微軟Windows操作系統自帶的防火墻是一款基于主機的防火墻，當企業網絡防火墻出現問題被入侵之后，此防火墻可以作為最后一個防護屏障，但是微軟在windows2008之前的系統防火墻功能比較簡單，而在windows2008增強了此防火墻的功能，本文將介紹一下windows2008防火墻的新功能和配置方法。


一、我們來了解下windows2008防火墻的新功能：

1、新的管理工具
windows2008現在通過一個叫做“高級安全windows防火墻“的一個專用管理控制臺單元來實現防火墻功能的配置和管理。
2、出站和入站的雙向保護
相對于之前的防火墻只能支持入站限制來說，windows2008同時支持對應用程序的出站、入站雙向的通信限制，更加符合今天系統和應用程序的安全性要求。
3、和IPSEC功能的集成
Windows2008的防火墻已經將Windows防火墻功能和IPSec功能集成到一個控制臺中。使用這些高級選項可以按照環境所需的方式配置密鑰交換、數據保護(完整性和加密)以及身份驗證設置，不需要再用單獨的IPSEC管理工具。
4、針對windows各種對象的安全規則
在Windows 2008防火墻的上可以針對各種對象創建防火墻規則，配置防火墻規則以確定阻止還是允許對象流量通過具有Windows防火墻。當傳入數據包到達計算機時，防火墻將檢查該數據包，并確定它是否符合防火墻規則中指定的標準。如果數據包與規則中的標準匹配，則防火墻執行規則中指定的操作，如果數據包與規則中的標準不匹配，則防火墻會丟棄該數據包，并在防火墻日志文件中創建相應記錄(如果啟用了日志記錄)。


二、windows2008防火墻的配置

1、配置方式：windows2008防火墻支持兩種配置方式

命令行配置方式
Netsh 是可以用于配置網絡組件設置的命令行工具。您可以通過 netsh advfirewall 上下文中的命令配置 高級安全 Windows 防火墻 設置。使用 Netsh，您可以創建腳本自動配置 高級安全 Windows 防火墻 設置，創建防火墻規則和連接安全規則，監視活動的連接，以及顯示 高級安全 Windows 防火墻 的配置和狀態。
通過在命令行中輸入 Netsh 上下文后，命令提示符將顯示 netsh> 提示符。此時，通過鍵入以下內容，輸入 advfirewall 上下文：處于 advfirewall 上下文中后，可以鍵入該上下文中的命令。包括以下命令：
•export。將當前防火墻策略導出到文件。
•dump。不在 advfirewall 上下文中執行此命令。不生成輸出內容，且不生成錯誤消息。
•help。顯示可用命令的列表。
•import。從指定文件導入防火墻策略。
•reset。將 高級安全 Windows 防火墻 還原到默認配置。
•set。支持下列命令：
•set file。將控制臺輸出復制到文件。
•set machine。設置將在其上操作的當前計算機。
•show。顯示特定配置文件的屬性。例如：
•show allprofiles
•show domainprofile
•show privateprofile
•show publicprofile
除 advfirewall 上下文可用的命令外，advfirewall 還支持子上下文。若要輸入子上下文，請在 netsh advfirewall> 提示符處鍵入子上下文的名稱。可用的子上下文如下：
•consec。允許您查看和配置計算機安全連接規則。
•firewall。允許您查看和配置防火墻規則。
•mainmode。允許您查看和配置主模式配置規則。
•monitor。允許您查看當前 IPsec、防火墻和主模式狀態和當前快速模式和在本地計算機上建立的主模式安全關聯。還可以使用 Netsh Commands for Windows Filtering Platform (WFP) in Windows Server 2008 R2 上下文監視 IPsec 等。
通過開始菜單的windows高級安全防火墻來進行配置
此工具為圖形化配置工具，通過此工具以下幾方面的配置
入站規則
出站規則
連接請求規則
監視
 
對規則進行配置時，可以從各種標準中進行選擇：例如應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細。

2、　創建高級安全規則的步驟
　
1）在 高級安全 Windows 防火墻 中的控制臺樹中，單擊“連接安全規則”。
2）在“操作”列表中，單擊“新建規則”。
使用“規則類型”頁，可以選擇要創建規則的類型。選擇一個類型，并根據以下部分中的信息使用向導配置新規則。

使用 高級安全 Windows 防火墻，您可以創建以下部分中所述的規則類型。
隔離
使用隔離規則隔離計算機，方法是限制基于憑據的入站連接，如域成員身份或符合定義所需軟件和軟件配置的策略。隔離規則允許您實施服務器或域隔離策略。創建隔離規則時，將看到以下向導頁：
•要求。需要進行身份驗證時可以選擇：
•請求對入站和出站連接進行身份驗證
•要求對入站連接進行身份驗證并請求對出站連接進行身份驗證
•要求對入站和出站連接進行身份驗證
•方法。可以從以下身份驗證方法中選擇：
•默認設置。此選擇使用“Windows 防火墻屬性”頁的“IPsec 設置”選項卡上指定的當前計算機默認選擇。
•計算機和用戶 (Kerberos V5)。此方法使用基于計算機和用戶的 Kerberos V5 身份驗證限制到加入域的用戶和計算機的連接。用戶身份驗證（）僅與運行 Windows Vista 和更高版本的計算機兼容。
•計算機(Kerberos V5)。此方法使用 Kerberos V5 身份驗證限制到加入域的計算機的連接。此方法與運行 Windows 2000 或更高版本的計算機兼容。
•計算機證書。此方法限制到具有指定 CA 提供證書的計算機的連接。此方法與運行 Windows 2000 或更高版本和很多其他操作系統的計算機兼容。將此方法用于運行 Windows Vista 或更高版本的計算機時，還可以指定僅接受應用 NAP 運行狀況策略的證書。
•高級。使用此設置，您可以指定多個身份驗證方法。
•配置文件。選擇規則應用于的配置文件（域、公用和專用）。
•名稱。命名規則并鍵入可選描述。
免除身份驗證
可以使用身份驗證豁免來指定不需要進行身份驗證的計算機。位于隔離域中的計算機可以與此規則中列出的計算機通信，即使他們無法進行身份驗證。可以通過 IP 地址、IP 地址范圍、子網或預定義組（如網關）來指定計算機。創建身份驗證豁免規則時，必須配置以下向導頁上的選項：
•免除計算機。添加免于身份驗證的計算機。可以按 IP 地址或 IP 地址范圍添加計算機，或基于其作用添加計算機，如默認網關，或配置本地計算機使用的 DNS 服務器。
•配置文件。選擇規則應用于的配置文件（域、公用和專用）。
•“名稱”。命名規則并鍵入可選描述。
服務器到服務器
服務器到服務器規則保護指定計算機之間的連接。這種類型的規則通常保護服務器之間的連接。創建該規則時，指定保護期間通信的網絡終結點。然后指定要使用的身份驗證要求和身份驗證類型。創建服務器到服務器規則時，必須配置以下向導頁上的選項：
•終結點。指定屬于終結點 1 和終結點 2 的計算機。終結點 1 可以包含所有計算機、按 IP 地址指定的計算機或可以通過指定連接類型（例如局域網或無線連接）訪問的計算機。終結點 2 可以包含所有計算機或按 IP 地址指定的計算機。
•要求。需要進行身份驗證時選擇。選項與“隔離”部分中介紹的選項相同。
•身份驗證方法。選擇身份驗證方法，包括計算機證書或自定義高級方法。
•配置文件。選擇規則應用于的配置文件（域、公用和專用）。
•名稱。命名規則并鍵入可選描述。
隧道
隧道規則允許您保護網關計算機之間的連接，通常在 Internet 上連接兩個安全網關時使用。必須通過 IP 地址指定隧道終結點并通過配置以下向導頁指定身份驗證方法：
•“隧道類型”。指定要創建的隧道的類型：客戶端到網關，或網關到客戶端，或自定義的隧道。還可以指定到達隧道終結點（已受
•要求。指定是否必須對通過該隧道的網絡通訊進行身份驗證，如果是，是請求身份驗證，還是要求身份驗證。
•隧道終結點。按 IP 地址或 IP 地址范圍識別計算機，這些計算機充當屬于每個終結點（終結點 1 和終結點 2）的計算機的網關。這些選項在此頁上是否可用取決于您在首頁上選擇的隧道類型。
•身份驗證方法。選擇身份驗證方法，包括計算機證書或自定義高級方法。
•配置文件。選擇規則應用于的配置文件（域、公用和專用）。
•“名稱”。命名規則并鍵入可選描述。
自定義
當使用新連接安全規則向導中的其他類型的可用規則無法設置所需的身份驗證規則時，使用自定義規則對兩個終結點之間的連接進行身份驗證。可以在以下向導頁上配置選項：
•終結點。指定屬于終結點 1 和終結點 2 的計算機。終結點 1 可以包含所有計算機、按 IP 地址指定的計算機或可以通過指定連接類型（例如局域網或無線連接）訪問的計算機。終結點 2 可以包含所有計算機或按 IP 地址指定的計算機。
•要求。需要進行身份驗證時選擇。選項與“隔離”部分中介紹的選項相同。
•方法。選擇身份驗證方法。選項與“隔離”部分中介紹的選項相同。
•協議和端口。指定協議，和 TCP 或 UDP，受此連接安全規則影響的源端口和目標端口。
•配置文件。選擇規則應用于的配置文件（域、公用和專用）。
•“名稱”。命名規則并鍵入可選描述。

3、配置防火墻屬性

  1）配置文件設置
每個配置文件的選項卡中的相同選項控制當計算機連接到該類型的網絡后 高級安全 Windows 防火墻 的運行方式。
可以為這三個配置文件中的每個配置文件進行配置的選項如下所示：
•防火墻狀態。可以為每個配置文件單獨打開或關閉 高級安全 Windows 防火墻。
•入站連接。可以將入站連接配置為以下設置之一：
•阻止（默認）。 高級安全 Windows 防火墻 阻止與任何活動防火墻規則不匹配的入站連接。選擇此設置后，必須創建入站允許規則以允許您的應用程序所需的流量。
•阻止所有連接。 高級安全 Windows 防火墻 忽略所有入站規則，從而有效阻止所有入站連接。
•允許。 高級安全 Windows 防火墻 允許與活動防火墻規則不匹配的入站連接。選擇此設置后，必須創建入站阻止規則以阻止您不希望出現的流量。
•出站連接。可以將出站連接配置為以下設置之一：
•允許（默認）。 高級安全 Windows 防火墻 允許與任何活動防火墻規則不匹配的出站連接。選擇此設置后，必須創建出站規則以阻止您不希望出現的出站網絡流量。
•阻止。 高級安全 Windows 防火墻 阻止與活動防火墻規則不匹配的出站連接。選擇此設置后，必須創建出站規則以允許您的應用程序所需的出站網絡流量。
•受保護的網絡連接。可以配置哪個活動網絡連接受此配置文件要求限制。默認情況下，所有網絡連接受所有配置文件限制。單擊“自定義”，然后選擇希望保護的網絡連接。
•設置。單擊“設置”區域中的“自定義”可配置以下設置：
•當阻止某個程序接收入站通信時，會向用戶顯示通知。該設置控制 Windows 是否顯示通知，并允許用戶知道某個入站連接已被阻止。
•允許多播或廣播請求的單播響應。該設置允許計算機接收對其傳出多播或廣播請求的單播響應。
•應用本地防火墻規則。除了組策略應用的特定于此計算機的防火墻規則之外，還要在允許本地管理員在此計算機上創建和應用防火墻規則時，選擇此選項。當清除該選項時，管理員仍然可以創建規則，但不會應用規則。只有當通過組策略配置策略時才能使用該設置。
•允許本地連接安全規則。除了組策略應用的特定于此計算機的連接安全規則之外，還要在允許本地管理員在此計算機上創建和應用連接安全規則時，選擇此選項。當清除該選項時，管理員仍然可以創建規則，但不會應用規則。
•日志記錄。單擊“日志記錄”區域中的“自定義”可配置以下日志記錄選項：
•名稱。默認情況下，該文件存儲在 %windir%\system32\logfiles\firewall\pfirewall.log 中。
•大小限制。默認情況下，大小限制為 4096 KB。
•記錄丟棄的數據包。默認情況下，不記錄丟棄的數據包。
•記錄成功的連接。默認情況下，不記錄成功的連接。

 2）配置IPSEC

在單擊“本地計算機上的高級安全 Windows 防火墻”屬性頁的“IPSec 設置”選項卡上的“自定義”按鈕時，將出現圖 5 所示的“IPSec 設置”對話框。當創建計算機連接安全規則時使用這些設置。請注意，如果您使用組策略配置了這些 IPsec 默認值，則對話框頂部的消息會通知用戶，并禁用受影響的控件。您仍可以單擊“自定義”按鈕以查看不同的設置，但是這些對話框上的大多數控件也會被禁用。
 
該對話框允許您選擇下列選項：
•“密鑰交換（主模式）”。若要啟用安全通信，必須使兩臺計算機能夠訪問同一共享密鑰，而不通過網絡傳輸該密鑰。單擊“自定義”按鈕以配置安全方法、密鑰交換算法以及密鑰生存期。這些設置用于保護 IPsec 協商，而 IPsec 協商反過來又會確定用于連接上發送的其余數據的保護。
•“數據保護(快速模式)”。IPsec 數據保護定義用來為連接提供數據完整性和加密的算法和協議。數據完整性確保在傳輸過程中不會修改數據。數據加密使用加密隱藏信息。高級安全 Windows 防火墻使用身份驗證頭 (AH) 或封裝式安全措施負載 (ESP) 提供數據保護。高級安全 Windows 防火墻使用 ESP 進行數據加密。
•身份驗證方法。除非規則或組策略設置指定了其他方法，否則使用此設置為本地計算機上的 IPsec 連接選擇默認的身份驗證方法。默認的身份驗證方法為 Kerberos 版本 5，這種方法在實施域隔離的規則上非常有用。您還可以限制僅連接到具有來自特定證書頒發機構 (CA) 的證書的那些計算機。
此外，windows高級安全防火墻還提供防火墻的監控功能，為管理員管理和監控服務器的安全狀態提供了良好的依據。

【編輯推薦】

1. Windows Server 2008安全性和高可用性
2. 優秀的接班人——Windows Server 2008
3. Windows Server 2008 VDI架構
4. Windows Server 2008組策略安全實踐手冊
5. Windows Server 2008安全性和高可用性