在很多涉及電腦安全問題的討論中，我們常會提起這樣一個詞，這就是“防火墻”,但是由于金錢的關系,不是每一個網絡管理員都能買得起正版的網絡 防火墻、專業殺毒軟件的,為了解決網絡管理員的困惑,Windows Server 2008系統特意對自帶的防火墻功能進行了強化，網絡管理員既能像在Windows XP系統中那樣直接從控制面板窗口中訪問自帶防火墻的用戶配置界面，又能從MMC控制臺中對自帶防火墻的各項高級功能進行隨心所欲地配置。巧妙地用好 Windows Server 2008系統自帶的防火墻程序，我們可以有效保護本地服務器系統的安全!

　　多種方式進入防火墻

　　盡管從Windows XP系統開始，微軟公司就已經將防火墻功能內置在系統中了，不過該防火墻的功能還十分有限，往往只能提供單向的安全保護，而不能提供雙向的安全保護，并且 網絡管理員只能從系統的控制面板窗口中打開防火墻程序界面。而在Windows Server 2008服務器系統中，系統自帶防火墻的功能有了很大的進步，網絡管理員既能像在Windows XP系統中那樣直接從控制面板窗口中訪問自帶防火墻的用戶配置界面，又能從MMC控制臺中對自帶防火墻的各項高級功能進行隨心所欲地配置。

　　在Windows Server 2008服務器系統，我們可以有兩種方式進入防火墻的Windows配置界面，不過這兩種配置界面的內容卻是不一樣的;從系統控制面板窗口進入的防火墻配 置界面屬于基本界面，這種界面往往適合初級用戶使用，從MMC控制臺中進入的防火墻配置界面屬于高級界面，這種界面往往適合高級用戶使用，高級用戶可以在 這里隨心所欲地控制服務器系統的數據流入和流出能力。除此而外，喜歡在DOS命令行下操作的朋友還能通過MS-DOS窗口中的命令在命令行模式配置服務器 系統自帶防火墻，或者使用創建安全腳本的方式在多臺服務器系統中進行防火墻參數的自動配置。當然，與舊版本系統下的防火墻程序一樣，我們還能通過組策略的 力量來控制服務器系統防火墻的配置操作。

　　1、從控制面板進入

　　我們知道，最初的系統自帶防火墻程序往往只提供了系統安全的單向防護能力，也就說只能對進入服務器系統的數據信息流進行攔截審查，而不大容易出現由于 防火墻參數配置不當造成服務器系統安全性能下降的現象出現。在進行這種初級配置時，我們可以通過服務器系統的控制窗口來打開防火墻的基本配置界面就可以 了，下面就是具體的打開步驟：

　　首先在Windows Server 2008服務器系統桌面中，依次單擊“開始”/“設置”/“控制面板”命令，在彈出的系統控制面板窗口中，找到Windows防火墻圖標，并用鼠標雙擊該圖標，就能打開Windows防火墻的基本配置界面了。

　　其次在該配置界面的左側顯示區域單擊“啟用或關閉Windows防火墻”選項，在其后彈出的界面中單擊“常規”標簽，在該頁面中我們可以直接選擇“啟用”選項來啟用服務器系統自帶的防火墻功能，也可以直接選擇“關閉”選項來停用系統防火墻功能;

　　當我們啟用了服務器系統的防火墻功能后，在默認狀態下，該防火墻程序會同時攔截所有程序去訪問外部網絡，除了在“例外”標簽頁面中設置的選項外。在這 里，“阻止所有傳入連接”選項其實是一個非常有用的選項，特別是當本地服務器系統處于一個不太安全的網絡時，該選項能夠臨時讓系統禁止“例外”標簽頁面中 設置的任何程序或服務訪問網絡，一旦本地服務器系統處于一個比較安全的工作環境時，我們再取消“阻止所有傳入連接”選項的選中狀態，以便恢復以前的正常設 置操作。

　　與舊版本系統一樣，在對Windows Server 2008服務器系統下的自帶防火墻進行基本設置時，我們同樣可以在“例外”標簽頁面中設置那些能夠直接訪問網絡的程序或服務。我們可以直接通過單擊“添加 程序”、“添加端口”按鈕來自行添加需要訪問外部網絡的程序或服務，來解除系統防火墻程序對網絡訪問的阻止。

　　如果本地服務器系統中有多條網絡連接時，我們還可以進入防火墻的“高級”標簽頁面，然后根據實際情況選擇需要受防火墻保護的目標網絡連接。如果發現防 火墻中有許多參數沒有配置正確時，那可以直接單擊“高級”標簽頁面中的“還原為默認值”按鈕，來快速取消所有的參數修改操作，以便將系統防火墻的參數設置 恢復到系統起初安裝時的缺省狀態。

　　2、從控制臺進入

　　在前面我們已經提到，從系統控制面板窗口中我們只能打開服務器系統防火墻的基本配置界面，要想打開Windows Server 2008服務器系統的高級安全防火墻配置界面時，我們需要從系統的控制臺窗口中進入，下面就是具體的操作步驟：

　　首先打開Windows Server 2008服務器系統的“開始”菜單，從中點選“運行”命令，在彈出的系統運行文本框中，輸入字符串命令“mmc.exe”，單擊回車鍵后打開服務器系統的控制臺窗口;

　　其次在該控制臺窗口中，依次單擊“文件”/“添加/刪除管理單元”選項，在其后的界面中選中高級安全Windows防火墻選項，并單擊“添加”按鈕， 隨后選中“本地計算機”選項，再單擊“完成”按鈕，最后單擊“確定”按鈕，這樣我們就能看到系統防火墻高級安全設置頁面了。

　　在Windows Server 2008服務器系統的高級安全防火墻配置界面中，我們可以根據實際工作環境為服務器系統定義多種不同的安全配置，并且每一種配置都是相對獨立的。例如，我 們可以在防火墻高級安全設置頁面中定制適合單位局域網工作環境的安全配置，可以在家庭工作環境中定制適合點到點網絡的安全配置，也可以在公共場合下定制適 合公網環境的安全配置。所以，當Windows Server 2008服務器系統位于單位局域網工作環境中時，我們幾乎可以關閉服務器系統自帶的防火墻，因為基本上所有單位的局域網網絡都有專門的防火墻，而當服務器 系統處于公網環境中時，我們就需要及時發揮服務器系統自帶防火墻的作用了，畢竟在公共場合下服務器系統受到非法攻擊的可能性比較大。

　　使用防火墻保護安全

　　熟悉了Windows Server 2008服務器系統的防火墻后，我們就能發揮自己的聰明才智，來利用防火墻保護服務器系統的安全了。下面，我們就列舉兩則應用實例，來讓大家領略一下Windows Server 2008服務器系統防火墻的強大功能!

　　1、預防Ping命令攻擊

　　在局域網環境中，常常有一些惡意用戶使用Ping命令向服務器系統連續發送一些大容量的數據包，這就可能導致服務器系統運行死機，此外非法攻擊者還能 通過 ping命令的一些參數獲得服務器系統的相關運行狀態信息，并根據這些信息對服務器系統實施有針對性的攻擊。為了保護Windows Server 2008服務器系統的運行穩定性，避免服務器主機遭受Ping命令攻擊，我們可以按照如下步驟來設置防火墻的安全規則：

　　首先在Windows Server 2008服務器系統桌面中單擊“開始”按鈕，從彈出的“開始”菜單中依次點選“程序”、“管理工具”命令，再從下級菜單中選擇“高級安全Windows防火墻”選項;

　　隨后系統會自動彈出高級安全Windows防火墻配置窗口，在該窗口左側列表窗格中單擊“入站規則”選項，再用鼠標右鍵單擊該選項，并從其后的右鍵菜 單中選擇“新規則”選項，打開新規則創建向導界面，選中該界面中的“自定義”項目;接著單擊“下一步”按鈕，選中其后頁面中的“所有程序”項目，之后按照 提示將網絡協議類型設置為“ICMPv4”，將連接條件設置為“阻止連接”，同時根據實際工作環境設置好應用該新規則的具體場合，最后為新創建的安全規則 取一個合適的名稱，如此一來局域網中的任何非法用戶就無法對Windows Server 2008服務器系統實施Ping命令攻擊了。

　　2、預防程序漏洞攻擊

　　許多人常常會簡單地認為，只要及時為服務器系統安裝更新補丁程序，就能保證服務器系統不受網絡病毒或木馬的攻擊;事實上，給服務器系統安裝補丁程序只 是為了堵住系統的安全漏洞，但要是安裝在服務器系統中的應用程序存在漏洞的話，那么服務器系統的安全還是沒有辦法保證。為了有效避免由于應用程序漏洞而引 起的服務器安全隱患問題，我們就需要使用系統防火墻來拒絕存在安全漏洞的應用程序去連接或訪問網絡，這樣就能阻止網絡中的木馬或黑客通過應用程序漏洞來攻 擊服務器的安全了。下面，我們就來設置Windows Server 2008服務器系統自帶的防火墻程序，來預防應用程序漏洞攻擊：

　　首先在Windows Server 2008服務器系統桌面中，依次單擊“開始”/“設置”/“控制面板”命令，在彈出的系統控制面板窗口中，找到Windows防火墻圖標，并用鼠標雙擊該圖標，打開Windows防火墻的基本配置界面;

　　其次單擊該基本配置界面中的“更改設置”選項，再單擊“例外”標簽，打開標簽設置頁面，在這里我們看到系統可能會使用網絡程序列表，選中的應用程序就是被允許通過網絡的應用程序，而那些沒有選中的應用程序就是不允許通過網絡的應用程序;

　　如果我們發現對應標簽設置頁面中沒有目標漏洞應用程序，那我們可以單擊這里的“添加程序”按鈕，在彈出的文件選擇對話框中，將存在安全漏洞的應用程序添加導入進來，最后單擊“確定”按鈕就能使上述設置生效了。

　　有時候，我們根本不知道哪些應用程序存在安全漏洞，因此我們也就無法利用Windows Server 2008服務器系統自帶防火墻來保護本地服務器的安全;此時，我們可以修改Windows Server 2008服務器系統的組策略，來強行要求防火墻程序來自動保護所有網絡連接，下面就是具體的設置步驟：

　　首先在Windows Server 2008服務器系統桌面中打開“開始”菜單，從中選擇“運行”命令，在其后彈出的運行框中輸入字符串命令“gpedit.msc”，進入本地服務器系統的組策略編輯界面;

　　其次將鼠標定位于“計算機配置”/“管理模板”/“網絡”/“網絡連接”/“Windows防火墻”/“標準配置文件”分支選項，在“標準配置文件” 分支選項下面，用鼠標雙擊“Windows防火墻：保護所有網絡連接”組策略選項，打開目標組策略屬性界面;選中該界面中的“已啟用”項目，最后單擊“確 定” 按鈕，如此一來Windows Server 2008服務器系統自帶防火墻日后就能強行保護所有網絡連接了。

　　系統安全，一直是局域網絡維護管理操作的重中之重，而在保證普通服務器運行安全方面，最常使用的一種方法就是安裝網絡防火墻、專業殺毒軟件以及各種反 間諜工具等。為此,Windows Server 2008自帶防火墻強大的功能,不但讓系統變得更安全,而且還省錢省時間。

關鍵字：服務器、網絡、Serve、 局域網