn)在通過(guò)一個(gè)管理控制臺(tái)單元來(lái)配置這個(gè)高級(jí)防火墻。

2、雙向保護(hù)。

對(duì)出站、入站通信進(jìn)行過(guò)濾。

3、與IPSEC更好的配合。

具有高級(jí)安全性的Windows防火墻將Windows防火墻功能和Internet 協(xié)議安全（IPSec）集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)（完整性和加密）以及身份驗(yàn)證設(shè)置。

4、高級(jí)規(guī)則配置。

你可以針對(duì)Windows Server上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過(guò)具有高級(jí)安全性的Windows防火墻。

傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。

對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起；添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)。

通過(guò)增加雙向防護(hù)功能、一個(gè)更好的圖形界面和高級(jí)的規(guī)則配置，這個(gè)高級(jí)安全Windows防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大，例如ZoneAlarm Pro等。

我知道任何服務(wù)器管理員在使用一個(gè)基于主機(jī)的防火墻時(shí)首先想到的是：它是否會(huì)影響這個(gè)關(guān)鍵服務(wù)器基礎(chǔ)應(yīng)用的正常工作？然而對(duì)于任何安全措施這都是一個(gè)可能存在的問(wèn)題，Windows 2008高級(jí)安全防火墻會(huì)自動(dòng)的為添加到這個(gè)服務(wù)器的任何新角色自動(dòng)配置新的規(guī)則。但是，如果你在你的服務(wù)器上運(yùn)行一個(gè)非微軟的應(yīng)用程序，而且它需要入站網(wǎng)絡(luò)連接的話，你將必須根據(jù)通信的類型來(lái)創(chuàng)建一個(gè)新的規(guī)則。

通過(guò)使用這個(gè)高級(jí)防火墻，你可以更好的加固你的服務(wù)器以免遭攻擊，讓你的服務(wù)器不被利用去攻擊別人，以及真正確定什么數(shù)據(jù)在進(jìn)出你的服務(wù)器。下面讓我們看一下如何來(lái)實(shí)現(xiàn)這些目的。

了解配置Windows防火墻高級(jí)安全性的選擇

在以前Windows Server中，你可以在去配置你的網(wǎng)絡(luò)適配器或從控制面板中來(lái)配置Windows防火墻。這個(gè)配置是非常簡(jiǎn)單的。

對(duì)于Windows高級(jí)安全防火墻，大多數(shù)管理員可以或者從Windows服務(wù)器管理器配置它，或者從只有Windows高級(jí)安全防火墻MMC管理單元中配置它。

我發(fā)現(xiàn)啟動(dòng)這個(gè)Windows高級(jí)安全防火墻的最簡(jiǎn)單最快速的方法是，在開(kāi)始菜單的搜索框中鍵入‘防火墻’

快速啟動(dòng)Windows 2008高級(jí)安全防火墻管理控制臺(tái)的方法

另外，你還可以用配置網(wǎng)絡(luò)組件設(shè)置的命令行工具Netsh來(lái)配置Windows高級(jí)安全防火墻。使用netsh advfirewall可以創(chuàng)建腳本，以便自動(dòng)同時(shí)為IPv4和IPv6流量配置一組具有高級(jí)安全性的Windows防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級(jí)安全性的Windows防火墻的配置和狀態(tài)。

使用新的Windows高級(jí)安全防火墻MMC管理單元能配置什么？

由于使用這個(gè)新的防火墻管理控制臺(tái)你可以配置如此眾多的功能，我不可能面面俱道的提到它們。如果你曾經(jīng)看過(guò)Windows 2003內(nèi)置防火墻的配置圖形界面，你會(huì)迅速的發(fā)現(xiàn)在這個(gè)新的Windows高級(jí)安全防火墻中躲了如此眾多的選項(xiàng)。下面讓我選其中一些最常用的功能來(lái)介紹給大家。

默認(rèn)情況下，當(dāng)你第一次進(jìn)入Windows高級(jí)安全防火墻管理控制臺(tái)的時(shí)候，你將看到Windows高級(jí)安全防火墻默認(rèn)開(kāi)啟，并且阻擋不匹配入站規(guī)則的入站連接。此外，這個(gè)新的出站防火墻默認(rèn)被關(guān)閉。

你將注意的其他事情是，這個(gè)Windows高級(jí)安全防火墻還有多個(gè)配置文件供用戶選擇。

在Windows 2008高級(jí)安全防火墻中提供的配置文件

在這個(gè)Windows高級(jí)安全防火墻中有一個(gè)域配置文件、專用配置文件和公用配置文件。配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)計(jì)算機(jī)連接的位置將其應(yīng)用于該計(jì)算機(jī)。例如根據(jù)你的計(jì)算機(jī)是在企業(yè)局域網(wǎng)中還是在本地咖啡店中。

在我看來(lái)，在我們討論過(guò)的Windows 2008高級(jí)安全防火墻的所有改進(jìn)中，意義最重大的改進(jìn)當(dāng)屬更復(fù)雜的防火墻規(guī)則。看一下在Windows Server 2003防火墻增加一個(gè)例外的選項(xiàng)。

Windows 2003 Server防火墻例外窗口

再來(lái)對(duì)比一下Windows 2008 Server中的配置窗口。

Windows 2008 Server高級(jí)防火墻例外設(shè)置窗口

注意協(xié)議和端口標(biāo)簽只是這個(gè)多標(biāo)簽窗口中的一小部分。你還可以將規(guī)則應(yīng)用到用戶及計(jì)算機(jī)、程序和服務(wù)以及IP地址范圍。通過(guò)這種復(fù)雜的防火墻規(guī)則配置，微軟已經(jīng)將Windows高級(jí)安全防火墻朝著微軟的IAS Server發(fā)展。

Windows高級(jí)安全防火墻所提供的默認(rèn)規(guī)則的數(shù)量也是令人吃驚的。在Windows 2003 Server中，只有三個(gè)默認(rèn)的例外規(guī)則。而

Windows 2008高級(jí)安全防火墻提供了大約90個(gè)默認(rèn)入站防火墻規(guī)則和至少40個(gè)默認(rèn)外出規(guī)則。

Windows 2008 Server高級(jí)防火墻默認(rèn)入站規(guī)則

那么你如何使用這個(gè)新的Windows高級(jí)防火墻創(chuàng)建一個(gè)規(guī)則呢？讓我們接下來(lái)看一下。

如何創(chuàng)建一個(gè)定制的入站規(guī)則？

假如說(shuō)你已經(jīng)在你的Windows 2008 Server上安裝了Windows版的Apache網(wǎng)站服務(wù)器。如果你已經(jīng)使用了Windows內(nèi)置的IIS網(wǎng)站服務(wù)器，這個(gè)端口自動(dòng)會(huì)為你打開(kāi)。但是，由于你現(xiàn)在使用一個(gè)來(lái)自第三方的網(wǎng)站服務(wù)器，而且你打開(kāi)了入站防火墻，你必須手動(dòng)的打開(kāi)這個(gè)窗口。

以下是步驟：

·識(shí)別你要屏蔽的協(xié)議-在我們的例子中，它是TCP/IP（與之對(duì)應(yīng)的則是UDP/IP或ICMP）。

·識(shí)別源IP地址、源端口號(hào)、目的IP地址和目的端口。我們進(jìn)行的Web通信是來(lái)自于任何IP地址和任何端口號(hào)并流向這個(gè)服務(wù)器80端口的數(shù)據(jù)通信。（注意，你可以為一個(gè)特定的程序創(chuàng)建一條規(guī)則，諸如這兒的apache HTTP服務(wù)器）。

·打開(kāi)Windows高級(jí)安全防火墻管理控制臺(tái)。

·增加規(guī)則-點(diǎn)擊在Windows高級(jí)安全防火墻MMC中的新建規(guī)則按鈕，開(kāi)始啟動(dòng)新規(guī)則的向?qū)А?/p>

Windows 2008 Server高級(jí)防火墻管理控制臺(tái)-新建規(guī)則按鈕

·為一個(gè)端口選擇你想要?jiǎng)?chuàng)建的規(guī)則。

·配置協(xié)議及端口號(hào)-選擇默認(rèn)的TCP協(xié)議，并輸入80作為端口，然后點(diǎn)擊下一步。

·選擇默認(rèn)的“允許連接”并點(diǎn)擊下一步。

·選擇默認(rèn)的應(yīng)用這條規(guī)則到所有配置文件，并點(diǎn)擊下一步。

·給這個(gè)規(guī)則起一個(gè)名字，然后點(diǎn)擊下一步。

創(chuàng)建規(guī)則后的Windows 2008 Server高級(jí)防火墻管理控制臺(tái)

經(jīng)過(guò)我測(cè)試，當(dāng)不啟用這個(gè)規(guī)則的時(shí)候，我最近安裝的Apache網(wǎng)站服務(wù)器不能正常工作。但是，創(chuàng)建了這個(gè)規(guī)則后，它可以正常工作了！

結(jié)論：大有改進(jìn) 值得一試

具有防火墻配置文件、復(fù)雜的規(guī)則設(shè)置和原先30倍數(shù)量的默認(rèn)規(guī)則，還有本文中未提到很多高級(jí)安全功能，Windows 2008 Server高級(jí)安全防火墻的確名副其實(shí)，真正是一個(gè)微軟所說(shuō)的高級(jí)防火墻。我相信這個(gè)內(nèi)置、免費(fèi)、高級(jí)的基于主機(jī)的防火墻將確保Windows Server未來(lái)變得更加安全。但是，如果你不使用它，它不會(huì)對(duì)你有任何幫助。因此我希望你今天就來(lái)體驗(yàn)一下這個(gè)新的Windows高級(jí)防火墻。

關(guān)鍵字：防火墻、服務(wù)器、規(guī)則