針對一般中小企業型來說,如果希望對企業網絡進行安全管理,不一定非得花高價錢購買專業的防火牆設置,直接借助操作系統本身自帶的防火牆功能即可以滿足一般企業的應用,今天我們就一起來探究一下Windows Server 2008 R2系統防火牆的強大功能。熟練的應用Windows 內置防火牆,首先需要了解網絡位置。
網絡位置
第一次連接到網絡時,必須選擇網絡位置。這將為所連接網絡的類型自動設置適當的防火牆和安全設置。如果用戶在不同的位置(例如,家庭、本地咖啡店或辦公室)連接到網絡,則選擇一個網絡位置可幫助確保始終將用戶的計算機設置為適當的安全級別。
在Windows Server 2008中,有四種網絡位置:
家庭網絡:
對於家庭網絡或在用戶認識並信任網絡上的個人和設備時,請選擇“家庭網絡”。家庭網絡中的計算機可以屬於某個家庭組。對於家庭網絡,“網絡發現”處於啟用狀態,它允許用戶查看網絡上的其他計算機和設備並允許其他網絡用戶查看用戶的計算機。
工作網絡:
對於小型辦公網絡或其他工作區網絡,請選擇“工作網絡”。默認情況下,“網絡發現”處於啟用狀態,它允許用戶查看網絡上的其他計算機和設備並允許其他網絡用戶查看用戶的計算機,但是,用戶無法創建或加入家庭組。
公用網絡:
為公共場所(例如,咖啡店或機場)中的網絡選擇“公用網絡”。此位置旨在使用戶的計算機對周圍的計算機不可見,並且幫助保護計算機免受來自 Internet 的任何惡意軟件的攻擊。家庭組在公用網絡中不可用,並且網絡發現也是禁用的。如果用戶沒有使用路由器直接連接到 Internet,或者具有移動寬帶連接,也應該選擇此選項。
域網絡:
“域”網絡位置用於域網絡(如在企業工作區的網絡)。這種類型的網絡位置由網絡管理員控制,因此無法選擇或更改。
Windows 防火牆如何影響網絡位置
在公共場所連接網絡時,“公用網絡”位置會阻止某些程序和服務運行,這樣有助於保護計算機免受未經授權的訪問。如果連接到“公用網絡”並且 Windows 防火牆處於打開狀態,則某些程序或服務可能會要求用戶允許它們通過防火牆進行通信,以便讓這些程序或服務可以正常工作。
在用戶允許某個程序通過防火牆進行通信後,對於具有的位置與當前所連接到的位置相同的每個網絡,也會允許該程序進行通信。例如,如果用戶在咖啡店連接到某個網絡並選擇“公用網絡”作為位置,然後解除了對一個即時消息程序的阻止,則對於所連接到的所有公用網絡,對該程序的阻止都將解除。
如果在連接到公用網絡時計劃解除對多個程序的阻止,請考慮將網絡位置更改為“家庭”網絡或“工作”網絡。從這點而言,相對於影響用戶所連接到的每個公用網絡,這一更改操作可能會更安全。但請記住,如果進行了此更改,用戶的計算機將對網絡上的其他人可見,這樣存在安全風險。
Windows防火域基本設置
當我們安裝好系統後,默認就已經啟用了防火牆功能,此時,只要設置好網絡位置,就會阻止其他計算機與此計算機的通信。查看防火牆工作狀態的方法是,在控制面板中點擊系統和安全,從中打開Windows防火牆即可,然後就可以看到下圖所示的狀態:
如果希望打開或關閉Windows防火牆的話,只需要點擊左側的“打開或關閉防火牆”即可,然後看到如下圖所示的界面:
從此圖可以看到針對專用網中的家庭網絡和工作網絡已經開啟了防火牆功能,此時就會封鎖所有的傳入連接。
但在實際應用中,不能把所有的傳入連接都給封鎖,在此用戶可以根據需要設置相應的“白名單”來放開某些連接,方法是點擊防火牆工作狀態界面左側中的“允許程序或功能通過Windows防火牆”,出現下圖所示的界面:
將某個程序添加到防火牆中允許的程序列表或打開一個防火牆端口時,則允許特定程序通過防火牆與您的計算機之間發送或接收信息。允許程序通過防火牆進行通信(有時稱為“解除阻止”)就像是在防火牆中打開了一個孔。
每次打開一個端口或允許某個程序通過防火牆進行通信時,計算機的安全性也在隨之降低。您的防火牆擁有允許的程序或打開的端口越多,黑客或惡意軟件使用這些通道傳播蠕蟲、訪問文件或使用計算機將惡意軟件傳播到其他計算機的機會也就越大。
防火牆 的高級安全設置
剛才的基本設置操作比較簡單,但功能也單一,如果需要進一步設置Windows 防火牆規則,就需要通過“高級安全Windows 防火牆”功能。打開方法如下:管理工具中點擊高級安全Windows防火牆,或者是在剛才的防火牆狀態中點擊高級設置。如下圖所示,然後,可以看到右側所示的界面。
什麼是高級安全Windows防火牆:
使用高級安全 Windows 防火牆可以幫助用戶保護網絡上的計算機。通過該防火牆您可以確定允許在計算機和網絡之間傳輸的網絡流量。它還包括使用 Internet 協議安全性 (IPsec) 保護在網絡間傳送的流量的連接安全規則。
高級安全 Windows 防火牆是一種有狀態的防火牆,它檢查並篩選 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 流量的所有數據包。在此上下文中,篩選意味著通過管理員定義的規則對網絡流量進行處理,進而允許或阻止網絡流量。默認情況下阻止傳入流量,除非是對主機請求(請求的流量)的響應,或者得到特別允許(即創建了允許該流量的防火牆規則)。可以通過指定端口號、應用程序名稱、服務名稱或其他標准將高級安全 Windows 防火牆配置為顯式允許流量。
創建防火牆規則:
可以創建防火牆規則以允許此計算機向程序、系統服務、計算機或用戶發送流量,或者從程序、系統服務、計算機或用戶接收流量。當用戶的連接匹配該規則標准的所有連接執行以下三個操作之一:允許連接、只允許通過使用 Internet 協議安全 (IPSec) 保護的連接、阻止連接。
可以為入站通信或出站通信創建規則。可配置規則以指定計算機或用戶、程序、服務或者端口和協議。可以指定要應用規則的網絡適配器類型:局域網 (LAN)、無線、遠程訪問,例如虛擬專用網絡 (VPN) 連接或者所有類型。還可以將規則配置為使用任意配置文件或僅使用指定配置文件時應用,當 IT 環境更改時,可能必須更改、創建、禁用或刪除規則。
連接安全的實現:
連接安全包括在兩台計算機開始通信之前對它們進行身份驗證,並確保在兩台計算機之間發送的信息的安全性。高級安全 Windows 防火牆使用 Internet 協議安全 (IPsec) 實現連接安全,方法是使用密鑰交換、身份驗證、數據完整性和數據加密(可選)。連接安全規則使用 IPsec 確保其通過網絡時的流量安全。使用連接安全規則指定必須對兩台計算機之間的連接進行身份驗證或加密。可能還要必須創建防火牆規則以允許由連接安全規則保護的網絡流量。
什麼是防火牆配置文件:
防火牆配置文件是一種分組設置的方法,如防火牆規則和連接安全規則,根據計算機連接到的位置將其應用於該計算機。在運行此版本 Windows 的計算機上,高級安全 Windows 防火牆有三個配置文件:
每個網絡適配器也就是網卡,分配匹配所檢測網絡類型的防火牆配置文件。例如,如果將網絡適配器連接到公用網絡,則到達或來自該網絡的所有流量會由與公用配置文件關聯的防火牆規則篩選。
Windows Server 2008 R2 和 Windows 7 為每個活動網絡適配器配置文件提供支持。在 Windows Vista 和 Windows Server 2008 中,每次計算機上只能有一個配置文件處於活動狀態。如果存在多個連接到不同網絡的網絡適配器,則具有最嚴格配置文件設置的配置文件應用於計算機上的所有適配器。公用配置文件被認為是最為嚴格的,然後是專用配置文件;域配置文件被認為是最不嚴格的。
如果不更改配置文件的設置,則只要高級安全 Windows 防火牆使用配置文件,就應用其默認值。建議為所有三個配置文件啟用高級安全 Windows 防火牆。
若要配置這些配置文件,請在高級安全 Windows 防火牆 MMC 管理單元中,右鍵單擊“高級安全 Windows 防火牆”,然後單擊“屬性”。
如果需要使用的服務或應用程序在列表中沒有出現的,用戶可以通過新建規則的方式來創建,如現在操作的計算機是一台WEB服務器,而需要開放給其他用戶連接此網站,可以通過新建規劃來開放一個80端口的規則。
本地 IP 地址由本地計算機用於確定規則是否適用。規則僅適用於通過配置為使用一個指定本地 IP 地址的網絡適配器的網絡流量。任何 IP 地址,選擇此選項可以指定匹配具有指定為本地 IP 地址的任意地址的網絡數據包的規則。選中此選項時本地計算機始終匹配規則。下列 IP 地址,選擇此選項可以指定規則匹配具有“本地 IP 地址”中指定的一個地址的網絡流量。如果本地計算機沒有使用一個指定 IP 地址配置的網絡適配器,則規則不適用。在“IP 地址”對話框上,單擊“添加”可以在列表中創建新條目,或單擊“編輯”可以更改列表中的現有條目。還可以通過選擇項目然後單擊“刪除”從列表中刪除某個條目。
遠程 IP 地址:指定應用規則的遠程 IP 地址。如果目標 IP 地址是列表中的地址之一,則網絡流量匹配規則。任何 IP 地址,此選項可以指定規則匹配發自(對於入站規則)或發往(對於出站規則)包含在列表中的任意 IP 地址的網絡數據包。下列 IP 地址,選擇此選項可以指定規則僅匹配具有“遠程 IP 地址”中指定的一個地址的網絡流量。在“IP 地址”對話
此外還需要將此防火牆規則應用到相應的配置文件和接口類型上,因此需要指定此規則所使用的配置文件,Windows 確定每個網絡適配器的網絡位置類型,然後對該網絡適配器應用相應的配置文件。接口類型指的是單擊“自定義”可以指定應用連接安全規則的接口類型。通過“自定義接口類型”對話框,可以選擇“所有接口類型”或“局域網”、“遠程訪問”或“無線”類型的任意組合。最後一個需要介紹的就是邊緣遍歷。邊緣遍歷允許指的是計算機接受未經請求的入站數據包,這些數據包已通過諸如網絡地址轉換 (NAT) 路由器或防火牆之類的邊緣設備。系統默認是阻止應用程序通過 NAT 邊緣設備從 Internet 接收主動提供的流量。也可以設置為遵從用戶或者是遵從應用程序,所謂遵從用戶指的是讓用戶決定當應用程序請求通過 NAT 邊緣設備從 Internet 接收主動提供的流量時是否允許該流量。遵從應用程序指的是讓每個應用程序確定是否允許通過 NAT 邊緣設備從 Internet 接收主動提供的流量。