Windows 2008安全策略增強簡述

　　一、高級安全Windows防火牆。

　　大家都知道現在網絡上的危險無處不在。有各種各樣的風險（病毒、木馬、釣魚、暴力破解、誤操作、惡意刪改等等問題。）同時安全保護也是一個非常 復雜的系統工程。微軟提出安全是要進行縱深防御多層次保護的。就像我們不能只靠小區門衛保護我們家的安全，萬一小區門衛疏忽了，而我們的家沒有鎖。還是會 造成損失的。所以我們實際生活中有小區門衛、小區監控、防盜門、房門等多重防范。有一層出了問題並不會導致全線崩潰。對計算機網絡系統也是如此。公司對外 有專門的防火牆保證內網的安全。有專門的殺毒軟件負責殺毒。可光是這些就一定安全了嗎？其實不然，有句老話是“家賊難防”，我們也常會說堡壘總是從內部被 攻破的。實際上就算外部的威脅防住了，網絡內部的危險還是很多。如內部員工誤操作、惡意破壞等，當然有的問題我們可以通過增強其他方面的設置來解決如權限 控制、加密等。當然還有一些內部網絡上的問題，如果內部某個員工用某些黑客工具進行惡意操作、用某些P2P軟件下載大量占用帶寬，由於計算機已經在內部網絡，公司對外的防火牆就很難控制了。而Windows2008系統中的高級安全Windows防火牆就可以發揮作用了。高級安全Windows防火牆將主機防火牆和Internet協議安 全性(IPsec)結合在一起。與邊界防火牆不同，高級安全Windows防火牆在每台運行此版本Windows的計算機上運行，並對可能穿越邊界網絡或 源於組織內部的網絡攻擊提供本地保護。通過允許您要求對通信進行身份驗證和數據保護，它還提供計算機到計算機的連接安全。高級安全Windows防火牆專 供需要在企業環境中管理網絡安全的IT管理員使用。它不適於在家庭網絡中使用。家庭用戶應考慮使用“控制面板”中提供的“Windows防火牆”程序。舉 例來說：公司中如果有員工偷偷使用P2P工具下載電影、游戲，大量占用帶寬，影響公司網絡正常使用就可用高級安全Windows防火牆進行控制：

　　考慮到P2P工具在進行惡意下載操 作時，會通過系統的3077，3078端口對外進行網絡通信，我們只要讓高級安全防火牆功能限制3077，3078端口對外進行網絡通信，就能實現阻止上 網用戶偷偷使用迅雷這樣的P2P工具進行惡意下載了。現在，我們就利用Win2008系統的高級安全防火牆功能創建安全訪問規則，禁止P2P工具進行下載 連接：

　　首先以系統管理員權限進入Win2008系統桌面，依次點選“開始”菜單中的“程序”、“管理工具”、“服務器管理器”命令，從其後出現的服務器管理器窗口左側位置處，將鼠標定位於“配置”節點選項上，再選中目標節點選項下面的“高級安全防火牆”項目;