分享程序员开发的那些事...
更新时间:2022-10-01 23:38:22
WFAS是内置在windows server 2008中的主机型的防火墙。在先前的windows 2003系统中,使用的是称为因特网连接防火墙ICF,由于默认是关闭的和一些其他的原因,使这种防火墙并没有能够得到重视。在windows server 2008操作系统中,为了让防火墙功能更好的完成任务,有很多新功能的加入,其中WFAS与以前版本的防火墙最大的不同点就是里面加入了IPSec的功能,从而可以进行对网络通信验证和加密。
WFAS新功能简介
默认启动,自动设置
在windows server 2008中的WFAS(包括vista),都会默认启动。通过这样的做法,会对windows server 中的内置防火墙做一改观,会改变对ICF的错误看法。认为内置的防火墙没有作用。而自动设置功能则是另一处强大的功能,不同的windows server 2008都要承担不同的任务,不论是承担着web服务器,文件服务器等等,WFAS都会根据在windows server 2008上启用的角色和功能自动设置本身所需启用的防火墙规则。
如上图,这是我刚刚在windows server 2008操作系统上安装了AD域控制器角色,再来看我们的WFAS,在入站规则中就会多出关于域控制器的防火墙规则。
完善的操作界面
提到microsoft的产品,就不能不提到操作界面的完善,由于微软产品的不断发展,感觉网络管理人员是不断的在减负。言归正传,在以前的windows 防火墙中,是不法提供完整的功能的,当环境复杂时,防火墙没有那么多的选项供你设置。而在WFAS中已经没有这样的事情了,对WFAS的设置,即可以通过防火墙的控制台来完成,但如果不能满足,也可以通过MMC和netsh指令,组策略进行设置。
(通过MMC控制台管理WFAS)
详细的规则设置
在上一个特性中,我们提到可以更好的适应复杂的环境,在防火墙的规则中也可以体现出来。
WFAS对于防火墙规则做了很大的调整,将规则分为入站规则和出战规则,默认情况下所有的入站规则都回被组织,直到设置之后,而出战规则默认都是开放的。也就是说,本机的程序可以任意对网络进行通信,反过来就不行,除非改变的规则。
上图是WFAS新建规则的选项,不但可以通过端口,更是可以通过程序,预定义,自定义各种方法来进行防火墙规则的设置,这些方法的好处还待我们管理人员进行测试使用之后就会发现其中的奥妙。
IPSec
在文章的开头已经提到,WFAS与IPSec整合在一起,通过这样的做法,就避免了有时候windows防火墙的风暴筛选功能与IPSec冲突,并且使防火墙提供了通信验证及网络通信加密的功能。
可变化大小的圆(覆盖阻止规则)
ps: 画的好难看。 如图,左边的为传统的windows防火墙,而右边的是WFAS。在传统的windows防火墙中,阻止规则的设定决定一个功能是否被实现,但是这个圆只有正反两面,开启和关闭,没有更多的选项,而在WFAS中,在阻止规则的圆中还有一个可变化大小的圆,小到没有,大到与大圆相等。也就是说,通过对小圆的设定,可以在阻止规则上建立允许访问规则,也就是例外。
例如:
我们一般关闭掉远程桌面功能,当管理人员需要练上服务器进行管理的时候,打开远程桌面功能,则网络上的所有人都可以这么做,只要他知道账户和密码。而在WFAS中,可以通过一组规则,一条组织所有,一条允许其一,通过允许覆盖掉阻止中的一小部分,更有效的控制防火墙规则。
NLA
所谓的NLA是指网络位置识别功能,(Network Location Awareness)。在看这个功能为WFAS带来什么新的功能之前,先看下图。
在配置文件中可以找到以下选项,域,专用,公用。
域:当计算机为域成员并且所有网络接口可以跟DC进行身份验证时套用
专用:未套用域配置文件,可以指定为专用,套用专用配置文件。
公用:就是other
在WFAS中加入了NLA功能,通过识别不同的网络位置,套用不同的网络规则。使WFAS的运用更加灵活。
彻底支持IPv6
以上乃是WFAS的一些新增功能,当我们真正使用了WFAS之后,会发现更多关于WFAS的新增功能和强大之处。
本文转自 郑伟 51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/373169
