① 如何啟用iptables 防火牆
安裝iptables 包,使用下面的命令:
$sudo yum install iptables-services
設置iptables 防火牆服務開機自動啟動,輸入下面的命令:
$sudo systemctl enable iptables
如果你想使用/etc/init.d/iptables save 命令來保存已經更改的防火牆策略,那麼需要輸入下面的命令,將iptables.init 腳本用剛才安裝iptables 啟動腳本覆蓋,輸入下面的命令
$sudo /usr/libexec/iptables/iptables.init /etc/init.d/iptables
這個時候你就可以使用 /etc/init.d/iptables save 命令了
$sudo /etc/init.d/iptables save
② 什麼是防火牆腳本
腳本及程序,一. 防火牆的概念
近年來,隨著普通計算機用戶群的日益增長,「防火牆」一詞已經不再是伺服器領域的專署,大部分家庭用戶都知道為自己愛機安裝各種「防火牆」軟體了。但是,並不是所有用戶都對「防火牆」有所了解的,一部分用戶甚至認為,「防火牆」是一種軟體的名稱……
到底什麼才是防火牆?它工作在什麼位置,起著什麼作用?查閱歷史書籍可知,古代構築和使用木製結構房屋的時候為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱為「防火牆」(FireWall)。時光飛梭,隨著計算機和網路的發展,各種攻擊入侵手段也相繼出現了,為了保護計算機的安全,人們開發出一種能阻止計算機之間直接通信的技術,並沿用了古代類似這個功能的名字——「防火牆」技術來源於此。用專業術語來說,防火牆是一種位於兩個或多個網路間,實施網路之間訪問控制的組件集合。對於普通用戶來說,所謂「防火牆」,指的就是一種被放置在自己的計算機與外界網路之間的防禦系統,從網路發往計算機的所有數據都要經過它的判斷處理後,才會決定能不能把這些數據交給計算機,一旦發現有害數據,防火牆就會攔截下來,實現了對計算機的保護功能。
防火牆技術從誕生開始,就在一刻不停的發展著,各種不同結構不同功能的防火牆,構築成網路上的一道道防禦大堤。
二. 防火牆的分類
世界上沒有一種事物是唯一的,防火牆也一樣,為了更有效率的對付網路上各種不同攻擊手段,防火牆也派分出幾種防禦架構。根據物理特性,防火牆分為兩大類,硬體防火牆和軟體防火牆。軟體防火牆是一種安裝在負責內外網路轉換的網關伺服器或者獨立的個人計算機上的特殊程序,它是以邏輯形式存在的,防火牆程序跟隨系統啟動,通過運行在Ring0級別的特殊驅動模塊把防禦機制插入系統關於網路的處理部分和網路介面設備驅動之間,形成一種邏輯上的防禦體系。
在沒有軟體防火牆之前,系統和網路介面設備之間的通道是直接的,網路介面設備通過網路驅動程序介面(Network Driver Interface Specification,NDIS)把網路上傳來的各種報文都忠實的交給系統處理,例如一台計算機接收到請求列出機器上所有共享資源的數據報文,NDIS直接把這個報文提交給系統,系統在處理後就會返回相應數據,在某些情況下就會造成信息泄漏。而使用軟體防火牆後,盡管NDIS接收到仍然的是原封不動的數據報文,但是在提交到系統的通道上多了一層防禦機制,所有數據報文都要經過這層機制根據一定的規則判斷處理,只有它認為安全的數據才能到達系統,其他數據則被丟棄。因為有規則提到「列出共享資源的行為是危險的」,因此在防火牆的判斷下,這個報文會被丟棄,這樣一來,系統接收不到報文,則認為什麼事情也沒發生過,也就不會把信息泄漏出去了。
軟體防火牆工作於系統介面與NDIS之間,用於檢查過濾由NDIS發送過來的數據,在無需改動硬體的前提下便能實現一定強度的安全保障,但是由於軟體防火牆自身屬於運行於系統上的程序,不可避免的需要佔用一部分CPU資源維持工作,而且由於數據判斷處理需要一定的時間,在一些數據流量大的網路里,軟體防火牆會使整個系統工作效率和數據吞吐速度下降,甚至有些軟體防火牆會存在漏洞,導致有害數據可以繞過它的防禦體系,給數據安全帶來損失,因此,許多企業並不會考慮用軟體防火牆方案作為公司網路的防禦措施,而是使用看得見摸得著的硬體防火牆。
硬體防火牆是一種以物理形式存在的專用設備,通常架設於兩個網路的駁接處,直接從網路設備上檢查過濾有害的數據報文,位於防火牆設備後端的網路或者伺服器接收到的是經過防火牆處理的相對安全的數據,不必另外分出CPU資源去進行基於軟體架構的NDIS數據檢測,可以大大提高工作效率。
硬體防火牆一般是通過網線連接於外部網路介面與內部伺服器或企業網路之間的設備,這里又另外派分出兩種結構,一種是普通硬體級別防火牆,它擁有標准計算機的硬體平台和一些功能經過簡化處理的UNIX系列操作系統和防火牆軟體,這種防火牆措施相當於專門拿出一台計算機安裝了軟體防火牆,除了不需要處理其他事務以外,它畢竟還是一般的操作系統,因此有可能會存在漏洞和不穩定因素,安全性並不能做到最好;另一種是所謂的「晶元」級硬體防火牆,它採用專門設計的硬體平台,在上面搭建的軟體也是專門開發的,並非流行的操作系統,因而可以達到較好的安全性能保障。但無論是哪種硬體防火牆,管理員都可以通過計算機連接上去設置工作參數。由於硬體防火牆的主要作用是把傳入的數據報文進行過濾處理後轉發到位於防火牆後面的網路中,因此它自身的硬體規格也是分檔次的,盡管硬體防火牆已經足以實現比較高的信息處理效率,但是在一些對數據吞吐量要求很高的網路里,檔次低的防火牆仍然會形成瓶頸,所以對於一些大企業而言,晶元級的硬體防火牆才是他們的首選。
有人也許會這么想,既然PC架構的防火牆也不過如此,那麼購買這種防火牆還不如自己找技術人員專門騰出一台計算機來做防火牆方案了。雖然這樣做也是可以的,但是工作效率並不能和真正的PC架構防火牆相比,因為PC架構防火牆採用的是專門修改簡化過的系統和相應防火牆程序,比一般計算機系統和軟體防火牆更高度緊密集合,而且由於它的工作性質決定了它要具備非常高的穩定性、實用性和非常高的系統吞吐性能,這些要求並不是安裝了多網卡的計算機就能簡單替代的,因此PC架構防火牆雖然是與計算機差不多的配置,價格卻相差很大。
現實中我們往往會發現,並非所有企業都架設了晶元級硬體防火牆,而是用PC架構防火牆甚至前面提到的計算機替代方案支撐著,為什麼?這大概就是硬體防火牆最顯著的缺點了:它太貴了!購進一台PC架構防火牆的成本至少都要幾千元,高檔次的晶元級防火牆方案更是在十萬元以上,這些價格並非是小企業所能承受的,而且對於一般家庭用戶而言,自己的數據和系統安全也無需專門用到一個硬體設備去保護,何況為一台防火牆投入的資金足以讓用戶購買更高檔的電腦了,因而廣大用戶只要安裝一種好用的軟體防火牆就夠了。
為防火牆分類的方法很多,除了從形式上把它分為軟體防火牆和硬體防火牆以外,還可以從技術上分為「包過濾型」、「應用代理型」和「狀態監視」三類;從結構上又分為單一主機防火牆、路由集成式防火牆和分布式防火牆三種;按工作位置分為邊界防火牆、個人防火牆和混合防火牆;按防火牆性能分為百兆級防火牆和千兆級防火牆兩類……雖然看似種類繁多,但這只是因為業界分類方法不同罷了,例如一台硬體防火牆就可能由於結構、數據吞吐量和工作位置而規劃為「百兆級狀態監視型邊界防火牆」,因此這里主要介紹的是技術方面的分類,即「包過濾型」、「應用代理型」和「狀態監視型」防火牆技術。
那麼,那些所謂的「邊界防火牆」、「單一主機防火牆」又是什麼概念呢?所謂「邊界」,就是指兩個網路之間的介面處,工作於此的防火牆就被稱為「邊界防火牆」;與之相對的有「個人防火牆」,它們通常是基於軟體的防火牆,只處理一台計算機的數據而不是整個網路的數據,現在一般家庭用戶使用的軟體防火牆就是這個分類了。而「單一主機防火牆」呢,就是我們最常見的一台台硬體防火牆了;一些廠商為了節約成本,直接把防火牆功能嵌進路由設備里,就形成了路由集成式防火牆……
三. 防火牆技術
傳統意義上的防火牆技術分為三大類,「包過濾」(Packet Filtering)、「應用代理」(Application Proxy)和「狀態監視」(Stateful Inspection),無論一個防火牆的實現過程多麼復雜,歸根結底都是在這三種技術的基礎上進行功能擴展的。
1.包過濾技術
包過濾是最早使用的一種防火牆技術,它的第一代模型是「靜態包過濾」(Static Packet Filtering),使用包過濾技術的防火牆通常工作在OSI模型中的網路層(Network Layer)上,後來發展更新的「動態包過濾」(Dynamic Packet Filtering)增加了傳輸層(Transport Layer),簡而言之,包過濾技術工作的地方就是各種基於TCP/IP協議的數據報文進出的通道,它把這兩層作為數據監控的對象,對每個數據包的頭部、協議、地址、埠、類型等信息進行分析,並與預先設定好的防火牆過濾規則(Filtering Rule)進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為「阻止」的時候,這個包就會被丟棄。適當的設置過濾規則可以讓防火牆工作得更安全有效,但是這種技術只能根據預設的過濾規則進行判斷,一旦出現一個沒有在設計人員意料之中的有害數據包請求,整個防火牆的保護就相當於擺設了。也許你會想,讓用戶自行添加不行嗎?但是別忘了,我們要為是普通計算機用戶考慮,並不是所有人都了解網路協議的,如果防火牆工具出現了過濾遺漏問題,他們只能等著被入侵了。一些公司採用定期從網路升級過濾規則的方法,這個創意固然可以方便一部分家庭用戶,但是對相對比較專業的用戶而言,卻不見得就是好事,因為他們可能會有根據自己的機器環境設定和改動的規則,如果這個規則剛好和升級到的規則發生沖突,用戶就該郁悶了,而且如果兩條規則沖突了,防火牆該聽誰的,會不會當場「死給你看」(崩潰)?也許就因為考慮到這些因素,至今我沒見過有多少個產品會提供過濾規則更新功能的,這並不能和殺毒軟體的病毒特徵庫升級原理相提並論。為了解決這種魚與熊掌的問題,人們對包過濾技術進行了改進,這種改進後的技術稱為「動態包過濾」(市場上存在一種「基於狀態的包過濾防火牆」技術,即Stateful-based Packet Filtering,他們其實是同一類型),與它的前輩相比,動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上,會對已經成功與計算機連接的報文傳輸進行跟蹤,並且判斷該連接發送的數據包是否會對系統構成威脅,一旦觸發其判斷機制,防火牆就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改,從而阻止該有害數據的繼續傳輸,但是由於動態包過濾需要消耗額外的資源和時間來提取數據包內容進行判斷處理,所以與靜態包過濾相比,它會降低運行效率,但是靜態包過濾已經幾乎退出市場了,我們能選擇的,大部分也只有動態包過濾防火牆了。
基於包過濾技術的防火牆,其缺點是很顯著的:它得以進行正常工作的一切依據都在於過濾規則的實施,但是偏又不能滿足建立精細規則的要求(規則數量和防火牆性能成反比),而且它只能工作於網路層和傳輸層,並不能判斷高級協議里的數據是否有害,但是由於它廉價,容易實現,所以它依然服役在各種領域,在技術人員頻繁的設置下為我們工作著。
2.應用代理技術
由於包過濾技術無法提供完善的數據保護措施,而且一些特殊的報文攻擊僅僅使用過濾的方法並不能消除危害(如SYN攻擊、ICMP洪水等),因此人們需要一種更全面的防火牆保護技術,在這樣的需求背景下,採用「應用代理」(Application Proxy)技術的防火牆誕生了。我們的讀者還記得「代理」的概念嗎?代理伺服器作為一個為用戶保密或者突破訪問限制的數據轉發通道,在網路上應用廣泛。我們都知道,一個完整的代理設備包含一個服務端和客戶端,服務端接收來自用戶的請求,調用自身的客戶端模擬一個基於用戶請求的連接到目標伺服器,再把目標伺服器返回的數據轉發給用戶,完成一次代理工作過程。那麼,如果在一台代理設備的服務端和客戶端之間連接一個過濾措施呢?這樣的思想便造就了「應用代理」防火牆,這種防火牆實際上就是一台小型的帶有數據檢測過濾功能的透明代理伺服器(Transparent Proxy),但是它並不是單純的在一個代理設備中嵌入包過濾技術,而是一種被稱為「應用協議分析」(Application Protocol Analysis)的新技術。
「應用協議分析」技術工作在OSI模型的最高層——應用層上,在這一層里能接觸到的所有數據都是最終形式,也就是說,防火牆「看到」的數據和我們看到的是一樣的,而不是一個個帶著地址埠協議等原始內容的數據包,因而它可以實現更高級的數據檢測過程。整個代理防火牆把自身映射為一條透明線路,在用戶方面和外界線路看來,它們之間的連接並沒有任何阻礙,但是這個連接的數據收發實際上是經過了代理防火牆轉向的,當外界數據進入代理防火牆的客戶端時,「應用協議分析」模塊便根據應用層協議處理這個數據,通過預置的處理規則(沒錯,又是規則,防火牆離不開規則)查詢這個數據是否帶有危害,由於這一層面對的已經不再是組合有限的報文協議,甚至可以識別類似於「GET /sql.asp?id=1 and 1」的數據內容,所以防火牆不僅能根據數據層提供的信息判斷數據,更能像管理員分析伺服器日誌那樣「看」內容辨危害。而且由於工作在應用層,防火牆還可以實現雙向限制,在過濾外部網路有害數據的同時也監控著內部網路的信息,管理員可以配置防火牆實現一個身份驗證和連接時限的功能,進一步防止內部網路信息泄漏的隱患。最後,由於代理防火牆採取是代理機制進行工作,內外部網路之間的通信都需先經過代理伺服器審核,通過後再由代理伺服器連接,根本沒有給分隔在內外部網路兩邊的計算機直接會話的機會,可以避免入侵者使用「數據驅動」攻擊方式(一種能通過包過濾技術防火牆規則的數據報文,但是當它進入計算機處理後,卻變成能夠修改系統設置和用戶數據的惡意代碼)滲透內部網路,可以說,「應用代理」是比包過濾技術更完善的防火牆技術。
但是,似乎任何東西都不可能逃避「墨菲定律」的規則,代理型防火牆的結構特徵偏偏正是它的最大缺點,由於它是基於代理技術的,通過防火牆的每個連接都必須建立在為之創建的代理程序進程上,而代理進程自身是要消耗一定時間的,更何況代理進程里還有一套復雜的協議分析機制在同時工作,於是數據在通過代理防火牆時就不可避免的發生數據遲滯現象,換個形象的說法,每個數據連接在經過代理防火牆時都會先被請進保安室喝杯茶搜搜身再繼續趕路,而保安的工作速度並不能很快。代理防火牆是以犧牲速度為代價換取了比包過濾防火牆更高的安全性能,在網路吞吐量不是很大的情況下,也許用戶不會察覺到什麼,然而到了數據交換頻繁的時刻,代理防火牆就成了整個網路的瓶頸,而且一旦防火牆的硬體配置支撐不住高強度的數據流量而發生罷工,整個網路可能就會因此癱瘓了。所以,代理防火牆的普及范圍還遠遠不及包過濾型防火牆,而在軟體防火牆方面更是幾乎沒見過類似產品了——單機並不具備代理技術所需的條件,所以就目前整個龐大的軟體防火牆市場來說,代理防火牆很難有立足之地。
3.狀態監視技術
這是繼「包過濾」技術和「應用代理」技術後發展的防火牆技術,它是CheckPoint技術公司在基於「包過濾」原理的「動態包過濾」技術發展而來的,與之類似的有其他廠商聯合發展的「深度包檢測」(Deep Packet Inspection)技術。這種防火牆技術通過一種被稱為「狀態監視」的模塊,在不影響網路安全正常工作的前提下採用抽取相關數據的方法對網路通信的各個層次實行監測,並根據各種過濾規則作出安全決策。
「狀態監視」(Stateful Inspection)技術在保留了對每個數據包的頭部、協議、地址、埠、類型等信息進行分析的基礎上,進一步發展了「會話過濾」(Session Filtering)功能,在每個連接建立時,防火牆會為這個連接構造一個會話狀態,裡麵包含了這個連接數據包的所有信息,以後這個連接都基於這個狀態信息進行,這種檢測的高明之處是能對每個數據包的內容進行監視,一旦建立了一個會話狀態,則此後的數據傳輸都要以此會話狀態作為依據,例如一個連接的數據包源埠是8000,那麼在以後的數據傳輸過程里防火牆都會審核這個包的源埠還是不是8000,否則這個數據包就被攔截,而且會話狀態的保留是有時間限制的,在超時的范圍內如果沒有再進行數據傳輸,這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析,從而擺脫了傳統防火牆僅局限於幾個包頭部信息的檢測弱點,而且這種防火牆不必開放過多埠,進一步杜絕了可能因為開放埠過多而帶來的安全隱患。
由於狀態監視技術相當於結合了包過濾技術和應用代理技術,因此是最先進的,但是由於實現技術復雜,在實際應用中還不能做到真正的完全有效的數據安全檢測,而且在一般的計算機硬體系統上很難設計出基於此技術的完善防禦措施(市面上大部分軟體防火牆使用的其實只是包過濾技術加上一點其他新特性而已)。
四. 技術展望
防火牆作為維護網路安全的關鍵設備,在目前採用的網路安全的防範體系中,占據著舉足輕重的位置。伴隨計算機技術的發展和網路應用的普及,越來越多的企業與個體都遭遇到不同程度的安全難題,因此市場對防火牆的設備需求和技術要求都在不斷提升,而且越來越嚴峻的網路安全問題也要求防火牆技術有更快的提高,否則將會在面對新一輪入侵手法時束手無策。
多功能、高安全性的防火牆可以讓用戶網路更加無憂,但前提是要確保網路的運行效率,因此在防火牆發展過程中,必須始終將高性能放在主要位置,目前各大廠商正在朝這個方向努力,而且豐富的產品功能也是用戶選擇防火牆的依據之一,一款完善的防火牆產品,應該包含有訪問控制、網路地址轉換、代理、認證、日誌審計等基礎功能,並擁有自己特色的安全相關技術,如規則簡化方案等,明天的防火牆技術將會如何發展,讓我們拭目以待。
③ win7操作中心無法啟用防火牆怎麼回事
解決方法一:
1、按Windows徽標鍵+R,輸入services.msc,然後回車;
2、在打開的窗口中,找到Windows Firewall服務,將其從禁用修改為自動,然後按照提示重啟計算機(如果需要);
3、建議不要使用任何Ghost系統,或者精簡版系統安裝電腦。
解決方法二:
系統損壞了,可能就是系統崩潰了,無法進入系統了。只能重做系統了,拿個ghost盤,然後一鍵安裝
1、IE插件遭惡意破壞 網上有報道稱在正常關機之後,再次開機,Windows XP系統卻不能正常啟動。WindowsXP系統開機後,在啟動列表中無論是選擇正常或者安全模式啟動,均無法正常進入系統,而且機器隨後自動重啟,如此循環,使用系統修復等措施也無法啟動系統。
後經分析發現了影響系統無法啟動的文件"CnsMinKP.sys"。 CnsMinKP.sys 並不是windows提供的系統文件,而是一個第三方的驅動文件,在文件的屬性里有某互聯網公司的相關信息。驅動程序一般都是在系統的最底層工作,如果出現問題極其容易引起系統的不穩定。
提醒用戶:此次現象還並不是病毒行為,也不會傳染。如果系統出現此症狀,不用驚慌,您的系統沒有被完全損壞,請採用以下解決方案可以修復系統: 如果您的電腦存在雙系統,請登錄正常的系統,刪除%systemroot%\system32\drivers\CnsMinKP.sys文件即可;如果您的電腦不存在雙系統,請採用以下方法: 使用系統啟動光碟引導系統,並刪除系統文件夾中的以下文件 %systemroot%\system32\drivers\CnsMinKP.sys
2、IE6窗口不停地打開,直到最後死機 上網不久,IE6窗口就不停地打開,直到最後系統內存佔用過多而死機。這是由於你瀏覽網頁時,中了腳本病毒的緣故
腳本病毒的執行離不開WSH(全稱「Windows Scripting Host」),需要調用WScript.exe程序,該程序位於Windows所在的文件夾下,由於絕大多數普通用戶不會使用它,因此你可以卸載之,這樣來防止此類病毒的侵擾。 修復方法:在Windows 98中,單擊「開始/設置/控制面板」,點擊「添加/刪除程序」,選擇「Windows安裝程序」;然後雙擊其中的「附件」選項,在彈出的窗口中,不勾選「Windows Scripting Host」項,最後兩次點擊「確定」將其卸載。 在Windows XP/2000中,單擊「開始/搜索/文件或文件夾」,在系統目錄(C:\WINDOWS\system32)下,查找WScript.exe文件,將之刪除。
3、IE的主頁設置被屏蔽鎖定 惡意網頁還可以通過修改你的注冊表,鎖定IE的主頁設置項,使IE主頁設置的許多選項變灰色、按扭不可用,禁止用戶更改回來。
修復方法:單擊「開始/運行」,鍵入「regedit」打開注冊表,定位到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer分支,新建「Control Panel」主鍵,然後在此主鍵下新建一個鍵值名為「HomePage」的DWORD值,值為「00000000」 (「1」為禁用),定位到HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下,將HomePage的鍵值改為0; 接下來定位到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\ControlPanel將其下的「Settings」、「Links」、「SecAddSites」全部都改為0即可。
注意:在HKEY_CURRENT_USER\Software\Policies\Microsoft中,默認情況下只有主鍵「SystemCertificates」,一般沒有「Internet Explorer」,如果你經過以上操作後,IE仍然還有其他的設置被禁用(變灰),則可以將主鍵「Internet Explorer」刪除即可。
4、在IE工具欄中有非法添加的按鈕 惡意網頁還可以在你的IE工具欄處中,添加各種非法按鈕。 修復方法:啟動IE,選中工具欄上的非法按鈕,然後滑鼠右鍵彈出菜單,選擇「自定義」,在彈出的窗口中找到非法按鈕,點「刪除」即可。
5、IE默認的搜索引擎被篡改 在IE工具欄中有一個搜索引擎的工具按鈕,點擊之可以進行網路搜索。IE默認使用微軟的搜索引擎,如果IE的搜索引擎被惡意網站篡改,只要你點擊那個「搜索」按鈕,就會鏈接到惡意
④ Windows XP系統防火牆要怎麼設置
Windows XP系統防火牆可以直接關閉,如下圖
Windows作為操作系統來說,功能強大而廣泛,內部組件、代碼都極其龐大,但也正因為其龐大,自身安全性較低,常有安全漏洞爆出。Windows出於系統安全考慮,設計了Windows防火牆,但是世界公認windows系統防火牆功能過於微弱,經常起不到安全保護作用,而且windows防火牆更新速度遠遠跟不上當前病毒木馬發展速度。
世界范圍內最廣泛的做法是引入第三方殺毒、防火牆套裝,比如國外的卡巴斯基、諾頓;國內早期也有金山、瑞星等,現在的360安全衛士和360殺毒都屬於第三方系統安全類軟體工具。
各種第三方軟體工具,更新及時,功能強大,為操作系統提供全方位安全監控,完全替代了Windows防火牆的功能。windows自身防火牆可以被很多病毒木馬攻破,所以它可以關閉。
⑤ 如何在 Windows Server 2008 上的 SQL Server 打開的防火牆埠
請按照下列步驟操作: 1,啟動記事本。復制並將下面的代碼粘貼到記事本中: netsh advfirewall firewall add rule name="Open Port 80" dir=in action=allow protocol=TCP localport=80 @echo ========= SQL Server Ports =================== @echo Enabling SQLServer default instance port 1433 netsh advfirewall firewall add rule name="SQL Server" dir=in action=allow protocol=TCP localport=1433 @echo Enabling Dedicated Admin Connection port 1434 netsh advfirewall firewall add rule name="SQL Admin Connection" dir=in action=allow protocol=TCP localport=1434 @echo Enabling Conventional SQL Server Service Broker port 4022 netsh advfirewall firewall add rule name="SQL Service Broker" dir=in action=allow protocol=TCP localport=4022 @echo Enabling Transact SQL/RPC port 135 netsh advfirewall firewall add rule name="SQL Debugger/RPC" dir=in action=allow protocol=TCP localport=135 @echo ========= Analysis Services Ports ============== @echo Enabling SSAS Default Instance port 2383 netsh advfirewall firewall add rule name="Analysis Services" dir=in action=allow protocol=TCP localport=2383 @echo Enabling SQL Server Browser Service port 2382 netsh advfirewall firewall add rule name="SQL Browser" dir=in action=allow protocol=TCP localport=2382 @echo ========= Misc Applications ============== @echo Enabling HTTP port 80 netsh advfirewall firewall add rule name="HTTP" dir=in action=allow protocol=TCP localport=80 @echo Enabling SSL port 443 netsh advfirewall firewall add rule name="SSL" dir=in action=allow protocol=TCP localport=443 @echo Enabling port for SQL Server Browser Service's 'Browse' Button netsh advfirewall firewall add rule name="SQL Browser" dir=in action=allow protocol=UDP localport=1434 @echo Allowing multicast broadcast response on UDP (Browser Service Enumerations OK) netsh firewall set multicastbroadcastresponse ENABLE 2,將文件另存為.txt 文件,通過使用以下名稱: OpenSqlServerPort.txt 3,將 OpenSqlServerPort.txt 文件重命名為以下: OpenSqlServerPort.bat 4,在運行 OpenSqlServerPort.bat 腳本之前,必須將該腳本復制到了防火牆的計算機,然後在該計算機上運行該腳本。若要運行該腳本,請執行以下步驟: 單擊開始,單擊運行,鍵入cmd,然後單擊確定.在命令提示符下,使用cd命令移動到您將 OpenSqlServerPort.bat 文件保存在其中的文件夾。若要運行 OpenSqlServerPort.bat 腳本,請在命令提示符下鍵入OpenSqlServerPort.bat ,然後按 Enter 鍵即可。
⑥ 如何配置Windows Server 2008高級防火牆
這個Windows Server 2008中的內置防火牆現在「高級」了。這不僅僅是我說它高級,微軟現在已經將其稱為高級安全Windows防火牆(簡稱WFAS)。
以下是可以證明它這個新名字的新功能:
1、新的圖形化界面。
現在通過一個管理控制台單元來配置這個高級防火牆。
2、雙向保護。
對出站、入站通信進行過濾。
3、與IPSEC更好的配合。
具有高級安全性的Windows防火牆將Windows防火牆功能和Internet 協議安全(IPSec)集成到一個控制台中。使用這些高級選項可以按照環境所需的方式配置密鑰交換、數據保護(完整性和加密)以及身份驗證設置。
4、高級規則配置。
你可以針對Windows Server上的各種對象創建防火牆規則,配置防火牆規則以確定阻止還是允許流量通過具有高級安全性的Windows防火牆。
傳入數據包到達計算機時,具有高級安全性的Windows防火牆檢查該數據包,並確定它是否符合防火牆規則中指 定的標准。如果數據包與規則中的標准匹配,則具有高級安全性的Windows防火牆執行規則中指定的操作,即阻止連接或允許連接。如果數據包與規則中的標 准不匹配,則具有高級安全性的Windows防火牆丟棄該數據包,並在防火牆日誌文件中創建條目(如果啟用了日誌記錄)。
對規則進行配置時,可以從各種標准中進行選擇:例如應用程序名稱、系統服務名稱、TCP埠、UDP埠、本地IP地址、遠程IP地址、配置文件、介面類型(如網路適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標准添加在一起;添加的標准越多,具有高級安全性的Windows防火牆匹配傳入流量就越精細。
通過增加雙向防護功能、一個更好的圖形界面和高級的規則配置,這個高級安全Windows防火牆正在變得和傳統的基於主機的防火牆一樣強大,例如ZoneAlarm PRo等。
我知道任何伺服器管理員在使用一個基於主機的防火牆時首先想到的是:它是否會影響這個關鍵伺服器基 礎應用的正常工作?然而對於任何安全措施這都是一個可能存在的問題,Windows 2008高級安全防火牆會自動的為添加到這個伺服器的任何新角色自動配置新的規則。但是,如果你在你的伺服器上運行一個非微軟的應用程序,而且它需要入站 網路連接的話,你將必須根據通信的類型來創建一個新的規則。
通過使用這個高級防火牆,你可以更好的加固你的伺服器以免遭攻擊,讓你的伺服器不被利用去攻擊別人,以及真正確定什麼數據在進出你的伺服器。下面讓我們看一下如何來實現這些目的。
了解配置Windows防火牆高級安全性的選擇
在以前Windows Server中,你可以在去配置你的網路適配器或從控制面板中來配置Windows防火牆。這個配置是非常簡單的。
對於Windows高級安全防火牆,大多數管理員可以或者從Windows伺服器管理器配置它,或者從只有Windows高級安全防火牆MMC管理單元中配置它。以下是兩個配置界面的截圖:
我發現啟動這個Windows高級安全防火牆的最簡單最快速的方法是,在開始菜單的搜索框中鍵入『防火牆』,如下圖:
另外,你還可以用配置網路組件設置的命令行工具Netsh來配置Windows高級安全防火牆。使用 netsh advfirewall可以創建腳本,以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows防火牆設置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火牆的配置和狀態。
使用新的Windows高級安全防火牆MMC管理單元能配置什麼?
由於使用這個新的防火牆管理控制台你可以配置如此眾多的功能,我不可能面面俱道的提到它們。如果你曾經看過Windows 2003內置防火牆的配置圖形界面,你會迅速的發現在這個新的Windows高級安全防火牆中躲了如此眾多的選項。下面讓我選其中一些最常用的功能來介紹給大家。
默認情況下,當你第一次進入Windows高級安全防火牆管理控制台的時候,你將看到Windows高級安全防火牆默認開啟,並且阻擋不匹配入站規則的入站連接。此外,這個新的出站防火牆默認被關閉。
你將注意的其他事情是,這個Windows高級安全防火牆還有多個配置文件供用戶選擇。
在這個Windows高級安全防火牆中有一個域配置文件、專用配置文件和公用配置文件。配置文件是一種分組設置的方法,如防火牆規則和連接安全規則,根據計算機連接的位置將其應用於該計算機。例如根據你的計算機是在企業區域網中還是在本地咖啡店中。
在我看來,在我們討論過的Windows 2008高級安全防火牆的所有改進中,意義最重大的改進當屬更復雜的防火牆規則。看一下在Windows Server 2003防火牆增加一個例外的選項,如下圖:
再來對比一下Windows 2008 Server中的配置窗口。
注意協議和埠標簽只是這個多標簽窗口中的一小部分。你還可以將規則應用到用戶及計算機、程序和服務以及IP地址范圍。通過這種復雜的防火牆規則配置,微軟已經將Windows高級安全防火牆朝著微軟的IAS Server發展。
Windows高級安全防火牆所提供的默認規則的數量也是令人吃驚的。在Windows 2003 Server中,只有三個默認的例外規則。而Windows 2008高級安全防火牆提供了大約90個默認入站防火牆規則和至少40個默認外出規則。
那麼你如何使用這個新的Windows高級防火牆創建一個規則呢?讓我們接下來看一下。
如何創建一個定製的入站規則?
假如說你已經在你的Windows 2008 Server上安裝了Windows版的Apache網站伺服器。如果你已經使用了Windows內置的IIS網站伺服器,這個埠自動會為你打開。但是,由於你現在使用一個來自第三方的網站伺服器,而且你打開了入站防火牆,你必須手動的打開這個窗口。
以下是步驟:
·識別你要屏蔽的協議-在我們的例子中,它是TCP/IP(與之對應的則是UDP/IP或ICMP)。
·識別源IP地址、源埠號、目的IP地址和目的埠。我們進行的Web通信是來自於任何IP地址和任何埠號並流向這個伺服器80埠的數據通信。(注意,你可以為一個特定的程序創建一條規則,諸如這兒的apache HTTP伺服器)。
·打開Windows高級安全防火牆管理控制台。
·增加規則-點擊在Windows高級安全防火牆MMC中的新建規則按鈕,開始啟動新規則的向導。
·為一個埠選擇你想要創建的規則。
·配置協議及埠號-選擇默認的TCP協議,並輸入80作為埠,然後點擊下一步。
·選擇默認的「允許連接」並點擊下一步。
·選擇默認的應用這條規則到所有配置文件,並點擊下一步。
·給這個規則起一個名字,然後點擊下一步。
這時候,你將得到如下圖的一條規則:
火牆管理控制台
經過我測試,當不啟用這個規則的時候,我最近安裝的Apache網站伺服器不能正常工作。但是,創建了這個規則後,它可以正常工作了!
⑦ 如何通過cmd(bat)腳本命令設置windows xp 自帶的防火牆
netsh firewall set portopening TCP 2869 ENABLE
netsh firewall set portopening UDP 1900 ENABLE
.......
⑧ 如何通過cmd(bat)腳本命令設置windows xp 自帶的防火牆
小弟愚昧,再次說出個人思路,請樓主自行探索。
通過cmd調用reg修改注冊表從而達到修改防火牆詳細設置的目的。cmd貌似不能設置這么的詳細。
純屬路過!
⑨ win7 旗艦版下 運行 自動運行Windows Firewall服務 的bat腳本代碼
大哥,這是Windows防火牆的服務啊,默認開機自啟動的,應該可以設置開機自啟動的,其所依存的服務也無法進行任何操作,你優化系統了?下面是你需要的腳本,建立一個計劃任務,把管理員的相關選項選上。
@echo off
title 正在啟動Windows防火牆服務
sc config MpsSvc start= auto
net start MpsSvc
⑩ Windows批處理:配置防火牆規則、開啟遠程桌面
開啟遠程桌面功能:滑鼠右擊桌面上的「計算機」圖標,選擇「屬性」,在彈出的窗口中選擇「遠程設置」,在接下來彈出的窗口中「遠程桌面」區域選擇「允許運行任意版本遠程桌面的計算機連接」或「只允許運行帶網路級身份驗證的遠程桌面的計算機連接」,這里我們選擇「允許運行任意版本遠程桌面的計算機連接」項,如下圖。(注意:要為windows登錄用戶設置密碼,否則無法實現遠程登錄)
更改遠程桌面默認的埠號(1):點擊桌面左下角「開始」,在搜索框中輸入「regedit」,回車打開注冊表,進入以下注冊表項「HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp」,在右側找到PortNamber,可以看見其默認值是3389,修改成所希望的埠(2000-65535間選擇)即可,這里我們以34567為例,注意使用十進制。見下圖:
更改遠程桌面默認的埠號(2):再打開[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp],將PortNumber的值修改成埠34567,注意使用十進制。
到此,埠號修改完成,重啟電腦 或 右鍵「計算機」,點擊「管理」,彈出的窗口左側選「服務和應用程序」-->"服務",找到「Remote Desktop Services」,右擊,選擇「重新啟動」,即可使更改後的埠生效。
如果用戶計算機的防火牆是關閉的,那麼現在就可以在另外一台電腦上通過遠程桌面連接電腦了,但是通常為了安全,都會保留防火牆的開啟狀態。因此還需要修改防火牆的入站規則。進入windows「開始」,點擊右側「控制面板」,右上角查看方式選擇為「小圖標」,點擊下面的「windows 防火牆」,此時防火牆處於開啟狀態。點擊右側「高級設置」-->「入站規則」,將滾動條到底,即可看見名稱為「遠程桌面(TCP-In)」的入站規則,可以看見其默認埠還是「3839」(如下圖),而沒有我們剛改過的「34567」的規則。需要將「3839」改成「34567」,但是這里無法直接更改,需要到注冊表進行更改。
同樣通過regedit命令,進入注冊表編輯器,並找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules項,將RemoteDesktop-In-TCP的值中包含3389的數據改成34567。
再進入HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules,將RemoteDesktop-In-TCP的值中包含3389的數據改成34567。
現在再進入防火牆的入站規則(注意:需要把之前的窗口關閉,重新進入控制面板,進入防火牆,並進入入站規則)或點擊剛才入站規則窗口的菜單「操作」-->「刷新」,可以看見「遠程桌面(TCP-In)」的入站規則的埠號已經變成34567了。
到此理論上應該可以使用新的埠進行遠程連接該電腦了,但是還要注意兩個問題:(1)查看剛才的入站規則「遠程桌面(TCP-In)」是否為灰色狀態,若為灰色狀態,表示該規則沒有啟動,必須右鍵啟用規則,此時變為彩色的啟動狀態。(2)右鍵入站規則「遠程桌面(TCP-In)」,點擊「屬性」,選擇「高級」選項卡,查看下面的配置文件區域,把「域」、「專用」和「公用」幾個復選框都選上,以保證對所有網路連接類型都適用。到此遠程左面埠修改+防火牆設置已經完美解決。在另外一台電腦打開遠程桌面軟體,在「計算機」一欄輸入「<IP>:34567」進行連接,其中<IP>是指要連接的電腦的IP地址,