windows server 2008 怎么设置 windows 防火墙

1.打开控制面板，点击windows 防火墙

2.防火墙的主页面里列出防火寺的基本状态。点击“启用或关闭windows防火墙”可以配置防火墙选项

3.在常规菜单里可以开户或关闭windows防火墙。启用防火墙下有个“阻止所有传入连接”设置如果打上勾，是在使用的网络不确定安全时启用.

4.接着配置例外选项，所谓例外指的是防火墙对这些例外的应用程序使用的端口或者自行添加的端口不进行阻止，直接放行，适合于已知安全的应用。

5.点击“添加程序”，系统列出已安装的应用程序，选择需要添加成例外的应用程序，点击确认即可添加成windows防火墙例外程序。“更改范围”选项里可以设置更具体的选项。

6.点击例外菜单下“添加端口”可添加自己所需要放行的端口，如tomcat运行时默认8080端口，可以填入tomcat及端口号8080，那么系统将对8080端口进行放行

7.点击高级菜单，这里可以配置防火墙保护哪些网卡通讯的数据。

这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级，微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。以下是可以证明它这个新名字的新功能：1、新的图形化界面。现在通过一个管理控制台单元来配置这个高级防火墙。2、双向保护。对出站、入站通信进行过滤。3、与IPSEC更好的配合。具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。4、高级规则配置。你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标 准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大，例如ZoneAlarm PRo等。我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是：它是否会影响这个关键服务器基 础应用的正常工作?然而对于任何安全措施这都是一个可能存在的问题，Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是，如果你在你的服务器上运行一个非微软的应用程序，而且它需要入站 网络连接的话，你将必须根据通信的类型来创建一个新的规则。通过使用这个高级防火墙，你可以更好的加固你的服务器以免遭攻击，让你的服务器不被利用去攻击别人，以及真正确定什么数据在进出你的服务器。下面让我们看一下如何来实现这些目的。了解配置Windows防火墙高级安全性的选择在以前Windows Server中，你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。对于Windows高级安全防火墙，大多数管理员可以或者从Windows服务器管理器配置它，或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图：我发现启动这个Windows高级安全防火墙的最简单最快速的方法是，在开始菜单的搜索框中键入‘防火墙’，如下图：另外，你还可以用配置网络组件设置的命令行工具Netsh来配置Windows高级安全防火墙。使用 netsh advfirewall可以创建脚本，以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。使用新的Windows高级安全防火墙MMC管理单元能配置什么?由于使用这个新的防火墙管理控制台你可以配置如此众多的功能，我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面，你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。默认情况下，当你第一次进入Windows高级安全防火墙管理控制台的时候，你将看到Windows高级安全防火墙默认开启，并且阻挡不匹配入站规则的入站连接。此外，这个新的出站防火墙默认被关闭。你将注意的其他事情是，这个Windows高级安全防火墙还有多个配置文件供用户选择。在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法，如防火墙规则和连接安全规则，根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。在我看来，在我们讨论过的Windows 2008高级安全防火墙的所有改进中，意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项，如下图：再来对比一下Windows 2008 Server中的配置窗口。注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置，微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中，只有三个默认的例外规则。而Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。 那么你如何使用这个新的Windows高级防火墙创建一个规则呢?让我们接下来看一下。如何创建一个定制的入站规则？假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器，这个端口自动会为你打开。但是，由于你现在使用一个来自第三方的网站服务器，而且你打开了入站防火墙，你必须手动的打开这个窗口。以下是步骤：·识别你要屏蔽的协议-在我们的例子中，它是TCP/IP(与之对应的则是UDP/IP或ICMP)。·识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。(注意，你可以为一个特定的程序创建一条规则，诸如这儿的apache HTTP服务器)。·打开Windows高级安全防火墙管理控制台。·增加规则-点击在Windows高级安全防火墙MMC中的新建规则按钮，开始启动新规则的向导。·为一个端口选择你想要创建的规则。·配置协议及端口号-选择默认的TCP协议，并输入80作为端口，然后点击下一步。·选择默认的“允许连接”并点击下一步。·选择默认的应用这条规则到所有配置文件，并点击下一步。·给这个规则起一个名字，然后点击下一步。这时候，你将得到如下图的一条规则：火墙管理控制台经过我测试，当不启用这个规则的时候，我最近安装的Apache网站服务器不能正常工作。但是，创建了这个规则后，它可以正常工作了!

1）防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29；

2）防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27；

3）内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3；

4）内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。

2、防火墙的配置脚本如下

<H3CF100A>dis cur

#

sysname H3CF100A

#

super password level 3 cipher 6aQ>Q57-$.I)04:\(I41!!!

#

firewall packet-filter enable

firewall packet-filter default permit

#

insulate

#

nat static inside ip 192.168.254.2 global ip 202.111.0.2

nat static inside ip 192.168.254.3 global ip 202.111.0.3

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user net1980

password cipher ######

service-type telnet

level 2

#

aspf-policy 1

detect h323

detect sqlnet

detect rtsp

detect http

detect smtp

detect ftp

detect tcp

detect udp

#

object address 192.168.254.2/32 192.168.254.2 255.255.255.255

object address 192.168.254.3/32 192.168.254.3 255.255.255.255

#

acl number 3001

description out-inside

rule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433

rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www

rule 1000 deny ip

acl number 3002

description inside-to-outside

rule 1 permit ip source 192.168.254.2 0

rule 2 permit ip source 192.168.254.3 0

rule 1000 deny ip

#

interface Aux0

async mode flow

#

interface Ethernet0/0

shutdown

#

interface Ethernet0/1

shutdown

#

interface Ethernet0/2

speed 100

duplex full

description to server

ip address 192.168.254.1 255.255.255.248

firewall packet-filter 3002 inbound

firewall aspf 1 outbound

#

interface Ethernet0/3

shutdown

#

interface Ethernet1/0

shutdown

#

interface Ethernet1/1

shutdown

#

interface Ethernet1/2

speed 100

duplex full

description to internet

ip address 202.111.0.1 255.255.255.224

firewall packet-filter 3001 inbound

firewall aspf 1 outbound

nat outbound static

#

interface NULL0

#

firewall zone local

set priority 100

#

firewall zone trust

add interface Ethernet0/2

set priority 85

#

firewall zone untrust

add interface Ethernet1/2

set priority 5

#

firewall zone DMZ

add interface Ethernet0/3

set priority 50

#

firewall interzone local trust

#

firewall interzone local untrust

#

firewall interzone local DMZ

#

firewall interzone trust untrust

#

firewall interzone trust DMZ

#

firewall interzone DMZ untrust

#

ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

---