在享受Internet网络带来种种“实惠”的同时,如何保证网络安全也成为我们需要认真解决的难题;有鉴于此,Windows Server 2008系统(以下简写为Win2008系统)相比以往任何系统,提出了更为强大的安全功能;这不,该系统自带的防火墙功能,不但安全防护本领更为强大,而且功能也更加全面,我们只要对它巧妙加以配置,也能实现全方位的网络安全管理和防护目的。

控制漏洞程序安全
    在重要的主机系统或服务器系统中,可能会安装一些自身存在漏洞的应用程序,这些漏洞很可能会被非法用户利用;为了保证系统安全,不少人会下意识地认为,及时为系统更新、安装补丁程序,将各式各样的漏洞全部“堵”起来,就能实现安全防护目的了。不过,更新、安装系统补丁程序,只能“堵”住Windows系统自身的安全漏洞,而不能将应用程序特有的漏洞“堵”住,所以更新、安装补丁程序根本就无法控制住漏洞程序带来的安全威胁。此时,我们可以尝试利用Win2008系统的防火墙功能,来禁止漏洞程序随意连接网络,以便控制程序漏洞带来安全威胁,下面就是具体的控制步骤:
    首先打开Win2008系统的“开始”菜单,依次点选“设置”、“控制面板”选项,再从系统控制面板窗口中双击Windows防火墙图标,弹出对应系统的基本Windows防火墙设置界面;
    其次点击该设置界面中的“例外”选项卡,弹出选项设置页面,检查对应页面中的网络程序列表中是否包含漏洞应用程序,如果发现目标漏洞程序已经被选中的话,那就意味着漏洞应用程序的网络连接不受防火墙的限制,此时我们必须将漏洞程序取消选中,再单击“确定”按钮保存好设置操作,这么一来目标漏洞程序日后尝试连接网络时,防火墙都会对它进行阻止,那么这些漏洞就不能被来自外网的非法用户利用了。

解除网络隐性故障
    为了实现安全保护目的,我们常常会对Win2008系统的防火墙功能,进行一些组合式设置,以便希望它能给网络安全提供多层保护;然而,在进行了非常复杂的配置操作后,Win2008系统可能不能正常上网了。在对各种常见因素进行排查之后,我们可能仍然还不能解除网络访问故障,此时就需要考虑故障“祸首”是不是系统防火墙了,因为防火墙的多层设置可能在无意中对网络连接带来制约,影响系统的正常上网,所以当我们遇到无法解决的网络故障时,可以按照下面的步骤快速恢复系统防火墙的配置:
    首先在Win2008系统桌面上依次单击“开始”/“运行”命令,弹出系统运行对话框,在其中执行“cmd”命令,打开对应系统的DOS命令行窗口;
    其次在该窗口的命令行提示符下,输入“netsh firewall reset”命令,单击回车键后,快速将系统防火墙的配置恢复到默认状态,那样一来制约网络连接的隐性因素就被排除了,此时再进行网络访问测试时,就可能会发现网络故障已经被成功解除了。
    当然,我们也可以按照前面的操作步骤,打开Win2008系统的基本防火墙配置界面,点选其中的“高级”选项卡,再在对应选项设置页面中单击“还原为默认值”按钮,也能将Windows防火墙的安全设置全部恢复到默认状态。
    另外,还需要提醒各位注意的是,有的网络隐性故障是由于防火墙之间的冲突引起的,所以当我们将系统防火墙的配置恢复到默认状态后,发现网络故障仍然还无法解决时,不妨暂时关闭一下系统防火墙,再将对应系统重新启动一下,说不定这样一来网络故障就能立即解除了。

禁止调整安全配置
    在公共场合下,可能每一用户都能打开Win2008系统的基本防火墙配置界面,来随意调整其中的安全配置参数,这么一来防火墙的作用可能就无法得到有效发挥,严重的话还能威胁本地系统的上网安全。有鉴于此,我们必须在公共场合下,将Win2008系统的基本防火墙配置界面“锁”起来,以便禁止他人随意调整安全配置、降低系统的安全防范能力,下面就是具体的控制步骤:
    首先在Win2008系统桌面上依次单击“开始”/“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,弹出对应系统的组策略控制台窗口;
    其次依次展开该控制台窗口左侧列表窗格中的“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”节点选项,找到目标节点下面的组策略“Windows防火墙:不允许例外”,打开选项设置对话框;
    在该界面中看看“Windows防火墙:不允许例外”策略此刻有没有处于已启用设置状态,要是发现该策略还没有被启动运行的话,那我们应该及时选中“已启用”选项,再单击“确定”按钮保存好设置操作,这么一来普通用户就不能随意调整防火墙的安全配置了,那么任何网络连接都会受到系统防火墙的安全保护。

保护共享打印操作
    现在共享打印机在局域网中应用很普遍,为此Win2008系统的防火墙在默认状态下,也不会对共享打印操作进行限制;可是,这么一来有一些用户在上班以外的时间,偷偷利用共享打印机来干私活,这无形之中加重了办公成本。为了有效控制办公成本,我们可以利用Win2008系统的防火墙来保护共享打印操作,以便在节假日期间禁止任何用户随意使用网络打印机进行共享打印,下面就是具体的保护方法:
    首先依次单击Win2008系统桌面上的“开始”/“设置”/“控制面板”命令,从弹出的系统控制面板窗口中双击Windows防火墙图标,弹出Win2008系统的基本Windows防火墙设置界面;
    其次单击该设置界面中的“例外”选项卡,在对应选项设置页面中,我们发现“文件和打印机共享”选项已经自动处于选中状态,这说明防火墙没有对共享打印操作进行安全保护,此时我们只要将“文件和打印机共享”选项取消选中,再单击“确定”按钮,那么日后任何人在尝试进行网络打印操作时,都会受到Windows防火墙的限制了。

预防恶意Ping攻击
    我们知道,如果频繁向重要主机系统发送大容量的Ping测试包时,重要主机系统可能存在瘫痪的危险。为了预防恶意Ping攻击,我们可以利用Win2008系统的高级防火墙功能,来限制本地系统对Ping测试包进行应答,那么本地系统就不会被攻击瘫痪了,下面就是具体的限制步骤:
    首先依次点击Win2008系统桌面中的“开始”/“程序”/“管理工具”命令,再双击管理工具列表中的“高级安全Windows防火墙”选项;打开高级防火墙配置界面,选中该配置界面左侧显示区域中的“入站规则”选项,再右击“入站规则”选项,从右键菜单中执行“新规则”命令,弹出向导设置窗口,选中“自定义”选项;
    其次依照向导提示,逐一选中“所有程序”、“ICMPv4”、“阻止连接”选项,再选择一个与实际工作环境相符的具体场合,最后设置一个安全规则名称,那样一来Win2008系统的高级防火墙功能就能预防Ping命令攻击了。日后所有尝试对Win2008系统进行的Ping命令测试请求,都会被防火墙拒绝,那么该系统的资源也不会被Ping测试消耗殆尽了,此时该系统自然也就不容易瘫痪了。
   
限制非法FTP下载
    大家知道,一些Ftp软件会利用默认开放的21端口,对重要主机系统进行下载或上载操作,如果这项操作被非法利用的话,可能会影响重要主机系统的安全性。为此,我们可以利用Win2008系统的高级防火墙功能,来创建一个限制21端口通信的入站和出站规则,那么日后任何人都不能通过21端口对Win2008系统进行恶意下载或上载操作了:
    首先按照前面的操作步骤打开Win2008系统的高级防火墙配置界面,选中该界面左侧的“入站规则”选项,并用鼠标右击“入站规则”选项,再执行右键菜单中的“新规则”命令,弹出入站规则新建向导对话框;
    其次选中“端口”选项,再单击“下一步”按钮,弹出向导设置窗口,之后依次选中“TCP”选项、“特定本地端口”选项,同时输入默认下载端口号码“21”,继续单击“下一步”按钮;
    接下来Win2008系统的高级防火墙会询问用户要执行何种操作,我们必须选中“阻止连接”操作选项,再单击“下一步”按钮,并选中“域”或“公用”、“专用”选项,最后设置好安全规则名称,同时点击“完成”按钮,这样一来Win2008系统就会禁止用户使用21端口进行上载操作了;同样地,我们再创建一个出站规则,禁止用户使用21端口进行下载操作。

文章如转载,请注明转载自:http://www.5iadmin.com/post/745.html