Win2003 系統(tǒng)服務器防火墻設置教程

　　防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網(wǎng)絡通信通過防火墻進入網(wǎng)絡，同時拒絕不安全的通信進入，使網(wǎng)絡免受外來威脅。

　　Internet連接防火墻的設置

　　在Windows 2003服務器上，對直接連接到 Internet 的計算機啟用防火墻功能，支持網(wǎng)絡適配器、DSL 適配器或者撥號調制解調器連接到 Internet。

　　1. 啟動/停止防火墻

　　(1)打開“網(wǎng)絡連接”，右擊要保護的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。

　　(2)單擊“高級”選項卡，出現(xiàn)如圖1所示啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網(wǎng)絡”復選框;如果要禁用Internet 連接防火墻，請清除以上選擇。

　　2. 防火墻服務設置

　　Windows 2003 Internet連接防火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務，Internet連接防火墻就可以監(jiān)視并管理這些端口。

　　(1)標準服務的設置

　　我們以Windows 2003服務器提供的標準Web服務為例(默認端口80)，操作步驟如下：在圖1所示界面中單擊[設置]按鈕，出現(xiàn)如圖2所示“服務設置”對話框;在“服務設置”對話框中，選中“Web服務器(HTTP)”復選項，單擊[確定]按鈕。設置好后，網(wǎng)絡用戶將無法訪問除Web服務外本服務器所提供的的其他網(wǎng)絡服務

　　注：您可以根據(jù)Windows 2003服務器所提供的服務進行選擇，可以多選。常用標準服務系統(tǒng)已經預置在系統(tǒng)中，你只需選中相應選項就可以了。如果服務器還提供非標準服務，那就需要管理員手動添加了。

　　2)非標準服務的設置

　　我們以通過8000端口開放一非標準的Web服務為例。在圖2“服務設置”對話框中，單擊[添加]按鈕，出現(xiàn)“服務添加”對話框，在此對話框中，填入服務描述、IP地址、服務所使用的端口號，并選擇所使用的協(xié)議(Web服務使用TCP協(xié)議，DNS查詢使用UDP協(xié)議)，最后單擊[確定]。設置完成后，網(wǎng)絡用戶可以通過8000端口訪問相應的服務，而對沒有經過授權的TCP、UDP端口的訪問均被隔離。

　　3. 防火墻安全日志設置

　　在圖2“服務設置”對話框中，選擇“安全日志”選項卡，出現(xiàn)“安全日志設置”對話框，選擇要記錄的項目，防火墻將記錄相應的數(shù)據(jù)。日志文件默認路徑為C:\Windows\Pfirewall.log，用記事本可以打開。所生成的安全日志使用的格式為W3C擴展日志文件格式，可以用常用的日志分析工具進行查看分析。

　　注：建立安全日志是非常必要的，在服務器安全受到威脅時，日志可以提供可靠的證據(jù)。

　　Internet 連接防火墻應用思考

　　Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，提高Windows 2003服務器的安全性。同時，也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網(wǎng)絡起到很好的保護作用。以上是筆者在日常工作中的一些經驗體會，希望能夠給大家提供借鑒。

　　補充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽起來很容易，但是由于防火墻沒有內置的變動管理流程，因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務中斷做出更改，那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改，會導致宕機嗎?這是一個相當高發(fā)的狀況。

　　防火墻管理產品的中央控制臺能全面可視所有的防火墻規(guī)則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障，讓整個協(xié)議管理更加簡單和高效。

　　二、以最小的權限安裝所有的訪問規(guī)則。

　　另一個常見的安全問題是權限過度的規(guī)則設置。防火墻規(guī)則是由三個域構成的：即源(IP地址)，目的地(網(wǎng)絡/子網(wǎng)絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個或者更多域內指定打來那個的目標對象。當你出于業(yè)務持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡，這些規(guī)則就會變得權限過度釋放，因此就會增加不安全因素。服務域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應用新產品和業(yè)務部門的過程中，我們經常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內容和精神，而不僅是一篇法律條文。

　　四、當服務過期后從防火墻規(guī)則中刪除無用的規(guī)則。

　　規(guī)則膨脹是防火墻經常會出現(xiàn)的安全問題，因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網(wǎng)絡以及應用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。

Win2003 系統(tǒng)服務器防火墻設置教程相關文章：

1.Windows2003的防火墻怎么設置

2.Windows如何設置防火墻

3.Windows防火墻權限設置

4.win7系統(tǒng)怎么設置開機自動啟動防火墻

5.Windows電腦防火墻怎么阻止軟件聯(lián)網(wǎng)