巧用Windows 2003構築校園網伺服器防火牆

window|防火牆|伺服器 在校園網的日常管理與維護中，網路安全正日益受到人們的關注。校園網伺服器是否安全將直接影響學校日常教育教學工作的正常進行。為了提高校園網的安全性，網路系統管理員首先想到的就是配備硬體防火牆或者購買軟體防火牆，但硬體防火牆價格昂貴，軟體防火牆也價格不菲，這對教學經費比較緊張的廣大中小學來說是一個沉重的負擔。在此筆者結合自己的工作經驗，談談如何利用Windows 2003提供的防火牆功能為校園網伺服器構築安全防線。

Windows 2003防火牆功能介紹Windows 2003提供的防火牆稱為Internet串連防火牆，通過允許安全的網路通訊通過防火牆進入網路，同時拒絕不安全的通訊進入，使網路免受外來威脅。Internet串連防火牆只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

Internet串連防火牆的設定在Windows 2003伺服器上，對直接連接到 Internet 的電腦啟用防火牆功能，支援網路介面卡、DSL 適配器或者撥號數據機串連到 Internet。

1． 啟動/停止防火牆

　　 （1）開啟“網路連接”，右擊要保護的串連，單擊“屬性”，出現“本地串連屬性”對話方塊。

　　 （2）單擊“進階”選項卡，出現如圖1所示啟動/停止防火牆介面。如果要啟用 網際網路連線防火牆，請選中“通過限制或阻止來自 Internet 的對此電腦的訪問來保護我的電腦和網路”複選框；如果要禁用網際網路連線防火牆，請清除以上選擇。

2． 防火牆服務設定

　　 Windows 2003 Internet串連防火牆能夠管理服務連接埠，例如HTTP的80連接埠、FTP的21連接埠等，只要系統提供了這些服務，Internet串連防火牆就可以監視並管理這些連接埠。

　　 （1）標準服務的設定
　　 我們以Windows 2003伺服器提供的標準Web服務為例（預設連接埠80），操作步驟如下：在圖1所示介面中單擊[設定]按鈕，出現如圖2所示“服務設定”對話方塊；在“服務設定”對話方塊中，選中“Web伺服器（HTTP）”複選項，單擊[確定]按鈕。設定好後，網路使用者將無法訪問除Web服務外本伺服器所提供的的其他網路服務。




圖2 服務設定對話方塊

　　 註：您可以根據Windows 2003伺服器所提供的服務進行選擇，可以多選。常用標準服務系統已經預置在系統中，你只需選中相應選項就可以了。如果伺服器還提供非標準服務，那就需要管理員手動添加了。

　　 （2）非標準服務的設定

　　 我們以通過8000連接埠開放一非標準的Web服務為例。在圖2“服務設定”對話方塊中，單擊[添加]按鈕，出現“服務添加”對話方塊，在此對話方塊中，填入服務描述、IP地址、服務所使用的連接埠號碼，並選擇所使用的協議（Web服務使用TCP協議，DNS查詢使用UDP協議），最後單擊[確定]。設定完成後，網路使用者可以通過8000連接埠訪問相應的服務，而對沒有經過授權的TCP、UDP連接埠的訪問均被隔離。

3． 防火牆安全日誌設定

　　 在圖2“服務設定”對話方塊中，選擇“安全日誌”選項卡，出現“安全日誌設定”對話方塊，選擇要記錄的項目，防火牆將記錄相應的資料。記錄檔預設路徑為C:\Windows\Pfirewall.log，用記事本可以開啟。所產生的安全日誌使用的格式為W3C擴充記錄檔格式，可以用常用的日誌分析工具進行查看分析。

　　 註：建立安全日誌是非常必要的，在伺服器安全受到威脅時，日誌可以提供可靠的證據。

網際網路連線防火牆應用思考網際網路連線防火牆可以有效地攔截對Windows 2003伺服器的非法入侵，防止非法遠程主機對伺服器的掃描，提高Windows 2003伺服器的安全性。同時，也可以有效攔截利用作業系統漏洞進行連接埠攻擊的病毒，如衝擊波等蠕蟲。如果在用Windows 2003構造的虛擬路由器上啟用此防火牆功能，能夠對整個內部網路起到很好的保護作用。以上是筆者在日常工作中的一些經驗體會，希望能夠給大家提供借鑒。