Win2003 系統服務器防火墻設置教程

　　防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網絡通信通過防火墻進入網絡，同時拒絕不安全的通信進入，使網絡免受外來威脅。

　　Internet連接防火墻的設置

　　在Windows 2003服務器上，對直接連接到 Internet 的計算機啟用防火墻功能，支持網絡適配器、DSL 適配器或者撥號調制解調器連接到 Internet。

　　1. 啟動/停止防火墻

　　(1)打開“網絡連接”，右擊要保護的連接，單擊“屬性”，出現“本地連接屬性”對話框。

　　(2)單擊“高級”選項卡，出現如圖1所示啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框;如果要禁用Internet 連接防火墻，請清除以上選擇。

　　2. 防火墻服務設置

　　Windows 2003 Internet連接防火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統提供了這些服務，Internet連接防火墻就可以監視并管理這些端口。

　　(1)標準服務的設置

　　我們以Windows 2003服務器提供的標準Web服務為例(默認端口80)，操作步驟如下：在圖1所示界面中單擊[設置]按鈕，出現如圖2所示“服務設置”對話框;在“服務設置”對話框中，選中“Web服務器(HTTP)”復選項，單擊[確定]按鈕。設置好后，網絡用戶將無法訪問除Web服務外本服務器所提供的的其他網絡服務

　　注：您可以根據Windows 2003服務器所提供的服務進行選擇，可以多選。常用標準服務系統已經預置在系統中，你只需選中相應選項就可以了。如果服務器還提供非標準服務，那就需要管理員手動添加了。

　　2)非標準服務的設置

　　我們以通過8000端口開放一非標準的Web服務為例。在圖2“服務設置”對話框中，單擊[添加]按鈕，出現“服務添加”對話框，在此對話框中，填入服務描述、IP地址、服務所使用的端口號，并選擇所使用的協議(Web服務使用TCP協議，DNS查詢使用UDP協議)，最后單擊[確定]。設置完成后，網絡用戶可以通過8000端口訪問相應的服務，而對沒有經過授權的TCP、UDP端口的訪問均被隔離。

　　3. 防火墻安全日志設置

　　在圖2“服務設置”對話框中，選擇“安全日志”選項卡，出現“安全日志設置”對話框，選擇要記錄的項目，防火墻將記錄相應的數據。日志文件默認路徑為C:\Windows\Pfirewall.log，用記事本可以打開。所生成的安全日志使用的格式為W3C擴展日志文件格式，可以用常用的日志分析工具進行查看分析。

　　注：建立安全日志是非常必要的，在服務器安全受到威脅時，日志可以提供可靠的證據。

　　Internet 連接防火墻應用思考

　　Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，提高Windows 2003服務器的安全性。同時，也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網絡起到很好的保護作用。以上是筆者在日常工作中的一些經驗體會，希望能夠給大家提供借鑒。

　　補充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規則必須更改。

　　盡管這種方法聽起來很容易，但是由于防火墻沒有內置的變動管理流程，因此文件更改對于許多企業來說都不是最佳的實踐方法。如果防火墻管理員因為突發情況或者一些其他形式的業務中斷做出更改，那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改，會導致宕機嗎?這是一個相當高發的狀況。

　　防火墻管理產品的中央控制臺能全面可視所有的防火墻規則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發現并修理故障，讓整個協議管理更加簡單和高效。

　　二、以最小的權限安裝所有的訪問規則。

　　另一個常見的安全問題是權限過度的規則設置。防火墻規則是由三個域構成的：即源(IP地址)，目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統，常用方法是在一個或者更多域內指定打來那個的目標對象。當你出于業務持續性的需要允許大范圍的IP地址來訪問大型企業的網絡，這些規則就會變得權限過度釋放，因此就會增加不安全因素。服務域的規則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

　　三、根據法規協議和更改需求來校驗每項防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統為中心的。在安裝最新防火墻規則來解決問題，應用新產品和業務部門的過程中，我們經常會遺忘防火墻也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神，而不僅是一篇法律條文。

　　四、當服務過期后從防火墻規則中刪除無用的規則。

　　規則膨脹是防火墻經常會出現的安全問題，因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則，卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網絡以及應用軟件更新周期對于達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火墻團隊。

Win2003 系統服務器防火墻設置教程相關文章：

1.Windows2003的防火墻怎么設置

2.Windows如何設置防火墻

3.Windows防火墻權限設置

4.win7系統怎么設置開機自動啟動防火墻

5.Windows電腦防火墻怎么阻止軟件聯網