防火墙术语详解之防火墙类型服务器教程

防火墙术语详解之防火墙类型服务器教程（共8篇）

1.防火墙术语详解之防火墙类型服务器教程 篇一

教程|防火墙|win2008

为什么你应该使用这个Windows的基于主机的防火墙?

今天许多公司正在使用外置安全硬件的方式来加固它们的网络。 这意味着，它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁，保护它们自然免受互联网上恶意攻击者的入侵。但是，如果一个攻击者能够攻 破外围的防线，从而获得对内部网络的访问，将只有Windows认证安全来阻止他们来访问公司最有价值的资产-它们的数据。

这是因为大多数IT人士没有使用基于主机的防火墙来加固他们的服务器的安全。为什么会出现这样的情况呢?因为多数IT人士认为，部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。

我希望在您读完这篇文章后，能够花一点时间来考虑Windows这个基于主机的防火墙。在Windows Server 2008中，这个基于主机的防火墙被内置在Windows中，已经被预先安装，与前面版本相比具有更多功能，而且更容易配置。它是加固一个关键的基础服务器的 最好方法之一。具有高级安全性的 Windows 防火墙结合了主机防火墙和IPSec。与边界防火墙不同，具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。

那么，这个Windows Server高级防火墙可以为你做什么，你又该如何配置它?让我们继续看下去。

新防火墙具备的功能及对你的帮助

这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级，微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。

以下是可以证明它这个新名字的新功能：

1、新的图形化界面，

现在通过一个管理控制台单元来配置这个高级防火墙。

2、双向保护。

对出站、入站通信进行过滤。

3、与IPSEC更好的配合。

具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

4、高级规则配置。

你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标 准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。

对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。

通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大，例如ZoneAlarm Pro等。

我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是：它是否会影响这个关键服务器基 础应用的正常工作?然而对于任何安全措施这都是一个可能存在的问题，Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是，如果你在你的服务器上运行一个非微软的应用程序，而且它需要入站 网络连接的话，你将必须根据通信的类型来创建一个新的规则。

通过使用这个高级防火墙，你可以更好的加固你的服务器以免遭攻击，让你的服务器不被利用去攻击别人，以及真正确定什么数据在进出你的服务器。下面让我们看一下如何来实现这些目的。

2.防火墙术语详解之防火墙类型服务器教程 篇二

一、两种设备产生和存在的背景不同

1、两种设备产生的根源不同

路由器的产生是基于对网络数据包路由而产生的，路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同

路由器的根本目的是：保持网络和数据的“通”。

防火墙根本的的目的是：保证任何非允许的数据包“不通”，

二、核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，NetEye防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用：企业内网的一台主机，通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性，在路由器上需要配置成：外-》内 只允许client访问 server的tcp 1455端口，其他拒绝。

针对现在的配置，存在的安全脆弱性如下：

1、IP地址欺骗(使连接非正常复位)

2、TCP欺骗(会话重放和劫持)

3.防火墙术语详解之防火墙类型服务器教程 篇三

深度数据包处理

深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。

TCP/IP终止

应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流，

流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

SSL终止

如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web服务器之前重新进行加密的解决方案。

URL过滤

4.防火墙术语详解之防火墙类型服务器教程 篇四

首先，Robocopy使用SMB协议在主机之间传输文件，基于SMB的通信使用下面的几个端口：

137(TCP/IP): NETBIOS 名字

138(UDP): NETBIOS 数据报

139(TCP):NETBIOS 会话

445(TCP): 在TCP之上的SMB

在默认的网络参数情况下，Robocopy会试图使用TCP的139端口来连接到远程主机，如果用户想要Robocopy强制使用445端口，则必须在源主机上禁用IP协议上的NETBIOS，

考虑到目标系统是面向Web的，故也要禁用NETBIOS。

在TCP/IP属性对话框中，单击“高级”按钮，然后，单击“WINS”选项卡，单击“禁用TCP/IP的NETBIOS”单选按钮。此后，Robocopy将会自动使用TCP的445端口来连接目标系统，因此用户应允许从源主机到目标主机的文件访问通过防火墙。

若用户要确保数据传输的安全保密，可以配置每台主机，启用IPSec加密，然后，设置防火墙，允许两台主机的IPSec通信。此后，用户可以使用netstat命令来查看实时通信的端口。

5.防火墙术语详解之防火墙类型服务器教程 篇五

网站系统联调阶段，猛然发现，当初考虑欠妥，只有一个公网的IP地址能用，要提供的服务却有一大堆。而且，大部分防火墙所宣称的“负载均衡”，并非是网络层的“负载均衡”，而是基于代理，只能支持WEB，不支持其他业务，尤其是网站苦心开发多年，赖以生存的特色服务。若不是意外发现了高阳信安的DS2000-Biz防火墙，当初做设计的小伙子就面临下岗了。

高阳信安的DS2000-Biz防火墙外表上和大多数防火墙没有多大区别，提供了外网、内网接口，对外提供服务的服务器都放置在DMZ区。说明书很简洁，内容却非常详细，按照手册的要求略作配置，防火墙就工作了。

简单的设定了几条安全规则后，注意力集中在了解决网络地址问题上。可是，在DS2000-Biz的设置软件中，可以发现，问题的解决异乎寻常的简单，

首先将公网的IP地址赋予外网端口。然后，设置动态地址转换，将内网的地址段映射到公网的IP地址，内网的用户已经能正常的访问INTERNET了。将公网的IP地址的80端口分配给WWW服务，依次填入2台WWW服务器在DMZ区的IP地址，找一台笔记本电脑拨号上网，用浏览器访问一下，正常。在后台可以看到，2台WWW服务器都工作了，负载基本相同。

FTP服务器的负载均衡设置与此相识，很简单。同样测试了一下，工作情况良好。其实，FTP服务的负载均衡很难实现。因为WWW服务是无连接的，每个请求发向哪一台服务器没有影响;但FTP服务不同，防火墙必须 “记住”每一条连接，并“保持”住。DS2000-Biz防火墙在这方面的智能化程度较高，用户省去许多烦恼。

解决了FTP服务器之后，在线点播服务也顺利实现。DS2000-Biz防火墙通过复用唯一的一个公网IP地址，全部实现了公司内部上网和对外提供多种服务的要求，而且，相互之间丝毫没有冲突，基于网络层的“负载均衡”工作流畅，一切是如此轻松。

6.防火墙术语详解之防火墙类型服务器教程 篇六

1. 对链的操作

建立一个新链 (-N)，

删除一个空链 (-X)。

改变一个内建链的原则 (-P)。

列出一个链中的规则 (-L)。

清除一个链中的所有规则 (-F)。

归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。

2. 对规则的操作

加入(append) 一个新规则到一个链 (-A)的最后。

在链内某个位置插入(insert) 一个新规则(-I)，通常是插在最前面。

在链内某个位置替换(replace) 一条规则 (-R)。

在链内某个位置删除(delete) 一条规则 (-D)。

删除(delete) 链内第一条规则 (-D)。

3. 指定源地址和目的地址

通过--source/--src/-s来指定源地址(这里的/表示或者的意思，下同)，通过--destination/--dst/-s来指定目的地址，

可以使用以下四中方法来指定ip地址：

a. 使用完整的域名，如“www.linuxaid.com.cn”；

b. 使用ip地址，如“192.168.1.1”；

c. 用x.x.x.x/x.x.x.x指定一个网络地址，如“192.168.1.0/255.255.255.0”;

d.

用x.x.x.x/x指定一个网络地址，如“192.168.1.0/24”这里的24表明了子网掩码的有效位数，这是

UNIX环境中通常使用的表示方法。

缺省的子网掩码数是32，也就是说指定192.168.1.1等效于192.168.1.1/32。

4. 指定协议

可以通过--protocol/-p选项来指定协议，比如-p tcp。

5. 指定网络接口将

7.防火墙术语详解之防火墙类型服务器教程 篇七

接到传呼 LAN遭黑手

经过近一年的努力，闽越终于出色地完成了本单位局域网的建设，并且这个颇有些特色的LAN在这所小城里还引起了一场不大不小的轰动，其他单位那些CIO们纷纷组织各自单位的技术精英前来参观学习。

当闽越将花了数周时间搞出来的方案交由领导审阅时，不菲的预算让这位局长大人也眉头紧蹙，尤其是其中“防火墙”一项更让他大惑不解，“我们办公楼的防火设施不是已经够多了吗，怎么还需要另外为这个网络建一堵防火墙，这墙是什么材料做的，怎么要花十多万元?”

价值十几万的防火墙的保驾护航使闽越对这个局域网的安全性颇有信心，他甚至有把握将这个LAN直接挂接到Internet上，接受更为严峻的安全考验，但考虑到局内员工的电脑水平，还是暂时将这一想法作罢了，因为虽然他自信这个LAN已然固若金汤，但难保局内员工使用时不会将特洛伊木马之类的东西“宕”进来，

因此，闽越仅将这个LAN与系统内其它地市局的网络连了起来，并为单位做了一个主页，使之成为介绍局内各科室分布及业务情况、科室间及系统内文件资料上传下达的平台。然而，让闽越始料未及的是，这个让他倾注了不少心血的LAN恰恰就是在他最为得意的安全环节上出了纰漏。

8.防火墙术语详解之防火墙类型服务器教程 篇八

小知识：IP规则是一系列的比较条件和一个对数据包的动作组合，它能根据数据包的每一个部分来与设置的条件进行比较。当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则可以把有害的数据包挡在你的机器之外，也可为某些有合法网络请求的程序开辟绿色通道。

添加规则

虽然天网中已经设置好了很多规则，可是每个人有每个人的情况，还要根据自己的情况来制定自己的规则(在天网防火墙的IP规则列表中，位于前端的规则会首先动作，并且忽略后面有相关联系的规则，从而使为特别网络服务开辟绿色通道成为可能)。比如，笔者在自己的机器中创建了一个FTP服务器，用来和朋友们分享各类资源，但朋友们反映不能连接。仔细查找，发现原来是天网在“作怪”!现在就给FTP设置一条特别的IP规则方便使用。

单击系统托盘中的天网图标打开程序界面，在主界面的左侧点击第二个图标“IP规则管理”。

点击“增加规则”按钮，弹出“增加IP规则”窗口，在“名称”中输入一个将要显示在IP规则列表中的名字，在下方的“说明”中填写对该条规则的描述，防止以后忘了该规则的用途。因为笔者建立的FTP服务器需要与朋友们交换数据，因此在“数据包方向”中通过下拉菜单选中“接收和发送”;如果朋友们都没有固定的IP地址，可在“对方IP地址”中选择“任何地址”;另外，由于FTP服务器基于TCP/IP协议，并且需要开放本机的21端口，因此在“数据包协议类型”中选择“TCP”协议，在“本地端口”中输入“0”和“21”开放该端口，

由于不限制对方使用何种端口进行连接，所以可在“对方端口”中保持默认的“0”;最后，在“当满足上面条件时”的下拉菜单中选择“通行”来放行即可。

经过上面的设置，本机的21端口就被打开了。返回天网主界面，选中新创建的“FTP”规则，按住“↑”将其移动到“TCP 数据包监视”规则的下方，以跳过最严厉的“禁止所有人连接”规则，然后点击“保存规则”保存设置。现在重新启动天网防火墙即可生效。

提示：如果想在天网的连接日志中记录朋友们的访问IP情况，可以在“同时还”中勾选“记录”选项。

备份与恢复规则

如果你已经创建或修改了很多的IP规则，当需要重新安装系统或天网的时候还要来设置这些规则。因此，采用导出后备份，当需要时再导入恢复是最简单的方法。

点击“导出规则”按钮，打开导出设置窗口，在“文件名”中设定保存备份的文件夹，在下方的IP规则列表中选中自己创建的IP规则(也可点击“全选”按钮备份全部IP规则)，点击“确定”后即可导出进行备份了。

当需要恢复时，只有点击“导入规则”，通过“打开”窗口找到并双击备份的IP规则文件即可导入了。

现在我们已经了解了天网的IP规则设置的方法，以后再也不怕天网防火墙将我们的合法程序挡在门外了。也许有朋友会问：我安装的网络服务程序不使用常见端口，不知道它需要开放哪些端口怎么办?没关系，再教你一个最简单的方法：启动被阻止的程序，打开天网防火墙的安全日志，看看它到底阻止了哪个端口，哪个端口就是需要用IP规则开放的端口。

天网防火墙免费版下载地址：