【文章內容簡介】 應用程序名稱、系統服務名稱、 TCP 端口、 UDP 端口、本地 IP 地址、遠程 IP 地址、配置文件、接口類型 (如網絡適配器 )、用戶、用戶組、計算機、計算機組、協議、 ICMP 類型等。規(guī)則中的標準添加在一起 。添加的標準越多，具有高級安全性的 Windows 防火墻匹配傳入 流量就越精細。我們可以通過多種方式來配置 Server 20xx 防火墻和 IPSec 的設置和選項。 高級安全 Windows 防火墻的功能 降低 網絡安全威脅 高級安全 Windows 防火墻 減少了計算機的受攻擊面，為縱深防御模型提供附加層。減少計算機的攻擊面提高了可管理性，并降低了成功攻擊的可能性。網絡訪問保護 (NAP)（ Windows Server174。 20xx R2 和 Windows Server174。 20xx 中的一項功能）還幫助確?？蛻舳擞嬎銠C符合為連接到網絡的計算機定義 所需軟件和系統配置的策略。 NAP 集成有助于阻止符合標準與不符合標準的計算機之間的通信。 保護敏感數據 通過與 IPsec 的集成，高級安全 Windows 防火墻提供了一種簡單的方法來強制執(zhí)行身份驗證的端到端的網絡通信。它提供對受信任的網絡資源的可擴展的分層訪問，從而幫助強制執(zhí)行數據的完整性，并選擇性地幫助保護數據的機密性。 . 擴展價值 因為高級安全 Windows 防火墻是 Windows174。 Windows Vista174。、 Server 20xx R2 和 Server 20xx 中附帶的基于主機的防火墻，并且由于它與 Active Directory 域服務 (AD DS) 和組策略緊密集成，因此不需要額外的硬件和軟件。高級安全 Windows 防火墻在設計上還通過已歸檔的應用程序編程接口 (API) 補充了現有的非 Microsoft 網絡安全解決方案。 遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 3 高級安全 Windows 防火墻的 改進和增強 Windows Service Hardening： 安全強化從 系統開使，在系統中的每個 Service 都會存在一個訪問系統和網絡等 方面的規(guī)則。假如當你中了一些 rootkit 類病毒時，這些病毒可能會劫持一些系統服務。而系統服務都會自帶一個幾乎不能修改的規(guī)則，當高級安全防火墻檢測到這些服務存在異常行為時，便會阻止這些異常行為！此處體現了高級安全防火墻和其他防火墻相比最大的特點：與系統緊密結合！ 配置強化 相比以前 XP 的 Windows Firewall 而言，現在可配置的方面更加完善，可以同時配置入站和出站流量，并且可以針對程序全面配置。而 Windows Firewall 只能配置入站和部分程序的出站連接，在細節(jié)配置方面也只能 配置端口等。在這里，還存在這高級安全防火墻的另一個特點：可由網絡管理員在組策略中集中配置。所以此高級安全防火墻不僅僅是一個最終用戶的簡單防火墻，而且非常適合在企業(yè)工作網絡中使用。因為企業(yè)工作中邊界防火墻雖然強大，但還是會存在一些漏網之魚，此時就輪到我們的主機防火墻發(fā)揮作用了。 位置敏感 在高級安全防火墻中新增了位置敏感功能，該功能把電腦的網絡環(huán)境分為三類：家庭網絡、工作網絡和公用網絡。而防火墻相應的配置文件也是三類：域配置文件、專用配置文件和公用配置文件。比如你的筆記本在家遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 4 中或在公司的網 絡中使用，一般不會有那么復雜的網絡環(huán)境，所以防火墻的規(guī)則一般會比較松散一些。而當你出差或外出旅游時，你不免需要連接上一些公共網絡，而此時再使用你比較松散的專用網絡配置文件可能極易造成隱患，所以每當你切換一個網絡類型后防火墻都會提示你選擇合適的網絡類型！一般我們可以從“網絡和共享中心”中查看和切換自己的網絡類型。 比如我現在所處的是公用網絡，在這幾種網絡類型中，公用網絡被防火墻認定為最不安全的網絡類型。所以在“高級共享設置內”的設置默認都為最安全級別防止你暴露在公開的網絡壞境中！而相應的家庭和工作網絡中設置則 寬松很多，可以很容易地與其他電腦共享與交流，其實還存在著另一種網絡類型“域”網絡，如果你的電腦配置過“域”并且接入“域”網絡時，系統的配置文件便會自動切換到“域配置文件”。在高級安全防火墻的主界面中的概述中，我們可以很清楚地看到現在激活的是那種網絡配置文件。另外，由于防火墻中同時存在著三種配置文件，當你的設置不起作用時應該注意下你是在哪個配置文件中更改了設置 。 多種方式進入防火墻 盡管從 Windows XP 系統開始，微軟公司就已經將防火墻功能內置在系統中了，不過該防火墻的功能還十分有限，往往 只能提供單向的安全保護，而不能提供雙向的安全保護，并且網絡管理員只能從系統的控制面板窗口中打開防火墻程序界面。而在 Windows Server 20xx 服務器系統中，系統自帶防火墻的功能有了很大的進步，網絡管理員既能像在 Windows XP 系統中那樣直接從控制面板窗口中訪問自帶防火墻的用戶配置界面，又能從 MMC 控制臺中對自帶防火墻的各項高級功能進行隨心所欲地配置。 在 Server 20xx 服務器系統，我們可以有兩種方式進入防火墻的 Windows 配置界面，遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 5 不過這兩種配置界面的內容卻是不一樣的；從系統控制面板窗 口進入的防火墻配置界面屬于基本界面，這種界面往往適合初級用戶使用，從 MMC 控制臺中進入的防火墻配置界面屬于高級界面，這種界面往往適合高級用戶使用，高級用戶可以在這里隨心所欲地控制服務器系統的數據流入和流出能力。除此而外，喜歡在 DOS 命令行下操作的朋友還能通過 MSDOS 窗口中的命令在命令行模式配置服務器系統自帶防火墻，或者使用創(chuàng)建安全腳本的方式在多臺服務器系統中進行防火墻參數的自動配置。當然，與舊版本系統下的防火墻程序 一樣，我們還能通過組策略的力量來控制服務器系統防火墻的配置操作。 從控制面板 進入 我們知道，最初的系統自帶防火墻程序往往只提供了系統安全的單向防護能力，也就說只能對進入服務器系統的數據信息流進行攔截審查，而不大容易出現由于防火墻參數配置不當造成服務器系統安全性能下降的現象出現。在進行這種初級配置時，我們可以通過服務器系統的控制窗口來打開防火墻的基本配置界面就可以了，下面就是具體的打開步驟： 首先在 Windows Server 20xx 服務器系統桌面中，依次單擊 “ 開始 ”/“ 設置 ”/“ 控制面板 ” 命令，在彈出的系統控制面板窗口中，找到 Windows 防火墻圖標，并用鼠標雙擊該圖標，就能 打開 Windows 防火墻的基本配置界面了，如圖 1 所示； 圖 1 其次在該配置界面的左側顯示區(qū)域單擊 “ 啟用或關閉 Windows 防火墻 ” 選項，在其后彈出的界面中單擊 “ 常規(guī) ” 標簽，打開如圖 2 所示的標簽設置頁面，在該頁面中我們可以直接選擇 “ 啟用 ” 選項來啟用服務器系統自帶的防火墻功能，也可以直接選擇 “ 關閉 ” 選項來停用系統防火墻功能； 如圖 2 遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 6 圖 2 當我們啟用了服務器系統的防火墻功能后，在默認狀態(tài)下，該防火墻程序會同時攔截所有程序去訪問外部網絡，除了在 “ 例外 ” 標簽頁面中設置的選項外。在這里， “ 阻止所有傳入連接 ” 選項 其實是一個非常有用的選項，特別是當本地服務器系統處于一個不太安全的網絡時，該選項能夠臨時讓系統禁止 “ 例外 ” 標簽頁面中設置的任何程序或服務訪問網絡，一旦本地服務器系統處于一個比較安全的工作環(huán)境時，我們再取消 “ 阻止所有傳入連接 ” 選項的選中狀態(tài)，以便恢復以前的正常設置操作。 與舊版本系統一樣，在對 Server 20xx 服務器系統下的自帶防火墻進行基本設置時，我們同樣可以在 “ 例外 ” 標簽頁面中設置那些能夠直接訪問網絡的程序或服務。我們可以直接通過單擊 “ 添加程序 ” 、 “ 添加端口 ” 按鈕來自行添加需要訪問外部網絡的程序或 服務，來解除系統防火墻程序對網絡訪問的阻止。 如果本地服務器系統中有多條網絡連接時，我們還可以進入防火墻的 “ 高級 ” 標簽頁面，然后根據實際情況選擇需要受防火墻保護的目標網絡連接。如果發(fā)現防火墻中有許多參數沒有配置正確時，那可以直接單擊 “ 高級 ” 標簽頁面中的 “ 還原為默認值 ” 按鈕，來快速取消所有的參數修改操作，以便將系統防火墻的參數設置恢復到系統起初安裝時的缺省狀態(tài) 。 從控制臺進入 遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 7 許多人常常會簡單地認為，只要及時為服務器系統安裝更新補丁程序，就能保證服務器系統不受網絡病毒或木馬的攻擊；事實上，給服務 器系統安裝補丁程序只是為了堵住系統的安全漏洞，但要是安裝在服務器系統中的應用程序存在漏洞的話，那么服務器系統的安全還是沒有辦法保證。為了有效避免由于應用程序漏洞而引起的服務器安全隱患問題，我們就需要使用系統防火墻來拒絕存在安全漏洞的應用程序去連接或訪問網絡，這樣就能阻止網絡中的木馬或黑客通過應用程序漏洞來攻擊服務器的安全了。下面，我們就來設置 Server 20xx 服務器系統自帶的防火墻程序，來預防應用程序漏洞攻擊： 首先在 Server 20xx 服務器系統桌面中，依次單擊 “ 開始 ”/“ 設置 ”/“ 控制面板 ” 命 令，在彈出的系統控制面板窗口中，找到 Windows 防火墻圖標，并用鼠標雙擊該圖標，打開 Windows 防火墻的基本配置界面； 其次單擊該基本配置界面中的 “ 更改設置 ” 選項，再單擊 “ 例外 ”標簽，打開標簽設置頁面，在這里我們看到系統可能會使用網絡程序列表，選中的應用程序就是被允許通過網絡的應用程序，而那些沒有選中的應用程序就是不允許通過網絡的應用程序； 如果我們發(fā)現對應標簽設置頁面中沒有目標漏洞應用程序，那我們可以單擊這里的 “ 添加程序 ” 按鈕，在彈出的文件選擇對話框中，將存在安全漏洞的應用程序添加導入進來，最 后單擊 “ 確定 ” 按鈕就能使上述設置生效了。 二 如何 配置高級防火墻 遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 8 微軟的 Server 20xx 中防火墻的功能如此之簡陋，讓很多系統管理員將其視為雞肋，它一直是一個簡單的、僅支持入站防護、基于主機的狀態(tài)防火墻。而隨著 Server 20xx 的日漸向我們走近，其內置的防火墻功能得到了巨大的改進。下面讓我們一起來看一下這個新的高級防火墻將如何幫助我們防護系統，以及如何使用管理控制臺單元來配置它。 為什么你應該使用這個 Windows 的基于主機的防火墻 ? 今天許多公司正在使用外置安全硬件的方式來加固它們的 網絡。這意味著，它們使用防火墻和入侵保護系統在它們的網絡周圍建立起了一道銅墻鐵壁，保護它們自然免受互聯網上惡意攻擊者的入侵。但是，如果一個攻擊者能夠攻破外圍的防線，從而獲得對內部網絡的訪問，將只有 Windows認證安全來阻止他們來訪問公司最有價值的資產 它們的數據。這是因為大多數 IT 人士沒有使用基于主機的防火墻來加固他們的服務器的安全。為什么會出現這樣的情況呢 ?因為多數 IT 人士認為，部署基于主機的防火墻所帶來的麻煩要大于它們帶來的價值。 在 Server 20xx 中，這個基于主機的防火墻被內置在 Windows 中，已經被預先安裝，與前面版本相比具有更多功能，而且更容易配置。它是加固一個關鍵的基礎服務器的最好方法之一。具有高級安全性的 Windows 防火墻結合了主機防火墻和 IPSec。與邊界防火墻不同，具有高級安全性的 Windows 防火墻在每臺運行此版本 Windows 的計算機上運行，并對可能穿越邊界網絡或源于組織內部的網絡攻擊提供本地保護。它還提供計算機到計算機的連接安全，使您可以對通信要求身份驗證和數據保護。 高級規(guī)則配置 可以針對 Server 上的各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī) 則以確定阻止還是允許流量通過具有高級安全性的 Windows 防火墻。傳入數據包到達計算機時，具有高級安全性的 Windows 防火墻檢查該數據包，并確定它是否符合防火墻規(guī)則中指定的標準。如果數據包與規(guī)則中的標準匹配，則具有高級安全性的 Windows 防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數據包與規(guī)則中的標準不匹配，則具有高級安全性的 Windows 防火墻丟棄該數據包，并在防火墻日志文件中創(chuàng)建條目 (如果啟用了日志記錄 )。對規(guī)則進行配置時，可以從各種標準中進行選擇：例如應用程序名稱、系統服務名稱、 TCP 端 口、 UDP 端口、本地 IP 地址、遠程 IP 地址、配置文件、接口類型 (如網絡遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 9 適配器 )、用戶、用戶組、計算機、計算機組、協議、 ICMP 類型等。規(guī)則中的標準添加在一起 。添加的標準越多，具有高級安全性的 Windows 防火墻匹配傳入流量就越精細。 通過增加雙向防護功能、一個更好的圖形界面和高級的規(guī)則配置，這個高級安全Windows 防火墻正在變得和傳統的基于主機的防火墻一樣強大，例如 ZoneAlarm Pro等。我知