使用命令行配置Windows2008防火墻
在今天的文章中我們將使用一種完全不同的方式,來實(shí)現(xiàn)對(duì)新的Windows Server 2008高級(jí)防火墻的類似配置,就是使用netsh這個(gè)工具以Windows命令行界面(CLI)的方式對(duì)防火墻進(jìn)行配置。選擇這種配置方式的理由有很多,讓我們一起尋找答案吧。
了解Netsh advfirewall工具
在新的Windows 2008 Server中,你會(huì)看到一個(gè)更加高級(jí)的基于主機(jī)的防火墻。在上篇文章中我們已經(jīng)提到它的一些新功能:
·新的圖形化界面—現(xiàn)在通過一個(gè)管理控制臺(tái)單元來配置這個(gè)高級(jí)防火墻。
·雙向保護(hù)—對(duì)出站、入站通信進(jìn)行過濾。
·與IPSEC更好的配合—現(xiàn)在防火墻規(guī)則和IPSec加密配置被集成到一個(gè)界面中。
·高級(jí)規(guī)則配置—你可以針對(duì)Windows Server上的各種對(duì)象創(chuàng)建防火墻規(guī)則,配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級(jí)安全性的Windows防火墻。
Netsh是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。具有高級(jí)安全性的Windows防火墻提供netsh advfirewall工具,可以使用它配置具有高級(jí)安全性的Windows防火墻設(shè)置。使用netsh advfirewall可以創(chuàng)建腳本,以便自動(dòng)同時(shí)為IPv4和IPv6流量配置一組具有高級(jí)安全性的Windows 防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級(jí)安全性的Windows防火墻的配置和狀態(tài)。
為什么要使用命令行界面來配置一個(gè)Windows防火墻?
俗話說,蘿卜青菜各有所愛。有的人喜歡使用圖形化的管理單元來配置這個(gè)新的防火墻,有的人則更愿意通過命令行方式來完成他們的配置工作,理由如下:
·配置更快速—一旦你熟練掌握了如何使用netsh advfirewall命令,在配置防火墻的時(shí)候要比使用圖形化界面速度快的多。
·可以編寫腳本—使用這個(gè)工具你可以對(duì)一些常用的功能編寫腳本。
·在圖形化界面不可用時(shí)依然可以配置防火墻—和其他命令行工具一樣,當(dāng)圖形化界面不可用的時(shí)候,例如在Windows Server 2008 Core模式下,你依然能夠使用netsh advfirewall工具來對(duì)防火墻進(jìn)行配置。
有哪些命令可用?
Netsh advfirewall的命令非常多,今天我們選擇你必須掌握的幾個(gè)最常見的命令介紹給大家。
1、help命令(或“?”)
雖然簡單,但這卻可能是最有用的命令。任何時(shí)候當(dāng)你鍵入“?”命令的時(shí)候,你會(huì)看到和上下文相關(guān)的所有選項(xiàng),如圖1。
圖1、netsh advfirewall的和help選項(xiàng)
2、consec(連接安全規(guī)則)命令
這個(gè)連接規(guī)則可以讓你創(chuàng)建兩個(gè)系統(tǒng)之間的IPSEC 。換句話說,consec規(guī)則能夠讓你加強(qiáng)通過防火墻的通信的安全性,而不僅僅是限制或過濾它。
這個(gè)命令會(huì)將你帶入到連接安全配置模式,如下所示:
Netsh advfirewall>consec
Netsh advfirewall consec>
現(xiàn)在如果你鍵入“?”命令的話,你將會(huì)在netsh advfirewall consec中看到六個(gè)不同的命令(見圖2)。
從這兒你可以看到你可以通過以下命令來修改安全規(guī)則:
此上下文中的命令:
·add命令可以讓你添加新連接安全規(guī)則;
·delete命令讓你刪除所有匹配的連接安全規(guī)則;
·dump命令顯示一個(gè)配置腳本;
·help可以顯示命令列表。
·set命令讓你為現(xiàn)有規(guī)則的屬性設(shè)置新值。
圖2、netsh advfirewall consec命令選項(xiàng)
show命令
要想查看防火墻現(xiàn)在的狀況,你將必須使用這個(gè)show命令,再其下提供三個(gè)不同的命令可用。
·Show alias為你列出所有定義的別名;
·show helper列出所有頂層幫助者;
·Show mode命令可以鋼珠你顯示防火墻是在線還是離線。
3、Export命令
這個(gè)命令可以讓你導(dǎo)出防火墻當(dāng)前的所有配置到一個(gè)文件中。這個(gè)命令非常有用,因?yàn)槟憧梢詡浞菟械呐渲玫轿募校绻銓?duì)已經(jīng)作出的配置不滿意的話,可以隨時(shí)使用這個(gè)文件來恢復(fù)到修改前的狀態(tài)。
以下是一個(gè)應(yīng)用示例:
netsh advfirewall export “c:\advfirewall.wfw”
4、Firewall命令
使用這個(gè)命令你可以增加新的入站和出站規(guī)則到你的防火墻中。它還可以讓你修改防火墻中的規(guī)則。
圖3、netsh advfirewall firewall
在firewall上下文命令中,你會(huì)看到四個(gè)重要的命令,分別是:
·Add命令讓你增加入站和出站規(guī)則;
·Delete命令讓你刪除一條規(guī)則;
·Set命令為現(xiàn)有規(guī)則的屬性設(shè)置新值;
·Show命令將顯示一個(gè)指定的防火墻規(guī)則。
以下是增加和刪除一個(gè)防火墻規(guī)則的示例:
增加一個(gè)針對(duì)messenger.exe的入站規(guī)則
netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow
刪除針對(duì)本地21端口的所有入站規(guī)則:
netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
5、Import命令
Import命令讓你可以從一個(gè)文件中導(dǎo)入防火墻的配置。這個(gè)命令可以讓你把之前你使用export命令導(dǎo)出的防火墻配置再恢復(fù)回去。示例如下:
Netsh advfirewall import “c:\advfirewall.wfw”
6、Reset
這個(gè)命令讓你重新設(shè)置防火墻策略到默認(rèn)策略狀態(tài)。使用這個(gè)命令的時(shí)候務(wù)必謹(jǐn)慎,因?yàn)橐坏┠沔I入這個(gè)命令并按下回車后,它將不再讓你確認(rèn)是否真要重設(shè),直接恢復(fù)防火墻的策略。
示例命令如下:
Netsh advfirewall reset
7、Set命令
set命令將允許你修改防火墻的不同設(shè)置狀態(tài)。相關(guān)的上下文命令有六個(gè)。
圖4、netsh advfirewall set
·set allprofiles讓你修改所有配置文件中的屬性。
·set currentprofile 讓你只修改活動(dòng)配置文件中的屬性。
·set domainprofile讓你修改域配置文件中的屬性。
·set global讓你修改防火墻的全局屬性。
·set privateprofile讓你修改專用配置文件中的屬性。
·set publicprofile讓你修改公用配置文件中的屬性。
·set store讓你為當(dāng)前交互式會(huì)話設(shè)置策略存儲(chǔ)。
以下是使用set命令的一些例子:
·讓防火墻關(guān)閉所有配置文件:
netsh advfirewall set allprofiles state off
·在所有配置文件中設(shè)置默認(rèn)阻擋入站并允許出站通信:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
·在所有配置文件中打開遠(yuǎn)程管理:
netsh advfirewall set allprofiles settings remotemanagement enable
·在所有配置文件中記錄被斷開的連接:
netsh advfirewall set allprofiles logging droppedconnections enable
8、Show命令
這個(gè)show命令將讓你可以查看所有不同的配置文件中的設(shè)置和全局屬性。
總結(jié)
在這篇文章中,我們了解了如何使用netsh advfirewall命令配置Windows 2008防火墻的一些基本命令。你可以自己來選擇是使用圖形界面還是使用命令行方式來配置你的防火墻。如果你掌握了命令行方式下的這些命令,命令行界面是一種快速的配置Windows 2008防火墻的方式