WindowsServer2008防火墙配置攻略
WindowsServer2008防火墙配置攻略
　　最近微软的最新服务器操作系统Windows Server 2008已经正式发布，在这款微软所宣称的“史上安全性最强”的服务器操作系统中，新增了很多安全方面的设计和功能，其中它的防火墙也有了重大的改进，不过对于服务器操作系统来说，系统自带的普通防火墙显然功能过于简陋，我们今天介绍的是它的高级安全Windows防火墙，这是一款让Windows Server 2008的安全性大幅提高的一个利器。
　　了解高级安全Windows防火墙
　　在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。
　　与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。
　　其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
　　而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
　　传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。
　　对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。
　　我们可以通过多种方式来配置Windows Server 2008防火墙和IPSec的设置和选项，下面让我们具体看一下如何来配置Window Server 2008的这款高级防火墙。
　　使用高级安全Windows防火墙管理单元管理防火墙
　　这种方式可以让你在一个界面中同时配置防火墙设置和IPSec设置，还可以在监视节点中查看当前应用的策略、规则和其它信息。
　　从启动菜单的管理工具中找到高级安全Windows防火墙，点击打开MMC管理单元，如下图。
　　图1、具有高级安全性的Windows防火墙MMC管理单元
　　从以上界面中我们可以看到，Windows 2008的高级安全Windows防火墙使用出站和入站两组规则来配置其如何响应传入和传出的流量；通过连接安全规则来确定如何保护计算机和其它计算机之间的流量。而且可以监视防火墙活动和规则。
　　下面我们来通过实际例子查看一下如何配置这几个规则。
　　首先从入站规则开始，假如我们在Windows Server 2008上安装了一个Apache Web服务器，默认情况下，从远端是无法访问这个服务器的，因为在入站规则中没有配置来确认对这些流量“放行”，下面我们就为它增加一条规则。
　　打开高级安全Windows防火墙，点击入站规则后从右边的入站规则列表中我们可以看到Windows Server 2008自带的一些安全规则，因为Apache是一款第三方应用软件，所以我们需要通过右边操作区的【新规则】来新建一条，如下图。
　　&&&&&&& 图2、选择要创建的规则类型
　　在这儿可以看到，我们可以基于具体的程序、端口、预定义或自定义来创建入站规则，其中每个类型的步骤会有细微的差别。在我们这个例子中，我们选择【程序】类型，点击下一步接下来选择具体的程序路径，如下图。
　　&&&&&&& 图3、选择程序路径
　　第三步指定对符合条件的流量进行什么操作，我们这儿当然是允许连接了，如下图
　　&&&&&&& 图4、指定操作内容
　　接下来选择应用规则的配置文件和为规则指定名称后，这条规则就创建完了，从入站规则列表中可以看到你创建的规则了，如下图。
　　&&&&&&& 图5、新创建的规则
　　现在就可以正常从远程访问你的Apache服务器了。
　　如果要对这个已经创建的规则进行修改等操作，可以在选中规则后，从右边的操作区域进行操作，如下图。
　　图6、修改规则
　　点击【属性】按钮，会弹出下图窗口，在这儿可以对规则进行更详细的修改，我们看到一条规则的可定制化属性比以前版本的规则属性要多很多。
　　图7、规则属性
　　出站规则的配置与入站规则完全相同，笔者不再重复，下面我们来看一下连接安全规则。
　　连接安全包括在两台计算机开始通信之前对它们进行身份验证，并确保在两台计算机之间正在发送的信息的安全性。具有高级安全性的 Windows 防火墙包含了 Internet 协议安全 (IPSec) 技术，通过使用密钥交换、身份验证、数据完整性和数据加密（可选）来实现连接安全。
　　对于单个服务器来说，可以使用高级安全Windows防火墙管理控制单元来对防火墙进行设置，如果在你的企业网络中有大量计算机需要设置，这种方法就不再适合，应该找一种更高效的方法。&&&&&
　　使用组策略来管理高级安全Windows防火墙
　　在一个使用活动目录（AD）的企业网络中，为了实现对大量计算机的集中管理，你可以使用组策略来应用高级安全Windows防火墙的配置。组策略提供了高级安全Windows防火墙的完全功能的访问，包括配置文件、防火墙规则和计算机安全连接规则。
　　实际上，在组策略管理控制台中为高级安全Windows防火墙配置组策略的时候是打开的同一个控制单元。
　　图8、在组策略管理中配置高级安全Windows防火墙
　　值得注意的是，如果你使用组策略来在一个企业网络中配置高级安全Windows防火墙的话，本地系统管理员是无法修改这个规则的属性的。
　　通过创建组策略对象，可以配置一个域中所有计算机使用相同的防火墙设置。这一部分内容比较复杂，我们将在后续文章中详细介绍。&&
　　使用Netsh advfirewall命令行工具
　　虽然图形化配置界面比较简单直观，但是对于一些有经验的系统管理员来说，则往往更喜欢使用命令行方式来完成它们的配置工作，因为后者一旦熟练掌握的话，可以更灵活更准确更迅速的实现配置任务。
　　Netsh是可以用于配置网络组件设置的命令行工具。具有高级安全性的Windows防火墙提供netsh advfirewall工具，可以使用它配置具有高级安全性的Windows防火墙设置。使用netsh advfirewall可以创建脚本，以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows 防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
　　Netsh advfirewall的命令非常多，今天我们选择你必须掌握的几个最常见的命令介绍给大家。
　　1、help命令(或“?”)
　　这个命令虽然简单，但这却可能是最有用的命令。任何时候当你键入“?”命令的时候，你会看到和上下文相关的所有选项，如下图。
　　&&&&&&& 图9、netsh advfirewall的和help选项
　　2、consec(连接安全规则)命令
　　这个连接规则可以让你创建两个系统之间的IPSEC VPN。换句话说，consec规则能够让你加强通过防火墙的通信的安全性，而不仅仅是限制或过滤它。
　　这个命令会将你带入到连接安全配置模式，如下所示：
　　Netsh advfirewall&consec
　　Netsh advfirewall consec&
　　现在如果你键入“?”命令的话，你将会在netsh advfirewall consec中看到六个不同的命令(如下图9)。
　　&&&&&& 从这儿你可以看到你可以通过以下命令来修改安全规则：
　　此上下文中的命令:
　　add命令可以让你添加新连接安全规则；
　　delete命令让你删除所有匹配的连接安全规则；
　　dump命令显示一个配置脚本；
　　help可以显示命令列表。
　　set命令让你为现有规则的属性设置新值。
　　&&&&&&& 图10、netsh advfirewall consec命令选项
　　show命令
　　要想查看防火墙现在的状况，你将必须使用这个show命令，再其下提供三个不同的命令可用。
　　Show alias为你列出所有定义的别名;
　　show helper列出所有顶层帮助者；
　　Show mode命令可以钢珠你显示防火墙是在线还是离线。
　　3、Export命令
　　这个命令可以让你导出防火墙当前的所有配置到一个文件中。这个命令非常有用，因为你可以备份所有的配置到文件中，如果你对已经作出的配置不满意的话，可以随时使用这个文件来恢复到修改前的状态。
　　以下是一个应用示例：
　　netsh advfirewall export “c:\advfirewall.wfw”
　　4、Firewall命令
　　使用这个命令你可以增加新的入站和出站规则到你的防火墙中。它还可以让你修改防火墙中的规则。&&&&&&&
　　图11、netsh advfirewall firewall
　　在firewall上下文命令中，你会看到四个重要的命令，分别是：
　　Add命令让你增加入站和出站规则；
　　Delete命令让你删除一条规则；
　　Set命令为现有规则的属性设置新值；
　　Show命令将显示一个指定的防火墙规则。
　　以下是增加和删除一个防火墙规则的示例：
　　增加一个针对messenger.exe的入站规则
　　netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow
　　删除针对本地21端口的所有入站规则：
　　netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
　　5、Import命令
　　Import命令让你可以从一个文件中导入防火墙的配置。这个命令可以让你把之前你使用export命令导出的防火墙配置再恢复回去。示例如下：
　　Netsh advfirewall import “c:\advfirewall.wfw”
　　6、Reset
　　这个命令让你重新设置防火墙策略到默认策略状态。使用这个命令的时候务必谨慎，因为一旦你键入这个命令并按下回车后，它将不再让你确认是否真要重设，直接恢复防火墙的策略。
　　示例命令如下：
　　Netsh advfirewall reset
　　7、Set命令
　　set命令将允许你修改防火墙的不同设置状态。相关的上下文命令有六个。
　　&&&&&&& 图12、netsh advfirewall set
　　set allprofiles让你修改所有配置文件中的属性。
　　set currentprofile 让你只修改活动配置文件中的属性。
　　set domainprofile让你修改域配置文件中的属性。
　　set global让你修改防火墙的全局属性。
　　set privateprofile让你修改专用配置文件中的属性。
　　set publicprofile让你修改公用配置文件中的属性。
　　set store让你为当前交互式会话设置策略存储。
　　以下是使用set命令的一些例子：
　　让防火墙关闭所有配置文件：
　　netsh advfirewall set allprofiles state off
　　在所有配置文件中设置默认阻挡入站并允许出站通信：
　　netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
　　在所有配置文件中打开远程管理：
　　netsh advfirewall set allprofiles settings remotemanagement enable
　　在所有配置文件中记录被断开的连接：
　　netsh advfirewall set allprofiles logging droppedconnections enable
　　8、Show命令
　　这个show命令将让你可以查看所有不同的配置文件中的设置和全局属性。
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
港口与航道工程建设工程法规及相关知识建设工程经济考试大纲矿业工程市政公用工程通信与广电工程
操作系统汇编语言计算机系统结构人工智能数据库系统微机与接口
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
Powerpoint教程WPS教程
电子政务客户关系管理首席信息官办公自动化大数据
职称考试题目
就业指导签约违约职业测评
招生信息考研政治
网络安全安全设置工具使用手机安全
3DMax教程Flash教程CorelDraw教程Director教程
Dreamwaver教程HTML教程网站策划网站运营Frontpage教程
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
互联网电信IT业界IT生活
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
组织运营财务资本
视频播放文件压缩杀毒软件输入法微博
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&Windows Server 2008企业64位版防火墙添加端口的方法_最火下载站
您的位置： >
> Windows Server 2008企业64位版防火墙添加端口的方法
Windows Server 2008企业64位版防火墙添加端口的方法
　　记得在两年前写过一篇教程，是关于的，现在来补充一下。因为今天有朋友来咨询烈火网小编，他的windows2008是64位企业版的，找了很久也没有找到添加端口的地方，而在防火墙中的&更改设置&是灰色的按钮，无法点击，如下图：
　　现在就来教大家在windows server 2008 企业64位版本的系统防火墙下添加端口和程序：
　　依次打开，右击我的电脑&&管理&&配置&&高级安全Windows防火墙&&入站规则，在右侧找到&新建规则&参考 80 端口，万维网服务(HTTP 流入量)对于 Internet 信息服务(IIS)允许 HTTP 通信的入站规则[TCP 80]
　　因为是公司内部使用的Web访问，出于安全考虑增加，只允许IP段访问。
上一篇： 下一篇：如何设置windows server 2012 防火墙管理_百度知道    3.禁用Windows Server 2012的     Windows Server 2012中，Windows 防火墙默认状态下是启用的，而对于集团其来说，都有基于整个公司的防火墙或安全措施，所以我们需要关闭Windows Server 2012自带的防火墙，只需要三步就能轻松完成。管理器     服务器管理器本地服务器首页，我们能够看到“Windows 防火墙”处于启动的状态，点击图中标红的地方就可以开始设置。启动或关闭Windows 防火墙     点击上图页面的右侧“启动或关闭Windows 防火墙”。自定义Windows 防火墙的设置    在这里我们需要关闭防火墙的设置，无论是专用网还是公用网，我们都需要关闭。以便相同集团之间的访问。
提示：支持键盘“← →”键翻页王春海 的BLOG
用户名：王春海
文章数：453
评论数：4772
访问量：7325457
注册日期：
阅读量：5863
阅读量：12276
阅读量：329887
阅读量：1037217
51CTO推荐博文
现在单位采用实名认证上网，认证软件只限本人在一台计算机上进行认证。但现在需要上网的设备比较多，例如你有手机、平板，也有其他的多台计算机上网，这时候就需要做一个代理服务器。网络拓扑如图1所示。
图1 共享上网
在图1中，服务器由一台安装有Windows Server 2012 Datacenter的双网卡计算机充当，一个网卡接校园网并自动获得地址，另一个网卡设置为LAN，设置一个私有地址，例如192.168.10.1，并配置DHCP服务器，设置DHCP的作用域地址范围为192.168.10.2～254、子网掩码为255.255.255.0、网关为192.168.10.1，DNS为校园网DNS。
LAN口网卡连接到一个普通的交换机上，然后将宽带路由器的LAN口（一般4个WAN口、1个LAN口）接到普通交换机上，并将宽带路由器的DHCP功能禁用。这样平板、手机将通过宽带路由器、并从Windows 2012服务器的DHCP获得IP地址、子网掩码、网关。而工作站1、工作站2则设置为“自动获取IP地址与DNS地址”即可。
【说明】在Windows Server 2012的DHCP服务器中，新增加了“筛选”功能，可以根据网卡MAC地址不同，分配不同段的地址，例如可以为计算机（网卡MAC地址前三位为00－E0－4C）分配一段地址，为手机、平板分别另一段地址等。在以后的文章中介绍这个功能。
本节介绍的是在Windows Server 2012中配置RRAS的内容。在 Windows Server 2008 R2 和 Windows Server 2008 中，网络策略和访问服务包括了路由和远程访问服务 (RRAS) 角色服务。在 Windows Server 2012 中，RRAS 现在是远程访问服务器角色中的角色服务。
1.1 安装远程访问服务
首先介绍安装远程访问服务的安装。
（1）在Windows Server 2012中，打开“网络连接”，分别设置lan（连接到局域网）与wan（连接到广域网）网卡的地址，如图2所示。
图2 设置IP地址
（2）配置DHCP服务器（略），如图3所示。
图3 配置DHCP
（3）在“服务器管理器→仪表板”中，单击“添加角色和功能”，如图4所示。
图4 添加角色和功能
（4）在“选择安装类型”对话框，单击“基于角色或基于功能的安装”，如图5所示。
图5 基于角色或功能安装
（5）在“选择目标服务器”对话框，选择要安装RRAS的服务器，如图6所示。当前列表中只有一台服务器，如果有多台服务器，可以在此选择要安装的服务器。
图6 选择目标服务器
（6）在“选择服务器角色”对话框单击“远程访问”，如图7所示。
图7 远程访问
（7）在弹出的“添加远程访问所需的功能”对话框，单击“添加功能”按钮，如图8所示。
图8 添加功能
（8）在“选择功能”对话框，单击“下一步”按钮，如图9所示。
图9 选择功能
【说明】Windows 2012将添加角色及功能组合成一个操作步骤，在原来的Windows Server 2008及Windows 2008 R2中是分开的。
（9）在“远程访问”对话框显示了要安装的功能概述，如图10所示。
图10 远程访问概述
（10）在“选择角色服务”对话框中选中“DirectAccess和VPN”及“路由”复选框，如图11所示。
图11 添加路由功能
（11）在“确认安装所选内容”对话框，单击“安装”按钮，开始安装，如图12所示。如果选中“如果需要，自动重新启动目标服务器”单选框，在安装服务的时候，如果该安装需要重新启用服务器，安装程序会自动启动服务器。
图12 确认安装内容
（12）在“安装进度”中单击“关闭”按钮，安装完成，如图13所示。
（13）返回到服务器管理器，单击“”图标，选择“打开开始向导”，如图14所示。
图14 打开开始向导
（14）在“配置远程访问”中单击“仅部署DirectAccess”链接，如图15所示。
图15 配置远程访问
（15）在“远程访问服务器设置”对话框，单击“取消”按钮，如图16所示。
1.2 配置RRAS
接下来介绍RRAS的配置，步骤如下。
（1）在“服务器管理器”中，在左侧选中“远程访问”节点，在右侧单击计算机的名称，在弹出的快捷菜单中选择“远程访问管理”，如图17所示。
图17 远程访问管理
（2）在“远程访问管理控制台”，在右侧单击“打开RRAS管理”链接，如图18所示。
图18 打开RRAS管理
（3）在“路由和远程访问”控制台中，右击计算机名称，在弹出的对话框中选择“配置并启用路由和远程访问”，如图19所示。
图19 配置并启用远程访问
（4）在“欢迎使用路由和远程访问服务器安装向导”对话框，单击“下一步”按钮，如图20所示。
图20 配置向导
（5）在“配置”对话框单击“网络地址转换”单选框，如图21所示。
图21 网络地址转换
（6）在“NAT Internet连接”对话框，选择连接到Internet的网卡，如图22所示。
图22 选择连接到Internet的网卡
（7）在“正在完成路由和远程访问服务器安装向导”对话框，单击“完成”按钮，如图23所示。
图23 完成向导
配置完RRAS之后，安装拨号软件客户端，然后拨号，如图24所示，这是拨号成功的信息。
图24 拨号成功
1.3 客户端使用
之后计算机设置成“自动获得IP地址及DNS地址”即可上网，手机与平板连接到宽带路由器获得地址也可以上网。当然你可以在宽带路由器中进行安全配置，例如MAC地址限制、设置连接密码等，这些不一一介绍。
在服务器上，在“路由和远程访问”中，在“NAT”中可以看到地址映射总数、转换的连接等，如图25所示。
图25 连接信息本文出自 “” 博客，谢绝转载！
了这篇文章
类别：┆阅读(0)┆评论(0)
17:38:22 09:42:33 09:26:06 12:46:31 21:50:36 11:16:20 15:34:52 08:02:06 14:16:58 14:19:27 20:10:08 09:48:01}