【導(dǎo)讀】高級功能進(jìn)行隨心所欲的配置，在防火墻日志文件中創(chuàng)建條目等等。對防火墻的應(yīng)用，加強(qiáng)電腦安全管理。護(hù)，可以對出站、入站通信進(jìn)行過濾。其次它將Windows防火墻功能和Inter協(xié)。議安全集成到一個控制臺中。使用這些高級選項(xiàng)可以按照環(huán)境所需的方式配。置密鑰交換、數(shù)據(jù)保護(hù)以及身份驗(yàn)證設(shè)置。而且WFAS還可以實(shí)現(xiàn)更。Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級安全。性的Windows防火墻匹配傳入流量就越精細(xì)。Server20xx防火墻和IPSec的設(shè)置和選項(xiàng)。

　　

【正文】 我們就需要對 Server 20xx 系統(tǒng)防火墻進(jìn)行合適配置，讓其允許文件和打印共享操作連接網(wǎng)絡(luò) 。按理來說，進(jìn)入 Server 20xx 系統(tǒng)防火墻的基本配置界面，我們就可以非常輕松地完成這種設(shè)置操 作。然而有的時候，我們會遇到無法進(jìn)入防火墻基本配置界面的特殊現(xiàn)象，這個時候我們該如何讓防火墻允許文件和打印共享操作通行呢 ?其實(shí)很簡單，我們可以通過命令來配置 Server 20xx 系統(tǒng)防火墻，讓其允許文件和打印共享操作連接網(wǎng)絡(luò) 。 操作 步驟 首先按照前面的操作步驟將系統(tǒng)屏幕切換到 DOS 命令行工作窗口，在該工作窗口的DOS 命令提示符下，輸入字符串命令 “sh” ，單擊回車鍵后將系統(tǒng)切換到 sh 命令配置狀態(tài)，然后輸入字符串命令 “firewall” ，單擊回車鍵后，再將系統(tǒng)切換到 Windows遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 21 防火墻的命令設(shè)置環(huán)境 。 其次在 “sh firewall” 提示符下，輸入字符串命令 “set opmode enable” ，單擊回車鍵后，進(jìn)入系統(tǒng)防火墻的全局操作模式 。考慮到文件和打印共享操作需要開啟TCP13 TCP44 UDP13 UDP138 端口，為此我們可以在 “sh firewall” 提示符下依次執(zhí)行字符串命令 “add portopening TCP 139 blah enable sub” 、 “add portopening TCP 445 blah enable sub” 、 “add portopening UDP 137 blah enable sub” 、 “add portopening UDP 138 blah enable sub” ，如圖 2 所示 。 當(dāng)上述命令都返回 “ 確定 ” 提示時，那就說明這些命令已經(jīng)被成功執(zhí)行了，這時候Windows Server 20xx 系統(tǒng)防火墻就會自動開啟 TCP13 TCP44 UDP13 UDP138 等端口了，而這些端口一旦被成功啟用后，我們就能通過這些端口訪問到安裝在 Windows Server 20xx 系統(tǒng)中的網(wǎng)絡(luò)打 印機(jī)了。為了驗(yàn)證上面的操作是否成功，我們可以在 DOS命令行中執(zhí)行 “stat ano” 字符串命令，從其后出現(xiàn)的結(jié)果界面中我們可以清楚地看到服務(wù)器系統(tǒng)已經(jīng)打開的所有端口了，如果看到 TCP13 TCP44 UDP13 UDP138端口已經(jīng)處于開通狀態(tài)時，那就說明上述字符串命令已經(jīng)被執(zhí)行成功了。 設(shè)置 連接處于安全保護(hù)狀態(tài) 有的時候， Inter 中的不少病毒程序或非法攻擊者會利用一些應(yīng)用程序的漏洞來攻擊 Server 20xx 服務(wù)器系統(tǒng)，而我們并不清楚究竟哪些應(yīng)用程序存在安全漏洞， 所以我們也就不能合理通過 Windows Server 20xx 系統(tǒng)防火墻來禁止漏洞程序連接網(wǎng)絡(luò)，如此一來 Server 20xx 服務(wù)器系統(tǒng)的安全性就無法得到保證了 。這個時候，我們不妨設(shè)置Server 20xx 系 統(tǒng)的組策略參數(shù)，來要求系統(tǒng)防火墻程序?qū)λ芯W(wǎng)絡(luò)連接進(jìn)行安全保護(hù) 。 操作 步驟 首先打開 s Server 20xx 系統(tǒng)的 “ 開始 ” 菜單，從中點(diǎn)選 “ 運(yùn)行 ” 選項(xiàng)，打開對應(yīng)系統(tǒng)的運(yùn)行對話框，在其中輸入 “” 字符串命令，單擊 “ 確定 ” 按鈕后，打開對應(yīng)系統(tǒng)的組策略控制臺窗口 。 其次 從該控制臺窗口的左側(cè)顯示區(qū)域選中 “ 計(jì)算機(jī)配置 ” 分支選項(xiàng)，再從該分支下面逐一選中 “ 管理模板 ” 、 “ 網(wǎng)絡(luò) ” 、 “ 網(wǎng)絡(luò)連接 ” 、 “Windows 防火墻 ” 、 “ 標(biāo)準(zhǔn)配置文件 ” 子項(xiàng)，在對應(yīng) “ 標(biāo)準(zhǔn)配置文件 ” 子項(xiàng)下面找到目標(biāo)組策略 “Windows 防火墻：遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 22 保護(hù)所有網(wǎng)絡(luò)連接 ” 選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開組策略屬性設(shè)置對話框 。 檢查其中的 “ 已啟用 ” 選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)它還沒有被選中時，我們應(yīng)該及時將它重新選中，再單擊 “ 確定 ” 按鈕保存好設(shè)置操作，這樣的話 Server 20xx服務(wù)器系統(tǒng)防火墻日后就能對本地系統(tǒng)中的所有網(wǎng)絡(luò) 連接進(jìn)行安全保護(hù)了。 設(shè)置 防火墻規(guī)則 大家知道，每次向服務(wù)器系統(tǒng)發(fā)送 Ping 命令測試通信包時，服務(wù)器系統(tǒng)往往都需要騰出一定的系統(tǒng)資源來進(jìn)行回復(fù)應(yīng)答，要是某個時候同時向服務(wù)器系統(tǒng)發(fā)送若干個 Ping命令測試通信包時，那么服務(wù)器系統(tǒng)就需要消耗更多的系統(tǒng)資源來對它們進(jìn)行一一回復(fù)，一旦達(dá)到一定程度后，服務(wù)器系統(tǒng)中的有限系統(tǒng)資源可能都會被使用掉。 Inter中的不少病毒程序或非法攻擊者常常會通過這種方法來對重要服務(wù)器系統(tǒng)實(shí)施 Ping 攻擊，從而造成服務(wù)器系統(tǒng)發(fā)生癱瘓現(xiàn)象 。為了禁止 Ping 命令攻擊 Server 20xx 服務(wù)器系統(tǒng)，我們可以對系統(tǒng)自帶防火墻進(jìn)行合適設(shè)置 。 操作 步驟 首先以特權(quán)身份進(jìn)入到 Server 20xx 服務(wù)器系統(tǒng)，依次單擊 “ 開始 ”/“ 程序 ”/“ 服務(wù)器管理器 ” 菜單選項(xiàng)，打開本地系統(tǒng)的服務(wù)器管理器窗口，從該窗口左側(cè)顯示區(qū)域的 “ 配置 ” 分支下面，點(diǎn)選 “ 高級安全 Windows 防火墻 ” 選項(xiàng) 。 其次在對應(yīng) “ 高級安全 Windows 防火墻 ” 選項(xiàng)的中間顯示區(qū)域，單擊 “ 入站規(guī)則 ”項(xiàng)目，并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行 “ 新規(guī)則 ” 命令，此時屏幕上將會自動出現(xiàn)一個如圖 3 所示的新規(guī) 則創(chuàng)建向?qū)υ捒?，選中該對話框中的 “ 自定義 ” 選項(xiàng) 。 繼續(xù)單擊向?qū)υ捒蛑械?“ 下一步 ” 按鈕，在其后出現(xiàn)的設(shè)置頁面中選中 “ 所有程序 ” 選項(xiàng)，同時依照屏幕默認(rèn)提示將網(wǎng)絡(luò)通信協(xié)議類型參數(shù)選擇為 “ICMPv4” ，再將連接條件參數(shù)選擇為 “ 阻止連接 ” ，之后依照實(shí)際工作環(huán)境設(shè)置好應(yīng)用該新安全規(guī)則的使用場合，最后為新創(chuàng)建的安全規(guī)則設(shè)置一個適當(dāng)?shù)拿Q，這樣的話局域網(wǎng)中的任何一位用戶都不能對 Server 20xx 服務(wù)器系統(tǒng)進(jìn)行惡意 Ping 攻擊了。 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 23 如何應(yīng)用防火墻允許被 Ping 在 Server 20xx 上是 不允許從外部對其執(zhí)行 Ping 指令的，如果要配置允許被 Ping 通過以 往的設(shè) 置步驟會 發(fā)現(xiàn)并 不能從 Windows firewall 里找到 ICMP 的相關(guān)配置項(xiàng)，而該規(guī)則的操作現(xiàn)在必須通過“高級安全 Windows 防火墻” 進(jìn)行配置。 操作 步驟 1. 打開管理工具中的“高級安全 Windows 防火墻”； 2. 在左側(cè)導(dǎo)航窗體中定位到“入站規(guī)則”，之后在入站規(guī)則中找到配置文件類型為“公共”的“文件和 打印共享（回顯請求 – ICMPv4In）”規(guī)則，設(shè)置為允許 如圖13 圖 12 注：我們 可以根據(jù)需要選擇在何種網(wǎng)絡(luò)環(huán)境中（域、專用或公共）允許該規(guī)則，如果網(wǎng)絡(luò)使用了 IPv6，則同時要允許 ICMPv6In 的規(guī)則。 此外，我們還可以通過命令行方式來執(zhí)行入站 Ping 的規(guī)則是啟用還是禁用，命令如下： sh firewall set icmpsetting 8 sh firewall set icmpsetting 8 disable 四 防火墻 的安全保護(hù) 遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 24 預(yù)防 Ping 命令攻擊 在局域網(wǎng)環(huán)境中，常常有一些惡意用戶使用 Ping 命令向服務(wù)器系統(tǒng)連 續(xù)發(fā)送一些大容量的數(shù)據(jù)包，這就可能導(dǎo)致服務(wù)器系統(tǒng)運(yùn)行死機(jī)，此外非法攻擊者還 能通過 ping 命令的一些參數(shù)獲得服務(wù)器系統(tǒng)的相關(guān)運(yùn)行狀態(tài)信息，并根據(jù)這些信息對服務(wù)器系統(tǒng)實(shí)施有針對性的攻擊。為了保護(hù) Windows Server 20xx 服務(wù)器系統(tǒng)的運(yùn)行穩(wěn)定性，避免服務(wù)器主機(jī)遭受 Ping 命令攻擊，我們可以按照如下步驟來設(shè)置防火墻的安全規(guī)則： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中依次點(diǎn)選“程序”、“管理工具”命令，再從下級菜單中選擇“高級安全 Windows防火墻”選項(xiàng) 。 隨后系統(tǒng)會自動彈出高級安全 Windows 防火墻配置窗口，在該窗口左側(cè)列表窗格中單擊“入站規(guī)則”選項(xiàng)，再用鼠標(biāo)右鍵單擊該選項(xiàng)，并從其后的右鍵 菜單中選擇“新規(guī)則”選項(xiàng)，打開新規(guī)則創(chuàng)建向?qū)Ы缑?，選中該界面中的“自定義”項(xiàng)目； 。 接著單擊“下一步”按鈕，選中其后頁面中的“所有程序”項(xiàng)目，之后按照提示將網(wǎng)絡(luò)協(xié)議類型設(shè)置為“ ICMPv4”，將連接條件設(shè)置為“阻止連接”，同時根 據(jù)實(shí)際工作環(huán)境設(shè)置好應(yīng)用該新規(guī)則的具體場合，最后為新創(chuàng)建的安全規(guī)則取一個合適的名稱，如此一來局域網(wǎng)中的任何非法用戶就無法對 Windows Server 20xx 服務(wù)器系統(tǒng)實(shí)施 Ping 命令攻擊了。 預(yù)防程序漏洞攻擊 許多人常常會簡單地認(rèn)為，只要及時為服務(wù)器系統(tǒng)安裝更新補(bǔ)丁程序，就能保證服務(wù)器系統(tǒng)不受網(wǎng)絡(luò)病毒或木馬的攻擊；事實(shí)上，給服務(wù)器系統(tǒng)安裝補(bǔ)丁程序 只是為了堵住系統(tǒng)的安全漏洞，但要是安裝在服務(wù)器系統(tǒng)中的應(yīng)用程序存在漏洞的話，那么服務(wù)器系統(tǒng)的安全還是沒有辦法保證。 為了有效避免由于應(yīng)用程序漏洞而 引起的服務(wù)器安全隱患問題，我們就需要使用系統(tǒng)防火墻來拒絕存在安全漏洞的應(yīng)用程序去連接或訪問網(wǎng)絡(luò)，這樣就能阻止網(wǎng)絡(luò)中的木馬或黑客通過應(yīng)用程序漏洞來 攻擊服務(wù)器的安全了。 下面，我們就來設(shè)置 Windows Server 20xx 服務(wù)器系統(tǒng)自帶的防火墻程序，來預(yù)防應(yīng)用程序漏洞攻擊：首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中，依次單擊“開始”遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 25 /“設(shè)置” /“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，打開 Windows 防火墻的基本配置界面；其次單擊該基本配置界面中的“更改設(shè)置”選項(xiàng)，再單擊“例外”標(biāo)簽，打開標(biāo)簽設(shè)置頁面，在這里我們看到系統(tǒng)可能會使用網(wǎng)絡(luò)程序列表，選中 的應(yīng)用程序就是被允許通過網(wǎng)絡(luò)的應(yīng)用程序，而那些沒有選中的應(yīng)用程序就是不允許通過網(wǎng)絡(luò)的應(yīng)用程序；如果我們發(fā)現(xiàn)對應(yīng)標(biāo)簽設(shè)置頁面中沒有目標(biāo)漏洞應(yīng)用程序，那我們可以單擊這里的“添加程序”按鈕，在彈出的文件選擇對話框中，將存在安全漏洞的應(yīng)用程序添加導(dǎo)入進(jìn)來，最后單擊“確定”按鈕就能使上述設(shè)置生效了。 強(qiáng)行保護(hù)所有連接 有時候，我們根本不知道哪些應(yīng)用程序存在安全漏洞，因此我們也就無法利用 Server 20xx 服務(wù)器系統(tǒng)自帶防火墻來保護(hù)本地服務(wù)器的安全；此時，我們可以修改 Server 20xx服務(wù)器系統(tǒng)的組策 略，來強(qiáng)行要求防火墻程序來自動保護(hù)所有網(wǎng)絡(luò)連接，下面就是具體的設(shè)置步驟： 首先在 Windows Server 20xx 服務(wù)器系統(tǒng)桌面中打開“開始”菜單，從中選擇“運(yùn)行”命令，在其后彈出的運(yùn)行框中輸入字符串命令“ ”，進(jìn)入本地服務(wù)器系統(tǒng)的組策略編輯界面；其次將鼠標(biāo)定位于“計(jì)算機(jī)配置” /“管理模板” /“網(wǎng)絡(luò)” /“網(wǎng)絡(luò)連接” /“ Windows 防火墻” /“標(biāo)準(zhǔn)配置文件”分支選項(xiàng)，在“標(biāo)準(zhǔn)配置文 件”分支選項(xiàng)下面，用鼠標(biāo)雙擊“ Windows 防火墻：保護(hù)所有網(wǎng)絡(luò)連接”組策略選項(xiàng)，打開目標(biāo)組策略屬性界面 ；選中該界面中的“已啟用”項(xiàng)目，最后單擊 “確定”按鈕，如此一來Windows Server 20xx 服務(wù)器系統(tǒng)自帶防火墻日后就能強(qiáng)行保護(hù)所有網(wǎng)絡(luò)連接了。 六 相關(guān)軟件 Windows Vista 高級安全 Windows 防火墻在運(yùn)行 Windows Vista 或 Windows Server 20xx 的計(jì)算機(jī)上提供了以下幾項(xiàng)功能 ： 篩選進(jìn)入或離開計(jì)算機(jī)的所有 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 流量。默認(rèn)情遼寧建筑職業(yè)學(xué)院信息工程系 20xx 屆畢業(yè)論文 26 況下，阻止所有傳入流量，除非是對計(jì)算機(jī)（請 求的流量）以前的傳出請求的響應(yīng)，或者被創(chuàng)建用于允許該流量的規(guī)則特別允許。默認(rèn)情況下，允許所有傳出流量，但阻止標(biāo)準(zhǔn)服務(wù)以異常方式進(jìn)行通信的服務(wù)強(qiáng)化規(guī)則除外。您可以根據(jù)端口號、 IPv4 或 IPv6 地址、計(jì)算機(jī)上運(yùn)行的應(yīng)用程序的名稱和路徑或服務(wù)的名稱，或者其他條件選擇允許流量 通過使用 IPSec 協(xié)議驗(yàn)證網(wǎng)絡(luò)流量的完整性、對發(fā)送和接收計(jì)算機(jī)或用戶的身份進(jìn)行身份驗(yàn)證以及有選擇地加密流量以提供機(jī)密性，從而保護(hù)進(jìn)入或離開計(jì)算機(jī)的網(wǎng)絡(luò)流量。 什么事 Server 20xx Windows Server 20xx 發(fā)行了多種版本，以支持各種規(guī)模的企業(yè)對服務(wù)器不斷變化的需求。 Windows Server 20xx 有 5 種不同版本，另外還有三個不支持 Windows Server HyperV 技術(shù)的版本，因此總共有 8 種版本。 Windows Server 20xx Standard 是迄今最穩(wěn)固的 Windows Server 操作系統(tǒng)，其內(nèi)置的強(qiáng)化 Web 和虛擬化功能，是專為增加服務(wù)器基礎(chǔ)架構(gòu)的可靠性和彈性而設(shè)計(jì)，亦可節(jié)省時間及降低成本。其系利用功能強(qiáng)大的工具，讓您擁有更好的服務(wù)器 控制能力，并簡化設(shè)定和管理工作；而增強(qiáng)的安