架站伺服器電腦之正確Windows防火牆設定方式概念教學(ICF/Windows Firewall)
防火牆
愈來愈多的人在自己的電腦上架設伺服器軟體,這也是未來家庭伺服器不可擋的趨勢,如雷電HTTPD Web Server伺服器軟體。
村榮資訊推薦您
三分鐘內就可下載及安裝完成雷電FTPD (FTP Server) 軟體! GO
村榮資訊提供您免費的架站諮詢服務! GO
|
同一時間,伺服器的安全性也普遍受到重視,防火牆設定軟體成了許多人必備的軟件之一,防火牆軟件的功能就是在您的電腦與網路Internet當中隔起一道安全的牆,基本上它是雙向性的,它可能可以隔絕來自外部的攻擊性網路封包,也可能封鎖來自內部的對外侵略行為。
擋住來自外面的攻擊那是一定要的,但也許您會覺得奇怪,怎麼會還要封鎖來自內部對外部的侵略行為呢?其實很簡單,網路病毒有點類似傳染病,它們藉由軟體的漏洞,將具有能夠自動感染別台電腦的程式碼植入有安裝漏洞軟體的電腦,而該電腦被感染後,可能在不之不覺的狀態下,成為侵略別人的電腦之一。
防火牆軟體設定實戰,以Windows XP/2003/Vista內建的防火牆ICF/Internet Connection Firewall/Windows Firewall為例
1. 首先請確定視窗版本為Windows XP/2003或是Vista,兩者皆具備內建防火牆功能。
2. 以Windows XP操作為範例,防火牆設定方式進入控制台>網路連線>(通常為)區域連線>滑鼠右鍵點選(內容)。
點選進階>Windows防火牆畫面點選(設定值)
Windows防火牆設定>進階>點選(通常為)區域連線>按下右方(設定值)按鈕
防火牆設定
進入進階設定畫面>將
DNS UDP PORT 53 用於DNS SERVER 雷電DNSD
FTP伺服器 TCP PORT 21 用於FTP SERVER 雷電FTPD
Post-Office Protocol Version 3(POP3) TCP PORT 110 用於MAIL SERVER 雷電MAILD
安全網頁伺服器 (HTTPS) TCP PORT 443 用於WEB SERVER 雷電HTTPD
網頁伺服器 (HTTP) TCP PORT 80 用於WEB SERVER 雷電HTTPD
網際網路郵件伺服器 (SMTP) TCP PORT 25 用於MAIL SERVER 雷電MAILD
另外再按下新增... 這邊要特別注意要重複這個動作十次,要從1401-1410逐步新增。
這邊的十個Port是讓FTP SERVER 雷電FTPD使用於傳檔使用的。但這邊要特別注意一個微軟Windows Firewall防火牆的BUG.
場合一: 不經分享器(NAT)直接上網之電腦,事實上這十個Port的規則在使用一般FTP時是用不上的,因為Windows Firewall它會自動監控FTP PORT 21的封包並且自動竄改PASSIVE MODE使用的PORT號碼並且自動加以開通該PORT以用於傳檔。那你的問題是:既然用不上那為何要加呢?答案是給SSL加密模式使用,因為Windows Firewall並無法在SSL模式下監控並且自動開通資料傳輸所需的PORT。
場合二: 經分享器(NAT)間接上網之電腦,基於場合一的說明,Windows Firewall會自動監控PORT 21並且竄改FTP封包中所指定的PASSIVE PORT號碼為一亂數,這個現象表示了什麼呢?也就是說任何你再分享器中設定的用於資料傳輸(1401-1410)PORT FORWARDING端口對應,在開啟了Windows Firewall後都會對應不到任何東西,因為FTP CLIENT看到的PASSIVE PORT號碼為微軟防火牆竄改過的一個數字,早已不是你設定的1401了,因此你設定的規則自燃完全無效。要解決此問題只有三種辦法。
一是於PC當中FTP SERVER PORT不要用21,不用21微軟防火牆就不會監控了。
二是完全改用SSL模式的FTP,這樣微軟防火牆也不會竄改。
三就是位於NAT之後時,直接關閉微軟防火牆,因為微軟防火牆反正也只有陽春的功能,跟你沒開Port Forwarding的分享器的功能是完全相同,並沒有開啟的必要。
最後按下確定即可完成設定
其他相關防火牆教學文件: 諾頓防毒軟體防火牆設定 趨勢防火牆設定 Vista防火牆
|