Windows Server 2008防火墙高级应用[1]

　　具有高级安全性的Windows防火墙结合了主机防火墙和IPSec。与边界防火墙不同，具有高级安全性的Windows防火墙在每台运行此版本Windows的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。

　　这个Windows Server 2008中的高级安全Windows防火墙(简称WFAS)。具有以下新功能特性：

　　1、新的图形化界面。

　　现在通过一个管理控制台单元来配置这个高级防火墙。

　　2、双向保护。

　　对出站、入站通信进行过滤。

　　3、与IPSEC更好的配合。

　　具有高级安全性的Windows防火墙将Windows防火墙功能和Internet协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

　　4、高级规则配置。

　　你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

　　传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。

　　对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。

　　通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大，例如ZoneAlarmPro等。

　　通过使用这个高级防火墙，你可以更好的加固你的服务器以免遭攻击，让你的服务器不被利用去攻击别人，以及真正确定什么数据在进出你的服务器。下面让我们看一下如何来实现这些目的。

　　配置Windows防火墙高级安全性

　　在以前Windows Server中，你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。

　　对于Windows高级安全防火墙，大多数管理员可以或者从Windows服务器管理器配置它，或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图：

　　启动这个Windows高级安全防火墙的最简单最快速的方法是，在开始菜单的搜索框中键入'防火墙'，如下图：

　　另外，你还可以用配置网络组件设置的命令行工具Netsh来配置Windows高级安全防火墙。使用netshadv firewall可以创建脚本，以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows防火墙设置。还可以使用netshadvfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。