WINDOWS2003防火墙的配置及应用步骤.doc

实验WINDOWS 2003防火墙的配置及应用 一、实验目的 掌握WINDOWS 2003防火墙的配置和使用方法。 二、实验内容 1.配置WINDOWS 2003防火墙 2.应用WINDOWS 2003防火墙 三、实验要求 1．局域网连通，多台计算机 2．WINDOWS 2003操作系统 四、实验学时： 2学时 五、实验步骤 步骤1 启用WINDOWS 2003防火墙 1、在另一台机子上ping本机，出现鼠标右键单击“网上邻居”，选择“属性”。 3、然后鼠标右键单击“本地连接”，选择“属性”，出现图1界面。如图选择“高级”选项，选中“Internet连接防火墙”，确定后防火墙即起了作用。 设置测试基本设置 在另一台机子上ping本机，出现Request timed out表示ping不本机说明防火墙已经起了作用 点击图1中“设置(G)...”按钮出现图2界面可进行高级设置。选择要开通的服务 　 如图3所示，如果本机要开通相应的服务可选中该服务，本例选中了FTP服务，这样从其它机器就可FTP到本机，扫描本机可以发现21端口是开放的。可以按“添加”按钮增加相应的服务端口。 非标准服务的设置　　如果服务器还提供非标准服务，那就需要管理员手动添加了。 我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中，单击[添加]按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议（Web服务使用TCP协议，DNS查询使用UDP协议），最后单击[确定]。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。设置日志 　　如图所示，选择要记录的项目，防火墙将记录相应的数据，日志默认在c:\windows\pfirewall.log，用记事本就可以打开看看。 4、设置ICMP协议 　　如图所示，最常用的ping就是用的ICMP协议，默认设置完后ping不通本机就是因为屏蔽了ICMP协议，如果想ping通本机只需将“允许传入响应请求”一项选中即可。 Netsh 是一个命令行脚本实用程序，可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存，以便存档或帮助配置其他服务器。查看、开启或禁用系统防火墙 打开命令提示符输入输入命令“netsh firewallshow state”然后回车可查看防火墙的状态，从显示结果中可看到防火墙各功能模块的禁用及启用情况。命令“netsh firewall set opmode disable”用来禁用系统防火墙，相反命令“netsh firewall set opmode enable”可启用防火墙。 禁用系统防火墙启用防火墙。 允许文件和打印共享 文件和打印共享在局域网中常用的，如果要允许客户端访问本机的共享文件或者打印机，可分别输入并执行如下命令： netsh firewall add portopening UDP 137 Netbios-ns (允许客户端访问服务器UDP协议的137端口) netsh firewall add portopening UDP 138 Netbios-dgm (允许访问UDP协议的138端口) netsh firewall add portopening TCP 139 Netbios-ssn (允许访问TCP协议的139端口) netsh firewall add portopening TCP 445 Netbios-ds (允许访问TCP协议的445端口) 命令执行完毕后，文件及打印共享所须的端口都被防火墙放行了。 (3)、允许ICMP回显 执行命令“netsh firewall set icmpsetting 8”可开启ICMP回显执行“netsh firewall set icmpsetting 8 disable”可关闭回显。