实验三 个人防火墙配置和使用.doc

实验十 个人防火墙配置和使用 【实验目的】了解个人防火墙的基本工作原理，掌握个人防火墙的安装、配置和使用，并通过配置 防火墙规则加深对 TCP/IP 协议的理解。 【实验内容】 1了解个人防火墙的基本工作原理 2安装和运行天网防火墙 3设置和使用天网防火墙 【预备知识】 （一）防火墙简介 防火墙是一类防范措施的总称，它使得内部网络与 Internet 之间或者与其他外部网络 互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的 可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯 一的通道，简化网络的安全管理。防火墙的功能有： （ 1）过滤掉不安全服务和非法用户 （ 2）控制对特殊站点的访问 （ 3）提供监视 Internet 安全和预警的方便端点 （二）个人防火墙简介 目前，互联网上的受攻击案件数量直线上升，用户随时都可能遭到各种恶意攻击，造 成用户的上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利 用、机密档案丢失、隐私曝光等等，甚至黑客（Hacker）通过远程控制删除了用户硬盘上 所有的资料数据，整个计算机系统架构全面崩溃。为了抵御黑客的攻击，建议互联网用户 计算机上安装一套个人防火墙软件，以拦截一些来历不明、有害敌意访问或攻击行为。 个人防火墙把用户的计算机和公共网络（如互联网）分隔开，它检查到达防火墙两端 的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行，是保护个人 计算机接入互联网的安全有效措施。 常见的个人防火墙有：天网防火墙个人版、瑞星个人防火墙、费尔个人防火墙、江民 黑客防火墙和金山网镖等。 （三）天网防火墙个人版 天网防火墙个人版 SkyNet FireWall（简称天网防火墙）是由天网安全实验室研发制作 给个人计算机使用的网络安全程序工具。 天网防火墙根据系统管理者设定的安全规则（Security Rules）守护网络，提供强大的 访问控制、身份认证、信息过滤功能，可以抵挡网络攻击和入侵，防止信息泄露。天网防 火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案。 【实验步骤】 （一）安装和运行天网防火墙 1安装天网防火墙个人版 天网防火墙个人版适用于 Widows 98/2000/XP 操作系统平台，如果用户安装了旧版本 的天网防火墙，则需要使用原天网防火墙内附之卸载移除程序，卸载旧版本的天网防火墙 后，才可安装。安装过程中如果出现是否取代旧文件，尽量选择保留较新文件。 （ 1 ） 选 择 安 装 的 路 径 。 天 网 防 火 墙 个 人 版 预 设 的 安 装 路 径 是 C:Program FilesSkyNetFireWall 文件夹，用户可以单击右边的浏览按钮自行设定安装的路径，如 图 10-1 所示。 （ 2）选择建立程序组快捷工具栏方式的位置，然后复制文件进行安装，复制完成后系 统会提示必须重新启动计算机，天网防火墙个人版程序才会生效，如图 10-2 所示。 （ 3）单击完成按钮，安装程序调出防火墙设置向导（见图 10-3）帮助用户设置 防火墙。用户可以跟着它一步一步设置好合适自己使用的防火墙规则，如图 10-4 所示。 （4）向导结束后，系统提示必须重新启动计算机才能完成安装。单击确定按钮则立即 重新启动计算机，单击取消按钮则返回系统，不重新启动，如图 10-5 所示。 2运行天网防火墙 天网防火墙安装完重新启动计算机后，第一次运行时会弹出一个注册码的窗口，注册后程序正式运行，任务栏内出现一个小图标双击该图标则弹出天网防火墙程序主界面，如图 10-6 所示。二）设置和使用天网防火墙 1设置天网防火墙 由于天网防火墙预设了一系列安全规则，如果用户对网络安全要求不高，可以直接使 用。但是如果要想让防火墙按照用户的意愿来工作，则必须对防火墙进行设置。 （ 1）系统设置 单击防火墙程序主界面中的系统设置图标弹出系统设置界面，如图 10-7 所 示。 在启动栏中选中开机后自启动防火墙，天网防火墙将在操作系统启动的时候自 动启动，否则需要手工启动。 若单击重置按钮，把防火墙的安全规则全部恢复为初始设置，用户对安全规则的 修改和加入的规则将会全部被清除掉。 应用程序权限栏可以不选，以后程序访问网络时会询问是否同意其访问网络；如 果选了该选项之后，所有的应用程序对网络的访问都默认为通行不拦截。 局域网地址设定栏可以刷新或清空地址。如果用户的机器是在局域网里面使用， 一定要设置好这个地址。因为防火墙将使用这个地址来区分局域网或者是 Internet 的 IP 来 源。 设置报警声音，点击浏览按钮，用户可以选择一个声音文件做为天网防火墙预警 的声音，以便防火墙发现有人攻击时用声音提醒用户。选择自动保存日志则每次退出防火墙时自动保存日志，天网防火墙将会把当日的 日志记录自动保存到 SkyNet/FireWall/log 文件下，打开文件夹便可查看当日的日志记录。（ 2）缺省 IP 规则设置 单击防火墙程序主界面中的IP 规则设置图标 ，弹出系统设置界面，如图 10-8 所示。IP 规则是针对整个系统的网络层数据包监控而设置的。利用自定义 IP 规则，用户 可针对个人不同的网络状态，设置自己的 IP 安全规则，使防御手段更周到、更实用。自定义 IP 规则工具条：使用自定义 IP 规则工具条 ， 用户可以自定义相关的 IP 规则。工具条中的按钮分别为：增加规则按钮修改规 则按钮 ，删除规则按钮 规则判断由上而下执行的，用户可以单击上移按钮 或下 移 按钮 调整规则的顺序。 导出按钮 和导入按钮 可以导出现在的规则和导入已预设、保存的规则。 定义完后按保存按钮保存自定义的规则。 规则列表：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控 制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志，勾选表示该规则有效，否则表示无效。当用 户对此有所改变后，请注意按钮保存键。 规则说明:列出了规则的详细说明。 规则列表中有： 防御 ICMP 攻击：选择时，即别人无法用 PING 的方法来确定你的存在。但不影 响你去 PING 别人。 禁止互联网上的机器使用我的共享资源：禁止互联网上的机器使用我的共享资 源，开启该规则后，别人就不能访问你的共享资源，包括获取你的机器名称。 禁止所有人连接低端端口：防止所有的机器和自己的低端端口连接。由于低端端 口是 TCP/IP 协议的各种标准端口，几乎所有的 Internet 服务都是在这些端口上工 作的，所以这是一条非常严厉的规则，有可能会影响你使用某些软件。如果你需 要向外面公开你的特定端口，请在本规则之前添加使该特定端口数据包可通行的 规则。允许已经授权程序打开的端口：某些程序，如 ICQ，视频电话等软件，都会开放 一些端口，这样，你的同伴才可以连接到你的机器上。本规则可以保证你这些软 件可以正常工作。允许 DNS（域名解释）：允许域名解释。注意，如果你要拒绝接收 UDP 包，就一 定要开启该规则，否则会无法访问互联网上的资源。 禁止所有人连接：防止所有的机器和自己连接。这是一条非常严厉的规则，有可 能会影响你使用某些软件。如果你需要向外面公开你的特定端口，请在本规则之 前添加使该特定端口数据包可通行的规则。该规则通常放在最后。 安全规则的设置是系统最重要，也是最复杂的地方。如果用户不太熟悉 IP 规则，最好 不要调整它，直接使用缺省的规则。如果用户熟悉 IP 规则，就可以非常灵活的设计合适自 己使用的规则。 （ 3）自定义 IP 规则 规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与 设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则 就可以把有害的数据包挡在机器之外。用户单击增加规则按钮 或选择一条规则后单 击修改规则按钮 ，就可以自定义 IP 规则，具体步骤如下： 首先输入规则的名称和说明，以便于查找和阅读。选择该规则是对进入的数据包还是输出的数据包有效。 对方 IP 地址，用于确定选择数据包从那里来或是去哪里，这里有几点说明： 任何地址：指数据包从任何地方来，都适合本规则 局域网网络地址：指数据包来自和发向局域网 指定地址：可以自己输入一个地址 指定的网络地址：可以自己输入一个网络和掩码 录入该规则所对应的协议，其中： IP协议不用填写内容 TCP协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口， 那么可以在起始端口处录入该端口，结束处，录入同样的端口。如果不想指定任 何端口，只要在起始端口都录入 0 ICMP规则要填入类型和代码。如果输入 255，表示任何类型和代码都符合本 规则 IGMP不用填写内容 设定对数据包采取的动作。当一个数据包满足上面的条件时： 通行指让该数据包畅通无阻的进入或出去 拦截指让该数据包无法进入你的机器 继续下一规则指不对该数据包作任何处理，由该规则的下一条同协议规则来 决定对该包的处理 定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容，并用任务栏 中的天网防火墙图标是否闪烁来警告，或发出声音提示。 例如：利用防火墙自定义 IP 规则防范冲击波病毒。因为冲击波病毒是利用 WINDOWS 系统开放的 69、135、139、445、4444 端口入 侵，封住以上端口即可阻挡冲击波病毒的攻击。由于天网防火墙的默认规则已经封住 了 135 和 139 两个端口，所以只要再封住 69、445、4444 三个端口即可。图 10-9 为封闭 445 端口的例子，封闭其他两个端口方法类似。 （ 4）安全级别设置 天网个人版防火墙的缺省安全级别分为低、中、高三个等级，默认的安全等级为中级， 用户可以根据自己的需要调整自己的安全级别，如图 10-10 所示。各等级的安全设置说明如下： 低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规 则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文 件、打印机共享服务）但禁止互联网上的机器访问这些服务。 中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规 则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共 享服务），局域网和互联网上的机器将无法看到本机器。 高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规 则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共 享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的 端口，系统会屏蔽掉向外部开放的所有端口。 （ 5）应用程序规则设置 天网防火墙对应用程序数据传输封包进行底层分析拦截，它可以控制应用程序发送和 接收数据传输包的类型、通讯端口，并且决定拦截还是通过。在天网防火墙打开的情况下，激活的任何应用程序只要有通讯传输数据包发送和接收 存在，都会被天网防火墙先截获分析，并弹出窗口，询问用户是允许还是禁止，如 图 10-11 所示。 这时用户可以根据需要来决定是否允许该应用程序访问网络。如果不选中该程序以 后按照这次的操作运行，那么天网防火墙在以后会继续截获该应用程序的数据传输数据 包，并且弹出警告窗口。如果选中该程序以后按照这次的操作运行选项，该应用程序 将自加入到应用程序列表中（见图 10-12），用户可以通过应用程序设置来设置更为详尽的 数据传输封包过滤方式。 2使用天网防火墙 （ 1）日志查看和分析 天网防火墙将会把所有不合规则的数据传输封包拦截并且记录下来。单击日志按 钮 可以查看和分析日志记录，每条记录从左到右分别是发送/接受时间、发送 IP 地址、数据传输封包类型、本机通讯端口，对方通讯端口，标志位，如图 10-13 所示。说明：不是所有被拦截的数据传输封包都意味着有人在攻击，有些是正常的数据传输 封包。但可能由于用户设置的防火墙的 IP 规则的问题，也会被天网防火墙拦截下来并且报 警，例如用户设置了禁止别人 Ping 自己的主机，如果有人向其主机发送 Ping 命令，天网 防火墙也会把这些发来的 ICMP 数据拦截下来记录在日志上并且报警。 （ 2）网络访问监控 用户不但可以控制应用程序访问权限，还可以监视该应用程序访问网络所使用的数据 传输通讯协议端口等。通过天网防火墙提供的应用程序网络状态功能，用户能够监视到所有开放端口连结的应用程序及它们使用的数据传输通讯协议，任何不明程序的数据传输通 讯协议端口，例如特洛依木马等，都