【導讀】高級功能進行隨心所欲的配置，在防火墻日志文件中創(chuàng)建條目等等。對防火墻的應用，加強電腦安全管理。護，可以對出站、入站通信進行過濾。其次它將Windows防火墻功能和Inter協(xié)。議安全集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配。置密鑰交換、數據保護以及身份驗證設置。而且WFAS還可以實現(xiàn)更。Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。組、協(xié)議、ICMP類型等。規(guī)則中的標準添加在一起;添加的標準越多，具有高級安全。性的Windows防火墻匹配傳入流量就越精細。Server20xx防火墻和IPSec的設置和選項。

　　

【正文】 我們就需要對 Server 20xx 系統(tǒng)防火墻進行合適配置，讓其允許文件和打印共享操作連接網絡 。按理來說，進入 Server 20xx 系統(tǒng)防火墻的基本配置界面，我們就可以非常輕松地完成這種設置操 作。然而有的時候，我們會遇到無法進入防火墻基本配置界面的特殊現(xiàn)象，這個時候我們該如何讓防火墻允許文件和打印共享操作通行呢 ?其實很簡單，我們可以通過命令來配置 Server 20xx 系統(tǒng)防火墻，讓其允許文件和打印共享操作連接網絡 。 操作 步驟 首先按照前面的操作步驟將系統(tǒng)屏幕切換到 DOS 命令行工作窗口，在該工作窗口的DOS 命令提示符下，輸入字符串命令 “sh” ，單擊回車鍵后將系統(tǒng)切換到 sh 命令配置狀態(tài)，然后輸入字符串命令 “firewall” ，單擊回車鍵后，再將系統(tǒng)切換到 Windows遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 21 防火墻的命令設置環(huán)境 。 其次在 “sh firewall” 提示符下，輸入字符串命令 “set opmode enable” ，單擊回車鍵后，進入系統(tǒng)防火墻的全局操作模式 ?？紤]到文件和打印共享操作需要開啟TCP13 TCP44 UDP13 UDP138 端口，為此我們可以在 “sh firewall” 提示符下依次執(zhí)行字符串命令 “add portopening TCP 139 blah enable sub” 、 “add portopening TCP 445 blah enable sub” 、 “add portopening UDP 137 blah enable sub” 、 “add portopening UDP 138 blah enable sub” ，如圖 2 所示 。 當上述命令都返回 “ 確定 ” 提示時，那就說明這些命令已經被成功執(zhí)行了，這時候Windows Server 20xx 系統(tǒng)防火墻就會自動開啟 TCP13 TCP44 UDP13 UDP138 等端口了，而這些端口一旦被成功啟用后，我們就能通過這些端口訪問到安裝在 Windows Server 20xx 系統(tǒng)中的網絡打 印機了。為了驗證上面的操作是否成功，我們可以在 DOS命令行中執(zhí)行 “stat ano” 字符串命令，從其后出現(xiàn)的結果界面中我們可以清楚地看到服務器系統(tǒng)已經打開的所有端口了，如果看到 TCP13 TCP44 UDP13 UDP138端口已經處于開通狀態(tài)時，那就說明上述字符串命令已經被執(zhí)行成功了。 設置 連接處于安全保護狀態(tài) 有的時候， Inter 中的不少病毒程序或非法攻擊者會利用一些應用程序的漏洞來攻擊 Server 20xx 服務器系統(tǒng)，而我們并不清楚究竟哪些應用程序存在安全漏洞， 所以我們也就不能合理通過 Windows Server 20xx 系統(tǒng)防火墻來禁止漏洞程序連接網絡，如此一來 Server 20xx 服務器系統(tǒng)的安全性就無法得到保證了 。這個時候，我們不妨設置Server 20xx 系 統(tǒng)的組策略參數，來要求系統(tǒng)防火墻程序對所有網絡連接進行安全保護 。 操作 步驟 首先打開 s Server 20xx 系統(tǒng)的 “ 開始 ” 菜單，從中點選 “ 運行 ” 選項，打開對應系統(tǒng)的運行對話框，在其中輸入 “” 字符串命令，單擊 “ 確定 ” 按鈕后，打開對應系統(tǒng)的組策略控制臺窗口 。 其次 從該控制臺窗口的左側顯示區(qū)域選中 “ 計算機配置 ” 分支選項，再從該分支下面逐一選中 “ 管理模板 ” 、 “ 網絡 ” 、 “ 網絡連接 ” 、 “Windows 防火墻 ” 、 “ 標準配置文件 ” 子項，在對應 “ 標準配置文件 ” 子項下面找到目標組策略 “Windows 防火墻：遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 22 保護所有網絡連接 ” 選項，并用鼠標雙擊該選項，打開組策略屬性設置對話框 。 檢查其中的 “ 已啟用 ” 選項是否處于選中狀態(tài)，要是發(fā)現(xiàn)它還沒有被選中時，我們應該及時將它重新選中，再單擊 “ 確定 ” 按鈕保存好設置操作，這樣的話 Server 20xx服務器系統(tǒng)防火墻日后就能對本地系統(tǒng)中的所有網絡 連接進行安全保護了。 設置 防火墻規(guī)則 大家知道，每次向服務器系統(tǒng)發(fā)送 Ping 命令測試通信包時，服務器系統(tǒng)往往都需要騰出一定的系統(tǒng)資源來進行回復應答，要是某個時候同時向服務器系統(tǒng)發(fā)送若干個 Ping命令測試通信包時，那么服務器系統(tǒng)就需要消耗更多的系統(tǒng)資源來對它們進行一一回復，一旦達到一定程度后，服務器系統(tǒng)中的有限系統(tǒng)資源可能都會被使用掉。 Inter中的不少病毒程序或非法攻擊者常常會通過這種方法來對重要服務器系統(tǒng)實施 Ping 攻擊，從而造成服務器系統(tǒng)發(fā)生癱瘓現(xiàn)象 。為了禁止 Ping 命令攻擊 Server 20xx 服務器系統(tǒng)，我們可以對系統(tǒng)自帶防火墻進行合適設置 。 操作 步驟 首先以特權身份進入到 Server 20xx 服務器系統(tǒng)，依次單擊 “ 開始 ”/“ 程序 ”/“ 服務器管理器 ” 菜單選項，打開本地系統(tǒng)的服務器管理器窗口，從該窗口左側顯示區(qū)域的 “ 配置 ” 分支下面，點選 “ 高級安全 Windows 防火墻 ” 選項 。 其次在對應 “ 高級安全 Windows 防火墻 ” 選項的中間顯示區(qū)域，單擊 “ 入站規(guī)則 ”項目，并用鼠標右鍵單擊之，從彈出的快捷菜單中執(zhí)行 “ 新規(guī)則 ” 命令，此時屏幕上將會自動出現(xiàn)一個如圖 3 所示的新規(guī) 則創(chuàng)建向導對話框，選中該對話框中的 “ 自定義 ” 選項 。 繼續(xù)單擊向導對話框中的 “ 下一步 ” 按鈕，在其后出現(xiàn)的設置頁面中選中 “ 所有程序 ” 選項，同時依照屏幕默認提示將網絡通信協(xié)議類型參數選擇為 “ICMPv4” ，再將連接條件參數選擇為 “ 阻止連接 ” ，之后依照實際工作環(huán)境設置好應用該新安全規(guī)則的使用場合，最后為新創(chuàng)建的安全規(guī)則設置一個適當的名稱，這樣的話局域網中的任何一位用戶都不能對 Server 20xx 服務器系統(tǒng)進行惡意 Ping 攻擊了。 遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 23 如何應用防火墻允許被 Ping 在 Server 20xx 上是 不允許從外部對其執(zhí)行 Ping 指令的，如果要配置允許被 Ping 通過以 往的設 置步驟會 發(fā)現(xiàn)并 不能從 Windows firewall 里找到 ICMP 的相關配置項，而該規(guī)則的操作現(xiàn)在必須通過“高級安全 Windows 防火墻” 進行配置。 操作 步驟 1. 打開管理工具中的“高級安全 Windows 防火墻”； 2. 在左側導航窗體中定位到“入站規(guī)則”，之后在入站規(guī)則中找到配置文件類型為“公共”的“文件和 打印共享（回顯請求 – ICMPv4In）”規(guī)則，設置為允許 如圖13 圖 12 注：我們 可以根據需要選擇在何種網絡環(huán)境中（域、專用或公共）允許該規(guī)則，如果網絡使用了 IPv6，則同時要允許 ICMPv6In 的規(guī)則。 此外，我們還可以通過命令行方式來執(zhí)行入站 Ping 的規(guī)則是啟用還是禁用，命令如下： sh firewall set icmpsetting 8 sh firewall set icmpsetting 8 disable 四 防火墻 的安全保護 遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 24 預防 Ping 命令攻擊 在局域網環(huán)境中，常常有一些惡意用戶使用 Ping 命令向服務器系統(tǒng)連 續(xù)發(fā)送一些大容量的數據包，這就可能導致服務器系統(tǒng)運行死機，此外非法攻擊者還 能通過 ping 命令的一些參數獲得服務器系統(tǒng)的相關運行狀態(tài)信息，并根據這些信息對服務器系統(tǒng)實施有針對性的攻擊。為了保護 Windows Server 20xx 服務器系統(tǒng)的運行穩(wěn)定性，避免服務器主機遭受 Ping 命令攻擊，我們可以按照如下步驟來設置防火墻的安全規(guī)則： 首先在 Windows Server 20xx 服務器系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中依次點選“程序”、“管理工具”命令，再從下級菜單中選擇“高級安全 Windows防火墻”選項 。 隨后系統(tǒng)會自動彈出高級安全 Windows 防火墻配置窗口，在該窗口左側列表窗格中單擊“入站規(guī)則”選項，再用鼠標右鍵單擊該選項，并從其后的右鍵 菜單中選擇“新規(guī)則”選項，打開新規(guī)則創(chuàng)建向導界面，選中該界面中的“自定義”項目； 。 接著單擊“下一步”按鈕，選中其后頁面中的“所有程序”項目，之后按照提示將網絡協(xié)議類型設置為“ ICMPv4”，將連接條件設置為“阻止連接”，同時根 據實際工作環(huán)境設置好應用該新規(guī)則的具體場合，最后為新創(chuàng)建的安全規(guī)則取一個合適的名稱，如此一來局域網中的任何非法用戶就無法對 Windows Server 20xx 服務器系統(tǒng)實施 Ping 命令攻擊了。 預防程序漏洞攻擊 許多人常常會簡單地認為，只要及時為服務器系統(tǒng)安裝更新補丁程序，就能保證服務器系統(tǒng)不受網絡病毒或木馬的攻擊；事實上，給服務器系統(tǒng)安裝補丁程序 只是為了堵住系統(tǒng)的安全漏洞，但要是安裝在服務器系統(tǒng)中的應用程序存在漏洞的話，那么服務器系統(tǒng)的安全還是沒有辦法保證。 為了有效避免由于應用程序漏洞而 引起的服務器安全隱患問題，我們就需要使用系統(tǒng)防火墻來拒絕存在安全漏洞的應用程序去連接或訪問網絡，這樣就能阻止網絡中的木馬或黑客通過應用程序漏洞來 攻擊服務器的安全了。 下面，我們就來設置 Windows Server 20xx 服務器系統(tǒng)自帶的防火墻程序，來預防應用程序漏洞攻擊：首先在 Windows Server 20xx 服務器系統(tǒng)桌面中，依次單擊“開始”遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 25 /“設置” /“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，找到 Windows 防火墻圖標，并用鼠標雙擊該圖標，打開 Windows 防火墻的基本配置界面；其次單擊該基本配置界面中的“更改設置”選項，再單擊“例外”標簽，打開標簽設置頁面，在這里我們看到系統(tǒng)可能會使用網絡程序列表，選中 的應用程序就是被允許通過網絡的應用程序，而那些沒有選中的應用程序就是不允許通過網絡的應用程序；如果我們發(fā)現(xiàn)對應標簽設置頁面中沒有目標漏洞應用程序，那我們可以單擊這里的“添加程序”按鈕，在彈出的文件選擇對話框中，將存在安全漏洞的應用程序添加導入進來，最后單擊“確定”按鈕就能使上述設置生效了。 強行保護所有連接 有時候，我們根本不知道哪些應用程序存在安全漏洞，因此我們也就無法利用 Server 20xx 服務器系統(tǒng)自帶防火墻來保護本地服務器的安全；此時，我們可以修改 Server 20xx服務器系統(tǒng)的組策 略，來強行要求防火墻程序來自動保護所有網絡連接，下面就是具體的設置步驟： 首先在 Windows Server 20xx 服務器系統(tǒng)桌面中打開“開始”菜單，從中選擇“運行”命令，在其后彈出的運行框中輸入字符串命令“ ”，進入本地服務器系統(tǒng)的組策略編輯界面；其次將鼠標定位于“計算機配置” /“管理模板” /“網絡” /“網絡連接” /“ Windows 防火墻” /“標準配置文件”分支選項，在“標準配置文 件”分支選項下面，用鼠標雙擊“ Windows 防火墻：保護所有網絡連接”組策略選項，打開目標組策略屬性界面 ；選中該界面中的“已啟用”項目，最后單擊 “確定”按鈕，如此一來Windows Server 20xx 服務器系統(tǒng)自帶防火墻日后就能強行保護所有網絡連接了。 六 相關軟件 Windows Vista 高級安全 Windows 防火墻在運行 Windows Vista 或 Windows Server 20xx 的計算機上提供了以下幾項功能 ： 篩選進入或離開計算機的所有 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 流量。默認情遼寧建筑職業(yè)學院信息工程系 20xx 屆畢業(yè)論文 26 況下，阻止所有傳入流量，除非是對計算機（請 求的流量）以前的傳出請求的響應，或者被創(chuàng)建用于允許該流量的規(guī)則特別允許。默認情況下，允許所有傳出流量，但阻止標準服務以異常方式進行通信的服務強化規(guī)則除外。您可以根據端口號、 IPv4 或 IPv6 地址、計算機上運行的應用程序的名稱和路徑或服務的名稱，或者其他條件選擇允許流量 通過使用 IPSec 協(xié)議驗證網絡流量的完整性、對發(fā)送和接收計算機或用戶的身份進行身份驗證以及有選擇地加密流量以提供機密性，從而保護進入或離開計算機的網絡流量。 什么事 Server 20xx Windows Server 20xx 發(fā)行了多種版本，以支持各種規(guī)模的企業(yè)對服務器不斷變化的需求。 Windows Server 20xx 有 5 種不同版本，另外還有三個不支持 Windows Server HyperV 技術的版本，因此總共有 8 種版本。 Windows Server 20xx Standard 是迄今最穩(wěn)固的 Windows Server 操作系統(tǒng)，其內置的強化 Web 和虛擬化功能，是專為增加服務器基礎架構的可靠性和彈性而設計，亦可節(jié)省時間及降低成本。其系利用功能強大的工具，讓您擁有更好的服務器 控制能力，并簡化設定和管理工作；而增強的安