Windows 2003防火墻功能介紹
Windows 2003提供的防火墻稱為Internet連接防火墻,通過允許安全的網絡通信通過防火墻進入網絡,同時拒絕不安全的通信進入,使網絡免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
Internet連接防火墻的設置
在Windows 2003服務器上,對直接連接到 Internet 的計算機啟用防火墻功能,支持網絡適配器、DSL 適配器或者撥號調制解調器連接到 Internet。
1. 啟動/停止防火墻
(1)打開“網絡連接”,右擊要保護的連接,單擊“屬性”,出現“本地連接屬性”對話框。
(2)單擊“高級”選項卡,出現如圖1所示啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻,請選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框;如果要禁用Internet 連接防火墻,請清除以上選擇。
2. 防火墻服務設置
Windows 2003 Internet連接防火墻能夠管理服務端口,例如HTTP的80端口、FTP的21端口等,只要系統提供了這些服務,Internet連接防火墻就可以監視并管理這些端口。
(1)標準服務的設置
我們以Windows 2003服務器提供的標準Web服務為例(默認端口80),操作步驟如下:在圖1所示界面中單擊[設置]按鈕,出現如圖2所示“服務設置”對話框;在“服務設置”對話框中,選中“Web服務器(HTTP)”復選項,單擊[確定]按鈕。設置好后,網絡用戶將無法訪問除Web服務外本服務器所提供的的其他網絡服務。
注:您可以根據Windows 2003服務器所提供的服務進行選擇,可以多選。常用標準服務系統已經預置在系統中,你只需選中相應選項就可以了。如果服務器還提供非標準服務,那就需要管理員手動添加了。
(2)非標準服務的設置
我們以通過8000端口開放一非標準的Web服務為例。在圖2“服務設置”對話框中,單擊[添加]按鈕,出現“服務添加”對話框,在此對話框中,填入服務描述、IP地址、服務所使用的端口號,并選擇所使用的協議(Web服務使用TCP協議,DNS查詢使用UDP協議),最后單擊[確定]。設置完成后,網絡用戶可以通過8000端口訪問相應的服務,而對沒有經過授權的TCP、UDP端口的訪問均被隔離。
3. 防火墻安全日志設置
在圖2“服務設置”對話框中,選擇“安全日志”選項卡,出現“安全日志設置”對話框,選擇要記錄的項目,防火墻將記錄相應的數據。日志文件默認路徑為C:WindowsPfirewall.log,用記事本可以打開。所生成的安全日志使用的格式為W3C擴展日志文件格式,可以用常用的日志分析工具進行查看分析。
注:建立安全日志是非常必要的,在服務器安全受到威脅時,日志可以提供可靠的證據。
Internet 連接防火墻應用思考
Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,提高Windows 2003服務器的安全性。同時,也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能,能夠對整個內部網絡起到很好的保護作用。以上是筆者在日常工作中的一些經驗體會,希望能夠給大家提供借鑒。
