Как настроить новый расширенный брандмаузер (Advanced Firewall) Windows Server 2008 через командную строку интерфейса (CLI), используя служебную программу NETSH.

Published on Февраль 20, 2009 by   ·   Комментариев нет

В предыдущей статье мы разбиралисьКак настроить новые дополнительные возможности ММС для брандмауэра в Windows Server 2008. В этой же статье мы вам покажем, как выполнять основные настройки нового брандмауэра (Advanced Firewall) Windows 2008 Server, но только через командную строку интерфейса (CLI) Windows, используя служебную программу netsh . Существует множество причин, по которым вы захотите это сделать, давайте рассмотрим их подробнее…

Что из себя представляет служебная программа расширенного брандмаузера?

В новом Windows 2008 Server вы найдете больше централизованных расширенных брандмауэров. Ниже представлены некоторые из новых устройств, предназначенных для выравнивания нового имени, которое берется из нашей статьи о том, как настраивать расширенный брандмауэр с помощью ММС:

  • Новый графический интерфейс GUI – дополнение к ММС, которое теперь можно использовать для настройки брандмауэра.
  • Двунаправленность – фильтрует как водящий, так и выходящий трафик.
  • Улучшена работа с IPSEC – теперь правила брандмауэра и настройки шифрования IPSec интегрированы в одном интерфейсе.
  • Настройка дополнительных правил – вы можете создавать правила для брандмауэра (исключения) для службы учетных записей Windows Active Directory (AD), групп, IP адресов, номеров протоколов, портов TCP/UDP, трафика ICMP, IPv6 и интерфейсов на сервере Windows Server.

Netsh advfirewall — это командная строка, используемая для настройки нового брандмауэра Windows 2008 Server.

Зачем использовать интерфейс CLI для настройки брандмауэра Windows?

В то время, пока некоторые предпочитают использовать возможности графического ММС для настройки нового брандмауэра, другие по нижеприведенным причинам предпочитают производить настройки через CLI:

  • Это быстрее – однажды ознакомившись с использованием команд netsh advfirewall, вы поймете, что это быстрее, чем работа с графическим интерфейсом GUI.
  • Можно записать сценарий – вы можете написать сценарий основных функций, которые вы выполняете с помощью этого устройства.
  • Работает, когда отключен GUI – как и все остальные устройства GUI, вы можете использовать netsh advfirewall, когда отключен GUI, также как и в Window Server 2008 Core.

Какими командами я пользуюсь при работе с netsh advfirewall?

Вот 9 наиболее важных команд, которые вам могут понадобиться при работе со служебной программой netsh advfirewall:

Команда помощи (?)

На самом деле это самая полезная команда. Всякий раз, когда вы вводите команду ? вы сможете увидеть все опции, которые доступны из этого меню (см. Рисунок 1).

Настроить брандмауэр через командную строку

Рисунок 1: netsh advfirewall опции команды помощи

Команда consec(профильный файл безопасного соединения)

Профильные файлы соединения позволяют вам создавать IPSEC VPN между двумя системами. Другими словами, правила consec позволяют вам не только фильтровать или ограничивать, но еще и обезопасить трафик, который проходит через брандмауэр.

Эта команда запускает вас в режим настроек безопасного соединения, как это:


netsh advfirewall> consec
netsh advfirewall consec>

Поэтому, если вы напечатаете команду ? то вы увидите, что существует шесть различных контекстов в команде netsh advfirewall consec (Рисунок 2).

Если вы там напечатаете ?, то вы поймете, как можно настроить параметры безопасности, используя следующие команды:

  • Add позволяет добавить новое правило безопасности соединения.
  • Delete позволяет удалить правило безопасности соединения.
  • Dump не работает в данном контексте.
  • Help показывает все доступные команды.
  • Set позволяет задать новые значения уже существующим правилам.

    Настроить брандмауэр через командную строку

    Рисунок 2: netsh advfirewall опции consec

Команда Show

Для того чтобы увидеть, что происходит с брандмауэром, вам нужно использовать команду show . Она открывает вам еще 3 опции.

  • Show alias покажет вам все помехи.
  • Команда show helper покажет вам все высокоуровневые вспомогательные программы.
  • Show mode покажет вам включен или выключен брандмауэр.

Команда Export

Позволяет вам переносить в файл действующие настройки вашего брандмауэра. Эта команда является очень полезной для создания резервных копий всех ваших настроек в файл и восстанавливать их, если вас не устраивают сделанные вами настройки.

Например:


netsh advfirewall export “c:\advfirewall.wfw”

Команда брандмауэра

Эта команда используется всегда, когда добавляете новые правила входящего или исходящего трафика в ваш брандмауэр. Также вы можете изменять свои правила в брандмауэре.

Настройки брандмауэра в командной строке

Рисунок 3: netsh advfirewall брандмауэр

В контексте брандмауэра вы можете увидеть 4 важных команды. Вот они:

  • Add позволяет вам добавлять правила для входящих и исходящих брандмауэров.
  • Delete позволяет вам удалять правило.
  • Set позволяет вам задавать новые значения для правил, которые вы уже создали.
  • Show запустит конкретное правило брандмауэра.

Ниже приведен пример того, как добавить и как удалить правило брандмауэра:

Добавляем входное правило messenger.exe


netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe”  action=allow

Удалить все входящие правила для локального порта 21


netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21

Программа Import

Эта программа позволяет вам импортировать из файла настройки для вашего брандмауэра. Эта команда позволит вам импортировать файл, который вы ранее экспортировали. Например:


netsh advfirewall import “c:\advfirewall.wfw”

Команда Reset

Эта команда позволяет вам вернуть брандмауэр к курсу действий, установленному по умолчанию. Будьте внимательны при использовании этой команды, потому что как только вы введете команду, без вашего согласия будет произведена перезагрузка курса действий. Например:


netsh advfirewall reset

Команда Set

Команда Set позволит вам по различным параметрам изменять состояние брандмауэра. Для команды Set существует 6 различных контекстов.

Отключение firewall server 2008

Рисунок 4: Установка netsh advfirewall

  • Set allprofiles позволит вам переустановить все параметры.
  • Set currentprofile позволит изменить установки только действующих параметров.
  • Set domainprofile позволит изменить установки для параметров домена.
  • Set global позволит изменить глобальные установки брандмауэра.
  • Set privateprofile позволит изменить установки личных параметров.
  • Set publicprofile позволит изменить установки публичных параметров.

Примеры использования команды set:

  • Отключение брандмауэра по всем командным файлам:
    
    
    netsh advfirewall set allprofiles state off
  • Установка по умолчанию блокировки входящих и разрешение исходящих соединений для всех командных файлов:
    
    
    netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
  • Включение удаленного управления всеми командными файлами:
    
    
    netsh advfirewall set allprofiles settings remotemanagement enable
  • Соединения с «опущенной» регистрацией для всех командных файлов:
    
    
    netsh advfirewall set allprofiles logging droppedconnections enable

Команда Show

Команда show покажет вам все установки, которые вы присвоили различным параметрам.

Заключение

В этой статье мы ознакомились с самыми простыми командами, которые вам понадобятся при настройке брандмауэра Windows 2008 с командой netsh advfirewall. Теперь вам сами нужно просто решить будете ли вы использовать графический интерфейс GUI или командную строку, чтобы настроить свой брандмауэр. Оба метода обладают похожими опциями. Интерфейс командной строки является более быстрым способом настройки брандмауэра Windows 2008, когда вы знаете команды.

И помните, что если вы захотите изучить, как работает брандмауэр безопасности Windows Server 2008, то, пожалуйста, прочитайте нашу предыдущую статью на тему: Как настроить новые дополнительные возможности ММС для брандмауэра в Windows Server 2008 .

www.windowsnetworking.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]