Как настроить новый расширенный брандмаузер (Advanced Firewall) Windows Server 2008 через командную строку интерфейса (CLI), используя служебную программу NETSH.

В предыдущей статье мы разбиралисьКак настроить новые дополнительные возможности ММС для брандмауэра в Windows Server 2008. В этой же статье мы вам покажем, как выполнять основные настройки нового брандмауэра (Advanced Firewall) Windows 2008 Server, но только через командную строку интерфейса (CLI) Windows, используя служебную программу netsh . Существует множество причин, по которым вы захотите это сделать, давайте рассмотрим их подробнее…

Что из себя представляет служебная программа расширенного брандмаузера?

В новом Windows 2008 Server вы найдете больше централизованных расширенных брандмауэров. Ниже представлены некоторые из новых устройств, предназначенных для выравнивания нового имени, которое берется из нашей статьи о том, как настраивать расширенный брандмауэр с помощью ММС:

• Новый графический интерфейс GUI – дополнение к ММС, которое теперь можно использовать для настройки брандмауэра.
• Двунаправленность – фильтрует как водящий, так и выходящий трафик.
• Улучшена работа с IPSEC – теперь правила брандмауэра и настройки шифрования IPSec интегрированы в одном интерфейсе.
• Настройка дополнительных правил – вы можете создавать правила для брандмауэра (исключения) для службы учетных записей Windows Active Directory (AD), групп, IP адресов, номеров протоколов, портов TCP/UDP, трафика ICMP, IPv6 и интерфейсов на сервере Windows Server.

Netsh advfirewall — это командная строка, используемая для настройки нового брандмауэра Windows 2008 Server.

Зачем использовать интерфейс CLI для настройки брандмауэра Windows?

В то время, пока некоторые предпочитают использовать возможности графического ММС для настройки нового брандмауэра, другие по нижеприведенным причинам предпочитают производить настройки через CLI:

• Это быстрее – однажды ознакомившись с использованием команд netsh advfirewall, вы поймете, что это быстрее, чем работа с графическим интерфейсом GUI.
• Можно записать сценарий – вы можете написать сценарий основных функций, которые вы выполняете с помощью этого устройства.
• Работает, когда отключен GUI – как и все остальные устройства GUI, вы можете использовать netsh advfirewall, когда отключен GUI, также как и в Window Server 2008 Core.

Какими командами я пользуюсь при работе с netsh advfirewall?

Вот 9 наиболее важных команд, которые вам могут понадобиться при работе со служебной программой netsh advfirewall:

Команда помощи (?)

На самом деле это самая полезная команда. Всякий раз, когда вы вводите команду ? вы сможете увидеть все опции, которые доступны из этого меню (см. Рисунок 1).

Рисунок 1: netsh advfirewall опции команды помощи

Команда consec(профильный файл безопасного соединения)

Профильные файлы соединения позволяют вам создавать IPSEC VPN между двумя системами. Другими словами, правила consec позволяют вам не только фильтровать или ограничивать, но еще и обезопасить трафик, который проходит через брандмауэр.

Эта команда запускает вас в режим настроек безопасного соединения, как это:

netsh advfirewall> consec

netsh advfirewall consec>

Поэтому, если вы напечатаете команду ? то вы увидите, что существует шесть различных контекстов в команде netsh advfirewall consec (Рисунок 2).

Если вы там напечатаете ?, то вы поймете, как можно настроить параметры безопасности, используя следующие команды:

• Add позволяет добавить новое правило безопасности соединения.
• Delete позволяет удалить правило безопасности соединения.
• Dump не работает в данном контексте.
• Help показывает все доступные команды.
• Set позволяет задать новые значения уже существующим правилам.

  

  Рисунок 2: netsh advfirewall опции consec

Команда Show

Для того чтобы увидеть, что происходит с брандмауэром, вам нужно использовать команду show . Она открывает вам еще 3 опции.

• Show alias покажет вам все помехи.
• Команда show helper покажет вам все высокоуровневые вспомогательные программы.
• Show mode покажет вам включен или выключен брандмауэр.

Команда Export

Позволяет вам переносить в файл действующие настройки вашего брандмауэра. Эта команда является очень полезной для создания резервных копий всех ваших настроек в файл и восстанавливать их, если вас не устраивают сделанные вами настройки.

Например:

netsh advfirewall export “c:\advfirewall.wfw”

Команда брандмауэра

Эта команда используется всегда, когда добавляете новые правила входящего или исходящего трафика в ваш брандмауэр. Также вы можете изменять свои правила в брандмауэре.

Рисунок 3: netsh advfirewall брандмауэр

В контексте брандмауэра вы можете увидеть 4 важных команды. Вот они:

• Add позволяет вам добавлять правила для входящих и исходящих брандмауэров.
• Delete позволяет вам удалять правило.
• Set позволяет вам задавать новые значения для правил, которые вы уже создали.
• Show запустит конкретное правило брандмауэра.

Ниже приведен пример того, как добавить и как удалить правило брандмауэра:

Добавляем входное правило messenger.exe

netsh advfirewall firewall add rule name="allow messenger" 

dir=in program="c:\programfiles\messenger\msmsgs.exe”  action=allow

Удалить все входящие правила для локального порта 21

netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21

Программа Import

Эта программа позволяет вам импортировать из файла настройки для вашего брандмауэра. Эта команда позволит вам импортировать файл, который вы ранее экспортировали. Например:

netsh advfirewall import “c:\advfirewall.wfw”

Команда Reset

Эта команда позволяет вам вернуть брандмауэр к курсу действий, установленному по умолчанию. Будьте внимательны при использовании этой команды, потому что как только вы введете команду, без вашего согласия будет произведена перезагрузка курса действий. Например:

netsh advfirewall reset

Команда Set

Команда Set позволит вам по различным параметрам изменять состояние брандмауэра. Для команды Set существует 6 различных контекстов.

Рисунок 4: Установка netsh advfirewall

• Set allprofiles позволит вам переустановить все параметры.
• Set currentprofile позволит изменить установки только действующих параметров.
• Set domainprofile позволит изменить установки для параметров домена.
• Set global позволит изменить глобальные установки брандмауэра.
• Set privateprofile позволит изменить установки личных параметров.
• Set publicprofile позволит изменить установки публичных параметров.

Примеры использования команды set:

• Отключение брандмауэра по всем командным файлам:

  
  netsh advfirewall set allprofiles state off
  
  

• Установка по умолчанию блокировки входящих и разрешение исходящих соединений для всех командных файлов:

  
  netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
  
  

• Включение удаленного управления всеми командными файлами:

  
  netsh advfirewall set allprofiles settings remotemanagement enable
  
  

• Соединения с «опущенной» регистрацией для всех командных файлов:

  
  netsh advfirewall set allprofiles logging droppedconnections enable
  
  

Команда Show

Команда show покажет вам все установки, которые вы присвоили различным параметрам.

Заключение

В этой статье мы ознакомились с самыми простыми командами, которые вам понадобятся при настройке брандмауэра Windows 2008 с командой netsh advfirewall. Теперь вам сами нужно просто решить будете ли вы использовать графический интерфейс GUI или командную строку, чтобы настроить свой брандмауэр. Оба метода обладают похожими опциями. Интерфейс командной строки является более быстрым способом настройки брандмауэра Windows 2008, когда вы знаете команды.

И помните, что если вы захотите изучить, как работает брандмауэр безопасности Windows Server 2008, то, пожалуйста, прочитайте нашу предыдущую статью на тему: Как настроить новые дополнительные возможности ММС для брандмауэра в Windows Server 2008 .

www.windowsnetworking.com

• Vpn сервер Windows 2008
• Развертывание vpn без домена
• Посмотреть фрагментацию таблиц ms sql
• Установить сертификат на компьютер
• Локальная группа размеры

Tags: domain, vpn, Windows 2008