WindowsServer2022R2網(wǎng)絡(luò)安全巧設(shè)置網(wǎng)絡(luò)安全法

WindowsServer2022R2網(wǎng)絡(luò)安全巧設(shè)置網(wǎng)絡(luò)安全法網(wǎng)絡(luò)位置第一次連接到網(wǎng)絡(luò)時，必須選擇網(wǎng)絡(luò)位置。這將為所連接網(wǎng)絡(luò)的類型自動設(shè)置適當(dāng)?shù)姆阑饓桶踩O(shè)置。如果用戶在不同的位置（例如，家庭本地咖啡店或辦公室）連接到網(wǎng)絡(luò)，則選擇一個網(wǎng)絡(luò)位置可幫助確保始終將用戶的計算機設(shè)置為適當(dāng)?shù)陌踩墑e。在WindowServer2022中，有四種網(wǎng)絡(luò)位置：家庭網(wǎng)絡(luò)：對于家庭網(wǎng)絡(luò)或在用戶認(rèn)識并信任網(wǎng)絡(luò)上的個人和設(shè)備時，請選擇“家庭網(wǎng)絡(luò)”。家庭網(wǎng)絡(luò)中的計算機可以屬于某個家庭組。對于家庭網(wǎng)絡(luò)“網(wǎng)絡(luò)發(fā)現(xiàn)”處于啟用狀態(tài)，它允許用戶查看網(wǎng)絡(luò)上的其他計算機和設(shè)備并允許其他網(wǎng)絡(luò)用戶查看用戶的計算機。工作網(wǎng)絡(luò)：對于小型辦公網(wǎng)絡(luò)或其他工作區(qū)網(wǎng)絡(luò)，請選擇“工作網(wǎng)絡(luò)”。默認(rèn)情況下，“網(wǎng)絡(luò)發(fā)現(xiàn)”處于啟用狀態(tài)，它允許用戶查看網(wǎng)絡(luò)上的其他計算機和設(shè)備并允許其他網(wǎng)絡(luò)用戶查看用戶的計算機，但是，用戶無法創(chuàng)建或加入家庭組。公用網(wǎng)絡(luò)：為公共場所（例如，咖啡店或機場）中的網(wǎng)絡(luò)選擇“公用網(wǎng)絡(luò)”。此位置旨在使用戶的計算機對周圍的計算機不可見，并且?guī)椭Ｗo計算機免受來自Internet的任何惡意軟件的攻擊。家庭組在公用網(wǎng)絡(luò)中不可用，并且網(wǎng)絡(luò)發(fā)現(xiàn)也是禁用的。如果用戶沒有使用路由器直接連接到Internet,或者具有移動寬帶連接，也應(yīng)該選擇此選項。域網(wǎng)絡(luò)：“域”網(wǎng)絡(luò)位置用于域網(wǎng)絡(luò)（如在企業(yè)工作區(qū)的網(wǎng)絡(luò)）。這種類型的網(wǎng)絡(luò)位置由網(wǎng)絡(luò)管理員控制，因此無法選擇或更改。Window防火墻如何影響網(wǎng)絡(luò)位置在公共場所連接網(wǎng)絡(luò)時，“公用網(wǎng)絡(luò)”位置會阻止某些程序和服務(wù)運行,這樣有助于保護計算機免受未經(jīng)授權(quán)的訪問。如果連接到“公用網(wǎng)絡(luò)”并且Window防火墻處于打開狀態(tài)，則某些程序或服務(wù)可能會要求用戶允許它們通過防火墻進行通信，以便讓這些程序或服務(wù)可以正常工作。在用戶允許某個程序通過防火墻進行通信后，對于具有的位置與當(dāng)前所連接到的位置相同的每個網(wǎng)絡(luò)，也會允許該程序進行通信。例如，如果用戶在咖啡店連接到某個網(wǎng)絡(luò)并選擇“公用網(wǎng)絡(luò)”作為位置，然后解除了對一個即時消息程序的阻止，則對于所連接到的所有公用網(wǎng)絡(luò)，對該程序的阻止都將解除。如果在連接到公用網(wǎng)絡(luò)時計劃解除對多個程序的阻止，請考慮將網(wǎng)絡(luò)位置更改為“家庭”網(wǎng)絡(luò)或“工作”網(wǎng)絡(luò)。從這點而言，相對于影響用戶所連接到的每個公用網(wǎng)絡(luò)，這一更改操作可能會更安全。但請記住，如果進行了此更改，用戶的計算機將對網(wǎng)絡(luò)上的其他人可見，這樣存在安全風(fēng)險。Window防火域基本設(shè)置當(dāng)我們安裝好系統(tǒng)后，默認(rèn)就已經(jīng)啟用了防火墻功能，此時，只要設(shè)置好網(wǎng)絡(luò)位置，就會阻止其他計算機與此計算機的通信。查看防火墻工作狀態(tài)的方法是，在控制面板中點擊系統(tǒng)和安全,從中打開Window防火墻即可,然后就可以看到下圖所示的狀態(tài):如果希望打開或關(guān)閉Window防火墻的話，只需要點擊左側(cè)的“打開或關(guān)閉防火墻”即可，然后看到如下圖所示的界面：從此圖可以看到針對專用網(wǎng)中的家庭網(wǎng)絡(luò)和工作網(wǎng)絡(luò)已經(jīng)開啟了防火墻功能，此時就會封鎖所有的傳入連接。但在實際應(yīng)用中，不能把所有的傳入連接都給封鎖，在此用戶可以根據(jù)需要設(shè)置相應(yīng)的“白名單”來放開某些連接，方法是點擊防火墻工作狀態(tài)界面左側(cè)中的“允許程序或功能通過Window防火墻”，出現(xiàn)下圖所示的界面：將某個程序添加到防火墻中允許的程序列表或打開一個防火墻端口時則允許特定程序通過防火墻與您的計算機之間發(fā)送或接收信息。允許程序通過防火墻進行通信（有時稱為“解除阻止”）就像是在防火墻中打開了一個孔。每次打開一個端口或允許某個程序通過防火墻進行通信時，計算機的安全性也在隨之降低。您的防火墻擁有允許的程序或打開的端口越多，黑客或惡意軟件使用這些通道傳播蠕蟲、訪問文件或使用計算機將惡意軟件傳播到其他計算機的機會也就越大。防火墻的高級安全設(shè)置剛才的基本設(shè)置操作比較簡單，但功能也單一，如果需要進一步設(shè)置Window防火墻規(guī)則，就需要通過“高級安全Window防火墻”功能。打開方法如下：管理工具中點擊高級安全Window防火墻，或者是在剛才的防火墻狀態(tài)中點擊高級設(shè)置。如下圖所示，然后，可以看到右側(cè)所示的界面什么是高級安全Window防火墻：使用高級安全Window防火墻可以幫助用戶保護網(wǎng)絡(luò)上的計算機。通過該防火墻您可以確定允許在計算機和網(wǎng)絡(luò)之間傳輸?shù)木W(wǎng)絡(luò)流量。它還包括使用Internet協(xié)議安全性（IPec）保護在網(wǎng)絡(luò)間傳送的流量的連接安全規(guī)則。高級安全Window防火墻是一種有狀態(tài)的防火墻，它檢查并篩選IP版本4（IPv4）和IP版本6（IPv6）流量的所有數(shù)據(jù)包。在此上下文中，篩選意味著通過管理員定義的規(guī)則對網(wǎng)絡(luò)流量進行處理，進而允許或阻止網(wǎng)絡(luò)流量。默認(rèn)情況下阻止傳入流量，除非是對主機請求（請求的流量）的響應(yīng)，或者得到特別允許（即創(chuàng)建了允許該流量的防火墻規(guī)則）?？梢酝ㄟ^指定端口號、應(yīng)用程序名稱、服務(wù)名稱或其他標(biāo)準(zhǔn)將高級安全Window防火墻配置為顯式允許流量。創(chuàng)建防火墻規(guī)則：可以創(chuàng)建防火墻規(guī)則以允許此計算機向程序、系統(tǒng)服務(wù)、計算機或用戶發(fā)送流量，或者從程序、系統(tǒng)服務(wù)、計算機或用戶接收流量。當(dāng)用戶的連接匹配該規(guī)則標(biāo)準(zhǔn)的所有連接執(zhí)行以下三個操作之一：允許連接、只允許通過使用Internet協(xié)議安全（IPSec）保護的連接、阻止連接?？梢詾槿胝就ㄐ呕虺稣就ㄐ艅?chuàng)建規(guī)則?？膳渲靡?guī)則以指定計算機或用戶、程序、服務(wù)或者端口和協(xié)議?？梢灾付ㄒ獞?yīng)用規(guī)則的網(wǎng)絡(luò)適配器類型局域網(wǎng)（LAN）、無線、遠(yuǎn)程訪問，例如虛擬專用網(wǎng)絡(luò)0連接或者所有類型。還可以將規(guī)則配置為使用任意配置文件或僅使用指定配置文件時應(yīng)用，當(dāng)IT環(huán)境更改時，可能必須更改、創(chuàng)建、禁用或刪除規(guī)則。連接安全的實現(xiàn)：連接安全包括在兩臺計算機開始通信之前對它們進行身份驗證，并確保在兩臺計算機之間發(fā)送的信息的安全性。高級安全Window防火墻使用Internet協(xié)議安全（IPec）實現(xiàn)連接安全，方法是使用密鑰交換、身份驗證、數(shù)據(jù)完整性和數(shù)據(jù)加密（可選）。連接安全規(guī)則使用IPec確保其通過網(wǎng)絡(luò)時的流量安全。使用連接安全規(guī)則指定必須對兩臺計算機之間的連接進行身份驗證或加密?？赡苓€要必須創(chuàng)建防火墻規(guī)則以允許由連接安全規(guī)則保護的網(wǎng)絡(luò)流量。什么是防火墻配置文件：防火墻配置文件是一種分組設(shè)置的方法，如防火墻規(guī)則和連接安全規(guī)則，根據(jù)計算機連接到的位置將其應(yīng)用于該計算機。在運行此版本W(wǎng)indow的計算機上，高級安全Window防火墻有三個配置文件：每個網(wǎng)絡(luò)適配器也就是網(wǎng)卡，分配匹配所檢測網(wǎng)絡(luò)類型的防火墻配置文件。例如，如果將網(wǎng)絡(luò)適配器連接到公用網(wǎng)絡(luò)，則到達(dá)或來自該網(wǎng)絡(luò)的所有流量會由與公用配置文件關(guān)聯(lián)的防火墻規(guī)則篩選。WindowServer2022R2和Window7為每個活動網(wǎng)絡(luò)適配器配置文件提供支持。在WindowVita和晅ndowServer2022中，每次計算機上只能有一個配置文件處于活動狀態(tài)。如果存在多個連接到不同網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器，則具有最嚴(yán)格配置文件設(shè)置的配置文件應(yīng)用于計算機上的所有適配器。公用配置文件被認(rèn)為是最為嚴(yán)格的，然后是專用配置文件;域配置文件被認(rèn)為是最不嚴(yán)格的。如果不更改配置文件的設(shè)置，則只要高級安全Window防火墻使用配置文件，就應(yīng)用其默認(rèn)值。建議為所有三個配置文件啟用高級安全Window防火墻。若要配置這些配置文件，請在高級安全Window防火墻MMC管理單元中，右鍵單擊“高級安全Window防火墻”，然后單擊“屬性”。如果需要使用的服務(wù)或應(yīng)用程序在列表中沒有出現(xiàn)的，用戶可以通過新建規(guī)則的方式來創(chuàng)建，如現(xiàn)在操作的計算機是一臺TVEB服務(wù)器，而需要開放給其他用戶連接此網(wǎng)站，可以通過新建規(guī)劃來開放一個80端口的規(guī)則。本地TP地址由本地計算機用于確定規(guī)則是否適用。規(guī)則僅適用于通過配置為使用一個指定本地IP地址的網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)流量。任何IP地址，選擇此選項可以指定匹配具有指定為本地IP地址的任意地址的網(wǎng)絡(luò)數(shù)據(jù)包的規(guī)則。選中此選項時本地計算機始終匹配規(guī)則。下列IP地址，選擇此選項可以指定規(guī)則匹配具有“本地IP地址”中指定的一個地址的網(wǎng)絡(luò)流量。如果本地計算機沒有使用一個指定IP地址配置的網(wǎng)絡(luò)適配器則規(guī)則不適用。在“IP地址”對話框上，單擊“添加”可以在列表中創(chuàng)建新條目，或單擊“編輯”可以更改列表中的現(xiàn)有條目。還可以通過選擇項目然后單擊“刪除”從列表中刪除某個條目O遠(yuǎn)程IP地址：指定應(yīng)用規(guī)則的遠(yuǎn)程IP地址。如果目標(biāo)IP地址是列表中的地址之一，則網(wǎng)絡(luò)流量匹配規(guī)則。任何IP地址，此選項可以指定規(guī)則匹配發(fā)自（對于入站規(guī)則）或發(fā)往（對于出站規(guī)則）包含在列表中的任意IP地址的網(wǎng)絡(luò)數(shù)據(jù)包。下列TP地址，選擇此選項可以指定規(guī)則僅匹配具有“遠(yuǎn)程IP地址”中指定的一個地址的網(wǎng)絡(luò)流量。在“IP地址”對話此外還需要將此防火墻規(guī)則應(yīng)用到相應(yīng)的配置文件和接口類型上，因此需要指定此規(guī)則所使用的配置文件，Window確定每個網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)位置類型，然后對該網(wǎng)絡(luò)適配器應(yīng)用相應(yīng)的配置文件。接口類型指的是單擊“自定義”可以指定應(yīng)用連接安全規(guī)則的接口類型。通過“自定義接口類型”對話框,可以選擇“所有接口類型”或“局域網(wǎng)”、“遠(yuǎn)程訪問”或“無線”類型的任意組合。最后一個需要介紹的就是邊緣遍歷。邊緣遍歷允許指的是計算機接受未經(jīng)請求的入站數(shù)據(jù)包，這些數(shù)