有感Windows高级安全防火墙.docx

有感Windows高级安全防火墙（WFAS）（图）从VISTA系统以后的所有系统，微软对防火墙进行了重新设计，最近认真研究了一番（直到 今天才认真研究感觉有点OUT 了，亡羊补牢犹未晚也!），给我感受再深刻的印象就是 Firewall和IP Sec集成了，统一设置管理,而配置的界面进行全新设计，根据向导一步一步 往下走很轻松就能完成配置，所见所得的界面非常人性化，微软为我们IT Pro们考虑得越来 越多这些都是值得称赞的.首先它支持双向保护，可以对出站、入站通信进行过滤，你可以针对Windows Server 上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过，当传入数据 包到达计算机时，WFAS检查该数据包，并确定它是否符合防火墙规则中指定的标准。如 果数据包与规则中的标准匹配，则WFAS执行规则中指定的操作，即阻止连接或允许连接。 如果数据包与规则中的标准不匹配，则WFAS丢弃该数据包，并在防火墙日志文件中创建 条目（如果启用了日志记录功能哈）。对规则进行配置时，你可以从各种标准中进行选择：例如应用程序名称、系统服务名称、 TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型（如网络适配器）、 用户、用户组、计算机、计算机组、协议、ICMP类型等规则中的标准添加在一起,添加的 标准越多则WFAS匹配传入流量就越精细可谓是很好很强大.说了这么多下面我们还是来通过实际例子来感受一下如何应用配置这些规则入站规则和出站规则设置方法是一模一样的，只是要搞清楚什么时候用到入站又什么时候 用到出站，举一个简单例子:本机开通了 FTP服务，作为FTP的服务端需要对外提供FTP服务, 那么若要允许外面主机访问到本机FTP服务，这里我们需要在入站规则里面设置允许20或 21端口允许进来吧，所以从外到内访问称入站，亦之相反，若你不允许本机去访问外面的 FTP服务,你需要 在出站口阻止掉20或21端口，这样说你应该知道怎么运用它了吧.就以我们刚说的FTP为例来创建一个入站规则哈,可以根据程序/端口 /预定义（常用服务 微软已帮我们定义在这里我们只需选择）/自定义（以上几种还达不到你的要求那就来个自 定义喽）可谓是你的需求我们都能提供，赞一个先.文件伊)掾作(A)查看(V)辩助00 I方商甘113庙CriK2008)入站J81WI3 林 Ulin cn B4s«Q 尧 til tn. cn.Dtfault Doatixi IA IP S«c容.Doa«)n Controll< 土.田七ISD命毒 -Bxchtx;姐*18对象 ftiJS: j Stwter GFO 图以r、隹(处点右供选务、L建规则哈规则类型送择妻出建。勺防火墙换则关型爆鼻淡型协议和璀口撩作配髭文件名将入站婀入站婀*苣禳安全蛔- £»血口湘传存佑点«««(«由于本机要提供FTP服务，我们I '知道FTP服务走端口 2(瑜21,这 - 里我们直斐选端口啦c 弦口 (0)疫初 TCPrtUDP ODSWfiL。救定义09：Ita/voDrtcWfyWeb 明度*1 Wndows传状功取族勺地礼r自定义(C)白定义规如上一&安全，VIP.anqn.安全中国终身接着到了你想要执行的动作，我们需要对外提供服务当然要选允许啦接下来就到了这个规则应用到哪些位置，为了安全我只想对 域用户提供服务那么这里我们 就选域哈，根据实际情况自己选择，（当我们的主机一接上网络的时候，系统会自动检测IP 地址的变化,根据这一变化这时会弹出一个窗口问你这是一个域网络还是专用网络或者是 公用网络,VISTA以前的系统没有这个功能哈）根据你所处的不同环境来应用不同规则效果 当然不同凡响，人性化十足.配置文件指走此觇伽成用B捕E置交件何时应用该观刖?，的攻和端口 I栗昨自疆文件.碎V域0H计宣机逢拌到其企业域时应用r专用U)计宜扒斐播到专用唳谊置时应用。r公用no计机连杼测公制棉愤国时应用&萨全中国ViP安全中国终身VIP描述一下OK, 一条规则就这样完成了.E KBIEET3文件质）操作怯）童W 用曲00 /雁3而CMt网3 圈劳mtlSS tTIJMH) r ' '甬色 sS* a翊鼬i5«oir域福御曲音flfl构育育flflM育育有育fl肖竟有商fl s .有 <3 ci m E h 1ET fi rfR MJ 5 -ca £u nr > - .F. - TV H? :. .T :H, lk > - ,J. 国 i i*F, Lit. 4 UWJ ”aAir Vl V功说i ifijfiasia-土 藤 *11W. Ctt-曰 曲 tlL*n. caJ队£时1&腿血IV H E 、Hi - Dp朋珥 C<?3ir«ll-«TiS X IS D闽-Ha cT«x-«ft £x-rh»(.«国.J规缝过哀> ；i 折iSE$ 才 Sltrltr flTO:网点武殉策啦膺犯第略括果, :；成很* W存怙Acliv* Bjrtct-ory 1 羽& Acliv* Dirtctwy ,1射落j吾 3*理盘* P*etr 1审堑割S3 &岫M pinetar惜控割苫 Activ* Ilgrtctwry 母柱制笞 J fcctiv* IhEctMfF .1 醐舞J35 fUkelivt1 甘控崛融AkIe CimtFF慨控刨表 。虹tiv* Dirtctcrjr 惜主，JJ Acliv* Dirtet ory 13) JfrJ J> 虹 W Dbf»el«r JAIStJH gE Dn*eSf域控*J善 ErudTich*对择机粕i沛 FywchCk:hk 内待栓量 MIF 助血牝愤存瞎务 ,呻 圈访屁ooctM-m-fcctiv* p .DActir* D . Aidivt J.虹li理®Activi 由 Acliv* D . Jkitivw S . A.eti v* p.o Active DActiv* D.Activ* D. iketivt p. 虹19 ffr«ad£» &3"4acl£k.h.来到客户端访问测试一下虬肢务者管理者文件（F）操作® 查看 帮助00!伊吟I力周|吕1 B面&觞务器管理器C*IH2008)民芝角色B®功能B盘组策略管理B 8 林：all tn. cn曰通域El 兜 alls cna ' Default Domain FolicJ IP SecDomain Controllers-：ISD33国3a囹譬'mi、露 1 j X i1V VI域是入站短咽助00曹乓遂条萩如试试看- Microsoft Exchange SecurJ组策略对金T WMI筛迭若W Stutu GPO3甬站点n组策略建模I组策略结果，SB诊断巳国掘置Q任务计划程序E H高级安全Windows防火墙C入站规划23出站婀 连接安全规则Active Di:& Acts Directory 域部署. © Active Directory 瞄$制春 Active Directory 域都J器. Active Directory 顷游J咨 Active Directory 域挡J浅. Active Directory 域魏J器.Active Directory 域捕J器. Active Directory 网游感 Active Director/ 病蠲感 Active Directory 城器.Active Directory 域箭J署. 0 Active Directory 域游J署. . . 、一 Active D.Active D.Active D.Active D.Active D.Active D.Active D.Active D.Active D.Active D.域所有所有所有所有所有所有所有所有所有所有所有所有©安全中国VIP安全中国终身VIP会员玷 t卜 192.L&6.10.1:计R扎%可寇&安全中国洋的皿无帝与黑劳髡罐立渗莎VtP安全中国终身UEP会员一禁用就访问不到了，效果很好很强大.A Winder无法话问皿嗥清瞄S入的文件名星正御的,并且母 V有敏51司岖件靠规则是创建好了，若想再进一步巩固我们的安全机制，在刚建的规则上点右键选属性弹出 以下窗口,你可以选择允许哪些计算机来连接添碰对干来自下列计萱机的连插桃迂此规则。了解有矣授权的详蛆信息ViP 安全中国终身VIP会员尹娥的v萱机、3位允祥来自下列计直机连援：电）枷-“|瞩啊IKW)常规I程序和服务延西协议和端口作用域I蒿转I用户Iop«n FTP 雪erv让w port 属性如果你还觉得根据计算机来控制还不爽，那你可以选根据用户来选择吧.如果你觉得根据计算机和用户还不能达到你的要求,我们还可以根据作用域选择你只希望 哪些IP地址可以来连接吧，里面的选项我就不一一例举了，还等什么呢?还不赶快行动去应 用感受一下喽.总结:说实话以前XP里面我很无视Windows防火 墙，我所在的企业反正全部通过组策略把防火墙的服务直接关闭掉了很干脆哈，通过认真了解让我对现在防火墙有了 360度大转弯， 总之随着更加深入学习,WFAS给我留下了深刻的印象.