|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-03-05, 07:57 PM | #1 |
榮譽會員
|
巧用Windows 2003構築校園網服務器防火牆
在校園網的日常管理與維護中,網路安全正日益受到人們的關注。校園網服務器是否安全將直接影響學校日常教育教學工作的正常進行。為了提高校園網的安全性,網路管理員首先想到的就是配備硬體防火牆或者購買軟體防火牆,但硬體防火牆價格昂貴,軟體防火牆也價格不菲,這對教學經費比較緊張的廣大中小學來說是一個沉重的負擔。在此筆者結合自己的工作經驗,談談如何利用Windows 2003提供的防火牆功能為校園網服務器構築安全防線。
Windows 2003防火牆功能介紹 Windows 2003提供的防火牆稱為Internet連接防火牆,通過允許安全的網路通信通過防火牆進入網路,同時拒絕不安全的通信進入,使網路免受外來威脅。Internet連接防火牆只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。 Internet連接防火牆的設置 在Windows 2003服務器上,對直接連接到 Internet 的電腦啟用防火牆功能,支持網路適配器、DSL 適配器或者撥號調製解調器連接到 Internet。 1. 啟動/停止防火牆 (1)開啟「網路連接」,右擊要保護的連接,單擊「內容」,出現「本地連接內容」對話視窗。 (2)單擊「高階」選擇項,出現如圖1所示啟動/停止防火牆界面。如果要啟用 Internet 連接防火牆,請選中「通過限制或阻止來自 Internet 的對此電腦的訪問來保護我的電腦和網路」復選項;如果要禁用Internet 連接防火牆,請清除以上選擇。 2. 防火牆服務設置 Windows 2003 Internet連接防火牆能夠管理服務連接阜,例如HTTP的80連接阜、FTP的21連接阜等,只要系統提供了這些服務,Internet連接防火牆就可以監視並管理這些連接阜。 (1)標準服務的設置 我們以Windows 2003服務器提供的標準Web服務為例(預設值連接阜80),操作步驟如下:在圖1所示界面中單擊[設置]按鈕,出現如圖2所示「服務設置」對話視窗;在「服務設置」對話視窗中,選中「Web服務器(HTTP)」復選項,單擊[確定]按鈕。設置好後,網路用戶將無法訪問除Web服務外本服務器所提供的的其他網路服務。 本地連接內容對話視窗 服務設置對話視窗 註:您可以根據Windows 2003服務器所提供的服務進行選擇,可以多選。常用標準服務系統已經預置在系統中,你只需選中相應選項就可以了。如果服務器還提供非標準服務,那就需要管理員手動新增了。 (2)非標準服務的設置 我們以通過8000連接阜開放一非標準的Web服務為例。在圖2「服務設置」對話視窗中,單擊[新增]按鈕,出現「服務新增」對話視窗,在此對話視窗中,填入服務描述、IP位址、服務所使用的連接阜號,並選擇所使用的協議(Web服務使用TCP協議,DNS查詢使用UDP協議),最後單擊[確定]。設置完成後,網路用戶可以通過8000連接阜訪問相應的服務,而對沒有經過授權的TCP、UDP連接阜的訪問均被隔離。 3. 防火牆安全日誌設置 在圖2「服務設置」對話視窗中,選擇「安全日誌」選擇項,出現「安全日誌設置」對話視窗,選擇要記錄的項目,防火牆將記錄相應的資料。日誌檔案預設值路徑為C:\Windows\Pfirewall.log,用記事本可以開啟。所產生的安全日誌使用的格式為W3C擴展日誌檔案格式,可以用常用的日誌分析工具進行檢視分析。 註:建立安全日誌是非常必要的,在服務器安全受到威脅時,日誌可以提供可靠的證據。 Internet 連接防火牆應用思考 Internet 連接防火牆可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠端主機對服務器的掃瞄,提高Windows 2003服務器的安全性。同時,也可以有效攔截利用操作系統漏洞進行連接阜攻擊的病毒,如衝擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火牆功能,能夠對整個內部網路起到很好的保護作用。以上是筆者在日常工作中的一些經驗體會,希望能夠給大家提供借鑒。 作者:王小平 |
送花文章: 3,
|