【正文】 合適配置，讓其允許文件和打印共享操作連接網(wǎng)絡(luò) 。 其次在 “sh firewall” 提示符下，輸入字符串命令 “set opmode enable” ，單擊回車鍵后，進(jìn)入系統(tǒng)防火墻的全局操作模式 。 設(shè)置 連接處于安全保護(hù)狀態(tài) 有的時(shí)候， Inter 中的不少病毒程序或非法攻擊者會(huì)利用一些應(yīng)用程序的漏洞來攻擊 Server 20xx 服務(wù)器系統(tǒng)，而我們并不清楚究竟哪些應(yīng)用程序存在安全漏洞， 所以我們也就不能合理通過 Windows Server 20xx 系統(tǒng)防火墻來禁止漏洞程序連接網(wǎng)絡(luò)，如此一來 Server 20xx 服務(wù)器系統(tǒng)的安全性就無法得到保證了 。 檢查其中的 “ 已啟用 ” 選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)它還沒有被選中時(shí)，我們應(yīng)該及時(shí)將它重新選中，再單擊 “ 確定 ” 按鈕保存好設(shè)置操作，這樣的話 Server 20xx服務(wù)器系統(tǒng)防火墻日后就能對(duì)本地系統(tǒng)中的所有網(wǎng)絡(luò) 連接進(jìn)行安全保護(hù)了。 操作 步驟 首先以特權(quán)身份進(jìn)入到 Server 20xx 服務(wù)器系統(tǒng)，依次單擊 “ 開始 ”/“ 程序 ”/“ 服務(wù)器管理器 ” 菜單選項(xiàng)，打開本地系統(tǒng)的服務(wù)器管理器窗口，從該窗口左側(cè)顯示區(qū)域的 “ 配置 ” 分支下面，點(diǎn)選 “ 高級(jí)安全 Windows 防火墻 ” 選項(xiàng) 。 操作 步驟 1. 打開管理工具中的“高級(jí)安全 Windows 防火墻”； 2. 在左側(cè)導(dǎo)航窗體中定位到“入站規(guī)則”，之后在入站規(guī)則中找到配置文件類型為“公共”的“文件和 打印共享（回顯請(qǐng)求 – ICMPv4In）”規(guī)則，設(shè)置為允許 如圖13 圖 12 注：我們 可以根據(jù)需要選擇在何種網(wǎng)絡(luò)環(huán)境中（域、專用或公共）允許該規(guī)則，如果網(wǎng)絡(luò)使用了 IPv6，則同時(shí)要允許 ICMPv6In 的規(guī)則。 接著單擊“下一步”按鈕，選中其后頁(yè)面中的“所有程序”項(xiàng)目，之后按照提示將網(wǎng)絡(luò)協(xié)議類型設(shè)置為“ ICMPv4”，將連接條件設(shè)置為“阻止連接”，同時(shí)根 據(jù)實(shí)際工作環(huán)境設(shè)置好應(yīng)用該新規(guī)則的具體場(chǎng)合，最后為新創(chuàng)建的安全規(guī)則取一個(gè)合適的名稱，如此一來局域網(wǎng)中的任何非法用戶就無法對(duì) Windows Server 20xx 服務(wù)器系統(tǒng)實(shí)施 Ping 命令攻擊了。 強(qiáng)行保護(hù)所有連接 有時(shí)候，我們根本不知道哪些應(yīng)用程序存在安全漏洞，因此我們也就無法利用 Server 20xx 服務(wù)器系統(tǒng)自帶防火墻來保護(hù)本地服務(wù)器的安全；此時(shí)，我們可以修改 Server 20xx服務(wù)器系統(tǒng)的組策 略，來強(qiáng)行要求防火墻程序來自動(dòng)保護(hù)所有網(wǎng)絡(luò)連接，下面就是具體的設(shè)置步驟： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中打開“開始”菜單，從中選擇“運(yùn)行”命令，在其后彈出的運(yùn)行框中輸入字符串命令“ ”，進(jìn)入本地服務(wù)器系統(tǒng)的組策略編輯界面；其次將鼠標(biāo)定位于“計(jì)算機(jī)配置” /“管理模板” /“網(wǎng)絡(luò)” /“網(wǎng)絡(luò)連接” /“ Windows 防火墻” /“標(biāo)準(zhǔn)配置文件”分支選項(xiàng)，在“標(biāo)準(zhǔn)配置文 件”分支選項(xiàng)下面，用鼠標(biāo)雙擊“ Windows 防火墻：保護(hù)所有網(wǎng)絡(luò)連接”組策略選項(xiàng)，打開目標(biāo)組策略屬性界面 ；選中該界面中的“已啟用”項(xiàng)目，最后單擊 “確定”按鈕，如此一來Windows Server 20xx 服務(wù)器系統(tǒng)自帶防火墻日后就能強(qiáng)行保護(hù)所有網(wǎng)絡(luò)連接了。您可以根據(jù)端口號(hào)、 IPv4 或 IPv6 地址、計(jì)算機(jī)上運(yùn)行的應(yīng)用程序的名稱和路徑或服務(wù)的名稱，或者其他條件選擇允許流量 通過使用 IPSec 協(xié)議驗(yàn)證網(wǎng)絡(luò)流量的完整性、對(duì)發(fā)送和接收計(jì)算機(jī)或用戶的身份進(jìn)行身份驗(yàn)證以及有選擇地加密流量以提供機(jī)密性，從而保護(hù)進(jìn)入或離開計(jì)算機(jī)的網(wǎng)絡(luò)流量。其系利用功能強(qiáng)大的工具，讓您擁有更好的服務(wù)器 控制能力，并簡(jiǎn)化設(shè)定和管理工作；而增強(qiáng)的安全性功。 Windows Server 20xx 有 5 種不同版本，另外還有三個(gè)不支持 Windows Server HyperV 技術(shù)的版本，因此總共有 8 種版本。默認(rèn)情遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 26 況下，阻止所有傳入流量，除非是對(duì)計(jì)算機(jī)（請(qǐng) 求的流量）以前的傳出請(qǐng)求的響應(yīng)，或者被創(chuàng)建用于允許該流量的規(guī)則特別允許。 為了有效避免由于應(yīng)用程序漏洞而 引起的服務(wù)器安全隱患問題，我們就需要使用系統(tǒng)防火墻來拒絕存在安全漏洞的應(yīng)用程序去連接或訪問網(wǎng)絡(luò)，這樣就能阻止網(wǎng)絡(luò)中的木馬或黑客通過應(yīng)用程序漏洞來 攻擊服務(wù)器的安全了。為了保護(hù) Windows Server 20xx 服務(wù)器系統(tǒng)的運(yùn)行穩(wěn)定性，避免服務(wù)器主機(jī)遭受 Ping 命令攻擊，我們可以按照如下步驟來設(shè)置防火墻的安全規(guī)則： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中依次點(diǎn)選“程序”、“管理工具”命令，再?gòu)南录?jí)菜單中選擇“高級(jí)安全 Windows防火墻”選項(xiàng) 。 繼續(xù)單擊向?qū)?duì)話框中的 “ 下一步 ” 按鈕，在其后出現(xiàn)的設(shè)置頁(yè)面中選中 “ 所有程序 ” 選項(xiàng)，同時(shí)依照屏幕默認(rèn)提示將網(wǎng)絡(luò)通信協(xié)議類型參數(shù)選擇為 “ICMPv4” ，再將連接條件參數(shù)選擇為 “ 阻止連接 ” ，之后依照實(shí)際工作環(huán)境設(shè)置好應(yīng)用該新安全規(guī)則的使用場(chǎng)合，最后為新創(chuàng)建的安全規(guī)則設(shè)置一個(gè)適當(dāng)?shù)拿Q，這樣的話局域網(wǎng)中的任何一位用戶都不能對(duì) Server 20xx 服務(wù)器系統(tǒng)進(jìn)行惡意 Ping 攻擊了。 Inter中的不少病毒程序或非法攻擊者常常會(huì)通過這種方法來對(duì)重要服務(wù)器系統(tǒng)實(shí)施 Ping 攻擊，從而造成服務(wù)器系統(tǒng)發(fā)生癱瘓現(xiàn)象 。 操作 步驟 首先打開 s Server 20xx 系統(tǒng)的 “ 開始 ” 菜單，從中點(diǎn)選 “ 運(yùn)行 ” 選項(xiàng)，打開對(duì)應(yīng)系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入 “” 字符串命令，單擊 “ 確定 ” 按鈕后，打開對(duì)應(yīng)系統(tǒng)的組策略控制臺(tái)窗口 。 當(dāng)上述命令都返回 “ 確定 ” 提示時(shí)，那就說明這些命令已經(jīng)被成功執(zhí)行了，這時(shí)候Windows Server 20xx 系統(tǒng)防火墻就會(huì)自動(dòng)開啟 TCP13 TCP44 UDP13 UDP138 等端口了，而這些端口一旦被成功啟用后，我們就能通過這些端口訪問到安裝在 Windows Server 20xx 系統(tǒng)中的網(wǎng)絡(luò)打 印機(jī)了。然而有的時(shí)候，我們會(huì)遇到無法進(jìn)入防火墻基本配置界面的特殊現(xiàn)象，這個(gè)時(shí)候我們?cè)撊绾巫尫阑饓υ试S文件和打印共享操作通行呢 ?其實(shí)很簡(jiǎn)單，我們可以通過命令來配置 Server 20xx 系統(tǒng)防火墻，讓其允許文件和打印共享操作連接網(wǎng)絡(luò) 。 下面在 “sh firewall” 提示符下，輸入字符串命令 “show state” ，單擊回車鍵后，我們就能從如圖 1 所示的結(jié)果界面中，看到系統(tǒng)自帶防火墻各個(gè)方面的安全配置狀態(tài)信息了 。很顯然，采用上面的方法查看 Windows 防火 墻各方面的配置狀態(tài)，無疑是比較麻煩的 。 對(duì)于單個(gè)服務(wù) 器來說，可以使用高級(jí)安全 Windows 防火墻管理控制單元來對(duì)防火墻進(jìn)行設(shè)置，以上的方法還算適用。 打開高級(jí)安全 Windows 防火墻，點(diǎn)擊入站規(guī)則后從右邊的入站規(guī)則列表中我們可以看到 Windows Server 20xx 自帶的一些安全規(guī)則 ，在這兒可以看到，我們可以基于具體的程序、端口、預(yù)定義或自定義來創(chuàng)建入站規(guī)則，其中每個(gè)類型的步驟會(huì)有細(xì)微的差別。組策略提供了高級(jí)安全 Windows防火墻的完全功能的訪問，包括配置文件、防火墻規(guī)則和計(jì)算機(jī)安全連接規(guī)則。在我們這個(gè)例 子中，我們選擇【程序】類型，點(diǎn)擊下一步接下來選擇具體的程序路徑 。從啟動(dòng)菜單的管理工具中找到高級(jí)安全Windows 防火墻，點(diǎn)擊打開 MMC 管理單元， 如圖 9 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 15 圖 9 具有高級(jí)安全性的 Windows 防火墻 MMC 管理單元從以上界面中我們可以 Server 20xx 的高級(jí)安全 Windows 防火墻使用出站和入站兩組規(guī)則來配置其如何響應(yīng)傳入和傳出的流量；通過連接安全規(guī)則來確定如何保護(hù)計(jì)算機(jī)和其它計(jì)算機(jī)之間的流量。給這個(gè)規(guī)則起一個(gè)名字，然后點(diǎn)擊下一步。選擇默認(rèn) 的“允許連接”并點(diǎn)擊下一步。為一個(gè)端口選擇你想要?jiǎng)?chuàng)建的規(guī)則。 3 2如何創(chuàng)建一個(gè)定制的入站規(guī)則 ?假如說你已經(jīng)在你的 20xx Server 上安裝了 Windows版的 Apache 網(wǎng)站服務(wù)器。 默認(rèn)規(guī)則的查看 Windows 高級(jí)安全 防火墻 所提供的 默認(rèn)規(guī) 則的數(shù)量 也是令 人吃驚的 。 如圖 5 圖 5 來對(duì)比一下 Windows 20xx Server 中的配置窗口。遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 11 配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)計(jì)算機(jī)連接的位置將其應(yīng)用于 該計(jì)算機(jī)。 防火墻常用的 幾種 功能 默認(rèn)情況下，當(dāng)你第一次進(jìn)入 Windows 高級(jí)安全防火墻管理控制臺(tái)的時(shí)候，你將看到 Windows 高級(jí)安全防火墻默認(rèn)開啟，并且阻擋不匹配入站規(guī)則的入站連接。使用 sh advfirewall 可以創(chuàng)建腳本，以便自動(dòng)同時(shí)為 IPv4 和 IPv6流量配置一組具有高級(jí)安全性的 Windows 防火墻設(shè)置。 MMC 的功能 了解配置 Windows 防火墻高級(jí)安全性的選擇在以 前 Windows Server 中，你可以在去配置你的網(wǎng)絡(luò)適配器或從控制面板中來配置 Windows 防火墻。我知道任何服務(wù)器管理員在使用一個(gè)基于主機(jī)的防火墻時(shí)首先想到的是：它是否會(huì)影響這個(gè)關(guān)鍵服務(wù)器基礎(chǔ)應(yīng)用的正常工作 ?然而對(duì)于任何安全措施這都是一個(gè)可能存在的問題， Windows 20xx 高級(jí)安全防火墻會(huì)自動(dòng)的為添加到這個(gè)服務(wù)器的任何新角色自動(dòng)配置新的規(guī)則。對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、 TCP 端 口、 UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類型 (如網(wǎng)絡(luò)遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 9 適配器 )、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、 ICMP 類型等。 高級(jí)規(guī)則配置 可以針對(duì) Server 上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī) 則以確定阻止還是允許流量通過具有高級(jí)安全性的 Windows 防火墻。它是加固一個(gè)關(guān)鍵的基礎(chǔ)服務(wù)器的最好方法之一。但是，如果一個(gè)攻擊者能夠攻破外圍的防線，從而獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，將只有 Windows認(rèn)證安全來阻止他們來訪問公司最有價(jià)值的資產(chǎn) 它們的數(shù)據(jù)。而隨著 Server 20xx 的日漸向我們走近，其內(nèi)置的防火墻功能得到了巨大的改進(jìn)。 從控制臺(tái)進(jìn)入 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 7 許多人常常會(huì)簡(jiǎn)單地認(rèn)為，只要及時(shí)為服務(wù)器系統(tǒng)安裝更新補(bǔ)丁程序，就能保證服務(wù)器系統(tǒng)不受網(wǎng)絡(luò)病毒或木馬的攻擊；事實(shí)上，給服務(wù) 器系統(tǒng)安裝補(bǔ)丁程序只是為了堵住系統(tǒng)的安全漏洞，但要是安裝在服務(wù)器系統(tǒng)中的應(yīng)用程序存在漏洞的話，那么服務(wù)器系統(tǒng)的安全還是沒有辦法保證。 與舊版本系統(tǒng)一樣，在對(duì) Server 20xx 服務(wù)器系統(tǒng)下的自帶防火墻進(jìn)行基本設(shè)置時(shí)，我們同樣可以在 “ 例外 ” 標(biāo)簽頁(yè)面中設(shè)置那些能夠直接訪問網(wǎng)絡(luò)的程序或服務(wù)。當(dāng)然，與舊版本系統(tǒng)下的防火墻程序 一樣，我們還能通過組策略的力量來控制服務(wù)器系統(tǒng)防火墻的配置操作。 多種方式進(jìn)入防火墻 盡管從 Windows XP 系統(tǒng)開始，微軟公司就已經(jīng)將防火墻功能內(nèi)置在系統(tǒng)中了，不過該防火墻的功能還十分有限，往往 只能提供單向的安全保護(hù)，而不能提供雙向的安全保護(hù)，并且網(wǎng)絡(luò)管理員只能從系統(tǒng)的控制面板窗口中打開防火墻程序界面。 比如我現(xiàn)在所處的是公用網(wǎng)絡(luò)，在這幾種網(wǎng)絡(luò)類型中，公用網(wǎng)絡(luò)被防火墻認(rèn)定為最不安全的網(wǎng)絡(luò)類型。 位置敏感 在高級(jí)安全防火墻中新增了位置敏感功能，該功能把電腦的網(wǎng)絡(luò)環(huán)境分為三類：家庭網(wǎng)絡(luò)、工作網(wǎng)絡(luò)和公用網(wǎng)絡(luò)。而 Windows Firewall 只能配置入站和部分程序的出站連接，在細(xì)節(jié)配置方面也只能 配置端口等。高級(jí)安全 Windows 防火墻在設(shè)計(jì)上還通過已歸檔的應(yīng)用程序編程接口 (API) 補(bǔ)充了現(xiàn)有的非 Microsoft 網(wǎng)絡(luò)安全解決方案。它提供對(duì)受信任的網(wǎng)絡(luò)資源的可擴(kuò)展的分層訪問，從而幫助強(qiáng)制執(zhí)行數(shù)據(jù)的完整性，并選擇性地幫助保護(hù)數(shù)據(jù)的機(jī)密性。 20xx R2 和 Windows Server174。我們可以通過多種方式來配置 Server 20xx 防火墻和 IPSec 的設(shè)置和選項(xiàng)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 2 安全性的 Windows 防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目 (如果啟用了日志記錄 )。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù) (完整性和加密 )以及身份驗(yàn)證設(shè)置。 一 介紹 什么是 高級(jí)安全防火墻 在“深層防御”體系中，網(wǎng)絡(luò)防火墻處于周邊層，而 Windows 防火墻處于主機(jī)層面。 unit management。我們可以通過多種方式來配置Server 20xx 防火墻和 IPSec 的設(shè)置和選項(xiàng)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí) 安全性的 Windows 防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目 (如果啟用了日志記錄 )。使用這些高級(jí)選項(xiàng)可 以按照環(huán)境所需的方式配置密鑰交換、數(shù)