【文章內(nèi)容簡(jiǎn)介】 應(yīng)用程序名稱(chēng)、系統(tǒng)服務(wù)名稱(chēng)、 TCP 端口、 UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類(lèi)型 (如網(wǎng)絡(luò)適配器 )、用戶(hù)、用戶(hù)組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、 ICMP 類(lèi)型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起 。添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的 Windows 防火墻匹配傳入 流量就越精細(xì)。我們可以通過(guò)多種方式來(lái)配置 Server 20xx 防火墻和 IPSec 的設(shè)置和選項(xiàng)。 高級(jí)安全 Windows 防火墻的功能 降低 網(wǎng)絡(luò)安全威脅 高級(jí)安全 Windows 防火墻 減少了計(jì)算機(jī)的受攻擊面，為縱深防御模型提供附加層。減少計(jì)算機(jī)的攻擊面提高了可管理性，并降低了成功攻擊的可能性。網(wǎng)絡(luò)訪問(wèn)保護(hù) (NAP)（ Windows Server174。 20xx R2 和 Windows Server174。 20xx 中的一項(xiàng)功能）還幫助確?？蛻?hù)端計(jì)算機(jī)符合為連接到網(wǎng)絡(luò)的計(jì)算機(jī)定義 所需軟件和系統(tǒng)配置的策略。 NAP 集成有助于阻止符合標(biāo)準(zhǔn)與不符合標(biāo)準(zhǔn)的計(jì)算機(jī)之間的通信。 保護(hù)敏感數(shù)據(jù) 通過(guò)與 IPsec 的集成，高級(jí)安全 Windows 防火墻提供了一種簡(jiǎn)單的方法來(lái)強(qiáng)制執(zhí)行身份驗(yàn)證的端到端的網(wǎng)絡(luò)通信。它提供對(duì)受信任的網(wǎng)絡(luò)資源的可擴(kuò)展的分層訪問(wèn)，從而幫助強(qiáng)制執(zhí)行數(shù)據(jù)的完整性，并選擇性地幫助保護(hù)數(shù)據(jù)的機(jī)密性。 . 擴(kuò)展價(jià)值 因?yàn)楦呒?jí)安全 Windows 防火墻是 Windows174。 Windows Vista174。、 Server 20xx R2 和 Server 20xx 中附帶的基于主機(jī)的防火墻，并且由于它與 Active Directory 域服務(wù) (AD DS) 和組策略緊密集成，因此不需要額外的硬件和軟件。高級(jí)安全 Windows 防火墻在設(shè)計(jì)上還通過(guò)已歸檔的應(yīng)用程序編程接口 (API) 補(bǔ)充了現(xiàn)有的非 Microsoft 網(wǎng)絡(luò)安全解決方案。 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 3 高級(jí)安全 Windows 防火墻的 改進(jìn)和增強(qiáng) Windows Service Hardening： 安全強(qiáng)化從 系統(tǒng)開(kāi)使，在系統(tǒng)中的每個(gè) Service 都會(huì)存在一個(gè)訪問(wèn)系統(tǒng)和網(wǎng)絡(luò)等 方面的規(guī)則。假如當(dāng)你中了一些 rootkit 類(lèi)病毒時(shí)，這些病毒可能會(huì)劫持一些系統(tǒng)服務(wù)。而系統(tǒng)服務(wù)都會(huì)自帶一個(gè)幾乎不能修改的規(guī)則，當(dāng)高級(jí)安全防火墻檢測(cè)到這些服務(wù)存在異常行為時(shí)，便會(huì)阻止這些異常行為！此處體現(xiàn)了高級(jí)安全防火墻和其他防火墻相比最大的特點(diǎn)：與系統(tǒng)緊密結(jié)合！ 配置強(qiáng)化 相比以前 XP 的 Windows Firewall 而言，現(xiàn)在可配置的方面更加完善，可以同時(shí)配置入站和出站流量，并且可以針對(duì)程序全面配置。而 Windows Firewall 只能配置入站和部分程序的出站連接，在細(xì)節(jié)配置方面也只能 配置端口等。在這里，還存在這高級(jí)安全防火墻的另一個(gè)特點(diǎn)：可由網(wǎng)絡(luò)管理員在組策略中集中配置。所以此高級(jí)安全防火墻不僅僅是一個(gè)最終用戶(hù)的簡(jiǎn)單防火墻，而且非常適合在企業(yè)工作網(wǎng)絡(luò)中使用。因?yàn)槠髽I(yè)工作中邊界防火墻雖然強(qiáng)大，但還是會(huì)存在一些漏網(wǎng)之魚(yú)，此時(shí)就輪到我們的主機(jī)防火墻發(fā)揮作用了。 位置敏感 在高級(jí)安全防火墻中新增了位置敏感功能，該功能把電腦的網(wǎng)絡(luò)環(huán)境分為三類(lèi)：家庭網(wǎng)絡(luò)、工作網(wǎng)絡(luò)和公用網(wǎng)絡(luò)。而防火墻相應(yīng)的配置文件也是三類(lèi)：域配置文件、專(zhuān)用配置文件和公用配置文件。比如你的筆記本在家遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 4 中或在公司的網(wǎng) 絡(luò)中使用，一般不會(huì)有那么復(fù)雜的網(wǎng)絡(luò)環(huán)境，所以防火墻的規(guī)則一般會(huì)比較松散一些。而當(dāng)你出差或外出旅游時(shí)，你不免需要連接上一些公共網(wǎng)絡(luò)，而此時(shí)再使用你比較松散的專(zhuān)用網(wǎng)絡(luò)配置文件可能極易造成隱患，所以每當(dāng)你切換一個(gè)網(wǎng)絡(luò)類(lèi)型后防火墻都會(huì)提示你選擇合適的網(wǎng)絡(luò)類(lèi)型！一般我們可以從“網(wǎng)絡(luò)和共享中心”中查看和切換自己的網(wǎng)絡(luò)類(lèi)型。 比如我現(xiàn)在所處的是公用網(wǎng)絡(luò)，在這幾種網(wǎng)絡(luò)類(lèi)型中，公用網(wǎng)絡(luò)被防火墻認(rèn)定為最不安全的網(wǎng)絡(luò)類(lèi)型。所以在“高級(jí)共享設(shè)置內(nèi)”的設(shè)置默認(rèn)都為最安全級(jí)別防止你暴露在公開(kāi)的網(wǎng)絡(luò)壞境中！而相應(yīng)的家庭和工作網(wǎng)絡(luò)中設(shè)置則 寬松很多，可以很容易地與其他電腦共享與交流，其實(shí)還存在著另一種網(wǎng)絡(luò)類(lèi)型“域”網(wǎng)絡(luò)，如果你的電腦配置過(guò)“域”并且接入“域”網(wǎng)絡(luò)時(shí)，系統(tǒng)的配置文件便會(huì)自動(dòng)切換到“域配置文件”。在高級(jí)安全防火墻的主界面中的概述中，我們可以很清楚地看到現(xiàn)在激活的是那種網(wǎng)絡(luò)配置文件。另外，由于防火墻中同時(shí)存在著三種配置文件，當(dāng)你的設(shè)置不起作用時(shí)應(yīng)該注意下你是在哪個(gè)配置文件中更改了設(shè)置 。 多種方式進(jìn)入防火墻 盡管從 Windows XP 系統(tǒng)開(kāi)始，微軟公司就已經(jīng)將防火墻功能內(nèi)置在系統(tǒng)中了，不過(guò)該防火墻的功能還十分有限，往往 只能提供單向的安全保護(hù)，而不能提供雙向的安全保護(hù)，并且網(wǎng)絡(luò)管理員只能從系統(tǒng)的控制面板窗口中打開(kāi)防火墻程序界面。而在 Windows Server 20xx 服務(wù)器系統(tǒng)中，系統(tǒng)自帶防火墻的功能有了很大的進(jìn)步，網(wǎng)絡(luò)管理員既能像在 Windows XP 系統(tǒng)中那樣直接從控制面板窗口中訪問(wèn)自帶防火墻的用戶(hù)配置界面，又能從 MMC 控制臺(tái)中對(duì)自帶防火墻的各項(xiàng)高級(jí)功能進(jìn)行隨心所欲地配置。 在 Server 20xx 服務(wù)器系統(tǒng)，我們可以有兩種方式進(jìn)入防火墻的 Windows 配置界面，遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 5 不過(guò)這兩種配置界面的內(nèi)容卻是不一樣的；從系統(tǒng)控制面板窗 口進(jìn)入的防火墻配置界面屬于基本界面，這種界面往往適合初級(jí)用戶(hù)使用，從 MMC 控制臺(tái)中進(jìn)入的防火墻配置界面屬于高級(jí)界面，這種界面往往適合高級(jí)用戶(hù)使用，高級(jí)用戶(hù)可以在這里隨心所欲地控制服務(wù)器系統(tǒng)的數(shù)據(jù)流入和流出能力。除此而外，喜歡在 DOS 命令行下操作的朋友還能通過(guò) MSDOS 窗口中的命令在命令行模式配置服務(wù)器系統(tǒng)自帶防火墻，或者使用創(chuàng)建安全腳本的方式在多臺(tái)服務(wù)器系統(tǒng)中進(jìn)行防火墻參數(shù)的自動(dòng)配置。當(dāng)然，與舊版本系統(tǒng)下的防火墻程序 一樣，我們還能通過(guò)組策略的力量來(lái)控制服務(wù)器系統(tǒng)防火墻的配置操作。 從控制面板 進(jìn)入 我們知道，最初的系統(tǒng)自帶防火墻程序往往只提供了系統(tǒng)安全的單向防護(hù)能力，也就說(shuō)只能對(duì)進(jìn)入服務(wù)器系統(tǒng)的數(shù)據(jù)信息流進(jìn)行攔截審查，而不大容易出現(xiàn)由于防火墻參數(shù)配置不當(dāng)造成服務(wù)器系統(tǒng)安全性能下降的現(xiàn)象出現(xiàn)。在進(jìn)行這種初級(jí)配置時(shí)，我們可以通過(guò)服務(wù)器系統(tǒng)的控制窗口來(lái)打開(kāi)防火墻的基本配置界面就可以了，下面就是具體的打開(kāi)步驟： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊 “ 開(kāi)始 ”/“ 設(shè)置 ”/“ 控制面板 ” 命令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，就能 打開(kāi) Windows 防火墻的基本配置界面了，如圖 1 所示； 圖 1 其次在該配置界面的左側(cè)顯示區(qū)域單擊 “ 啟用或關(guān)閉 Windows 防火墻 ” 選項(xiàng)，在其后彈出的界面中單擊 “ 常規(guī) ” 標(biāo)簽，打開(kāi)如圖 2 所示的標(biāo)簽設(shè)置頁(yè)面，在該頁(yè)面中我們可以直接選擇 “ 啟用 ” 選項(xiàng)來(lái)啟用服務(wù)器系統(tǒng)自帶的防火墻功能，也可以直接選擇 “ 關(guān)閉 ” 選項(xiàng)來(lái)停用系統(tǒng)防火墻功能； 如圖 2 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 6 圖 2 當(dāng)我們啟用了服務(wù)器系統(tǒng)的防火墻功能后，在默認(rèn)狀態(tài)下，該防火墻程序會(huì)同時(shí)攔截所有程序去訪問(wèn)外部網(wǎng)絡(luò)，除了在 “ 例外 ” 標(biāo)簽頁(yè)面中設(shè)置的選項(xiàng)外。在這里， “ 阻止所有傳入連接 ” 選項(xiàng) 其實(shí)是一個(gè)非常有用的選項(xiàng)，特別是當(dāng)本地服務(wù)器系統(tǒng)處于一個(gè)不太安全的網(wǎng)絡(luò)時(shí)，該選項(xiàng)能夠臨時(shí)讓系統(tǒng)禁止 “ 例外 ” 標(biāo)簽頁(yè)面中設(shè)置的任何程序或服務(wù)訪問(wèn)網(wǎng)絡(luò)，一旦本地服務(wù)器系統(tǒng)處于一個(gè)比較安全的工作環(huán)境時(shí)，我們?cè)偃∠?“ 阻止所有傳入連接 ” 選項(xiàng)的選中狀態(tài)，以便恢復(fù)以前的正常設(shè)置操作。 與舊版本系統(tǒng)一樣，在對(duì) Server 20xx 服務(wù)器系統(tǒng)下的自帶防火墻進(jìn)行基本設(shè)置時(shí)，我們同樣可以在 “ 例外 ” 標(biāo)簽頁(yè)面中設(shè)置那些能夠直接訪問(wèn)網(wǎng)絡(luò)的程序或服務(wù)。我們可以直接通過(guò)單擊 “ 添加程序 ” 、 “ 添加端口 ” 按鈕來(lái)自行添加需要訪問(wèn)外部網(wǎng)絡(luò)的程序或 服務(wù)，來(lái)解除系統(tǒng)防火墻程序?qū)W(wǎng)絡(luò)訪問(wèn)的阻止。 如果本地服務(wù)器系統(tǒng)中有多條網(wǎng)絡(luò)連接時(shí)，我們還可以進(jìn)入防火墻的 “ 高級(jí) ” 標(biāo)簽頁(yè)面，然后根據(jù)實(shí)際情況選擇需要受防火墻保護(hù)的目標(biāo)網(wǎng)絡(luò)連接。如果發(fā)現(xiàn)防火墻中有許多參數(shù)沒(méi)有配置正確時(shí)，那可以直接單擊 “ 高級(jí) ” 標(biāo)簽頁(yè)面中的 “ 還原為默認(rèn)值 ” 按鈕，來(lái)快速取消所有的參數(shù)修改操作，以便將系統(tǒng)防火墻的參數(shù)設(shè)置恢復(fù)到系統(tǒng)起初安裝時(shí)的缺省狀態(tài) 。 從控制臺(tái)進(jìn)入 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 7 許多人常常會(huì)簡(jiǎn)單地認(rèn)為，只要及時(shí)為服務(wù)器系統(tǒng)安裝更新補(bǔ)丁程序，就能保證服務(wù)器系統(tǒng)不受網(wǎng)絡(luò)病毒或木馬的攻擊；事實(shí)上，給服務(wù) 器系統(tǒng)安裝補(bǔ)丁程序只是為了堵住系統(tǒng)的安全漏洞，但要是安裝在服務(wù)器系統(tǒng)中的應(yīng)用程序存在漏洞的話(huà)，那么服務(wù)器系統(tǒng)的安全還是沒(méi)有辦法保證。為了有效避免由于應(yīng)用程序漏洞而引起的服務(wù)器安全隱患問(wèn)題，我們就需要使用系統(tǒng)防火墻來(lái)拒絕存在安全漏洞的應(yīng)用程序去連接或訪問(wèn)網(wǎng)絡(luò)，這樣就能阻止網(wǎng)絡(luò)中的木馬或黑客通過(guò)應(yīng)用程序漏洞來(lái)攻擊服務(wù)器的安全了。下面，我們就來(lái)設(shè)置 Server 20xx 服務(wù)器系統(tǒng)自帶的防火墻程序，來(lái)預(yù)防應(yīng)用程序漏洞攻擊： 首先在 Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊 “ 開(kāi)始 ”/“ 設(shè)置 ”/“ 控制面板 ” 命 令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，打開(kāi) Windows 防火墻的基本配置界面； 其次單擊該基本配置界面中的 “ 更改設(shè)置 ” 選項(xiàng)，再單擊 “ 例外 ”標(biāo)簽，打開(kāi)標(biāo)簽設(shè)置頁(yè)面，在這里我們看到系統(tǒng)可能會(huì)使用網(wǎng)絡(luò)程序列表，選中的應(yīng)用程序就是被允許通過(guò)網(wǎng)絡(luò)的應(yīng)用程序，而那些沒(méi)有選中的應(yīng)用程序就是不允許通過(guò)網(wǎng)絡(luò)的應(yīng)用程序； 如果我們發(fā)現(xiàn)對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面中沒(méi)有目標(biāo)漏洞應(yīng)用程序，那我們可以單擊這里的 “ 添加程序 ” 按鈕，在彈出的文件選擇對(duì)話(huà)框中，將存在安全漏洞的應(yīng)用程序添加導(dǎo)入進(jìn)來(lái)，最 后單擊 “ 確定 ” 按鈕就能使上述設(shè)置生效了。 二 如何 配置高級(jí)防火墻 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 8 微軟的 Server 20xx 中防火墻的功能如此之簡(jiǎn)陋，讓很多系統(tǒng)管理員將其視為雞肋，它一直是一個(gè)簡(jiǎn)單的、僅支持入站防護(hù)、基于主機(jī)的狀態(tài)防火墻。而隨著 Server 20xx 的日漸向我們走近，其內(nèi)置的防火墻功能得到了巨大的改進(jìn)。下面讓我們一起來(lái)看一下這個(gè)新的高級(jí)防火墻將如何幫助我們防護(hù)系統(tǒng)，以及如何使用管理控制臺(tái)單元來(lái)配置它。 為什么你應(yīng)該使用這個(gè) Windows 的基于主機(jī)的防火墻 ? 今天許多公司正在使用外置安全硬件的方式來(lái)加固它們的 網(wǎng)絡(luò)。這意味著，它們使用防火墻和入侵保護(hù)系統(tǒng)在它們的網(wǎng)絡(luò)周?chē)⑵鹆艘坏楞~墻鐵壁，保護(hù)它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵。但是，如果一個(gè)攻擊者能夠攻破外圍的防線，從而獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，將只有 Windows認(rèn)證安全來(lái)阻止他們來(lái)訪問(wèn)公司最有價(jià)值的資產(chǎn) 它們的數(shù)據(jù)。這是因?yàn)榇蠖鄶?shù) IT 人士沒(méi)有使用基于主機(jī)的防火墻來(lái)加固他們的服務(wù)器的安全。為什么會(huì)出現(xiàn)這樣的情況呢 ?因?yàn)槎鄶?shù) IT 人士認(rèn)為，部署基于主機(jī)的防火墻所帶來(lái)的麻煩要大于它們帶來(lái)的價(jià)值。 在 Server 20xx 中，這個(gè)基于主機(jī)的防火墻被內(nèi)置在 Windows 中，已經(jīng)被預(yù)先安裝，與前面版本相比具有更多功能，而且更容易配置。它是加固一個(gè)關(guān)鍵的基礎(chǔ)服務(wù)器的最好方法之一。具有高級(jí)安全性的 Windows 防火墻結(jié)合了主機(jī)防火墻和 IPSec。與邊界防火墻不同，具有高級(jí)安全性的 Windows 防火墻在每臺(tái)運(yùn)行此版本 Windows 的計(jì)算機(jī)上運(yùn)行，并對(duì)可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全，使您可以對(duì)通信要求身份驗(yàn)證和數(shù)據(jù)保護(hù)。 高級(jí)規(guī)則配置 可以針對(duì) Server 上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī) 則以確定阻止還是允許流量通過(guò)具有高級(jí)安全性的 Windows 防火墻。傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的 Windows 防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的 Windows 防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)安全性的 Windows 防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目 (如果啟用了日志記錄 )。對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱(chēng)、系統(tǒng)服務(wù)名稱(chēng)、 TCP 端 口、 UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類(lèi)型 (如網(wǎng)絡(luò)遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 9 適配器 )、用戶(hù)、用戶(hù)組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、 ICMP 類(lèi)型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起 。添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的 Windows 防火墻匹配傳入流量就越精細(xì)。 通過(guò)增加雙向防護(hù)功能、一個(gè)更好的圖形界面和高級(jí)的規(guī)則配置，這個(gè)高級(jí)安全Windows 防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大，例如 ZoneAlarm Pro等。我知