服务器防火墙在哪里设置？服务器防火墙设置方法介绍

　　防火墙是服务器防护的第一道关卡，虽然设置了防火墙不代表服务器就能高枕无忧，但是如果连第一道防线都没有做好，后面的防御就要费事得多。那么服务器防火墙在哪里设置?服务器防火墙设置方法又是什么?我们一起来了解下吧。

服务器防火墙在哪里设置

　　服务器防火墙在哪里设置?不懂得服务器防火墙在哪里设置的朋友可以按照下面的步骤一一对照进行操作：

　　1、点击Win图标，然后选择“运行”。或者直接使用Win+R键开启运行对话框;

　　2、打开运行窗口后，输入“services.msc”，然后点击“确定”;

　　3、在打开的窗口中，在服务列表里找到“Windows Firewall”选项，双击打开选项属性;

　　4、打开Windows Firewall属性窗口后，将常规选项卡中的启动类型设置为“手动”;

　　5、将启动类型设置为手动后，点击“确定”;

　　6、接下来进入控制面板里的Windows防火墙页面，开启防火墙即可。

服务器防火墙设置方法

　　服务器防火墙设置方法，不了解的朋友可以参考下面的设置方式:

　　网上邻居——属性——本地连接——属性——高级——设置

　　选择例外添加一些常用端口。在例外中添加了一些端口是为了防止设不当导致一些常用端

　　口被关闭。如服务器远程连接默认端口是3389.您就可以在例外中添加一个3389端口。

　　开启防火墙后不会因端口被封耐导致无法正常连接服务器。下面列举一些常用端口仅供参考:

　　端口:21

　　服务:FTP

　　说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

　　端口:25

　　服务:SMTP

　　说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口

　　端口:80

　　服务:HTTP

　　说明:用于网页浏览。木马Executor开放此端口。

　　端口:1433

　　服务:SQL

　　说明:Microsoft的SQL服务开放的端口。

　　端口:3389

　　服务:超级终端

　　说明:WINDOWS 2000终端开放此端口。

　　等更多端口您可根据您的实际要求做修改或添加

　　确定后我们服务器最基本的设置就算完成了。当然在防火墙中还可以设置

　　如禁ping等功能。

　　启用ICMP方法:用管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。

　　同样在控制面板中也可以找到防火墙的设置方法同上

　　设置后别人也就ping不通你机器了。

　　## 防火墙配置的多个途径

　　GUI：通过GUI界面编辑防火墙，好处是简单，不需要懂太多的防火墙知识，有验证，效果跟visudo一样。缺点就是编辑速度慢，观察的时候不是太直观。

　　CLI：设置速度快，有一定的验证，需要熟悉防火墙语法。

　　配置文件：直接修改配置文件是速度最快的方法，可以进入DevOps自动化部署流程，缺点是直接修改配置文件没有验证。

　　对于以上几种配置途径，各有优缺点，GUI降低了管理员的能力要求，但是也会带来一些麻烦，如果界面做得不好，对于切换规则和查错速度没有直接命令或者操作log来的快速。如果对防火墙规则不是太熟悉，GUI配置后生成的规则是学习最好的材料。如果可能，最后应当做成配置文件或者bat、sh等命令行集合，保证幂等，可重复运行，会大大降低配置和切换的工作量。

　　## 失效的防火墙

　　防火墙配置很简单，但是防火墙失效的原因也很多：

　　一条过宽的规则隐藏在几十条粒度不同的防火墙规则内

　　防火墙被乙方或者其他人为了调试等原因关闭而没有再开启

　　防火墙本身规则不了解，没有设置默认DROP或者忽略了IPv6协议

　　配置文件格式错误导致服务无法启动或者应用了旧的规则

　　应用了错误的情景模式，比如Windows规则配置的“公用网络”，但是某次启动后应用了“专用网络”。

　　多次根据不同重保规则切换防火墙导致规则错乱，遗漏或多余。

　　实时生效和持久性生效的区别，有些规则启动后就消失了。

　　所以验证防火墙是否正确不是去阅读规则，而是应当查看放行日志，采用nmap或者其他端口扫描工具定期扫描，如果写过程序就知道，这是类似TDD的做法，首先写一堆防火墙检测规则AssertTrue/AssertFalse，然后再配置防火墙，直到所有所有测试通过。

　　## 防火墙配置步骤

　　所以建议的设置防火墙步骤是

　　通读防火墙文档，熟悉所有设置

　　reset防火墙配置，排除干扰

　　使用GUI或者CLI配置，并观察生成的配置文件，作为模板

　　精确识别服务器需要开放的端口和开放的范围

　　根据模板修改，合并到自动化部署流程内

　　定期使用nmap扫描确认

　　配合业务的查错

　　防火墙涉及到出和入，一般出我们不会限制，入也会涉及到状态，比如调整系统时间的NTPD，为了规避时间的跳跃修正同步系统时间，跟ntpdate不同的是，他需要双向开放防火墙。还有对于允许单播对多播或广播响应，一个通常的错误有时候在于应用(类似VMWare vSAN)选择了错误的多播地址而导致信息泄露。这里其实我也不是太明白，等明白了以后再说。

　　关于服务器防火墙在哪里设置以及服务器防火墙设置方法就为大家介绍到这里，如果您在防火墙和服务器安全防护上有其他需求可以向安全狗公司咨询，安全狗在网络安全领域已经有十几年的浸淫历史，拥有非常丰富的安全攻防团队，可以帮助解决网络安全方面的任何问题。