如何巧妙使用Windows Server 2008系统防火墙技巧分析
我的图书馆
如何巧妙使用Windows Server 2008系统防火墙技巧分析
　　如何巧妙使用Windows Server 2008系统防火墙技巧分析
　　随着电脑科技的发展，电脑的病毒无所不在。每台电脑系统中都配有一个强大的功能那就是系统防火墙，什么是防火墙呢?防火墙就是可以防止外来病毒的攻击，一旦被病毒入侵那么你的电脑的资料很容易被盗取、删除、瘫痪..那么我们该如何来巧妙的运用这个防火墙呢?特别是win2008系统的防火墙要怎么进行强化呢?
　　让我们先来了解下windows 2008系统如何进入防火墙吧。
　　在Windows Server
2008服务器系统，有两种方式进入防火墙的Windows配置界面，从系统控制面板窗口进入的防火墙配置界面属于基本界面，这种界面往往适合初级用户使用，从MMC控制台中进入的防火墙配置界面属于高级界面，这种界面往往适合高级用户使用，高级用户可以在这里随心所欲地控制服务器系统的数据流入和流出能力。除此而外，还能通过MS-DOS窗口中的命令在命令行模式配置服务器系统自带防火墙，或者使用创建安全脚本的方式在多台服务器系统中进行防火墙参数的自动配置。当然，还能通过组策略的力量来控制服务器系统防火墙的配置操作。
　　1、从控制台进入
　　从系统控制面板窗口中我们只能打开服务器系统防火墙的基本配置界面，要想打开Windows Server
2008服务器系统的高级安全防火墙配置界面时，我们需要从系统的控制台窗口中进入，下面就是具体的操作步骤：
　　首先打开Windows Server
2008服务器系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入字符串命令“mmc.exe”，单击回车键后打开服务器系统的控制台窗口;
　　其次在该控制台窗口中，依次单击“文件”/“添加/删除管理单元”选项，在其后的界面中选中高级安全Windows防火墙选项，并单击“添加”按钮，随后选中“本地计算机”选项，再单击“完成”按钮，最后单击“确定”按钮，这样我们就能看到如下图所示那样的系统防火墙高级安全设置页面了。
　　系统防火墙高级安全设置页面
　　在Windows Server
2008服务器系统的高级安全防火墙配置界面中，我们可以根据实际工作环境为服务器系统定义多种不同的安全配置，并且每一种配置都是相对独立的。例如，我们可以在防火墙高级安全设置页面中定制适合单位局域网工作环境的安全配置，可以在家庭工作环境中定制适合点到点网络的安全配置，也可以在公共场合下定制适合公网环境的安全配置。所以，当Windows
2008服务器系统位于单位局域网工作环境中时，我们几乎可以关闭服务器系统自带的防火墙，因为基本上所有单位的局域网网络都有专门的防火墙，而当服务器系统处于公网环境中时，我们就需要及时发挥服务器系统自带防火墙的作用了，毕竟在公共场合下服务器系统受到非法攻击的可能性比较大。
　　2、从控制面板进入
　　最初的系统自带防火墙程序往往只提供了系统安全的单向防护能力，也就说只能对进入服务器系统的数据信息流进行拦截审查，而不大容易出现由于防火墙参数配置不当造成服务器系统安全性能下降的现象出现。在进行这种初级配置时，可以通过服务器系统的控制窗口来打开防火墙的基本配置界面就可以了，下面就是具体的打开步骤：
　　首先在Windows Server
2008服务器系统桌面中，依次单击“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中，找到Windows防火墙图标，并用鼠标双击该图标，就能打开Windows防火墙的基本配置界面了，如图所示：
　　Windows防火墙的基本配置界面
　　其次在该配置界面的左侧显示区域单击“启用或关闭Windows防火墙”选项，在其后弹出的界面中单击“常规”标签，打开如下图所示的标签设置页面，在该页面中我们可以直接选择“启用”选项来启用服务器系统自带的防火墙功能，也可以直接选择“关闭”选项来停用系统防火墙功能;
　　防火墙开启界面
　　当我们启用了服务器系统的防火墙功能后，在默认状态下，该防火墙程序会同时拦截所有程序去访问外部网络，除了在“例外”标签页面中设置的选项外。在这里，“阻止所有传入连接”选项其实是一个非常有用的选项，特别是当本地服务器系统处于一个不太安全的网络时，该选项能够临时让系统禁止“例外”标签页面中设置的任何程序或服务访问网络，一旦本地服务器系统处于一个比较安全的工作环境时，我们再取消“阻止所有传入连接”选项的选中状态，以便恢复以前的正常设置操作。
　　与旧版本系统一样，在对Windows Server
2008服务器系统下的自带防火墙进行基本设置时，可以在“例外”标签页面中设置那些能够直接访问网络的程序或服务。我们可以直接通过单击“添加程序”、“添加端口”按钮来自行添加需要访问外部网络的程序或服务，来解除系统防火墙程序对网络访问的阻止。
　　如果本地服务器系统中有多条网络连接时，我们还可以进入防火墙的“高级”标签页面，然后根据实际情况选择需要受防火墙保护的目标网络连接。如果发现防火墙中有许多参数没有配置正确时，那可以直接单击“高级”标签页面中的“还原为默认值”按钮，来快速取消所有的参数修改操作，以便将系统防火墙的参数设置恢复到系统起初安装时的缺省状态。
　　如何使用Windows Server 2008系统防火墙
　　熟悉了Windows Server 2008服务器系统的防火墙后，就可以利用防火墙保护服务器系统的安全了。
　　1、强行保护所有连接
　　有时候，我们根本不知道哪些应用程序存在安全漏洞，因此我们也就无法利用Windows Server
2008服务器系统自带防火墙来保护本地服务器的安全;此时，我们可以修改Windows Server
2008服务器系统的组策略，来强行要求防火墙程序来自动保护所有网络连接，下面就是具体的设置步骤：
　　首先在Windows Server
2008服务器系统桌面中打开“开始”菜单，从中选择“运行”命令，在其后弹出的运行框中输入字符串命令“gpedit.msc”，进入本地服务器系统的组策略编辑界面;
　　强行保护所有连接
　　其次将鼠标定位于“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”分支选项，在“标准配置文件”分支选项下面，用鼠标双击“Windows防火墙：保护所有网络连接”组策略选项，打开如图6所示的目标组策略属性界面;选中该界面中的“已启用”项目，最后单击“确定”按钮，如此一来Windows
Server 2008服务器系统自带防火墙日后就能强行保护所有网络连接了。
　　2、预防程序漏洞攻击
　　许多人常常会简单地认为，只要及时为服务器系统安装更新补丁程序，就能保证服务器系统不受网络病毒或木马的攻击;事实上，给服务器系统安装补丁程序只是为了堵住系统的安全漏洞，但要是安装在服务器系统中的应用程序存在漏洞的话，那么服务器系统的安全还是没有办法保证。为了有效避免由于应用程序漏洞而引起的服务器安全隐患问题，我们就需要使用系统防火墙来拒绝存在安全漏洞的应用程序去连接或访问网络，这样就能阻止网络中的木马或黑客通过应用程序漏洞来攻击服务器的安全了。下面，我们就来设置Windows
Server 2008服务器系统自带的防火墙程序，来预防应用程序漏洞攻击：
　　首先在Windows Server
2008服务器系统桌面中，依次单击“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中，找到Windows防火墙图标，并用鼠标双击该图标，打开Windows防火墙的基本配置界面;
　　其次单击该基本配置界面中的“更改设置”选项，再单击“例外”标签，打开如下图所示的标签设置页面，在这里我们看到系统可能会使用网络程序列表，选中的应用程序就是被允许通过网络的应用程序，而那些没有选中的应用程序就是不允许通过网络的应用程序;
　　预防程序漏洞攻击
　　如果我们发现对应标签设置页面中没有目标漏洞应用程序，那我们可以单击这里的“添加程序”按钮，在弹出的文件选择对话框中，将存在安全漏洞的应用程序添加导入进来，最后单击“确定”按钮就能使上述设置生效了。
　　3、预防Ping命令攻击
　　在局域网环境中，常常有一些恶意用户使用Ping命令向服务器系统连续发送一些大容量的数据包，这就可能导致服务器系统运行死机，此外非法攻击者还能通过ping命令的一些参数获得服务器系统的相关运行状态信息，并根据这些信息对服务器系统实施有针对性的攻击。为了保护Windows
Server 2008服务器系统的运行稳定性，避免服务器主机遭受Ping命令攻击，我们可以按照如下步骤来设置防火墙的安全规则：
　　首先在Windows Server
2008服务器系统桌面中单击“开始”按钮，从弹出的“开始”菜单中依次点选“程序”、“管理工具”命令，再从下级菜单中选择“高级安全Windows防火墙”选项;
　　随后系统会自动弹出高级安全Windows防火墙配置窗口，在该窗口左侧列表窗格中单击“入站规则”选项，再用鼠标右键单击该选项，并从其后的右键菜单中选择“新规则”选项，打开如下图所示的新规则创建向导界面，选中该界面中的“自定义”项目;
　　新规则创建向导界面
　　接着单击“下一步”按钮，选中其后页面中的“所有程序”项目，之后按照提示将网络协议类型设置为“ICMPv4”，将连接条件设置为“阻止连接”，同时根据实际工作环境设置好应用该新规则的具体场合，最后为新创建的安全规则取一个合适的名称，如此一来局域网中的任何非法用户就无法对Windows
Server 2008服务器系统实施Ping命令攻击了。
　　其实防火墙就是给系统加了一把安全锁，如果巧妙的利用这把安全锁，系统就不会那么容易被外来病毒攻击侵略了，那么我们windows
2008系统也完全无需依赖第三方软件来保护。学习了这些防火墙技巧知识，那么如何让你的电脑系统更安全相信你懂的。
TA的最新馆藏
喜欢该文的人也喜欢Windows Server 2008防火墙配置攻略_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
Windows Server 2008防火墙配置攻略
&&操作系统防火墙配置
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩11页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢　　　　　　　　　
您现在的位置：&&>&&>&&>&正文
配置WindowsServer2008防火墙系统更安全
来源：（）　　【】　
　　相比Windows Server 2003操作系统中自带的防火墙，集成在Windows Server 2008下的防火墙功能更加全面，安全防护等级自然也是更高一筹，我们只要对该防火墙程序进行合适配置，完全可以让Windows Server 2008系统运行得更加安全。这不，本文现在就为各位朋友推荐几则Windows Server 2008系统防火墙的配置技巧，相信在这些技巧的帮助下，大家一定能够充分享受系统防火墙带给自己的惊喜!　　1、快速查看Windows Server 2008防火墙配置状态　　很多时候，我们需要定期查看Windows系统自带防火墙的安全配置状态，例如想了解当前系统是否已经启用了防火墙，防火墙使用了什么类型的配置文件，防火墙是否允许了例外工作模式的启用，多播/广播响应模式有没有被正常启用，当前在所有的网络连接接口上已经打开了哪些网络端口，这些处于打开状态的端口号码是什么等;正常来说，我们需要先进入Windows系统自带防火墙的基本配置界面，然后依次点选其中的各个标签设置页面，之后才能在各个页面中了解到上述配置信息。很显然，采用上面的方法查看Windows防火墙各方面的配置状态，无疑是比较麻烦的;事实上，在Windows Server 2008系统环境下，我们可以巧妙地利用系统自带的netsh命令，来一次性查看该系统防火墙所有的配置状态信息，下面就是该方法的具体实现步骤：　　首先在Windows Server 2008系统桌面中打开“开始”菜单，从中逐一点选“程序”、“附件”选项，再从下级菜单中用鼠标右键单击“命令行提示符”命令，从弹出的快捷菜单中点选“以管理员身份运行”命令，此时系统屏幕将会自动切换到DOS命令行工作窗口;　　其次在该工作窗口的DOS命令提示符下，输入字符串命令“netsh”，单击回车键后将系统切换到netsh命令配置状态，接着再输入字符串命令“firewall”，单击回车键后，系统又会自动进入Windows防火墙的命令设置环境，这时我们会看到系统屏幕上出现的提示符已经变成了“netsh firewall”;　　下面在“netsh firewall”提示符下，输入字符串命令“show state”，单击回车键后，我们就能从如图1所示的结果界面中，看到系统自带防火墙各个方面的安全配置状态信息了;例如，在这里我们发现Windows系统自带防火墙使用了标准配置文件，启用了例外工作模式，禁止了通知模式，启用了多播/广播响应模式，当前所有网络连接接口上没有网络端口被打开等。　　2、用命令配置Windows Server 2008文件和打印共享　　当我们尝试访问安装在Windows Server 2008系统中的网络打印机时，常常会遇到无法访问网络打印机的故障现象，这种故障现象往往都是由于对应系统自带的防火墙禁止文件和打印共享操作连接网络造成的，这时我们就需要对Windows Server 2008系统防火墙进行合适配置，让其允许文件和打印共享操作连接网络;按理来说，进入Windows Server 2008系统防火墙的基本配置界面，我们就可以非常轻松地完成这种设置操作。然而有的时候，我们会遇到无法进入防火墙基本配置界面的特殊现象，这个时候我们该如何让防火墙允许文件和打印共享操作通行呢?其实很简单，我们可以通过命令来配置Windows Server 2008系统防火墙，让其允许文件和打印共享操作连接网络，下面就是具体的操作步骤：　　首先按照前面的操作步骤将系统屏幕切换到DOS命令行工作窗口，在该工作窗口的DOS命令提示符下，输入字符串命令“netsh”，单击回车键后将系统切换到netsh命令配置状态，然后输入字符串命令“firewall”，单击回车键后，再将系统切换到Windows防火墙的命令设置环境;　　其次在“netsh firewall”提示符下，输入字符串命令“set opmode enable”，单击回车键后，进入系统防火墙的全局操作模式;考虑到文件和打印共享操作需要开启TCP139、TCP445、UDP137、UDP138端口，为此我们可以在“netsh firewall”提示符下依次执行字符串命令“add portopening TCP 139 blah enable subnet”、“add portopening TCP 445 blah enable subnet”、“add portopening UDP 137 blah enable subnet”、“add portopening UDP 138 blah enable subnet”，如图2所示;　　当上述命令都返回“确定”提示时，那就说明这些命令已经被成功执行了，这时候Windows Server 2008系统防火墙就会自动开启TCP139、TCP445、UDP137、UDP138等端口了，而这些端口一旦被成功启用后，我们就能通过这些端口访问到安装在Windows Server 2008系统中的网络打印机了。为了验证上面的操作是否成功，我们可以在DOS命令行中执行“netstat -ano”字符串命令，从其后出现的结果界面中我们可以清楚地看到服务器系统已经打开的所有端口了，如果看到TCP139、TCP445、UDP137、UDP138端口已经处于开通状态时，那就说明上述字符串命令已经被执行成功了。　　3、自定义防火墙规则禁止恶意Ping攻击　　大家知道，每次向服务器系统发送Ping命令测试通信包时，服务器系统往往都需要腾出一定的系统资源来进行回复应答，要是某个时候同时向服务器系统发送若干个Ping命令测试通信包时，那么服务器系统就需要消耗更多的系统资源来对它们进行一一回复，一旦达到一定程度后，服务器系统中的有限系统资源可能都会被使用掉。Internet中的不少病毒程序或非法攻击者常常会通过这种方法来对重要服务器系统实施Ping攻击，从而造成服务器系统发生瘫痪现象;为了禁止Ping命令攻击Windows Server 2008服务器系统，我们可以对系统自带防火墙进行合适设置，下面就是具体的设置步骤：　　首先以特权身份进入到Windows Server 2008服务器系统，依次单击“开始”/“程序”/“服务器管理器”菜单选项，打开本地系统的服务器管理器窗口，从该窗口左侧显示区域的“配置”分支下面，点选“高级安全Windows防火墙”选项;　　其次在对应“高级安全Windows防火墙”选项的中间显示区域，单击“入站规则”项目，并用鼠标右键单击之，从弹出的快捷菜单中执行“新规则”命令，此时屏幕上将会自动出现一个如图3所示的新规则创建向导对话框，选中该对话框中的“自定义”选项;　　继续单击向导对话框中的“下一步”按钮，在其后出现的设置页面中选中“所有程序”选项，同时依照屏幕默认提示将网络通信协议类型参数选择为“ICMPv4”，再将连接条件参数选择为“阻止连接”，之后依照实际工作环境设置好应用该新安全规则的使用场合，最后为新创建的安全规则设置一个适当的名称，这样的话局域网中的任何一位用户都不能对Windows Server 2008服务器系统进行恶意Ping攻击了。　　4、让所有Windows Server 2008连接处于安全保护状态　　有的时候，Internet中的不少病毒程序或非法攻击者会利用一些应用程序的漏洞来攻击Windows Server 2008服务器系统，而我们并不清楚究竟哪些应用程序存在安全漏洞，所以我们也就不能合理通过Windows Server 2008系统防火墙来禁止漏洞程序连接网络，如此一来Windows Server 2008服务器系统的安全性就无法得到保证了;这个时候，我们不妨设置Windows Server 2008系统的组策略参数，来要求系统防火墙程序对所有网络连接进行安全保护，下面就是具体的操作步骤：　　首先打开Windows Server 2008系统的“开始”菜单，从中点选“运行”选项，打开对应系统的运行对话框，在其中输入“gpedit.msc”字符串命令，单击“确定”按钮后，打开对应系统的组策略控制台窗口;　　其次从该控制台窗口的左侧显示区域选中“计算机配置”分支选项，再从该分支下面逐一选中“管理模板”、“网络”、“网络连接”、“Windows防火墙”、“标准配置文件”子项，在对应“标准配置文件”子项下面找到目标组策略“Windows防火墙：保护所有网络连接”选项，并用鼠标双击该选项，打开如图4所示的组策略属性设置对话框;　　检查其中的“已启用”选项是否处于选中状态，要是发现它还没有被选中时，我们应该及时将它重新选中，再单击“确定”按钮保存好设置操作，这样的话Windows Server 2008服务器系统防火墙日后就能对本地系统中的所有网络连接进行安全保护了。1&&&
文章责编：gaoxiaoliang&　看了本文的网友还看了
?&&( 8:43:44)?&&( 8:43:41)?&&( 8:43:40)?&&( 8:43:40)?&&( 8:43:35)?&&( 18:47:04)
还没有试卷
? ? 　 ? ? 　 ? ? 　 ? ? 　 ? ?
? ? 　 ? ? 　 ?
? 　 ? ? 　　 ? ? 　 ? ? 　 ? ? 　 ? ?
? ? 　 ? ?
电子商务技术员
信息安全工程师
信息系统运行管理员
多媒体应用制作
电子商务设计师
计算机辅助设计师
计算机硬件工程师
嵌入式系统设计师
系统构架设计师
系统规划与管理师
实用工具 |
| 大全 | 大全
　　　　 |
版权声明：如果网所转载内容不慎侵犯了您的权益，请与我们联系，我们将会及时处理。如转载本内容，请注明出处。
Copyright & 2004-
　网　All Rights Reserved　
中国科学院研究生院权威支持(北京)　电 话：010-　传 真：010-}