針對一般中小企業型來說,如果希望對企業網絡進行安全管理,不一定非得花高價錢購買專業的防火牆設置,直接借助操作系統本身自帶的防火牆功能即可以滿足一般企業的應用,今天我們就一起來探究一下Windows Server 2008 R2系統防火牆的強大功能。熟練的應用Windows 內置防火牆,首先需要了解網絡位置。
網絡位置
第一次連接到網絡時,必須選擇網絡位置。這將為所連接網絡的類型自動設置適當的防火牆和安全設置。如果用戶在不同的位置(例如,家庭、本地咖啡店或辦公室)連接到網絡,則選擇一個網絡位置可幫助確保始終將用戶的計算機設置為適當的安全級別。
在Windows Server 2008中,有四種網絡位置:
家庭網絡:
對於家庭網絡或在用戶認識並信任網絡上的個人和設備時,請選擇“家庭網絡”。家庭網絡中的計算機可以屬於某個家庭組。對於家庭網絡,“網絡發現”處於啟用狀態,它允許用戶查看網絡上的其他計算機和設備並允許其他網絡用戶查看用戶的計算機。
工作網絡:
對於小型辦公網絡或其他工作區網絡,請選擇“工作網絡”。默認情況下,“網絡發現”處於啟用狀態,它允許用戶查看網絡上的其他計算機和設備並允許其他網絡用戶查看用戶的計算機,但是,用戶無法創建或加入家庭組。
公用網絡:
為公共場所(例如,咖啡店或機場)中的網絡選擇“公用網絡”。此位置旨在使用戶的計算機對周圍的計算機不可見,並且幫助保護計算機免受來自 Internet 的任何惡意軟件的攻擊。家庭組在公用網絡中不可用,並且網絡發現也是禁用的。如果用戶沒有使用路由器直接連接到 Internet,或者具有移動寬帶連接,也應該選擇此選項。
域網絡:
“域”網絡位置用於域網絡(如在企業工作區的網絡)。這種類型的網絡位置由網絡管理員控制,因此無法選擇或更改。
Windows 防火牆如何影響網絡位置
在公共場所連接網絡時,“公用網絡”位置會阻止某些程序和服務運行,這樣有助於保護計算機免受未經授權的訪問。如果連接到“公用網絡”並且 Windows 防火牆處於打開狀態,則某些程序或服務可能會要求用戶允許它們通過防火牆進行通信,以便讓這些程序或服務可以正常工作。
在用戶允許某個程序通過防火牆進行通信後,對於具有的位置與當前所連接到的位置相同的每個網絡,也會允許該程序進行通信。例如,如果用戶在咖啡店連接到某個網絡並選擇“公用網絡”作為位置,然後解除了對一個即時消息程序的阻止,則對於所連接到的所有公用網絡,對該程序的阻止都將解除。
如果在連接到公用網絡時計劃解除對多個程序的阻止,請考慮將網絡位置更改為“家庭”網絡或“工作”網絡。從這點而言,相對於影響用戶所連接到的每個公用網絡,這一更改操作可能會更安全。但請記住,如果進行了此更改,用戶的計算機將對網絡上的其他人可見,這樣存在安全風險。
Windows防火域基本設置
當我們安裝好系統後,默認就已經啟用了防火牆功能,此時,只要設置好網絡位置,就會阻止其他計算機與此計算機的通信。查看防火牆工作狀態的方法是,在控制面板中點擊系統和安全,從中打開Windows防火牆即可,然後就可以看到下圖所示的狀態:
如果希望打開或關閉Windows防火牆的話,只需要點擊左側的“打開或關閉防火牆”即可,然後看到如下圖所示的界面:
從此圖可以看到針對專用網中的家庭網絡和工作網絡已經開啟了防火牆功能,此時就會封鎖所有的傳入連接。
但在實際應用中,不能把所有的傳入連接都給封鎖,在此用戶可以根據需要設置相應的“白名單”來放開某些連接,方法是點擊防火牆工作狀態界面左側中的“允許程序或功能通過Windows防火牆”,出現下圖所示的界面:
將某個程序添加到防火牆中允許的程序列表或打開一個防火牆端口時,則允許特定程序通過防火牆與您的計算機之間發送或接收信息。允許程序通過防火牆進行通信(有時稱為“解除阻止”)就像是在防火牆中打開了一個孔。
每次打開一個端口或允許某個程序通過防火牆進行通信時,計算機的安全性也在隨之降低。您的防火牆擁有允許的程序或打開的端口越多,黑客或惡意軟件使用這些通道傳播蠕蟲、訪問文件或使用計算機將惡意軟件傳播到其他計算機的機會也就越大。
防火牆的高級安全設置
剛才的基本設置操作比較簡單,但功能也單一,如果需要進一步設置Windows 防火牆規則,就需要通過“高級安全Windows 防火牆”功能。打開方法如下:管理工具中點擊高級安全Windows防火牆,或者是在剛才的防火牆狀態中點擊高級設置。如下圖所示,然後,可以看到右側所示的界面。
