從VISTA系統(tǒng)以后的所有系統(tǒng),微軟對(duì)防火墻進(jìn)行了重新設(shè)計(jì),最近認(rèn)真研究了一番(直到今天才認(rèn)真研究感覺有點(diǎn)OUT了,亡羊補(bǔ)牢猶未晚也!),給我感受再深刻的印象就是 Firewall和IP Sec集成了,統(tǒng)一設(shè)置管理,而配置的界面進(jìn)行全新設(shè)計(jì),根據(jù)向?qū)б徊揭徊酵伦吆茌p松就能完成配置,所見所得的界面非常人性化,微軟為我們IT Pro們考慮得越來(lái)越多這些都是值得稱贊的.
首先它支持雙向保護(hù)����,可以對(duì)出站、入站通信進(jìn)行過濾,你可以針對(duì)Windows Server上的各種對(duì)象創(chuàng)建防火墻規(guī)則����,配置防火墻規(guī)則以確定阻止還是允許流量通過,當(dāng)傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí),WFAS檢查該數(shù)據(jù)包����,并確定它是否符 合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配����,則WFAS執(zhí)行規(guī)則中指定的操作,即阻止連接或允許連接����。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配,則 WFAS丟棄該數(shù)據(jù)包����,并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄功能哈)����。
對(duì)規(guī)則進(jìn)行配置時(shí)�,你可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇:例 如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱����、TCP端口、UDP端口����、本地IP地址、遠(yuǎn)程IP地址�����、配置文件����、接口類型(如網(wǎng)絡(luò)適配器)�����、用戶、用戶組����、計(jì)算機(jī)、計(jì)算 機(jī)組�����、協(xié)議�、ICMP類型等規(guī)則中的標(biāo)準(zhǔn)添加在一起,添加的標(biāo)準(zhǔn)越多則WFAS匹配傳入流量就越精細(xì)可謂是很好很強(qiáng)大.
說了這么多下面我們還是來(lái)通過實(shí)際例子來(lái)感受一下如何應(yīng)用配置這些規(guī)則
入站規(guī)則和出站規(guī)則設(shè)置方法是一模一樣的,只是要搞清楚什么時(shí)候 用到入站又什么時(shí)候用到出站,舉一個(gè)簡(jiǎn)單例子:本機(jī)開通了FTP服務(wù),作為FTP的服務(wù)端需要對(duì)外提供FTP服務(wù),那么若要允許外面主機(jī)訪問到本機(jī)FTP 服務(wù),這里我們需要在入站規(guī)則里面設(shè)置允許20或21端口允許進(jìn)來(lái)吧,所以從外到內(nèi)訪問稱入站,亦之相反,若你不允許本機(jī)去訪問外面的FTP服務(wù),你需要 在出站口阻止掉20或21端口,這樣說你應(yīng)該知道怎么運(yùn)用它了吧.
就以我們剛說的FTP為例來(lái)創(chuàng)建一個(gè)入站規(guī)則哈,可以根據(jù)程序/端口 /預(yù)定義(常用服務(wù)微軟已幫我們定義在這里我們只需選擇)/自定義(以上幾種還達(dá)不到你的要求那就來(lái)個(gè)自定義嘍)可謂是你的需求我們都能提供,贊一個(gè)先.
接著到了你想要執(zhí)行的動(dòng)作,我們需要對(duì)外提供服務(wù)當(dāng)然要 選允許啦
接下來(lái)就到了這個(gè)規(guī)則應(yīng)用到哪些位置,為了安全我只想對(duì) 域用戶提供服務(wù)那么這里我們就選域哈,根據(jù)實(shí)際情況自己選擇,(當(dāng)我們的主機(jī)一接上網(wǎng)絡(luò)的時(shí)候,系統(tǒng)會(huì)自動(dòng) 檢測(cè)IP地址的變化,根據(jù)這一變化這時(shí)會(huì)彈出一個(gè)窗口問你這是一個(gè)域網(wǎng)絡(luò)還是專用網(wǎng)絡(luò)或者是公用網(wǎng)絡(luò),VISTA以前的系統(tǒng)沒有這個(gè)功能哈) 根據(jù)你所處的不同環(huán)境來(lái)應(yīng)用不同規(guī)則效果當(dāng)然不同凡響,人性化十足.
描述一下OK,一條規(guī)則就這樣完成了.
來(lái)到客戶端訪問測(cè)試一下
一禁用就訪問不到了,效果很好很強(qiáng)大.
規(guī)則是創(chuàng)建好了,若想再進(jìn)一步鞏固我們的安全機(jī)制,在剛 建的規(guī)則上點(diǎn)右鍵選屬性彈出以下窗口,你可以選擇允許哪些計(jì)算機(jī)來(lái)連接
如果你還覺得根據(jù)計(jì)算機(jī)來(lái)控制還不爽,那你可以選根據(jù)用 戶來(lái)選擇吧.
如果你覺得根據(jù)計(jì)算機(jī)和用戶還不能達(dá)到你的要求,我們還 可以根據(jù)作用域選擇你只希望哪些IP地址可以來(lái)連接吧,里面的選項(xiàng)我就不一一例舉了,還等什么呢?還不趕快行動(dòng)去應(yīng)用感受一下嘍.
總結(jié):說實(shí)話以前XP里面我很無(wú)視Windows防火 墻,我所在的企業(yè)反正全部通過組策略把防火墻的服務(wù)直接關(guān)閉掉了很干脆哈,通過認(rèn)真了解讓我對(duì)現(xiàn)在防火墻有了360度大轉(zhuǎn)彎,總之隨著更加深入學(xué) 習(xí),WFAS給我留下了深刻的印象.
