Windows Server 2008防火墻解析
系統(tǒng)安全,一直是局域網(wǎng)絡維護管理操作的重中之重,而在保證普通服務器運行安全方面,最常使用的一種方法就是安裝網(wǎng)絡防火墻、專業(yè)殺毒軟件以及各種反間諜工具等。
不過,每次依賴外來力量來保護服務器系統(tǒng)的安全,確實讓網(wǎng)絡管理員感到種種不便,畢竟并不是每一個網(wǎng)絡管理員都能買得起正版的網(wǎng)絡防火墻、專業(yè)殺毒軟件的;為了解決網(wǎng)絡管理員這樣的困惑,Windows Server 2008系統(tǒng)特意對自帶的防火墻功能進行了強化,網(wǎng)絡管理員既能像在Windows XP系統(tǒng)中那樣直接從控制面板窗口中訪問自帶防火墻的用戶配置界面,又能從MMC控制臺中對自帶防火墻的各項高級功能進行隨心所欲地配置。巧妙地用好Windows Server 2008系統(tǒng)自帶的防火墻程序,我們可以有效保護本地服務器系統(tǒng)的安全!
多種方式進入防火墻
盡管從Windows XP系統(tǒng)開始,微軟公司就已經(jīng)將防火墻功能內(nèi)置在系統(tǒng)中了,不過該防火墻的功能還十分有限,往往只能提供單向的安全保護,而不能提供雙向的安全保護,并且網(wǎng)絡管理員只能從系統(tǒng)的控制面板窗口中打開防火墻程序界面。而在Windows Server 2008服務器系統(tǒng)中,系統(tǒng)自帶防火墻的功能有了很大的進步,網(wǎng)絡管理員既能像在Windows XP系統(tǒng)中那樣直接從控制面板窗口中訪問自帶防火墻的用戶配置界面,又能從MMC控制臺中對自帶防火墻的各項高級功能進行隨心所欲地配置。
在Windows Server 2008服務器系統(tǒng),我們可以有兩種方式進入防火墻的Windows配置界面,不過這兩種配置界面的內(nèi)容卻是不一樣的;從系統(tǒng)控制面板窗口進入的防火墻配置界面屬于基本界面,這種界面往往適合初級用戶使用,從MMC控制臺中進入的防火墻配置界面屬于高級界面,這種界面往往適合高級用戶使用,高級用戶可以在這里隨心所欲地控制服務器系統(tǒng)的數(shù)據(jù)流入和流出能力。除此而外,喜歡在DOS命令行下操作的朋友還能通過MS-DOS窗口中的命令在命令行模式配置服務器系統(tǒng)自帶防火墻,或者使用創(chuàng)建安全腳本的方式在多臺服務器系統(tǒng)中進行防火墻參數(shù)的自動配置。當然,與舊版本系統(tǒng)下的防火墻程序一樣,我們還能通過組策略的力量來控制服務器系統(tǒng)防火墻的配置操作。
1、從控制面板進入
我們知道,最初的系統(tǒng)自帶防火墻程序往往只提供了系統(tǒng)安全的單向防護能力,也就說只能對進入服務器系統(tǒng)的數(shù)據(jù)信息流進行攔截審查,而不大容易出現(xiàn)由于防火墻參數(shù)配置不當造成服務器系統(tǒng)安全性能下降的現(xiàn)象出現(xiàn)。在進行這種初級配置時,我們可以通過服務器系統(tǒng)的控制窗口來打開防火墻的基本配置界面就可以了,下面就是具體的打開步驟:
首先在Windows Server 2008服務器系統(tǒng)桌面中,依次單擊“開始”/“設置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,找到Windows防火墻圖標,并用鼠標雙擊該圖標,就能打開Windows防火墻的基本配置界面了。
其次在該配置界面的左側(cè)顯示區(qū)域單擊“啟用或關(guān)閉Windows防火墻”選項,在其后彈出的界面中單擊“常規(guī)”標簽,在該頁面中我們可以直接選擇“啟用”選項來啟用服務器系統(tǒng)自帶的防火墻功能,也可以直接選擇“關(guān)閉”選項來停用系統(tǒng)防火墻功能;
當我們啟用了服務器系統(tǒng)的防火墻功能后,在默認狀態(tài)下,該防火墻程序會同時攔截所有程序去訪問外部網(wǎng)絡,除了在“例外”標簽頁面中設置的選項外。在這里,“阻止所有傳入連接”選項其實是一個非常有用的選項,特別是當本地服務器系統(tǒng)處于一個不太安全的網(wǎng)絡時,該選項能夠臨時讓系統(tǒng)禁止“例外”標簽頁面中設置的任何程序或服務訪問網(wǎng)絡,一旦本地服務器系統(tǒng)處于一個比較安全的工作環(huán)境時,我們再取消“阻止所有傳入連接”選項的選中狀態(tài),以便恢復以前的正常設置操作。
與舊版本系統(tǒng)一樣,在對Windows Server 2008服務器系統(tǒng)下的自帶防火墻進行基本設置時,我們同樣可以在“例外”標簽頁面中設置那些能夠直接訪問網(wǎng)絡的程序或服務。我們可以直接通過單擊“添加程序”、“添加端口”按鈕來自行添加需要訪問外部網(wǎng)絡的程序或服務,來解除系統(tǒng)防火墻程序?qū)W(wǎng)絡訪問的阻止。
如果本地服務器系統(tǒng)中有多條網(wǎng)絡連接時,我們還可以進入防火墻的“高級”標簽頁面,然后根據(jù)實際情況選擇需要受防火墻保護的目標網(wǎng)絡連接。如果發(fā)現(xiàn)防火墻中有許多參數(shù)沒有配置正確時,那可以直接單擊“高級”標簽頁面中的“還原為默認值”按鈕,來快速取消所有的參數(shù)修改操作,以便將系統(tǒng)防火墻的參數(shù)設置恢復到系統(tǒng)起初安裝時的缺省狀態(tài)。
2、從控制臺進入
在前面我們已經(jīng)提到,從系統(tǒng)控制面板窗口中我們只能打開服務器系統(tǒng)防火墻的基本配置界面,要想打開Windows Server 2008服務器系統(tǒng)的高級安全防火墻配置界面時,我們需要從系統(tǒng)的控制臺窗口中進入,下面就是具體的操作步驟:
首先打開Windows Server 2008服務器系統(tǒng)的“開始”菜單,從中點選“運行”命令,在彈出的系統(tǒng)運行文本框中,輸入字符串命令“mmc.exe”,單擊回車鍵后打開服務器系統(tǒng)的控制臺窗口;
其次在該控制臺窗口中,依次單擊“文件”/“添加/刪除管理單元”選項,在其后的界面中選中高級安全Windows防火墻選項,并單擊“添加”按鈕,隨后選中“本地計算機”選項,再單擊“完成”按鈕,最后單擊“確定”按鈕,這樣我們就能看到系統(tǒng)防火墻高級安全設置頁面了。
在Windows Server 2008服務器系統(tǒng)的高級安全防火墻配置界面中,我們可以根據(jù)實際工作環(huán)境為服務器系統(tǒng)定義多種不同的安全配置,并且每一種配置都是相對獨立的。例如,我們可以在防火墻高級安全設置頁面中定制適合單位局域網(wǎng)工作環(huán)境的安全配置,可以在家庭工作環(huán)境中定制適合點到點網(wǎng)絡的安全配置,也可以在公共場合下定制適合公網(wǎng)環(huán)境的安全配置。所以,當Windows Server 2008服務器系統(tǒng)位于單位局域網(wǎng)工作環(huán)境中時,我們幾乎可以關(guān)閉服務器系統(tǒng)自帶的防火墻,因為基本上所有單位的局域網(wǎng)網(wǎng)絡都有專門的防火墻,而當服務器系統(tǒng)處于公網(wǎng)環(huán)境中時,我們就需要及時發(fā)揮服務器系統(tǒng)自帶防火墻的作用了,畢竟在公共場合下服務器系統(tǒng)受到非法攻擊的可能性比較大。
#p#
使用防火墻保護安全
熟悉了Windows Server 2008服務器系統(tǒng)的防火墻后,我們就能發(fā)揮自己的聰明才智,來利用防火墻保護服務器系統(tǒng)的安全了。下面,我們就列舉兩則應用實例,來讓大家領(lǐng)略一下Windows Server 2008服務器系統(tǒng)防火墻的強大功能!
1、預防Ping命令攻擊
在局域網(wǎng)環(huán)境中,常常有一些惡意用戶使用Ping命令向服務器系統(tǒng)連續(xù)發(fā)送一些大容量的數(shù)據(jù)包,這就可能導致服務器系統(tǒng)運行死機,此外非法攻擊者還能通過ping命令的一些參數(shù)獲得服務器系統(tǒng)的相關(guān)運行狀態(tài)信息,并根據(jù)這些信息對服務器系統(tǒng)實施有針對性的攻擊。為了保護Windows Server 2008服務器系統(tǒng)的運行穩(wěn)定性,避免服務器主機遭受Ping命令攻擊,我們可以按照如下步驟來設置防火墻的安全規(guī)則:
首先在Windows Server 2008服務器系統(tǒng)桌面中單擊“開始”按鈕,從彈出的“開始”菜單中依次點選“程序”、“管理工具”命令,再從下級菜單中選擇“高級安全Windows防火墻”選項;
隨后系統(tǒng)會自動彈出高級安全Windows防火墻配置窗口,在該窗口左側(cè)列表窗格中單擊“入站規(guī)則”選項,再用鼠標右鍵單擊該選項,并從其后的右鍵菜單中選擇“新規(guī)則”選項,打開新規(guī)則創(chuàng)建向?qū)Ы缑妫x中該界面中的“自定義”項目; 接著單擊“下一步”按鈕,選中其后頁面中的“所有程序”項目,之后按照提示將網(wǎng)絡協(xié)議類型設置為“ICMPv4”,將連接條件設置為“阻止連接”,同時根據(jù)實際工作環(huán)境設置好應用該新規(guī)則的具體場合,最后為新創(chuàng)建的安全規(guī)則取一個合適的名稱,如此一來局域網(wǎng)中的任何非法用戶就無法對Windows Server 2008服務器系統(tǒng)實施Ping命令攻擊了。
2、預防程序漏洞攻擊
許多人常常會簡單地認為,只要及時為服務器系統(tǒng)安裝更新補丁程序,就能保證服務器系統(tǒng)不受網(wǎng)絡病毒或木馬的攻擊;事實上,給服務器系統(tǒng)安裝補丁程序只是為了堵住系統(tǒng)的安全漏洞,但要是安裝在服務器系統(tǒng)中的應用程序存在漏洞的話,那么服務器系統(tǒng)的安全還是沒有辦法保證。為了有效避免由于應用程序漏洞而引起的服務器安全隱患問題,我們就需要使用系統(tǒng)防火墻來拒絕存在安全漏洞的應用程序去連接或訪問網(wǎng)絡,這樣就能阻止網(wǎng)絡中的木馬或黑客通過應用程序漏洞來攻擊服務器的安全了。下面,我們就來設置Windows Server 2008服務器系統(tǒng)自帶的防火墻程序,來預防應用程序漏洞攻擊:
首先在Windows Server 2008服務器系統(tǒng)桌面中,依次單擊“開始”/“設置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,找到Windows防火墻圖標,并用鼠標雙擊該圖標,打開Windows防火墻的基本配置界面;
其次單擊該基本配置界面中的“更改設置”選項,再單擊“例外”標簽,打開標簽設置頁面,在這里我們看到系統(tǒng)可能會使用網(wǎng)絡程序列表,選中的應用程序就是被允許通過網(wǎng)絡的應用程序,而那些沒有選中的應用程序就是不允許通過網(wǎng)絡的應用程序;
如果我們發(fā)現(xiàn)對應標簽設置頁面中沒有目標漏洞應用程序,那我們可以單擊這里的“添加程序”按鈕,在彈出的文件選擇對話框中,將存在安全漏洞的應用程序添加導入進來,最后單擊“確定”按鈕就能使上述設置生效了。
有時候,我們根本不知道哪些應用程序存在安全漏洞,因此我們也就無法利用Windows Server 2008服務器系統(tǒng)自帶防火墻來保護本地服務器的安全;此時,我們可以修改Windows Server 2008服務器系統(tǒng)的組策略,來強行要求防火墻程序來自動保護所有網(wǎng)絡連接,下面就是具體的設置步驟:
首先在Windows Server 2008服務器系統(tǒng)桌面中打開“開始”菜單,從中選擇“運行”命令,在其后彈出的運行框中輸入字符串命令“gpedit.msc”,進入本地服務器系統(tǒng)的組策略編輯界面;
其次將鼠標定位于“計算機配置”/“管理模板”/“網(wǎng)絡”/“網(wǎng)絡連接”/“Windows防火墻”/“標準配置文件”分支選項,在“標準配置文件”分支選項下面,用鼠標雙擊“Windows防火墻:保護所有網(wǎng)絡連接”組策略選項,打開目標組策略屬性界面;選中該界面中的“已啟用”項目,最后單擊“確定”按鈕,如此一來Windows Server 2008服務器系統(tǒng)自帶防火墻日后就能強行保護所有網(wǎng)絡連接了。
