微軟Windows操作系統(tǒng)自帶的防火墻是一款基于主機的防火墻，當(dāng)企業(yè)網(wǎng)絡(luò)防火墻出現(xiàn)問題被入侵之后，此防火墻可以作為最后一個防護屏障，但是微軟在windows2008之前的系統(tǒng)防火墻功能比較簡單，而在windows2008增強了此防火墻的功能，本文將介紹一下windows2008防火墻的新功能和配置方法。


一、我們來了解下windows2008防火墻的新功能：

1、新的管理工具
windows2008現(xiàn)在通過一個叫做“高級安全windows防火墻“的一個專用管理控制臺單元來實現(xiàn)防火墻功能的配置和管理。
2、出站和入站的雙向保護
相對于之前的防火墻只能支持入站限制來說，windows2008同時支持對應(yīng)用程序的出站、入站雙向的通信限制，更加符合今天系統(tǒng)和應(yīng)用程序的安全性要求。
3、和IPSEC功能的集成
Windows2008的防火墻已經(jīng)將Windows防火墻功能和IPSec功能集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(完整性和加密)以及身份驗證設(shè)置，不需要再用單獨的IPSEC管理工具。
4、針對windows各種對象的安全規(guī)則
在Windows 2008防火墻的上可以針對各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許對象流量通過具有Windows防火墻。當(dāng)傳入數(shù)據(jù)包到達計算機時，防火墻將檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則防火墻執(zhí)行規(guī)則中指定的操作，如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則防火墻會丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建相應(yīng)記錄(如果啟用了日志記錄)。


二、windows2008防火墻的配置

1、配置方式：windows2008防火墻支持兩種配置方式

命令行配置方式
Netsh 是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。您可以通過 netsh advfirewall 上下文中的命令配置 高級安全 Windows 防火墻 設(shè)置。使用 Netsh，您可以創(chuàng)建腳本自動配置 高級安全 Windows 防火墻 設(shè)置，創(chuàng)建防火墻規(guī)則和連接安全規(guī)則，監(jiān)視活動的連接，以及顯示 高級安全 Windows 防火墻 的配置和狀態(tài)。
通過在命令行中輸入 Netsh 上下文后，命令提示符將顯示 netsh> 提示符。此時，通過鍵入以下內(nèi)容，輸入 advfirewall 上下文：處于 advfirewall 上下文中后，可以鍵入該上下文中的命令。包括以下命令：
•export。將當(dāng)前防火墻策略導(dǎo)出到文件。
•dump。不在 advfirewall 上下文中執(zhí)行此命令。不生成輸出內(nèi)容，且不生成錯誤消息。
•help。顯示可用命令的列表。
•import。從指定文件導(dǎo)入防火墻策略。
•reset。將 高級安全 Windows 防火墻 還原到默認配置。
•set。支持下列命令：
•set file。將控制臺輸出復(fù)制到文件。
•set machine。設(shè)置將在其上操作的當(dāng)前計算機。
•show。顯示特定配置文件的屬性。例如：
•show allprofiles
•show domainprofile
•show privateprofile
•show publicprofile
除 advfirewall 上下文可用的命令外，advfirewall 還支持子上下文。若要輸入子上下文，請在 netsh advfirewall> 提示符處鍵入子上下文的名稱?？捎玫淖由舷挛娜缦拢?br /> •consec。允許您查看和配置計算機安全連接規(guī)則。
•firewall。允許您查看和配置防火墻規(guī)則。
•mainmode。允許您查看和配置主模式配置規(guī)則。
•monitor。允許您查看當(dāng)前 IPsec、防火墻和主模式狀態(tài)和當(dāng)前快速模式和在本地計算機上建立的主模式安全關(guān)聯(lián)。還可以使用 Netsh Commands for Windows Filtering Platform (WFP) in Windows Server 2008 R2 上下文監(jiān)視 IPsec 等。
通過開始菜單的windows高級安全防火墻來進行配置
此工具為圖形化配置工具，通過此工具以下幾方面的配置
入站規(guī)則
出站規(guī)則
連接請求規(guī)則
監(jiān)視
 
對規(guī)則進行配置時，可以從各種標(biāo)準(zhǔn)中進行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細。

2、　創(chuàng)建高級安全規(guī)則的步驟
　
1）在 高級安全 Windows 防火墻 中的控制臺樹中，單擊“連接安全規(guī)則”。
2）在“操作”列表中，單擊“新建規(guī)則”。
使用“規(guī)則類型”頁，可以選擇要創(chuàng)建規(guī)則的類型。選擇一個類型，并根據(jù)以下部分中的信息使用向?qū)渲眯乱?guī)則。

使用 高級安全 Windows 防火墻，您可以創(chuàng)建以下部分中所述的規(guī)則類型。
隔離
使用隔離規(guī)則隔離計算機，方法是限制基于憑據(jù)的入站連接，如域成員身份或符合定義所需軟件和軟件配置的策略。隔離規(guī)則允許您實施服務(wù)器或域隔離策略。創(chuàng)建隔離規(guī)則時，將看到以下向?qū)ы摚?br /> •要求。需要進行身份驗證時可以選擇：
•請求對入站和出站連接進行身份驗證
•要求對入站連接進行身份驗證并請求對出站連接進行身份驗證
•要求對入站和出站連接進行身份驗證
•方法?？梢詮囊韵律矸蒡炞C方法中選擇：
•默認設(shè)置。此選擇使用“Windows 防火墻屬性”頁的“IPsec 設(shè)置”選項卡上指定的當(dāng)前計算機默認選擇。
•計算機和用戶 (Kerberos V5)。此方法使用基于計算機和用戶的 Kerberos V5 身份驗證限制到加入域的用戶和計算機的連接。用戶身份驗證（）僅與運行 Windows Vista 和更高版本的計算機兼容。
•計算機(Kerberos V5)。此方法使用 Kerberos V5 身份驗證限制到加入域的計算機的連接。此方法與運行 Windows 2000 或更高版本的計算機兼容。
•計算機證書。此方法限制到具有指定 CA 提供證書的計算機的連接。此方法與運行 Windows 2000 或更高版本和很多其他操作系統(tǒng)的計算機兼容。將此方法用于運行 Windows Vista 或更高版本的計算機時，還可以指定僅接受應(yīng)用 NAP 運行狀況策略的證書。
•高級。使用此設(shè)置，您可以指定多個身份驗證方法。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•名稱。命名規(guī)則并鍵入可選描述。
免除身份驗證
可以使用身份驗證豁免來指定不需要進行身份驗證的計算機。位于隔離域中的計算機可以與此規(guī)則中列出的計算機通信，即使他們無法進行身份驗證?？梢酝ㄟ^ IP 地址、IP 地址范圍、子網(wǎng)或預(yù)定義組（如網(wǎng)關(guān)）來指定計算機。創(chuàng)建身份驗證豁免規(guī)則時，必須配置以下向?qū)ы撋系倪x項：
•免除計算機。添加免于身份驗證的計算機?？梢园?IP 地址或 IP 地址范圍添加計算機，或基于其作用添加計算機，如默認網(wǎng)關(guān)，或配置本地計算機使用的 DNS 服務(wù)器。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•“名稱”。命名規(guī)則并鍵入可選描述。
服務(wù)器到服務(wù)器
服務(wù)器到服務(wù)器規(guī)則保護指定計算機之間的連接。這種類型的規(guī)則通常保護服務(wù)器之間的連接。創(chuàng)建該規(guī)則時，指定保護期間通信的網(wǎng)絡(luò)終結(jié)點。然后指定要使用的身份驗證要求和身份驗證類型。創(chuàng)建服務(wù)器到服務(wù)器規(guī)則時，必須配置以下向?qū)ы撋系倪x項：
•終結(jié)點。指定屬于終結(jié)點 1 和終結(jié)點 2 的計算機。終結(jié)點 1 可以包含所有計算機、按 IP 地址指定的計算機或可以通過指定連接類型（例如局域網(wǎng)或無線連接）訪問的計算機。終結(jié)點 2 可以包含所有計算機或按 IP 地址指定的計算機。
•要求。需要進行身份驗證時選擇。選項與“隔離”部分中介紹的選項相同。
•身份驗證方法。選擇身份驗證方法，包括計算機證書或自定義高級方法。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•名稱。命名規(guī)則并鍵入可選描述。
隧道
隧道規(guī)則允許您保護網(wǎng)關(guān)計算機之間的連接，通常在 Internet 上連接兩個安全網(wǎng)關(guān)時使用。必須通過 IP 地址指定隧道終結(jié)點并通過配置以下向?qū)ы撝付ㄉ矸蒡炞C方法：
•“隧道類型”。指定要創(chuàng)建的隧道的類型：客戶端到網(wǎng)關(guān)，或網(wǎng)關(guān)到客戶端，或自定義的隧道。還可以指定到達隧道終結(jié)點（已受
•要求。指定是否必須對通過該隧道的網(wǎng)絡(luò)通訊進行身份驗證，如果是，是請求身份驗證，還是要求身份驗證。
•隧道終結(jié)點。按 IP 地址或 IP 地址范圍識別計算機，這些計算機充當(dāng)屬于每個終結(jié)點（終結(jié)點 1 和終結(jié)點 2）的計算機的網(wǎng)關(guān)。這些選項在此頁上是否可用取決于您在首頁上選擇的隧道類型。
•身份驗證方法。選擇身份驗證方法，包括計算機證書或自定義高級方法。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•“名稱”。命名規(guī)則并鍵入可選描述。
自定義
當(dāng)使用新連接安全規(guī)則向?qū)е械钠渌愋偷目捎靡?guī)則無法設(shè)置所需的身份驗證規(guī)則時，使用自定義規(guī)則對兩個終結(jié)點之間的連接進行身份驗證?？梢栽谝韵孪?qū)ы撋吓渲眠x項：
•終結(jié)點。指定屬于終結(jié)點 1 和終結(jié)點 2 的計算機。終結(jié)點 1 可以包含所有計算機、按 IP 地址指定的計算機或可以通過指定連接類型（例如局域網(wǎng)或無線連接）訪問的計算機。終結(jié)點 2 可以包含所有計算機或按 IP 地址指定的計算機。
•要求。需要進行身份驗證時選擇。選項與“隔離”部分中介紹的選項相同。
•方法。選擇身份驗證方法。選項與“隔離”部分中介紹的選項相同。
•協(xié)議和端口。指定協(xié)議，和 TCP 或 UDP，受此連接安全規(guī)則影響的源端口和目標(biāo)端口。
•配置文件。選擇規(guī)則應(yīng)用于的配置文件（域、公用和專用）。
•“名稱”。命名規(guī)則并鍵入可選描述。

3、配置防火墻屬性

  1）配置文件設(shè)置
每個配置文件的選項卡中的相同選項控制當(dāng)計算機連接到該類型的網(wǎng)絡(luò)后 高級安全 Windows 防火墻 的運行方式。
可以為這三個配置文件中的每個配置文件進行配置的選項如下所示：
•防火墻狀態(tài)?？梢詾槊總€配置文件單獨打開或關(guān)閉 高級安全 Windows 防火墻。
•入站連接?？梢詫⑷胝具B接配置為以下設(shè)置之一：
•阻止（默認）。 高級安全 Windows 防火墻 阻止與任何活動防火墻規(guī)則不匹配的入站連接。選擇此設(shè)置后，必須創(chuàng)建入站允許規(guī)則以允許您的應(yīng)用程序所需的流量。
•阻止所有連接。 高級安全 Windows 防火墻 忽略所有入站規(guī)則，從而有效阻止所有入站連接。
•允許。 高級安全 Windows 防火墻 允許與活動防火墻規(guī)則不匹配的入站連接。選擇此設(shè)置后，必須創(chuàng)建入站阻止規(guī)則以阻止您不希望出現(xiàn)的流量。
•出站連接?？梢詫⒊稣具B接配置為以下設(shè)置之一：
•允許（默認）。 高級安全 Windows 防火墻 允許與任何活動防火墻規(guī)則不匹配的出站連接。選擇此設(shè)置后，必須創(chuàng)建出站規(guī)則以阻止您不希望出現(xiàn)的出站網(wǎng)絡(luò)流量。
•阻止。 高級安全 Windows 防火墻 阻止與活動防火墻規(guī)則不匹配的出站連接。選擇此設(shè)置后，必須創(chuàng)建出站規(guī)則以允許您的應(yīng)用程序所需的出站網(wǎng)絡(luò)流量。
•受保護的網(wǎng)絡(luò)連接。可以配置哪個活動網(wǎng)絡(luò)連接受此配置文件要求限制。默認情況下，所有網(wǎng)絡(luò)連接受所有配置文件限制。單擊“自定義”，然后選擇希望保護的網(wǎng)絡(luò)連接。
•設(shè)置。單擊“設(shè)置”區(qū)域中的“自定義”可配置以下設(shè)置：
•當(dāng)阻止某個程序接收入站通信時，會向用戶顯示通知。該設(shè)置控制 Windows 是否顯示通知，并允許用戶知道某個入站連接已被阻止。
•允許多播或廣播請求的單播響應(yīng)。該設(shè)置允許計算機接收對其傳出多播或廣播請求的單播響應(yīng)。
•應(yīng)用本地防火墻規(guī)則。除了組策略應(yīng)用的特定于此計算機的防火墻規(guī)則之外，還要在允許本地管理員在此計算機上創(chuàng)建和應(yīng)用防火墻規(guī)則時，選擇此選項。當(dāng)清除該選項時，管理員仍然可以創(chuàng)建規(guī)則，但不會應(yīng)用規(guī)則。只有當(dāng)通過組策略配置策略時才能使用該設(shè)置。
•允許本地連接安全規(guī)則。除了組策略應(yīng)用的特定于此計算機的連接安全規(guī)則之外，還要在允許本地管理員在此計算機上創(chuàng)建和應(yīng)用連接安全規(guī)則時，選擇此選項。當(dāng)清除該選項時，管理員仍然可以創(chuàng)建規(guī)則，但不會應(yīng)用規(guī)則。
•日志記錄。單擊“日志記錄”區(qū)域中的“自定義”可配置以下日志記錄選項：
•名稱。默認情況下，該文件存儲在 %windir%\system32\logfiles\firewall\pfirewall.log 中。
•大小限制。默認情況下，大小限制為 4096 KB。
•記錄丟棄的數(shù)據(jù)包。默認情況下，不記錄丟棄的數(shù)據(jù)包。
•記錄成功的連接。默認情況下，不記錄成功的連接。

 2）配置IPSEC

在單擊“本地計算機上的高級安全 Windows 防火墻”屬性頁的“IPSec 設(shè)置”選項卡上的“自定義”按鈕時，將出現(xiàn)圖 5 所示的“IPSec 設(shè)置”對話框。當(dāng)創(chuàng)建計算機連接安全規(guī)則時使用這些設(shè)置。請注意，如果您使用組策略配置了這些 IPsec 默認值，則對話框頂部的消息會通知用戶，并禁用受影響的控件。您仍可以單擊“自定義”按鈕以查看不同的設(shè)置，但是這些對話框上的大多數(shù)控件也會被禁用。
 
該對話框允許您選擇下列選項：
•“密鑰交換（主模式）”。若要啟用安全通信，必須使兩臺計算機能夠訪問同一共享密鑰，而不通過網(wǎng)絡(luò)傳輸該密鑰。單擊“自定義”按鈕以配置安全方法、密鑰交換算法以及密鑰生存期。這些設(shè)置用于保護 IPsec 協(xié)商，而 IPsec 協(xié)商反過來又會確定用于連接上發(fā)送的其余數(shù)據(jù)的保護。
•“數(shù)據(jù)保護(快速模式)”。IPsec 數(shù)據(jù)保護定義用來為連接提供數(shù)據(jù)完整性和加密的算法和協(xié)議。數(shù)據(jù)完整性確保在傳輸過程中不會修改數(shù)據(jù)。數(shù)據(jù)加密使用加密隱藏信息。高級安全 Windows 防火墻使用身份驗證頭 (AH) 或封裝式安全措施負載 (ESP) 提供數(shù)據(jù)保護。高級安全 Windows 防火墻使用 ESP 進行數(shù)據(jù)加密。
•身份驗證方法。除非規(guī)則或組策略設(shè)置指定了其他方法，否則使用此設(shè)置為本地計算機上的 IPsec 連接選擇默認的身份驗證方法。默認的身份驗證方法為 Kerberos 版本 5，這種方法在實施域隔離的規(guī)則上非常有用。您還可以限制僅連接到具有來自特定證書頒發(fā)機構(gòu) (CA) 的證書的那些計算機。
此外，windows高級安全防火墻還提供防火墻的監(jiān)控功能，為管理員管理和監(jiān)控服務(wù)器的安全狀態(tài)提供了良好的依據(jù)。

【編輯推薦】

1. Windows Server 2008安全性和高可用性
2. 優(yōu)秀的接班人——Windows Server 2008
3. Windows Server 2008 VDI架構(gòu)
4. Windows Server 2008組策略安全實踐手冊
5. Windows Server 2008安全性和高可用性