Windows 2003构筑校园网服务器防火墙

来源：天极网作者：出处：巧巧读书 2006-08-19 进入讨论组

关键词：dns ftp ip地址 windows windows server 2003

　　在校园网的日常管理与维护中，网络安全正日益受到人们的关注。校园网服务器是否安全将直接影响学校日常教育教学工作的正常进行。

为了提高校园网的安全性，网络管理员首先想到的就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲，这对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己的工作经验，谈谈如何利用Windows 2003提供的防火墙功能为校园网服务器构筑安全防线。

　　Windows 2003防火墙功能介绍

　　Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

　　Internet连接防火墙的设置

　　在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。

　　1. 启动/停止防火墙

　　(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

　　(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。

　　2. 防火墙服务设置

　　Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

　　(1)标准服务的设置

　　我们以Windows 2003服务器提供的标准Web服务为例(默认端口80)，操作步骤如下:在图1所示界面中单击[设置]按钮，出现如图2所示“服务设置”对话框;在“服务设置”对话框中，选中“Web服务器(HTTP)”复选项，单击[确定]按钮。设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。

　　图1 本地连接属性对话框

　　图2 服务设置对话框

　　注:您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。如果服务器还提供非标准服务，那就需要管理员手动添加了。

　　(2)非标准服务的设置

　　我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中，单击[添加]按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议(Web服务使用TCP协议，DNS查询使用UDP协议)，最后单击[确定]。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。

　　3. 防火墙安全日志设置

　　在图2“服务设置”对话框中，选择“安全日志”选项卡，出现“安全日志设置”对话框，选择要记录的项目，防火墙将记录相应的数据。日志文件默认路径为C:\Windows\Pfirewall.log，用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。

　　注:建立安全日志是非常必要的，在服务器安全受到威胁时，日志可以提供可靠的证据。

　　Internet 连接防火墙应用思考

　　Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。以上是笔者在日常工作中的一些经验体会，希望能够给大家提供借鉴。