【文章內(nèi)容簡介】 應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、 TCP 端口、 UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類型 (如網(wǎng)絡(luò)適配器 )、用戶、用戶組、計算機(jī)、計算機(jī)組、協(xié)議、 ICMP 類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起 。添加的標(biāo)準(zhǔn)越多，具有高級安全性的 Windows 防火墻匹配傳入 流量就越精細(xì)。我們可以通過多種方式來配置 Server 20xx 防火墻和 IPSec 的設(shè)置和選項。 高級安全 Windows 防火墻的功能 降低 網(wǎng)絡(luò)安全威脅 高級安全 Windows 防火墻 減少了計算機(jī)的受攻擊面，為縱深防御模型提供附加層。減少計算機(jī)的攻擊面提高了可管理性，并降低了成功攻擊的可能性。網(wǎng)絡(luò)訪問保護(hù) (NAP)（ Windows Server174。 20xx R2 和 Windows Server174。 20xx 中的一項功能）還幫助確?？蛻舳擞嬎銠C(jī)符合為連接到網(wǎng)絡(luò)的計算機(jī)定義 所需軟件和系統(tǒng)配置的策略。 NAP 集成有助于阻止符合標(biāo)準(zhǔn)與不符合標(biāo)準(zhǔn)的計算機(jī)之間的通信。 保護(hù)敏感數(shù)據(jù) 通過與 IPsec 的集成，高級安全 Windows 防火墻提供了一種簡單的方法來強(qiáng)制執(zhí)行身份驗證的端到端的網(wǎng)絡(luò)通信。它提供對受信任的網(wǎng)絡(luò)資源的可擴(kuò)展的分層訪問，從而幫助強(qiáng)制執(zhí)行數(shù)據(jù)的完整性，并選擇性地幫助保護(hù)數(shù)據(jù)的機(jī)密性。 . 擴(kuò)展價值 因為高級安全 Windows 防火墻是 Windows174。 Windows Vista174。、 Server 20xx R2 和 Server 20xx 中附帶的基于主機(jī)的防火墻，并且由于它與 Active Directory 域服務(wù) (AD DS) 和組策略緊密集成，因此不需要額外的硬件和軟件。高級安全 Windows 防火墻在設(shè)計上還通過已歸檔的應(yīng)用程序編程接口 (API) 補(bǔ)充了現(xiàn)有的非 Microsoft 網(wǎng)絡(luò)安全解決方案。 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 3 高級安全 Windows 防火墻的 改進(jìn)和增強(qiáng) Windows Service Hardening： 安全強(qiáng)化從 系統(tǒng)開使，在系統(tǒng)中的每個 Service 都會存在一個訪問系統(tǒng)和網(wǎng)絡(luò)等 方面的規(guī)則。假如當(dāng)你中了一些 rootkit 類病毒時，這些病毒可能會劫持一些系統(tǒng)服務(wù)。而系統(tǒng)服務(wù)都會自帶一個幾乎不能修改的規(guī)則，當(dāng)高級安全防火墻檢測到這些服務(wù)存在異常行為時，便會阻止這些異常行為！此處體現(xiàn)了高級安全防火墻和其他防火墻相比最大的特點：與系統(tǒng)緊密結(jié)合！ 配置強(qiáng)化 相比以前 XP 的 Windows Firewall 而言，現(xiàn)在可配置的方面更加完善，可以同時配置入站和出站流量，并且可以針對程序全面配置。而 Windows Firewall 只能配置入站和部分程序的出站連接，在細(xì)節(jié)配置方面也只能 配置端口等。在這里，還存在這高級安全防火墻的另一個特點：可由網(wǎng)絡(luò)管理員在組策略中集中配置。所以此高級安全防火墻不僅僅是一個最終用戶的簡單防火墻，而且非常適合在企業(yè)工作網(wǎng)絡(luò)中使用。因為企業(yè)工作中邊界防火墻雖然強(qiáng)大，但還是會存在一些漏網(wǎng)之魚，此時就輪到我們的主機(jī)防火墻發(fā)揮作用了。 位置敏感 在高級安全防火墻中新增了位置敏感功能，該功能把電腦的網(wǎng)絡(luò)環(huán)境分為三類：家庭網(wǎng)絡(luò)、工作網(wǎng)絡(luò)和公用網(wǎng)絡(luò)。而防火墻相應(yīng)的配置文件也是三類：域配置文件、專用配置文件和公用配置文件。比如你的筆記本在家遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 4 中或在公司的網(wǎng) 絡(luò)中使用，一般不會有那么復(fù)雜的網(wǎng)絡(luò)環(huán)境，所以防火墻的規(guī)則一般會比較松散一些。而當(dāng)你出差或外出旅游時，你不免需要連接上一些公共網(wǎng)絡(luò)，而此時再使用你比較松散的專用網(wǎng)絡(luò)配置文件可能極易造成隱患，所以每當(dāng)你切換一個網(wǎng)絡(luò)類型后防火墻都會提示你選擇合適的網(wǎng)絡(luò)類型！一般我們可以從“網(wǎng)絡(luò)和共享中心”中查看和切換自己的網(wǎng)絡(luò)類型。 比如我現(xiàn)在所處的是公用網(wǎng)絡(luò)，在這幾種網(wǎng)絡(luò)類型中，公用網(wǎng)絡(luò)被防火墻認(rèn)定為最不安全的網(wǎng)絡(luò)類型。所以在“高級共享設(shè)置內(nèi)”的設(shè)置默認(rèn)都為最安全級別防止你暴露在公開的網(wǎng)絡(luò)壞境中！而相應(yīng)的家庭和工作網(wǎng)絡(luò)中設(shè)置則 寬松很多，可以很容易地與其他電腦共享與交流，其實還存在著另一種網(wǎng)絡(luò)類型“域”網(wǎng)絡(luò)，如果你的電腦配置過“域”并且接入“域”網(wǎng)絡(luò)時，系統(tǒng)的配置文件便會自動切換到“域配置文件”。在高級安全防火墻的主界面中的概述中，我們可以很清楚地看到現(xiàn)在激活的是那種網(wǎng)絡(luò)配置文件。另外，由于防火墻中同時存在著三種配置文件，當(dāng)你的設(shè)置不起作用時應(yīng)該注意下你是在哪個配置文件中更改了設(shè)置 。 多種方式進(jìn)入防火墻 盡管從 Windows XP 系統(tǒng)開始，微軟公司就已經(jīng)將防火墻功能內(nèi)置在系統(tǒng)中了，不過該防火墻的功能還十分有限，往往 只能提供單向的安全保護(hù)，而不能提供雙向的安全保護(hù)，并且網(wǎng)絡(luò)管理員只能從系統(tǒng)的控制面板窗口中打開防火墻程序界面。而在 Windows Server 20xx 服務(wù)器系統(tǒng)中，系統(tǒng)自帶防火墻的功能有了很大的進(jìn)步，網(wǎng)絡(luò)管理員既能像在 Windows XP 系統(tǒng)中那樣直接從控制面板窗口中訪問自帶防火墻的用戶配置界面，又能從 MMC 控制臺中對自帶防火墻的各項高級功能進(jìn)行隨心所欲地配置。 在 Server 20xx 服務(wù)器系統(tǒng)，我們可以有兩種方式進(jìn)入防火墻的 Windows 配置界面，遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 5 不過這兩種配置界面的內(nèi)容卻是不一樣的；從系統(tǒng)控制面板窗 口進(jìn)入的防火墻配置界面屬于基本界面，這種界面往往適合初級用戶使用，從 MMC 控制臺中進(jìn)入的防火墻配置界面屬于高級界面，這種界面往往適合高級用戶使用，高級用戶可以在這里隨心所欲地控制服務(wù)器系統(tǒng)的數(shù)據(jù)流入和流出能力。除此而外，喜歡在 DOS 命令行下操作的朋友還能通過 MSDOS 窗口中的命令在命令行模式配置服務(wù)器系統(tǒng)自帶防火墻，或者使用創(chuàng)建安全腳本的方式在多臺服務(wù)器系統(tǒng)中進(jìn)行防火墻參數(shù)的自動配置。當(dāng)然，與舊版本系統(tǒng)下的防火墻程序 一樣，我們還能通過組策略的力量來控制服務(wù)器系統(tǒng)防火墻的配置操作。 從控制面板 進(jìn)入 我們知道，最初的系統(tǒng)自帶防火墻程序往往只提供了系統(tǒng)安全的單向防護(hù)能力，也就說只能對進(jìn)入服務(wù)器系統(tǒng)的數(shù)據(jù)信息流進(jìn)行攔截審查，而不大容易出現(xiàn)由于防火墻參數(shù)配置不當(dāng)造成服務(wù)器系統(tǒng)安全性能下降的現(xiàn)象出現(xiàn)。在進(jìn)行這種初級配置時，我們可以通過服務(wù)器系統(tǒng)的控制窗口來打開防火墻的基本配置界面就可以了，下面就是具體的打開步驟： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊 “ 開始 ”/“ 設(shè)置 ”/“ 控制面板 ” 命令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，就能 打開 Windows 防火墻的基本配置界面了，如圖 1 所示； 圖 1 其次在該配置界面的左側(cè)顯示區(qū)域單擊 “ 啟用或關(guān)閉 Windows 防火墻 ” 選項，在其后彈出的界面中單擊 “ 常規(guī) ” 標(biāo)簽，打開如圖 2 所示的標(biāo)簽設(shè)置頁面，在該頁面中我們可以直接選擇 “ 啟用 ” 選項來啟用服務(wù)器系統(tǒng)自帶的防火墻功能，也可以直接選擇 “ 關(guān)閉 ” 選項來停用系統(tǒng)防火墻功能； 如圖 2 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 6 圖 2 當(dāng)我們啟用了服務(wù)器系統(tǒng)的防火墻功能后，在默認(rèn)狀態(tài)下，該防火墻程序會同時攔截所有程序去訪問外部網(wǎng)絡(luò)，除了在 “ 例外 ” 標(biāo)簽頁面中設(shè)置的選項外。在這里， “ 阻止所有傳入連接 ” 選項 其實是一個非常有用的選項，特別是當(dāng)本地服務(wù)器系統(tǒng)處于一個不太安全的網(wǎng)絡(luò)時，該選項能夠臨時讓系統(tǒng)禁止 “ 例外 ” 標(biāo)簽頁面中設(shè)置的任何程序或服務(wù)訪問網(wǎng)絡(luò)，一旦本地服務(wù)器系統(tǒng)處于一個比較安全的工作環(huán)境時，我們再取消 “ 阻止所有傳入連接 ” 選項的選中狀態(tài)，以便恢復(fù)以前的正常設(shè)置操作。 與舊版本系統(tǒng)一樣，在對 Server 20xx 服務(wù)器系統(tǒng)下的自帶防火墻進(jìn)行基本設(shè)置時，我們同樣可以在 “ 例外 ” 標(biāo)簽頁面中設(shè)置那些能夠直接訪問網(wǎng)絡(luò)的程序或服務(wù)。我們可以直接通過單擊 “ 添加程序 ” 、 “ 添加端口 ” 按鈕來自行添加需要訪問外部網(wǎng)絡(luò)的程序或 服務(wù)，來解除系統(tǒng)防火墻程序?qū)W(wǎng)絡(luò)訪問的阻止。 如果本地服務(wù)器系統(tǒng)中有多條網(wǎng)絡(luò)連接時，我們還可以進(jìn)入防火墻的 “ 高級 ” 標(biāo)簽頁面，然后根據(jù)實際情況選擇需要受防火墻保護(hù)的目標(biāo)網(wǎng)絡(luò)連接。如果發(fā)現(xiàn)防火墻中有許多參數(shù)沒有配置正確時，那可以直接單擊 “ 高級 ” 標(biāo)簽頁面中的 “ 還原為默認(rèn)值 ” 按鈕，來快速取消所有的參數(shù)修改操作，以便將系統(tǒng)防火墻的參數(shù)設(shè)置恢復(fù)到系統(tǒng)起初安裝時的缺省狀態(tài) 。 從控制臺進(jìn)入 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 7 許多人常常會簡單地認(rèn)為，只要及時為服務(wù)器系統(tǒng)安裝更新補(bǔ)丁程序，就能保證服務(wù)器系統(tǒng)不受網(wǎng)絡(luò)病毒或木馬的攻擊；事實上，給服務(wù) 器系統(tǒng)安裝補(bǔ)丁程序只是為了堵住系統(tǒng)的安全漏洞，但要是安裝在服務(wù)器系統(tǒng)中的應(yīng)用程序存在漏洞的話，那么服務(wù)器系統(tǒng)的安全還是沒有辦法保證。為了有效避免由于應(yīng)用程序漏洞而引起的服務(wù)器安全隱患問題，我們就需要使用系統(tǒng)防火墻來拒絕存在安全漏洞的應(yīng)用程序去連接或訪問網(wǎng)絡(luò)，這樣就能阻止網(wǎng)絡(luò)中的木馬或黑客通過應(yīng)用程序漏洞來攻擊服務(wù)器的安全了。下面，我們就來設(shè)置 Server 20xx 服務(wù)器系統(tǒng)自帶的防火墻程序，來預(yù)防應(yīng)用程序漏洞攻擊： 首先在 Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊 “ 開始 ”/“ 設(shè)置 ”/“ 控制面板 ” 命 令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，打開 Windows 防火墻的基本配置界面； 其次單擊該基本配置界面中的 “ 更改設(shè)置 ” 選項，再單擊 “ 例外 ”標(biāo)簽，打開標(biāo)簽設(shè)置頁面，在這里我們看到系統(tǒng)可能會使用網(wǎng)絡(luò)程序列表，選中的應(yīng)用程序就是被允許通過網(wǎng)絡(luò)的應(yīng)用程序，而那些沒有選中的應(yīng)用程序就是不允許通過網(wǎng)絡(luò)的應(yīng)用程序； 如果我們發(fā)現(xiàn)對應(yīng)標(biāo)簽設(shè)置頁面中沒有目標(biāo)漏洞應(yīng)用程序，那我們可以單擊這里的 “ 添加程序 ” 按鈕，在彈出的文件選擇對話框中，將存在安全漏洞的應(yīng)用程序添加導(dǎo)入進(jìn)來，最 后單擊 “ 確定 ” 按鈕就能使上述設(shè)置生效了。 二 如何 配置高級防火墻 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 8 微軟的 Server 20xx 中防火墻的功能如此之簡陋，讓很多系統(tǒng)管理員將其視為雞肋，它一直是一個簡單的、僅支持入站防護(hù)、基于主機(jī)的狀態(tài)防火墻。而隨著 Server 20xx 的日漸向我們走近，其內(nèi)置的防火墻功能得到了巨大的改進(jìn)。下面讓我們一起來看一下這個新的高級防火墻將如何幫助我們防護(hù)系統(tǒng)，以及如何使用管理控制臺單元來配置它。 為什么你應(yīng)該使用這個 Windows 的基于主機(jī)的防火墻 ? 今天許多公司正在使用外置安全硬件的方式來加固它們的 網(wǎng)絡(luò)。這意味著，它們使用防火墻和入侵保護(hù)系統(tǒng)在它們的網(wǎng)絡(luò)周圍建立起了一道銅墻鐵壁，保護(hù)它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵。但是，如果一個攻擊者能夠攻破外圍的防線，從而獲得對內(nèi)部網(wǎng)絡(luò)的訪問，將只有 Windows認(rèn)證安全來阻止他們來訪問公司最有價值的資產(chǎn) 它們的數(shù)據(jù)。這是因為大多數(shù) IT 人士沒有使用基于主機(jī)的防火墻來加固他們的服務(wù)器的安全。為什么會出現(xiàn)這樣的情況呢 ?因為多數(shù) IT 人士認(rèn)為，部署基于主機(jī)的防火墻所帶來的麻煩要大于它們帶來的價值。 在 Server 20xx 中，這個基于主機(jī)的防火墻被內(nèi)置在 Windows 中，已經(jīng)被預(yù)先安裝，與前面版本相比具有更多功能，而且更容易配置。它是加固一個關(guān)鍵的基礎(chǔ)服務(wù)器的最好方法之一。具有高級安全性的 Windows 防火墻結(jié)合了主機(jī)防火墻和 IPSec。與邊界防火墻不同，具有高級安全性的 Windows 防火墻在每臺運行此版本 Windows 的計算機(jī)上運行，并對可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還提供計算機(jī)到計算機(jī)的連接安全，使您可以對通信要求身份驗證和數(shù)據(jù)保護(hù)。 高級規(guī)則配置 可以針對 Server 上的各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī) 則以確定阻止還是允許流量通過具有高級安全性的 Windows 防火墻。傳入數(shù)據(jù)包到達(dá)計算機(jī)時，具有高級安全性的 Windows 防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級安全性的 Windows 防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級安全性的 Windows 防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目 (如果啟用了日志記錄 )。對規(guī)則進(jìn)行配置時，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、 TCP 端 口、 UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類型 (如網(wǎng)絡(luò)遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 9 適配器 )、用戶、用戶組、計算機(jī)、計算機(jī)組、協(xié)議、 ICMP 類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起 。添加的標(biāo)準(zhǔn)越多，具有高級安全性的 Windows 防火墻匹配傳入流量就越精細(xì)。 通過增加雙向防護(hù)功能、一個更好的圖形界面和高級的規(guī)則配置，這個高級安全Windows 防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大，例如 ZoneAlarm Pro等。我知