Windows2003防火墻簡介

Windows2003防火墻簡介

　　在校園網(wǎng)的日常管理與維護(hù)中，網(wǎng)絡(luò)安全正日益受到人們的關(guān)注。校園網(wǎng)服務(wù)器是否安全將直接影響學(xué)校日常教育教學(xué)工作的正常進(jìn)行。為了提高校園網(wǎng)的安全性，網(wǎng)絡(luò)管理員首先想到的就是配備硬件防火墻或者購買軟件防火墻，但硬件防火墻價(jià)格昂貴，軟件防火墻也價(jià)格不菲，這對教學(xué)經(jīng)費(fèi)比較緊張的廣大中小學(xué)來說是一個(gè)沉重的負(fù)擔(dān)。在此筆者結(jié)合自己的工作經(jīng)驗(yàn)，談?wù)勅绾卫肳indows 2003提供的防火墻功能為校園網(wǎng)服務(wù)器構(gòu)筑安全防線。

　　Windows 2003防火墻功能介紹

　　Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網(wǎng)絡(luò)通信通過防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

　　Internet連接防火墻的設(shè)置

　　在Windows 2003服務(wù)器上，對直接連接到 Internet 的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL 適配器或者撥號調(diào)制解調(diào)器連接到 Internet。

　　1. 啟動/停止防火墻

　　(1)打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。

　　(2)單擊“高級”選項(xiàng)卡，出現(xiàn)如圖1所示啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請選中“通過限制或阻止來自 Internet 的對此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選框;如果要禁用Internet 連接防火墻，請清除以上選擇。

　　2.防火墻服務(wù)設(shè)置

　　Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

　　(1)標(biāo)準(zhǔn)服務(wù)的設(shè)置

　　我們以Windows 2003服務(wù)器提供的標(biāo)準(zhǔn)Web服務(wù)為例(默認(rèn)端口80)，操作步驟如下:在圖1所示界面中單擊[設(shè)置]按鈕，出現(xiàn)如圖2所示“服務(wù)設(shè)置”對話框;在“服務(wù)設(shè)置”對話框中，選中“Web服務(wù)器(HTTP)”復(fù)選項(xiàng)，單擊[確定]按鈕。設(shè)置好后，網(wǎng)絡(luò)用戶將無法訪問除Web服務(wù)外本服務(wù)器所提供的的其他網(wǎng)絡(luò)服務(wù)。

　　注:您可以根據(jù)Windows 2003服務(wù)器所提供的服務(wù)進(jìn)行選擇，可以多選。常用標(biāo)準(zhǔn)服務(wù)系統(tǒng)已經(jīng)預(yù)置在系統(tǒng)中，你只需選中相應(yīng)選項(xiàng)就可以了。如果服務(wù)器還提供非標(biāo)準(zhǔn)服務(wù)，那就需要管理員手動添加了。

　　(2)非標(biāo)準(zhǔn)服務(wù)的設(shè)置

　　我們以通過8000端口開放一非標(biāo)準(zhǔn)的Web服務(wù)為例。在圖2“服務(wù)設(shè)置”對話框中，單擊[添加]按鈕，出現(xiàn)“服務(wù)添加”對話框，在此對話框中，填入服務(wù)描述、IP地址、服務(wù)所使用的端口號，并選擇所使用的協(xié)議(Web服務(wù)使用TCP協(xié)議，DNS查詢使用UDP協(xié)議)，最后單擊[確定]。設(shè)置完成后，網(wǎng)絡(luò)用戶可以通過8000端口訪問相應(yīng)的服務(wù)，而對沒有經(jīng)過授權(quán)的TCP、UDP端口的訪問均被隔離。

　　3.防火墻安全日志設(shè)置

　　在圖2“服務(wù)設(shè)置”對話框中，選擇“安全日志”選項(xiàng)卡，出現(xiàn)“安全日志設(shè)置”對話框，選擇要記錄的項(xiàng)目，防火墻將記錄相應(yīng)的數(shù)據(jù)。日志文件默認(rèn)路徑為C:\Windows\Pfirewall.log，用記事本可以打開。所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。

　　注:建立安全日志是非常必要的，在服務(wù)器安全受到威脅時(shí)，日志可以提供可靠的證據(jù)。

　　Internet 連接防火墻應(yīng)用思考

　　Internet 連接防火墻可以有效地?cái)r截對Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對服務(wù)器的掃描，提高Windows 2003服務(wù)器的安全性。同時(shí)，也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。以上是筆者在日常工作中的一些經(jīng)驗(yàn)體會，希望能夠給大家提供借鑒。