如何配置Windows Server 2008防火墻

這個(gè)Windows Server 2008中的內(nèi)置防火墻現(xiàn)在“高級”了。這不僅僅是我說它高級，微軟現(xiàn)在已經(jīng)將其稱為高級安全Windows防火墻(簡稱WFAS)。 以下是可以證明它這個(gè)新名字的新功能： 1、新的圖形化界面。 現(xiàn)在通過一個(gè)管理控制臺單元來配置這個(gè)高級防火墻。 2、雙向保護(hù)。 對出站、入站通信進(jìn)行過濾。 3、與IPSEC更好的配合。 具有高級安全性的Windows防火墻將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個(gè)控制臺中。使用這些高級選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。 4、高級規(guī)則配置。 你可以針對Windows Server上的各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。 傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo) 準(zhǔn)不匹配，則具有高級安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。 對規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細(xì)。 通過增加雙向防護(hù)功能、一個(gè)更好的圖形界面和高級的規(guī)則配置，這個(gè)高級安全Windows防火墻正在變得和傳統(tǒng)的基于主機(jī)的防火墻一樣強(qiáng)大，例如ZoneAlarm PRo等。 我知道任何服務(wù)器管理員在使用一個(gè)基于主機(jī)的防火墻時(shí)首先想到的是：它是否會影響這個(gè)關(guān)鍵服務(wù)器基 礎(chǔ)應(yīng)用的正常工作?然而對于任何安全措施這都是一個(gè)可能存在的問題，Windows 2008高級安全防火墻會自動(dòng)的為添加到這個(gè)服務(wù)器的任何新角色自動(dòng)配置新的規(guī)則。但是，如果你在你的服務(wù)器上運(yùn)行一個(gè)非微軟的應(yīng)用程序，而且它需要入站 網(wǎng)絡(luò)連接的話，你將必須根據(jù)通信的類型來創(chuàng)建一個(gè)新的規(guī)則。通過使用這個(gè)高級防火墻，你可以更好的加固你的服務(wù)器以免遭攻擊，讓你的服務(wù)器不被利用去攻擊別人，以及真正確定什么數(shù)據(jù)在進(jìn)出你的服務(wù)器。下面讓我們看一下如何來實(shí)現(xiàn)這些目的。 了解配置Windows防火墻高級安全性的選擇在以前Windows Server中，你可以在去配置你的網(wǎng)絡(luò)適配器或從控制面板中來配置Windows防火墻。這個(gè)配置是非常簡單的。對于Windows高級安全防火墻，大多數(shù)管理員可以或者從Windows服務(wù)器管理器配置它，或者從只有Windows高級安全防火墻MMC管理單元中配置它。以下是兩個(gè)配置界面的截圖：我發(fā)現(xiàn)啟動(dòng)這個(gè)Windows高級安全防火墻的最簡單最快速的方法是，在開始菜單的搜索框中鍵入‘防火墻’，如下圖：另外，你還可以用配置網(wǎng)絡(luò)組件設(shè)置的命令行工具Netsh來配置Windows高級安全防火墻。使用 netsh advfirewall可以創(chuàng)建腳本，以便自動(dòng)同時(shí)為IPv4和IPv6流量配置一組具有高級安全性的Windows防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態(tài)。 使用新的Windows高級安全防火墻MMC管理單元能配置什么?由于使用這個(gè)新的防火墻管理控制臺你可以配置如此眾多的功能，我不可能面面俱道的提到它們。如果你曾經(jīng)看過Windows 2003內(nèi)置防火墻的配置圖形界面，你會迅速的發(fā)現(xiàn)在這個(gè)新的Windows高級安全防火墻中躲了如此眾多的選項(xiàng)。下面讓我選其中一些最常用的功能來介紹給大家。默認(rèn)情況下，當(dāng)你第一次進(jìn)入Windows高級安全防火墻管理控制臺的時(shí)候，你將看到Windows高級安全防火墻默認(rèn)開啟，并且阻擋不匹配入站規(guī)則的入站連接。此外，這個(gè)新的出站防火墻默認(rèn)被關(guān)閉。你將注意的其他事情是，這個(gè)Windows高級安全防火墻還有多個(gè)配置文件供用戶選擇。在這個(gè)Windows高級安全防火墻中有一個(gè)域配置文件、專用配置文件和公用配置文件。配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)計(jì)算機(jī)連接的位置將其應(yīng)用于該計(jì)算機(jī)。例如根據(jù)你的計(jì)算機(jī)是在企業(yè)局域網(wǎng)中還是在本地咖啡店中。在我看來，在我們討論過的Windows 2008高級安全防火墻的所有改進(jìn)中，意義最重大的改進(jìn)當(dāng)屬更復(fù)雜的防火墻規(guī)則?？匆幌略赪indows Server 2003防火墻增加一個(gè)例外的選項(xiàng)，如下圖：再來對比一下Windows 2008 Server中的配置窗口。注意協(xié)議和端口標(biāo)簽只是這個(gè)多標(biāo)簽窗口中的一小部分。你還可以將規(guī)則應(yīng)用到用戶及計(jì)算機(jī)、程序和服務(wù)以及IP地址范圍。通過這種復(fù)雜的防火墻規(guī)則配置，微軟已經(jīng)將Windows高級安全防火墻朝著微軟的IAS Server發(fā)展。Windows高級安全防火墻所提供的默認(rèn)規(guī)則的數(shù)量也是令人吃驚的。在Windows 2003 Server中，只有三個(gè)默認(rèn)的例外規(guī)則。而Windows 2008高級安全防火墻提供了大約90個(gè)默認(rèn)入站防火墻規(guī)則和至少40個(gè)默認(rèn)外出規(guī)則。 那么你如何使用這個(gè)新的Windows高級防火墻創(chuàng)建一個(gè)規(guī)則呢?讓我們接下來看一下。 如何創(chuàng)建一個(gè)定制的入站規(guī)則？假如說你已經(jīng)在你的Windows 2008 Server上安裝了Windows版的Apache網(wǎng)站服務(wù)器。如果你已經(jīng)使用了Windows內(nèi)置的IIS網(wǎng)站服務(wù)器，這個(gè)端口自動(dòng)會為你打開。但是，由于你現(xiàn)在使用一個(gè)來自第三方的網(wǎng)站服務(wù)器，而且你打開了入站防火墻，你必須手動(dòng)的打開這個(gè)窗口。以下是步驟：·識別你要屏蔽的協(xié)議-在我們的例子中，它是TCP/IP(與之對應(yīng)的則是UDP/IP或ICMP)。·識別源IP地址、源端口號、目的IP地址和目的端口。我們進(jìn)行的Web通信是來自于任何IP地址和任何端口號并流向這個(gè)服務(wù)器80端口的數(shù)據(jù)通信。(注意，你可以為一個(gè)特定的程序創(chuàng)建一條規(guī)則，諸如這兒的apache HTTP服務(wù)器)?！ご蜷_Windows高級安全防火墻管理控制臺?！ぴ黾右?guī)則-點(diǎn)擊在Windows高級安全防火墻MMC中的新建規(guī)則按鈕，開始啟動(dòng)新規(guī)則的向?qū)?。·為一個(gè)端口選擇你想要?jiǎng)?chuàng)建的規(guī)則?！づ渲脜f(xié)議及端口號-選擇默認(rèn)的TCP協(xié)議，并輸入80作為端口，然后點(diǎn)擊下一步?！みx擇默認(rèn)的“允許連接”并點(diǎn)擊下一步?！みx擇默認(rèn)的應(yīng)用這條規(guī)則到所有配置文件，并點(diǎn)擊下一步?！そo這個(gè)規(guī)則起一個(gè)名字，然后點(diǎn)擊下一步。這時(shí)候，你將得到如下圖的一條規(guī)則：火墻管理控制臺經(jīng)過我測試，當(dāng)不啟用這個(gè)規(guī)則的時(shí)候，我最近安裝的Apache網(wǎng)站服務(wù)器不能正常工作。但是，創(chuàng)建了這個(gè)規(guī)則后，它可以正常工作了!

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括鎮(zhèn)平網(wǎng)站建設(shè)、鎮(zhèn)平網(wǎng)站制作、鎮(zhèn)平網(wǎng)頁制作以及鎮(zhèn)平網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，鎮(zhèn)平網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到鎮(zhèn)平省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

如何攻擊windows server 2008

如何配置Windows Server 2008

高級防火墻

微軟的

Windows Server 2003

中防火墻的功能如此之簡陋

,

讓很多系統(tǒng)管理員將其視為雞肋

,

它一直

是一個(gè)簡單的、僅支持入站防護(hù)、基于主機(jī)的狀態(tài)防火墻

.

而隨著

Windows Server 2008

的日漸向我們

走近

,

其內(nèi)置的防火墻功能得到了巨大的改進(jìn)

.

下面讓我們一起來看一下這個(gè)新的高級防火墻將如何幫

助我們防護(hù)系統(tǒng)

,

以及如何使用管理控制臺單元來配置它

.

為什么你應(yīng)該使用這個(gè)

Windows

的基于主機(jī)的防火墻

?

今天許多公司正在使用外置安全硬件的方式來加固它們的網(wǎng)絡(luò)。

這意味著，它們使用防火墻和入

侵保護(hù)系統(tǒng)在它們的網(wǎng)絡(luò)周圍建立起了一道銅墻鐵壁，保護(hù)它們自然免受互聯(lián)網(wǎng)上惡意攻擊者的入侵。

但是，如果一個(gè)攻擊者能夠攻

破外圍的防線，從而獲得對內(nèi)部網(wǎng)絡(luò)的訪問，將只有

Windows

認(rèn)證安全

來阻止他們來訪問公司最有價(jià)值的資產(chǎn)

-

它們的數(shù)據(jù)。

這是因?yàn)榇蠖鄶?shù)

IT

人士沒有使用基于主機(jī)的

防火墻

來加固他們的服務(wù)器的安全。為什么會出現(xiàn)這

樣的情況呢

?

因?yàn)槎鄶?shù)

IT

人士認(rèn)為，部署基于主機(jī)的防火墻所帶來的麻煩要大于它們帶來的價(jià)值。

我希望在您讀完這篇文章后，能夠花一點(diǎn)時(shí)間來考慮

Windows

這個(gè)基于主機(jī)的防火墻。在

Windows

Server 2008

中，這個(gè)基于主機(jī)的防火墻被內(nèi)置在

Windows

中，已經(jīng)被預(yù)先安裝，與前面版本相比具有

更多功能，而且更容易配置。它是加固一個(gè)關(guān)鍵的基礎(chǔ)服務(wù)器的

最好方法之一。具有高級安全性的

Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

我們通過以下幾個(gè)方面對您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對應(yīng)的匿名訪問帳號并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問SAM帳號和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。

怎樣對windows操作系統(tǒng)進(jìn)行安全加固

1、修改默認(rèn)管理員賬戶名稱

Windows操作系統(tǒng)安裝后，默認(rèn)的管理員用戶名為administrator，只要知道了該賬戶的密碼，就掌握了系統(tǒng)的最高權(quán)限，若將管理員名稱更改為其它名稱，對于入侵者而言，是提高了入侵的門檻。

2、密碼管理

密碼長度和強(qiáng)度，建議設(shè)置密碼長度為10位以上，并采用大寫字母、小寫字母、數(shù)字、字符混合使用；定期修改密碼，比如1個(gè)月、3個(gè)月修改一次，根據(jù)系統(tǒng)的重要性確定修改周期。

3、禁用不需要的用戶

禁用GUEST賬號，以及其它不使用的賬號。

4、安裝殺毒軟件

安裝殺毒軟件后，定期、及時(shí)更新到最新版本的特征庫，提升系統(tǒng)反病毒的能力。

5、開啟防火墻

在控制面板中，開啟windows防火墻，可根據(jù)具體情況，進(jìn)行細(xì)化配置。

6、禁用不用的服務(wù)

在控制面板的管理工具中，找到服務(wù)，打開后，根據(jù)具體情況，禁用不必要的服務(wù)。

7、關(guān)閉常被入侵的端口

開放的端口是網(wǎng)絡(luò)入侵的部分前提，所以關(guān)閉常被入侵的端口，減少安全事件發(fā)生的概率。

8、關(guān)閉默認(rèn)共享

刪除盤符下的默認(rèn)共享，比如要?jiǎng)h除C盤下的默認(rèn)共享，在命令提示符中，輸入以下命令：net share c$/del。

9、配置安全策略

在控制面板的管理工具中，打開本地安全策略。在本地策略的安全選項(xiàng)中，進(jìn)行安全配置。