server2008高级安全windows防火墙的设置与应用毕业论文模板(编辑修改稿)

server2008高级安全windows防火墙的设置与应用毕业论文模板(编辑修改稿)内容摘要：

应用程序名称、系统服务名称、 TCP 端口、 UDP 端口、本地 IP 地址、远程 IP 地址、配置文件、接口类型 (如网络适配器 )、用户、用户组、计算机、计算机组、协议、 ICMP 类型等。 规则中的标准添加在一起。 添加的标准越多，具有高级安全性的 Windows 防火墙匹配传入 流量就越精细。 我们可以通过多种方式来配置 Server 20xx 防火墙和 IPSec 的设置和选项。 高级安全 Windows 防火墙的功能 降低 网络安全威胁 高级安全 Windows 防火墙 减少了计算机的受攻击面，为纵深防御模型提供附加层。 减少计算机的攻击面提高了可管理性，并降低了成功攻击的可能性。 网络访问保护 (NAP)（ Windows Server174。 20xx R2 和 Windows Server174。 20xx 中的一项功能）还帮助确保客户端计算机符合为连接到网络的计算机定义 所需软件和系统配置的策略。 NAP 集成有助于阻止符合标准与不符合标准的计算机之间的通信。 保护敏感数据 通过与 IPsec 的集成，高级安全 Windows 防火墙提供了一种简单的方法来强制执行身份验证的端到端的网络通信。 它提供对受信任的网络资源的可扩展的分层访问，从而帮助强制执行数据的完整性，并选择性地帮助保护数据的机密性。 . 扩展价值 因为高级安全 Windows 防火墙是 Windows174。 Windows Vista174。 、 Server 20xx R2 和 Server 20xx 中附带的基于主机的防火墙，并且由于它与 Active Directory 域服务 (AD DS) 和组策略紧密集成，因此不需要额外的硬件和软件。 高级安全 Windows 防火墙在设计上还通过已归档的应用程序编程接口 (API) 补充了现有的非 Microsoft 网络安全解决方案。 辽宁建筑职业学院信息工程系 20xx 届毕业论文 3 高级安全 Windows 防火墙的 改进和增强 Windows Service Hardening： 安全强化从 系统开使，在系统中的每个 Service 都会存在一个访问系统和网络等 方面的规则。 假如当你中了一些 rootkit 类病毒时，这些病毒可能会劫持一些系统服务。 而系统服务都会自带一个几乎不能修改的规则，当高级安全防火墙检测到这些服务存在异常行为时，便会阻止这些异常行为。 此处体现了高级安全防火墙和其他防火墙相比最大的特点：与系统紧密结合。 配置强化 相比以前 XP 的 Windows Firewall 而言，现在可配置的方面更加完善，可以同时配置入站和出站流量，并且可以针对程序全面配置。 而 Windows Firewall 只能配置入站和部分程序的出站连接，在细节配置方面也只能 配置端口等。 在这里，还存在这高级安全防火墙的另一个特点：可由网络管理员在组策略中集中配置。 所以此高级安全防火墙不仅仅是一个最终用户的简单防火墙，而且非常适合在企业工作网络中使用。 因为企业工作中边界防火墙虽然强大，但还是会存在一些漏网之鱼，此时就轮到我们的主机防火墙发挥作用了。 位置敏感 在高级安全防火墙中新增了位置敏感功能，该功能把电脑的网络环境分为三类：家庭网络、工作网络和公用网络。 而防火墙相应的配置文件也是三类：域配置文件、专用配置文件和公用配置文件。 比如你的笔记本在家辽宁建筑职业学院信息工程系 20xx 届毕业论文 4 中或在公司的网 络中使用，一般不会有那么复杂的网络环境，所以防火墙的规则一般会比较松散一些。 而当你出差或外出旅游时，你不免需要连接上一些公共网络，而此时再使用你比较松散的专用网络配置文件可能极易造成隐患，所以每当你切换一个网络类型后防火墙都会提示你选择合适的网络类型。 一般我们可以从“网络和共享中心”中查看和切换自己的网络类型。 比如我现在所处的是公用网络，在这几种网络类型中，公用网络被防火墙认定为最不安全的网络类型。 所以在“高级共享设置内”的设置默认都为最安全级别防止你暴露在公开的网络坏境中。 而相应的家庭和工作网络中设置则 宽松很多，可以很容易地与其他电脑共享与交流，其实还存在着另一种网络类型“域”网络，如果你的电脑配置过“域”并且接入“域”网络时，系统的配置文件便会自动切换到“域配置文件”。 在高级安全防火墙的主界面中的概述中，我们可以很清楚地看到现在激活的是那种网络配置文件。 另外，由于防火墙中同时存在着三种配置文件，当你的设置不起作用时应该注意下你是在哪个配置文件中更改了设置。 多种方式进入防火墙 尽管从 Windows XP 系统开始，微软公司就已经将防火墙功能内置在系统中了，不过该防火墙的功能还十分有限，往往 只能提供单向的安全保护，而不能提供双向的安全保护，并且网络管理员只能从系统的控制面板窗口中打开防火墙程序界面。 而在 Windows Server 20xx 服务器系统中，系统自带防火墙的功能有了很大的进步，网络管理员既能像在 Windows XP 系统中那样直接从控制面板窗口中访问自带防火墙的用户配置界面，又能从 MMC 控制台中对自带防火墙的各项高级功能进行随心所欲地配置。 在 Server 20xx 服务器系统，我们可以有两种方式进入防火墙的 Windows 配置界面，辽宁建筑职业学院信息工程系 20xx 届毕业论文 5 不过这两种配置界面的内容却是不一样的；从系统控制面板窗 口进入的防火墙配置界面属于基本界面，这种界面往往适合初级用户使用，从 MMC 控制台中进入的防火墙配置界面属于高级界面，这种界面往往适合高级用户使用，高级用户可以在这里随心所欲地控制服务器系统的数据流入和流出能力。 除此而外，喜欢在 DOS 命令行下操作的朋友还能通过 MSDOS 窗口中的命令在命令行模式配置服务器系统自带防火墙，或者使用创建安全脚本的方式在多台服务器系统中进行防火墙参数的自动配置。 当然，与旧版本系统下的防火墙程序 一样，我们还能通过组策略的力量来控制服务器系统防火墙的配置操作。 从控制面板 进入 我们知道，最初的系统自带防火墙程序往往只提供了系统安全的单向防护能力，也就说只能对进入服务器系统的数据信息流进行拦截审查，而不大容易出现由于防火墙参数配置不当造成服务器系统安全性能下降的现象出现。 在进行这种初级配置时，我们可以通过服务器系统的控制窗口来打开防火墙的基本配置界面就可以了，下面就是具体的打开步骤： 首先在 Windows Server 20xx 服务器系统桌面中，依次单击 “ 开始 ”/“ 设置 ”/“ 控制面板 ” 命令，在弹出的系统控制面板窗口中，找到 Windows 防火墙图标，并用鼠标双击该图标，就能 打开 Windows 防火墙的基本配置界面了，如图 1 所示； 图 1 其次在该配置界面的左侧显示区域单击 “ 启用或关闭 Windows 防火墙 ” 选项，在其后弹出的界面中单击 “ 常规 ” 标签，打开如图 2 所示的标签设置页面，在该页面中我们可以直接选择 “ 启用 ” 选项来启用服务器系统自带的防火墙功能，也可以直接选择 “ 关闭 ” 选项来停用系统防火墙功能； 如图 2 辽宁建筑职业学院信息工程系 20xx 届毕业论文 6 图 2 当我们启用了服务器系统的防火墙功能后，在默认状态下，该防火墙程序会同时拦截所有程序去访问外部网络，除了在 “ 例外 ” 标签页面中设置的选项外。 在这里， “ 阻止所有传入连接 ” 选项 其实是一个非常有用的选项，特别是当本地服务器系统处于一个不太安全的网络时，该选项能够临时让系统禁止 “ 例外 ” 标签页面中设置的任何程序或服务访问网络，一旦本地服务器系统处于一个比较安全的工作环境时，我们再取消 “ 阻止所有传入连接 ” 选项的选中状态，以便恢复以前的正常设置操作。 与旧版本系统一样，在对 Server 20xx 服务器系统下的自带防火墙进行基本设置时，我们同样可以在 “ 例外 ” 标签页面中设置那些能够直接访问网络的程序或服务。 我们可以直接通过单击 “ 添加程序 ” 、 “ 添加端口 ” 按钮来自行添加需要访问外部网络的程序或 服务，来解除系统防火墙程序对网络访问的阻止。 如果本地服务器系统中有多条网络连接时，我们还可以进入防火墙的 “ 高级 ” 标签页面，然后根据实际情况选择需要受防火墙保护的目标网络连接。 如果发现防火墙中有许多参数没有配置正确时，那可以直接单击 “ 高级 ” 标签页面中的 “ 还原为默认值 ” 按钮，来快速取消所有的参数修改操作，以便将系统防火墙的参数设置恢复到系统起初安装时的缺省状态。 从控制台进入 辽宁建筑职业学院信息工程系 20xx 届毕业论文 7 许多人常常会简单地认为，只要及时为服务器系统安装更新补丁程序，就能保证服务器系统不受网络病毒或木马的攻击；事实上，给服务 器系统安装补丁程序只是为了堵住系统的安全漏洞，但要是安装在服务器系统中的应用程序存在漏洞的话，那么服务器系统的安全还是没有办法保证。 为了有效避免由于应用程序漏洞而引起的服务器安全隐患问题，我们就需要使用系统防火墙来拒绝存在安全漏洞的应用程序去连接或访问网络，这样就能阻止网络中的木马或黑客通过应用程序漏洞来攻击服务器的安全了。 下面，我们就来设置 Server 20xx 服务器系统自带的防火墙程序，来预防应用程序漏洞攻击： 首先在 Server 20xx 服务器系统桌面中，依次单击 “ 开始 ”/“ 设置 ”/“ 控制面板 ” 命 令，在弹出的系统控制面板窗口中，找到 Windows 防火墙图标，并用鼠标双击该图标，打开 Windows 防火墙的基本配置界面； 其次单击该基本配置界面中的 “ 更改设置 ” 选项，再单击 “ 例外 ”标签，打开标签设置页面，在这里我们看到系统可能会使用网络程序列表，选中的应用程序就是被允许通过网络的应用程序，而那些没有选中的应用程序就是不允许通过网络的应用程序； 如果我们发现对应标签设置页面中没有目标漏洞应用程序，那我们可以单击这里的 “ 添加程序 ” 按钮，在弹出的文件选择对话框中，将存在安全漏洞的应用程序添加导入进来，最 后单击 “ 确定 ” 按钮就能使上述设置生效了。 二 如何 配置高级防火墙 辽宁建筑职业学院信息工程系 20xx 届毕业论文 8 微软的 Server 20xx 中防火墙的功能如此之简陋，让很多系统管理员将其视为鸡肋，它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙。 而随着 Server 20xx 的日渐向我们走近，其内置的防火墙功能得到了巨大的改进。 下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统，以及如何使用管理控制台单元来配置它。 为什么你应该使用这个 Windows 的基于主机的防火墙 ? 今天许多公司正在使用外置安全硬件的方式来加固它们的 网络。 这意味着，它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁，保护它们自然免受互联网上恶意攻击者的入侵。 但是，如果一个攻击者能够攻破外围的防线，从而获得对内部网络的访问，将只有 Windows认证安全来阻止他们来访问公司最有价值的资产 它们的数据。 这是因为大多数 IT 人士没有使用基于主机的防火墙来加固他们的服务器的安全。 为什么会出现这样的情况呢 ?因为多数 IT 人士认为，部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。 在 Server 20xx 中，这个基于主机的防火墙被内置在 Windows 中，已经被预先安装，与前面版本相比具有更多功能，而且更容易配置。 它是加固一个关键的基础服务器的最好方法之一。 具有高级安全性的 Windows 防火墙结合了主机防火墙和 IPSec。 与边界防火墙不同，具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。 它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。 高级规则配置 可以针对 Server 上的各种对象创建防火墙规则，配置防火墙规 则以确定阻止还是允许流量通过具有高级安全性的 Windows 防火墙。 传入数据包到达计算机时，具有高级安全性的 Windows 防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。 如果数据包与规则中的标准匹配，则具有高级安全性的 Windows 防火墙执行规则中指定的操作，即阻止连接或允许连接。 如果数据包与规则中的标准不匹配，则具有高级安全性的 Windows 防火墙丢弃该数据包，并在防火墙日志文件中创建条目 (如果启用了日志记录 )。 对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、 TCP 端 口、 UDP 端口、本地 IP 地址、远程 IP 地址、配置文件、接口类型 (如网络辽宁建筑职业学院信息工程系 20xx 届毕业论文 9 适配器 )、用户、用户组、计算机、计算机组、协议、 ICMP 类型等。 规则中的标准添加在一起。 添加的标准越多，具有高级安全性的 Windows 防火墙匹配传入流量就越精细。 通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows 防火墙正在变得和传统的基于主机的防火墙一样强大，例如 ZoneAlarm Pro等。 我知。