Windows Server 2008 R2網路安全巧設定

 　　針對一般中小企業型來說，如果希望對商業網路進行安全管理，不一定非得花高價錢購買專業的防火牆設定，直接藉助作業系統本身內建的防火牆功能即可以滿足一般企業的應用，今天我們就一起來探究一下Windows Server 2008 R2系統防火牆的強大功能。熟練的應用Windows 內建防火牆，首先需要瞭解網路位置。

　　網路位置

　　第一次串連到網路時，必須選擇網路位置。這將為所串連網路的類型自動化佈建適當的防火牆和安全設定。如果使用者在不同的位置(例如，家庭、本地咖啡店或辦公室)串連到網路，則選擇一個網路位置可協助確保始終將使用者的電腦設定為適當的安全層級。

　　在Windows Server 2008中，有四種網路位置：

　　家用網路：

　　對於家用網路或在使用者認識並信任網路上的個人和裝置時，請選擇“家用網路”。家用網路中的電腦可以屬於某個家庭組。對於家用網路，“網路發現”處於啟用狀態，它允許使用者查看網路上的其他電腦和裝置並允許其他網路使用者查看使用者的電腦。

　　工作網路：

　　對於小型辦公網路或其他工作區網路，請選擇“工作網路”。預設情況下，“網路發現”處於啟用狀態，它允許使用者查看網路上的其他電腦和裝置並允許其他網路使用者查看使用者的電腦，但是，使用者無法建立或加入家庭組。

　　公用網路：

　　為公用場所(例如，咖啡店或機場)中的網路選擇“公用網路”。此位置旨在使使用者的電腦對周圍的電腦不可見，並且協助保護電腦免受來自 Internet 的任何惡意軟體的攻擊。家庭組在公用網路中不可用，並且網路發現也是禁用的。如果使用者沒有使用路由器直接連接到 Internet，或者具有移動寬頻連線，也應該選擇此選項。

　　網域網路：

　　“域”網路位置用於網域網路(如在企業工作區的網路)。這種類型的網路位置由網路系統管理員控制，因此無法選擇或更改。

　　Windows 防火牆如何影響網路位置

　　在公用場所串連網路時，“公用網路”位置會阻止某些程式和服務運行，這樣有助於保護電腦免受未經授權的訪問。如果串連到“公用網路”並且 Windows 防火牆處於開啟狀態，則某些程式或服務可能會要求使用者允許它們通過防火牆進行通訊，以便讓這些程式或服務可以正常工作。

　　在使用者允許某個程式通過防火牆進行通訊後，對於具有的位置與當前所串連到的位置相同的每個網路，也會允許該程式進行通訊。例如，如果使用者在咖啡店串連到某個網路並選擇“公用網路”作為位置，然後解除了對一個立即訊息程式的阻止，則對於所串連到的所有公用網路，對該程式的阻止都將解除。

　　如果在串連到公用網路時計劃解除對多個程式的阻止，請考慮將網路位置更改為“家庭”網路或“工作”網路。從這點而言，相對於影響使用者所串連到的每個公用網路，這一更改操作可能會更安全。但請記住，如果進行了此更改，使用者的電腦將對網路上的其他人可見，這樣存在安全風險。

　　Windows防火域基本設定

　　當我們安裝好系統後，預設就已經啟用了防火牆功能，此時，只要設定好網路位置，就會阻止其他電腦與此電腦的通訊。查看防火牆工作狀態的方法是，在控制台中點擊系統和安全，從中開啟Windows防火牆即可，然後就可以看到下圖所示的狀態：

　　如果希望開啟或關閉Windows防火牆的話，只需要點擊左側的“開啟或關閉防火牆”即可，然後看到如下圖所示的介面：

　　從此圖可以看到針對專用網中的家用網路和工作網路已經開啟了防火牆功能，此時就會封鎖所有的傳入串連。

　　但在實際應用中，不能把所有的傳入串連都給封鎖，在此使用者可以根據需要設定相應的“白名單”來放開某些串連，方法是點擊防火牆工作狀態介面左側中的“允許程式或功能通過Windows防火牆”，出現下圖所示的介面：

　　將某個程式添加到防火牆中允許的程式列表或開啟一個防火牆連接埠時，則允許特定程式通過防火牆與您的電腦之間發送或接收資訊。允許程式通過防火牆進行通訊(有時稱為“解除阻止”)就像是在防火牆中開啟了一個孔。

　　每次開啟一個連接埠或允許某個程式通過防火牆進行通訊時，電腦的安全性也在隨之降低。您的防火牆擁有允許的程式或開啟的連接埠越多，駭客或惡意軟體使用這些通道傳播蠕蟲、訪問檔案或使用電腦將惡意軟體傳播到其他電腦的機會也就越大。

　　防火牆 的進階安全設定

　　剛才的基本設定作業比較簡單，但功能也單一，如果需要進一步設定Windows 防火牆規則，就需要通過“進階安全Windows 防火牆”功能。開啟方法如下：管理工具中點擊進階安全Windows防火牆，或者是在剛才的防火牆狀態中點擊進階設定。如下圖所示，然後，可以看到右側所示的介面。

　　什麼是進階安全Windows防火牆：

　　使用進階安全 Windows 防火牆可以協助使用者保護網路上的電腦。通過該防火牆您可以確定允許在電腦和網路之間傳輸的網路流量。它還包括使用 網際網路通訊協定安全性 (IPsec) 保護在網路間傳送的流量的串連安全規則。

　　進階安全 Windows 防火牆是一種有狀態的防火牆，它檢查並篩選 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 流量的所有資料包。在此上下文中，篩選意味著通過管理員定義的規則對網路流量進行處理，進而允許或阻止網路流量。預設情況下阻止傳入流量，除非是對主機請求(請求的流量)的響應，或者得到特別允許(即建立了允許該流量的防火牆規則)。可以通過指定連接埠號碼、應用程式名稱、服務名稱或其他標準將進階安全 Windows 防火牆配置為顯式允許流量。

　　建立防火牆規則：

　　可以建立防火牆規則以允許此電腦向程式、系統服務、電腦或使用者發送流量，或者從程式、系統服務、電腦或使用者接收流量。當使用者的串連匹配該規則標準的所有串連執行以下三個操作之一：允許串連、只允許通過使用 網際網路通訊協定 (IP)安全 (IPSec) 保護的串連、阻止串連。

　　可以為入站通訊或出站通訊建立規則。可配置規則以指定電腦或使用者、程式、服務或者連接埠和協議。可以指定要應用規則的網路介面卡類型：區域網路 (LAN)、無線、遠端存取，例如虛擬私人網路 (VPN) 串連或者所有類型。還可以將規則配置為使用任意設定檔或僅使用指定設定檔時應用，當 IT 環境更改時，可能必須更改、建立、禁用或刪除規則。

　　串連安全的實現：

　　串連安全性組件括在兩台電腦開始通訊之前對它們進行身分識別驗證，並確保在兩台電腦之間發送的資訊的安全性。進階安全 Windows 防火牆使用 網際網路通訊協定 (IP)安全 (IPsec) 實現串連安全，方法是使用金鑰交換、身分識別驗證、資料完整性和資料加密(可選)。串連安全規則使用 IPsec 確保其通過網路時的流量安全。使用串連安全規則指定必須對兩台電腦之間的串連進行身分識別驗證或加密。可能還要必須建立防火牆規則以允許由串連安全規則保護的網路流量。

　　什麼是防火牆設定檔：

　　防火牆設定檔是一種分組設定的方法，如防火牆規則和串連安全規則，根據電腦串連到的位置將其應用於該電腦。在運行此版本 Windows 的電腦上，進階安全 Windows 防火牆有三個設定檔：

　　每個網路介面卡也就是網卡，分配匹配所檢測網路類型的防火牆設定檔。例如，如果將網路介面卡串連到公用網路，則到達或來自該網路的所有流量會由與公用設定檔關聯的防火牆規則篩選。

　　Windows Server 2008 R2 和 Windows 7 為每個活動網路介面卡設定檔提供支援。在 Windows Vista 和 Windows Server 2008 中，每次電腦上只能有一個設定檔處於活動狀態。如果存在多個串連到不同網路的網路介面卡，則具有最嚴格設定檔設定的設定檔應用於電腦上的所有適配器。公用設定檔被認為是最為嚴格的，然後是專用設定檔;網域設定檔案被認為是最不嚴格的。

　　如果不更改設定檔的設定，則只要進階安全 Windows 防火牆使用設定檔，就應用其預設值。建議為所有三個設定檔啟用進階安全 Windows 防火牆。

　　若要配置這些設定檔，請在進階安全 Windows 防火牆 MMC 嵌入式管理單元中，按右鍵“進階安全 Windows 防火牆”，然後單擊“屬性”。

　　如果需要使用的服務或應用程式在列表中沒有出現的，使用者可以通過建立規則的方式來建立，如現在操作的電腦是一台WEB伺服器，而需要開放給其他使用者串連此網站，可以通過建立規劃來開放一個80連接埠的規則。

　　本地 IP 位址由本機電腦用於確定規則是否適用。規則僅適用於通過配置為使用一個指定本地 IP 位址的網路介面卡的網路流量。任何 IP 地址，選擇此選項可以指定匹配具有指定為本地 IP 位址的任意地址的網路資料包的規則。選中此選項時本機電腦始終匹配規則。下列 IP 地址，選擇此選項可以指定規則匹配具有“本地 IP 位址”中指定的一個地址的網路流量。如果本機電腦沒有使用一個指定 IP 地址配置的網路介面卡，則規則不適用。在“IP 地址”對話方塊上，單擊“添加”可以在列表中建立新條目，或單擊“編輯”可以更改列表中的現有條目。還可以通過選擇項目然後單擊“刪除”從列表中刪除某個條目。

　　遠程 IP 位址：指定應用規則的遠程 IP 位址。如果目標 IP 位址是列表中的地址之一，則網路流量匹配規則。任何 IP 地址，此選項可以指定規則匹配發自(對於入站規則)或發往(對於出站規則)包含在列表中的任意 IP 位址的網路資料包。下列 IP 地址，選擇此選項可以指定規則僅匹配具有“遠程 IP 位址”中指定的一個地址的網路流量。在“IP 位址”對話

　　此外還需要將此防火牆規則應用到相應的設定檔和介面類型上，因此需要指定此規則所使用的設定檔，Windows 確定每個網路介面卡的網路位置類型，然後對該網路介面卡應用相應的設定檔。介面類型指的是單擊“自訂”可以指定應用串連安全規則的介面類型。通過“自訂介面類型”對話方塊，可以選擇“所有介面類型”或“區域網路”、“遠端存取”或“無線”類型的任意組合。最後一個需要介紹的就是邊緣遍曆。邊緣遍曆允許指的是電腦接受未經請求的入站資料包，這些資料包已通過諸如網路位址轉譯 (NAT) 路由器或防火牆之類的邊緣裝置。系統預設是阻止應用程式通過 NAT 邊緣裝置從 Internet 接收主動提供的流量。也可以設定為遵從使用者或者是遵從應用程式，所謂遵從使用者指的是讓使用者決定當應用程式請求通過 NAT 邊緣裝置從 Internet 接收主動提供的流量時是否允許該流量。遵從應用程式指的是讓每個應用程式確定是否允許通過 NAT 邊緣裝置從 Internet 接收主動提供的流量。