防火墙就像是一堵密不透风的墙,能够坚硬的抵挡住外来病毒的侵略、攻击,在win2008系统中对系统自带的防火墙功能进行了强化,这样用户就可以巧妙地运用防火墙,打造一个更安全的win2008系统了。
多种方式进入防火墙
在Windows Server 2008服务器系统,有两种方式进入防火墙的Windows配置界面,从系统控制面板窗口进入的防火墙配置界面属于基本界面,这种界面往往适合初级用户使用,从MMC控制台中进入的防火墙配置界面属于高级界面,这种界面往往适合高级用户使用,高级用户可以在这里随心所欲地控制服务器系统的数据流入和流出能力。除此而外,还能通过MS-DOS窗口中的命令在命令行模式配置服务器系统自带防火墙,或者使用创建安全脚本的方式在多台服务器系统中进行防火墙参数的自动配置。当然,还能通过组策略的力量来控制服务器系统防火墙的配置操作。
1、从控制面板进入
最初的系统自带防火墙程序往往只提供了系统安全的单向防护能力,也就说只能对进入服务器系统的数据信息流进行拦截审查,而不大容易出现由于防火墙参数配置不当造成服务器系统安全性能下降的现象出现。在进行这种初级配置时,可以通过服务器系统的控制窗口来打开防火墙的基本配置界面就可以了,下面就是具体的打开步骤:
首先在Windows Server 2008服务器系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,找到Windows防火墙图标,并用鼠标双击该图标,就能打开Windows防火墙的基本配置界面了,如图所示:
Windows防火墙的基本配置界面
其次在该配置界面的左侧显示区域单击“启用或关闭Windows防火墙”选项,在其后弹出的界面中单击“常规”标签,打开如下图所示的标签设置页面,在该页面中我们可以直接选择“启用”选项来启用服务器系统自带的防火墙功能,也可以直接选择“关闭”选项来停用系统防火墙功能;
防火墙开启界面
当我们启用了服务器系统的防火墙功能后,在默认状态下,该防火墙程序会同时拦截所有程序去访问外部网络,除了在“例外”标签页面中设置的选项外。在这里,“阻止所有传入连接”选项其实是一个非常有用的选项,特别是当本地服务器系统处于一个不太安全的网络时,该选项能够临时让系统禁止“例外”标签页面中设置的任何程序或服务访问网络,一旦本地服务器系统处于一个比较安全的工作环境时,我们再取消“阻止所有传入连接”选项的选中状态,以便恢复以前的正常设置操作。
与旧版本系统一样,在对Windows Server 2008服务器系统下的自带防火墙进行基本设置时,可以在“例外”标签页面中设置那些能够直接访问网络的程序或服务。我们可以直接通过单击“添加程序”、“添加端口”按钮来自行添加需要访问外部网络的程序或服务,来解除系统防火墙程序对网络访问的阻止。
如果本地服务器系统中有多条网络连接时,我们还可以进入防火墙的“高级”标签页面,然后根据实际情况选择需要受防火墙保护的目标网络连接。如果发现防火墙中有许多参数没有配置正确时,那可以直接单击“高级”标签页面中的“还原为默认值”按钮,来快速取消所有的参数修改操作,以便将系统防火墙的参数设置恢复到系统起初安装时的缺省状态。
2、从控制台进入
从系统控制面板窗口中我们只能打开服务器系统防火墙的基本配置界面,要想打开Windows Server 2008服务器系统的高级安全防火墙配置界面时,我们需要从系统的控制台窗口中进入,下面就是具体的操作步骤:
首先打开Windows Server 2008服务器系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中,输入字符串命令“mmc.exe”,单击回车键后打开服务器系统的控制台窗口;
其次在该控制台窗口中,依次单击“文件”/“添加/删除管理单元”选项,在其后的界面中选中高级安全Windows防火墙选项,并单击“添加”按钮,随后选中“本地计算机”选项,再单击“完成”按钮,最后单击“确定”按钮,这样我们就能看到如下图所示那样的系统防火墙高级安全设置页面了。
系统防火墙高级安全设置页面
在Windows Server 2008服务器系统的高级安全防火墙配置界面中,我们可以根据实际工作环境为服务器系统定义多种不同的安全配置,并且每一种配置都是相对独立的。例如,我们可以在防火墙高级安全设置页面中定制适合单位局域网工作环境的安全配置,可以在家庭工作环境中定制适合点到点网络的安全配置,也可以在公共场合下定制适合公网环境的安全配置。所以,当Windows Server 2008服务器系统位于单位局域网工作环境中时,我们几乎可以关闭服务器系统自带的防火墙,因为基本上所有单位的局域网网络都有专门的防火墙,而当服务器系统处于公网环境中时,我们就需要及时发挥服务器系统自带防火墙的作用了,毕竟在公共场合下服务器系统受到非法攻击的可能性比较大。
使用防火墙保护安全
熟悉了Windows Server 2008服务器系统的防火墙后,就可以利用防火墙保护服务器系统的安全了。
1、预防Ping命令攻击
在局域网环境中,常常有一些恶意用户使用Ping命令向服务器系统连续发送一些大容量的数据包,这就可能导致服务器系统运行死机,此外非法攻击者还能通过ping命令的一些参数获得服务器系统的相关运行状态信息,并根据这些信息对服务器系统实施有针对性的攻击。为了保护Windows Server 2008服务器系统的运行稳定性,避免服务器主机遭受Ping命令攻击,我们可以按照如下步骤来设置防火墙的安全规则:
首先在Windows Server 2008服务器系统桌面中单击“开始”按钮,从弹出的“开始”菜单中依次点选“程序”、“管理工具”命令,再从下级菜单中选择“高级安全Windows防火墙”选项;
随后系统会自动弹出高级安全Windows防火墙配置窗口,在该窗口左侧列表窗格中单击“入站规则”选项,再用鼠标右键单击该选项,并从其后的右键菜单中选择“新规则”选项,打开如下图所示的新规则创建向导界面,选中该界面中的“自定义”项目;
新规则创建向导界面
接着单击“下一步”按钮,选中其后页面中的“所有程序”项目,之后按照提示将网络协议类型设置为“ICMPv4”,将连接条件设置为“阻止连接”,同时根据实际工作环境设置好应用该新规则的具体场合,最后为新创建的安全规则取一个合适的名称,如此一来局域网中的任何非法用户就无法对Windows Server 2008服务器系统实施Ping命令攻击了。
2、预防程序漏洞攻击
许多人常常会简单地认为,只要及时为服务器系统安装更新补丁程序,就能保证服务器系统不受网络病毒或木马的攻击;事实上,给服务器系统安装补丁程序只是为了堵住系统的安全漏洞,但要是安装在服务器系统中的应用程序存在漏洞的话,那么服务器系统的安全还是没有办法保证。为了有效避免由于应用程序漏洞而引起的服务器安全隐患问题,我们就需要使用系统防火墙来拒绝存在安全漏洞的应用程序去连接或访问网络,这样就能阻止网络中的木马或黑客通过应用程序漏洞来攻击服务器的安全了。下面,我们就来设置Windows Server 2008服务器系统自带的防火墙程序,来预防应用程序漏洞攻击:
首先在Windows Server 2008服务器系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,找到Windows防火墙图标,并用鼠标双击该图标,打开Windows防火墙的基本配置界面;
其次单击该基本配置界面中的“更改设置”选项,再单击“例外”标签,打开如下图所示的标签设置页面,在这里我们看到系统可能会使用网络程序列表,选中的应用程序就是被允许通过网络的应用程序,而那些没有选中的应用程序就是不允许通过网络的应用程序;
预防程序漏洞攻击
如果我们发现对应标签设置页面中没有目标漏洞应用程序,那我们可以单击这里的“添加程序”按钮,在弹出的文件选择对话框中,将存在安全漏洞的应用程序添加导入进来,最后单击“确定”按钮就能使上述设置生效了。
3、强行保护所有连接
有时候,我们根本不知道哪些应用程序存在安全漏洞,因此我们也就无法利用Windows Server 2008服务器系统自带防火墙来保护本地服务器的安全;此时,我们可以修改Windows Server 2008服务器系统的组策略,来强行要求防火墙程序来自动保护所有网络连接,下面就是具体的设置步骤:
首先在Windows Server 2008服务器系统桌面中打开“开始”菜单,从中选择“运行”命令,在其后弹出的运行框中输入字符串命令“gpedit.msc”,进入本地服务器系统的组策略编辑界面;
强行保护所有连接
其次将鼠标定位于“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”分支选项,在“标准配置文件”分支选项下面,用鼠标双击“Windows防火墙:保护所有网络连接”组策略选项,打开如图6所示的目标组策略属性界面;选中该界面中的“已启用”项目,最后单击“确定”按钮,如此一来Windows Server 2008服务器系统自带防火墙日后就能强行保护所有网络连接了。
防火墙就像是一个厚实的盾牌,只要我们能够巧妙地去设置它,那么它就能为我们所用,更好地去保护我们系统的安全了,而我们也不用再去麻烦找第三方软件来实行保护了,有兴趣的用户可以收藏起来哦。