防火墻主要由服務(wù)訪(fǎng)問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。Windows 2003提供的防火墻稱(chēng)為Internet連接防火墻，通過(guò)允許安全的網(wǎng)絡(luò)通信通過(guò)防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來(lái)威脅。

　　Internet連接防火墻的設(shè)置

　　在Windows 2003服務(wù)器上，對(duì)直接連接到 Internet 的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL 適配器或者撥號(hào)調(diào)制解調(diào)器連接到 Internet。

　　1. 啟動(dòng)/停止防火墻

　　(1)打開(kāi)“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對(duì)話(huà)框。

　　(2)單擊“高級(jí)”選項(xiàng)卡，出現(xiàn)如圖1所示啟動(dòng)/停止防火墻界面。如果要啟用 Internet 連接防火墻，請(qǐng)選中“通過(guò)限制或阻止來(lái)自 Internet 的對(duì)此計(jì)算機(jī)的訪(fǎng)問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選框;如果要禁用Internet 連接防火墻，請(qǐng)清除以上選擇。

　　2. 防火墻服務(wù)設(shè)置

　　Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

　　(1)標(biāo)準(zhǔn)服務(wù)的設(shè)置

　　我們以Windows 2003服務(wù)器提供的標(biāo)準(zhǔn)Web服務(wù)為例(默認(rèn)端口80)，操作步驟如下：在圖1所示界面中單擊[設(shè)置]按鈕，出現(xiàn)如圖2所示“服務(wù)設(shè)置”對(duì)話(huà)框;在“服務(wù)設(shè)置”對(duì)話(huà)框中，選中“Web服務(wù)器(HTTP)”復(fù)選項(xiàng)，單擊[確定]按鈕。設(shè)置好后，網(wǎng)絡(luò)用戶(hù)將無(wú)法訪(fǎng)問(wèn)除Web服務(wù)外本服務(wù)器所提供的的其他網(wǎng)絡(luò)服務(wù)

　　注：您可以根據(jù)Windows 2003服務(wù)器所提供的服務(wù)進(jìn)行選擇，可以多選。常用標(biāo)準(zhǔn)服務(wù)系統(tǒng)已經(jīng)預(yù)置在系統(tǒng)中，你只需選中相應(yīng)選項(xiàng)就可以了。如果服務(wù)器還提供非標(biāo)準(zhǔn)服務(wù)，那就需要管理員手動(dòng)添加了。

　　2)非標(biāo)準(zhǔn)服務(wù)的設(shè)置

　　我們以通過(guò)8000端口開(kāi)放一非標(biāo)準(zhǔn)的Web服務(wù)為例。在圖2“服務(wù)設(shè)置”對(duì)話(huà)框中，單擊[添加]按鈕，出現(xiàn)“服務(wù)添加”對(duì)話(huà)框，在此對(duì)話(huà)框中，填入服務(wù)描述、IP地址、服務(wù)所使用的端口號(hào)，并選擇所使用的協(xié)議(Web服務(wù)使用TCP協(xié)議，DNS查詢(xún)使用UDP協(xié)議)，最后單擊[確定]。設(shè)置完成后，網(wǎng)絡(luò)用戶(hù)可以通過(guò)8000端口訪(fǎng)問(wèn)相應(yīng)的服務(wù)，而對(duì)沒(méi)有經(jīng)過(guò)授權(quán)的TCP、UDP端口的訪(fǎng)問(wèn)均被隔離。

　　3. 防火墻安全日志設(shè)置

　　在圖2“服務(wù)設(shè)置”對(duì)話(huà)框中，選擇“安全日志”選項(xiàng)卡，出現(xiàn)“安全日志設(shè)置”對(duì)話(huà)框，選擇要記錄的項(xiàng)目，防火墻將記錄相應(yīng)的數(shù)據(jù)。日志文件默認(rèn)路徑為C:\Windows\Pfirewall.log，用記事本可以打開(kāi)。所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。

　　注：建立安全日志是非常必要的，在服務(wù)器安全受到威脅時(shí)，日志可以提供可靠的證據(jù)。

　　Internet 連接防火墻應(yīng)用思考

　　Internet 連接防火墻可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描，提高Windows 2003服務(wù)器的安全性。同時(shí)，也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲(chóng)病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。以上是筆者在日常工作中的一些經(jīng)驗(yàn)體會(huì)，希望能夠給大家提供借鑒。

　　補(bǔ)充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽(tīng)起來(lái)很容易，但是由于防火墻沒(méi)有內(nèi)置的變動(dòng)管理流程，因此文件更改對(duì)于許多企業(yè)來(lái)說(shuō)都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改，那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改，會(huì)導(dǎo)致宕機(jī)嗎?這是一個(gè)相當(dāng)高發(fā)的狀況。

　　防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí)，觀(guān)察誰(shuí)進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障，讓整個(gè)協(xié)議管理更加簡(jiǎn)單和高效。

　　二、以最小的權(quán)限安裝所有的訪(fǎng)問(wèn)規(guī)則。

　　另一個(gè)常見(jiàn)的安全問(wèn)題是權(quán)限過(guò)度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶(hù)都有足夠的端口來(lái)訪(fǎng)問(wèn)他們所需的系統(tǒng)，常用方法是在一個(gè)或者更多域內(nèi)指定打來(lái)那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來(lái)訪(fǎng)問(wèn)大型企業(yè)的網(wǎng)絡(luò)，這些規(guī)則就會(huì)變得權(quán)限過(guò)度釋放，因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開(kāi)放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開(kāi)放了65535個(gè)攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來(lái)校驗(yàn)每項(xiàng)防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問(wèn)題，修正問(wèn)題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來(lái)解決問(wèn)題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門(mén)的過(guò)程中，我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來(lái)確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

　　四、當(dāng)服務(wù)過(guò)期后從防火墻規(guī)則中刪除無(wú)用的規(guī)則。

　　規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問(wèn)題，因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒(méi)有刪除規(guī)則的流程。業(yè)務(wù)部門(mén)擅長(zhǎng)讓你知道他們了解這些新規(guī)則，卻從來(lái)不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于達(dá)成規(guī)則共識(shí)是個(gè)好的開(kāi)始。運(yùn)行無(wú)用規(guī)則的報(bào)表是另外一步。黑客喜歡從來(lái)不刪除規(guī)則的防火墻團(tuán)隊(duì)。

Win2003 系統(tǒng)服務(wù)器防火墻設(shè)置教程相關(guān)文章：

1.Windows2003的防火墻怎么設(shè)置

2.Windows如何設(shè)置防火墻

3.Windows防火墻權(quán)限設(shè)置

4.win7系統(tǒng)怎么設(shè)置開(kāi)機(jī)自動(dòng)啟動(dòng)防火墻

5.Windows電腦防火墻怎么阻止軟件聯(lián)網(wǎng)