為什么你應(yīng)該使用這個(gè)Windows的基于主機(jī)的防火墻?

　　今天許多公司正在使用外置安全硬件的方式來(lái)加固它們的網(wǎng)絡(luò)。 這意味著，它們使用防火墻和入侵保護(hù)系統(tǒng)在它們的網(wǎng)絡(luò)周?chē)⑵鹆艘坏楞~墻鐵壁，保護(hù)它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵。但是，如果一個(gè)攻擊者能夠攻 破外圍的防線，從而獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，將只有Windows認(rèn)證安全來(lái)阻止他們來(lái)訪問(wèn)公司最有價(jià)值的資產(chǎn)-它們的數(shù)據(jù)。

　　這是因?yàn)榇蠖鄶?shù)IT人士沒(méi)有使用基于主機(jī)的防火墻來(lái)加固他們的服務(wù)器的安全。為什么會(huì)出現(xiàn)這樣的情況呢?因?yàn)槎鄶?shù)IT人士認(rèn)為，部署基于主機(jī)的防火墻所帶來(lái)的麻煩要大于它們帶來(lái)的價(jià)值。

　　我希望在您讀完這篇文章后，能夠花一點(diǎn)時(shí)間來(lái)考慮Windows這個(gè)基于主機(jī)的防火墻。在Windows Server 2008中，這個(gè)基于主機(jī)的防火墻被內(nèi)置在Windows中，已經(jīng)被預(yù)先安裝，與前面版本相比具有更多功能，而且更容易配置。它是加固一個(gè)關(guān)鍵的基礎(chǔ)服務(wù)器的 最好方法之一。具有高級(jí)安全性的 Windows 防火墻結(jié)合了主機(jī)防火墻和IPSec。與邊界防火墻不同，具有高級(jí)安全性的 Windows 防火墻在每臺(tái)運(yùn)行此版本 Windows 的計(jì)算機(jī)上運(yùn)行，并對(duì)可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全，使您可以對(duì)通信要求身份驗(yàn)證和數(shù)據(jù)保護(hù)。

這個(gè)Windows Server 2008中的內(nèi)置防火墻現(xiàn)在“高級(jí)”了。這不僅僅是我說(shuō)它高級(jí)，微軟現(xiàn)在已經(jīng)將其稱(chēng)為高級(jí)安全Windows防火墻(簡(jiǎn)稱(chēng)WFAS)。

　　以下是可以證明它這個(gè)新名字的新功能：

　　1、新的圖形化界面。

　　現(xiàn)在通過(guò)一個(gè)管理控制臺(tái)單元來(lái)配置這個(gè)高級(jí)防火墻。

　　2、雙向保護(hù)。

　　對(duì)出站、入站通信進(jìn)行過(guò)濾。

　　3、與IPSEC更好的配合。

　　具有高級(jí)安全性的Windows防火墻將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。

　　4、高級(jí)規(guī)則配置。

　　你可以針對(duì)Windows Server上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過(guò)具有高級(jí)安全性的Windows防火墻。

　　傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo) 準(zhǔn)不匹配，則具有高級(jí)安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。

　　對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱(chēng)、系統(tǒng)服務(wù)名稱(chēng)、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類(lèi)型(如網(wǎng)絡(luò)適配器)、用戶(hù)、用戶(hù)組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類(lèi)型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)。

　　通過(guò)增加雙向防護(hù)功能、一個(gè)更好的圖形界面和高級(jí)的規(guī)則配置，這個(gè)高級(jí)安全Windows防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大，例如ZoneAlarm Pro等。
　　我知道任何服務(wù)器管理員在使用一個(gè)基于主機(jī)的防火墻時(shí)首先想到的是：它是否會(huì)影響這個(gè)關(guān)鍵服務(wù)器基 礎(chǔ)應(yīng)用的正常工作?然而對(duì)于任何安全措施這都是一個(gè)可能存在的問(wèn)題，Windows 2008高級(jí)安全防火墻會(huì)自動(dòng)的為添加到這個(gè)服務(wù)器的任何新角色自動(dòng)配置新的規(guī)則。但是，如果你在你的服務(wù)器上運(yùn)行一個(gè)非微軟的應(yīng)用程序，而且它需要入站 網(wǎng)絡(luò)連接的話(huà)，你將必須根據(jù)通信的類(lèi)型來(lái)創(chuàng)建一個(gè)新的規(guī)則。