任务目的

Windows防火墙高级设置，任务包含：

1.新建入站规则，并且对入站规则开启效果进行验证；

2.新建出站规则，并且对出站规则开启效果进行验证；

3.新建连接安全规则并且对连接安全规则开启效果进行验证。

任务步骤

1.新建入站规则

在开启防火墙前后两次的互PING测试中可以看到，打开防火墙后使得CVM2对CVM1的PING请求超时，这主要是由于防火墙拦截了这部分请求，而之所以这样拦截是因为在基本防火墙策略设置中，对于入站连接的行为是默认阻止的，若要允许特定程序的网络流量，需要创建一个入站规则，需要使用到高级安全Windows防火墙，接下来将对如何新建入站规则进行演示。

• 打开CVM1上的高级安全Windows防火墙。在【控制面板】-【系统和安全】-【Windows防火墙】左侧区域点击【高级设置】打开高级安全Windows防火墙；或使用Win+R快捷键，在打开的运行窗口输入wf.msc以打开高级安全Windows防火墙。

• 新建入站规则。点击【入站规则】，在右侧操作栏点击【新建规则】打开新建规则向导窗口，如下图所示。勾选【自定义】，然后点击【下一步】。

规则类型简介：Windows默认提供了四种规则类型（程序、端口、预定义和自定义），“程序”或“端口”规则类型可以针对特定程序或端口入站规则进行配置；“预定义”则可以通过Windows已有规则对入站规则进行配置，而不是创建新的规则；“自定义”则提供了更多配置项，可以根据实际需求对入站规则进行配置。

• 程序配置页面可以针对特定的程序进行规则匹配，这里使用默认配置（所有程序），然后点击【下一步】。

• 协议类型选择【ICMPv4】，用于PING测试使用，然后点击【下一步】。

• 作用域配置页面可以针对特定IP进行规则匹配，这里使用默认设置（任何IP地址），然后点击【下一步】。

• 操作配置页面使用默认设置（允许连接），然后点击【下一步】。

• 配置文件页面中用于指定应用此入站规则的网络位置，用户可以根据不同网络环境设置不同配置的防火墙规则。这里使用默认配置（勾选域、专用、公用），然后点击【下一步】。

• 在名称框中输入创建的入站规则【名称】（为方便区分，在命名时尽量使得命名唯一），然后点击【完成】。

• 入站规则创建完成效果如下图所示，位于入站规则列表第一条。

• 点击【监视】-【防火墙】以查看当前活动中的防火墙规则，可以看到创建的防火墙入站规则已启用。

• 再次进行互PING测试，如下图所示，由于CVM2中始终没有开启防火墙，所以在CVM1中命令行窗口的效果维持不变；而在CVM1中新建入站规则（放通PING）后，CVM1中防火墙不再对CVM2中的ICMP请求进行拦截，CVM2中PING值测试成功。

2.新建出站规则

• 新建出站规则。仍在CVM1中，点击【出站规则】，点击操作栏中的【新建规则】，在规则类型中选择【自定义】，然后点击【下一步】。（出站规则与入站规则类似，故不再进行赘述，省略的步骤操作与新建入站规则一致）

• 协议和端口配置页面中，协议类型选择【ICMPv4】，然后点击【下一步】。

• 操作配置页面中，勾选【阻止连接】，然后点击【下一步】。

• 名称配置页面中，输入出站规则【名称】后，然后点击【完成】。

• 出站规则完成后，效果如下图所示，默认为开启状态。（同样的出站规则也可以前往【监视】-【防火墙】查看开启效果）

• 再次进行互PING测试。如下图所示，由于在CVM1中防火墙开启了出站规则（禁用PING），使得CVM1在对CVM2进行PING值测试时，防火墙拦截了这部分出站数据；并且由于CVM1中的入站规则没有改变，CVM2对CVM1的PING值测试则保持原样。

3.新建连接安全规则

前置说明：本步骤主要通过演示主机与主机间的IPSec通信（即局域网内部安全连接），来进行“新建连接安全规则”的简单说明。对于个人用户而言，一般情况下不推荐创建和使用自己的连接安全规则，冲突的规则可能导致连接失败并且难以进行故障排除，更多内容可以参考Windows官方文档《规划基本防火墙策略设置》和《高级安全Windows防火墙》。

前置准备：

• CVM1：防火墙保持开启状态，4.3.1步骤中新建的入站规则（放通PING--入站）保持开启状态，禁用4.3.2步骤中的新建的出站规则（阻止PING规则--出站）；
• CVM2：开启防火墙，并按照4.3.1相同步骤新建入站规则（放通PING--入站）。完成效果如下图所示。

• 前置准备完成后，回到云服务器控制台页面，记录CVM1（172.17.16.13）和CVM2（172.17.16.17）对应的内网IP。（本步骤主要演示局域网内安全通信，故使用内网IP进行PING测试）

• 记录完成后，使用内网IP进行互PING测试，效果如下图所示。（左侧为CVM1桌面，右侧为CVM2桌面）

• 在CVM1中新建连接安全规则。点击【连接安全规则】，点击操作栏中的【新建规则】，勾选【服务器到服务器】，然后点击【下一步】。

• 在终结点2中的计算机中勾选【下列IP地址】，然后点击【添加】。在IP地址中输入【CVM2的内网IP】，然后点击【确定】-【下一步】。

• 勾选【入站和出站连接要求身份验证】，然后点击【下一步】。

• 在身份验证方法中勾选【高级】，点击【自定义】，在自定义高级身份验证方法中点击【添加】，勾选并【输入】预共享密钥（本实验中123456），然后点击【确定】-【确定】-【下一步】。（更多身份验证说明可以参考《创建身份验证请求规则》）

• 配置文件页面使用默认配置（勾选域、专用、公用），然后点击【下一步】。
• 名称配置页面中，输入名称后，点击【下一步】。

• 在CVM1中创建连接安全规则完成后，再次进行互PING测试。由于安全连接规则的设置使得入站和出站均需对预共享密钥进行匹配，而在CVM2中并没有添加预共享密钥，表现为互PING都显示请求超时，如下图所示。

• 接下来，在CVM2中新建相同的安全连接规则（注：终结点2中的IP替换为CVM1内网IP；预共享密钥需保持一致）。创建完成后，点击【监视】-【连接安全规则】以查看开启的连接安全规则，如下图所示。

• 再次进行互PING测试，效果如下图所示。

• 同时也可以点击【监视】-【安全关联】-【主模式】查看当前安全连接的连接属性。