配置WindowsServer2008防火墻系統(tǒng)更安全

相比Windows Server 2003操作系統(tǒng)中自帶的防火墻，集成在Windows Server 2008下的防火墻功能更加全面，安全防護(hù)等級(jí)自然也是更高一籌，我們只要對(duì)該防火墻程序進(jìn)行合適配置，完全可以讓W(xué)indows Server 2008系統(tǒng)運(yùn)行得更加安全。這不，本文現(xiàn)在就為各位朋友推薦幾則Windows Server 2008系統(tǒng)防火墻的配置技巧，相信在這些技巧的幫助下，大家一定能夠充分享受系統(tǒng)防火墻帶給自己的驚喜!
    1、快速查看Windows Server 2008防火墻配置狀態(tài)
    很多時(shí)候，我們需要定期查看Windows系統(tǒng)自帶防火墻的安全配置狀態(tài)，例如想了解當(dāng)前系統(tǒng)是否已經(jīng)啟用了防火墻，防火墻使用了什么類型的配置文件，防火墻是否允許了例外工作模式的啟用，多播/廣播響應(yīng)模式有沒有被正常啟用，當(dāng)前在所有的網(wǎng)絡(luò)連接接口上已經(jīng)打開了哪些網(wǎng)絡(luò)端口，這些處于打開狀態(tài)的端口號(hào)碼是什么等;正常來(lái)說(shuō)，我們需要先進(jìn)入Windows系統(tǒng)自帶防火墻的基本配置界面，然后依次點(diǎn)選其中的各個(gè)標(biāo)簽設(shè)置頁(yè)面，之后才能在各個(gè)頁(yè)面中了解到上述配置信息。很顯然，采用上面的方法查看Windows防火墻各方面的配置狀態(tài)，無(wú)疑是比較麻煩的;事實(shí)上，在Windows Server 2008系統(tǒng)環(huán)境下，我們可以巧妙地利用系統(tǒng)自帶的netsh命令，來(lái)一次性查看該系統(tǒng)防火墻所有的配置狀態(tài)信息，下面就是該方法的具體實(shí)現(xiàn)步驟：
    首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單，從中逐一點(diǎn)選“程序”、“附件”選項(xiàng)，再?gòu)南录?jí)菜單中用鼠標(biāo)右鍵單擊“命令行提示符”命令，從彈出的快捷菜單中點(diǎn)選“以管理員身份運(yùn)行”命令，此時(shí)系統(tǒng)屏幕將會(huì)自動(dòng)切換到DOS命令行工作窗口;
    其次在該工作窗口的DOS命令提示符下，輸入字符串命令“netsh”，單擊回車鍵后將系統(tǒng)切換到netsh命令配置狀態(tài)，接著再輸入字符串命令“firewall”，單擊回車鍵后，系統(tǒng)又會(huì)自動(dòng)進(jìn)入Windows防火墻的命令設(shè)置環(huán)境，這時(shí)我們會(huì)看到系統(tǒng)屏幕上出現(xiàn)的提示符已經(jīng)變成了“netsh firewall”;
    下面在“netsh firewall”提示符下，輸入字符串命令“show state”，單擊回車鍵后，我們就能從如圖1所示的結(jié)果界面中，看到系統(tǒng)自帶防火墻各個(gè)方面的安全配置狀態(tài)信息了;例如，在這里我們發(fā)現(xiàn)Windows系統(tǒng)自帶防火墻使用了標(biāo)準(zhǔn)配置文件，啟用了例外工作模式，禁止了通知模式，啟用了多播/廣播響應(yīng)模式，當(dāng)前所有網(wǎng)絡(luò)連接接口上沒有網(wǎng)絡(luò)端口被打開等。
    2、用命令配置Windows Server 2008文件和打印共享
    當(dāng)我們嘗試訪問(wèn)安裝在Windows Server 2008系統(tǒng)中的網(wǎng)絡(luò)打印機(jī)時(shí)，常常會(huì)遇到無(wú)法訪問(wèn)網(wǎng)絡(luò)打印機(jī)的故障現(xiàn)象，這種故障現(xiàn)象往往都是由于對(duì)應(yīng)系統(tǒng)自帶的防火墻禁止文件和打印共享操作連接網(wǎng)絡(luò)造成的，這時(shí)我們就需要對(duì)Windows Server 2008系統(tǒng)防火墻進(jìn)行合適配置，讓其允許文件和打印共享操作連接網(wǎng)絡(luò);按理來(lái)說(shuō)，進(jìn)入Windows Server 2008系統(tǒng)防火墻的基本配置界面，我們就可以非常輕松地完成這種設(shè)置操作。然而有的時(shí)候，我們會(huì)遇到無(wú)法進(jìn)入防火墻基本配置界面的特殊現(xiàn)象，這個(gè)時(shí)候我們?cè)撊绾巫尫阑饓υ试S文件和打印共享操作通行呢?其實(shí)很簡(jiǎn)單，我們可以通過(guò)命令來(lái)配置Windows Server 2008系統(tǒng)防火墻，讓其允許文件和打印共享操作連接網(wǎng)絡(luò)，下面就是具體的操作步驟：
    首先按照前面的操作步驟將系統(tǒng)屏幕切換到DOS命令行工作窗口，在該工作窗口的DOS命令提示符下，輸入字符串命令“netsh”，單擊回車鍵后將系統(tǒng)切換到netsh命令配置狀態(tài)，然后輸入字符串命令“firewall”，單擊回車鍵后，再將系統(tǒng)切換到Windows防火墻的命令設(shè)置環(huán)境;
    其次在“netsh firewall”提示符下，輸入字符串命令“set opmode enable”，單擊回車鍵后，進(jìn)入系統(tǒng)防火墻的全局操作模式;考慮到文件和打印共享操作需要開啟TCP139、TCP445、UDP137、UDP138端口，為此我們可以在“netsh firewall”提示符下依次執(zhí)行字符串命令“add portopening TCP 139 blah enable subnet”、“add portopening TCP 445 blah enable subnet”、“add portopening UDP 137 blah enable subnet”、“add portopening UDP 138 blah enable subnet”，如圖2所示;
    當(dāng)上述命令都返回“確定”提示時(shí)，那就說(shuō)明這些命令已經(jīng)被成功執(zhí)行了，這時(shí)候Windows Server 2008系統(tǒng)防火墻就會(huì)自動(dòng)開啟TCP139、TCP445、UDP137、UDP138等端口了，而這些端口一旦被成功啟用后，我們就能通過(guò)這些端口訪問(wèn)到安裝在Windows Server 2008系統(tǒng)中的網(wǎng)絡(luò)打印機(jī)了。為了驗(yàn)證上面的操作是否成功，我們可以在DOS命令行中執(zhí)行“netstat -ano”字符串命令，從其后出現(xiàn)的結(jié)果界面中我們可以清楚地看到服務(wù)器系統(tǒng)已經(jīng)打開的所有端口了，如果看到TCP139、TCP445、UDP137、UDP138端口已經(jīng)處于開通狀態(tài)時(shí)，那就說(shuō)明上述字符串命令已經(jīng)被執(zhí)行成功了。
    3、自定義防火墻規(guī)則禁止惡意Ping攻擊
    大家知道，每次向服務(wù)器系統(tǒng)發(fā)送Ping命令測(cè)試通信包時(shí)，服務(wù)器系統(tǒng)往往都需要騰出一定的系統(tǒng)資源來(lái)進(jìn)行回復(fù)應(yīng)答，要是某個(gè)時(shí)候同時(shí)向服務(wù)器系統(tǒng)發(fā)送若干個(gè)Ping命令測(cè)試通信包時(shí)，那么服務(wù)器系統(tǒng)就需要消耗更多的系統(tǒng)資源來(lái)對(duì)它們進(jìn)行一一回復(fù)，一旦達(dá)到一定程度后，服務(wù)器系統(tǒng)中的有限系統(tǒng)資源可能都會(huì)被使用掉。Internet中的不少病毒程序或非法攻擊者常常會(huì)通過(guò)這種方法來(lái)對(duì)重要服務(wù)器系統(tǒng)實(shí)施Ping攻擊，從而造成服務(wù)器系統(tǒng)發(fā)生癱瘓現(xiàn)象;為了禁止Ping命令攻擊Windows Server 2008服務(wù)器系統(tǒng)，我們可以對(duì)系統(tǒng)自帶防火墻進(jìn)行合適設(shè)置，下面就是具體的設(shè)置步驟：
    首先以特權(quán)身份進(jìn)入到Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開始”/“程序”/“服務(wù)器管理器”菜單選項(xiàng)，打開本地系統(tǒng)的服務(wù)器管理器窗口，從該窗口左側(cè)顯示區(qū)域的“配置”分支下面，點(diǎn)選“高級(jí)安全Windows防火墻”選項(xiàng);
    其次在對(duì)應(yīng)“高級(jí)安全Windows防火墻”選項(xiàng)的中間顯示區(qū)域，單擊“入站規(guī)則”項(xiàng)目，并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“新規(guī)則”命令，此時(shí)屏幕上將會(huì)自動(dòng)出現(xiàn)一個(gè)如圖3所示的新規(guī)則創(chuàng)建向?qū)?duì)話框，選中該對(duì)話框中的“自定義”選項(xiàng);
    繼續(xù)單擊向?qū)?duì)話框中的“下一步”按鈕，在其后出現(xiàn)的設(shè)置頁(yè)面中選中“所有程序”選項(xiàng)，同時(shí)依照屏幕默認(rèn)提示將網(wǎng)絡(luò)通信協(xié)議類型參數(shù)選擇為“ICMPv4”，再將連接條件參數(shù)選擇為“阻止連接”，之后依照實(shí)際工作環(huán)境設(shè)置好應(yīng)用該新安全規(guī)則的使用場(chǎng)合，最后為新創(chuàng)建的安全規(guī)則設(shè)置一個(gè)適當(dāng)?shù)拿Q，這樣的話局域網(wǎng)中的任何一位用戶都不能對(duì)Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行惡意Ping攻擊了。
    4、讓所有Windows Server 2008連接處于安全保護(hù)狀態(tài)
    有的時(shí)候，Internet中的不少病毒程序或非法攻擊者會(huì)利用一些應(yīng)用程序的漏洞來(lái)攻擊Windows Server 2008服務(wù)器系統(tǒng)，而我們并不清楚究竟哪些應(yīng)用程序存在安全漏洞，所以我們也就不能合理通過(guò)Windows Server 2008系統(tǒng)防火墻來(lái)禁止漏洞程序連接網(wǎng)絡(luò)，如此一來(lái)Windows Server 2008服務(wù)器系統(tǒng)的安全性就無(wú)法得到保證了;這個(gè)時(shí)候，我們不妨設(shè)置Windows Server 2008系統(tǒng)的組策略參數(shù)，來(lái)要求系統(tǒng)防火墻程序?qū)λ芯W(wǎng)絡(luò)連接進(jìn)行安全保護(hù)，下面就是具體的操作步驟：
    首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中點(diǎn)選“運(yùn)行”選項(xiàng)，打開對(duì)應(yīng)系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕后，打開對(duì)應(yīng)系統(tǒng)的組策略控制臺(tái)窗口;
    其次從該控制臺(tái)窗口的左側(cè)顯示區(qū)域選中“計(jì)算機(jī)配置”分支選項(xiàng)，再?gòu)脑摲种旅嬷鹨贿x中“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”、“Windows防火墻”、“標(biāo)準(zhǔn)配置文件”子項(xiàng)，在對(duì)應(yīng)“標(biāo)準(zhǔn)配置文件”子項(xiàng)下面找到目標(biāo)組策略“Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖4所示的組策略屬性設(shè)置對(duì)話框;
    檢查其中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)它還沒有被選中時(shí)，我們應(yīng)該及時(shí)將它重新選中，再單擊“確定”按鈕保存好設(shè)置操作，這樣的話Windows Server 2008服務(wù)器系統(tǒng)防火墻日后就能對(duì)本地系統(tǒng)中的所有網(wǎng)絡(luò)連接進(jìn)行安全保護(hù)了