WINDOWS 2003防火墙的配置及应用步骤.doc

实验WINDOWS 2003防火墙的配置及应用一、实验目的掌握WINDOWS 2003防火墙的配置和使用方法。二、实验内容1.配置WINDOWS 2003防火墙2.应用WINDOWS 2003防火墙三、实验要求1局域网连通，多台计算机2WINDOWS 2003操作系统四、实验学时：2学时五、实验步骤步骤1 启用WINDOWS 2003防火墙1、在另外一台机子上ping通本机，出现Reply from。2、鼠标右键单击“网上邻居”，选择“属性”。3、然后鼠标右键单击“本地连接”，选择“属性”，出现图1界面。如图选择“高级”选项，选中“Internet连接防火墙”，确定后防火墙即起了作用。4. 设置服务选项5检查防火墙已开启6测试基本设置l 在另外一台机子上ping本机，出现Request timed out表示ping不通本机,说明防火墙已经起了作用步骤2 配置WINDOWS 2003防火墙1、 点击图1中“设置(G).”按钮出现图2界面可进行高级设置。2、选择要开通的服务（1）标准服务的设置如图3所示，如果本机要开通相应的服务可选中该服务，本例选中了FTP服务，这样从其它机器就可FTP到本机，扫描本机可以发现21端口是开放的。可以按“添加”按钮增加相应的服务端口。（2） 非标准服务的设置如果服务器还提供非标准服务，那就需要管理员手动添加了。我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中，单击添加按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议（Web服务使用TCP协议，DNS查询使用UDP协议），最后单击确定。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。如图4所示：3、设置日志如图5所示，选择要记录的项目，防火墙将记录相应的数据，日志默认在c:windowspfirewall.log，用记事本就可以打开看看。找到该日志，将日志内容粘帖在下方：4、设置ICMP协议如图6所示，最常用的ping就是用的ICMP协议，默认设置完后ping不通本机就是因为屏蔽了ICMP协议，如果想ping通本机只需将“允许传入响应请求”一项选中即可。步骤3 使用命令行工具“ netsh firewall ”配置WINDOWS防火墙Netsh 是一个命令行脚本实用程序，可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存，以便存档或帮助配置其他服务器。1、在命令行配置窗口输入“netsh firewall”命令，如图7所示2、查看、开启或禁用系统防火墙 打开命令提示符输入输入命令“netsh firewallshow state”然后回车可查看防火墙的状态，从显示结果中可看到防火墙各功能模块的禁用及启用情况。命令“netsh firewall set opmode disable”用来禁用系统防火墙，相反命令“netsh firewall set opmode enable”可启用防火墙。 禁用系统防火墙启用防火墙。 3、允许文件和打印共享 文件和打印共享在局域网中常用的，如果要允许客户端访问本机的共享文件或者打印机，可分别输入并执行如下命令： netsh firewall add portopening UDP 137 Netbios-ns (允许客户端访问服务器UDP协议的137端口) netsh firewall add portopening UDP 138 Netbios-dgm (允许访问UDP协议的138端口) netsh firewall add portopening TCP 139 Netbios-ssn (允许访问TCP协议的139端口) netsh firewall add portopening TCP 445 Netbios-ds (允许访问TCP协议的445端口) 命令执行完毕后，文件及打印共享所须的端口都被防火墙放行了。 (3)、允许ICMP回显 执行命令“n