加一道防護網：Win2008的高級防火墻

微軟的Windows Server 2003中防火墻的功能如此之簡陋，讓很多系統管理員將其視為雞肋，它一直是一個簡單的、僅支持入站防護、基于億恩科技主機的狀態防火墻。而隨著Windows Server 2008的日漸向我們走近，其內置的防火墻功能得到了巨大的改進。下面讓我們一起來看一下這個新的高級防火墻將如何幫助我們防護系統，以及如何使用管理控制臺單元來配置它。

為什么你應該使用這個Windows的基于億恩科技主機的防火墻？

今天許多公司正在使用外置安全硬件的方式來加固它們的網絡。 這意味著，它們使用防火墻和入侵保護系統在它們的網絡周圍建立起了一道銅墻鐵壁，保護它們自然免受互聯網上惡意攻擊者的入侵。但是，如果一個攻擊者能夠攻 破外圍的防線，從而獲得對內部網絡的訪問，將只有Windows認證安全來阻止他們來訪問公司最有價值的資產-它們的數據。

這是因為大多數IT人士沒有使用基于億恩科技主機的防火墻來加固他們的億恩科技服務器的安全。為什么會出現這樣的情況呢？因為多數IT人士認為，部署基于億恩科技主機的防火墻所帶來的麻煩要大于它們帶來的價值。

我希望在您讀完這篇文章后，能夠花一點時間來考慮Windows這個基于億恩科技主機的防火墻。在Windows Server 2008中，這個基于億恩科技主機的防火墻被內置在Windows中，已經被預先安裝，與前面版本相比具有更多功能，而且更容易配置。它是加固一個關鍵的基礎億恩科技服務器的最好方法之一。具有高級安全性的 Windows 防火墻結合了億恩科技主機防火墻和IPSec.與邊界防火墻不同，具有高級安全性的 Windows 防火墻在每臺運行此版本 Windows 的計算機上運行，并對可能穿越邊界網絡或源于組織內部的網絡攻擊提供本地保護。它還提供計算機到計算機的連接安全，使您可以對通信要求身份驗證和數據保護。

那么，這個Windows Server高級防火墻可以為你做什么，你又該如何配置它？讓我們繼續看下去。

新防火墻具備的功能及對你的幫助

這個Windows Server 2008中的內置防火墻現在“高級”了。這不僅僅是我說它高級，微軟現在已經將其稱為高級安全Windows防火墻（簡稱WFAS）。

以下是可以證明它這個新名字的新功能：

1、新的圖形化界面。

現在通過一個管理控制臺單元來配置這個高級防火墻。

2、雙向保護。

對出站、入站通信進行過濾。

3、與IPSEC更好的配合。

具有高級安全性的Windows防火墻將Windows防火墻功能和Internet 協議安全（IPSec）集成到一個控制臺中。使用這些高級選項可以按照環境所需的方式配置密鑰交換、數據保護（完整性和加密）以及身份驗證設置。

4、高級規則配置。

你可以針對Windows Server上的各種對象創建防火墻規則，配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。

傳入數據包到達計算機時，具有高級安全性的Windows防火墻檢查該數據包，并確定它是否符合防火墻規則中指定的標準。如果數據包與規則中的標準匹配，則具有高級安全性的Windows防火墻執行規則中指定的操作，即阻止連接或允許連接。如果數據包與規則中的標準不匹配，則具有高級安全性的Windows防火墻丟棄該數據包，并在防火墻日志文件中創建條目（如果啟用了日志記錄）。

對規則進行配置時，可以從各種標準中進行選擇：例如應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型（如網絡適配器）、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標準添加在一起；添加的標準越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細。

通過增加雙向防護功能、一個更好的圖形界面和高級的規則配置，這個高級安全Windows防火墻正在變得和傳統的基于億恩科技主機的防火墻一樣強大，例如ZoneAlarm Pro等。

我知道任何億恩科技服務器管理員在使用一個基于億恩科技主機的防火墻時首先想到的是：它是否會影響這個關鍵億恩科技服務器基礎應用的正常工作？然而對于任何安全措施這都是一個可能存在的問題，Windows 2008高級安全防火墻會自動的為添加到這個億恩科技服務器的任何新角色自動配置新的規則。但是，如果你在你的億恩科技服務器上運行一個非微軟的應用程序，而且它需要入站網絡連接的話，你將必須根據通信的類型來創建一個新的規則。

通過使用這個高級防火墻，你可以更好的加固你的億恩科技服務器以免遭攻擊，讓你的億恩科技服務器不被利用去攻擊別人，以及真正確定什么數據在進出你的億恩科技服務器。下面讓我們看一下如何來實現這些目的。

了解配置Windows防火墻高級安全性的選擇

在以前Windows Server中，你可以在去配置你的網絡適配器或從控制面板中來配置Windows防火墻。這個配置是非常簡單的。

對于Windows高級安全防火墻，大多數管理員可以或者從Windows億恩科技服務器管理器配置它，或者從只有Windows高級安全防火墻MMC管理單元中配置它。

我發現啟動這個Windows高級安全防火墻的最簡單最快速的方法是，在開始菜單的搜索框中鍵入‘防火墻’

快速啟動Windows 2008高級安全防火墻管理控制臺的方法

另外，你還可以用配置網絡組件設置的命令行工具Netsh來配置Windows高級安全防火墻。使用netsh advfirewall可以創建腳本，以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows防火墻設置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態。

使用新的Windows高級安全防火墻MMC管理單元能配置什么？

由于使用這個新的防火墻管理控制臺你可以配置如此眾多的功能，我不可能面面俱道的提到它們。如果你曾經看過Windows 2003內置防火墻的配置圖形界面，你會迅速的發現在這個新的Windows高級安全防火墻中躲了如此眾多的選項。下面讓我選其中一些最常用的功能來介紹給大家。

默認情況下，當你第一次進入Windows高級安全防火墻管理控制臺的時候，你將看到Windows高級安全防火墻默認開啟，并且阻擋不匹配入站規則的入站連接。此外，這個新的出站防火墻默認被關閉。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]