使用命令行配置Windows2008防火墻

在今天的文章中我們將使用一種完全不同的方式，來實現對新的Windows Server 2008高級防火墻的類似配置，就是使用netsh這個工具以Windows命令行界面(CLI)的方式對防火墻進行配置。選擇這種配置方式的理由有很多，讓我們一起尋找答案吧。
　　了解Netsh advfirewall工具
　　在新的Windows 2008 Server中，你會看到一個更加高級的基于主機的防火墻。在上篇文章中我們已經提到它的一些新功能：
　　·新的圖形化界面—現在通過一個管理控制臺單元來配置這個高級防火墻。
　　·雙向保護—對出站、入站通信進行過濾。
　　·與IPSEC更好的配合—現在防火墻規則和IPSec加密配置被集成到一個界面中。
　　·高級規則配置—你可以針對Windows Server上的各種對象創建防火墻規則，配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。
　　Netsh是可以用于配置網絡組件設置的命令行工具。具有高級安全性的Windows防火墻提供netsh advfirewall工具，可以使用它配置具有高級安全性的Windows防火墻設置。使用netsh advfirewall可以創建腳本，以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows 防火墻設置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態。
為什么要使用命令行界面來配置一個Windows防火墻?
　　俗話說，蘿卜青菜各有所愛。有的人喜歡使用圖形化的管理單元來配置這個新的防火墻，有的人則更愿意通過命令行方式來完成他們的配置工作，理由如下：
　　·配置更快速—一旦你熟練掌握了如何使用netsh advfirewall命令，在配置防火墻的時候要比使用圖形化界面速度快的多。
　　·可以編寫腳本—使用這個工具你可以對一些常用的功能編寫腳本。
　　·在圖形化界面不可用時依然可以配置防火墻—和其他命令行工具一樣，當圖形化界面不可用的時候，例如在Windows Server 2008 Core模式下，你依然能夠使用netsh advfirewall工具來對防火墻進行配置。
有哪些命令可用?
　　Netsh advfirewall的命令非常多，今天我們選擇你必須掌握的幾個最常見的命令介紹給大家。
　　1、help命令(或“?”)
　　雖然簡單，但這卻可能是最有用的命令。任何時候當你鍵入“?”命令的時候，你會看到和上下文相關的所有選項，如圖1。

　　圖1、netsh advfirewall的和help選項
2、consec(連接安全規則)命令
　　這個連接規則可以讓你創建兩個系統之間的IPSEC 。換句話說，consec規則能夠讓你加強通過防火墻的通信的安全性，而不僅僅是限制或過濾它。
　　這個命令會將你帶入到連接安全配置模式，如下所示：
　　Netsh advfirewall>consec
　　Netsh advfirewall consec>
　　現在如果你鍵入“?”命令的話，你將會在netsh advfirewall consec中看到六個不同的命令(見圖2)。
　　從這兒你可以看到你可以通過以下命令來修改安全規則：
　　此上下文中的命令:
　　·add命令可以讓你添加新連接安全規則；
　　·delete命令讓你刪除所有匹配的連接安全規則；
　　·dump命令顯示一個配置腳本；
　　·help可以顯示命令列表。
　　·set命令讓你為現有規則的屬性設置新值。

　　圖2、netsh advfirewall consec命令選項
show命令
　　要想查看防火墻現在的狀況，你將必須使用這個show命令，再其下提供三個不同的命令可用。
　　·Show alias為你列出所有定義的別名;
　　·show helper列出所有頂層幫助者；
　　·Show mode命令可以鋼珠你顯示防火墻是在線還是離線。
　　3、Export命令
　　這個命令可以讓你導出防火墻當前的所有配置到一個文件中。這個命令非常有用，因為你可以備份所有的配置到文件中，如果你對已經作出的配置不滿意的話，可以隨時使用這個文件來恢復到修改前的狀態。
　　以下是一個應用示例：
　　netsh advfirewall export “c:\advfirewall.wfw”
　　4、Firewall命令
　　使用這個命令你可以增加新的入站和出站規則到你的防火墻中。它還可以讓你修改防火墻中的規則。

　　圖3、netsh advfirewall firewall
在firewall上下文命令中，你會看到四個重要的命令，分別是：
　　·Add命令讓你增加入站和出站規則；
　　·Delete命令讓你刪除一條規則；
　　·Set命令為現有規則的屬性設置新值；
　　·Show命令將顯示一個指定的防火墻規則。
　　以下是增加和刪除一個防火墻規則的示例：
　　增加一個針對messenger.exe的入站規則
　　netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow
　　刪除針對本地21端口的所有入站規則：
　　netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
　5、Import命令
　　Import命令讓你可以從一個文件中導入防火墻的配置。這個命令可以讓你把之前你使用export命令導出的防火墻配置再恢復回去。示例如下：
　　Netsh advfirewall import “c:\advfirewall.wfw”
　　6、Reset
　　這個命令讓你重新設置防火墻策略到默認策略狀態。使用這個命令的時候務必謹慎，因為一旦你鍵入這個命令并按下回車后，它將不再讓你確認是否真要重設，直接恢復防火墻的策略。
　　示例命令如下：
　　Netsh advfirewall reset
　　7、Set命令
　　set命令將允許你修改防火墻的不同設置狀態。相關的上下文命令有六個。

　　圖4、netsh advfirewall set
·set allprofiles讓你修改所有配置文件中的屬性。
　　·set currentprofile 讓你只修改活動配置文件中的屬性。
　　·set domainprofile讓你修改域配置文件中的屬性。
　　·set global讓你修改防火墻的全局屬性。
　　·set privateprofile讓你修改專用配置文件中的屬性。
　　·set publicprofile讓你修改公用配置文件中的屬性。
　　·set store讓你為當前交互式會話設置策略存儲。
　　以下是使用set命令的一些例子：
　　·讓防火墻關閉所有配置文件：
　　netsh advfirewall set allprofiles state off
　　·在所有配置文件中設置默認阻擋入站并允許出站通信：
　　netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
　　·在所有配置文件中打開遠程管理：
　　netsh advfirewall set allprofiles settings remotemanagement enable
　　·在所有配置文件中記錄被斷開的連接：
　　netsh advfirewall set allprofiles logging droppedconnections enable
　　8、Show命令
　　這個show命令將讓你可以查看所有不同的配置文件中的設置和全局屬性。
總結
　　在這篇文章中，我們了解了如何使用netsh advfirewall命令配置Windows 2008防火墻的一些基本命令。你可以自己來選擇是使用圖形界面還是使用命令行方式來配置你的防火墻。如果你掌握了命令行方式下的這些命令，命令行界面是一種快速的配置Windows 2008防火墻的方式