強大的Windows Server 2008防火牆

與以前Windows版本中的防火牆相比，Windows Server 2008中的進階安全防火牆(WFAS)有了較大的改進，首先它支援雙向保護，可以對出站、入站通訊進行過濾。

其次它將Windows防火牆功能和網際網路通訊協定 (IP)安全(IPSec)整合到一個控制台中。使用這些進階選項可以按照環境所需的方式配置金鑰交換、資料保護(完整性和加密)以 及身分識別驗證設定。而且WFAS還可以實現更進階的規則配置，你可以針對Windows Server上的各種對象建立防火牆規則，配置防火牆規則以確定阻止還是允許流量通過具有高 級安全性的Windows防火牆。

傳入資料包到達電腦時，具有進階安全性的Windows防火牆檢查該資料包，並確定它是否符合防火牆規則中指定的標準。如果資料包與規則中的標準匹配，則具有進階 安全性的Windows防火牆執行規則中指定的操作，即阻止串連或允許串連。如果資料包與規則中的標準不匹配，則具有進階安全性的Windows防火牆丟棄該資料包，並在防火 牆記錄檔中建立條目(如果啟用了日誌記錄)。

對規則進行配置時，可以從各種標準中進行選擇：例如應用程式名稱、系統服務名稱、TCP連接埠、UDP連接埠、本地IP地址、遠程IP地址、設定檔、介面類型(如網路適配 器)、使用者、使用者組、電腦、電腦群組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多，具有進階安全性的Windows防火牆匹配傳入流量就越精細。

下面我們一起來瞭解一下如何來配置Window Server 2008的防火牆。

利用MMC單元進行管理

這種方式可以讓你在一個介面中同時配置防火牆設定和IPSec設定，還可以在監視節點中查看當前應用的策略、規則和其它資訊。

從啟動菜單的管理工具中找到進階安全Windows防火牆，點擊開啟MMC嵌入式管理單元。Windows 2008的進階安全Windows防火牆使用出站和入站兩組規則來配置其如何響應傳入 和傳出的流量;通過串連安全規則來確定如何保護電腦和其它電腦之間的流量，而且可以監視防火牆活動和規則。

下面我們來通過實際例子查看一下如何配置這幾個規則。

首先從入站規則開始，假如我們在Windows Server 2008上安裝了一個Apache Web伺服器，預設情況下，從遠端是無法訪問這個伺服器的，因為在入站規則中沒有配置來 確認對這些流量“允許存取”，下面我們就為它增加一條規則。

開啟進階安全Windows防火牆，點擊入站規則後從右邊的入站規則列表中我們可以看到Windows Server 2008內建的一些安全規則，在這兒可以看到，我們可以基於具體的 程式、連接埠、預定義或自訂來建立入站規則，其中每個類型的步驟會有細微的差別。第三步指定對合格流量進行什麼操作，接下來選擇應用規則的設定檔和為規 則指定名稱後，規則就建立好了。

串連安全性組件括在兩台電腦開始通訊之前對它們進行身分識別驗證，並確保在兩台電腦之間正在發送的資訊的安全性。具有進階安全性的 Windows 防火牆包含了 網際網路通訊協定 (IP)安全 (IPSec) 技術，通過使用金鑰交換、身分識別驗證、資料完整性和資料加密(可選)來實現串連安全。

對於單個伺服器來說，可以使用進階安全Windows防火牆管理控制單元來對防火牆進行設定，以上的方法還算適用。但是如果在你的商業網路中有大量電腦需要設定， 就應該使用下面這種更高效的方法。

使用組策略進行管理

在一個使用活動目錄(AD)的商業網路中，為了實現對大量電腦的集中管理，你可以使用組策略來應用進階安全Windows防火牆的配置。組策略提供了進階安全Windows防 火牆的完全功能的訪問，包括設定檔、防火牆規則和電腦安全連線規則。

實際上，在群組原則管理主控台中為進階安全Windows防火牆配置組策略的時候是開啟的同一個控制單元。值得注意的是，如果你使用組策略來在一個商業網路中配置進階 安全Windows防火牆的話，本地系統管理員是無法修改這個規則的屬性的。通過建立組策略對象，可以配置一個域中所有電腦使用相同的防火牆設定。這一部分內容比較複 雜。

使用Netsh advfirewall命令列工具，雖然圖形化配置介面比較簡單直觀，但是對於一些有經驗的系統管理員來說，則往往更喜歡使用命令列方式來完成它們的配置工作 ，因為後者一旦熟練掌握的話，可以更靈活更準確更迅速的實現配置任務。

Netsh是可以用於配置網路組件設定的命令列工具。具有進階安全性的Windows防火牆提供netsh advfirewall工具，可以使用它配置具有進階安全性的Windows防火牆設定 。使用netsh advfirewall可以建立指令碼，以便自動同時為IPv4和IPv6流量配置一組具有進階安全性的Windows 防火牆設定。還可以使用netsh advfirewall命令顯示具有高 級安全性的Windows防火牆的配置和狀態。