win2008防火墙高级篇

第16章防火墙本章的任务了解网络防火墙的基本概念使用Windows防火墙保证基本安全使用WindowsServer2008高级安全Windows防火墙进行细致的安全保护根据服务器提供的服务实例说明WindowsServer2008级安全Windows防火墙配置16.1Windows防火墙简介及基本配置16.1.1Windows防火墙简介什么是防火墙:防火墙可以是软件，也可以是硬件，它能够检查来自Internet或网络的信息，然后根据防火墙设置阻止或允许这些信息通过计算机.Windows防火墙Windows防火墙是一个基于主机的准状态防火墙，防火墙安装在被保护的主机上。它用来保护WindowsServer2008单台服务器，而不是保护网络中其它的主机或者设备。状态防火墙和以往的包过滤防火墙有明显的区别，使用状态防火墙的一个典型特征是：被保护的计算机可以主动访问其它计算机，而如果没有例外，其它计算机无法访问被保护的计算机。16.1.2Windows防火墙基本配置常规设置例外设置通常服务器是为其它计算机提供服务的，因此需要允许其它计算机主动访问服务器，这就需要设置例外。添加程序如果在服务器上安装非WindowsServer2008自带的服务，可以单“添加程序”或者“添加端口”来把该程序或者端口设置为例外，这样其它计算机可以访问该程序或者端口。添加程序添加端口高级设置“还原为默认值”按钮，则会把Windows防火墙的设置复原，通常情况下，已经安装的角色或者功能还是可以被正常访问（即还在例外中），而从安装WindowsServer2008后再配置的其它防火墙配置将丢失。16.2高级安全Windows防火墙16.2.1高级安全Windows防火墙的使用高级安全Windows防火墙高级安全Windows防火墙域配置文件、专用配置文件、公用配置文件均已经是活动的，并且全部配置文件都是阻止与规则不匹配的入站连接，而允许与规则不匹配的出站连接，也就是说：出去的信息是不限制的，而进来的信息是要限制的。防火墙配置文件有域配置文件、专用配置文件、公用配置文件之分，当网卡的位置类型（在网络和共享中心进行设置）为域、专用、公用时，对应的配置文件就会生效高级安全Windows防火墙属性高级安全Windows防火墙属性防火墙有三类规则：入站规则：入站规则明确允许或者明确阻止与规则条件匹配的通信。出站规则：出站规则明确允许或者明确拒绝来自与规则条件匹配的计算机的通信。默认情况下允许出站通信，因此必须创建出站规则来阻止通信。连接安全规则：限于篇幅，不把它列为本书的讨论之列。添加入站规则默认时，系统已经创建了许多预定义的规则右击规则，可以启用、禁止、删除规则。添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则添加入站规则16.2.2防火墙配置实例要启用防火墙保障服务器的安全，同时要保证服务能被正常访问，需要在两者之间取得一个平衡。启用防火墙后，需要充分考虑服务器所承担的角色和功能，把角色和功能所对应的程序或者端口设置为例外，这是一件不容易的事，好在WindowsServer2008已经考虑到这一点，通常在安装角色和功能时，会自动创建并启用相应的预定义规则组。作为管理员，还是应该清楚这些角色和功能是在使用TCP、UDP或者其它什么协议？端口号是什么？是运行哪个程序？WIN2008-1服务器的防火墙配置该服务器的角色有：域控制器、DNS服务器、DHCP服务器、WINS服务器、发布软件的服务器。WIN2008-2服务器的防火墙配置该服务器的角色有：Web服务器、Ftp服务器、终端服务器、文件服务器。ExchangeServer使用的服务WIN2008-3服务器的防火墙配置该服务器的角色有：NAT服务器、VPN拨号服务器。防火墙对进出服务器的NAT流量不起作用，因此只需考虑放行VPN拨号服务的流量。可以先恢复Windows防火墙为默认值，再在高级安全防火墙中启用如图16-31的规则。ThankYou.