微軟的Windows Server 2003中防火牆的功能如此簡陋,讓許多系統管理員將其視為雞肋,它一直是一個簡單的、僅支援入站防護、基於主機的狀態防火牆。而隨著Windows Server 2008的日漸向我們走近,其內建的防火牆功能也得到了巨大的改進。下面讓我們一起來看看這個新的高
為什麼你應該使用這個Windows的基於主機的防火牆?
今天許多公司正在使用外部安全硬體的方式來加固它們的網路。這意味著, 它們使用防火牆和入侵保護系統在它們的網路周圍建立了一道銅牆鐵壁,保護它們自然免受網路上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻破外圍的防線,從而獲得對內部網路的訪問,將只有Windows認證安全來阻止他們來訪問公司最有價值的資產-它們的資料。
這是因為大多數IT人士沒有使用基於主機的防火牆來加固他們的伺服器的安全。為什麼會出現這樣的情況呢?因為多數IT人士認為,部署基於主機的防火牆所帶來的麻煩要大於它們帶來的價值。
我希望在您讀完這篇文章後,能夠花一點時間來考慮Windows這個基於主機的防火牆。在Windows Server 2008中,這個基於主機的防火牆內建在Windows中,已經預先安裝,與前面版本相比具有更多功能,而且更容易配置。它是加固一個關鍵的基礎伺服器的最佳方法之一。具有進階安全性的Windows 防火牆結合了主機防火牆和IPSec。與邊界防火牆不同,具有進階安全性的Windows 防火牆在每台運行此版本Windows 的電腦上運行,並對可能穿越邊界網路或源自組織內部的網路攻擊提供本機保護。它還提供電腦到電腦的連接安全,使您可以對通訊要求身份驗證和資料保護。
那麼,這個Windows Server進階防火牆可以為你做什麼,你又該如何配置它?讓我們繼續看下去。
新防火牆具備的功能及對你的幫助
這個Windows Server 2008中的內建防火牆現在「進階」了。這不僅僅是我說它高級,微軟現在已經將其稱為高級安全Windows防火牆(簡稱WFAS)。
以下是可以證明它這個新名字的新功能:
1.新的圖形化介面。
現在透過一個管理控制台單元來設定這個進階防火牆。
2、雙向保護。
對出站、入站通訊進行過濾。
3.與IPSEC更好的配合。
具有進階安全性的Windows防火牆將Windows防火牆功能和Internet 協定安全性(IPSec)整合到一個控制台中。使用這些進階選項可以按照環境所需的方式設定金鑰交換、資料保護(完整性和加密)以及身分驗證設定。
4、進階規則配置。
你可以針對Windows Server上的各種物件建立防火牆規則, 設定防火牆規則以確定阻止還是允許流量通過具有進階安全性的Windows 防火牆。
傳入封包到達電腦時,具有進階安全性的Windows防火牆會檢查該封包,並確定它是否符合防火牆規則中指定的標準。如果封包與規則中的標準匹配,則具有進階安全性的Windows防火牆執行規則中指定的動作,即阻止連線或允許連線。如果封包與規則中的標準不匹配,則具有進階安全性的Windows防火牆丟棄該封包,並在防火牆日誌檔案中建立條目(如果啟用了日誌記錄)。
對規則進行設定時,可從各種標準中進行選擇:例如應用程式名稱、系統服務名稱、TCP連接埠、UDP連接埠、本機IP位址、遠端IP位址、設定檔、介面類型(如網路介面卡)、用戶、使用者群組、電腦、電腦群組、協定、ICMP類型等。規則中的標準添加在一起;新增的標準越多,具有進階安全性的Windows防火牆匹配傳入流量就越精細。
透過增加雙向防護功能、一個更好的圖形介面和進階的規則配置,這個進階安全Windows防火牆正在變得和傳統的基於主機的防火牆一樣強大,例如ZoneAlarm Pro等。
我知道任何伺服器管理員在使用一個基於主機的防火牆時首先想到的是:它是否會影響這個關鍵伺服器基礎應用的正常工作?然而對於任何安全措施這都是一個可能存在的問題,Windows 2008高級安全防火牆會自動的為新增到這個伺服器的任何新角色自動配置新的規則。但是,如果你在你的伺服器上運行一個非微軟的應用程序,而且它需要入站網路連接的話,你將必須根據通訊的類型來創建一個新的規則。
透過使用這個高級防火牆,你可以更好的加固你的伺服器以免遭攻擊,讓你的伺服器不被利用去攻擊別人,以及真正確定什麼資料在進出你的伺服器。下面讓我們來看看如何來實現這些目的。
了解配置Windows防火牆進階安全性的選擇
在以前Windows Server中,你可以在去設定你的網路介面卡或從控制台設定Windows防火牆。這個配置是非常簡單的。
對於Windows高級安全防火牆,大多數管理員可以或從Windows伺服器管理器配置它,或從只有Windows高級安全防火牆MMC管理單元中配置它。以下是兩個配置介面的截圖:
圖1、Windows Server 2008伺服器管理員
圖2、Windows 2008進階安全防火牆管理控制台
我發現啟動這個Windows高級安全防火牆的最簡單、最快速的方法是,在開始功能表的搜尋框中鍵入'防火牆',如下圖:
圖3、快速啟動Windows 2008進階安全防火牆管理控制台的方法
另外,你也可以用設定網路元件設定的命令列工具Netsh來設定Windows進階安全防火牆。使用netsh advfirewall可以建立腳本,以便自動同時為IPv4和IPv6流量配置一組具有進階安全性的Windows防火牆設定。也可以使用netsh advfirewall指令顯示具有進階安全性的Windows 防火牆的設定和狀態。
[Cut-Page]使用新的Windows進階安全防火牆MMC管理單元能配置什麼?
由於使用這個新的防火牆管理控制台你可以配置如此眾多的功能,我不可能面面俱道的提到它們。如果你曾經看過Windows 2003內建防火牆的設定圖形介面,你會迅速的發現在這個新的Windows高級安全防火牆中躲瞭如此眾多的選項。以下讓我選其中一些最常用的功能來介紹給大家。
預設情況下,當你第一次進入Windows進階安全防火牆管理控制台的時候,你會看到Windows進階安全防火牆預設開啟,並且阻擋不符合入站規則的入站連線。此外,這個新的出站防火牆預設被關閉。
你將注意的其他事情是,這個Windows高級安全防火牆還有多個設定檔供使用者選擇。 
圖4、Windows 2008進階安全防火牆中提供的設定檔
在這個Windows進階安全防火牆中有一個網域設定檔、專用設定檔和公用設定檔。設定檔是一種分組設定的方法,如防火牆規則和連接安全規則,根據電腦連線的位置將其套用至該電腦。例如根據你的電腦是在企業區域網路還是在本地咖啡店。
在我看來,在我們討論過的Windows 2008進階安全防火牆的所有改進中,意義最重大的改進當屬更複雜的防火牆規則。看一下在Windows Server 2003防火牆增加一個例外的選項,如下圖:
[img]/u/info_img/2009-06/05/20071018183935294.jpg
圖5、Windows 2003 Server防火牆例外窗口
再來比較一下Windows 2008 Server中的設定視窗。
注意協定和連接埠標籤只是這個多標籤視窗中的一小部分。你也可以將規則應用到使用者及電腦、程式和服務以及IP位址範圍。透過這種複雜的防火牆規則配置,微軟已經將Windows進階安全防火牆朝向微軟的IAS Server發展。
Windows高級安全防火牆所提供的預設規則的數量也是令人吃驚的。在Windows 2003 Server中,只有三個預設的例外規則。而Windows 2008進階安全防火牆提供了約90個預設入站防火牆規則和至少40個預設外出規則。
如何創建一個自訂的入站規則?
假如說你已經在你的Windows 2008 Server上安裝了Windows版的Apache網站伺服器。如果你已經使用了Windows內建的IIS網站伺服器,這個連接埠自動會為你開啟。但是,由於你現在使用一個來自第三方的網站伺服器,而且你打開了入站防火牆,你必須手動的開啟這個視窗。
以下是步驟:
·辨識你要屏蔽的協定-在我們的例子中,它是TCP/IP(與之對應的則是UDP/IP或ICMP)。
·識別來源IP位址、來源連接埠號碼、目的IP位址和目的連接埠。我們進行的Web通訊是來自於任何IP位址和任何連接埠號碼並流向這個伺服器80連接埠的資料通訊。 (注意,你可以為一個特定的程式創建一條規則,諸如這兒的apache HTTP伺服器)。
·開啟Windows進階安全防火牆管理控制台。
·增加規則-點選在Windows進階安全性防火牆MMC中的新建規則按鈕,開始啟動新規則的精靈。
圖8、Windows 2008 Server進階防火牆管理控制台-新規則按鈕
·為一個連接埠選擇你想要建立的規則。
·配置協議及端口號-選擇預設的TCP協議,並輸入80作為端口,然後點擊下一步。
·選擇預設的「允許連線」並點選下一步。
·選擇預設的應用這條規則到所有設定文件,並點擊下一步。
·給這個規則一個名字,然後點選下一步。
這時候,你將得到如下圖的一條規則:
圖9、建立規則後的Windows 2008 Server進階防火牆管理控制台
經過我測試,當我不啟用這個規則的時候,我最近安裝的Apache網站伺服器無法正常運作。但是,創建了這個規則後,它可以正常工作了!
結論:大有改進值得一試
具有防火牆設定檔、複雜的規則設定和原先30倍數量的預設規則,還有本文中未提到許多進階安全功能,Windows 2008 Server高階安全防火牆的確名副其實,真正是微軟所說的高階防火牆。我相信這個內建、免費、進階的基於主機的防火牆將確保Windows Server未來變得更加安全。但是,如果你不使用它,它不會對你有任何幫助。因此我希望你今天就來體驗這個新的Windows進階防火牆。
了解配置Windows防火牆進階安全性的選擇
在以前Windows Server中,你可以在去設定你的網路介面卡或從控制台設定Windows防火牆。這個配置是非常簡單的。
對於Windows 進階安全防火牆,大多數管理員可以或從Windows伺服器管理員設定它,或從只有Windows進階安全防火牆MMC管理單元中設定它。以下是兩個配置介面的截圖:
圖1、Windows Server 2008伺服器管理員
圖2、Windows 2008進階安全防火牆管理控制台
我發現啟動這個Windows高級安全防火牆的最簡單、最快速的方法是,在開始功能表的搜尋框中鍵入'防火牆' ,如下圖:
圖3、快速啟動Windows 2008進階安全防火牆管理控制台的方法
另外,你也可以用設定網路元件設定的命令列工具Netsh來設定Windows進階安全防火牆。使用netsh advfirewall可以建立腳本,以便自動同時為IPv4和IPv6流量配置一組具有進階安全性的Windows防火牆設定。 也可以使用netsh advfirewall指令顯示具有進階安全性的Windows防火牆的配置和狀態。