在享受Internet网络带来种种“实惠”的同时，如何保证网络安全也成为我们需要认真解决的难题；有鉴于此，Windows Server 2008系统（以下简写为Win2008系统）相比以往任何系统，提出了更为强大的安全功能；这不，该系统自带的防火墙功能，不但安全防护本领更为强大，而且功能也更加全面，我们只要对它巧妙加以配置，也能实现全方位的网络安全管理和防护目的。

控制漏洞程序安全
    在重要的主机系统或服务器系统中，可能会安装一些自身存在漏洞的应用程序，这些漏洞很可能会被非法用户利用；为了保证系统安全，不少人会下意识地认为，及时为系统更新、安装补丁程序，将各式各样的漏洞全部“堵”起来，就能实现安全防护目的了。不过，更新、安装系统补丁程序，只能“堵”住Windows系统自身的安全漏洞，而不能将应用程序特有的漏洞“堵”住，所以更新、安装补丁程序根本就无法控制住漏洞程序带来的安全威胁。此时，我们可以尝试利用Win2008系统的防火墙功能，来禁止漏洞程序随意连接网络，以便控制程序漏洞带来安全威胁，下面就是具体的控制步骤：
    首先打开Win2008系统的“开始”菜单，依次点选“设置”、“控制面板”选项，再从系统控制面板窗口中双击Windows防火墙图标，弹出对应系统的基本Windows防火墙设置界面；
    其次点击该设置界面中的“例外”选项卡，弹出选项设置页面，检查对应页面中的网络程序列表中是否包含漏洞应用程序，如果发现目标漏洞程序已经被选中的话，那就意味着漏洞应用程序的网络连接不受防火墙的限制，此时我们必须将漏洞程序取消选中，再单击“确定”按钮保存好设置操作，这么一来目标漏洞程序日后尝试连接网络时，防火墙都会对它进行阻止，那么这些漏洞就不能被来自外网的非法用户利用了。

解除网络隐性故障
    为了实现安全保护目的，我们常常会对Win2008系统的防火墙功能，进行一些组合式设置，以便希望它能给网络安全提供多层保护；然而，在进行了非常复杂的配置操作后，Win2008系统可能不能正常上网了。在对各种常见因素进行排查之后，我们可能仍然还不能解除网络访问故障，此时就需要考虑故障“祸首”是不是系统防火墙了，因为防火墙的多层设置可能在无意中对网络连接带来制约，影响系统的正常上网，所以当我们遇到无法解决的网络故障时，可以按照下面的步骤快速恢复系统防火墙的配置：
    首先在Win2008系统桌面上依次单击“开始”/“运行”命令，弹出系统运行对话框，在其中执行“cmd”命令，打开对应系统的DOS命令行窗口；
    其次在该窗口的命令行提示符下，输入“netsh firewall reset”命令，单击回车键后，快速将系统防火墙的配置恢复到默认状态，那样一来制约网络连接的隐性因素就被排除了，此时再进行网络访问测试时，就可能会发现网络故障已经被成功解除了。
    当然，我们也可以按照前面的操作步骤，打开Win2008系统的基本防火墙配置界面，点选其中的“高级”选项卡，再在对应选项设置页面中单击“还原为默认值”按钮，也能将Windows防火墙的安全设置全部恢复到默认状态。
    另外，还需要提醒各位注意的是，有的网络隐性故障是由于防火墙之间的冲突引起的，所以当我们将系统防火墙的配置恢复到默认状态后，发现网络故障仍然还无法解决时，不妨暂时关闭一下系统防火墙，再将对应系统重新启动一下，说不定这样一来网络故障就能立即解除了。

禁止调整安全配置
    在公共场合下，可能每一用户都能打开Win2008系统的基本防火墙配置界面，来随意调整其中的安全配置参数，这么一来防火墙的作用可能就无法得到有效发挥，严重的话还能威胁本地系统的上网安全。有鉴于此，我们必须在公共场合下，将Win2008系统的基本防火墙配置界面“锁”起来，以便禁止他人随意调整安全配置、降低系统的安全防范能力，下面就是具体的控制步骤：
    首先在Win2008系统桌面上依次单击“开始”/“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，弹出对应系统的组策略控制台窗口；
    其次依次展开该控制台窗口左侧列表窗格中的“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”节点选项，找到目标节点下面的组策略“Windows防火墙：不允许例外”，打开选项设置对话框；
    在该界面中看看“Windows防火墙：不允许例外”策略此刻有没有处于已启用设置状态，要是发现该策略还没有被启动运行的话，那我们应该及时选中“已启用”选项，再单击“确定”按钮保存好设置操作，这么一来普通用户就不能随意调整防火墙的安全配置了，那么任何网络连接都会受到系统防火墙的安全保护。

保护共享打印操作
    现在共享打印机在局域网中应用很普遍，为此Win2008系统的防火墙在默认状态下，也不会对共享打印操作进行限制；可是，这么一来有一些用户在上班以外的时间，偷偷利用共享打印机来干私活，这无形之中加重了办公成本。为了有效控制办公成本，我们可以利用Win2008系统的防火墙来保护共享打印操作，以便在节假日期间禁止任何用户随意使用网络打印机进行共享打印，下面就是具体的保护方法：
    首先依次单击Win2008系统桌面上的“开始”/“设置”/“控制面板”命令，从弹出的系统控制面板窗口中双击Windows防火墙图标，弹出Win2008系统的基本Windows防火墙设置界面；
    其次单击该设置界面中的“例外”选项卡，在对应选项设置页面中，我们发现“文件和打印机共享”选项已经自动处于选中状态，这说明防火墙没有对共享打印操作进行安全保护，此时我们只要将“文件和打印机共享”选项取消选中，再单击“确定”按钮，那么日后任何人在尝试进行网络打印操作时，都会受到Windows防火墙的限制了。

预防恶意Ping攻击
    我们知道，如果频繁向重要主机系统发送大容量的Ping测试包时，重要主机系统可能存在瘫痪的危险。为了预防恶意Ping攻击，我们可以利用Win2008系统的高级防火墙功能，来限制本地系统对Ping测试包进行应答，那么本地系统就不会被攻击瘫痪了，下面就是具体的限制步骤：
    首先依次点击Win2008系统桌面中的“开始”/“程序”/“管理工具”命令，再双击管理工具列表中的“高级安全Windows防火墙”选项；打开高级防火墙配置界面，选中该配置界面左侧显示区域中的“入站规则”选项，再右击“入站规则”选项，从右键菜单中执行“新规则”命令，弹出向导设置窗口，选中“自定义”选项；
    其次依照向导提示，逐一选中“所有程序”、“ICMPv4”、“阻止连接”选项，再选择一个与实际工作环境相符的具体场合，最后设置一个安全规则名称，那样一来Win2008系统的高级防火墙功能就能预防Ping命令攻击了。日后所有尝试对Win2008系统进行的Ping命令测试请求，都会被防火墙拒绝，那么该系统的资源也不会被Ping测试消耗殆尽了，此时该系统自然也就不容易瘫痪了。
   
限制非法FTP下载
    大家知道，一些Ftp软件会利用默认开放的21端口，对重要主机系统进行下载或上载操作，如果这项操作被非法利用的话，可能会影响重要主机系统的安全性。为此，我们可以利用Win2008系统的高级防火墙功能，来创建一个限制21端口通信的入站和出站规则，那么日后任何人都不能通过21端口对Win2008系统进行恶意下载或上载操作了：
    首先按照前面的操作步骤打开Win2008系统的高级防火墙配置界面，选中该界面左侧的“入站规则”选项，并用鼠标右击“入站规则”选项，再执行右键菜单中的“新规则”命令，弹出入站规则新建向导对话框；
    其次选中“端口”选项，再单击“下一步”按钮，弹出向导设置窗口，之后依次选中“TCP”选项、“特定本地端口”选项，同时输入默认下载端口号码“21”，继续单击“下一步”按钮；
    接下来Win2008系统的高级防火墙会询问用户要执行何种操作，我们必须选中“阻止连接”操作选项，再单击“下一步”按钮，并选中“域”或“公用”、“专用”选项，最后设置好安全规则名称，同时点击“完成”按钮，这样一来Win2008系统就会禁止用户使用21端口进行上载操作了；同样地，我们再创建一个出站规则，禁止用户使用21端口进行下载操作。

文章如转载，请注明转载自：http://www.5iadmin.com/post/745.html