史萊姆論壇 - 查看單個文章

psac · 2006-07-26, 12:58 AM

【2006-06-20 14:58】【】【TechNet】
　　可以組態 Active Directory 帳戶和組的例外

　　對於指定了傳入流量或傳出流量必須使用 IPsec 進行保護的例外，您可以指定有權啟始化受保護通訊的電腦帳戶和組或用戶帳戶和組的列表。例如，您可以指定傳送到特定伺服器的帶有敏感資料的流量必須受到保護，並且這些流量只能來自特定用戶或電腦。

　　可以組態源和目標 IP 位址的例外

　　使用現用的 Windows 防火牆，您可以指定傳入流量的排除範圍。範圍定義了排除的流量來自的網路段，實際上就是傳入流量的源 IP 位址(包括 IPv4 和 IPv6)。使用新的 Windows 防火牆，您可以組態傳入流量和傳出流量的源和目標 IP 位址，從而使您能夠更加精確地定義允許的流量或阻止的流量的檔案類型。例如，如果不允許使用特定 IP 位址的某台電腦給一組伺服器傳送流量，您可以新增一個阻止出站例外，把本機分配的位址指定為源位址，把伺服器位址指定為目標位址。

　　對於目標位址，您還可以使用新的 Windows 防火牆指定下列預定義位址:

　　•預設值網路閘道、WINS 伺服器、DHCP 伺服器和 DNS 伺服器

　　這些預定義位址會被動態映射到主機當前定義的預設值網路閘道、WINS 伺服器、DHCP 伺服器和 DNS 伺服器。

　　•本機子網

　　這些預定義位址會被動態映射到根據您的 IPv4 位址和子網路遮罩或是您的 IPv6 本機子網前綴定義的位址組。

　　可以組態 IP 傳輸協定號的例外

　　新的 Windows 防火牆允許您按名稱選項傳輸協定，或是手動按鍵輸入所需流量的「IPv4 傳輸協定」字段或「IPv6 下一個標頭」字段的值。新的 Windows 防火牆允許您按名稱選項傳輸協定，或是手動按鍵輸入所需流量的「IPv4 傳輸協定」字段或「IPv6 下一個標頭」字段的值。

　　可以組態源和目標 TCP 和 UDP 連接阜的例外

　　使用現用的 Windows 防火牆，您可以指定傳入流量的目標 TCP 或 UDP 連接阜。使用新的 Windows 防火牆，您可以組態傳入流量和傳出流量的源和目標 TCP 或 UDP 連接阜，從而使您能夠更加精確地定義允許的流量或阻止的 TCP 或 UDP 流量的檔案類型。例如，如果您希望阻止使用一組已知 TCP 連接阜的惡意流量或不希望的流量，您可以新增阻止出站和入站例外，指定流量的 TCP 源連接阜和目標連接阜。

　　可以組態全部或多個連接阜的例外

　　在使用現用的 Windows 防火牆組態關於連接阜的例外時，您只能指定一個 TCP 或 UDP 連接阜。但是使用新的 Windows 防火牆，您可以指定全部 TCP 或 UDP 連接阜(對於所有 TCP 流量或所有 UDP 流量)或多個連接阜(使用逗號分隔)。要組態新 Windows 防火牆使用某個連接阜範圍，您必須指定範圍中的所有連接阜。例如，如果您希望組態連接阜範圍 1090-1095 的例外，您必須組態下列連接阜: 1090,1091,1092,1093,1094,1095.

　　可以組態特定檔案類型接頭的例外

　　使用現用的 Windows 防火牆，所有啟用的例外將套用於所有啟用了防護的接頭。而使用新的 Windows 防火牆，您可以指定例外套用於所有接頭或是套用於特定檔案類型的接頭，這包括 LAN 接頭、遠端訪問接頭或無線接頭。例如，如果某個應用程式只能通過遠端訪問連接訪問，而您不希望啟動 LAN 和無線連接的例外，那麼您可以組態僅套用於遠端訪問連接的例外。

　　可以根據檔案類型和程式碼來組態 ICMP 和 ICMPv6 流量的例外

　　使用現用的 Windows 防火牆，您可以啟用一組固定的 ICMP(用於 IPv4)和 ICMPv6 消息的例外。而使用新的 Windows 防火牆，系統提供了一組常用的預定義排除的 ICMP 和 ICMPv6 消息，同時您可以通過指定 ICMP 或 ICMPv6 消息檔案類型和程式碼字段值來增加新的 ICMP 或 ICMPv6 消息。例如，如果要為「ICMPv6 資料包太大」消息新增一個例外，則您可以手動為 ICMPv6 檔案類型 2 和程式碼 0 新增一個例外。

　　可以組態服務的例外

　　使用現用的 Windows 防火牆，您必須通過指定服務程式文件名路徑的方式來組態服務的例外。使用新的 Windows 防火牆，您可以指定例外僅僅套用於服務或是特定服務(指定它的服務名，或者您可以按鍵輸入服務的短名稱)的任何工作。例如，如果您想要組態僅套用於「電腦瀏覽器」服務的例外，您可以在電腦上執行的服務列表中選項「電腦瀏覽器」服務。

使用「帶有進階安全性的 Windows 防火牆」管理單元
　　要組態新 Windows 防火牆的進階設定，您必須通過執行以下操作將新的「帶有進階安全性的 Windows 防火牆」管理單元增加到 MMC 控制台中:
　　1.從 Windows Vista 或 Windows Server "Longhorn" 桌面上，按下開始，按鍵輸入 mmc，然後按 ENTER 鍵。
　　2.在 MMC 控制台視窗中，按下文件，然後按下增加/移除管理單元。
　　3.在可用管理單元列表中，按下帶有進階安全性的 Windows 防火牆，然後按下增加。
　　4.當系統提示選項要管理的電腦時，按下本地機電腦，按下完成，然後按下確定。
　　下圖顯示了「帶有進階安全性的 Windows 防火牆」管理單元的一個示例視圖。

http://searchwindowssecurity.techtarget.com.cn/imagelist/06/25/ahpg89lyk0nu_s.gif

　　要修改新 Windows 防火牆的狀態或是指定控制新 Windows 防火牆行為的其他設定、登入設定以及每個組態文件的 IPsec 設定，請右鍵按下樹中的帶有進階安全性的 Windows 防火牆，然後按下內容。下圖顯示了一個示例。

http://searchwindowssecurity.techtarget.com.cn/imagelist/06/25/cs6qi68ncy4l.gif

　　「帶有進階安全性的 Windows 防火牆」樹具有以下節點:
　　•入站例外儲存於一組用於傳入流量的已組態的例外。
　　•出站例外儲存於一組用於傳出流量的已組態的例外。
　　•電腦連接安全性儲存於一組用於受保護流量的規則。
　　•監視顯示有關當前防火牆例外、連接安全性規則和安全相關項的訊息。在「群組原則編輯器」管理單元中檢視「帶有進階安全性的 Windows 防火牆」管理單元時不會顯示「監視」節點。
共5頁。 9 7 1 2 3 4 5 8 :

2006-07-26, 12:58 AM	#49 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	【2006-06-20 14:58】【】【TechNet】　　可以組態 Active Directory 帳戶和組的例外　　對於指定了傳入流量或傳出流量必須使用 IPsec 進行保護的例外，您可以指定有權啟始化受保護通訊的電腦帳戶和組或用戶帳戶和組的列表。例如，您可以指定傳送到特定伺服器的帶有敏感資料的流量必須受到保護，並且這些流量只能來自特定用戶或電腦。　　可以組態源和目標 IP 位址的例外　　使用現用的 Windows 防火牆，您可以指定傳入流量的排除範圍。範圍定義了排除的流量來自的網路段，實際上就是傳入流量的源 IP 位址(包括 IPv4 和 IPv6)。使用新的 Windows 防火牆，您可以組態傳入流量和傳出流量的源和目標 IP 位址，從而使您能夠更加精確地定義允許的流量或阻止的流量的檔案類型。例如，如果不允許使用特定 IP 位址的某台電腦給一組伺服器傳送流量，您可以新增一個阻止出站例外，把本機分配的位址指定為源位址，把伺服器位址指定為目標位址。　　對於目標位址，您還可以使用新的 Windows 防火牆指定下列預定義位址: 　　•預設值網路閘道、WINS 伺服器、DHCP 伺服器和 DNS 伺服器　　這些預定義位址會被動態映射到主機當前定義的預設值網路閘道、WINS 伺服器、DHCP 伺服器和 DNS 伺服器。　　•本機子網　　這些預定義位址會被動態映射到根據您的 IPv4 位址和子網路遮罩或是您的 IPv6 本機子網前綴定義的位址組。　　可以組態 IP 傳輸協定號的例外　　新的 Windows 防火牆允許您按名稱選項傳輸協定，或是手動按鍵輸入所需流量的「IPv4 傳輸協定」字段或「IPv6 下一個標頭」字段的值。新的 Windows 防火牆允許您按名稱選項傳輸協定，或是手動按鍵輸入所需流量的「IPv4 傳輸協定」字段或「IPv6 下一個標頭」字段的值。　　可以組態源和目標 TCP 和 UDP 連接阜的例外　　使用現用的 Windows 防火牆，您可以指定傳入流量的目標 TCP 或 UDP 連接阜。使用新的 Windows 防火牆，您可以組態傳入流量和傳出流量的源和目標 TCP 或 UDP 連接阜，從而使您能夠更加精確地定義允許的流量或阻止的 TCP 或 UDP 流量的檔案類型。例如，如果您希望阻止使用一組已知 TCP 連接阜的惡意流量或不希望的流量，您可以新增阻止出站和入站例外，指定流量的 TCP 源連接阜和目標連接阜。　　可以組態全部或多個連接阜的例外　　在使用現用的 Windows 防火牆組態關於連接阜的例外時，您只能指定一個 TCP 或 UDP 連接阜。但是使用新的 Windows 防火牆，您可以指定全部 TCP 或 UDP 連接阜(對於所有 TCP 流量或所有 UDP 流量)或多個連接阜(使用逗號分隔)。要組態新 Windows 防火牆使用某個連接阜範圍，您必須指定範圍中的所有連接阜。例如，如果您希望組態連接阜範圍 1090-1095 的例外，您必須組態下列連接阜: 1090,1091,1092,1093,1094,1095. 　　可以組態特定檔案類型接頭的例外　　使用現用的 Windows 防火牆，所有啟用的例外將套用於所有啟用了防護的接頭。而使用新的 Windows 防火牆，您可以指定例外套用於所有接頭或是套用於特定檔案類型的接頭，這包括 LAN 接頭、遠端訪問接頭或無線接頭。例如，如果某個應用程式只能通過遠端訪問連接訪問，而您不希望啟動 LAN 和無線連接的例外，那麼您可以組態僅套用於遠端訪問連接的例外。　　可以根據檔案類型和程式碼來組態 ICMP 和 ICMPv6 流量的例外　　使用現用的 Windows 防火牆，您可以啟用一組固定的 ICMP(用於 IPv4)和 ICMPv6 消息的例外。而使用新的 Windows 防火牆，系統提供了一組常用的預定義排除的 ICMP 和 ICMPv6 消息，同時您可以通過指定 ICMP 或 ICMPv6 消息檔案類型和程式碼字段值來增加新的 ICMP 或 ICMPv6 消息。例如，如果要為「ICMPv6 資料包太大」消息新增一個例外，則您可以手動為 ICMPv6 檔案類型 2 和程式碼 0 新增一個例外。　　可以組態服務的例外　　使用現用的 Windows 防火牆，您必須通過指定服務程式文件名路徑的方式來組態服務的例外。使用新的 Windows 防火牆，您可以指定例外僅僅套用於服務或是特定服務(指定它的服務名，或者您可以按鍵輸入服務的短名稱)的任何工作。例如，如果您想要組態僅套用於「電腦瀏覽器」服務的例外，您可以在電腦上執行的服務列表中選項「電腦瀏覽器」服務。使用「帶有進階安全性的 Windows 防火牆」管理單元　　要組態新 Windows 防火牆的進階設定，您必須通過執行以下操作將新的「帶有進階安全性的 Windows 防火牆」管理單元增加到 MMC 控制台中: 　　1.從 Windows Vista 或 Windows Server "Longhorn" 桌面上，按下開始，按鍵輸入 mmc，然後按 ENTER 鍵。　　2.在 MMC 控制台視窗中，按下文件，然後按下增加/移除管理單元。　　3.在可用管理單元列表中，按下帶有進階安全性的 Windows 防火牆，然後按下增加。　　4.當系統提示選項要管理的電腦時，按下本地機電腦，按下完成，然後按下確定。　　下圖顯示了「帶有進階安全性的 Windows 防火牆」管理單元的一個示例視圖。　　要修改新 Windows 防火牆的狀態或是指定控制新 Windows 防火牆行為的其他設定、登入設定以及每個組態文件的 IPsec 設定，請右鍵按下樹中的帶有進階安全性的 Windows 防火牆，然後按下內容。下圖顯示了一個示例。　　「帶有進階安全性的 Windows 防火牆」樹具有以下節點: 　　•入站例外儲存於一組用於傳入流量的已組態的例外。　　•出站例外儲存於一組用於傳出流量的已組態的例外。　　•電腦連接安全性儲存於一組用於受保護流量的規則。　　•監視顯示有關當前防火牆例外、連接安全性規則和安全相關項的訊息。在「群組原則編輯器」管理單元中檢視「帶有進階安全性的 Windows 防火牆」管理單元時不會顯示「監視」節點。共5頁。 9 7 1 2 3 4 5 8 :
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次