高級安全Windows防火牆（下）--- Windows2008新功能系列之四

    上次咱們講到了有關IPSec和高級安全Windows防火牆（如下簡稱WFAS）的集成應用，今天咱們來學習WFAS的基本使用。

    在舊版Windows中，存在windows防火牆，而從VISTA或WINDOWS2008開始，出現了WFAS，在這個組件裏能夠完成比傳統Windows防火牆更多的事情。不過在新版操做系統中也一樣保留了和舊版操做系統同樣的Windows防火牆。

    如何找到新版操做系統，如vista或windows2008的舊版windows防火牆（或稱基本windows防火牆）呢？

    打開「控制面板」---Windows防火牆，以下圖所示：

 

    如何找到WFAS呢？

    1. 對於Vista或Win7，能夠運行MMC，添加組件，WFAS便可。

    2. 對於Windows2008，除經過MMC添加外，能夠在管理工具---WFAS打開便可。

 最終WFAS的界面以下：

 

WFAS和傳統防火牆的區別有哪些呢？

1. 強化了「入站規則」和「出站規則」，特別是出站規則能夠自由設置。

所謂入站規則---即控制從外到內的訪問，而出站規則---則是控制從本地到外的訪問。在舊版的防火牆中有關出站規則是很簡單的。

2. 位置敏感的主機防火牆：便可以針對三種網絡編輯相應的配置文件（域網絡、專用網絡、公用網絡）。

3. 顆粒配置：即在每條規則中的設置更加細化，能夠經過雙擊一條規則看到，以下圖所示：

 

 

4. 和IPSec集成：這是最大的變化之一，之後再配置IPSec不用再怕和防火牆規則衝突了，而配置起來界面更加人性化，有嚮導嘛~~具體有關IPSEC的使用，見上篇 《Windows2008新功能系列之三：高級安全Windows防火牆（上）》

 

5. 支持IPV6和NAP。

等等

 

默認windows防火牆的配置：

1. 阻止全部入站鏈接（入站規則）

a)阻止來自其餘主機的傳入鏈接

b)減小受***面

2.容許全部出站鏈接（出站規則）

a)阻止從本機的傳出鏈接

b)中止未受權軟件訪問外界

3.入站例外將自動爲新角色和功能進行修改。

 

舉兩個案例，咱們來學習一下有關WFAS的使用。

具體的實驗拓樸以下所示：（當前是域環境，域名爲contoso.com，其中w08a是DC，W08b是WEB服務器。）

 

案例一：W08B是WEB服務器，要求只有子網10.1.1.0/24內的計算機能夠訪問，而其它子網如172.16.1.0/24內計算機不能夠訪問。

 

案例二：域中的全部DC均不可經過IE瀏覽器上互聯網。

 

案例一的實現過程：

分析： 根據案例要求，咱們能夠在WEB服務器上利用WFAS建立「入站規則」，並設置只容許10.1.1.0/24這個子網能夠訪問。因爲只是一臺WEB服務器，故咱們能夠直接打開WEB服務器的本地WFAS來完成，由於在默認狀態下，本地的WFAS的設置會和組策略上的設置合併生效。

 

1、在W08B上安裝IIS組件，並配置WEB站點：

打開管理工具--服務器管理器，以下圖所示：

 

單擊「添加角色」後，出現嚮導界面，單擊下一步，在以下圖中，選擇「安裝IIS 服務」（圖中我已經安裝~），繼續單擊下一步，最後安裝結束。

 

2、打開WEB服務器上的本地WFAS，建立「入站規則」：

1. 首先檢查所屬的網絡：

打開「網絡和共享中心」，以下圖所示：得知該主機屬於域網絡。

 

2. 打開WFAS，檢查哪一個配置文件起做用：以下圖可知domain Profile是活動的。

 

注：若是你的主機沒有加入域，能夠人爲的改變所屬的網絡，從而能夠設置不一樣網絡對應配置文件的具體設置，以下圖：

 

單擊「屬性」後以下圖：

 

3. 建立入站規則：

因爲「WEB服務HTTP或HTTPS流量控制」是預約義的規則，因此咱們能夠直接編輯，若是沒有能夠自行建立，若建立，直接在「入站規則」上右擊選「新規則」便可。這裏咱們直接編輯預約義的這兩個規則，具體規則以下所示：

 

先雙擊HTTP的那個，以下圖所示：

 

選擇「做用域」，單擊「遠程IP地址」中「添加」，以下圖：

 

添加如上圖所示的子網範圍後，單擊「肯定」，關閉全部對話框。

如是編輯HTTPS的那條規則，相似操做。

 

3、測試：

找10.1.1.0/24子網內的一臺客戶端，如VISTA，打開IE瀏覽器，輸入 http://10.1.1.6，成功打開了網站：

 

在172.16.1.0/24子網內的w08c這臺客戶端訪問 http://10.1.1.6，以下圖所示：沒有打開網站，可見規則設置成功。

 

至此第一個案例解決完畢。

 

案例二的實現過程：

 

分析：因爲是讓全部DC上的IE瀏覽均不可以使用，故咱們能夠編輯「默認域控制器的組策略」，進行相關的WFAS的設置，在這裏咱們要編輯「出站規則」。編輯完畢後能夠在DC上運行gpupdate /force刷新應用。

 

1、在任意一臺DC上運行GPMC.msc，編輯「默認DC的組策略」：

 

單擊「編輯」後，以下所示：

 

在「出站規則」上單擊「新規則」以下所示：

 

選擇「程序」，單擊下一步，以下：

 

如上圖，輸入具體程序的路徑，再次單擊下一步：

 

選擇「阻止鏈接」，下一步：

 

如上圖的設置，單擊下一步，並取名，結束設置，規則建立成功！以下所示：

 

2、測試：

1. 首先運行gpudate /force刷新組策略

2. 在DC上打開IE，輸入 http://10.1.1.6，如圖所示，不能打開網頁，測試成功！！

 

 

小結：經過這兩個案例，咱們能夠看到，利用WFAS確實能夠給咱們的網絡管理帶來不少驚喜的功能，特別是經過組策略統一來部署更能帶來不少的方便。

 

要回家了，但願本案例能給各位的網絡管理帶來幫助！！