为您找到与windows server2008服务器防火墙配置策略相关的共200个结果:
在今天的文章中我们将使用一种完全不同的方式,来实现对新的Windows Server 2008高级防火墙的类似配置,就是使用netsh这个工具以Windows命令行界面(CLI)的方式对防火墙进行配置。选择这种配置方式的理由有很多,让我们一起寻找答案吧。
了解Netsh advfirewall工具
在新的Windows 2008 Server中,你会看到一个更加高级的基于主机的防火墙。在上篇文章中我们已经提到它的一些新功能:
·新的图形化界面—现在通过一个管理控制台单元来配置这个高级防火墙。
·双向保护—对出站、入站通信进行过滤。
·与IPSEC更好的配合—现在防火墙规则和IPSec加密配置被集成到一个界面中。
·高级规则配置—你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
Netsh是可以用于配置网络组件设置的命令行工具。具有高级安全性的Windows防火墙提供netsh advfirewall工具,可以使用它配置具有高级安全性的Windows防火墙设置。使用netsh advfirewall可以创建脚本,以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows 防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
为什么要使用命令行界面来配置一个Windows防火墙?
俗话说,萝卜青菜各有所爱。有的人喜欢使用图形化的管理单元来配置这个新的防火墙,有的人则更愿意通过命令行方式来完成他们的配置工作,理由如下:
·配置更快速—一旦你熟练掌握了如何使用netsh advfirewall命令,在配置防火墙的时候要比使用图形化界面速度快的多。
·可以编写脚本—使用这个工具你可以对一些常用的功能编写脚本。
·在图形化界面不可用时依然可以配置防火墙—和其他命令行工具一样,当图形化界面不可用的时候,例如在Windows Server 2008 Core模式下,你依然能够使用netsh advfirewall工具来对防火墙进行配置。
有哪些命令可用?
Netsh advfirewall的命令非常多,今天我们选择你必须掌握的几个最常见的命令介绍给大家。
1、help命令(或“?”)
虽然简单,但这却可能是最有用的命令。任何时候当你键入“?”命令的时候,你会看到和上下文相关的所有选项,如图1。
图1、netsh advfirewall的和help选项
2、consec(连接安全规则)命令
这个连接规则可以让你创建两个系统之间的IPSEC 。换句话说,consec规则能够让你加强通过防火墙的通信的安全性,而不仅仅是限制或过滤它。
这个命令会将你带入到连接安全配置模式,如下所示:
Netsh advfirewall>consec
Netsh advfirewall consec>
现在如果你键入“?”命令的话,你将会在netsh advfirewall consec中看到六个不同的命令(见图2)。
从这儿你可以看到你可以通过以下命令来修改安全规则:
此上下文中的命令:
·add命令可以让你添加新连接安全规则;
·delete命令让你删除所有匹配的连接安全规则;
·dump命令显示一个配置脚本;
·help可以显示命令列表。
·set命令让你为现有规则的属性设置新值。
图2、netsh advfirewall consec命令选项
show命令
要想查看防火墙现在的状况,你将必须使用这个show命令,再其下提供三个不同的命令可用。
·Show alias为你列出所有定义的别名;
·show helper列出所有顶层帮助者;
·Show mode命令可以钢珠你显示防火墙是在线还是离线。
3、Export命令
这个命令可以让你导出防火墙当前的所有配置到一个文件中。这个命令非常有用,因为你可以备份所有的配置到文件中,如果你对已经作出的配置不满意的话,可以随时使用这个文件来恢复到修改前的状态。
以下是一个应用示例:
netsh advfirewall export “c:advfirewall.wfw”
4、Firewall命令
使用这个命令你可以增加新的入站和出站规则到你的防火墙中。它还可以让你修改防火墙中的规则。
图3、netsh advfirewall firewall
在firewall上下文命令中,你会看到四个重要的命令,分别是:
·Add命令让你增加入站和出站规则;
·Delete命令让你删除一条规则;
·Set命令为现有规则的属性设置新值;
·Show命令将显示一个指定的防火墙规则。
以下是增加和删除一个防火墙规则的示例:
增加一个针对messenger.exe的入站规则
netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:programfilesmessengermsmsgs.exe” action=allow
删除针对本地21端口的所有入站规则:
netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
5、Import命令
Import命令让你可以从一个文件中导入防火墙的配置。这个命令可以让你把之前你使用export命令导出的防火墙配置再恢复回去。示例如下:
Netsh advfirewall import “c:advfirewall.wfw”
6、Reset
这个命令让你重新设置防火墙策略到默认策略状态。使用这个命令的时候务必谨慎,因为一旦你键入这个命令并按下回车后,它将不再让你确认是否真要重设,直接恢复防火墙的策略。
示例命令如下:
Netsh advfirewall reset
7、Set命令
set命令将允许你修改防火墙的不同设置状态。相关的上下文命令有六个。
图4、netsh advfirewall set
·set allprofiles让你修改所有配置文件中的属性。
·set currentprofile 让你只修改活动配置文件中的属性。
·set domainprofile让你修改域配置文件中的属性。
·set global让你修改防火墙的全局属性。
·set privateprofile让你修改专用配置文件中的属性。
·set publicprofile让你修改公用配置文件中的属性。
·set store让你为当前交互式会话设置策略存储。
以下是使用set命令的一些例子:
·让防火墙关闭所有配置文件:
netsh advfirewall set allprofiles state off
·在所有配置文件中设置默认阻挡入站并允许出站通信:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
·在所有配置文件中打开远程管理:
netsh advfirewall set allprofiles settings remotemanagement enable
·在所有配置文件中记录被断开的连接:
netsh advfirewall set allprofiles logging droppedconnections enable
8、Show命令
这个show命令将让你可以查看所有不同的配置文件中的设置和全局属性。
总结
在这篇文章中,我们了解了如何使用netsh advfirewall命令配置Windows 2008防火墙的一些基本命令。你可以自己来选择是使用图形界面还是使用命令行方式来配置你的防火墙。如果你掌握了命令行方式下的这些命令,命令行界面是一种快速的配置Windows 2008防火墙的方式
浏览量:2
下载量:0
时间:
防火墙有助于提高计算机的安全性。Windows 防火墙能够限制从其他计算机发送到用户计算机上的信息,这使得用户可以更好地控制其计算机上的数据,并针对那些未经邀请而尝试连接到其计算机的用户或程序(包括病毒和蠕虫)提供了一条防御阵线。
如果您苦于在由于启用防火而增强的安全性与维持系统的效率之间谋求一个平衡点,那么笔者推荐您读一下大师Michael Howard先生的一篇文章来了解一些具体细节信息。Michael向我们展示了您的本地配置和设置的任何组策略是如何影响防火墙,“netsh”命令是怎样用于精确揭示防火墙的内部机理。
Netsh 是一个命令行脚本实用程序,可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存,以便存档或帮助配置其他服务器。
Netsh实用程序在Windows XP Service Pack 2中得到了极大的增强,包含了新选项的所有运行方式。通过在笔者计算机上的命令运行结果可以看出,Netsh命令相当友好。
如何启动这个命令就不用说了吧。
C:> netsh firewall show?
下面的命令您是可以用于查看防火墙的的配置情况:
show allowedprogram –显示被允许的程序配置
show config - 显示防火墙的配置
show currentprofile -显示 Windows 防火墙的当前配置文件.
show icmpsetting -显示 Windows 防火墙中的 ICMP 配置
show logging -显示 Windows 防火墙中的日志记录配置
show multicastbroadcastresponse –显示防火墙的组播/广播响应配置
show notifications -显示 Windows 防火墙中的通知配置
show opmode -显示 Windows 防火墙中的操作配置
show portopening -显示 Windows 防火墙中的端口配置
show service -显示 Windows 防火墙中的服务配置
show state -显示 Windows 防火墙的当前状态
当然,如果想精确配置防火墙,请使用如下的命令:
netsh firewall set allowedprogram 编辑 Windows 防火墙中的允许程序配置
netsh firewall set icmpsettings 编辑 Windows 防火墙中的 ICMP 配置
netsh firewall set logging 编辑 Windows 防火墙中的日志记录配置
netsh firewall set notifications 编辑 Windows 防火墙中的通知配置
netsh firewall set opmode 编辑 Windows 防火墙中的操作配置
netsh firewall set portopening 编辑 Windows 防火墙中的端口配置
netsh firewall set service 编辑 Windows 防火墙中的服务配置
掌握了这些强大的工具,我们再配置起防火墙来就轻松多了
浏览量:2
下载量:0
时间:
微软的Windows Server 2003中防火墙的功能如此之简陋,让很多系统管理员将其视为鸡肋,它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙.而随着Windows Server 2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它.
为什么你应该使用这个Windows的基于主机的防火墙?
今天许多公司正在使用外置安全硬件的方式来加固它们的网络。 这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵。但是,如果一个攻击者能够攻 破外围的防线,从而获得对内部网络的访问,将只有Windows认证安全来阻止他们来访问公司最有价值的资产-它们的数据。
这是因为大多数IT人士没有使用基于主机的防火墙来加固他们的服务器的安全。为什么会出现这样的情况呢?因为多数IT人士认为,部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。
我希望在您读完这篇文章后,能够花一点时间来考虑Windows这个基于主机的防火墙。在Windows Server 2008中,这个基于主机的防火墙被内置在Windows中,已经被预先安装,与前面版本相比具有更多功能,而且更容易配置。它是加固一个关键的基础服务器的 最好方法之一。具有高级安全性的 Windows 防火墙结合了主机防火墙和IPSec。与边界防火墙不同,具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行,并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全,使您可以对通信要求身份验证和数据保护。
这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级,微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。
以下是可以证明它这个新名字的新功能:
1、新的图形化界面。
现在通过一个管理控制台单元来配置这个高级防火墙。
2、双向保护。
对出站、入站通信进行过滤。
3、与IPSEC更好的配合。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
4、高级规则配置。
你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。如果数据包与规则中的标 准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。
对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细。
通过增加双向防护功能、一个更好的图形界面和高级的规则配置,这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大,例如ZoneAlarm Pro等。
我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是:它是否会影响这个关键服务器基 础应用的正常工作?然而对于任何安全措施这都是一个可能存在的问题,Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是,如果你在你的服务器上运行一个非微软的应用程序,而且它需要入站 网络连接的话,你将必须根据通信的类型来创建一个新的规则。
在以前Windows Server中,你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。
对于Windows高级安全防火墙,大多数管理员可以或者从Windows服务器管理器配置它,或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图:
图1、Windows Server 2008服务器管理器
图2、Windows 2008高级安全防火墙管理控制台
我发现启动这个Windows高级安全防火墙的最简单最快速的方法是,在开始菜单的搜索框中键入‘防火墙’,如下图:
图3、快速启动Windows 2008高级安全防火墙管理控制台的方法
由于使用这个新的防火墙管理控制台你可以配置如此众多的功能,我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面,你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。
默认情况下,当你第一次进入Windows高级安全防火墙管理控制台的时候,你将看到Windows高级安全防火墙默认开启,并且阻挡不匹配入站规则的入站连接。此外,这个新的出站防火墙默认被关闭。
你将注意的其他事情是,这个Windows高级安全防火墙还有多个配置文件供用户选择。
图4、在Windows 2008高级安全防火墙中提供的配置文件
在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法,如防火墙规则和连接安全规则,根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。
在我看来,在我们讨论过的Windows 2008高级安全防火墙的所有改进中,意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项,如下图:
图5、Windows 2003 Server防火墙例外窗口
再来对比一下Windows 2008 Server中的配置窗口。
图6、Windows 2008 Server高级防火墙例外设置窗口
注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置,微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。
Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中,只有三个默认的例外规则。而Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。
图7、Windows 2008 Server高级防火墙默认入站规则
假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器,这个端口自动会为你打开。但是,由于你现在使用一个来自第三方的网站服务器,而且你打开了入站防火墙,你必须手动的打开这个窗口。
以下是步骤:
·识别你要屏蔽的协议-在我们的例子中,它是TCP/IP(与之对应的则是UDP/IP或ICMP)。
·识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。(注意,你可以为一个特定的程序创建一条规则,诸如这儿的apache HTTP服务器)。
·打开Windows高级安全防火墙管理控制台。
·增加规则-点击在Windows高级安全防火墙MMC中的新建规则按钮,开始启动新规则的向导。
图8、Windows 2008 Server高级防火墙管理控制台-新建规则按钮
·为一个端口选择你想要创建的规则。
·配置协议及端口号-选择默认的TCP协议,并输入80作为端口,然后点击下一步。
·选择默认的“允许连接”并点击下一步。
·选择默认的应用这条规则到所有配置文件,并点击下一步。
·给这个规则起一个名字,然后点击下一步。
这时候,你将得到如下图的一条规则:
图9、创建规则后的Windows 2008 Server高级防火墙管理控制台
结论:大有改进 值得一试
具有防火墙配置文件、复杂的规则设置和原先30倍数量的默认规则,还有本文中未提到很多高级安全功 能,Windows 2008 Server高级安全防火墙的确名副其实,真正是一个微软所说的高级防火墙。我相信这个内置、免费、高级的基于主机的防火墙将确保Windows Server未来变得更加安全。但是,如果你不使用它,它不会对你有任何帮助。因此我希望你今天就来体验一下这个新的Windows高级防火墙
浏览量:2
下载量:0
时间:
防火墙有助于提高计算机的安全性。Windows 防火墙能够限制从其他计算机发送到用户计算机上的信息,这使得用户可以更好地控制其计算机上的数据,并针对那些未经邀请而尝试连接到其计算机的用户或程序(包括病毒和蠕虫)提供了一条防御阵线。
如果您苦于在由于启用防火而增强的安全性与维持系统的效率之间谋求一个平衡点,那么笔者推荐您读一下大师Michael Howard先生的一篇文章来了解一些具体细节信息。Michael向我们展示了您的本地配置和设置的任何组策略是如何影响防火墙,“netsh”命令是怎样用于精确揭示防火墙的内部机理。
Netsh 是一个命令行脚本实用程序,可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存,以便存档或帮助配置其他服务器。
Netsh实用程序在Windows XP Service Pack 2中得到了极大的增强,包含了新选项的所有运行方式。通过在笔者计算机上的命令运行结果可以看出,Netsh命令相当友好。
如何启动这个命令就不用说了吧。
下面的命令您是可以用于查看防火墙的的配置情况:
show allowedprogram –显示被允许的程序配置
show config - 显示防火墙的配置
show currentprofile -显示 Windows 防火墙的当前配置文件.
show icmpsetting -显示 Windows 防火墙中的 ICMP 配置
show logging -显示 Windows 防火墙中的日志记录配置
show multicastbroadcastresponse –显示防火墙的组播/广播响应配置
show notifications -显示 Windows 防火墙中的通知配置
show opmode -显示 Windows 防火墙中的操作配置
show portopening -显示 Windows 防火墙中的端口配置
show service -显示 Windows 防火墙中的服务配置
show state -显示 Windows 防火墙的当前状态
当然,如果想精确配置防火墙,请使用如下的命令:
netsh firewall set allowedprogram 编辑 Windows 防火墙中的允许程序配置
netsh firewall set icmpsettings 编辑 Windows 防火墙中的 ICMP 配置
netsh firewall set logging 编辑 Windows 防火墙中的日志记录配置
netsh firewall set notifications 编辑 Windows 防火墙中的通知配置
netsh firewall set opmode 编辑 Windows 防火墙中的操作配置
netsh firewall set portopening 编辑 Windows 防火墙中的端口配置
netsh firewall set service 编辑 Windows 防火墙中的服务配置
掌握了这些强大的工具,我们再配置起防火墙来就轻松多了
浏览量:2
下载量:0
时间:
在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?
Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。
为什么要集中部署
首先,我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置,可以决定Windows防火墙的哪些功能被“禁用”或“允许”……
显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,所有客户机的 Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。此外,域管理员还可使用组策略来完成所有客户机的Windows防火墙配置,而不必逐台进行了。
用组策略部署防火墙
在明白了集中部署的好处后,现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。
提示:为什么不是在域服务器中进行组策略的新建与配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。
OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件→添加/删除管理单元”,添加“组策略对象编辑器”。
在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。
提示:客户机的当前登录账户必须具有管理员权限,方可新建GPO(组策略对象)。因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可
返回控制台窗口后,在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。
图1
显然,我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:
保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。
不允许例外:未配置;这个可以让客户机自行安排。
定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。
允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。
允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。
允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。
允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。
允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。
允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。
阻止通知:已禁用。
允许记录日志:未配置;允许记录通信并配置日志文件设置。
阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。
定义端口例外:已启用;按照TCP和UDP端口指定例外通信。
允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。
现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。
提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。
完成上述设置后,保存策略为“firewall”文件。现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机
验证部署效果
完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。
接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的 firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。
图2
到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。
利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手
浏览量:2
下载量:0
时间:
这篇Windows XP防火墙怎样配置是读文网小编特地为大家整理的,希望对大家有所帮助!
Windows XP Service Pack 2 (SP2) 包含新的 Windows 防火墙,它取代了 Internet 连接防火墙 (ICF)。Windows 防火墙是一个基于主机的状态防火墙,它会断开非请求的传入通信,这些通信指并非为响应计算机的请求而发送的通信(请求通信)或被指定为可允许的非请求通信(例外通信)。Windows 防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护。
在 Windows XP SP2 中有许多关于 Windows 防火墙的新功能,其中包括:
默认情况下对计算机的所有连接都启用
应用于所有连接的新全局配置选项
用于本地配置的一组新对话框
新的操作模式
启动安全性
可按范围指定例外通信
可按应用程序文件名指定例外通信
对 Internet 协议版本 6 (IPv6) 通信的内置支持
关于 Netsh 和组策略的新配置选项
有关关于这些更改的更多信息,请参阅 2004 年 1 月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack 2(Windows XP Service Pack 2 中的新的网络功能)。
这篇文章详细说明了用于手动配置新 Windows 防火墙的对话框组。不同于装有 Service Pack 1 (SP1) 和未装 Service Pack 的 Windows XP 中的 ICF,这些配置对话框对 IPv4 和 IPv6 通信都可以进行配置。
在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,ICF 的设置包括一个复选框(连接属性的“高级”选项卡上的“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框)和一个可用于配置例外通信、日志设置和允许的 ICMP 通信的“设置”按钮。
在 Windows XP SP2 中,连接属性的“高级”选项卡上的复选框被一个“设置”按钮所取代,使用该按钮可以配置常规设置、程序和服务的权限、连接专用设置、日志设置和允许的 ICMP 通信。“设置”按钮可启动新的 Windows 防火墙控制面板小程序,您也可以从控制面板的“网络和 Internet 连接”和“安全中心”分类中启用该小程序。
新的“Windows 防火墙”对话框包括下列选项卡:
常规
例外
高级
“常规”选项卡
“常规”选项卡及其默认设置显示在下图中。
在“常规”选项卡中,您可以进行下列选择:
打开(推荐)
选择对“高级”选项卡中选定的所有网络连接启用 Windows 防火墙。启用 Windows 防火墙后将只允许请求的和例外的传入通信。例外通信在“例外”选项卡中进行配置。
不允许例外
点击该选项将只允许请求的传入通信。例外传入通信则不被允许。不管“高级”选项卡中的设置如何,“例外”选项卡中的设置将被忽略,所有的网络连接都将得到保护。
关闭(不推荐)
选择该选项将禁用 Windows 防火墙。不推荐使用此选项,尤其是对于可以直接从 Internet 进行访问的网络连接,除非您已经使用了第三方的主机防火墙产品。
请注意,对于所有运行带有 SP2 的 Windows XP 的计算机连接和新创建的连接,Windows 防火墙的默认设置都是“打开(推荐)”。这会影响那些依赖非请求传入通信的程序或服务的通讯。在这种情况下,您必须识别出哪些程序不再运行,并且将这些程 序或其通信添加为例外通信。许多程序,诸如 Internet 浏览器和电子邮件客户端(如 Outlook Express),并不依赖非请求通信,并且可以在 Windows 防火墙启用时正常运行。
如果您使用组策略来对运行装有 SP2 的 Windows XP 的计算机配置 Windows 防火墙,您配置的组策略设置可能不允许本地配置。在这种情况下,“常规”选项卡和其他选项卡中的选项可能被灰显并不可用,即使您登录时使用的帐户是本地管 理员组的成员(本地管理员)也是如此。http://www.woaidiannao.com
基于组策略的 Windows 防火墙设置允许您配置域配置文件(当您连接到一个包括域控制器的网络时将应用的一组 Windows 防火墙设置)和标准配置文件(当您连接到一个不包括域控制器的网络(如 Internet)时将应用的一组 Windows 防火墙设置)。配置对话框只显示了当前应用的配置文件的 Windows 防火墙设置。要查看当前没有应用的配置文件的设置,请使用netsh firewall show 命令。要更改当前没有应用的配置文件的设置,请使用netsh firewall set 命令。
“例外”选项卡
“例外”选项卡及其默认设置请见下图。
在“例外”选项卡中,您可以启用或禁用一个现有的程序或服务,或者维护用于定义例外通信的程序和服务列表。在“常规”选项卡中选定“不允许例外”选项后,例外通信将不被允许。
使用装有 SP1 和未装 Service Pack 的 Windows XP 时,您只有通过传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口来定义例外通信。使用装有 SP2 的 Windows XP,您可以通过 TCP 和 UDP 端口或者使用某个程序(应用程序或服务)的文件名来定义例外通信。在程序的 TCP 或 UDP 端口未知时或者在程序启动被动态定义时,这种配置灵活性将使得配置例外通信更加容易。
有一组预定义的程序,其中包括:
文件和打印共享
远程协助(默认启用)
远程桌面
UPnP 框架
这些预定义程序和服务是不能被删除的。
如果组策略允许,您可以通过点击“添加程序”来指定一个程序名,从而创建附加例外;也可以通过点击“AddPort”来指定一个 TCP 或 UDP 端口,从而创建例外。
当您点击“添加程序”时,将显示“添加程序”对话框,您可以从中选择一个程序或者浏览查找一个程序文件名。下图显示了一个示例。
当您点击“AddPort”时,将显示“添加端口”对话框,您可以从中配置 TCP 或 UDP 端口。下图显示了一个示例。
新的 Windows 防火墙允许您指定例外通信的范围。这个范围定义了哪一部分的网络连接产生的例外通信是被允许的。要定义一个程序或端口的范围,请点击“更改范围”。下图显示了一个示例。
在定义一个程序或端口的范围时,您有三个选项可以选择:
任意一台计算机(包括 Internet 上的计算机)
从任何 IPv4 地址发出的例外通信都是被允许的。这种设置可能会使您的计算机容易受到 Internet 上的恶意用户或程序的攻击。电脑
仅限我的网络(子网)
只有从符合以下条件的 IPv4 地址发出的例外通信才是被允许的:与接收通信的网络连接所连的本地网络段(子网)相匹配的 IPv4 地址。比如,如果网络连接所配置的 IPv4 地址是 ,并带有子网掩码 .0.0,那么只有从 .0.1 到 .255.254 的 IPv4 地址发出的例外通信才是被允许的。
自定义列表
您可以指定一个或多个用逗号分割的 IPv4 地址或 IPv4 地址范围。IPv4 地址范围通常对应于子网。对 IPv4 地址来说,用点分十进制记法键入 IPv4 地址。对 IPv4 地址范围来说,您可以使用点分十进制子网掩码或前缀长度来指定一个范围。当您使用点分十进制子网掩码时,您可以把范围指定为一个 IPv4 网络 ID(如 .0/.255.0)或者使用一个在范围内的 IPv4 地址(如 .231/.255.0)来指定范围。当您使用网络前缀长度时,您可以将范围指定为一个 IPv4 网络 ID(如 .0/24)或者使用一个在范围内的 IPv4 地址(如 .231/24)来指定范围。下面是自定义列表的一个示例:10.91.12.56,10.7.14.9/.255.0,10.116.45.0 /.255.0,172.16.31.11/24,172.16.111.0/24。
您不能够为 IPv6 通信指定自定义列表。
在您想允许本地网络中的计算机(它们都连接在同一个子网中)访问一个程序或服务,而不允许潜在的恶意 Internet 用户访问时,“仅限我的网络(子网)”范围会很有用。
程序或端口一旦被添加,它就在“程序和服务”列表中被默认禁用。
对于在“高级”选项卡中选定的所有连接,所有在“例外”选项卡中启用的程序和服务都将启用。
“高级”选项卡
下图显示了“高级”选项卡。
“高级”选项卡包括下面几个部分:
网络连接设置
安全日志
ICMP
默认设置
网络连接设置
在“网络连接设置”中,您可以:
指定一组用于启用 Windows 防火墙的接口。如要启用,请选择网络连接名称旁边的复选框。如要禁用,请清除复选框。默认情况下,所有的网络连接都启用了 Windows 防火墙。如果某个网络连接没有出现在此列表中,那么它就不是一个标准网络连接。这方面的例子包括一些 Internet 服务提供商 (ISP) 提供的自定义拨号程序。
点击一个网络连接的名称,然后点击“设置”,即可以配置这个网络连接的高级设置。
如果您清除了“网络连接设置”中的所有复选框,Windows 防火墙将不再保护您的计算机,不管您是否已经在“常规”选项卡中选择了“打开(推荐)”都是如此。如果您在“常规”选项卡中选择了“不允许例外”,“网络 连接设置”中的设置就会被忽略,在这种情况下所有的接口都将被保护。计算机基础知识
当您点击“设置”时,“高级设置”对话框即会显示,如下图所示。
在“高级设置”对话框中,您可以在“服务”选项卡中(仅通过 TCP 或 UDP 端口)配置特定的服务,或者在“ICMP”选项卡中启用特定的 ICMP 通信类型。这两个选项卡等同于在装有 SP1 和未装 Service Pack 的 Windows XP 中用于配置 ICF 的设置选项卡。
安全日志
在“安全日志”中,点击“设置”,在“日志设置”对话框中指定 Windows 防火墙日志的配置,如下图所示。
在“日志设置”对话框中,您可以配置是否记录丢弃的数据包和成功的连接,并且指定日志文件(默认设置为 Systemroot)的名称和位置及其最大的数据量。
ICMP
在“ICMP”中,点击“设置”来指定在“ICMP”对话框中被允许的 ICMP 通信类型,如下图所示。
在“ICMP”对话框中,您可以启用或禁用传入 ICMP 消息的类型,Windows 防火墙允许所有在“高级”选项卡中选定的连接使用这些消息。ICMP 消息被用来进行诊断、报告错误条件和进行配置。默认情况下,列表中的任何 ICMP 消息都不被允许。
解决连接问题的一个常用方法就是使用 Ping 工具来 Ping 您试图连接的计算机的地址。在 Ping 的时候,您发送一个 ICMP Echo 消息并收到一个 ICMP Echo Reply 消息。默认情况下,Windows 防火墙不允许传入 ICMP Echo 消息,因此计算机就不能回送一个 ICMP Echo Reply。要配置 Windows 防火墙以使其允许传入 ICMP Echo 消息,您必须启用“允许传入的回显请求”设置。
默认设置
点击“恢复默认值”来将 Windows 防火墙重置为它的原始安装状态。当您点击“恢复默认值”时,Windows 防火墙在更改设置之前会提示您对操作进行确认。
浏览量:2
下载量:0
时间:
连接网上的服务器系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。传统意义上的防火墙技术分为三大类,“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态检测”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
一、Solaris包过滤防火墙IPFilter简介
IPFilter是目前比较流行的包过滤防火墙软件,它目前拥有多种平台的版本,安装配置相对比较简单。可以用它来构建功能强大的软件防火墙,下面就其的安装以及一些典型的配置作一下说明。IPFfilter 的作者是 Darren Reed 先生,他是一位致力于开源软件开发的高级程序员,目前工作于 SUN 公司。IP Filter 软件可以提供网络地址转换(NAT)或者防火墙服务。简单的说就是一个软件的防火墙,并且这个软件是开源免费的。当前的版本是4.1.15,目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系统平台。IPFilter是它是一个在引导时配置的可加载到内核的模块。这使得它十分安全,因为已不能由用户应用程序篡改。我用Solaris10 来作为实验的平台介绍一下IP Filter。IP Filter过滤器会执行一系列步骤。图1说明处理包的步骤,以及过滤如何与 TCP/IP 协议栈集成在一起。
数据包在Solaris内的处理顺序包括下列步骤:
1. 网络地址转换 (Network Address Translation, NAT) :将专用 IP 地址转换为不同的公共地址,或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时,通过 NAT,该组织可解决 IP 地址用尽的问题。
2. IP 记帐 :可以分别设置输入规则和输出规则,从而记录所通过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。
3. 片段高速缓存检查 :如果当前流量中的下一个包是片段,而且允许前一个包通过,则也将允许包片段通过,从而绕过状态表和规则检查。
4. 包状态检查 :如果规则中包括 keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了 pass 还是 block。
5. 防火墙检查 :可以分别设置输入规则和输出规则,确定是否允许包通过 Solaris IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。
6. 组:通过分组可以按树的形式编写规则集。
7. 功能 :功能是指要执行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。
8. 快速路由 :快速路由指示 Solaris IP 过滤器不将包传入 UNIX IP 栈进行路由,从而导致 TTL 递减。
9. IP 验证 :已验证的包仅通过防火墙循环一次来防止双重处理。
二、学会编写IPFfilter 规则
典型的防火墙设置有两个网卡:一个流入,一个流出。IPFfilter读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用IPFfilter系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下:
action [in|out] option keyword, keyword...
参数说明:
1. 每个规则都以操作开头。如果包与规则匹配,则 Solaris IP 过滤器将操作应用于该包。以下列表包括应用于包的常用操作。
block :阻止包通过过滤器。
pass :允许包通过过滤器。
log :记录包但不确定是阻止包还是传递包。使用 ipmon 命令可查看日志。
count :将包包括在过滤器统计信息中。使用 ipfstat 命令可查看统计信息。
skip number :使过滤器跳过 number 个过滤规则。
auth :请求由验证包信息的用户程序执行包验证。该程序会确定是传递包还是阻止包。
preauth :请求过滤器查看预先验证的列表以确定如何处理包。
2. 操作后面的下一个单词必须是 in 或 out。您的选择将确定是将包过滤规则应用于传入包还是应用于传出包。
3. 接下来,可以从选项列表中进行选择。如果使用多个选项,则这些选项必须采用此处显示的顺序。
log :如果规则是最后一个匹配规则,则记录包。使用 ipmon 命令可查看日志。
quick :如果存在匹配的包,则执行包含 quick 选项的规则。所有进一步的规则检查都将停止。
on interface-name :仅当包移入或移出指定接口时才应用规则。
dup-to interface-name:复制包并将 interface-name 上的副本向外发送到选择指定的 IP 地址。
to interface-name :将包移动到 interface-name 上的外发队列。#p#副标题#e#
4. 指定选项后,可以从确定包是否与规则匹配的各关键字中进行选择。必须按此处显示的顺序使用以下关键字。
tos :基于表示为十六进制或十进制整数的服务类型值,对包进行过滤。
ttl :基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。
proto :与特定协议匹配。可以使用在 /etc/protocols 文件中指定的任何协议名称,或者使用十进制数来表示协议。关键字 tcp/udp 可以用于与 TCP 包或 UDP 包匹配。
from/to/all/any :与以下任一项或所有项匹配:源 IP 地址、目标 IP 地址和端口号。all 关键字用于接受来自所有源和发往所有目标的包。
with :与和包关联的指定属性匹配。在关键字前面插入 not 或 no 一词,以便仅当选项不存在时才与包匹配。
flags :供 TCP 用来基于已设置的 TCP 标志进行过滤。
icmp-type :根据 ICMP 类型进行过滤。仅当 proto 选项设置为 icmp 时才使用此关键字;如果使用 flags 选项,则不使用此关键字。
keep keep-options :确定为包保留的信息。可用的 keep-options 包括 state 选项和 frags 选项。state 选项会保留有关会话的信息,并可以保留在 TCP、UDP 和 ICMP 包中。frags 选项可保留有关包片段的信息,并将该信息应用于后续片段。keep-options 允许匹配包通过,而不会查询访问控制列表。
head number :为过滤规则创建一个新组,该组由数字 number 表示。
group number :将规则添加到编号为 number 的组而不是缺省组。如果未指定其他组,则将所有过滤规则放置在组 0 中。
四、开始编写规则
1.查看IPFilter包过滤
防火墙运行情况
Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理,这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是,缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有两个服务ipfilter 和pfil,默认情况下ipfilter 是关闭的,而pfil 是打开的。
# svcs -a |grep network |egrep "pfil|ipf"
disabled 7:17:43 svc:/network/ipfilter:default
online 7:17:46 svc:/network/pfil:default
2.查看网卡接口
lo0: flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843 mtu 1500 index 2
inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255
可以看到网卡接口是pcn0。
3.修改/etc/ipf/pfil.ap 文件
此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下,这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。
4. 编辑防火墙规则
使服务器对ping没有反应 ,防止你的服务器对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行:
block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0
说明:IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp),启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候,可以使用icmp-type关键字来指定ICMP协议的类型。
所以把icmp-type设置为 0即可。
5. 启动服务
使用命令:svcadm enable svc:/network/ipfilter:default
6.使 pfil.ap配置文件生效
autopush -f /etc/ipf/pfil.ap
说明:此步骤只需要做一次,以后更改防火墙规则就不需要再做。
7.重新引导计算机,使用命令:“init 6”。
8.使用命令再次查看IPFilter包过滤防火墙运行情况 。
四、IPFilter包过滤防火墙规则编写方法
在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略,该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后,最好是编写一条规则:首先拒绝全部数据包,然后编写另外的规则:允许使用的端口。你还必须设置两个方向启用允许的服务。例如.用户同时接收和发送电子邮件通常是必要的,于是你需要对sendmail(端口25)包括一条入站和出站规则。
1、方法1
要阻止从 IP 地址 192.168.1.0/16 传入的流量,需要在规则列表中包括以下规则:
block in quick from 192.168.1.0/16 to any
下面的例子阻止来自b类网络148.126.0.0的任何数据包:
block in quick from 148.126.0.0/16 to any#p#副标题#e#
2、方法2
通俗来说就是:禁止是block ,通过是pass ,进入流量是in,出去流量是out 。然后配合起来使用就行了,再加上可以指定在哪个网卡上使用,也就是再加个on pcn0,另外还有一个关键字就是all,这是匹配(禁止或者通过)所有的包。基于IP地址和防火墙接口的基本过滤方式:
block in quick on hme0 from 192.168.0.14 to any
block in quick on hme0 from 132.16.0.0/16 to any
pass in all
应用此规则将阻止通过hme0口来自于192.168.0.14和132.16.0.0网段的所有包的进入,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
3、方法3:基于IP地址和防火墙接口的完全双向过滤方式:
block out quick on hme0 from any to 192.168.0.0/24
block out quick on hme0 from any to 172.16.0.0/16
block in quick on hme0 from 192.168.0.0/24 to any
block in quick on hme0 from 172.16.0.0/16 to any
pass in all
应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
4、方法4
使用“port”关键字对TCP和UDP的端口进行过滤:
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23
pass in all
应用此规则后将阻止从192.168.0.0网段通过8080和23端口对防火墙内的数据通信,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
5、方法5
quick关键字使用提示:假如你的防火墙有100条规则,最有用的可能只有前10条,那么quick是非常有必要的。
pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet
block in log all from any to any
假如你希望禁止服务器的所有包而只希望一个IP只能够telnet的话,那么就可以加上quick关键字,quick的作用是当包符合这条规则以后,就不再向下进行遍历了。如果没有quick的情况下,每一个包都要遍历整个规则表,这样的开销是十分大的,但是如果滥用quick也是不明智的,因为它毕竟不会产生日志。
6、管理 Solaris IP 过滤器的 NAT 规则
查看活动的 NAT 规则。
# ipnat -l
删除当前的 NAT 规则。
# ipnat -C
将规则附加到 NAT 规则
在命令行上使用 ipnat -f - 命令,将规则附加到 NAT 规则集。
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
五、关闭 Solaris IP 过滤防火墙的方法
有些情况可能希望取消激活或禁用包过滤,例如要进行测试另外在认为系统问题是由 Solaris IP 过滤器所导致时,对这些问题进行疑难解答。首先成为管理员权限,
禁用包过滤,并允许所有包传入网络的命令:
# ipf –D
取消激活 Solaris IP 过滤器规则方法:
从内核中删除活动规则集。
# ipf -Fa
此命令取消激活所有的包过滤规则。
删除传入包的过滤规则。
# ipf -Fi
此命令取消激活传入包的包过滤规则。
删除传出包的过滤规则。
# ipf -Fo
此命令取消激活传出包的包过滤规则。#p#副标题#e#
六、Solaris IP 过滤防火墙的监控和管理
1.查看包过滤规则集
启用 Solaris IP 过滤器后,活动和非活动的包过滤规则集都可以驻留在内核中。活动规则集确定正在对传入包和传出包执行的过滤。非活动规则集也存储规则,但不会使用这些规则,除非使非活动规则集成为活动规则集。可以管理、查看和修改活动和非活动的包过滤规则集。查看装入到内核中的活动包过滤规则集,使用命令:ipfstat –io 。
如果希望查看非活动的包过滤规则集。可以同使用命令:
# ipfstat -I –io
2. 激活不同的包过滤规则集
以下示例显示如何将一个包过滤规则集替换为另一个包过滤规则集。
# ipf -Fa -f filename
活动规则集将从内核中删除。filename 文件中的规则将成为活动规则集。
3. 将规则附加到活动的包过滤规则集
以下示例显示如何从命令行将规则添加到活动的包过滤规则集。
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
4、监控整个IP管理器防火墙查看状态表
另外可以使用命令:“ipfstat -s” 查看 Solaris IP 过滤器的状态统计,使用命令:“ipnat -s” 查看 Solaris IP 过滤器的NAT状态统计。使用 ippool -s 命令查看地址池统计。
七、查看 Solaris IPFilter包过滤防火墙的日志文件
使用命令如下:
ipmon –o -a [S|N|I] filename
参数说明:
S :显示状态日志文件。
N:显示 NAT 日志文件。
I:显示常规 IP 日志文件。
-a:显示所有的状态日志文件、NAT 日志文件和常规日志文件。
清除包日志文件使用命令:
# ipmon -F
八、使用fwbuilder管理防火墙
事实上,如果读者们不是很熟悉Solaris中IPFilter命令的使用方式,在这里介绍一个不错的图形管理程序,就是fwbuilder (http://www.fwbuilder.org/),可以从http://www.fwbuilder.org/nightly_builds/取得读者们所需要的版本或是原始码。Fwbuilder 是一个相当有弹性的防火墙图形接口,它不仅可以产生IPFilter 的规则,也可以产生 Cisco 的 FWSM (FireWall Service Module ,用于 Cisco 高阶第三层交换机 6500 及 7600 系列 ) 及 PIX 的规则,更有趣的是,每次我们改变某台机器的设定后,它会使用 RCS 来做版本控管,相当实用。fwbuilder所支援的防火牆有:FWSM、ipfilter、ipfw、iptables、PF、PIX。
1、安装qt库
Qt 是一个跨平台的 C++ 图形用户界面库,由挪威 TrollTech 公司出品,目前包括Qt, 基于 Framebuffer 的 Qt Embedded,快速开发工具 Qt Designer,国际化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系统,当然也包括 Solaris,还支持 WinNT/Win2k/2003 平台。
#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz
# pkgadd -d qt-3.3.4-sol10-intel-local.pkg
2、安装openssl
#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz
#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg
3、安装snmp
简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月,RFC 1157定义了SNMP(simple network management protocol)的第一个版本SNMPv1。RFC 1157和另一个关于管理信息的文件RFC 1155一起,提供了一种监控和管理计算机网络的系统方法。因此,SNMP得到了广泛应用,并成为网络管理的事实上的标准。大多数网络管理系统和平台都是基于SNMP的。
#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz
#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg
4、安装gtk+
GTK+ 是一种图形用户界面(GUI)工具包。也就是说,它是一个库(或者,实际上是若干个密切相关的库的集合),它支持创建基于 GUI 的应用程序。可以把 GTK+ 想像成一个工具包,从这个工具包中可以找到用来创建 GUI 的许多已经准备好的构造块。最初,GTK+ 是作为另一个著名的开放源码项目 —— GNU Image Manipulation Program (GIMP) —— 的副产品而创建的。在开发早期的 GIMP 版本时,Peter Mattis 和 Spencer Kimball 创建了 GTK(它代表 GIMP Toolkit),作为 Motif 工具包的替代,后者在那个时候不是免费的。(当这个工具包获得了面向对象特性和可扩展性之后,才在名称后面加上了一个加号。)这差不多已经 10 年过去了。今天,在 GTK+ 的最新版本 —— 2.8 版上,仍然在进行许多活动,同时,GIMP 无疑仍然是使用 GTK+ 的最著名的程序之一,不过现在它已经不是惟一的使用 GTK+ 的程序了。已经为 GTK+ 编写了成百上千的应用程序,而且至少有两个主要的桌面环境(Xfce 和 GNOME)用 GTK+ 为用户提供完整的工作环境。
#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz
#pkgadd -d gtk+-1.2.10-sol10-intel-local.pkg
5、安装fwbuilder
如果以上的库已经安装,就可以执行下面的命令来安装:
#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2
#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz
#pkgadd -d libfwbuilder-2.0.10-sol10-x86-local.pkg
#pkgadd -d fwbuilder-2.0.10_build-657-i386.pkg
另外也可以使用在线安装方式部署fwbuilder,命令如下:
#/opt/csw/bin/pkg-get -i fwbuilder。
6、使用fwbuilder
为了使用方便在桌面建立一个启动器,单击鼠标右键选择创建启动器。如图6 。在命令栏目输入:/opt/csw/bin/fwbuilder即可。
桌面背景启动器可以启动应用程序,也可以链接到某个特定的文件、文件夹、FTP 站点或 URI 位置。要在桌面背景上添加启动器,请执行以下步骤:右击桌面背景,然后选择“创建启动器”。在“创建启动器”对话框中键入要求的信息。为该启动器输入的命令就是在使用桌面背景对象时执行的命令。 通过任何菜单当您在任何菜单中右击启动器时,即可打开启动器的弹出菜单。您可以使用该弹出菜单向面板添加该启动器。也可以将菜单、启动器和面板应用程序从菜单拖动到面板中。通过文件管理器每个启动器都对应一个 .desktop 文件。您可以将 .desktop 文件拖动到面板上,从而将该启动器添加到面板上。
总结:尽管IPFilter技术十分容易了解,并且对于在网络传输上设置具体的限制特别有用, —般而言,配置IPFilter防火墙存在一些缺点,因为防火墙配置涉及编写规则,常用规则语言的话法通常对于初学者(特别是Windows 初学者)难于理解,这样数据包过滤可能难于正确配置。虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤防火墙,而是将它和其他设备(如堡垒主机等)联合使用。
浏览量:2
下载量:0
时间:
在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?
Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,小编将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。
完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。
接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的firewall已经自动出现在列表中了。如果没有出现可以手工添加
到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。
利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手。
浏览量:2
下载量:0
时间:
现如今,人们的生活和工作都离不开电脑,而电脑的操作离不开操作系统,在这里,读文网小编就向大家介绍Windows 2003的Web服务器怎么配置。
Windows Server 2003 中Internet 信息服务(IIS) 升级为IIS 6.0,其安全性更高。默认情况下,Windows Server 2003没有安装IIS 6.0,要通过控制面板来安装。具体做法为:
1. 进入“控制面板”。
2. 双击“添加或删除程序”。
3. 单击“添加/删除 Windows 组件”。
4. 在“组件”列表框中,双击“应用程序服务器”。
5. 双击“Internet 信息服务(IIS)”。
6. 从中选择“万维网服务”及“文件传输协议(FTP)服务”。
7. 双击“万维网服务”,从中选择“Active Server Pages” 及“万维网服务”等。
安装好IIS后,接着设置Web服务器,具体做法为:
1. 在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。
2. 在“Internet 信息服务(IIS)管理器”中双击“本地计算机”。
3. 右击“网站”,在dan出菜单中选择“新建→网站”,打开“网站创建向导”。
4. 依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。最后,为了便于访问还应设置默认文档(Index.asp、Index.htm)。
上述设置和Windows 2000 Server网站设置基本相同,但此时Web服务还仅适用于静态内容,即静态页面能正常浏览,常用Active Server Pages(ASP)功能没有被启用。所以还应在“Internet 信息服务(IIS)管理器”的“ Web 服务扩展”中选择允许“Active Server Pages”。
另外,还应注意如果Web服务主目录所在分区是NTFS格式,而ASP网页有写入操作时(如用到新闻后台管理功能的),要注意设置写入及修改权限。
浏览量:2
下载量:0
时间:
安装完Windows Server 2008后怎么配置??读文网小编为大家分享Windows Server 2008 安装后简单配置的方法。接下来大家跟着读文网小编一起去了解下吧!
1、如何安装Windows Server 2008 ?
可以采取两种方式:一是硬盘安装,二是光盘安装。无论采取哪种方式,都建议遵循从低版本到高版本的安装顺序,即:Windows XP——Windows VISTA——Windows Server 2008 。否则会相当麻烦的。
2、安装到最后一步提示输入密码,我怎么输了N次都过不去呢?
输入错误。Windows Server 2008要求采取比较复杂的密码方式,如果简单输入12345678或者abcdefgh,那是绝对不行的。正确输入应当是:8位以上包括英文大小写字母的密码,比如:Windows2008,绝对一次顺利通过。
3、我用网上的序列号怎么就是激不活啊?
我分析,微软前一阵放出来的密钥有限,而每个密钥的激活次数又有上限,目前网上的序列号(密钥)都已被大批捷足先登者使用,达到了最大激活次数的限制,因 此也就不被微软承认激不活了。不过,微软这次对Windows Server 2008 的试用期限大大放宽了(60天),等激活最后期限快到时,在管理员下,运行 slmgr.vbs -rearm 命令重置激活期限[可重置三次],即可继续使用到240天。其实,等不到最后的期限的到来,完美破解就会应运而生了。
4、如何关闭UAC?
控制面板→用户帐户→打开或关闭用户账户控制→取消使用用户账户控制(UAC)帮助保护您的计算机。
5、如何取消开机按 CTRL+ALT+DEL登陆?
控制面板→管理工具→本地安全策略→本地策略→安全选项→交互式登陆:无须按CTRL+ALT+DEL→启用。
6、如何取消关机时出现的关机理由选择项?
开始→运行gpedit.msc →计算机配置→管理模板→系统→显示“关闭事件跟踪程序”→禁用。另外,“密码长度最小值”设置为0。这样你就可以创建空密码的用户帐户了 。
7、如何启用简单密码登陆?
开始→运行gpedit.msc →计算机配置→ Windows设置 → 安全设置 → 密码策略 “ 密码必须符合复杂性要求 ”→禁用。
8、如何实现自动登陆?
开始→运行→输入“rundll32 netplwiz.dll,UsersRunDll”命令打开帐户窗口,先选中要自动登陆的账户,去选“要使用本机,用户必须输入用户名密码”复选框,输入该帐户的 密码即可(前提是要关闭UAC)。
9、如何取消每次开机的默认共享?
将下列内容导入注册表,重启即可(前提是要关闭UAC)。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverParameters]
"AutoShareServer"=dword:00000000
10、如何取消IE增强的安全配置?
服务器管理器→安全信息→配置IE ESC→弹出窗口中管理员和用户都选择禁用。
11、如何启用Vista主题?
1)服务器管理器→功能摘要→添加功能→选择安装“桌面体验”。
2)开始→管理工具→服务里面→Themes,双击启动类型设置为“自动”。
3)桌面右键→个性化→主题→选择相应的Vista主题。
12、如何启用摄像机,摄像头或者扫描仪等设备?
启动Windows Image Acquisition (WIA) 服务,并设置启动类型为自动。
13、如何打开显卡的硬件加速?
桌面右键→个性化→显示设置→高级设置→疑难解答→更该设置→硬件加速→完全。然后运行dxdiag,打开显示选项卡,会发现DirectX功能已经全部启用了。
14、开启ICF后局域网内机器如何实现互访?
控制面板→Windows防火墙→取消阻止所有传入连接,并在“例外”中选中“文件和打印机共享”。
15、为何无法实现局域网互访?
从以下几个方面入手:
本地连接→右键属性→取消Internet协议版本6,缩短验证时间。
检查各机器所属工作组名称是否一致。
检查机器IP是否在同一网段,如192.168.1.X。
将网络和共享中心→网络连接→自定义→位置类型设置为专用,降低保护。
将网络和共享中心→共享和发现→网络发现启用,文件共享启用,密码保护的共享关闭。
16、如何设置IE浏览器代理?
打开IE工具栏的Internet选项→连接→拨号和虚拟专用网络设置中选中您的拨号连接→设置,在“设置”页面中,选中“对此连接使用代理服务器”然后在“地址”栏中填上代理 服务器地址和端口,单击“确定”。
17、桌面上“计算机”图标消失了,要如何恢复?
桌面右键→个性化→更改桌面图标(左侧)。
18、如何快速复制文件、文件夹路径?
按 Shift 键,右键(会到处很多功能) 点击需要复制路径的文件、文件夹或快捷方式等,在弹出菜单里面有一项复制为路径(A),点击后可复制该文件、文件夹路径。
19、文件反向选择的快捷键是什么?
ALT+E弹出菜单后按I。
20、如何更改桌面上的图标的大小?
Ctrl+鼠标滚轮或者桌面右键→查看→经典图标。
21、如何察看系统许可信息?
运行slmgr.vbs -dlv。
22、某些应用程序无法运行,该如何处理?
尝试更改数据执行保护设置,控制面板→系统→高级系统设置→高级→性能→设置→数据执行保护→为除下列选定程序之外的所有程序和服务启用DEP,添加该应用程序。
23、如何更改用户文档默认存放位置?
开始菜单→文档→右键属性→位置选项卡,更改为自定义的路径。
24、如何关闭休眠功能?
桌面右键→个性化→屏幕保护程序→更改电源设置→更改计算机的睡眠时间→使计算机进入睡眠状态设为从不。
25、如何彻底删除休眠文件?
系统盘右键→属性→常规→磁盘清理→选中休眠文件清理器→确定。
26、开始菜单电源按钮默认设定为“关机”,如何更改为“休眠”?
控制面版→电源选项→选中的“首选计划”→更改计划设置→更改高级电源设置,在弹出的设置窗口中找到“电源按钮和盖子”→“开始”菜单电源按钮→设置→休眠,确定即可。
27、如何使用3D方式切换程序?
在开启Aero外观的情况下,使用Win(视窗键)+Tab可以使用3D方式切换程序,Win(视窗键)+Ctrl+Tab可以使程序3D窗口暂时停留在桌面上。
28、如何实现退出系统时清除最近打开的文档的历史?
开始→运行gpedit.msc →用户配置→管理模板→『开始』菜单和任务栏→退出系统时清除最近打开文档的历史,设为已启用就可以了。
29、安装好声卡等驱动程序,为何声卡等硬件还是禁止状态?
启动Windows Audio服务,并设置启动类型为自动。
30、登陆时提示帐户锁定怎么办?
重新启动电脑,F8进入安全模式,打开 服务器管理器→配置工具→本地用户和组→用户 双击你的用户名 取消“帐户以禁用”前面的勾。
31、刚装完系统后载服务器管理器里面要做什么设置?
1)服务器摘要→计算机信息→更改系统属性→高级→性能→设置→视觉效果→调整为最佳外观→高级→调整以优化性能选→程序→数据执行保护→仅为基本 Windows 程序和服务启动 DEP。
2)安全信息→配置 IE ESC→管理员设为“禁用”用户设为“禁用”。
3)功能摘要→功能→添加功能→选择 “.NET Framework 3.0”、“优质 Windows 音频视频体验”、“桌面体验”、“组策略管理”、有无线的还要选“无线 LAN 服务”。(安装是弹出对话框的选择默认就可以了)另外里面的其他功能可以参照说明根据自己需要添加。
电脑配置好就可以上网了哦。
浏览量:2
下载量:0
时间:
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。下面是读文网小编带来如何配置硬件防火墙的内容,欢迎阅读!
1、 打开ChinaDDOS DIY硬防的内核下载一个适合的版本,这里我下载的是V3.1BETA01的最新版本。
2、 将下载的RAR文件解压缩,得到ISO光盘镜像文件。
3、 将镜像文件刻录至光盘。
安装防火墙内核
将内核安装光盘准备好后,确认硬盘或电子盘连接到了IDE1的MASTER位置后,在防火墙平台上连接好光驱,接通防火墙平台电源,把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。
1、 屏幕显示如下图,等待内核安装光盘引导一会后(屏幕上快速闪过整屏的英文),将停留在下图的位置:
2、 按回车键继续安装, 屏幕显示如左图,出现三个选择项目:
① 安装防火墙内核,
② 开始一个命令行,
③ 重新启动系统。
3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc后回车。
4、 屏幕出现绿色done字样,表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这里如果系统没有自动识别到硬盘或电子盘,请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。
5、 键入had后,屏幕提示"正在将防火墙内核从hdc安装到had……",这里需要等待2分钟左右。安装工作正在进行。
6、 直到屏幕上出现"Install completed!"字样,表示安装已结束。这时按回车键返回。
7、 重新回到选择菜单后,选择3重新启动防火墙平台,记得将光盘从光驱中取出。这样,防火墙的安装就完成了。
浏览量:3
下载量:0
时间:
虚拟服务器功能可以实现将内网的服务器映射到Internet,从而实现服务器对外开放,那么你知道路由器tplink847n怎么配置虚拟服务器吗?下面是读文网小编整理的关于路由器tplink847n配置虚拟服务器的相关资料,欢迎参考。
某小型企业需要将邮件和网页服务器对外网开放。通过虚拟服务器功能实现该需求。用户网络参数如下:
注意:以上参数仅供本文指导参考,请以实际为准。
设置虚拟服务器之前,需要确认以下几点:
1、开始设置
登录路由器管理界面,进入 转发规则 >> 虚拟服务器,并点击 添加新条目。
2、添加邮件服务器规则
填写邮件服务器的服务端口号、服务器IP地址,然后点击 保存。
发送邮件(SMTP:25号端口):
服务端口号:服务端口号为对外开放端口,即Internet访问服务器使用的端口。该端口必须与服务器实际端口一致。
接收邮件(POP3:110号端口):
3、添加网页服务器规则
4、确认规则启用
进入 转发规则 >> 虚拟服务器,如图所示表示创建成功。
至此,虚拟服务器规则设置完成。
根据以上设置,Internet中的客户端通过邮件客户端软件访问121.202.33.100(WAN口IP地址),即可访问到邮件服务器。通过浏览器访问网页服务器,访问形式如下:
注意:具体的访问形式以实际服务器要求为准。
如果您的宽带并非静态IP地址,可以在 动态DNS 中申请域名账号并在路由器中登录该账号,登录后使用您的域名和开放的端口号访问服务器。
路由器tplink配置虚拟服务器的相关
浏览量:0
下载量:0
时间:
使用路由器后,Internet用户无法访问到局域网内的主机,因此不能访问内网搭建的Web、FTP、Mail等服务器。那么你知道tplink路由器wdr5300怎么配置虚拟服务器吗?下面是读文网小编整理的一些关于tplink路由器wdr5300配置虚拟服务器的相关资料,供你参考。
某小型企业需要将邮件和网页服务器对外网开放。通过虚拟服务器功能实现该需求。用户网络参数如下:
对外开放端口:Internet用户访问服务器使用的端口。
注意:以上参数仅供本文指导参考,请以实际为准。
设置虚拟服务器之前,需要确认以下几点:
1、开始设置
登录路由器管理界面,进入 转发规则 >> 虚拟服务器,并点击 添加新条目。
2、添加邮件服务器规则
填写邮件服务器的服务端口号(外开放端口)、内部端口号(服务器实际端口)、服务器IP地址,然后点击 保存。
发送邮件(SMTP:25号端口):
接收邮件(POP3:110号端口):
服务端口号:服务端口号为对外开放端口,即Internet访问服务器使用的端口。
3、添加网页服务器规则
注意:服务端口号可以根据需要自行设置(如需更改,建议设置为9000以上)。无特殊需求,请将服务端口号与内部端口号一致。
4、确认规则启用
进入 转发规则 >> 虚拟服务器,如图所示表示创建成功。
至此,虚拟服务器规则设置完成。
根据以上设置,Internet中的客户端通过邮件客户端软件访问121.202.33.100(WAN口IP地址),即可访问到邮件服务器。通过浏览器访问网页服务器,访问形式如下:
注意:具体的访问形式以实际服务器要求为准。
如果您的宽带并非静态IP地址,可以在 动态DNS 中申请域名账号并在路由器中登录该账号,登录后使用您的域名和开放的端口号访问服务器。
tplink路由器配置虚拟服务器的相关
浏览量:0
下载量:0
时间:
Windows自动更新默认开启,导致有时开机出现配置Windows请勿关机的提示,那么win7出现配置Windows更新失败提示怎么办呢?读文网小编分享了解决win7出现配置Windows更新失败提示的方法,希望对大家有所帮助。
1.首先,咱们单击开始菜单,然后选择其中的运行选项,或者说大家直接操作快捷键win+r也可以打开运行窗口。
2.在运行窗口中,咱们输入代码msconfig并单击回车,或者是点击运行窗口中的确定按钮。
3.之后就可以打开电脑的系统配置窗口了,咱们在打开的窗口中将界面切换到服务这一栏中,然后将最下方的“隐藏所有Microsoft服务”选项勾选上,然后点击右侧的全部禁用按钮。
4.完成之后咱们需要重启一下计算机,之后咱们通过msconfig代码再次进入系统配置窗口,之后咱们点击窗口中的全部启用,最后点击下方的确定按钮即可。
浏览量:2
下载量:0
时间:
由于一些电脑要访问win10操作系统后,就会提示无法访该网络,这是怎么回事,有可能是防火墙的作用,下面跟着读文网小编来一起了解下Windows10怎么关闭防火墙的方法吧。
第一步:鼠标右键点击桌面上的此电脑,选择属性。
第二步:弹出属性界面后选择控制面板。
第三步:进入控制面板后选择系统和安全,然后选择防火墙选项。
第四步:进入防火墙设置界面后点击左侧栏目的 启用或关闭Windows防火墙,将启用Windows防火墙选择成关闭Windows防火墙确定即可。
浏览量:2
下载量:0
时间: