防火墙实验.doc

实验五 常用防火墙软件的使用实验任务 1. 安装并使用天网防火墙2. 安装并使用诺顿防火墙实验环境 1. Windws9x/NT/2000/XP n 实验报告要求1）记录实验各个步骤设置情况，遇到的问题，如何解决的？2）思考：防火墙的主要功能是什么？防火墙可以完成哪些安全业务？防火墙的安全策略是什么？防火墙不能对付那些安全威胁？n 实验参考天网防火墙设置前言 相信不少有一定网龄的网虫都经历过以下的事情： 场景1：正在聊天室和人聊天的时候，忽然出现很多打“交叉”的小窗口，你不断的按“确定”，而它却不断地打开，10个、20个、40个.不断地递增下去，最后终于塞满了你那小小 128M 内存，逼着你不得不去重启机器。（图1） 图1 场景2：正在网上悠闲地浏览几个自己平时经常去的网站，看到一篇不错的文章，正想打开“Word”把这文章 copy 下来，但却发现不见了“开始”按钮！？（图2） 图2 场景3：oicq 打开了，忽然有一个陌生人发了一条信息给你：“哈哈你的 IP 是 202.103.134.XX，你的 oicq 端口是 XXXX！”.需知道，如果别人知道了你这些资料，那么他就可以随时用工具攻击你.（图3） 图3 如果你遇见过以上其中一个情况，那么恭喜你你的机器被入侵了。如果你没有遇见过上面的情况，那你也不用那么开心，以为还有很多“症状”我没有列出来，所谓预防胜于治疗，在你还没有遇到之前，先预防吧！下面就是我给大家介绍一个比较好的“预防”软件天网防火墙由于天网防火墙有正式版（收费的版本，服务好，功能强）和试用版（免费，用的人很多，高级功能受一些限制）之分，本人支持正版软件，所以这里就以正式版为例给大家介绍，试用版的界面和操作基本都一样，使用试用版的可以参考类似的操作。安装完后要重起，重起后打开天网防火墙就能起到作用了。默认情况下，它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便，后面再说。所以，如果没什么特殊要求的，就设置为默认就OK了，安全级别为中就好。一、普通应用（默认情况）下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置：图一此主题相关图片如下：下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的，因为我们再介绍，这里是默认情况就不多说了。图二此主题相关图片如下：下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。图三此主题相关图片如下：再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的操作。图四此主题相关图片如下：以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或 屏蔽某些端口，或某些IP操作等等，默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法，大家可以依次类推，完成你想要的相关操作。二、防火墙开放端口应用如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们来说说怎么新建一个新的IP规则，如下图五，在自定义IP规则里双击进行新规则设置。图五此主题相关图片如下：点击增加规则后就会出现以下图六所示界面，我们把它分成四部分。图六此主题相关图片如下：1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等。4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，就看你自己想怎么样了，具体看后面的实例。如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的IP规则的建立，并立即发挥作用。三、打开端口实例在介绍完新IP规则是怎么建立后，我们就开始举例说明，毕竟例子是最好的说明。大家也许都知道BT使用的端口为68816889端口这九个端口，而防火墙的默认设置是不允许访问这些端口的，它只允许BT软件访问网络，所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了，但机器是不是就不安全了？所以下面以打开68816889端口举个实例。1）在图五双击后建立一个新的IP规则后在出现的下图七里设置，由于BT使用的是TCP协议，所以就按下图七设置就OK了，点击确定完成新规则的建立，我命名为BT。图七此主题相关图片如下：设置新规则后，把规则上移到该协议组的置顶，并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八此主题相关图片如下：四、应用自定义规则防止常见病毒上面介绍的是开放端口的应用，大体上都能类推，如其他程序要用到某些端口，而防火墙没有开放这些端口时，就可以自己设置，相信大家能搞定。下面来介绍一些实例的应用，就是封端口，让某些病毒无法入侵。1、防范冲击波冲击波，这病毒大家熟悉吧？它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。如何防范，就是封主以上端口，首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用（就是打勾）就已经禁止了135和139两个端口。下边是禁止4444端口的图九此主题相关图片如下：下面是禁止69和445端口的图，上图为69下图为445此主题相关图片如下：此主题相关图片如下：建立完后就保存，记得保存，很所人就是不记得保存。保存完后就可以防范冲击波了，补丁都不用打，爽吧？2、防范冰河木马冰河，熟悉了吧？也是比较狠的病毒哦，它使用的是UDP协议，默认端口为7626，只要在防火墙里把它给封了，看它还能怎么样？具体见下图此主题相关图片如下：如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置，其实设置都差不多，大家可以参照，可以大大防范病毒和木马的攻击！五、下面介绍怎么打开WEB和FTP服务相信不少朋友都使用了FTP服务器软件和WEB服务器，放火墙不仅限制本机访问外部的服务器，也限制外部计算机访问本机。所以我们为了WEB和FTP服务器能正常使用就得设置防火墙，首先在图八把“禁止所有人连接”前的勾去掉。以下是WEB和FTP的IP规则供大家参考上图为WEB，下图为FTP。此主题相关图片如下：此主题相关图片如下：六、常见日志的分析（仅供参考）使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，大家看下图，就是日志记录，上面记录了不符合规则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面我们就来说说日志代表的意思，当然很多我也是模模糊糊的，希望大虾能给些更详细的解释。此主题相关图片如下：看上图，一般日志分为三行，第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母，他们的简单含义如下：ACK：确认标志提示远端系统已经成功接收所有数据SYN：同步标志该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号FIN：结束标志带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。RST：复位标志，具体作用未知其他不知道了，呵呵第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。下面举些常见典型例子来讲讲：记录1：22：30：56 202、121、0、112 尝试用PING来探测本机TCP标志： S该操作被拒绝该记录显示了在22：30：56时，从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息，但被拒绝了。人们用PING命令来确定一个合法IP是否存在，当别人用PING命令来探测你的机器时，如果你的电脑安装了TCP/IP协议，就回返回一个回音ICMP包，如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的，但如果在日志里显示有N个来自同一IP地址的记录，那就有鬼了，很有可能是别人用黑客工具探测你主机信息，他想干什么？谁知道？肯定是不怀好意的。记录2：5：29：11 61、114、155、11试图连接本机的http80端口TCP标志：S该操作被拒绝本机的http80端口是HTTP协议的端口，主要用来进行HTTP协议数据交换，比如网页浏览，提供WEB服务。对于服务器，该记录表示有人通过此端口访问服务器的网页，而对于个人用户一般没这项服务，如果个人用户在日志里见到大量来自不同IP和端口号的此类记录，而TCP标志都为S（即连接请求）的话，完了，你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒，主要是攻击服务器，也会出现上面的情况。记录3：5：49：55 31、14、78、110 试图连接本机的木马冰河7626端口TCP标志：S该操作被拒绝这就是个害怕的记录啦，假如你没有中木马，也就没有打开7626端口，当然没什么事。而木马如果已植入你的机子，你已中了冰河，木马程序自动打开7626端口，迎接远方黑客的到来并控制你的机子，这时你就完了，但你装了防火墙以后，即使你中了木马，该操作也被禁止，黑客拿你也没办法。但这是常见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联，从而判断对方的企图，并采取相应措施，封了那个端口。记录4：6：12：33 接收到 228、121、22、55的IGMP数据包该包被拦截这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。记录5：6：14：20 192、168、0、110 的1294端口停止对本机发送数据包TCP标志：F A继续下一规则6：14：20 本机应答192、168、0、110的1294端口TCP标志：A继续下一规则从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明此条数据的传输是符合规则的。为何有此记录，那是你在图八里防火墙规则中选了“TCP数据包监视”，这样通过TCP传输的数据包都会被记录下来，所以大家没要以为有新的记录就是人家在攻击你，上面的日志是正常的，别怕！呵呵！防火墙的日志内容远不只上面几种，如果你碰到一些不正常的连接，自己手头资料和网上资料就是你寻找问题的法宝，或上防火墙主页上看看，这有助于你改进防火墙规则的设置，使你上网更安全。七、在线升级功能现在天网不断推出新的规则库，作为正式版用户当然可以享受这免费升级的待遇，只要在天网界面点击一下在线升级，不到2分钟就可以完成整个升级过程，即快捷又方便。此主题相关图片如下：点击后出现一个在线升级网络设置的提示框，如果你没有使用代理上网的就不用设置，直接下一步安装规则包，这样就完成升级了。此主题相关图片如下：此主题相关图片如下：此主题相关图片如下：升级后防火墙的自定义规则就会多了很多条防御木马的规则，这下可好了不用自己乱设置，只要使用自定义级别就可以了。不过选用自定义后，记得要把自定义里的IP规则选勾保存规则，这样日志才会有记录的。诺顿个人防火墙1、推荐一个好用的防火墙软件市面上防火墙也有很多种产品，按产品的形态和实现方法，其中有硬件防火墙和软件防火墙之分。这里我们只讨论软件防火墙。我推荐的防火墙是诺顿防火墙 5.0，它和诺顿防病毒软件一起，构成了“诺顿防火墙 5.0 + 诺顿防病毒企业客户端8.1”黄金组合。2、下载和安装防火墙软件双击下载回来的压缩包，然后点击里面的安装程序（也许你下载的压缩包里文件和本图有所不同，如果没有发现SETUP这样的安装程序，则点击里面最大的程序文件）即可开始安装。如图5图5 安装诺顿防火墙安装过程中，所有操作一律取系统默认，不必做任何修改，非常简单，这里不再贴图。防火墙安装完毕后，重起系统。3、防火墙软件的使用诺顿防火墙和防病毒系统一样，也需要进行系统升级。它的升级过程是，双击Windows系统任务栏托盘区的那个绿色地球图标打开诺顿防火墙，然后点“LiveUpdate”按钮即可，此后一律点下一步直到升级完成。如图6图6 升级防火墙诺顿防火墙安装后，它将监视所有的网络系统活动，最微小的动作都不会放过。当你安装好诺顿防火墙，第一次运行和网络访问有关的任何程序时，诺顿防火墙都会给出提示，并允许你对这个程序进行网络控制。对于IE浏览器和Outlook Express等操作系统组件来说，诺顿防火墙会给出自动Internet访问配置对话框，一般这类对话框你只要点确定就可以了。如图7图7 自动Internet访问配置对话框对于其它非操作系统的程序，诺顿防火墙会在它访问网络时给出手工配置的Internet访问配置对话框，对于你熟知的可信赖的程序，你可以选“允许该应用程序访问Internet”，并在“对该应用程序总是使用该操作”。如图8图8 手工配置的Internet访问配置对话框特别提示：（1）修改已定义的访问权限 也许你在对应用程序访问权限做了设置后又觉得不妥，想要修改设置，方法是打开诺顿防火墙，点“客户端防火墙/Internet访问控制”，选择需要修改的应用程序后，点“修改”按钮即可。如图9图9 修改应用程序访问权限（2）安装了诺顿防火墙后，常常会出现在论坛不能注册和发帖的情况。这是因为诺顿防火墙对网络访问控制得十分严密造成的，这时你可以打开诺顿防火墙，然后点“选项/高级选项”。将“浏览隐私权限/参考者”的权限由“禁止”改为“允许”，如图10实验六 代码签名证书的使用一、实验目的掌握代码签名证书的使用。二、实验要求1按照后面的步骤完成实验2撰写实验报告，操作版本、平台、实验中的问题现象、如何解决的 要求:两个星期内提交三、实验内容1利用证书对代码进行签名第一步：下载微软的控件在使用代码签名证书对程序员编写的程序代码进行签名之前，请到微软的网站上上下载代码签名的工具。根据用户不同的环境要求，根据以下链接下载相对应驱动程序：第二步：运行signcode.exe保存并解压下载的文件后，请运行其中的执行文件signcode.exe，然后按照以下图示逐步完成代码签名的过程。2查看代码的数字签名用鼠标右键点击已经过数字签名的代码文件，选择“属性”，查看“属性”中的“数字签名”一栏，即可查看到对该文件进行的签名的证书信息，如下图。如果“属性”中没有“数字签名”的信息，那证明签名签名失败或者文件没有经过数字签名。四、背景知识数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在Internet 上进行身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet 的身份证。数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。一个标准的X.509 数字证书包含（但不限于）以下内容：l 证书的版本信息；l 证书的序列号，每个证书都有一个唯