用Netsh为Windows2008创建端口策略

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：里克·范·欧沃

对于大部分系统管理员来说，利用脚本建立实现允许和拒绝操作的端口策略是他们最喜欢的工作之一。Netsh命令就可以用来在Windows服务器系统上配置标准的端口策略。
------------------------------------------------------------------------------------------

在今年四月，我曾经写过关于在Windows Server 2008（WS2K8）操作系统下如何对防火墙管理控制台（WF.msc）进行配置的文章。在Windows防火墙已经成为企业网络一部分的时间，利用Netsh命令对Windows主机的端口策略进行配置是非常传统的做法。作为网络配置工具，Netsh的功能也是非常强大的，可以为服务器系统实施端口策略提供了一条有效的途径。

在我们使用Netsh进行工作前，有两个和Netsh相关的基本概念应该被认清。首先，Netsh包含了两种不同的模式，在线和离线。这也就意味着，你可以让一个策略立即生效（在线模式的时间），也可以让它在准备就绪的一个特定时间开始工作（离线模式的时间）。其次，Netsh可以支持很多种环境，WS2K8操作系统的防火墙配置就是十五种环境中的一种。不论是在什么平台上使用，第一步要做的都是确定数据流和端口的类型，以便对Netsh的脚本进行设置。在下面的例子中，这个Netsh的端口策略将禁止端口被连接：

类型： 传输控制协议TCP连接
端口： 5900
名称： NoVNC
方向：输入
规则：否认

作为WS2K8系统的一条端口策略，它提供了足够的信息。在netsh命令中，它将表现为下面的内容：

netsh advfirewall firewall add rule name="NoVNC" protocol=TCP dir=in localport=5900 action=block

这个脚本支持多次运行，因此，如果你希望继续禁止5901、5902以及其它端口的话，如法炮制就可以了。只要名称“NoVNC”是相同的，新的端口策略就可以自动添加到现有的规则里。打开Netsh命令，输入“Netsh”，就可以选择“advfirewall firewall”来创建新的子规则。下面的命令将显示如何创建一个规则：

add rule /?

一旦允许或者禁止的规则被创建，你就可以在Windows系统的防火墙管理控制台里查看。图A显示了已经创建好的NoVNC规则。

图A

通过利用netsh建立防火墙规则可以对Windows防火墙提供很大的帮助，防止绕过Windows系统的默认配置所有的连接都被通过这种情况的出现。基于这一点，利用Netsh命令安装一系列可定制的脚本对端口规则进行配置是一个不错的选择。