從VISTA系統以後的所有系統,微軟對防火牆進行了重新設計,最近認真研究了一番(直到今天才認真研究感覺有點OUT了,亡羊補牢猶未晚也!),給我感受再深刻的印象就是Firewall和IP Sec內建了,統一設定管理,而配置的界面進行全新設計,根據向導一步一步往下走很輕松就能完成配置,所見所得的界面非常人性化,微軟為我們IT Pro們考慮得越來越多這些都是值得稱贊的.
首先它支援雙向保護,可以對出站、入站通信進行過濾,你可以針對Windows Server上的各種對象建立防火牆規則,配置防火牆規則以确定阻止還是允許流量通過,當傳入資料包到達計算機時,WFAS檢查該資料包,并确定它是否符合防火牆規則中指定的标準。如果資料包與規則中的标準比對,則WFAS執行規則中指定的操作,即阻止連接配接或允許連接配接。如果資料包與規則中的标準不比對,則WFAS丢棄該資料包,并在防火牆日志檔案中建立條目(如果啟用了日志記錄功能哈)。
對規則進行配置時,你可以從各種标準中進行選擇:例如應用程式名稱、系統服務名稱、TCP端口、UDP端口、本地IP位址、遠端IP位址、配置檔案、接口類型(如網絡擴充卡)、使用者、使用者組、計算機、計算機組、協定、ICMP類型等規則中的标準添加在一起,添加的标準越多則WFAS比對傳入流量就越精細可謂是很好很強大.
說了這麼多下面我們還是來通過實際例子來感受一下如何應用配置這些規則
入站規則和出站規則設定方法是一模一樣的,隻是要搞清楚什麼時候用到入站又什麼時候用到出站,舉一個簡單例子:本機開通了FTP服務,作為FTP的服務端需要對外提供FTP服務,那麼若要允許外面主機通路到本機FTP服務,這裡我們需要在入站規則裡面設定允許20或21端口允許進來吧,是以從外到内通路稱入站,亦之相反,若你不允許本機去通路外面的FTP服務,你需要在出站口阻止掉20或21端口,這樣說你應該知道怎麼運用它了吧.
就以我們剛說的FTP為例來建立一個入站規則哈,可以根據程式/端口/預定義(常用服務微軟已幫我們定義在這裡我們隻需選擇)/自定義(以上幾種還達不到你的要求那就來個自定義喽)可謂是你的需求我們都能提供,贊一個先.
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248522ts2C.png"></a>
接着到了你想要執行的動作,我們需要對外提供服務當然要選允許啦
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_12792485264C7L.png"></a>
接下來就到了這個規則應用到哪些位置,為了安全我隻想對域使用者提供服務那麼這裡我們就選域哈,根據實際情況自己選擇,(當我們的主機一接上網絡的時候,系統會自動檢測IP位址的變化,根據這一變化這時會彈出一個視窗問你這是一個域網絡還是專用網絡或者是公用網絡,VISTA以前的系統沒有這個功能哈)根據你所處的不同環境來應用不同規則效果當然不同凡響,人性化十足.
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_12792485287pyA.png"></a>
描述一下OK,一條規則就這樣完成了.
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248529f8Ky.png"></a>
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248532vjh8.png"></a>
來到用戶端通路測試一下
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_12792485353VHx.png"></a>
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248537vvX1.png"></a>
一禁用就通路不到了,效果很好很強大.
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248539HrLU.png"></a>
規則是建立好了,若想再進一步鞏固我們的安全機制,在剛建的規則上點右鍵選屬性彈出以下視窗,你可以選擇允許哪些計算機來連接配接
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248540xL4D.png"></a>
如果你還覺得根據計算機來控制還不爽,那你可以選根據使用者來選擇吧.
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248543woNt.png"></a>
如果你覺得根據計算機和使用者還不能達到你的要求,我們還可以根據作用域選擇你隻希望哪些IP位址可以來連接配接吧,裡面的選項我就不一一例舉了,還等什麼呢?還不趕快行動去應用感受一下喽.
<a href="http://allanfan.blog.51cto.com/attachment/201007/16/520839_1279248545F4nC.png"></a>
總結:說實話以前XP裡面我很無視Windows防火牆,我所在的企業反正全部通過組政策把防火牆的服務直接關閉掉了很幹脆哈,通過認真了解讓我對現在防火牆有了360度大轉彎,總之随着更加深入學習,WFAS給我留下了深刻的印象.
本文轉自allanhi 51CTO部落格,原文連結:http://blog.51cto.com/allanfan/350578,如需轉載請自行聯系原作者
![Windows辦公技能——在目前檔案夾中打開指令行視窗[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)