【正文】 成績 : 評閱教師 : (簽字 ) 年 月 日 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 摘 要 Server 20xx 中的高級安全防火墻（ WFAS）有了較大的改進，首先它支持雙向保護，可以對出站、入站通信進行過濾。傳入數(shù)據(jù)包到達計算機時，具有高級安全性的 Windows 防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標準。規(guī)則中的標準添加在一起 。 MMC 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 Abstract Advanced security firewall in erver 20xx (WFAS) has been greatly improved, firstly it supports dual protection, can the filter station, inbound munication. Secondly, it will Windows firewall and Inter protocol security (IPSec) integrated into a console. The use of these advanced options can be in accordance with the necessary environment configuration key exchange, data protection (integrity and encryption and authentication settings). But WFAS can achieve higher rule configuration, you can according to various objects on the Server creating firewall rules, configure firewall rules to determine the block or allow flow through Windows firewall with advanced security. Ining packets arrive at a puter, the Windows firewall with advanced security checks the data packet, and determine whether it meets the specified criteria in the firewall rules. If the match packets with the standard rules, with the specified operation Windows firewall advanced safety regulations that prevent connection, or allow connection. If the data packet and the standard rules do not match, then Windows firewall with advanced security drop the packet, create entries in the firewall log file and (if logging is enabled). The configuration of the rules, you can choose from a variety of standard: for example the application name, service name, TCP port, UDP port, the local IP address, remote IP address, configuration files, interface types (such as work adapter), user, user group, puter, puter group, protocol, ICMP type. The standard rules of adding together。 the ining fl。 概述 Server 20xx 中的高級安全防火墻（ WFAS）有了較大的改進，首先它支持雙向保護，可以對出站、入站通信進行過濾 。傳入數(shù)據(jù)包到達計算機時，具有高級安全性的 Windows 防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標準。規(guī)則中的標準添加在一起 。減少計算機的攻擊面提高了可管理性，并降低了成功攻擊的可能性。 NAP 集成有助于阻止符合標準與不符合標準的計算機之間的通信。 Windows Vista174。假如當(dāng)你中了一些 rootkit 類病毒時，這些病毒可能會劫持一些系統(tǒng)服務(wù)。所以此高級安全防火墻不僅僅是一個最終用戶的簡單防火墻，而且非常適合在企業(yè)工作網(wǎng)絡(luò)中使用。比如你的筆記本在家遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 4 中或在公司的網(wǎng) 絡(luò)中使用，一般不會有那么復(fù)雜的網(wǎng)絡(luò)環(huán)境，所以防火墻的規(guī)則一般會比較松散一些。在高級安全防火墻的主界面中的概述中，我們可以很清楚地看到現(xiàn)在激活的是那種網(wǎng)絡(luò)配置文件。 在 Server 20xx 服務(wù)器系統(tǒng)，我們可以有兩種方式進入防火墻的 Windows 配置界面，遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 5 不過這兩種配置界面的內(nèi)容卻是不一樣的；從系統(tǒng)控制面板窗 口進入的防火墻配置界面屬于基本界面，這種界面往往適合初級用戶使用，從 MMC 控制臺中進入的防火墻配置界面屬于高級界面，這種界面往往適合高級用戶使用，高級用戶可以在這里隨心所欲地控制服務(wù)器系統(tǒng)的數(shù)據(jù)流入和流出能力。在進行這種初級配置時，我們可以通過服務(wù)器系統(tǒng)的控制窗口來打開防火墻的基本配置界面就可以了，下面就是具體的打開步驟： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊 “ 開始 ”/“ 設(shè)置 ”/“ 控制面板 ” 命令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標，并用鼠標雙擊該圖標，就能 打開 Windows 防火墻的基本配置界面了，如圖 1 所示； 圖 1 其次在該配置界面的左側(cè)顯示區(qū)域單擊 “ 啟用或關(guān)閉 Windows 防火墻 ” 選項，在其后彈出的界面中單擊 “ 常規(guī) ” 標簽，打開如圖 2 所示的標簽設(shè)置頁面，在該頁面中我們可以直接選擇 “ 啟用 ” 選項來啟用服務(wù)器系統(tǒng)自帶的防火墻功能，也可以直接選擇 “ 關(guān)閉 ” 選項來停用系統(tǒng)防火墻功能； 如圖 2 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 6 圖 2 當(dāng)我們啟用了服務(wù)器系統(tǒng)的防火墻功能后，在默認狀態(tài)下，該防火墻程序會同時攔截所有程序去訪問外部網(wǎng)絡(luò)，除了在 “ 例外 ” 標簽頁面中設(shè)置的選項外。 如果本地服務(wù)器系統(tǒng)中有多條網(wǎng)絡(luò)連接時，我們還可以進入防火墻的 “ 高級 ” 標簽頁面，然后根據(jù)實際情況選擇需要受防火墻保護的目標網(wǎng)絡(luò)連接。下面，我們就來設(shè)置 Server 20xx 服務(wù)器系統(tǒng)自帶的防火墻程序，來預(yù)防應(yīng)用程序漏洞攻擊： 首先在 Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊 “ 開始 ”/“ 設(shè)置 ”/“ 控制面板 ” 命 令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標，并用鼠標雙擊該圖標，打開 Windows 防火墻的基本配置界面； 其次單擊該基本配置界面中的 “ 更改設(shè)置 ” 選項，再單擊 “ 例外 ”標簽，打開標簽設(shè)置頁面，在這里我們看到系統(tǒng)可能會使用網(wǎng)絡(luò)程序列表，選中的應(yīng)用程序就是被允許通過網(wǎng)絡(luò)的應(yīng)用程序，而那些沒有選中的應(yīng)用程序就是不允許通過網(wǎng)絡(luò)的應(yīng)用程序； 如果我們發(fā)現(xiàn)對應(yīng)標簽設(shè)置頁面中沒有目標漏洞應(yīng)用程序，那我們可以單擊這里的 “ 添加程序 ” 按鈕，在彈出的文件選擇對話框中，將存在安全漏洞的應(yīng)用程序添加導(dǎo)入進來，最 后單擊 “ 確定 ” 按鈕就能使上述設(shè)置生效了。 為什么你應(yīng)該使用這個 Windows 的基于主機的防火墻 ? 今天許多公司正在使用外置安全硬件的方式來加固它們的 網(wǎng)絡(luò)。為什么會出現(xiàn)這樣的情況呢 ?因為多數(shù) IT 人士認為，部署基于主機的防火墻所帶來的麻煩要大于它們帶來的價值。與邊界防火墻不同，具有高級安全性的 Windows 防火墻在每臺運行此版本 Windows 的計算機上運行，并對可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護。如果數(shù)據(jù)包與規(guī)則中的標準匹配，則具有高級安全性的 Windows 防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。添加的標準越多，具有高級安全性的 Windows 防火墻匹配傳入流量就越精細。 通過使用這個高級防火墻，你可以更好的加固你的服務(wù)器以免遭攻擊，讓你的服務(wù)器不被利用去攻擊別人，以及真正確定什么數(shù)據(jù)在進出你的服務(wù)器。對于 Windows高級安全防火墻，大多數(shù)管理員可以或者從 Windows服務(wù)器管理器配置它，或者從只有 Windows 高級安全防火墻 MMC 管理單元中配置它。 使用新的 Windows 高級安全防火墻 MMC 管理單元能配置什么 ? 由于使用這個新的防火墻管理控制臺你可以配置如此眾多的功能，我不可能面面俱道的提到它們。 你將注意的其他事情是，這個 Windows 高級安全防火墻還有多個配置文件供用戶選擇。在我看來，在我們討論過的 Windows 20xx 高級安全防火墻的所有改進中，意義最重大的改進當(dāng)屬更復(fù)雜的防火墻規(guī)則。你還可以將規(guī)則應(yīng)用到用戶及計算機、程序和服務(wù)以及 IP 地址范圍。而 Windows 20xx 高級安全防火墻提供了大約 90 個默認入站防火墻規(guī)則和至少 40 個默認外出規(guī)則。但是，由于你現(xiàn)在使用一個來自第三方的網(wǎng)站服務(wù)器，而且你打開了入站防火墻，你必須手動的打開這個窗口。我們進行的 Web 通信是來自于任何 IP 地址和任何端口號并流向這個服務(wù)器 80 端口的數(shù)據(jù)通信。 4配置協(xié)議及端口號 選擇默認的 TCP 協(xié)議，并輸入 80 作為端口，然后點擊下一步。選擇默認的應(yīng)用這條規(guī)則到所有配置文件，并點擊下一步。但是，創(chuàng)建了這個規(guī)則后，它可以正常工作了 。首先從入站規(guī)則開始，假如我們在 Server 20xx 上安裝了一個 Apache Web 服務(wù)器，默認情況下，從遠端是無法訪問這個服務(wù)器的，因為在入站規(guī)則中沒有配置來確認對 這些流量“放行”，下面我們就為它增加一條規(guī)則。 現(xiàn)在就可以正常從遠程訪問你的 Apache 服務(wù)器了如果要對這個已經(jīng)創(chuàng)建的規(guī)則進行修改等操作，可以在選中規(guī)則后，從右邊的操作區(qū)域進行操作，如圖 13 圖 13 點擊【屬性】按鈕，會彈出下圖窗口，在這兒可以對規(guī)則進行更詳細的修改，我們看到一條規(guī)則的可定制化屬性比以前版本的規(guī)則屬性要多很多如圖 14 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 18 圖 14 對于單個服務(wù)器 來說，可以使用高級安全 Windows 防火墻管理控制單元來對防火墻進行設(shè)置，如果在你的企業(yè)網(wǎng)絡(luò)中有大量計算機需要設(shè)置，這種方法就不再適合，應(yīng)該找一種更高效的方法。值得注意的是，如果你使用組策略來在一個企業(yè)網(wǎng)絡(luò)中配置高級安全 Windows 防火墻的話，本地系統(tǒng)管理員是無法修改這個規(guī)則的屬性的 。 連接安全包括在兩臺計算機開始通信之前對它們進行身份驗證，并確保在兩臺計算機之間正在發(fā)送的信息的安全性。這不，本文現(xiàn)在就為各位朋友推薦幾則Server 20xx 系統(tǒng)防火墻的配置技巧，相信在這些技巧的幫助下，大家一定能夠充分享受系統(tǒng)防火墻帶給自己的驚喜 ! 查看防火墻 很多時候，我們需要定期查看 Windows 系統(tǒng)自帶防火墻的安全配置狀態(tài)，例如想了解當(dāng)前系統(tǒng)是否已經(jīng)啟用了防火墻，防火墻使用了什么類型的配置文件，防火墻是否允許了例外工作模式的啟用，多播 /廣播響應(yīng)模式有沒有被正常啟用，當(dāng)前在所有的網(wǎng)絡(luò)連接接口上已經(jīng)打開了哪些網(wǎng)絡(luò)端口，這些處于打開狀態(tài)的端口號碼是什么等 。 操作 步驟 首先在 Server 20xx 系統(tǒng)桌面中打開 “ 開始 ” 菜單，從中逐一點選 “ 程序 ” 、 “ 附件 ” 選項，再從下級菜單中用鼠標右鍵單擊 “ 命令行提示符 ” 命令，從彈出的快捷菜單中點選 “ 以管理員身份運行 ” 命令，此時系統(tǒng)屏幕將會自動切換到 DOS命令行工作窗口 。 應(yīng)用 文件和打印共享 當(dāng)我們嘗試訪問安裝在 Server 20xx 系統(tǒng)中的網(wǎng)絡(luò)打印機時，常常會遇到無法訪問網(wǎng)絡(luò)打印機的故障現(xiàn)象，這種故障現(xiàn)象往往都是由于對應(yīng)系統(tǒng)自帶的防火墻禁止文件和打印共享操作連接網(wǎng)絡(luò)造成的，這時我們就需要對 Server 20xx 系統(tǒng)防火墻進行