解读windows2008的新防火墙功能

微软Windows操作系统自带的防火墙是一款基于主机的防火墙，当企业网络防火墙出现问题被入侵之后，此防火墙可以作为最后一个防护屏障，但是微软在windows2008之前的系统防火墙功能比较简单，而在windows2008增强了此防火墙的功能，本文将介绍一下windows2008防火墙的新功能和配置方法。
一、我们来了解下windows2008防火墙的新功能：
1、新的管理工具
windows2008现在通过一个叫做“高级安全windows防火墙“的一个专用管理控制台单元来实现防火墙功能的配置和管理。
2、出站和入站的双向保护
相对于之前的防火墙只能支持入站限制来说，windows2008同时支持对应用程序的出站、入站双向的通信限制，更加符合今天系统和应用程序的安全性要求。
3、和IPSEC功能的集成
Windows2008的防火墙已经将Windows防火墙功能和IPSec功能集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置，不需要再用单独的IPSEC管理工具。
4、针对windows各种对象的安全规则
在Windows 2008防火墙的上可以针对各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许对象流量通过具有Windows防火墙。当传入数据包到达计算机时，防火墙将检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则防火墙执行规则中指定的操作，如果数据包与规则中的标准不匹配，则防火墙会丢弃该数据包，并在防火墙日志文件中创建相应记录(如果启用了日志记录)。
二、windows2008防火墙的配置
   1、配置方式：windows2008防火墙支持两种配置方式
 命令行配置方式
   Netsh 是可以用于配置网络组件设置的命令行工具。您可以通过 netsh advfirewall 上下文中的命令配置 高级安全 Windows 防火墙 设置。使用 Netsh，您可以创建脚本自动配置 高级安全 Windows 防火墙 设置，创建防火墙规则和连接安全规则，监视活动的连接，以及显示 高级安全 Windows 防火墙 的配置和状态。
通过在命令行中输入 Netsh 上下文后，命令提示符将显示 netsh> 提示符。此时，通过键入以下内容，输入 advfirewall 上下文：处于 advfirewall 上下文中后，可以键入该上下文中的命令。包括以下命令：
• export。将当前防火墙策略导出到文件。
• dump。不在 advfirewall 上下文中执行此命令。不生成输出内容，且不生成错误消息。
• help。显示可用命令的列表。
• import。从指定文件导入防火墙策略。
• reset。将 高级安全 Windows 防火墙 还原到默认配置。
• set。支持下列命令：
• set file。将控制台输出复制到文件。
• set machine。设置将在其上操作的当前计算机。
• show。显示特定配置文件的属性。例如：
• show allprofiles
• show domainprofile
• show privateprofile
• show publicprofile
除 advfirewall 上下文可用的命令外，advfirewall 还支持子上下文。若要输入子上下文，请在 netsh advfirewall> 提示符处键入子上下文的名称。可用的子上下文如下：
• consec。允许您查看和配置计算机安全连接规则。
• firewall。允许您查看和配置防火墙规则。
• mainmode。允许您查看和配置主模式配置规则。
• monitor。允许您查看当前 IPsec、防火墙和主模式状态和当前快速模式和在本地计算机上建立的主模式安全关联。还可以使用 Netsh Commands for Windows Filtering Platform (WFP) in Windows Server 2008 R2 上下文监视 IPsec 等。
 通过开始菜单的windows高级安全防火墙来进行配置
此工具为图形化配置工具，通过此工具以下几方面的配置
入站规则
出站规则
连接请求规则
监视
 
对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。
2、　创建高级安全规则的步骤
　
1）在 高级安全 Windows 防火墙 中的控制台树中，单击“连接安全规则”。
2）在“操作”列表中，单击“新建规则”。
使用“规则类型”页，可以选择要创建规则的类型。选择一个类型，并根据以下部分中的信息使用向导配置新规则。

使用 高级安全 Windows 防火墙，您可以创建以下部分中所述的规则类型。
隔离
使用隔离规则隔离计算机，方法是限制基于凭据的入站连接，如域成员身份或符合定义所需软件和软件配置的策略。隔离规则允许您实施服务器或域隔离策略。创建隔离规则时，将看到以下向导页：
• 要求。需要进行身份验证时可以选择：
• 请求对入站和出站连接进行身份验证
• 要求对入站连接进行身份验证并请求对出站连接进行身份验证
• 要求对入站和出站连接进行身份验证
• 方法。可以从以下身份验证方法中选择：
• 默认设置。此选择使用“Windows 防火墙属性”页的“IPsec 设置”选项卡上指定的当前计算机默认选择。
• 计算机和用户 (Kerberos V5)。此方法使用基于计算机和用户的 Kerberos V5 身份验证限制到加入域的用户和计算机的连接。用户身份验证（）仅与运行 Windows Vista 和更高版本的计算机兼容。
• 计算机(Kerberos V5)。此方法使用 Kerberos V5 身份验证限制到加入域的计算机的连接。此方法与运行 Windows 2000 或更高版本的计算机兼容。
• 计算机证书。此方法限制到具有指定 CA 提供证书的计算机的连接。此方法与运行 Windows 2000 或更高版本和很多其他操作系统的计算机兼容。将此方法用于运行 Windows Vista 或更高版本的计算机时，还可以指定仅接受应用 NAP 运行状况策略的证书。
• 高级。使用此设置，您可以指定多个身份验证方法。
• 配置文件。选择规则应用于的配置文件（域、公用和专用）。
• 名称。命名规则并键入可选描述。
免除身份验证
可以使用身份验证豁免来指定不需要进行身份验证的计算机。位于隔离域中的计算机可以与此规则中列出的计算机通信，即使他们无法进行身份验证。可以通过 IP 地址、IP 地址范围、子网或预定义组（如网关）来指定计算机。创建身份验证豁免规则时，必须配置以下向导页上的选项：
• 免除计算机。添加免于身份验证的计算机。可以按 IP 地址或 IP 地址范围添加计算机，或基于其作用添加计算机，如默认网关，或配置本地计算机使用的 DNS 服务器。
• 配置文件。选择规则应用于的配置文件（域、公用和专用）。
• “名称”。命名规则并键入可选描述。
服务器到服务器
服务器到服务器规则保护指定计算机之间的连接。这种类型的规则通常保护服务器之间的连接。创建该规则时，指定保护期间通信的网络终结点。然后指定要使用的身份验证要求和身份验证类型。创建服务器到服务器规则时，必须配置以下向导页上的选项：
• 终结点。指定属于终结点 1 和终结点 2 的计算机。终结点 1 可以包含所有计算机、按 IP 地址指定的计算机或可以通过指定连接类型（例如局域网或无线连接）访问的计算机。终结点 2 可以包含所有计算机或按 IP 地址指定的计算机。
• 要求。需要进行身份验证时选择。选项与“隔离”部分中介绍的选项相同。
• 身份验证方法。选择身份验证方法，包括计算机证书或自定义高级方法。
• 配置文件。选择规则应用于的配置文件（域、公用和专用）。
• 名称。命名规则并键入可选描述。
隧道
隧道规则允许您保护网关计算机之间的连接，通常在 Internet 上连接两个安全网关时使用。必须通过 IP 地址指定隧道终结点并通过配置以下向导页指定身份验证方法：
• “隧道类型”。指定要创建的隧道的类型：客户端到网关，或网关到客户端，或自定义的隧道。还可以指定到达隧道终结点（已受
• 要求。指定是否必须对通过该隧道的网络通讯进行身份验证，如果是，是请求身份验证，还是要求身份验证。
• 隧道终结点。按 IP 地址或 IP 地址范围识别计算机，这些计算机充当属于每个终结点（终结点 1 和终结点 2）的计算机的网关。这些选项在此页上是否可用取决于您在首页上选择的隧道类型。
• 身份验证方法。选择身份验证方法，包括计算机证书或自定义高级方法。
• 配置文件。选择规则应用于的配置文件（域、公用和专用）。
• “名称”。命名规则并键入可选描述。
自定义
当使用新连接安全规则向导中的其他类型的可用规则无法设置所需的身份验证规则时，使用自定义规则对两个终结点之间的连接进行身份验证。可以在以下向导页上配置选项：
• 终结点。指定属于终结点 1 和终结点 2 的计算机。终结点 1 可以包含所有计算机、按 IP 地址指定的计算机或可以通过指定连接类型（例如局域网或无线连接）访问的计算机。终结点 2 可以包含所有计算机或按 IP 地址指定的计算机。
• 要求。需要进行身份验证时选择。选项与“隔离”部分中介绍的选项相同。
• 方法。选择身份验证方法。选项与“隔离”部分中介绍的选项相同。
• 协议和端口。指定协议，和 TCP 或 UDP，受此连接安全规则影响的源端口和目标端口。
• 配置文件。选择规则应用于的配置文件（域、公用和专用）。
• “名称”。命名规则并键入可选描述。
3、配置防火墙属性
  1）配置文件设置
  
每个配置文件的选项卡中的相同选项控制当计算机连接到该类型的网络后 高级安全 Windows 防火墙 的运行方式。
可以为这三个配置文件中的每个配置文件进行配置的选项如下所示：
• 防火墙状态。可以为每个配置文件单独打开或关闭 高级安全 Windows 防火墙。
• 入站连接。可以将入站连接配置为以下设置之一：
• 阻止（默认）。 高级安全 Windows 防火墙 阻止与任何活动防火墙规则不匹配的入站连接。选择此设置后，必须创建入站允许规则以允许您的应用程序所需的流量。
• 阻止所有连接。 高级安全 Windows 防火墙 忽略所有入站规则，从而有效阻止所有入站连接。
• 允许。 高级安全 Windows 防火墙 允许与活动防火墙规则不匹配的入站连接。选择此设置后，必须创建入站阻止规则以阻止您不希望出现的流量。
• 出站连接。可以将出站连接配置为以下设置之一：
• 允许（默认）。 高级安全 Windows 防火墙 允许与任何活动防火墙规则不匹配的出站连接。选择此设置后，必须创建出站规则以阻止您不希望出现的出站网络流量。
• 阻止。 高级安全 Windows 防火墙 阻止与活动防火墙规则不匹配的出站连接。选择此设置后，必须创建出站规则以允许您的应用程序所需的出站网络流量。
• 受保护的网络连接。可以配置哪个活动网络连接受此配置文件要求限制。默认情况下，所有网络连接受所有配置文件限制。单击“自定义”，然后选择希望保护的网络连接。
• 设置。单击“设置”区域中的“自定义”可配置以下设置：
• 当阻止某个程序接收入站通信时，会向用户显示通知。该设置控制 Windows 是否显示通知，并允许用户知道某个入站连接已被阻止。
• 允许多播或广播请求的单播响应。该设置允许计算机接收对其传出多播或广播请求的单播响应。
• 应用本地防火墙规则。除了组策略应用的特定于此计算机的防火墙规则之外，还要在允许本地管理员在此计算机上创建和应用防火墙规则时，选择此选项。当清除该选项时，管理员仍然可以创建规则，但不会应用规则。只有当通过组策略配置策略时才能使用该设置。
• 允许本地连接安全规则。除了组策略应用的特定于此计算机的连接安全规则之外，还要在允许本地管理员在此计算机上创建和应用连接安全规则时，选择此选项。当清除该选项时，管理员仍然可以创建规则，但不会应用规则。
• 日志记录。单击“日志记录”区域中的“自定义”可配置以下日志记录选项：
• 名称。默认情况下，该文件存储在 %windir%\system32\logfiles\firewall\pfirewall.log 中。
• 大小限制。默认情况下，大小限制为 4096 KB。
• 记录丢弃的数据包。默认情况下，不记录丢弃的数据包。
• 记录成功的连接。默认情况下，不记录成功的连接。

 2）配置IPSEC
   在单击“本地计算机上的高级安全 Windows 防火墙”属性页的“IPSec 设置”选项卡上的“自定义”按钮时，将出现图 5 所示的“IPSec 设置”对话框。当创建计算机连接安全规则时使用这些设置。请注意，如果您使用组策略配置了这些 IPsec 默认值，则对话框顶部的消息会通知用户，并禁用受影响的控件。您仍可以单击“自定义”按钮以查看不同的设置，但是这些对话框上的大多数控件也会被禁用。
 
该对话框允许您选择下列选项：
• “密钥交换（主模式）”。若要启用安全通信，必须使两台计算机能够访问同一共享密钥，而不通过网络传输该密钥。单击“自定义”按钮以配置安全方法、密钥交换算法以及密钥生存期。这些设置用于保护 IPsec 协商，而 IPsec 协商反过来又会确定用于连接上发送的其余数据的保护。
• “数据保护(快速模式)”。IPsec 数据保护定义用来为连接提供数据完整性和加密的算法和协议。数据完整性确保在传输过程中不会修改数据。数据加密使用加密隐藏信息。高级安全 Windows 防火墙使用身份验证头 (AH) 或封装式安全措施负载 (ESP) 提供数据保护。高级安全 Windows 防火墙使用 ESP 进行数据加密。
• 身份验证方法。除非规则或组策略设置指定了其他方法，否则使用此设置为本地计算机上的 IPsec 连接选择默认的身份验证方法。默认的身份验证方法为 Kerberos 版本 5，这种方法在实施域隔离的规则上非常有用。您还可以限制仅连接到具有来自特定证书颁发机构 (CA) 的证书的那些计算机。
此外，windows高级安全防火墙还提供防火墙的监控功能，为管理员管理和监控服务器的安全状态提供了良好的依据。