Windows Server 2008防火墙配置攻略

netsh advfirewall set allprofiles logging droppedconnections enable

8、Show命令

这个show命令将让你可以查看所有不同的配置文件中的设置和全局属性。（圣剑黑客同盟）

连接安全包括在两台计算机开始通信之前对它们进行身份验证，并确保在两台计算机之间正在发送的信息的安全性。具有高级安全性的 Windows 防火墙包含了 Internet 协议安全 (IPSec) 技术，通过使用密钥交换、身份验证、数据完整性和数据加密（可选）来实现连接安全。

对于单个服务器来说，可以使用高级安全Windows防火墙管理控制单元来对防火墙进行设置，如果在你的企业网络中有大量计算机需要设置，这种方法就不再适合，应该找一种更高效的方法。
使用组策略来管理高级安全Windows防火墙

在一个使用活动目录（AD）的企业网络中，为了实现对大量计算机的集中管理，你可以使用组策略来应用高级安全Windows防火墙的配置。组策略提供了高级安全Windows防火墙的完全功能的访问，包括配置文件、防火墙规则和计算机安全连接规则。

实际上，在组策略管理控制台中为高级安全Windows防火墙配置组策略的时候是打开的同一个控制单元。

值得注意的是，如果你使用组策略来在一个企业网络中配置高级安全Windows防火墙的话，本地系统管理员是无法修改这个规则的属性的。

通过创建组策略对象，可以配置一个域中所有计算机使用相同的防火墙设置。这一部分内容比较复杂，我们将在后续文章中详细介绍。  

使用Netsh advfirewall命令行工具

虽然图形化配置界面比较简单直观，但是对于一些有经验的系统管理员来说，则往往更喜欢使用命令行方式来完成它们的配置工作，因为后者一旦熟练掌握的话，可以更灵活更准确更迅速的实现配置任务。

Netsh是可以用于配置网络组件设置的命令行工具。具有高级安全性的Windows防火墙提供netsh advfirewall工具，可以使用它配置具有高级安全性的Windows防火墙设置。使用netsh advfirewall可以创建脚本，以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows 防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。

Netsh advfirewall的命令非常多，今天我们选择你必须掌握的几个最常见的命令介绍给大家。

1、help命令(或“?”)

这个命令虽然简单，但这却可能是最有用的命令。任何时候当你键入“?”命令的时候，你会看到和上下文相关的所有选项。

2、consec(连接安全规则)命令

这个连接规则可以让你创建两个系统之间的IPSEC VPN。换句话说，consec规则能够让你加强通过防火墙的通信的安全性，而不仅仅是限制或过滤它。

这个命令会将你带入到连接安全配置模式，如下所示：

Netsh advfirewall>consec

Netsh advfirewall consec>

现在如果你键入“?”命令的话，你将会在netsh advfirewall consec中看到六个不同的命令。

此上下文中的命令:

add命令可以让你添加新连接安全规则；

delete命令让你删除所有匹配的连接安全规则；

dump命令显示一个配置脚本；

help可以显示命令列表。

set命令让你为现有规则的属性设置新值。

下面我们来通过实际例子查看一下如何配置这几个规则。

首先从入站规则开始，假如我们在Windows Server 2008上安装了一个Apache Web服务器，默认情况下，从远端是无法访问这个服务器的，因为在入站规则中没有配置来确认对这些流量“放行”，下面我们就为它增加一条规则。

打开高级安全Windows防火墙，点击入站规则后从右边的入站规则列表中我们可以看到Windows Server 2008自带的一些安全规则，因为Apache是一款第三方应用软件，所以我们需要通过右边操作区的【新规则】来新建一条

在这儿可以看到，我们可以基于具体的程序、端口、预定义或自定义来创建入站规则，其中每个类型的步骤会有细微的差别。在我们这个例子中，我们选择【程序】类型，点击下一步接下来选择具体的程序路径

第三步指定对符合条件的流量进行什么操作，我们这儿当然是允许连接了

接下来选择应用规则的配置文件和为规则指定名称后，这条规则就创建完了，从入站规则列表中可以看到你创建的规则了

现在就可以正常从远程访问你的Apache服务器了。

如果要对这个已经创建的规则进行修改等操作，可以在选中规则后，从右边的操作区域进行操作