伺服器防火牆如何添加策略

A. 如何使用組策略部署Windows防火牆

使用組策略管理單元來修改相應的 GPO 中的 Windows 防火牆設置。
完成以下配置 Windows 防火牆設置的步驟後，可以等待標准刷新周期將這些設置應用到客戶端計算機，也可以在客戶端計算機上使用 GPUpdate 實用程序來完成刷新。默認情況下，刷新周期為 90 分鍾，隨機偏移量為 +/-30 分鍾。下一次刷新計算機配置組策略時，將會下載新的 Windows 防火牆設置，然後將其應用於運行 Windows XP SP2 的計算機。
使用組策略配置 Windows 防火牆設置
1、在 Windows XP SP2 桌面上，依次單擊「開始」、「運行」，鍵入 mmc，然後單擊「確定」。
2、在「文件」菜單中，單擊「添加/刪除管理單元」。
3、在「獨立」選項卡上，單擊「添加」。
4、在「可用的獨立管理單元」列表中，找到並單擊「組策略對象編輯器」，然後單擊「添加」。
5、在「選擇組策略對象」對話框中，單擊「瀏覽」。
6、選擇「測試客戶端 Windows 防火牆策略 GPO」，然後依次單擊「確定」和「完成」。
7、單擊「關閉」關閉「添加獨立管理單元」框，然後在「添加/刪除管理單元」框中單擊「確定」。
8、在組策略對象編輯器的控制台樹中，依次打開「計算機配置」、「管理模板」、「網路」、「網路連接」和「Windows 防火牆」

9、選擇「域配置文件」或「標准配置文件」。

B. 防火牆配置策略

pix515防火牆配置策略實例
#轉換特權用戶
pixfirewall>ena
pixfirewall#
#進入全局配置模式
pixfirewall# conf t
#激活內外埠
interface ethernet0 auto
interface ethernet1 auto
#下面兩句配置內外埠的安全級別
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火牆的用戶信息
enable password pix515
hostname pix515
domain-name domain
#下面幾句配置內外網卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside 公網IP 公網IP子網掩碼
global (outside) 1 interface
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面兩句將定義轉發公網IP的ssh和www服務到192.168.4.2
static (inside,outside) tcp 公網IP www 192.168.4.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 公網IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面兩句將定義外部允許訪問內部主機的服務
conit permit tcp host 公網IP eq www any
conit permit tcp host 公網IP eq ssh 信任IP 255.255.255.255
#允許內部伺服器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面這句允許ping
conit permit icmp any any
#下面這句路由網關
route outside 0.0.0.0 0.0.0.0 公網IP網關 1
#保存配置
write memory

C. 啟明星辰防火牆如何添加禁拼策略

你描述的不是很詳細,有兩種禁PING:
1.介面地址禁止PING。進入網路配置、介面配置，選擇你要修改的介面，下面有管理方式，HTTPS\HTTP\TELNET\SSH\PING，把PING那裡的勾去掉。保存。
2.禁用ICMP協議。防火牆、安全策略、新建。填寫源介面、源地址、目的介面、目的地址、時間，協議選擇ICMP，動作選擇DENY，提交。然後將此策略的順序調至最前端。後面的啟用打鉤。保存。

D. 怎樣增加防火牆策略呢

在控制面板防火牆策略裡面增加

E. 如何使用組策略部署Windows防火牆

使用組策略管理單元來修改相應的 GPO 中的 Windows 防火牆設置。

完成以下配置 Windows 防火牆設置的步驟後，可以等待標准刷新周期將這些設置應用到客戶端計算機，也可以在客戶端計算機上使用 GPUpdate 實用程序來完成刷新。默認情況下，刷新周期為 90 分鍾，隨機偏移量為 +/-30 分鍾。下一次刷新計算機配置組策略時，將會下載新的 Windows 防火牆設置，然後將其應用於運行 Windows XP SP2 的計算機。

使用組策略配置 Windows 防火牆設置

1、在 Windows XP SP2 桌面上，依次單擊「開始」、「運行」，鍵入mmc，然後單擊「確定」。

2、在「文件」菜單中，單擊「添加/刪除管理單元」。

3、在「獨立」選項卡上，單擊「添加」。

4、在「可用的獨立管理單元」列表中，找到並單擊「組策略對象編輯器」，然後單擊「添加」。

5、在「選擇組策略對象」對話框中，單擊「瀏覽」。

6、選擇「測試客戶端 Windows 防火牆策略 GPO」，然後依次單擊「確定」和「完成」。

7、單擊「關閉」關閉「添加獨立管理單元」框，然後在「添加/刪除管理單元」框中單擊「確定」。

8、在組策略對象編輯器的控制台樹中，依次打開「計算機配置」、「管理模板」、「網路」、「網路連接」和「Windows 防火牆」

F. 防火牆默認應添加哪些服務及策略。

從防火牆產品和技術發展來看，分為三種類型：基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。

LAN介面

列出支持的 LAN介面類型：防火牆所能保護的網路類型，如乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等。

支持的最大 LAN介面數：指防火牆所支持的區域網絡介面數目，也是其能夠保護的不同內網數目。

伺服器平台：防火牆所運行的操作系統平台（如 Linux、UNIX、Win NT、專用安全操作系統等）。

協議支持

支持的非 IP協議：除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協議。

建立 VPN通道的協議： 構建VPN通道所使用的協議，如密鑰分配等，主要分為IPSec，PPTP、專用協議等。

可以在 VPN中使用的協議：在VPN中使用的協議，一般是指TCP/IP協議。

加密支持

支持的 VPN加密標准：VPN中支持的加密演算法, 例如數據加密標准DES、3DES、RC4以及國內專用的加密演算法。

除了 VPN之外，加密的其他用途： 加密除用於保護傳輸數據以外，還應用於其他領域，如身份認證、報文完整性認證，密鑰分配等。

提供基於硬體的加密： 是否提供硬體加密方法，硬體加密可以提供更快的加密速度和更高的加密強度。

認證支持

支持的認證類型： 是指防火牆支持的身份認證協議，一般情況下具有一個或多個認證方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網路資源的訪問，防火牆管理員必須決定客戶以何種方式通過認證。

列出支持的認證標准和 CA互操作性：廠商可以選擇自己的認證方案，但應符合相應的國際標准，該項指所支持的標准認證協議，以及實現的認證協議是否與其他CA產品兼容互通。

支持數字證書：是否支持數字證書。

訪問控制

通過防火牆的包內容設置：包過濾防火牆的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火牆的數據包的處理方法，對於沒有明確定義的數據包，應該有一個預設處理方法；過濾規則應易於理解，易於編輯修改；同時應具備一致性檢測機制，防止沖突。 IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協議欄位表明封裝協議為ICMP、TCP或UDP，那麼再根據 ICMP頭信息（類型和代碼值）、TCP頭信息（源埠和目的埠）或UDP頭信息（源埠和目的埠）執行過濾，其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。

在應用層提供代理支持：指防火牆是否支持應用層代理，如 HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接，代為向伺服器發出連接請求，代理伺服器應根據伺服器的應答，決定如何響應客戶端請求，代理服務進程應當連接兩個連接（客戶端與代理服務進程間的連接、代理服務進程與伺服器端的連接）。為確認連接的唯一性與時效性，代理進程應當維護代理連接表或相關資料庫（最小欄位集合），為提供認證和授權，代理進程應當維護一個擴展欄位集合。

在傳輸層提供代理支持：指防火牆是否支持傳輸層代理服務。

允許 FTP命令防止某些類型文件通過防火牆：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應用層高級代理功能，如 HTTP、POP3 。

支持網路地址轉換 (NAT)：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP 地址匱乏問題。在防火牆上實現NAT後，可以隱藏受保護網路的內部結構，在一定程度上提高了網路的安全性。

支持硬體口令、智能卡： 是否支持硬體口令、智能卡等，這是一種比較安全的身份認證技術。

防禦功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的 DOC和ZIP文件，FTP中的下載或上載文件內容，以發現其中包含的危險信息。

提供內容過濾： 是否支持內容過濾，信息內容過濾指防火牆在 HTTP、FTP、SMTP等協議層，根據過濾條件，對信息流進行控制，防火牆控制的結果是：允許通過、修改後允許通過、禁止通過、記錄日誌、報警等。過濾內容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防禦的 DoS攻擊類型：拒絕服務攻擊(DoS)就是攻擊者過多地佔用共享資源，導致伺服器超載或系統資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止 ActiveX、Java、Cookies、Javascript侵入：屬於HTTP內容過濾，防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，並向瀏覽器用戶報警。同時，能夠過濾用戶上載的 CGI、ASP等程序，當發現危險代碼時，向伺服器報警。

安全特性

支持轉發和跟蹤 ICMP協議（ICMP 代理）：是否支持ICMP代理，ICMP為網間控制報文協議。

提供入侵實時警告：提供實時入侵告警功能，當發生危險事件時，是否能夠及時報警，報警的方式可能通過郵件、呼機、手機等。

提供實時入侵防範：提供實時入侵響應功能，當發生入侵事件時，防火牆能夠動態響應，調整安全策略，阻擋惡意報文。

識別 /記錄/防止企圖進行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網路進行攻擊，防火牆應該能夠禁止來自外部網路而源地址是內部IP地址的數據包通過。

管理功能

通過集成策略集中管理多個防火牆：是否支持集中管理，防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆運行狀態的管理，管理員的行為主要包括：通過防火牆的身份鑒別，編寫防火牆的安全規則，配置防火牆的安全參數，查看防火牆的日誌等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。

提供基於時間的訪問控制：是否提供基於時間的訪問控制。

支持 SNMP監視和配置：SNMP是簡單網路管理協議的縮寫。

本地管理：是指管理員通過防火牆的 Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。

遠程管理：是指管理員通過乙太網或防火牆提供的廣域網介面對防火牆進行管理，管理的通信協議可以基於 FTP、TELNET、HTTP等。

支持帶寬管理：防火牆能夠根據當前的流量動態調整某些客戶端佔用的帶寬。

負載均衡特性：負載均衡可以看成動態的埠映射，它將一個外部地址的某一 TCP或UDP埠映射到一組內部地址的某一埠，負載均衡主要用於將某項服務（如HTTP）分攤到一組內部伺服器上以平衡負載。

失敗恢復特性（ failover)：指支持容錯技術，如雙機熱備份、故障恢復，雙電源備份等。

記錄和報表功能

防火牆處理完整日誌的方法：防火牆規定了對於符合條件的報文做日誌，應該提供日誌信息管理和存儲方法。

提供自動日誌掃描：指防火牆是否具有日誌的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事後分析、亡羊補牢的目的。

提供自動報表、日誌報告書寫器：防火牆實現的一種輸出方式，提供自動報表和日誌報告功能。

警告通知機制：防火牆應提供告警機制，在檢測到入侵網路以及設備運轉異常情況時，通過告警來通知管理員採取必要的措施，包括 E－mail、呼機、手機等。

提供簡要報表（按照用戶 ID或IP 地址）：防火牆實現的一種輸出方式，按要求提供報表分類列印。

提供實時統計：防火牆實現的一種輸出方式，日誌分析後所獲得的智能統計結果，一般是圖表顯示。

列出獲得的國內有關部門許可證類別及號碼：這是防火牆合格與銷售的關鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。

G. 怎麼添加防火牆規則

1點擊【開始】按鈕在彈出的菜單中點擊【控制面板】項2在彈出的控制面板窗口中，點擊【windows防火牆】3在彈出的窗口左側中點擊【高級設置】，進入高級安全windows防火牆設置項4要想設置防火牆策略其實主要是針對埠的入站和出站規則進行設置，也就是告訴系統哪個門（埠）可以讓什麼樣的人（鏈接），如何進出的策略，因此我們要設置入站和出戰規則，點擊左側【入站規則】，然後點擊右側【操作】項中的【新建規則】按鈕，彈出窗口。5選中【埠】點擊下一步6選中【TCP】，並選中【特定本地埠】在後面的輸入框中輸入埠號，如1012點擊下一步7選中指定的操作為【允許連接】點擊下一步8選擇規則應用的網路，默認是全部選中的，採用默認即可，點擊下一步9為新建的規則起名並做相應的描述，點擊完成10此時返回windows防火牆設置窗口，點擊【入站規則】項，可以看到我們新建的防火牆入站規則，因為網路的連接一般都是雙向的所以我們僅僅設置入站規則是不夠的，還需要設置出戰規則，繼續往下看11出戰規則的設置其實和入站規則的設置是一樣，點擊【出戰規則】項，再點擊右側的【新建規則】，在彈出的窗口中重復5-9步驟即可創建出戰規則，至此針對一個埠的防火牆規則建立完畢！