配置WindowsServer2008防火墻系統(tǒng)更安全

相比Windows Server 2003操作系統(tǒng)中自帶的防火墻，集成在Windows Server 2008下的防火墻功能更加全面，安全防護等級自然也是更高一籌，我們只要對該防火墻程序進行合適配置，完全可以讓Windows Server 2008系統(tǒng)運行得更加安全。這不，本文現(xiàn)在就為各位朋友推薦幾則Windows Server 2008系統(tǒng)防火墻的配置技巧，相信在這些技巧的幫助下，大家一定能夠充分享受系統(tǒng)防火墻帶給自己的驚喜!
    1、快速查看Windows Server 2008防火墻配置狀態(tài)
    很多時候，我們需要定期查看Windows系統(tǒng)自帶防火墻的安全配置狀態(tài)，例如想了解當前系統(tǒng)是否已經(jīng)啟用了防火墻，防火墻使用了什么類型的配置文件，防火墻是否允許了例外工作模式的啟用，多播/廣播響應模式有沒有被正常啟用，當前在所有的網(wǎng)絡連接接口上已經(jīng)打開了哪些網(wǎng)絡端口，這些處于打開狀態(tài)的端口號碼是什么等;正常來說，我們需要先進入Windows系統(tǒng)自帶防火墻的基本配置界面，然后依次點選其中的各個標簽設置頁面，之后才能在各個頁面中了解到上述配置信息。很顯然，采用上面的方法查看Windows防火墻各方面的配置狀態(tài)，無疑是比較麻煩的;事實上，在Windows Server 2008系統(tǒng)環(huán)境下，我們可以巧妙地利用系統(tǒng)自帶的netsh命令，來一次性查看該系統(tǒng)防火墻所有的配置狀態(tài)信息，下面就是該方法的具體實現(xiàn)步驟：
    首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單，從中逐一點選“程序”、“附件”選項，再從下級菜單中用鼠標右鍵單擊“命令行提示符”命令，從彈出的快捷菜單中點選“以管理員身份運行”命令，此時系統(tǒng)屏幕將會自動切換到DOS命令行工作窗口;
    其次在該工作窗口的DOS命令提示符下，輸入字符串命令“netsh”，單擊回車鍵后將系統(tǒng)切換到netsh命令配置狀態(tài)，接著再輸入字符串命令“firewall”，單擊回車鍵后，系統(tǒng)又會自動進入Windows防火墻的命令設置環(huán)境，這時我們會看到系統(tǒng)屏幕上出現(xiàn)的提示符已經(jīng)變成了“netsh firewall”;
    下面在“netsh firewall”提示符下，輸入字符串命令“show state”，單擊回車鍵后，我們就能從如圖1所示的結果界面中，看到系統(tǒng)自帶防火墻各個方面的安全配置狀態(tài)信息了;例如，在這里我們發(fā)現(xiàn)Windows系統(tǒng)自帶防火墻使用了標準配置文件，啟用了例外工作模式，禁止了通知模式，啟用了多播/廣播響應模式，當前所有網(wǎng)絡連接接口上沒有網(wǎng)絡端口被打開等。
    2、用命令配置Windows Server 2008文件和打印共享
    當我們嘗試訪問安裝在Windows Server 2008系統(tǒng)中的網(wǎng)絡打印機時，常常會遇到無法訪問網(wǎng)絡打印機的故障現(xiàn)象，這種故障現(xiàn)象往往都是由于對應系統(tǒng)自帶的防火墻禁止文件和打印共享操作連接網(wǎng)絡造成的，這時我們就需要對Windows Server 2008系統(tǒng)防火墻進行合適配置，讓其允許文件和打印共享操作連接網(wǎng)絡;按理來說，進入Windows Server 2008系統(tǒng)防火墻的基本配置界面，我們就可以非常輕松地完成這種設置操作。然而有的時候，我們會遇到無法進入防火墻基本配置界面的特殊現(xiàn)象，這個時候我們該如何讓防火墻允許文件和打印共享操作通行呢?其實很簡單，我們可以通過命令來配置Windows Server 2008系統(tǒng)防火墻，讓其允許文件和打印共享操作連接網(wǎng)絡，下面就是具體的操作步驟：
    首先按照前面的操作步驟將系統(tǒng)屏幕切換到DOS命令行工作窗口，在該工作窗口的DOS命令提示符下，輸入字符串命令“netsh”，單擊回車鍵后將系統(tǒng)切換到netsh命令配置狀態(tài)，然后輸入字符串命令“firewall”，單擊回車鍵后，再將系統(tǒng)切換到Windows防火墻的命令設置環(huán)境;
    其次在“netsh firewall”提示符下，輸入字符串命令“set opmode enable”，單擊回車鍵后，進入系統(tǒng)防火墻的全局操作模式;考慮到文件和打印共享操作需要開啟TCP139、TCP445、UDP137、UDP138端口，為此我們可以在“netsh firewall”提示符下依次執(zhí)行字符串命令“add portopening TCP 139 blah enable subnet”、“add portopening TCP 445 blah enable subnet”、“add portopening UDP 137 blah enable subnet”、“add portopening UDP 138 blah enable subnet”，如圖2所示;
    當上述命令都返回“確定”提示時，那就說明這些命令已經(jīng)被成功執(zhí)行了，這時候Windows Server 2008系統(tǒng)防火墻就會自動開啟TCP139、TCP445、UDP137、UDP138等端口了，而這些端口一旦被成功啟用后，我們就能通過這些端口訪問到安裝在Windows Server 2008系統(tǒng)中的網(wǎng)絡打印機了。為了驗證上面的操作是否成功，我們可以在DOS命令行中執(zhí)行“netstat -ano”字符串命令，從其后出現(xiàn)的結果界面中我們可以清楚地看到服務器系統(tǒng)已經(jīng)打開的所有端口了，如果看到TCP139、TCP445、UDP137、UDP138端口已經(jīng)處于開通狀態(tài)時，那就說明上述字符串命令已經(jīng)被執(zhí)行成功了。
    3、自定義防火墻規(guī)則禁止惡意Ping攻擊
    大家知道，每次向服務器系統(tǒng)發(fā)送Ping命令測試通信包時，服務器系統(tǒng)往往都需要騰出一定的系統(tǒng)資源來進行回復應答，要是某個時候同時向服務器系統(tǒng)發(fā)送若干個Ping命令測試通信包時，那么服務器系統(tǒng)就需要消耗更多的系統(tǒng)資源來對它們進行一一回復，一旦達到一定程度后，服務器系統(tǒng)中的有限系統(tǒng)資源可能都會被使用掉。Internet中的不少病毒程序或非法攻擊者常常會通過這種方法來對重要服務器系統(tǒng)實施Ping攻擊，從而造成服務器系統(tǒng)發(fā)生癱瘓現(xiàn)象;為了禁止Ping命令攻擊Windows Server 2008服務器系統(tǒng)，我們可以對系統(tǒng)自帶防火墻進行合適設置，下面就是具體的設置步驟：
    首先以特權身份進入到Windows Server 2008服務器系統(tǒng)，依次單擊“開始”/“程序”/“服務器管理器”菜單選項，打開本地系統(tǒng)的服務器管理器窗口，從該窗口左側(cè)顯示區(qū)域的“配置”分支下面，點選“高級安全Windows防火墻”選項;
    其次在對應“高級安全Windows防火墻”選項的中間顯示區(qū)域，單擊“入站規(guī)則”項目，并用鼠標右鍵單擊之，從彈出的快捷菜單中執(zhí)行“新規(guī)則”命令，此時屏幕上將會自動出現(xiàn)一個如圖3所示的新規(guī)則創(chuàng)建向?qū)υ捒颍x中該對話框中的“自定義”選項;
    繼續(xù)單擊向?qū)υ捒蛑械摹跋乱徊健卑粹o，在其后出現(xiàn)的設置頁面中選中“所有程序”選項，同時依照屏幕默認提示將網(wǎng)絡通信協(xié)議類型參數(shù)選擇為“ICMPv4”，再將連接條件參數(shù)選擇為“阻止連接”，之后依照實際工作環(huán)境設置好應用該新安全規(guī)則的使用場合，最后為新創(chuàng)建的安全規(guī)則設置一個適當?shù)拿Q，這樣的話局域網(wǎng)中的任何一位用戶都不能對Windows Server 2008服務器系統(tǒng)進行惡意Ping攻擊了。
    4、讓所有Windows Server 2008連接處于安全保護狀態(tài)
    有的時候，Internet中的不少病毒程序或非法攻擊者會利用一些應用程序的漏洞來攻擊Windows Server 2008服務器系統(tǒng)，而我們并不清楚究竟哪些應用程序存在安全漏洞，所以我們也就不能合理通過Windows Server 2008系統(tǒng)防火墻來禁止漏洞程序連接網(wǎng)絡，如此一來Windows Server 2008服務器系統(tǒng)的安全性就無法得到保證了;這個時候，我們不妨設置Windows Server 2008系統(tǒng)的組策略參數(shù)，來要求系統(tǒng)防火墻程序?qū)λ芯W(wǎng)絡連接進行安全保護，下面就是具體的操作步驟：
    首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中點選“運行”選項，打開對應系統(tǒng)的運行對話框，在其中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕后，打開對應系統(tǒng)的組策略控制臺窗口;
    其次從該控制臺窗口的左側(cè)顯示區(qū)域選中“計算機配置”分支選項，再從該分支下面逐一選中“管理模板”、“網(wǎng)絡”、“網(wǎng)絡連接”、“Windows防火墻”、“標準配置文件”子項，在對應“標準配置文件”子項下面找到目標組策略“Windows防火墻：保護所有網(wǎng)絡連接”選項，并用鼠標雙擊該選項，打開如圖4所示的組策略屬性設置對話框;
    檢查其中的“已啟用”選項是否處于選中狀態(tài)，要是發(fā)現(xiàn)它還沒有被選中時，我們應該及時將它重新選中，再單擊“確定”按鈕保存好設置操作，這樣的話Windows Server 2008服務器系統(tǒng)防火墻日后就能對本地系統(tǒng)中的所有網(wǎng)絡連接進行安全保護了