進階安全Windows防火牆（下）--- Windows2008新功能系列之四

    上次我們講到了有關IPSec和進階安全Windows防火牆（以下簡稱WFAS）的內建應用，今天我們來學習WFAS的基本使用。

    在舊版Windows中，存在windows防火牆，而從VISTA或WINDOWS2008開始，出現了WFAS，在這個元件裡可以完成比傳統Windows防火牆更多的事情。不過在新版作業系統中也同樣保留了和舊版作業系統一樣的Windows防火牆。

    如何找到新版作業系統，如vista或windows2008的舊版windows防火牆（或稱基本windows防火牆）呢？

    打開“控制台”---Windows防火牆，如下圖所示：

    如何找到WFAS呢？

    1. 對于Vista或Win7，可以運作MMC，添加元件，WFAS即可。

    2. 對于Windows2008，除通過MMC添加外，可以在管理工具---WFAS打開即可。

 最終WFAS的界面如下：

WFAS和傳統防火牆的差別有哪些呢？

1. 強化了“入站規則”和“出站規則”，特别是出站規則可以自由設定。

所謂入站規則---即控制從外到内的通路，而出站規則---則是控制從本地到外的通路。在舊版的防火牆中有關出站規則是很簡單的。

2. 位置敏感的主機防火牆：即可以針對三種網絡編輯相應的配置檔案（域網絡、專用網絡、公用網絡）。

3. 顆粒配置：即在每條規則中的設定更加細化，可以通過輕按兩下一條規則看到，如下圖所示：

5. 支援IPV6和NAP。

等等

預設windows防火牆的配置：

1. 阻止所有入站連接配接（入站規則）

a)阻止來自其他主機的傳入連接配接

b)減少受攻擊面

2.允許所有出站連接配接（出站規則）

a)阻止從本機的傳出連接配接

b)停止未授權軟體通路外界

3.入站例外将自動為新角色和功能進行修改。

舉兩個案例，我們來學習一下有關WFAS的使用。

具體的實驗拓樸如下所示：（目前是域環境，域名為contoso.com，其中w08a是DC，W08b是WEB伺服器。）

案例一：W08B是WEB伺服器，要求隻有子網10.1.1.0/24内的計算機可以通路，而其它子網如172.16.1.0/24内計算機不可以通路。

案例二：域中的所有DC均不可通過IE浏覽器上網際網路。

案例一的實作過程：

分析：根據案例要求，我們可以在WEB伺服器上利用WFAS建立“入站規則”，并設定隻允許10.1.1.0/24這個子網可以通路。由于隻是一台WEB伺服器，故我們可以直接打開WEB伺服器的本地WFAS來完成，因為在預設狀态下，本地的WFAS的設定會群組政策上的設定合并生效。

一、在W08B上安裝IIS元件，并配置WEB站點：

打開管理工具--伺服器管理器，如下圖所示：

單擊“添加角色”後，出現向導界面，單擊下一步，在如下圖中，選擇“安裝IIS 服務”（圖中我已經安裝~），繼續單擊下一步，最後安裝結束。

二、打開WEB伺服器上的本地WFAS，建立“入站規則”：

1. 首先檢查所屬的網絡：

打開“網絡和共享中心”，如下圖所示：得知該主機屬于域網絡。

2. 打開WFAS，檢查哪個配置檔案起作用：如下圖可知domain Profile是活動的。

注：如果你的主機沒有加入域，可以人為的改變所屬的網絡，進而可以設定不同網絡對應配置檔案的具體設定，如下圖：

單擊“屬性”後如下圖：

3. 建立入站規則：

由于“WEB服務HTTP或HTTPS流量控制”是預定義的規則，是以我們可以直接編輯，如果沒有可以自行建立，若建立，直接在“入站規則”上右擊選“新規則”即可。這裡我們直接編輯預定義的這兩個規則，具體規則如下所示：

先輕按兩下HTTP的那個，如下圖所示：

選擇“作用域”，單擊“遠端IP位址”中“添加”，如下圖：

添加如上圖所示的子網範圍後，單擊“确定”，關閉所有對話框。

如是編輯HTTPS的那條規則，類似操作。

三、測試：

至此第一個案例解決完畢。

案例二的實作過程：

分析：由于是讓所有DC上的IE浏覽均不可使用，故我們可以編輯“預設域控制器的組政策”，進行相關的WFAS的設定，在這裡我們要編輯“出站規則”。編輯完畢後可以在DC上運作gpupdate /force重新整理應用。

一、在任意一台DC上運作GPMC.msc，編輯“預設DC的組政策”：

單擊“編輯”後，如下所示：

在“出站規則”上單擊“新規則”如下所示：

選擇“程式”，單擊下一步，如下：

如上圖，輸入具體程式的路徑，再次單擊下一步：

選擇“阻止連接配接”，下一步：

如上圖的設定，單擊下一步，并取名，結束設定，規則建立成功！如下所示：

二、測試：

1. 首先運作gpudate /force重新整理組政策

小結：通過這兩個案例，我們可以看到，利用WFAS确實可以給我們的網絡管理帶來很多驚喜的功能，特别是通過組政策統一來部署更能帶來很多的友善。

本文轉自 jary3000 51CTO部落格，原文連結：http://blog.51cto.com/jary3000/180906，如需轉載請自行聯系原作者