新防火墻具備的功能及對你的幫助

這個Windows Server 2008中的內置防火墻現在“高級”了。這不僅僅是我說它高級，微軟現在已經將其稱為高級安全Windows防火墻(簡稱WFAS)。

以下是可以證明它這個新名字的新功能：

1、新的圖形化界面。

現在通過一個管理控制臺單元來配置這個高級防火墻。

2、雙向保護。

對出站、入站通信進行過濾。

3、與IPSEC更好的配合。

具有高級安全性的Windows防火墻將Windows防火墻功能和Internet 協議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環境所需的方式配置密鑰交換、數據保護(完整性和加密)以及身份驗證設置。

4、高級規則配置。

你可以針對Windows Server上的各種對象創建防火墻規則，配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。

傳入數據包到達計算機時，具有高級安全性的Windows防火墻檢查該數據包，并確定它是否符合防火墻規則中指 定的標準。如果數據包與規則中的標準匹配，則具有高級安全性的Windows防火墻執行規則中指定的操作，即阻止連接或允許連接。如果數據包與規則中的標 準不匹配，則具有高級安全性的Windows防火墻丟棄該數據包，并在防火墻日志文件中創建條目(如果啟用了日志記錄)。

對規則進行配置時，可以從各種標準中進行選擇：例如應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細。

通過增加雙向防護功能、一個更好的圖形界面和高級的規則配置，這個高級安全Windows防火墻正在變得和傳統的基于主機的防火墻一樣強大，例如ZoneAlarm Pro等。

通過使用這個高級防火墻，你可以更好的加固你的服務器以免遭攻擊，讓你的服務器不被利用去攻擊別人，以及真正確定什么數據在進出你的服務器。下面讓我們看一下如何來實現這些目的。

了解配置Windows防火墻高級安全性的選擇

在以前Windows Server中，你可以在去配置你的網絡適配器或從控制面板中來配置Windows防火墻。這個配置是非常簡單的。

對于Windows高級安全防火墻，大多數管理員可以或者從Windows服務器管理器配置它，或者從只有Windows高級安全防火墻MMC管理單元中配置它。

我發現啟動這個Windows高級安全防火墻的最簡單最快速的方法是，在開始菜單的搜索框中鍵入‘防火墻’。

另外，你還可以用配置網絡組件設置的命令行工具Netsh來配置Windows高級安全防火墻。使用 netsh advfirewall可以創建腳本，以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows防火墻設置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態。

使用新的Windows高級安全防火墻MMC管理單元能配置什么?

由于使用這個新的防火墻管理控制臺你可以配置如此眾多的功能，我不可能面面俱道的提到它們。如果你曾經看過Windows 2003內置防火墻的配置圖形界面，你會迅速的發現在這個新的Windows高級安全防火墻中躲了如此眾多的選項。下面讓我選其中一些最常用的功能來介紹給大家。

默認情況下，當你第一次進入Windows高級安全防火墻管理控制臺的時候，你將看到Windows高級安全防火墻默認開啟，并且阻擋不匹配入站規則的入站連接。此外，這個新的出站防火墻默認被關閉。

你將注意的其他事情是，這個Windows高級安全防火墻還有多個配置文件供用戶選擇。

在這個Windows高級安全防火墻中有一個域配置文件、專用配置文件和公用配置文件。配置文件是一種分組設置的方法，如防火墻規則和連接安全規則，根據計算機連接的位置將其應用于該計算機。例如根據你的計算機是在企業局域網中還是在本地咖啡店中。

在我看來，在我們討論過的Windows 2008高級安全防火墻的所有改進中，意義最重大的改進當屬更復雜的防火墻規則。看一下在Windows Server 2003防火墻增加一個例外的選項。

再來對比一下Windows 2008 Server中的配置窗口

注意協議和端口標簽只是這個多標簽窗口中的一小部分。你還可以將規則應用到用戶及計算機、程序和服務以及IP地址范圍。通過這種復雜的防火墻規則配置，微軟已經將Windows高級安全防火墻朝著微軟的IAS Server發展。

Windows高級安全防火墻所提供的默認規則的數量也是令人吃驚的。在Windows 2003 Server中，只有三個默認的例外規則。而Windows 2008高級安全防火墻提供了大約90個默認入站防火墻規則和至少40個默認外出規則。

那么你如何使用這個新的Windows高級防火墻創建一個規則呢?讓我們接下來看一下。

如何創建一個定制的入站規則?

假如說你已經在你的Windows 2008 Server上安裝了Windows版的Apache網站服務器。如果你已經使用了Windows內置的IIS網站服務器，這個端口自動會為你打開。但是，由于你現在使用一個來自第三方的網站服務器，而且你打開了入站防火墻，你必須手動的打開這個窗口。

以下是步驟：

識別你要屏蔽的協議-在我們的例子中，它是TCP/IP(與之對應的則是UDP/IP或ICMP)。

識別源IP地址、源端口號、目的IP地址和目的端口。我們進行的Web通信是來自于任何IP地址和任何端口號并流向這個服務器80端口的數據通信。(注意，你可以為一個特定的程序創建一條規則，諸如這兒的apache HTTP服務器)。

打開Windows高級安全防火墻管理控制臺。

增加規則-點擊在Windows高級安全防火墻MMC中的新建規則按鈕，開始啟動新規則的向導。