【会员登陆】Members
尚品中国万网核心代理商
如何使用Win2008的高级防火墙
您当前位置：&|&
微软的Windows Server 2003中防火墙的功能如此之简陋，让很多系统管理员将其视为鸡肋，它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙。而随着Windows Server 2008的日渐向我们走近，其内置的防火墙功能得到了巨大的改进。下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统，以及如何使用管理控制台单元来配置它。
为什么你应该使用这个Windows的基于主机的防火墙？
今天许多公司正在使用外置安全硬件的方式来加固它们的网络。 这意味着，它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁，保护它们自然免受互联网上恶意攻击者的入侵。但是，如果一个攻击者能够攻 破外围的防线，从而获得对内部网络的访问，将只有Windows认证安全来阻止他们来访问公司最有价值的资产-它们的数据。
这是因为大多数IT人士没有使用基于主机的防火墙来加固他们的的安全。为什么会出现这样的情况呢？因为多数IT人士认为，部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。
我希望在您读完这篇文章后，能够花一点时间来考虑Windows这个基于主机的防火墙。在Windows Server 2008中，这个基于主机的防火墙被内置在Windows中，已经被预先安装，与前面版本相比具有更多功能，而且更容易配置。它是加固一个关键的基础服务器的最好方法之一。具有高级安全性的 Windows 防火墙结合了主机防火墙和IPSec.与边界防火墙不同，具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。
那么，这个Windows Server高级防火墙可以为你做什么，你又该如何配置它？让我们继续看下去。
新防火墙具备的功能及对你的帮助
这个Windows Server 2008中的内置防火墙现在&高级&了。这不仅仅是我说它高级，微软现在已经将其称为高级安全Windows防火墙（简称WFAS）。
以下是可以证明它这个新名字的新功能：
1、新的图形化界面。
现在通过一个管理控制台单元来配置这个高级防火墙。
2、双向保护。
对出站、入站通信进行过滤。
3、与IPSEC更好的配合。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全（IPSec）集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护（完整性和加密）以及身份验证设置。
4、高级规则配置。
你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目（如果启用了日志记录）。
对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起；添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。
通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大，例如ZoneAlarm Pro等。
我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是：它是否会影响这个关键服务器基础应用的正常工作？然而对于任何安全措施这都是一个可能存在的问题，Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是，如果你在你的服务器上运行一个非微软的应用程序，而且它需要入站网络连接的话，你将必须根据通信的类型来创建一个新的规则。
通过使用这个高级防火墙，你可以更好的加固你的服务器以免遭攻击，让你的服务器不被利用去攻击别人，以及真正确定什么数据在进出你的服务器。下面让我们看一下如何来实现这些目的。
了解配置Windows防火墙高级安全性的选择
在以前Windows Server中，你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。
对于Windows高级安全防火墙，大多数管理员可以或者从Windows服务器管理器配置它，或者从只有Windows高级安全防火墙MMC管理单元中配置它。
我发现启动这个Windows高级安全防火墙的最简单最快速的方法是，在开始菜单的搜索框中键入&防火墙&
快速启动Windows 2008高级安全防火墙管理控制台的方法
另外，你还可以用配置网络组件设置的命令行工具Netsh来配置Windows高级安全防火墙。使用netsh advfirewall可以创建脚本，以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
使用新的Windows高级安全防火墙MMC管理单元能配置什么？
由于使用这个新的防火墙管理控制台你可以配置如此众多的功能，我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面，你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。
默认情况下，当你第一次进入Windows高级安全防火墙管理控制台的时候，你将看到Windows高级安全防火墙默认开启，并且阻挡不匹配入站规则的入站连接。此外，这个新的出站防火墙默认被关闭。
你将注意的其他事情是，这个Windows高级安全防火墙还有多个配置文件供用户选择。
在Windows 2008高级安全防火墙中提供的配置文件
在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法，如防火墙规则和连接安全规则，根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。
在我看来，在我们讨论过的Windows 2008高级安全防火墙的所有改进中，意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项。
Windows 2003 Server防火墙例外窗口
再来对比一下Windows 2008 Server中的配置窗口。
Windows 2008 Server高级防火墙例外设置窗口
注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置，微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。
Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中，只有三个默认的例外规则。而
Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。
Windows 2008 Server高级防火墙默认入站规则
那么你如何使用这个新的Windows高级防火墙创建一个规则呢？让我们接下来看一下。
如何创建一个定制的入站规则？
假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器，这个端口自动会为你打开。但是，由于你现在使用一个来自第三方的网站服务器，而且你打开了入站防火墙，你必须手动的打开这个窗口。
以下是步骤：
&识别你要屏蔽的协议-在我们的例子中，它是TCP/IP（与之对应的则是UDP/IP或ICMP）。
&识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。（注意，你可以为一个特定的程序创建一条规则，诸如这儿的apache HTTP服务器）。
&打开Windows高级安全防火墙管理控制台。
&增加规则-点击在Windows高级安全防火墙MMC中的新建规则按钮，开始启动新规则的向导。
Windows 2008 Server高级防火墙管理控制台-新建规则按钮
&为一个端口选择你想要创建的规则。
&配置协议及端口号-选择默认的TCP协议，并输入80作为端口，然后点击下一步。
&选择默认的&允许连接&并点击下一步。
&选择默认的应用这条规则到所有配置文件，并点击下一步。
&给这个规则起一个名字，然后点击下一步。
创建规则后的Windows 2008 Server高级防火墙管理控制台
经过我测试，当不启用这个规则的时候，我最近安装的Apache网站服务器不能正常工作。但是，创建了这个规则后，它可以正常工作了！
结论：大有改进 值得一试
具有防火墙配置文件、复杂的规则设置和原先30倍数量的默认规则，还有本文中未提到很多高级安全功能，Windows 2008 Server高级安全防火墙的确名副其实，真正是一个微软所说的高级防火墙。我相信这个内置、免费、高级的基于主机的防火墙将确保Windows Server未来变得更加安全。但是，如果你不使用它，它不会对你有任何帮助。因此我希望你今天就来体验一下这个新的Windows高级防火墙。
FAQ 网站空间问题
CONTACT US 联系方式
服务热线：
400-700-4979
业务邮箱：
地址：北京市朝阳区慈云寺远洋天地73#1606
&&京公网安备zengchuixin2008 的BLOG
用户名：zengchuixin2008
文章数：478
评论数：2120
访问量：2036269
注册日期：
阅读量：24883
阅读量：250729
阅读量：991382
阅读量：145851
51CTO推荐博文
前面的文章中介绍了怎么用radius来集中管理VPn服务器，以及VPN服务器上访问控制策略的应用。
本文将简单介绍一下IPsec VPN的实现方式。
通过把VPN和IPsec进行要效的结合，可以达到更好的身份验证和安全性。
基于IPsec的VPN方式将采用L2TP进行连接。
在实验之前，我们首先确保客户端可以通过PPTP进行连接，然后在此基础上做进一步的配置。
下面是本次实验的简易拓扑
（一）、实验前的准备工作
准备工作的详细过程可参照前面的文章：
1、 安装DC，域名为dc.com，在DC上安装证书服务（注意在安装证书服务的时候，要同时安装WEB服务，因为通过浏览器申请证书，需要WEB服务的支持）。本实验的CA类型为“独立根CA”，且将VPN服务器加入到域中。
2、 为VPN服务器添加两块网卡，一块用于连接内网，IP为10.1.1.2，使用vmnet1，另一块用来连接外网客户端，IP为：20.1.1.1，使用mnet2
3、 在VPN服务器上开启路由和远程访问服务，配置完成后，配置一下默认的远程访问策略为开启
4、 到DC上，新建用户BBB，作为拨入用户，右击该用户，选择属性，拨入属性选项卡，选择第三项：使用远程访问策略控制访问。注意：如果该选项为灰色，需要提升默认的域功能级别到2003模式。
5、 到客户端上新建拨号连接，连接类型为“连接到我工作场所的网络”“虚拟专用网络连接”。保证客户端可以用PPTP的方式访问
（二）、具体的IPsec VPN的实现过程
1、VPN服务器和客户端均需申请IPsec证书，下载并且安装所申请的证书，作为独立CA，会稍微麻烦一点。
首先为VPN服务器申请“IPsec证书”
选择高级证书申请
选择创建并向此CA提交一个申请
在下图的证书类型中选择“IPsec证书”
将滚动条往下拖动，做如下的配置，注意勾选“将证书保存在本地计算机存储中”，点击“提交”
到DC上，打开证书颁发机构，颁发该IPsec证书。VPN服务器所申请的证书会在DC的证书颁发机构的挂起的申请中，我们需要到DC的证书颁发机构中对该挂起的申请进行颁发
查看证书挂起的状态。颁发之后，回到VPN服务器上打开IE，下载由证书颁发机构所颁发的证书，选择“查看挂起证书的申请状态”
点上图，安装证书，VPN的证书安装完成
提示：企业根CA只存在于域环境下，它的好处之一就是证书自动颁发，而独立CA需要到证书服务管理工具上手动将挂起的证书进行颁发
接下来要用相同的方法为客户端申请证书（步骤省略）
2、当VPN服务器和客户端的证书申请完毕后，这个时候还不能通过证书信任来进行IPsec的访问，需要在VPN和客户端上下载根CA证书及证书链，并导入到信任的证书颁发机构列表中
将CA证书及证书链下载到桌面吧，然后进行下列的操作，安装到“受信任的证书颁发机构”
按照上面同样的方式导入证书链。
对于客户端来说下载CA和CA链的方式以及导入的方式与VPN服务器完全相同，在此配置省略。
3、当客户端和VPN服务器的证书申请完毕后，最好重启一下VPN服务和CA服务
4、将客户端的VPN连接属性改为L2TP证书验证。注意：为了验证证书生效，所以如果有L2TP的共享密钥，一定要将其删除，且把勾挑掉。
等做完客户端的配置之后，就可以使用IPsec VPN进行安全的通信了。
注意：如果在验证的时候有出错提示，请从以下几个方面排查
1、 在客户端和VPN服务器上是不是正确地申请了IPsec的VPN，如果IPsecVPN申请的时候出现配置错误，或者申请的根本不是IPsec证书（比如申请成了web浏览器证书），那么客户机是无法找到有效的IPsec证书的。
2、 如果在客户端和VPN服务器上没有下载并导入根CA证书和证书链到受信任的证书颁发机构中，那么在客户机访问的时候也是无法找到正确的信任关系的。
3、 如果在以上正确配置的前提下，客户端无法访问，那么请尝试重启CA颁发机构、重启路由和远程访问。本文出自 “” 博客，谢绝转载！
了这篇文章
类别：┆阅读(0)┆评论(0)
15:26:14 18:03:20 00:02:00 07:13:59 15:11:55第七部分：NetStor BUR 操作系统备份与恢复配置手册_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
第七部分：NetStor BUR 操作系统备份与恢复配置手册
上传于||暂无简介
阅读已结束，如果下载本文需要使用3下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩21页未读，继续阅读
你可能喜欢利用命令查看WIN8系统无线网络配置及删除技巧的图文教程
作者：佚名
字体：[ ] 来源：互联网 时间：03-18 11:47:46
这篇文章主要介绍了利用命令查看WIN8系统无线网络配置及删除技巧的具体方法，,需要的朋友可以参考下
　　在win7操作系统中我们可以通过&网络和共享中心&来查看与管理无线网络，这也给我们管理无线网络配置带来便捷服务，但是微软在win8/8.1系统中省略&管理无线网络&选项(如下图所示)，这给用户管理无线网络配置造成一定麻烦，其实我们可以通过命令来查看win8无线网络配置或管理删除，一起来看看win8命令提示符是如何实现这个功能管理的。
　　利用命令查看WIN8系统无线网络配置及删除方法/步骤：
　　1、首先，在传统桌面下，使用Win+X快捷键，在打开的菜单中选择&命令提示符(管理员)&，如下图
　　2、如果出现如下图的UAC用户账户控制，我们需要点击&是&
　　3、在打开的CMD窗口中，我们输入netsh wlan show profiles，来查看系统中已经存在的我无线网络配置文件，如下图。
　　4、如果需要查看某个无线网络的配置，可输入 netsh wlan show profile name=&需要查看的无线网络配置名称& key=clear，然后按下回车键，如下图所示
　　5、如果需要删除某个已知的无线网络，则输入 netsh wlan delete profile name=&需要删除的无线网络配置名称&，然后按下回车键，如下图。
　　虽然使用命令会有些繁琐，但给我们管理win8无线网络配置也有一定帮助，如果用户不想因为这项改变而换系统的话，那么不妨通过教程的方法掌握命令管理无线网络配置技巧吧。
大家感兴趣的内容
12345678910
最近更新的内容 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
WIN2008-综合习题(1)
下载积分：800
内容提示：WIN2008-综合习题(1)
文档格式：DOC|
浏览次数：3|
上传日期： 19:08:40|
文档星级：
该用户还上传了这些文档
WIN2008-综合习题(1)
官方公共微信