|
Jak skonfigurować nową zaporę Windows 2008 Advanced Firewall z interfejsu wiersza poleceń (CLI) przy użyciu narzędzia netsh.
Źródło: www.windowsnetworking.com
Tłumaczenie: Monika Palonek, Bielsko-Biała
W poprzednim artykule omówiliśmy temat Jak skonfigurować rozszerzoną wtyczkę zapory sieciowej MMC w nowym systemie Windows Server 2008. W tym artykule pokażemy Wam jak przeprowadzić podobną konfigurację nowej zapory Windows 2008 Advanced Firewall, lecz całkowicie z interfejsu wiersza poleceń (CLI) przy użyciu narzędzia netsh. Istnieje wiele powodów, dla których mógłbyś zechcieć to zrobić. Dowiedz się więcej…
Czym jest narzędzie netsh advfirewall?
W nowym Windows 2008 Server znajdziesz bardziej zaawansowaną zaporę sieciową umiejscowioną na serwerze. Oto niektóre z jej funkcji, które uzasadniają nową nazwę (zaczerpnięte z artykułu o tym jak skonfigurować zaawansowaną zaporę sieciowej przy użyciu MMC):
- Nowy interfejs GUI – wtyczka MMC jest teraz dostępna do skonfigurowania zaawansowanej zapory sieciowej.
- Dwukierunkowa – filtruje zarówno przesył wychodzący jak i przychodzący.
- Lepiej działa z IPSEC – teraz reguły zapory sieciowej oraz konfiguracje szyfrowania IPSec zostały zintegrowane do jednego interfejsu.
- Konfiguracja Zaawansowanych Reguł – możesz tworzyć reguły zapory sieciowej (wyjątki) dla Windows Active Directory (AD): usługi konta i grupy, źródło/przeznaczenie adresów IP, numery protokołów, porty przeznaczenia TCP/UDP, ICMP, przesył IPv6 oraz interfejsy na Windows Server.
Netsh advfirewall jest narzędziem wiersza poleceń używanym do konfiguracji nowej zapory Windows 2008 Advanced Firewall.
Dlaczego należy użyć interfejsu CLI do konfiguracji zapory sieciowej Windows?
Podczas, gdy wiele osób woli używać graficznej wtyczki MMC do skonfigurowania nowej, zaawansowanej zapory sieciowej, inni wolą zrobić to poprzez CLI z następujących powodów:
- Jest to szybsze – gdy nauczysz się jak używać poleceń netsh advfirewall, będzie to szybsze niż klikanie na GUI.
- Może być zapisane za pomocą skryptu – możesz użyć skryptu dla zapisania powszechnych funkcji, które wykonujesz tym narzędziem.
- Działa, gdy GUI jest niedostępny – podobnie jak inne narzędzia CLI, możesz użyć netsh advfirewall, gdy GUI jest niedostępny, tak jak w Window Server 2008 Core.
Jakich poleceń należy użyć dla netsh advfirewall?
Oto 9 najważniejszych poleceń, które powinieneś znać, gdy używasz narzędzia poleceń netsh advfirewall:
Polecenie help (?)
Jest to prawdopodobnie najbardziej użyteczne polecenie. Kiedy tylko wpiszesz polecenie ?, zobaczysz wszystkie opcje, jakie są dostępne dla tego kontekstu (rys. 1).
.jpg)
Rys. 1: opcje pomocy netsh advfirewall
Polecenie consec (connection security profile)
Profile połączenia pozwalają na stworzenie IPSEC VPNs pomiędzy dwoma systemami. Innymi słowy, reguły consec pozwalają na zabezpieczenie ruchu, który przechodzi przez zaporę sieciową, a nie jego ograniczenie czy filtrowanie.
Ta opcja polecenia kieruje Cię do trybu konfiguracji zabezpieczeń połączenia w następujący sposób:
netsh advfirewall> consec
netsh advfirewall consec>
Jeżeli na tym etapie wpiszesz polecenie ?, zobaczysz, że pojawi się 6 różnych kontekstów dla polecenia netsh advfirewall consec (rys. 2).
Jeśli wpiszesz tam ?, zobaczysz jak można zmodyfikować profil zabezpieczenia przy użyciu następujących poleceń:
- Polecenie add (dodaj) pozwala na dodanie nowej reguły zabezpieczenia połączeń.
- Polecenie delete (usuń) pozwala na usunięcie reguły zabezpieczenia połączenia.
- Polecenie dump (zrzuć) nie działa w tym kontekście.
- Polecenie help (pomoc) pokazuje wszystkie dostępne polecenia.
- Polecenie set (ustaw) pozwoli ustawić nowe wartości dla istniejącej już reguły.
Rys. 2: opcje consec netsh advfirewall
Polecenia show
Aby zobaczyć co się dzieje z zaporą sieciową, musisz użyć polecenia show. Posiada ono 3 różne opcje:
- Show alias pokaże Ci aliasy.
- Polecenie show helper pokazuje główne opcje pomocy.
- Polecenie show mode pokazuje czy zapora sieciowa jest włączona czy wyłączona.
Export
Pozwala na eksport wszystkich bieżących konfiguracji zapory sieciowej do pliku. To polecenie jest bardzo pomocne, ponieważ umożliwia stworzenie kopii zapasowych wszystkich ustawień w formie pliku i odzyskanie ich, jeśli nie jesteś zadowolony ze swoich zmian konfiguracji.
Oto przykład:
netsh advfirewall export “c:\advfirewall.wfw”
Polecenie firewall
Tym poleceniem możesz dodać nowe wejściowe i wyjściowe reguły do swojej zapory sieciowej. Pozwoli Ci to również dokonać zmian swoich reguł w zaporze.
Rys. 3: zapora sieciowa netsh advfirewall
Wewnątrz kontekstu zapory sieciowej zobaczysz, że są tam 4 ważne polecenia:
- Polecenie add (dodaj) pozwala na dodanie nowych wejściowych i wyjściowych reguł do zapory sieciowej.
- Polecenie delete (usuń) pozwala na usunięcie reguły.
- Polecenie set (ustaw) pozwala na ustawienie nowych wartości dla reguł, które już są stworzone.
- Polecenie show (pokaż) pokazuje określoną regułę zapory sieciowej.
Oto przykład w jaki sposób dodać i jak usunąć regułę zapory sieciowej:
Dodaj regułę wejściową dla messenger.exe
netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow
Usuń wszystkie reguły wejściowe dla portu lokalnego 21
netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
Import
Polecenie import pozwala na zaimportowanie z pliku konfiguracji dla Twojej zapory sieciowej. To polecenie pozwoli Ci zaimportować plik, który wcześniej eksportowałeś. Na przykład:
netsh advfirewall import “c:\advfirewall.wfw”
Reset
To polecenie pozwala zresetować strategię zapory sieciowej do strategii domyślnej. Należy jednak uważać na to polecenie, ponieważ jak tylko je wpiszesz, zresetuje ono strategię bez pytania czy jesteś tego pewien czy nie. Oto przykład:
netsh advfirewall reset
Set
Polecenie set pozwoli na zmianę stanu zapory sieciowej dla różnych profili. Dla tego polecenia istnieje 6 różnych kontekstów.
Rys. 4: opcja setnetsh advfirewall
-
Set profiles (ustaw profile) pozwala zmienić ustawienia dla wszystkich profili.
- Set currentprofile (ustaw profil bieżący) pozwala zmienić ustawienia dla profilu bieżącego.
- Set domainprofile (ustaw profil główny) pozwala zmienić ustawienia dla profilu głównego.
- Set global (ustaw globalnie) pozwala stworzyć ustawienia globalne zapory sieciowej.
- Set privateprofile (ustaw profil prywatny) pozwala zmienić ustawienia dla profilu prywatnego.
- Set publicprofile (ustaw profil publiczny) pozwala zmienić ustawienia dla profilu publicznego.
Przykłady użycia tego polecenia:
-
Wyłącz zaporę sieciową dla wszystkich profili:
netsh advfirewall set allprofiles state off
-
Ustaw domyślne zachowanie, aby zablokować wejściowe i zezwolić na wyjściowe połączenia na wszystkich profilach:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
-
Włącz zdalne zarządzanie na wszystkich profilach:
netsh advfirewall set allprofiles settings remotemanagement enable
-
Zapisz odrzucone połączenia na wszystkich profilach:
netsh advfirewall set allprofiles logging droppedconnections enable
Show
Polecenie show pokaże Ci wszystkie ustawienia, jakie zrobiłeś we wszystkich profilach.
Podsumowanie
W tym artykule przyjrzeliśmy się podstawowym poleceniom, które należy znać, aby skonfigurować zaporę sieciową Windows 2008 z poleceniem netsh advfirewall. Teraz musisz tylko sam się zdecydować czy chcesz używać interfejsu GUI czy wiersza poleceń do konfiguracji zapory sieciowej. Oba sposoby powinny mieć te same opcje. Interfejs wiersza poleceń jest o wiele szybszym sposobem na skonfigurowanie zapory sieciowej Windows 2008, gdy tylko nauczysz się potrzebnych poleceń.
Źródło: www.windowsnetworking.com
Tłumaczenie: Monika Palonek, Bielsko-Biała
|
