相比Windows Server 2003操作系統(tǒng)中自帶的防火墻，集成在Windows Server 2008下的防火墻功能更加全面，安全防護(hù)等級自然也是更高一籌，我們只要對該防火墻程序進(jìn)行合適配置，完全可以讓W(xué)indows Server 2008系統(tǒng)運(yùn)行得更加安全。這不，本文現(xiàn)在就為各位朋友推薦幾則Windows Server 2008系統(tǒng)防火墻的配置技巧，相信在這些技巧的幫助下，大家一定能夠充分享受系統(tǒng)防火墻帶給自己的驚喜!

　　很多時候，我們需要定期查看Windows系統(tǒng)自帶防火墻的安全配置狀態(tài)，例如想了解當(dāng)前系統(tǒng)是否已經(jīng)啟用了防火墻，防火墻使用了什么類型的配置文件，防火墻是否允許了例外工作模式的啟用，多播/廣播響應(yīng)模式有沒有被正常啟用，當(dāng)前在所有的網(wǎng)絡(luò)連接接口上已經(jīng)打開了哪些網(wǎng)絡(luò)端口，這些處于打開狀態(tài)的端口號碼是什么等;正常來說，我們需要先進(jìn)入Windows系統(tǒng)自帶防火墻的基本配置界面，然后依次點(diǎn)選其中的各個標(biāo)簽設(shè)置頁面，之后才能在各個頁面中了解到上述配置信息。很顯然，采用上面的方法查看Windows防火墻各方面的配置狀態(tài)，無疑是比較麻煩的;事實(shí)上，在Windows Server 2008系統(tǒng)環(huán)境下，我們可以巧妙地利用系統(tǒng)自帶的netsh命令，來一次性查看該系統(tǒng)防火墻所有的配置狀態(tài)信息，下面就是該方法的具體實(shí)現(xiàn)步驟：

　　首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單，從中逐一點(diǎn)選“程序”、“附件”選項(xiàng)，再從下級菜單中用鼠標(biāo)右鍵單擊“命令行提示符”命令，從彈出的快捷菜單中點(diǎn)選“以管理員身份運(yùn)行”命令，此時系統(tǒng)屏幕將會自動切換到DOS命令行工作窗口;

　　其次在該工作窗口的DOS命令提示符下，輸入字符串命令“netsh”，單擊回車鍵后將系統(tǒng)切換到netsh命令配置狀態(tài)，接著再輸入字符串命令“firewall”，單擊回車鍵后，系統(tǒng)又會自動進(jìn)入Windows防火墻的命令設(shè)置環(huán)境，這時我們會看到系統(tǒng)屏幕上出現(xiàn)的提示符已經(jīng)變成了“netsh firewall”;

　　下面在“netsh firewall”提示符下，輸入字符串命令“show state”，單擊回車鍵后，我們就能從如圖1所示的結(jié)果界面中，看到系統(tǒng)自帶防火墻各個方面的安全配置狀態(tài)信息了;例如，在這里我們發(fā)現(xiàn)Windows系統(tǒng)自帶防火墻使用了標(biāo)準(zhǔn)配置文件，啟用了例外工作模式，禁止了通知模式，啟用了多播/廣播響應(yīng)模式，當(dāng)前所有網(wǎng)絡(luò)連接接口上沒有網(wǎng)絡(luò)端口被打開等。 #p#

　　當(dāng)我們嘗試訪問安裝在Windows Server 2008系統(tǒng)中的網(wǎng)絡(luò)打印機(jī)時，常常會遇到無法訪問網(wǎng)絡(luò)打印機(jī)的故障現(xiàn)象，這種故障現(xiàn)象往往都是由于對應(yīng)系統(tǒng)自帶的防火墻禁止文件和打印共享操作連接網(wǎng)絡(luò)造成的，這時我們就需要對Windows Server 2008系統(tǒng)防火墻進(jìn)行合適配置，讓其允許文件和打印共享操作連接網(wǎng)絡(luò);按理來說，進(jìn)入Windows Server 2008系統(tǒng)防火墻的基本配置界面，我們就可以非常輕松地完成這種設(shè)置操作。然而有的時候，我們會遇到無法進(jìn)入防火墻基本配置界面的特殊現(xiàn)象，這個時候我們該如何讓防火墻允許文件和打印共享操作通行呢?其實(shí)很簡單，我們可以通過命令來配置Windows Server 2008系統(tǒng)防火墻，讓其允許文件和打印共享操作連接網(wǎng)絡(luò)，下面就是具體的操作步驟：

　　首先按照前面的操作步驟將系統(tǒng)屏幕切換到DOS命令行工作窗口，在該工作窗口的DOS命令提示符下，輸入字符串命令“netsh”，單擊回車鍵后將系統(tǒng)切換到netsh命令配置狀態(tài)，然后輸入字符串命令“firewall”，單擊回車鍵后，再將系統(tǒng)切換到Windows防火墻的命令設(shè)置環(huán)境;

　　其次在“netsh firewall”提示符下，輸入字符串命令“set opmode enable”，單擊回車鍵后，進(jìn)入系統(tǒng)防火墻的全局操作模式;考慮到文件和打印共享操作需要開啟TCP139、TCP445、UDP137、UDP138端口，為此我們可以在“netsh firewall”提示符下依次執(zhí)行字符串命令“add portopening TCP 139 blah enable subnet”、“add portopening TCP 445 blah enable subnet”、“add portopening UDP 137 blah enable subnet”、“add portopening UDP 138 blah enable subnet”，如圖2所示;

　　當(dāng)上述命令都返回“確定”提示時，那就說明這些命令已經(jīng)被成功執(zhí)行了，這時候Windows Server 2008系統(tǒng)防火墻就會自動開啟TCP139、TCP445、UDP137、UDP138等端口了，而這些端口一旦被成功啟用后，我們就能通過這些端口訪問到安裝在Windows Server 2008系統(tǒng)中的網(wǎng)絡(luò)打印機(jī)了。為了驗(yàn)證上面的操作是否成功，我們可以在DOS命令行中執(zhí)行“netstat -ano”字符串命令，從其后出現(xiàn)的結(jié)果界面中我們可以清楚地看到服務(wù)器系統(tǒng)已經(jīng)打開的所有端口了，如果看到TCP139、TCP445、UDP137、UDP138端口已經(jīng)處于開通狀態(tài)時，那就說明上述字符串命令已經(jīng)被執(zhí)行成功了。 #p#

　　大家知道，每次向服務(wù)器系統(tǒng)發(fā)送Ping命令測試通信包時，服務(wù)器系統(tǒng)往往都需要騰出一定的系統(tǒng)資源來進(jìn)行回復(fù)應(yīng)答，要是某個時候同時向服務(wù)器系統(tǒng)發(fā)送若干個Ping命令測試通信包時，那么服務(wù)器系統(tǒng)就需要消耗更多的系統(tǒng)資源來對它們進(jìn)行一一回復(fù)，一旦達(dá)到一定程度后，服務(wù)器系統(tǒng)中的有限系統(tǒng)資源可能都會被使用掉。Internet中的不少病毒程序或非法攻擊者常常會通過這種方法來對重要服務(wù)器系統(tǒng)實(shí)施Ping攻擊，從而造成服務(wù)器系統(tǒng)發(fā)生癱瘓現(xiàn)象;為了禁止Ping命令攻擊Windows Server 2008服務(wù)器系統(tǒng)，我們可以對系統(tǒng)自帶防火墻進(jìn)行合適設(shè)置，下面就是具體的設(shè)置步驟：

　　首先以特權(quán)身份進(jìn)入到Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開始”/“程序”/“服務(wù)器管理器”菜單選項(xiàng)，打開本地系統(tǒng)的服務(wù)器管理器窗口，從該窗口左側(cè)顯示區(qū)域的“配置”分支下面，點(diǎn)選“高級安全Windows防火墻”選項(xiàng);

　　其次在對應(yīng)“高級安全Windows防火墻”選項(xiàng)的中間顯示區(qū)域，單擊“入站規(guī)則”項(xiàng)目，并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“新規(guī)則”命令，此時屏幕上將會自動出現(xiàn)一個如圖3所示的新規(guī)則創(chuàng)建向?qū)υ捒颍x中該對話框中的“自定義”選項(xiàng);

　　繼續(xù)單擊向?qū)υ捒蛑械摹跋乱徊健卑粹o，在其后出現(xiàn)的設(shè)置頁面中選中“所有程序”選項(xiàng)，同時依照屏幕默認(rèn)提示將網(wǎng)絡(luò)通信協(xié)議類型參數(shù)選擇為“ICMPv4”，再將連接條件參數(shù)選擇為“阻止連接”，之后依照實(shí)際工作環(huán)境設(shè)置好應(yīng)用該新安全規(guī)則的使用場合，最后為新創(chuàng)建的安全規(guī)則設(shè)置一個適當(dāng)?shù)拿Q，這樣的話局域網(wǎng)中的任何一位用戶都不能對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行惡意Ping攻擊了。 #p#

　　有的時候，Internet中的不少病毒程序或非法攻擊者會利用一些應(yīng)用程序的漏洞來攻擊Windows Server 2008服務(wù)器系統(tǒng)，而我們并不清楚究竟哪些應(yīng)用程序存在安全漏洞，所以我們也就不能合理通過Windows Server 2008系統(tǒng)防火墻來禁止漏洞程序連接網(wǎng)絡(luò)，如此一來Windows Server 2008服務(wù)器系統(tǒng)的安全性就無法得到保證了;這個時候，我們不妨設(shè)置Windows Server 2008系統(tǒng)的組策略參數(shù)，來要求系統(tǒng)防火墻程序?qū)λ芯W(wǎng)絡(luò)連接進(jìn)行安全保護(hù)，下面就是具體的操作步驟：

　　首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中點(diǎn)選“運(yùn)行”選項(xiàng)，打開對應(yīng)系統(tǒng)的運(yùn)行對話框，在其中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕后，打開對應(yīng)系統(tǒng)的組策略控制臺窗口;

　　其次從該控制臺窗口的左側(cè)顯示區(qū)域選中“計(jì)算機(jī)配置”分支選項(xiàng)，再從該分支下面逐一選中“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”、“Windows防火墻”、“標(biāo)準(zhǔn)配置文件”子項(xiàng)，在對應(yīng)“標(biāo)準(zhǔn)配置文件”子項(xiàng)下面找到目標(biāo)組策略“Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖4所示的組策略屬性設(shè)置對話框;

　　檢查其中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)它還沒有被選中時，我們應(yīng)該及時將它重新選中，再單擊“確定”按鈕保存好設(shè)置操作，這樣的話Windows Server 2008服務(wù)器系統(tǒng)防火墻日后就能對本地系統(tǒng)中的所有網(wǎng)絡(luò)連接進(jìn)行安全保護(hù)了。

最新評論