如何配置Windows Server 2008防火墙

这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级，微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。以下是可以证明它这个新名字的新功能：1、新的图形化界面。现在通过一个管理控制台单元来配置这个高级防火墙。2、双向保护。对出站、入站通信进行过滤。3、与IPSEC更好的配合。具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。4、高级规则配置。你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的 *** 作，即阻止连接或允许连接。如果数据包与规则中的标 准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大，例如ZoneAlarm PRo等。我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是：它是否会影响这个关键服务器基 础应用的正常工作?然而对于任何安全措施这都是一个可能存在的问题，Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是，如果你在你的服务器上运行一个非微软的应用程序，而且它需要入站 网络连接的话，你将必须根据通信的类型来创建一个新的规则。通过使用这个高级防火墙，你可以更好的加固你的服务器以免遭攻击，让你的服务器不被利用去攻击别人，以及真正确定什么数据在进出你的服务器。下面让我们看一下如何来实现这些目的。了解配置Windows防火墙高级安全性的选择在以前Windows Server中，你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。对于Windows高级安全防火墙，大多数管理员可以或者从Windows服务器管理器配置它，或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图：我发现启动这个Windows高级安全防火墙的最简单最快速的方法是，在开始菜单的搜索框中键入‘防火墙’，如下图：另外，你还可以用配置网络组件设置的命令行工具Netsh来配置Windows高级安全防火墙。使用 netsh advfirewall可以创建脚本，以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。使用新的Windows高级安全防火墙MMC管理单元能配置什么?由于使用这个新的防火墙管理控制台你可以配置如此众多的功能，我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面，你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。默认情况下，当你第一次进入Windows高级安全防火墙管理控制台的时候，你将看到Windows高级安全防火墙默认开启，并且阻挡不匹配入站规则的入站连接。此外，这个新的出站防火墙默认被关闭。你将注意的其他事情是，这个Windows高级安全防火墙还有多个配置文件供用户选择。在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法，如防火墙规则和连接安全规则，根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。在我看来，在我们讨论过的Windows 2008高级安全防火墙的所有改进中，意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项，如下图：再来对比一下Windows 2008 Server中的配置窗口。注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置，微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中，只有三个默认的例外规则。而Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。 那么你如何使用这个新的Windows高级防火墙创建一个规则呢?让我们接下来看一下。如何创建一个定制的入站规则？假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器，这个端口自动会为你打开。但是，由于你现在使用一个来自第三方的网站服务器，而且你打开了入站防火墙，你必须手动的打开这个窗口。以下是步骤：·识别你要屏蔽的协议-在我们的例子中，它是TCP/IP(与之对应的则是UDP/IP或ICMP)。·识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。(注意，你可以为一个特定的程序创建一条规则，诸如这儿的apache HTTP服务器)。·打开Windows高级安全防火墙管理控制台。·增加规则-点击在Windows高级安全防火墙MMC中的新建规则按钮，开始启动新规则的向导。·为一个端口选择你想要创建的规则。·配置协议及端口号-选择默认的TCP协议，并输入80作为端口，然后点击下一步。·选择默认的“允许连接”并点击下一步。·选择默认的应用这条规则到所有配置文件，并点击下一步。·给这个规则起一个名字，然后点击下一步。这时候，你将得到如下图的一条规则：火墙管理控制台经过我测试，当不启用这个规则的时候，我最近安装的Apache网站服务器不能正常工作。但是，创建了这个规则后，它可以正常工作了!

假如你在单元格F1输入职称

那么在F2

F3

F4

F5分别输入主任医师

副主任医师

主任中医师、副主任中医师。高级筛选条件为$F$1:$F$5，这样就可以了。

高级筛选条件设置的规则为：在同一行时，表示同时要满足所有的条件，即“与”；当条件设置在不同行时，表示只需要满足这些条件的其中一个，即“或”。

其实防火墙这个东西 使用它也是 要看自己的喜好和自己本身电脑的配置情况，还要看 你选用的 杀毒软件和防火墙是否兼容，所以 就必须要了解各种防火墙的 性能和特点，所以请看以下内容。

几个防火墙的比较

一.Kaspersky(卡巴斯基)防火墙（Kaspersky Anti-Hacker）

1.设置简单，和Kaspersky(卡巴斯基)杀毒软件一起使用没有冲突，与ZoneAlarm Pro version:5.5.094.000运行也可以，没见死机。

2.内存占用小，刚启动时6M左右，最小时1M不到。

3.可以查看正在打开的端口，正在连接网络的应用程序及连接地址、端口。

4.可以为每个程序定义规则（阻止、允许）及安全类型（浏览、文件传送、信息发送等等）。发现有程序连接时会提示，并允许选择自定义。

5.可以定义包过滤规则。默认已经定义一些。不过自定义的包过滤规则有点简单。在一条规则定义几个端口时不太方便（只能选单个或区间）。

6.本地连接的时候没有提示。比如通过代理软件上网，浏览器再通过代理软件连接的时候不会对浏览器连接网络进行提示。

二、ZoneAlarm Pro 5.5.094

1.资源占用较大，两个进程，zlclient.exe占用4M左右， vsmon.exe占用9M左右。启动还算快。和Kaspersky(卡巴斯基)杀毒软件共处相安无事，和Norton防病毒软件一起工作正常。和Sygate Personal Firewall可能有冲突。

2.默认设置还算简单，按默认设置即可阻止很多可疑连接。

3.功能强大，广告过滤，邮件过滤都不错。可对每一程序设置连接规则。

4、防火墙的专家设置项可以完成难度比较大的规则设置，设置规则还算简单，根据参考可以自定义完成。

5、升级到6.0后资源占用变得很大，启动响应比较慢。

6、对于网关的ARP保护并没有效果，同局域网机器可以使用ARP欺骗进行攻击致使无法上网。使用专家项设置IP和MAC绑定也无效果。经查ZoneAlarm 存在一个安全问题，允许未授权用户在本地局域网安全设置下连接到该防火墙保护的主机。

三、F-Secure Distributed Firewall 5.5

与天网发生冲突，安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。最后没有使用就删除了，可惜。

四、Outpost Firewall pro 2.7.492.416

1、与天网发生冲突，安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。删除sknfw.sys后再重新安装则没有出现这个问题。

2、与ZoneAlarm Pro有冲突，可以同时安装两个，不过只能运行其中一个，不然出现死机。与McAfee.VirusScan.Enterprise.v80共处没有出现什么冲突。只是如果安装有其它防火墙的话会提示，比如look 'n' stop、Tiny Firewall。不过没有冲突。

3、启动后只有一个进程outpost.exe，Outpost占用内存极小，刚启动时20M左右，最小化正常后只有2M左右。

4、功能强大，设置复杂。不过按其默认设置基本上可以满足上网要求。

5、可以查看正在连接网络的应用程序、连接IP、端口，系统正在打开的端口。已经发送和接收的TCP，UDP数据流量。阻止的各项统计。

6、支持插件，默认安装了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用较多的是active content（包括pop-up windows,activeX controls,javascripts,vbscripts,cookies等的过滤设置）和ads（广告过滤，关键字列表设置）。

7、ads（广告过滤）功能不错，基本上可以过滤大部分广告图片，页面清爽不少，不过误杀还是比较多。

8、防火墙设置包括LAN设置，ICMP设置和全局RULES设置，应用程序设置。前几天设置基本上按默认设置已经满足需要，应用程序的设置已经自带了一些默认的规则（包括浏览器、ICQ、FTP等规则），可以参考这些规则进行更改。还可以对应用程序组件进行控制。

9、发现运行Robocop.exe的时候竟然没有进行拦截，看来网络执法官是有点霸道。不知道outpost为何默认就让Robocop.exe通过免检。或者是我哪里设置不对，还没找到原因。

10、发现如果边上网听歌边浏览的时候听歌时竟然有点卡，原来是下载广告过滤包后列表KEYWORD太多的缘故，使用默认的则没有出现这个问题。

五、blackice 3.6 col

1、与Outpost Firewall pro同时运行没有发生冲突，与McAfee.VirusScan.Enterprise.v80配合还不错，没有冲突。安装后不用重新启动。

2、设置简单，基本上没有过多设置，安装后会扫描所有程序加入已知程序列表，可在列表中设置阻挡。不过修改不方便，不能从列表中删除。以后对于未知程序运行会提示。

3、占用内存比较大，运行后三个进程：blackice.exe（主程序）大概占5M左右，app.exe（应用程序保护） 大概占3M左右，blackd.exe（防火墙引擎）大概占10M左右。发现如果没有停止防火墙而退出主程序，防火墙引擎和程序保护进程并没有退出。

4、防火墙规则设置比较简单，可以通过设置IP，Port，Type来进行过滤。

5、觉得功能没有ZoneAlarm Pro强，自定义控制不是很多。对于程序访问网络的控制项少。占用资源比较多。

六、look 'n' stop 2.05p2

1、占用内存很小，见过的占用内存最小的防火墙，启动后一个进程looknstop.exe，最小后正常后只有1M左右。可以监视正在连接的IP，Port。不过如果进行配置后甚至可以监视经过的每一个数据包（包括包发送接收的物理地址、包类型、协议、包长度、数据等）

2、基于数据包过滤，所以要正确配置必须对网络连接的数据包有一些了解。有世界第一的防火墙之称，不过从技术上看只是简单的数据包过滤，因此可以自由定义。定义好了确实是可以对通行的信息全面控制。总体上看配置比较难，有几个需要注意的地方如果配置不错则连不上网。

3、可以对ARP数据进行控制，这点应该比其它防火墙功能更为强大。因此通过设置和网关的ARP接收发送后可以屏蔽Robocop的攻击。这一功能确实强大，足以局域网内的ARP欺骗攻击。试过才知道它的强大。

4、有应用程序过滤，如果安装后存在程序连接网络的时候并没有出现提示窗口的问题，这是因为其驱动安装有错，如果出现此问题要安装其提供的patch。不过应用程序过滤的设置项不多，只能对连接的IP，Port进行过滤。对于数据包类型按网络过滤规则过滤。

5、支持插件功能。不过默认没有安装什么插件。也不支持广告过滤之类的功能。

6、与outpost同时运行没有发现冲突，和macafee配合也不错。

7、如果安装过天网，还是会与sknfw.sys存在冲突而安装后蓝屏无法启动。可见天网的作用，难道它就是为了让人不能装别的防火墙。进安全模式卸载后即可解决此问题（XP-SP2），XP－SP1可能还要自己删除sknfw.sys。

8、对中文支持还不是很好，应用程序过滤中应用程序的目录名最好是E文。经测试感觉还是有点影响网络速度。

七、Tiny Firewall 2005 Professional V6.5.92

1、启动后7个进程：umxlu.exe（3M左右）（查检升级，可以关闭）,umxtray.exe（5M左右，任务栏图标显示）,umxagent.exe（8M左右）,umxpol.exe（3M左右）,umxfwhlp.exe（2M左右）,umxcfg.exe（13M左右），amon.exe（4M左右）（活动监控进程，可以关闭）。不能关闭的其它四个都是服务进程。

正常后：umxlu.exe（1M不到）,umxtray.exe（1M左右）,umxagent.exe（3M左右）,umxpol.exe（1M不到）,umxfwhlp.exe（100K左右）,umxcfg.exe（4M左右），amon.exe（1M左右）。另外还有管理中心cfgtool.exe，追踪分析tralogan.exe,需要的时候用到。因为是服务进程，不使用的时候想关闭比较麻烦。

2、从以上的进程数可以看到设置复杂，不过确实功能强大。包括应用程序访问控制、网络访问保护、文件保护，系统级保护（包括注册表、dlls、OLE/COM、服务、驱动等等），入侵检测等，每一项都可以设置规则。不过默认规则已经比较多，参照起来还算比较清楚。可能因为设置项过多所以使人感到无从下手，因此比较少人使用吧。

3、安装后与McAfee.VirusScan.Enterprise.v80没有冲突，运行look 'n' stop、Outpost也还正常。只是其它防火墙退出方便。

4、发现还是不能对ARP数据包进行控制。对于应用程序的控制很全面，还可以分组设置，如果一些软件的安全设置相同，比如浏览器，聊天软件等可以放在同一组里，更改设置方便。

5、对于系统文件、注册表等的保护也不错。

八、Sygate Personal Firewall Pro v5.5.2637

1、启动后一个进程smc.exe，占用16M左右。正常后10M左右，如果把窗口最小化看到只占用5M左右。

2、设置简单，默认的安全规则已经设置好，所以不需要过多设置。主要需要设置的是每一个程序的访问控制。对于每一个程序可以设置IP,PORT（远程的）的过滤，且设置比较方便。

3、没有过多的功能，主要是防火墙功能。没有其它象广告过滤、邮件过滤等。不过象ZA的专家设置那样也提供了高级规则设置供需要时候使用。高级规则设置可以设置IP或MAC，PORTS AND PROTOCOLS，适用的程序，甚至计划启动的时间，选择比较细。

4、一大特色是日志显示，显示的内容很详细，基本的如协议、本地\远程IP、端口、方向、动作（屏蔽\通过）、程序路径，甚至还包括了本地\远程主机的MAC地址，还有一个功能就是backtrace，反跟踪远程主机，然后查出whois。

5、主窗口可以列出正在运行的程序连接的各项内容。以图形的方式显示进出的流量速度。还有security test，方便测试防火墙的安全性。

九、Kerio Personal Firewall 2.1.5

1、启动后一个进程PERSFW.EXE（服务进程）,启动时占用5M左右，正常后占用2M左右。如果调出管理程序PFWADMIN.EXE，占用3M左右。可以自由退出而不驻留进程。不过发现退出防火墙的时候PERSFW.EXE进程没有关闭。

2、设置简单，安装好后即可使用。和Sygate类似，没有过多的功能，主要是防火墙功能。没有其它象广告过滤、邮件过滤等。

3、对于程序访问网络的设置也与Sygate类似，可以设置协议，方向，本地\远程主机的IP,PORT。Sygate只能设置远程主机的。一个特色是对于每个程序还有个MD5校验，所以防止恶意程序改成别的程序名连接网络。

4、可以查看正在连接的程序、打开的端口的一起内容，与其它防火墙类似。查看过滤日志不是很方便。经测试感觉对于上网速度没有太大影响。

5、卸载后不用重新启动。可以和ZA，looknstop同时安装，没有提示冲突，与macafee配合也不错。

6、4.2版本提示与ZA有冲突。4.0版本后增加了广告拦截功能，感觉有点学ZA的界面和功能，资源占用也变大了，两个进程，kpf4ss.exe（占用13M左右）,kpf4gui.exe（占用5M左右）。还增加了入侵检测，logs and alerts也人性化多了。

---