内容提示：在2008以及IIS7.0之后，微软在安全方面有了长足的进步，真正实现了安全与性能兼顾、攻守兼备的安全防御体系。在这个安全体系中，Windows防火墙其功不可没。

【IT专家网独家】在以前，Windows操作系统自带的防火墙可以说是一个鸡肋产品。IIS管理员食之无味、弃之可惜。很多管理员就干脆直接禁用到IIS服务器上的防火墙功能。而购买第三方的防火墙软件来替代它。确实在以前版本的操作系统中，自带的防火墙产品在一定程度上会影响应用服务器的性能，而且配置起来也不是很灵活。

不过在IIS7.0中，这种情况有所改变。特别是在Windows2008操作系统上部署IIS网站应用的话，笔者建议各位管理员可以放心大胆的使用操作系统自带的防火墙产品。因为不仅防火墙软件本身有很大的优化，而且还实现了防火墙与IIS应用服务之间友好的集成。

一、采用默认策略来提高IIS应用服务的安全

在IIS7与Windows2008中，防火墙产品已经完全与Server Manager实用程序(如IIS、FTP)及Roles Wizard整合在一起。简单的说，如果管理通过Roles Wizard来安全IIS应用程序，让服务器成为IIS服务器的时候，可以让防火墙仅仅只打开访问IIS服务器所需要的那些端口与协议。这相比以前版本的防火墙来说，是一个很大的改进。在以前，安装完之后管理员还需要去手工的打开或者关闭端口与协议。现在的话，通常情况下只要采用其默认的策略就可以满足常规下的安全需求。

即使出于某些特别的原因，需要采取更高级别的安全机制。如需要禁止HTTP访问，而只允许HTTPS协议等等。只需要在默认策略的基础上，稍微做调整即可。总之笔者认为，在Windows2008上部署IIS7.0应用服务，其自带的防火墙不会再成为鸡肋。而是一个可以切实提高IIS应用服务器安全的一大法宝。其与操作系统、IIS应用服务友好集成，不仅可以提高服务器的性能，而且还可以提高IIS应用服务的安全。还有比较重要的一点，就是这完全是免费的。用户不需要再掏钱去购买第三方的防火墙产品。

二、创建入站与出站规则提高IIS安全

有时候在IIS上可能还部署有其他非微软的第三方产品。如可能会在IIS上实现第三方的邮件系统或者FTP系统。此时由于第三方应用程序没有与微软的Roles Wizard整合在一起。故在部署完成这些第三方服务的时候，就需要手工对防火墙进行调整。如可能需要打开某些端口或者创建一些防火墙规则，以便这些第三方服务能够得到正确的运行。在实际工作中，安全管理员可以根据需要，建立控制业务量流向服务器的入站规则(即用户向IIS服务器发送的请求)服务器向外通信的出站规则(即服务器向客户端发送信息)。通过这个双向的控制，从而保障IIS应用服务器的安全。具体的来说，可以从如下几个方面来进行配置。

一是可以针对应用程序来设置出入站的规则。也就是说，规定某个应用程序是否可以访问互联网等等。在某些特定的情况下，管理员可能只允许某个应用程序访问内网，而不允许访问外网。如FTP文件传输工具，只可以在内部实用。此时管理员就可以创建一个规则，不允许这个FTP应用程序运行时访问外网。建立这个规则之后，防火墙会对这个程序的访问权限进行一定的限制。针对应用程序来设置不同的出入站规则，在实际工作中这个安全措施经常会被采用。特别是应用程序服务可能会涉及到多个不同端口的时候，就可以根据端口来设置出入站规则。当然根据实际的情况，管理员在保障安全的情况下，也可以允许某个应用程序具有外网的访问权限。