多種方式進入防火牆
儘管從Windows XP系統開始,微軟公司就已經將防火牆功能內建在系統中了,不過該防火牆的功能還十分有限,往往只能提供單向的安全保護,而不能提供雙向的安全保護,並且網路管理員只能從系統的控制面板視窗中開啟防火牆程式介面。而在Windows Server 2008伺服器系統中,系統自帶防火牆的功能有了很大的進步,網路管理員既能像在Windows XP系統中那樣直接從控制面板視窗中存取自帶防火牆的使用者設定介面,又能從MMC控制台中對自帶防火牆的各項進階功能進行隨心所欲地設定。
在Windows Server 2008伺服器系統,我們可以有兩種方式進入防火牆的Windows設定介面,不過這兩種設定介面的內容卻是不一樣的;從系統控制面板視窗進入的防火牆設定介面屬於基本介面,這種介面往往適合初級用戶使用,從MMC控制台中進入的防火牆配置介面屬於高級介面,這種介面往往適合高級用戶使用,高級用戶可以隨心所欲地控制伺服器系統的資料流入和流出能力。除此之外,喜歡在DOS命令列下操作的朋友還能透過MS-DOS視窗中的指令在命令列模式設定伺服器系統自備防火牆,或是使用建立安全腳本的方式在多台伺服器系統中進行防火牆參數的自動配置。當然,與舊版系統下的防火牆程式一樣,我們也能透過群組原則的力量來控制伺服器系統防火牆的設定操作。
1、從控制面板進入
我們知道,最初的系統自備防火牆程式往往只提供了系統安全的單向防護能力,也就說只能對進入伺服器系統的資料資訊流進行攔截審查,而不大容易出現由於防火牆參數配置不當造成伺服器系統安全效能下降的現像出現。在進行這種初級設定時,我們可以透過伺服器系統的控制視窗來開啟防火牆的基本設定介面就可以了,以下是具體的開啟步驟:
首先在Windows Server 2008伺服器系統桌面中,依序點選「開始」/「設定」/「控制台」指令,在彈出的系統控制台視窗中,找到Windows防火牆圖標,並用滑鼠雙擊該圖標,就能打開Windows防火牆的基本設定介面了,如圖1所示;
其次在該設定介面的左側顯示區域點選「啟用或關閉Windows防火牆」選項,在其後彈出的介面中點選「常規」標籤,開啟如圖2所示的標籤設定頁面,在該頁面中我們可以直接選擇「啟用」選項來啟用伺服器系統自帶的防火牆功能,也可以直接選擇「關閉」選項來停用系統防火牆功能;
當我們啟用了伺服器系統的防火牆功能後,在預設狀態下,該防火牆程式會同時攔截所有程式去存取外部網絡,除了在「例外」標籤頁面中設定的選項外。在這裡,「阻止所有傳入連線」選項其實是一個非常有用的選項,特別是當本地伺服器系統處於一個不太安全的網路時,該選項能夠臨時讓系統禁止「例外」標籤頁面中設定的任何程式或服務存取網絡,一旦本機伺服器系統處於比較安全的工作環境時,我們再取消「阻止所有傳入連線」選項的選取狀態,以便恢復先前的正常設定操作。
與舊版系統一樣,在對Windows Server 2008伺服器系統下的自帶防火牆進行基本設定時,我們同樣可以在「例外」標籤頁面中設定那些能夠直接存取網路的程式或服務。我們可以直接透過點選「新增程式」、「新增連接埠」按鈕來自行新增需要存取外部網路的程式或服務,來解除系統防火牆程式對網路存取的封鎖。
如果本機伺服器系統中有多條網路連線時,我們也可以進入防火牆的「進階」標籤頁面,然後根據實際情況選擇需要受防火牆保護的目標網路連線。如果發現防火牆中有許多參數沒有配置正確時,那可以直接按一下「進階」標籤頁面中的「還原為預設值」按鈕,來快速取消所有的參數修改操作,以便將系統防火牆的參數設定還原到系統起初安裝時的預設狀態。
2、從控制台進入
在前面我們已經提到,從系統控制面板視窗中我們只能開啟伺服器系統防火牆的基本設定介面,若要開啟Windows Server 2008伺服器系統的進階安全防火牆設定介面時,我們需要從系統的控制台視窗中進入,以下就是具體的操作步驟:
首先打開Windows Server 2008伺服器系統的“開始”選單,從中點選“運行”命令,在彈出的系統運行文本框中,輸入字符串命令“mmc.exe”,單擊回車鍵後打開伺服器系統的控制台視窗;
其次在該控制台視窗中,依序按一下「檔案」/「新增/刪除管理單元」選項,在其後的介面中選取進階安全Windows防火牆選項,並按一下「新增」按鈕,隨後選取「本機電腦」選項,再點選「完成」按鈕,最後點選「確定」按鈕,這樣我們就能看到系統防火牆進階安全設定頁面了。
在Windows Server 2008伺服器系統的進階安全防火牆配置介面中,我們可以根據實際工作環境為伺服器系統定義多種不同的安全性配置,且每種配置都是相對獨立的。例如,我們可以在防火牆高級安全設定頁面中自訂適合單位區域網路工作環境的安全配置,可以在家庭工作環境中自訂適合點到點網路的安全配置,也可以在公共場合下客製化適合公網環境的安全配置。所以,當Windows Server 2008伺服器系統位於單位區域網路工作環境中時,我們幾乎可以關閉伺服器系統自帶的防火牆,因為基本上所有單位的區域網路都有專門的防火牆,而當伺服器系統處於公網環境中時,我們就需要及時發揮伺服器系統自帶防火牆的作用了,畢竟在公共場合下伺服器系統受到非法攻擊的可能性比較大。
[Cut-Page]
使用防火牆保護安全
熟悉了Windows Server 2008伺服器系統的防火牆後,我們就能發揮自己的聰明才智,來利用防火牆保護伺服器系統的安全了。下面,我們就列舉兩個應用程式實例,讓大家來領略一下Windows Server 2008伺服器系統防火牆的強大功能!
1.預防Ping命令攻擊
在區域網路環境中,常常有一些惡意使用者使用Ping指令向伺服器系統連續發送一些大容量的資料包,這就可能導致伺服器系統運行死機,此外非法攻擊者還能透過ping指令的一些參數來獲得伺服器系統的相關運行狀態信息,並根據這些信息對伺服器系統實施有針對性的攻擊。為了保護Windows Server 2008伺服器系統的運作穩定性,避免伺服器主機遭受Ping指令攻擊,我們可以依照下列步驟來設定防火牆的安全規則:
首先在Windows Server 2008伺服器系統桌面中點選「開始」按鈕,從彈出的「開始」功能表中依序點選「程式」、「管理工具」指令,再從下層選單中選擇「進階安全Windows防火牆」選項;
隨後系統會自動彈出進階安全性Windows防火牆配置窗口,在該視窗左側清單窗格中按一下「入站規則」選項,再用滑鼠右鍵點選該選項,並從其後的右鍵選單中選擇「新規則」選項,開啟如圖3所示的新規則建立精靈介面,選取該介面中的「自訂」項目;
接著點擊“下一步”按鈕,選取其後頁面中的“所有程式”項目,之後按照提示將網路協定類型設為“ICMPv4”,將連線條件設定為“封鎖連接”,同時根據實際工作環境設定好應用該新規則的具體場合,最後為新創建的安全規則取一個合適的名稱,如此一來局域網中的任何非法用戶就無法對Windows Server 2008伺服器系統實施Ping命令攻擊了。
[Cut-Page]
2、預防程序漏洞攻擊
許多人常常會簡單地認為,只要及時為伺服器系統安裝更新補丁程序,就能保證伺服器系統不受網路病毒或木馬的攻擊;事實上,給伺服器系統安裝修補程式只是為了堵住系統的安全漏洞,但要是安裝在伺服器系統中的應用程式有漏洞的話,那麼伺服器系統的安全性還是沒有辦法保證。為了有效避免因應用程式漏洞而引起的伺服器安全隱患問題,我們就需要使用系統防火牆來拒絕存在安全漏洞的應用程式去連接或存取網絡,這樣就能阻止網路中的木馬或駭客透過應用程式漏洞來攻擊伺服器的安全了。下面,我們就來設定Windows Server 2008伺服器系統自帶的防火牆程序,來預防應用程式漏洞攻擊:
首先在Windows Server 2008伺服器系統桌面中,依序按一下「開始」/「設定」/「控制台」指令,在彈出的系統控制台視窗中,找到Windows防火牆圖標,並用滑鼠雙擊該圖標,開啟Windows防火牆的基本配置介面;
其次點擊該基本配置介面中的「更改設定」選項,再點擊「例外」標籤,打開標籤設定頁面,在這裡我們看到系統可能會使用網路程式列表,選取的應用程式就是被允許透過網路的應用程序,而那些沒有選中的應用程式就是不允許通過網路的應用程式;
如果我們發現對應標籤設定頁面中沒有目標漏洞應用程序,那麼我們可以單擊這裡的“添加程序”按鈕,在彈出的文件選擇對話框中,將存在安全漏洞的應用程式添加導入進來,最後單擊「確定」按鈕就能讓上述設定生效了。
3.強行保護所有連接
有時候,我們根本不知道哪些應用程式有安全漏洞,因此我們也無法利用Windows Server 2008伺服器系統自帶防火牆來保護本機伺服器的安全性;此時,我們可以修改Windows Server 2008伺服器系統的群組原則,來強行要求防火牆程式來自動保護所有網路連接,以下是具體的設定步驟:
首先在Windows Server 2008伺服器系統桌面中開啟“開始”選單,從中選擇“執行”命令,在其後彈出的運行框中輸入字串命令“gpedit.msc”,進入本機伺服器系統的群組原則編輯介面;
其次將滑鼠定位於「電腦設定」/「管理範本」/「網路」/「網路連線」/「Windows防火牆」/「標準設定檔」分支選項,在「標準設定檔」分支選項下面,用滑鼠雙擊「Windows防火牆:保護所有網路連線」群組原則選項,開啟如圖4所示的目標群組原則屬性介面;選取該介面中的「已啟用」項目,最後點選「確定」按鈕,如此一來Windows Server 2008伺服器系統自備防火牆日後就能強行保護所有網路連線了。
[Cut-Page]使用防火牆保護安全
熟悉了Windows Server 2008伺服器系統的防火牆後,我們就能發揮自己的聰明才智,來利用防火牆保護伺服器系統的安全了。下面,我們就列舉兩個應用程式實例,讓大家來領略一下Windows Server 2008伺服器系統防火牆的強大功能!
1.預防Ping命令攻擊
在區域網路環境中,常常有一些惡意使用者使用Ping指令向伺服器系統連續發送一些大容量的資料包,這就可能導致伺服器系統運行死機,此外非法攻擊者還能透過ping指令的一些參數來獲得伺服器系統的相關運行狀態信息,並根據這些信息對伺服器系統實施有針對性的攻擊。為了保護Windows Server 2008伺服器系統的運作穩定性,避免伺服器主機遭受Ping指令攻擊,我們可以依照下列步驟來設定防火牆的安全規則:
首先在Windows Server 2008伺服器系統桌面中點選「開始」按鈕,從彈出的「開始」功能表中依序點選「程式」、「管理工具」指令,再從下層選單中選擇「進階安全Windows防火牆」選項;
隨後系統會自動彈出進階安全性Windows防火牆配置窗口,在該視窗左側清單窗格中按一下「入站規則」選項,再用滑鼠右鍵點選該選項,並從其後的右鍵選單中選擇「新規則」選項,開啟如圖3所示的新規則建立精靈介面,選取該介面中的「自訂」項目;
接著點擊“下一步”按鈕,選取其後頁面中的“所有程式”項目,之後按照提示將網路協定類型設為“ICMPv4”,將連線條件設定為“封鎖連接”,同時根據實際工作環境設定好應用該新規則的具體場合,最後為新創建的安全規則取一個合適的名稱,如此一來局域網中的任何非法用戶就無法對Windows Server 2008伺服器系統實施Ping命令攻擊了。