在校园网的日常
管理与维护中,
网络安全正日益受到人们的关注。校园网
服务器是否安全将直接影响
学校日常教育教学工作的正常进行。为了提高校园网的安全性,
网络管理员首先想到的就是配备
硬件防火墙或者购买
软件防火墙,但硬件防火墙
价格昂贵,软件防火墙也
价格不菲,这对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己的工作经验,谈谈如何利用
Windows2003提供的防火墙
功能为校园网服务器构筑安全防线。
, S; R/ q6 E4 g9 A8 h" ~
& K) q; S1 g, i: {& t
Windows2003防火墙功能介绍
' ]7 @2 a- o! x5 S5 R# w
( r4 I' r6 F2 ]7 ^
Windows2003提供的防火墙称为Internet连接防火墙,通过允许安全的网络
通信通过防火墙进入网络,同时拒绝不安全的通信进入,使网络免受外来威胁。Internet连接防火墙只包含在Windows
Server2003StandardEdition和32位版本的Windows
Server2003EnterpriseEdition中。
% I/ K5 O( A) o: q8 V# B( f; l
$ ^: ]1 a; d1 V6 f, }5 V# \Internet连接防火墙的设置
! d- @" U# P6 V6 n0 h% A& K" i4 L2 n9 I0 O/ i
在Windows2003服务器上,对直接连接到Internet的
计算机启用防火墙功能,支持网络适配器、DSL适配器或者拨号
调制解调器连接到Internet。
/ d+ M) x& f5 ?
~8 V: v2 a/ [% o1.启动/停止防火墙
% d/ U3 v1 K r6 ?8 ^
% ^0 Q; `, L |& z; \
(1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。
/ z( V7 H1 p3 g0 D
/ L3 x' V( H0 x+ p$ i W7 T% T
(2)单击“高级”选项卡,出现如图1所示启动/停止防火墙界面。如果要启用Internet连接防火墙,请选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet连接防火墙,请清除以上选择。
' E: N& U; x9 M1 ]2 h5 h k2 G
' H( Q. |/ ^. a4 e3 g( W/ ?/ w
2.防火墙服务设置
8 x0 K" S# E9 E! b6 u. a. F: u; V
2 U0 w) E4 c G Windows2003Internet连接防火墙能够管理服务
端口,例如HTTP的80端口、
FTP的21端口等,只要
系统提供了这些服务,Internet连接防火墙就可以监视并管理这些端口。
# P; j. h0 F$ ]0 R
/ K3 g' z# S* N5 J (1)
标准服务的设置
5 H5 q4 ^7 u3 Y: Q. Q4 _ 我们以Windows2003服务器提供的标准Web服务为例(默认端口80),操作步骤如下:在图1所示界面中单击[设置]按钮,出现如图2所示“服务设置”对话框;在“服务设置”对话框中,选中“Web服务器(HTTP)”复选项,单击[确定]按钮。设置好后,网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。
( E) y2 B$ }9 L6 f9 C9 T8 r: j8 e, x: ^7 c
+ M. T$ m$ m0 l M; r. U. ?6 J1 E6 h. X& z2 G3 y
$ y& g( f3 w& n* S 注:您可以根据Windows2003服务器所提供的服务进行选择,可以多选。常用标准服务系统已经预置在系统中,你只需选中相应选项就可以了。如果服务器还提供非标准服务,那就需要管理员手动添加了。
% o# s& d% d8 O: e2 x
5 s3 V. k+ S% z$ R/ B1 T0 J0 ^8 p* q3 ` (2)非标准服务的设置
$ G9 h; V0 D- |0 p+ w
$ J8 x5 q) z# ?) W) Y: V 我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中,单击[添加]按钮,出现“服务添加”对话框,在此对话框中,填入服务
描述、IP地址、服务所使用的端口号,并选择所使用的协议(Web服务使用
TCP协议,DNS查询使用UDP协议),最后单击[确定]。设置完成后,网络用户可以通过8000端口访问相应的服务,而对没有经过授权的TCP、UDP端口的访问均被隔离。
/ D+ l3 D7 p+ D& y5 h9 d
( {& c: e+ e0 m4 g/ u d3.防火墙安全日志设置
; z2 i2 J' V `* G
: d' ]$ }$ m1 a- o
在图2“服务设置”对话框中,选择“安全日志”选项卡,出现“安全日志设置”对话框,选择要记录的项目,防火墙将记录相应的
数据。日志文件默认路径为C:\Windows\Pfirewall.log,用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式,可以用常用的日志分析工具进行查看分析。
( L4 I/ v0 |0 i% g5 z
" z0 ]0 U6 K. @* Z 注:建立安全日志是非常必要的,在服务器安全受到威胁时,日志可以提供可靠的证据。
3 l, @3 i; G l: V! T1 R# t! w4 m* A: l7 B1 x. k
Internet连接防火墙应用思考
. y N5 N) Y% U
7 V) n9 k' ], ^6 l2 f: s Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。同时,也可以有效拦截利用
操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows2003构造的虚拟
路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。以上是笔者在日常工作中的一些经验体会,希望能够给大家提供借鉴。
