服务器因为其上运载着较多重要的应用或数据,因此往往需要较高的安全防护等级。目前国内服务器系统大多使用windows sever系统,这里就以windows sever系统为例为大家讲解一下服务器如何设置防火墙,以及服务器防火墙配置策略。
服务器如何设置防火墙,服务器防火墙设置一般分为三种,具体设置方法如下:
一种就是我们最常使用的,也是一般意义上的Windows防火墙。通常的操作方法是,点击启用防火墙,但是注意要在“例外”里面把一些常用的端口和软件排除出去,如远程桌面,80端口,FTP服务等。开启Windows自带的防火墙后,服务器的IP一般就无法ping通了,这样也就无法检测服务器的网络环境。因此对于服务器管理人员来说,不建议开启Windows自带的防火墙。
第二种所谓的“防火墙”是TCP/IP筛选,可能有的人不知道在哪里。这个项目也是在本地连接属性,点击Internet协议,点击属性,再点击高级,点击选项,就看到这项了。实例图如下:我们点击属性后,就可以设置只允许某些端口访问服务器,这里的限制是很严格的。如果服务器中毒后对外发包,在这里设置很有效。一般我们需要开启20,21,80,53,1433,3306,3389等这些常用的端口。除非特殊情况下,也不建议开启TCP/IP筛选。
第三种是本地安全策略中的IP安全策略。本地安全策略在控制面板->管理工具中,在这里我们可以设置允许某一个IP或某一段IP访问我们服务器,还可以设置只访问服务器的某一端口。一般用于屏蔽某个端口或允许某些特别IP访问这个端口,其他IP一律封锁。IP安全策略一般都是要启用的,建议使用专业公司制作好的策略文件直接导入。
选择例外添加一些常用端口。在例外中添加了一些端口是为了防止设不当导致一些常用端口被关闭。如服务器远程连接默认端口是3389.您就可以在例外中添加一个3389端口。
开启防火墙后不会因端口被封耐导致无法正常连接服务器。下面列举一些常用端口仅供参考:
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
等更多端口您可根据您的实际要求做修改或添加
确定后我们服务器最基本的设置就算完成了。当然在防火墙中还可以设置如禁ping等功能。
启用ICMP方法:用管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
同样在控制面板中也可以找到防火墙的设置方法同上,设置后别人也就ping不通你机器了。
服务器防火墙配置策略,这里选择以win2008为例子做一下服务器防火墙配置策略讲解。
1、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
2、共享和发现
右键“网络”-属性-更改高级共享设置--共享和发现
关闭,网络共享,文件共享,公用文件共享,打印机共享所有
3、防火墙的设置
网上自己查吧,ping还是经常需要用到的
4、防火墙的设置
控制面板→Windows防火墙设置(启动防火墙)→更改设置→例外,勾选FTP、HTTP、远程桌面服务 核心网络 HTTPS 3306:Mysql 1433:Mssql;
默认开启防火墙后ping命令是禁止的,开启方法如下:
方法1:命令行模式
进入服务器后 点击 开始——运行 输入命令:
netsh firewall set icmpsetting 8 这样就可以在外部ping到服务器了 非常简单实用!
同样道理,如果想禁止Ping,那运行如下命令即可实现:
netsh firewall set icmpsetting 8 disable
方法2:防火墙高级面板方式
1. 进入控制面板——>管理工具——>找到 “高级安全 Windows防火墙”
2. 点击 入站规则
3. 找到 回显请求-ICMPv4-In (Echo Request – ICMPv4-In)
4. 右键 点击规则 点击“启用规则(Enable)”
禁止ping的方法相同
5、禁用不需要的和危险的服务,以下列出服务都需要禁用。
打开 控制面板--管理工具--服务(或通过命令services.msc)
Distributed linktracking client 用于局域网更新连接信息
PrintSpooler 打印服务
Remote Registry 远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享 (关闭会启动时会报错)
TCP/IP NetBIOS Helper 提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的支持
Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联
Computer Browser 维护网络计算机更新 默认已经禁用
Net Logon 域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动
删除服务sc delete MySql
本地计算机策略:(命令行输入:gpedit.msc)
计算机配置
|-Windows设置
|-安全设置
|-账户策略
|-密码策略
|-账户锁定策略
|-本地策略
|-审核策略
|-用户权限分配
|-安全选项
审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
帐户:重命名来宾帐户 这里可以更改guest帐号
帐户:重命名系统管理员帐户 这里可以更改Administrator帐号
新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组
更改描述:管理计算机(域)的内置帐户
关于服务器如何设置防火墙以及服务器防火墙配置策略的讲解就介绍到这里,如果有需要的朋友可以根据上面的步骤一一进行操作和尝试。如果在服务器安全方面有遇到其他比较严重、难以解决的问题,可以向安全狗公司咨询,我们会安排专业的技术人员为您提供技术支持和帮助。