Windows Server 2008 中策略驱动网络访问

核心提示： 具有高级安全性的 Windows 防火墙具有高级安全性的新 Windows 防火墙以我们刚刚提到的 IPsec 功能为基础，通过将 IPsec 连接安全性规则与防火墙过滤器组合到一个策略中，Windows Server 2008 中策略驱动网络访问(4)，新的 Windows 防火墙引进了

具有高级安全性的 Windows 防火墙

具有高级安全性的新 Windows 防火墙以我们刚刚提到的 IPsec 功能为基础。通过将 IPsec 连接安全性规则与防火墙过滤器组合到一个策略中，新的 Windows 防火墙引进了另一种策略驱动的网络访问维度：更智能化的验证防火墙操作。

如图 1 所示，在定义入站或出站防火墙过滤器应采取的具体操作时，您可从三个选项中进行选择：允许、阻隔或仅在安全时允许。选中“Allow the connection if it is secure”(在安全情况下允许连接)时，Windows 防火墙会利用 IPsec 的主机对主机网络验证功能来确定：基于您已定义的策略，是否应批准主机或用户的连接请求。您可以使用防火墙规则设定哪些用户、计算机和组有权进行连接。值得注意的是，这增加了一个附加保护层，从而对现有的操作系统和应用程序级访问控制起到了支持作用。

图 1 定义验证防火墙规则

到目前为止，您应了解到：如何可以通过一项集中式策略将不同的网络安全控制归纳到一起，从而更加灵活、有效地管理网络访问。

返回到 CRM 示例：管理员可以选中“Allow the connection if it is secure”(在安全情况下允许连接)选项，为运行公司 CRM 应用程序(通过程序的可执行文件或服务端口)的服务器创建入站规则。在相同的防火墙策略内，管理员可以指定只有“CRM Application Users”(CRM 应用程序用户)组的成员可以连接到此网络应用程序，如图 2 中所示。如果您采用此相同概念并将其扩大到您网络上所有受控计算机之间的网络通信，则您的策略驱动网络访问政策中现在又会新增一个“服务器和域隔离”层。