其次它将Windows防火墙成果和Internet 协议安详(IPSec)集成到一个节制台中。利用这些高级选项可以凭据情况所需的方法设置密钥互换、数据掩护(完整性和加密)以及身份验证配置。并且WFAS还可以实现更高级的法则设置,你可以针对Windows Server上的各类工具建设防火墙法则,设置防火墙法则以确定阻止照旧答允流量通过具有高级安详性的Windows防火墙。
传入数据包达到计较机时,具有高级安详性的Windows防火墙查抄该数据包,并确定它是否切合防火墙法则中指定的尺度。假如数据包与法则中的尺度匹配,则具有高级安详性的Windows防火墙执行法则中指定的操纵,即阻止毗连或答允毗连。假如数据包与法则中的尺度不匹配,则具有高级安详性的Windows防火墙扬弃该数据包,并在防火墙日志文件中建设条目(假如启用了日志记录)。
对法则举办设置时,可以从各类尺度中举办选择:譬喻应用措施名称、系统处事名称、TCP端口、UDP端口、当地IP地点、长途IP地点、设置文件、接口范例(如网络适配器)、用户、用户组、计较机、计较机组、协议、ICMP范例等。法则中的尺度添加在一起;添加的尺度越多,具有高级安详性的Windows防火墙匹配传入流量就越风雅。
下面我们一起来相识一下如何来设置Window Server 2008的防火墙。
操作MMC单位举办打点
这种方法可以让你在一个界面中同时设置防火墙配置和IPSec配置,还可以在监督节点中查察当前应用的计策、法则和其它信息。
从启动菜单的打点东西中找到高级安详Windows防火墙,点击打开MMC打点单位。Windows 2008的高级安详Windows防火墙利用出站和入站两组法则来设置其如何响应传入和传出的流量;通过毗连安详法则来确定如何掩护计较机和其它计较机之间的流量,并且可以监督防火墙勾当和法则。
下面我们来通过实际例子查察一下如何设置这几个法则。
首先从入站法则开始,如果我们在Windows Server 2008上安装了一个Apache Web处事器,默认环境下,从远端是无法会见这个处事器的,因为在入站法则中没有设置来确认对这些流量“放行”,下面我们就为它增加一条法则。
打开高级安详Windows防火墙,点击入站法则后从右边的入站法则列表中我们可以看到Windows Server 2008自带的一些安详法则,在这儿可以看到,我们可以基于详细的措施、端口、预界说或自界说来建设入站法则,主机托管 深圳电信托管,个中每个范例的步调会有细微的不同。第三步指定对切合条件的流量举办什么操纵,接下来选择应用法则的设置文件和为法则指命名称后,法则就建设好了。
毗连安详包罗在两台计较机开始通信之前对它们举办身份验证,并确保在两台计较机之间正在发送的信息的安详性。具有高级安详性的 Windows 防火墙包括了 Internet 协议安详 (IPSec) 技能,通过利用密钥互换、身份验证、数据完整性和数据加密(可选)来实现毗连安详。
对付单个处事器来说,可以利用高级安详Windows防火墙打点节制单位来对防火墙举办配置,以上的要领还算合用。可是假如在你的企业网络中有大量计较机需要配置,就应该利用下面这种更高效的要领。
利用组计策举办打点
在一个利用勾当目次(AD)的企业网络中,为了实现对大量计较机的会合打点,你可以利用组计策来应用高级安详Windows防火墙的设置。组计策提供了高级安详Windows防火墙的完全成果的会见,包罗设置文件、防火墙法则和计较机安详毗连法则。
实际上,在组计策打点节制台中为高级安详Windows防火墙设置组计策的时候是打开的同一个节制单位。值得留意的是,假如你利用组计策来在一个企业网络中设置高级安详Windows防火墙的话,当地系统打点员是无法修改这个法则的属性的。通过建设组计策工具,可以设置一个域中所有计较机利用沟通的防火墙配置。这一部门内容较量巨大。
利用Netsh advfirewall呼吁行东西,固然图形化设置界面较量简朴直观,可是对付一些有履历的系统打点员来说,则往往更喜欢利用呼吁行方法来完成它们的设置事情,因为后者一旦纯熟把握的话,可以更机动更精确更迅速的实现设置任务。
Netsh是可以用于设置网络组件配置的呼吁行东西。具有高级安详性的Windows防火墙提供netsh advfirewall东西,可以利用它设置具有高级安详性的Windows防火墙配置。利用netsh advfirewall可以建设剧本,以便自动同时为IPv4和IPv6流量设置一组具有高级安详性的Windows 防火墙配置。还可以利用netsh advfirewall呼吁显示具有高级安详性的Windows防火墙的设置和状态。