配置Windows Server 2008防火墙让系统更安全

　　相比Windows Server 2003操作系统中自带的防火墙，集成在Windows Server 2008下的防火墙功能更加全面，安全防护等级自然也是更高一筹，我们只要对该防火墙程序进行合适配置，完全可以让Windows Server 2008系统运行得更加安全。这不，本文现在就为各位朋友推荐几则Windows Server 2008系统防火墙的配置技巧，相信在这些技巧的帮助下，大家一定能够充分享受系统防火墙带给自己的惊喜!

　　很多时候，我们需要定期查看Windows系统自带防火墙的安全配置状态，例如想了解当前系统是否已经启用了防火墙，防火墙使用了什么类型的配置文件，防火墙是否允许了例外工作模式的启用，多播/广播响应模式有没有被正常启用，当前在所有的网络连接接口上已经打开了哪些网络端口，这些处于打开状态的端口号码是什么等;正常来说，我们需要先进入Windows系统自带防火墙的基本配置界面，然后依次点选其中的各个标签设置页面，之后才能在各个页面中了解到上述配置信息。很显然，采用上面的方法查看Windows防火墙各方面的配置状态，无疑是比较麻烦的;事实上，在Windows Server 2008系统环境下，我们可以巧妙地利用系统自带的netsh命令，来一次性查看该系统防火墙所有的配置状态信息，下面就是该方法的具体实现步骤：

　　首先在Windows Server 2008系统桌面中打开“开始”菜单，从中逐一点选“程序”、“附件”选项，再从下级菜单中用鼠标右键单击“命令行提示符”命令，从弹出的快捷菜单中点选“以管理员身份运行”命令，此时系统屏幕将会自动切换到DOS命令行工作窗口;

　　其次在该工作窗口的DOS命令提示符下，输入字符串命令“netsh”，单击回车键后将系统切换到netsh命令配置状态，接着再输入字符串命令“firewall”，单击回车键后，系统又会自动进入Windows防火墙的命令设置环境，这时我们会看到系统屏幕上出现的提示符已经变成了“netsh firewall”;

　　下面在“netsh firewall”提示符下，输入字符串命令“show state”，单击回车键后，我们就能从如图1所示的结果界面中，看到系统自带防火墙各个方面的安全配置状态信息了;例如，在这里我们发现Windows系统自带防火墙使用了标准配置文件，启用了例外工作模式，禁止了通知模式，启用了多播/广播响应模式，当前所有网络连接接口上没有网络端口被打开等。

　　当我们尝试访问安装在Windows Server 2008系统中的网络打印机时，常常会遇到无法访问网络打印机的故障现象，这种故障现象往往都是由于对应系统自带的防火墙禁止文件和打印共享操作连接网络造成的，这时我们就需要对Windows Server 2008系统防火墙进行合适配置，让其允许文件和打印共享操作连接网络;按理来说，进入Windows Server 2008系统防火墙的基本配置界面，我们就可以非常轻松地完成这种设置操作。然而有的时候，我们会遇到无法进入防火墙基本配置界面的特殊现象，这个时候我们该如何让防火墙允许文件和打印共享操作通行呢?其实很简单，我们可以通过命令来配置Windows Server 2008系统防火墙，让其允许文件和打印共享操作连接网络，下面就是具体的操作步骤：

　　首先按照前面的操作步骤将系统屏幕切换到DOS命令行工作窗口，在该工作窗口的DOS命令提示符下，输入字符串命令“netsh”，单击回车键后将系统切换到netsh命令配置状态，然后输入字符串命令“firewall”，单击回车键后，再将系统切换到Windows防火墙的命令设置环境;

　　其次在“netsh firewall”提示符下，输入字符串命令“set opmode enable”，单击回车键后，进入系统防火墙的全局操作模式;考虑到文件和打印共享操作需要开启TCP139、TCP445、UDP137、UDP138端口，为此我们可以在“netsh firewall”提示符下依次执行字符串命令“add portopening TCP 139 blah enable subnet”、“add portopening TCP 445 blah enable subnet”、“add portopening UDP 137 blah enable subnet”、“add portopening UDP 138 blah enable subnet”，如图2所示;

　　当上述命令都返回“确定”提示时，那就说明这些命令已经被成功执行了，这时候Windows Server 2008系统防火墙就会自动开启TCP139、TCP445、UDP137、UDP138等端口了，而这些端口一旦被成功启用后，我们就能通过这些端口访问到安装在Windows Server 2008系统中的网络打印机了。为了验证上面的操作是否成功，我们可以在DOS命令行中执行“netstat -ano”字符串命令，从其后出现的结果界面中我们可以清楚地看到服务器系统已经打开的所有端口了，如果看到TCP139、TCP445、UDP137、UDP138端口已经处于开通状态时，那就说明上述字符串命令已经被执行成功了。

　　大家知道，每次向服务器系统发送Ping命令测试通信包时，服务器系统往往都需要腾出一定的系统资源来进行回复应答，要是某个时候同时向服务器系统发送若干个Ping命令测试通信包时，那么服务器系统就需要消耗更多的系统资源来对它们进行一一回复，一旦达到一定程度后，服务器系统中的有限系统资源可能都会被使用掉。Internet中的不少病毒程序或非法攻击者常常会通过这种方法来对重要服务器系统实施Ping攻击，从而造成服务器系统发生瘫痪现象;为了禁止Ping命令攻击Windows Server 2008服务器系统，我们可以对系统自带防火墙进行合适设置，下面就是具体的设置步骤：

　　首先以特权身份进入到Windows Server 2008服务器系统，依次单击“开始”/“程序”/“服务器管理器”菜单选项，打开本地系统的服务器管理器窗口，从该窗口左侧显示区域的“配置”分支下面，点选“高级安全Windows防火墙”选项;

　　其次在对应“高级安全Windows防火墙”选项的中间显示区域，单击“入站规则”项目，并用鼠标右键单击之，从弹出的快捷菜单中执行“新规则”命令，此时屏幕上将会自动出现一个如图3所示的新规则创建向导对话框，选中该对话框中的“自定义”选项;

　　继续单击向导对话框中的“下一步”按钮，在其后出现的设置页面中选中“所有程序”选项，同时依照屏幕默认提示将网络通信协议类型参数选择为“ICMPv4”，再将连接条件参数选择为“阻止连接”，之后依照实际工作环境设置好应用该新安全规则的使用场合，最后为新创建的安全规则设置一个适当的名称，这样的话局域网中的任何一位用户都不能对Windows Server 2008服务器系统进行恶意Ping攻击了。

　　有的时候，Internet中的不少病毒程序或非法攻击者会利用一些应用程序的漏洞来攻击Windows Server 2008服务器系统，而我们并不清楚究竟哪些应用程序存在安全漏洞，所以我们也就不能合理通过Windows Server 2008系统防火墙来禁止漏洞程序连接网络，如此一来Windows Server 2008服务器系统的安全性就无法得到保证了;这个时候，我们不妨设置Windows Server 2008系统的组策略参数，来要求系统防火墙程序对所有网络连接进行安全保护，下面就是具体的操作步骤：

　　首先打开Windows Server 2008系统的“开始”菜单，从中点选“运行”选项，打开对应系统的运行对话框，在其中输入“gpedit.msc”字符串命令，单击“确定”按钮后，打开对应系统的组策略控制台窗口;

　　其次从该控制台窗口的左侧显示区域选中“计算机配置”分支选项，再从该分支下面逐一选中“管理模板”、“网络”、“网络连接”、“Windows防火墙”、“标准配置文件”子项，在对应“标准配置文件”子项下面找到目标组策略“Windows防火墙：保护所有网络连接”选项，并用鼠标双击该选项，打开如图4所示的组策略属性设置对话框;

　　检查其中的“已启用”选项是否处于选中状态，要是发现它还没有被选中时，我们应该及时将它重新选中，再单击“确定”按钮保存好设置操作，这样的话Windows Server 2008服务器系统防火墙日后就能对本地系统中的所有网络连接进行安全保护了。