通过防火墙管理第三方应用程序安全

转自：http://technet.microsoft.com/zh-cn/library/ff629023.aspx<br>台州肃洋五金机电有限公司为了满足日常办公的需要，在企业内部部署了一台服务器。其采用的操作系统是Windows 2008 R2。为了提高这台服务器的安全性，系统管理员决定对这台服务器的外网访问进行一定的限制。如只允许指定的应用程序通过指定的端口访问互联网。未经过审批的应用程序一律不得访问外网。要实现这个安全措施的话，在以前版本的服务器中可能有一定的困难。或者说需要借助第三方的工具才能够完成。不过在Windows2008操作系统中，则只需要借助其自身的Windows高级防火墙功能就可以完成。笔者抛砖引玉，对这方面的配置做一个详细的说明，以供大家参考。

　　一、为程序定义一个出站规则

　　如果系统管理员要限制的是微软自带的服务，如FTP服务，则可以直接通过Server Manager使用程序与防火墙集成在一起来实现。但是如果要管理的是第三方应用程序，如迅雷等下载工具，则就需要使用Windows高级防火墙的出入站规则来完成。通过规则，可以建立控制业务量流向服务器的入站规则和控制服务器向外通信的出站规则。如下图所示，通过开始菜单、所有程序、管理工具、高级安全Windows防火墙，就可以打开防火墙配置界面。然后单击出站规则，会打开具体的配置窗口。


　　

　　在这个配置窗口中，会有程序、端口、预订译、自定义等多个选项。顾名思义，不同的选择用来对应不同的内容。笔者这里假设现在有一个应用程序，如迅雷，其可以访问外网。为此在这里就可以选择“程序”选项。

　　特别提醒：

　　高级安全Windows防火墙可以创建一个规则，允许某些特定的第三方程序在执行时可以访问外网。在实际工作中，这个特性在特定的应用程序服务器使用多个不同的端口的情况下会特别有用。

　　二、为连接指定安全选项

　　如果允许某个应用程序访问外网，为了安全考虑，仍然为这个连接采取一些必要的安全措施。在“操作”窗口，就是用来定义具有高级安全性的Windows防火墙对匹配防火墙规则标准的传入与传输数据包设置需要采取的操作。在这个步骤中，主要有三个选项供管理员选择，分别为“允许连接”、“只允许安全连接”以及“要求加密连接”。

　　允许连接是一种“加密可有可无”的连接。如当需要访问的服务器如果有SSL加密要求的话，则这台主机也会采用IPSec机制来加密传输的数据。但是，如果对方禁用了IPSec加密，则这台主机仍然允许建立连接、传输数据。但是此时由于传输的数据没有进行加密，为此信息在传输过程中很容易被人窃取。

　　只允许安全连接选项则只允许使用IPSec进行身份验证以及数据的完整性保护。当选择这个选项时，系统会将“用户和计算机”页面自动添加到配置向导中。管理员就可以使用这个页面制定要授权访问的用户或者计算机。如果这个页面中没有进行配置的话，那么就允许应用程序访问所有的用户和计算机。如果指定了允许访问的计算机的话，那么必须使用包含相应计算机信息的身份验证方法。

　　要求加密连接选项对于连接的要求更加严格。使用这个选项的话系统会要求所有能够进出站的通信都需要使用加密。如果对方计算机不支持数据加密的话，则会阻止连接。

　　

　　可见三个选项其安全级别是不同的。在实际工作中，需要系统管理员根据企业用户的安全需求来选择。笔者认为，在大部分情况下，选择“只允许安全连接选”即可。

　　特别提醒：

　　如果选择“要求加密连接”选项的话，则必须要求对方的计算机也启用了IPSec机制。否则的话，即使允许应用程序访问外网的计算机，但是也会因为无法建立安全连接而拒绝访问。故采用这个选项的时候要特别谨慎。

　　三、指定允许访问的计算机资源

　　经过以上的配置，允许某个应用程序以安全连接或者非安全连接访问外网资源。不过有时候系统管理员会对这个连接进行进一步的限制，如只允许某个特定的主机。如在总分公司的环境中，这个功能就比较有用。当分公司的主机需要每隔一段时间通过第三方应用程序从总公司的服务器中下载相关的数据，此时就可以利用这个“仅允许到这些计算机的连接”来限制外网访问的资源。

　　

　　特别提醒：

　　如果要使用这个选项的话，则在上一步配置中必须选择“只允许安全连接”选项，并且对由这个防火墙规则指定的计算机也必须具有相应的连接安全规则。

　　四、指定防火墙出站规则生效的时机

　　
　　经过以上几个步骤，已经成功定义了一个出站或者入站规则。接下去需要设置的是在什么情况下让这个规则生效。从上图中可以看出，这个步骤中主要有域、专用、公用等几个选项。其中域选项代表这个规则只适用于域配置文件，即当这台主机连接到其域帐户所在的网络时，就应用域配置文件。专用选项则代表刚才定义的防火墙规则只应用于专用配置文件。如当用户连接到互联网时，就需要使用这个“专用”选项。通常情况下专用配置文件的设置比域配置文件更为严格。“公用”选项表示防火墙规则只应用于公用配置文件。即当计算机通过公用网络连接到域时就采用公用配置文件。由于公用网络存在着比较大的安全隐患，为此公用配置文件的设置应该比上面两个更加严格、周密。

　　特别提醒：

　　以上三个选项通常情况下分别对应于不同的场合。域选项通常用的比较少，其需要有域帐户才可以。而“专用”选项则比较适合企业内部主机连接外网时使用。“公用”选项则一般应用在飞机场、咖啡厅、网吧等公共场所。

　　最后为防火墙规则取一个有内涵的名字即可。取名虽然只是一个符号，不会影响到规则的生效。但是当防火墙规则多了，取一个一目了然的名字，还是有利于后续的维护。