Windows 2003巧筑服务器防火墙.pdf

Windows 2003 巧筑服务器防火墙  在校园网的日常管理与维护中 ，网络安全正日益受到人们的关注。校园网服务器是否  安全将直接影响学校日常教育教学工作的正常进行。 为了提高校园网的安全性，网络管理员  首先想到的就是配备硬件防火墙或者购买软件防火墙 ，但硬件防火墙价格昂贵，软件防火墙  也价格不菲， 对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己  的工作经验，谈谈如何利用 Windows 2003 提供的防火墙功能为校园网服务器构筑安全防  线.  Windows 2003 防火墙功能介绍  Windows 2003提供的防火墙称为 Internet 连接防火墙 ，通过允许安全的网络通信通  过防火墙进入网络，同时拒绝不安全的通信进入 ，使网络免受外来威胁。Internet 连接防火  墙只包含在 Windows Server 2003 Standard Edition 和 32位版本的 Windows Server  2003 Enterprise Edition 中。  Internet 连接防火墙的设置  在 Windows 2003 服务器上，对直接连接到 Internet 的计算机启用防火墙功能 ，支  持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。  一、基本设置  1、鼠标右键单击“网上邻居”，选择“属性”。  2、然后鼠标右键单击 “本地连接” ，选择 “属性” ，出现图1 界面。如图选择 “高级”  选项，选中 “Internet 连接防火墙”，确定后防火墙即起了作用。 图 1  二、测试基本设置  1、在另为一台机子上 ping 本机 ，出现Request timed out 表示 ping不同本机  2、在另为一台机子上用漏洞扫描工具扫描本机发现没有打开的端口。  这两种测试通过后说明防火墙已经起了作用。  三、高级设置  点击图 1 中“设置（G）...”按钮出现图 2 界面可进行高级设置。 图 2  1、选择要开通的服务  如图 3 所示，如果本机要开通相应的服务可选中该服务，本例选中了 FTP服务，这样  从其它机器就可 FTP 到本机，扫描本机可以发现 21端口是开放的。可以按 “添加”按钮增  加相应的服务端口。 图 3  2、设置日志  如图4 所示，选择要记录的项目 ，防火墙将记录相应的数据 ，日志默认在  c\windows\pfirewall.log，用记事本就可以打开看看。 图 4  3、设置 ICMP 协议  如图 5 所示，最常用的 ping 就是用的 ICMP协议，默认设置完后 ping 不通本机就是  因为屏蔽了 ICMP 协议 ，如果想 ping 通本机只需将 “允许传入响应请求”一项选中即可。 图 5  四、几点疑问  设置非常简单，但我在给别人设置过程中，有些人提出了以下几点疑问，不知您是否也  有下面的困惑？  1、端口都封住了怎么与别的计算机通信 ？  按默认设置完成后，可以看出没有添加一个端口 ，那端口都封住了怎么与别的计算机通  信呢？ 在 Internet 上相互通信是靠 TCP/IP 协议完成的 ，而上网访问网页时，是在本机上随机  打开一个大于 1024 的端口去连服务器的 80服务端口， 用 Telnet 协议登陆其它设备也是在 本机上随机打开一个大于 1024 的端口去连服务器的23服务端口。 “Internet 连接防火墙”  封住的是服务端口，例如 HTTP的 80端口，FTP 的 21 端口、TELNET 的23 端口等，只要  系统提供了这些服务， 一开机这些端口就是开放的， 等待别的计算机连接到提供服务的计算  机上，可以说这些端口是长期有效的。而