通過Netsh命令快速解決Windows系統(tǒng)防火墻配置問題
防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成,防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。啟用防火而增強(qiáng)的安全性與維持系統(tǒng)的效率之間謀求一個平衡點,Netsh或許可以幫助到你,Netsh是一個命令行腳本實用程序,可讓用戶從本地或遠(yuǎn)程顯示或修改當(dāng)前運(yùn)行的計算機(jī)的網(wǎng)絡(luò)配置,下面一起看看設(shè)置方法!
方法步驟
如果您苦于在由于啟用防火而增強(qiáng)的安全性與維持系統(tǒng)的效率之間謀求一個平衡點,那么筆者推薦您讀一下大師Michael Howard先生的一篇文章來了解一些具體細(xì)節(jié)信息。Michael向我們展示了您的本地配置和設(shè)置的任何組策略是如何影響防火墻,“netsh”命令是怎樣用于精確揭示防火墻的內(nèi)部機(jī)理。
Netsh 是一個命令行腳本實用程序,可讓用戶從本地或遠(yuǎn)程顯示或修改當(dāng)前運(yùn)行的計算機(jī)的網(wǎng)絡(luò)配置。Netsh 還提供了允許用戶使用批處理模式對指定的計算機(jī)運(yùn)行一組命令的腳本功能。Netsh 實用程序也可以將配置腳本以文本文件保存,以便存檔或幫助配置其他服務(wù)器。
Netsh實用程序在Windows XP Service Pack 2中得到了極大的增強(qiáng),包含了新選項的所有運(yùn)行方式。通過在筆者計算機(jī)上的命令運(yùn)行結(jié)果可以看出,Netsh命令相當(dāng)友好。
如何啟動這個命令就不用說了吧。
下面的命令您是可以用于查看防火墻的的配置情況:
show allowedprogram –顯示被允許的程序配置
show config - 顯示防火墻的配置
show currentprofile -顯示 Windows 防火墻的當(dāng)前配置文件.
show icmpsetting -顯示 Windows 防火墻中的 ICMP 配置
show logging -顯示 Windows 防火墻中的日志記錄配置
show multicastbroadcastresponse –顯示防火墻的組播/廣播響應(yīng)配置
show notifications -顯示 Windows 防火墻中的通知配置
show opmode -顯示 Windows 防火墻中的操作配置
show portopening -顯示 Windows 防火墻中的端口配置
show service -顯示 Windows 防火墻中的服務(wù)配置
show state -顯示 Windows 防火墻的當(dāng)前狀態(tài)
當(dāng)然,如果想精確配置防火墻,請使用如下的命令:
netsh firewall set allowedprogram 編輯 Windows 防火墻中的允許程序配置
netsh firewall set icmpsettings 編輯 Windows 防火墻中的 ICMP 配置
netsh firewall set logging 編輯 Windows 防火墻中的日志記錄配置
netsh firewall set notifications 編輯 Windows 防火墻中的通知配置
netsh firewall set opmode 編輯 Windows 防火墻中的操作配置
netsh firewall set portopening 編輯 Windows 防火墻中的端口配置
netsh firewall set service 編輯 Windows 防火墻中的服務(wù)配置
掌握了這些強(qiáng)大的工具,我們再配置起防火墻來就輕松多了。
補(bǔ)充閱讀:防火墻主要使用技巧
一、所有的防火墻文件規(guī)則必須更改。
盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導(dǎo)致宕機(jī)嗎?這是一個相當(dāng)高發(fā)的狀況。
防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊的所有成員都必須達(dá)成共識,觀察誰進(jìn)行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。
二、以最小的權(quán)限安裝所有的訪問規(guī)則。
另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標(biāo)對象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會變得權(quán)限過度釋放,因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?
三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。
四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。
規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因為多數(shù)運(yùn)作團(tuán)隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團(tuán)隊知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達(dá)成規(guī)則共識是個好的開始。運(yùn)行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團(tuán)隊。
通過Netsh命令快速解決Windows系統(tǒng)防火墻配置問題相關(guān)文章: