《计算机网络基础》课件-项目六 防火墙的应用

实践一天网防火墙的安装实践二天网防火墙的基本设置实践三天网防火墙开放端口应用实践四应用自定义规则防止常见病毒实践五打开Web和FTP服务器、升级更新拓展练习【学习目标】学会天网防火墙的安装学会天网防火墙的基本设置学会天网防火墙开放端口应用学会应用自定义规则防止常见病毒学会打开Web和FTP服务、升级更新Windows补丁

天网防火墙是国内第一款针对个人用户的软件防火墙，拥有强大的访问控制、信息过滤和自定义规则设置等功能，通过对不同的网络环境灵活选择适当的安全方案，可以有效抵御木马、后门病毒、黑客攻击以及IE、系统漏洞等安全隐患带来的威胁。最新版本的天网防火墙包含过滤引擎内核，数据处理速度更快，占用系统资源极低，能在正常上网的同时最大限度地保障机器的安全，是个人上网用户防止个人文件和私密信息泄露的必备安全软件。实践一天网防火墙的安装

防火墙已经存在很多年了，现在的绝大多数机构和个人都已经购置或安装了防火墙，从根本上说，防火墙非常重要。防火墙可以是任何一组网络之间用做级别访问控制的设备，在大多数情况下，防火墙用来阻止外来人员访问本地网络，但是在大型企业中，防火墙也被用来保护各种企业级别的应用。防火墙形式多样，有硬件级别的防火墙，如：Cisco的PIX防火墙；也有软件级别的防火墙，如：国内个人用户常常使用的天网防火墙等。技能一学会安装天网防火墙

（1）双击已经下载好的安装程序，出现安装界面，如图6-1-1所示。图6-1-1

（2）勾选“我接受此协议”，点击“下一步”按钮，选择安装文件的路径。默认的路径是C：＼ProgramFile文件夹，也可以单击“浏览”按钮，自行设定安装的路径，如图6-1-2所示。图6-1-2

（3）点击“下一步”按钮，在设定好安装的路径后，程序会提示建立程序组快捷工具栏方式的位置，如图6-1-3所示。图6-1-3

（4）点击“下一步”按钮安装软件，文件复制完成后，点击“完成”按钮，进入防火墙的初始设置，如图6-1-4所示。图6-1-4图6-1-5

（5）在弹出的“天网防火墙设置向导”窗口中单击“下一步”按钮，如图6-1-5所示。

（6）在窗口中设置安全级别，为了保证正常上网并免受他人的恶意攻击，一般情况下，建议大多数用户和新用户选择“中”等安全级别，对于熟悉天网防火墙设置的用户可以选择“自定义”级别或者是“扩展”级别，如图6-1-6所示。图6-1-6

（7）点击“下一步”按钮，设置局域网信息，软件将会自动检测电脑的IP地址，并记录下来，同时建议勾选“开机的时候自动启动防火墙”这一选项，以保证电脑随时都受到保护，如图6-1-7所示。图6-1-7

（8）点击“下一步”按钮，进入“常用应用程序设置”，对于大多数用户和新用户建议使用默认选项，如图6-1-8所示。图6-1-8

（9）点击“下一步”按钮，天网防火墙的基本设置已经完成，单击“结束”按钮，完成安装过程，如图6-1-9所示。图6-1-9图6-1-10

（10）保存好正在进行的工作，点击“确定”按钮，计算机将重新启动使防火墙生效，如图6-1-10所示。小提示：（1）互联网是一个简单可靠的网络，但是因为互联网在建立之初对安全性考虑不够，造成今天互联网存在很多安全问题，如：IP欺骗、拒绝式服务攻击等。这些问题困扰着学者，也让使用计算机上网的普通用户深感不安。为了解决这个问题，很多安全厂商提出了一些解决方案，如：安装防火墙、杀毒软件和木马清除工具等。

（2）软件防火墙的作用是在计算机和互联网连接时提供防护功能，主要是防止黑客入侵系统进行漏洞攻击和阻挡一些病毒、可疑程序进入计算机。在电脑上安装了杀毒软件的同时，还必须安装防火墙。一定要给自己的系统及时打上补丁，安装最新的升级包。实践二天网防火墙的基本设置

无论是基于软件的防火墙还是基于硬件的防火墙，只有为防火墙设置一个好的规则库才能充分发挥其功能。规则库是指当某种特殊类型的通信流量试图通过防火墙时，告诉防火墙该怎样操作的规则的集合。建立有效的规则库应该满足3条原则。

1.保持规则库的简洁性

规则库越复杂，产生误配置的几率就越大。规则库中规则数越少，防火墙需要查看的规则就越少，防火墙处理请求的速度也就越快。防火墙通常以特定的顺序处理规则库中的规则。规则库中的规则通常需要按照某种方式进行编号。防火墙的规则列表通常以网格的形式出现，第一个单元为该项规则的编号，随后的单元分别为防火墙将要检测网络流量的属性，如：IP地址、协议类型及需要采取的操作等。

因为规则库中的规则是按照顺序进行处理的，所以应该按照规则的重要性，由高到低依次排列所有规则。当数据包经过防火墙时，防火墙将对规则库中的规则依次进行测试。只要有一个规则匹配，防火墙将执行规则中指定的操作。通常情况下，防火墙执行两种类型的操作：一是允许数据包通过防火墙到达目的地，二是丢弃该数据包。

2.基于安全策略建立规则库

为防火墙建立规则库时，安全人员会实施先前指定的安全策略和程序。正确地配置安全规则对于与包过滤相关的安全组件特别重要，通过安全规则可以实施的安全策略包括：

（1）日志和审计。高安全级别的安全策略需要具有检测入侵和病毒等其他安全问题的方法。

（2）跟踪。用户可以使用安全规则中的跟踪属性设置相应的通告方式，在发生入侵时用户可以跟踪响应过程。

（3）过滤。建立规则库的一个主要目标是通过建立的复杂规则对网络数据包进行过滤，以便于仅仅允许合法的流量通过。

（4）网络地址转换（NAT）。规则库应该提供公司内部局域网上主机的主机名和地址对外部网络（如：互联网）的隐藏规则。

（5）服务质量（QoS）。建立QoS规则，并使其维持基本的安全级别。此安全级别可能是在公司的安全策略中定制的。

（6）桌面安全策略。当远程用户登录网络中的某台主机时，使用桌面安全策略可以设置远程用户的访问权限。

3.建立应用程序规则

防火墙进行访问控制的主要途径是控制对特殊应用程序的访问。有些特洛伊木马程序通过利用其他应用程序而工作，然后再利用控制的应用程序达到自己的目的。使用防火墙可以阻止应用程序访问外部网络，如果需要应用程序访问外部网络，则可以标记该应用程序。当应用程序访问外部网络时可以提示用户。通常对应用程序的处理有三种方法：

（1）允许。应用程序可以在任何时候访问外部网络。为操作方便，用户可以为经常使用的应用程序建立允许规则。

（2）阻止。阻止规则是指阻止应用程序访问外部网络。

（3）询问或者提示。当应用程序试图访问外部网络时，提示用户，然后再由用户做出选择。技能一掌握安全级别设置

（1）天网个人版防火墙的预设安全级别分为低、中、高、扩展四个等级，默认的安全等级为中级。用户可以根据自己要求来选择安全级别，如图6-2-1所示。图6-2-1

（2）安全级别各等级的安全设置说明：

低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（如：文件、打印机共享服务）但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。

中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务（如：HTTP、FTP等）。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，如：网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。

高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（如：文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。这是最严密的安全级别。

扩展：基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。天网防火墙将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。

自定义：如果了解各种网络协议，也可以自己设置规则。需要注意的是，设置规则不正确会导致无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。技能二掌握普通应用的设置

（1）天网防火墙系统的设置，可以参照图6-2-2进行。图6-2-2图6-2-3

（2）设置IP规则，一般保持默认设置即可，未经过修改的自定义IP规则与默认中级规则是一样的，如图6-2-3所示。

（3）查看各个程序使用及监听端口的情况。可以查看什么程序使用了哪个端口，是不是有可疑程序在使用网络资源等。可以根据要求在自定义IP规则里封闭某些端口、禁止某些IP访问自己的电脑等，如图6-2-4所示。图6-2-4

（4）查看日志，上面记录了程序访问网络的记录、局域网和网上被IP扫描端口的情况，可供参考以便采取相应对策，日志上基本都是拒绝的操作，如图6-2-5所示。图6-2-5百宝箱：什么是个人防火墙

个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。

安装完毕重新电脑启动后，设置天网防火墙自动运行，打开天网防火墙就可以发挥作用了。默认情况下，其功能已经很强大了，所以如果没什么特殊要求，设置为默认即可，安全级别设置为中级。

天网防火墙的预设安全级别是为了方便不熟悉天网防火墙的用户能够很好地使用天网而设的。正因为如此，如果选择了采用某一种预设安全级别设置，那么天网就会屏蔽掉其他安全级别里的规则。实践三天网防火墙开放端口应用

自动禁止入侵者和窃取者，使黑客无法看到用户的计算机；自动检测互联网攻击（如：CodeRed和Blaster蠕虫）；监控并管制所有传入和传出的互联网通信；允许决定可连接到互联网的程序；避免遭受利用未打补丁的软件中存在的安全漏洞进行的攻击；防止机密信息未经许可就被发送；禁止旗帜广告和弹出式窗口，使用户可以更快速地进行网上冲浪；可以轻松安装在家庭网络中；在将笔记本计算机连接至不同的网络是仍能持续提供保护。

具体表现为：

1.网络安全的屏障

防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络，使攻击者无法利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，副IP地址选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文，并将情况及时通知防火墙管理员。

2.强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如：口令、加密、身份认证等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。

3.对网络存取和访问进行监控审计

由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况是一项非常重要的工作。这不仅有助于了解防火墙的控制是否能够抵挡攻击者的探测和攻击，了解防火墙的控制是否充分有效，而且有助于作出网络需求分析和威胁分析。

4.防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，以限制内部网络中不同部门之间互相访问，从而保障了网络内部敏感数据的安全。另外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节，可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至由此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐藏那些透露内部细节的服务，如：Finger、DNS等。

Finger显示了主机的所有用户的用户名、真名、最后登录时间和使用Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以查看一个系统使用的频繁程度，这个系统是否有用户在连线上网，这个系统是否在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。技能一学会自定义新的IP规则

（1）如果需要开放端口必须自定义新的IP规则。所以在介绍开放端口前，首先介绍如何新建一条IP规则。在自定义IP规则里双击单线所标示的图标，以设置新规则或者修改已有规则，如图6-3-1所示。图6-3-1

（2）新建IP规则列表参数详细说明：

①规则列表。

这里列出了所有规则的名称、规则所对应的数据包的方向、规则所控制的协议、本机端口、对方地址和对方端口，以及当数据包满足本规则时所采取的策略。

在列表的左边为规则是否有效的标志，勾选表示该规则有效，否则表示无效。改变勾选后，请注意按“保存”键。

②规则说明。

这里列出了规则的详细说明，如图６-３-２所示。从图中可以看出窗口大体分为以下几部分，自上而下依次为：图6-3-2

●首先输入规则的“名称”和“说明”，以便于查找和阅读。

●然后，选择该规则是对进入的数据包还是输出的数据包有效。

●“对方的IP地址”用于确定选择数据包从哪里来或是去哪里，其中，“任何地址”是指数据包从任何地方来，都适合本规则；“局域网网络地址”是指数据包来自和发向局域网；“指定地址”是指可以自己输入一个地址；“指定的网络地址”是指可以自己输入一个网络和掩码。

●除了设置上述内容，还要设定该规则所对应的协议，其中，TCP协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口，那么可以在起始端口处输入该端口，结束处也输入同样的端口。如果不想指定任何端口，只要在起始端口都输入0即可。TCP标志比较复杂，我们可以查阅其他资料，如果不选择任何标志，那么将不会对标志作检查。ICMP规则要填入类型和代码，如果输入255，表示任何类型和代码都符合本规则。IGMP不用填写内容。

●当一个数据包满足上面的条件时，就可以对该数据包采取行动了。

“通行”指让该数据包畅通无阻地进入或发出；“拦截”指让该数据包无法进入机器；“继续下一规则”指不对该数据包作任何处理，由该规则的下一条同协议规则来决定对该包的处理。

●在执行这些规则的同时，还可以定义是否记录这次规则的处理和这次规则处理的数据包的主要内容，并用右下角的“天网防火墙个人版”图标是否闪烁来“警告”，或发出声音提示。

建立规则时的注意事项：

（1）防火墙的规则检查顺序与列表顺序是一致的。

（2）当我们在局域网中，又只想对局域网开放某些端口或协议（但对互联网关闭）时，可对局域网的规则采用允许“局域网网络地址”的某端口、协议的数据包“通行”的规则，然后用“任何地址”的某端口、协议的规则“拦截”，就可达到目的。

（3）不要滥用“记录”功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并耗费大量的内存。

（4）零售版用户最多可以使用1000条IP规则。设置好IP规则后单击“确定”按钮保存并把规则置顶到该协议组，这就完成了新的IP规则的建立，并能立即发挥作用。技能二IP规则定义应用实例

现在通过具体的实例来讲解一下如何定制IP规则。BT一般情况下使用的端口为68816889，而防火墙的默认设置是不允许访问这些端口的，它只允许BT软件访问网络，所在一定程序上影响了BT下载速度。下面以打开68816889端口实际说明一下。

（1）建立一个新的IP规则，由于BT使用的是TCP协议，所以按照图6-3-3所示的内容设置就可以了，单击“确定”按钮完成新规则的建立，这里命名为P2PBT。

图6-3-3

（2）设置新规则后，把规则在该协议组置顶并保存。然后可以进行在线端口测试，确定BT的连接端口是否已经开放。实践四应用自定义规则防止常见病毒

上面介绍的是开放端口的应用。如果其他程序要用到某些端口，而防火墙没有开放这些端口，就可以自己手动设置。接下来介绍一些封锁端口实例应用，通过封锁端口来抵御某些病毒的入侵。众所周知，冲击波病毒是利用Windows系统的RPC服务漏洞及开放的69、135、139、445和4444端口进行入侵的，所以要防范冲击波病毒，就要封锁上述端口。技能一学会自定义规则防止病毒

（1）首先在自定义IP规则窗口里，选中其中的“禁止互联网上的机器使用我的共享资源”选项，即可禁止135和139两个端口。随后禁止4444端口，具体设置如图6-4-1所示。禁止69端口和445端口与此类似。完成后一定要保存，这样就可以防范冲击波病毒了。图6-4-1图6-4-2

（2）冰河木马病毒使用的是UDP协议，默认端口为7626。此处为了防范冰河木马，也将它在防火墙里给予封锁，如图6-4-2所示。

（3）依次类推，如果掌握了某病毒的攻击特性及其使用的端口，就可以参照上面的方法设置。通过如上设置，可以大大防范病毒和木马的攻击。百宝箱：个人防火墙的优缺点

（1）个人防火墙增加了保护级别，不需要额外的硬件资源。

（2）个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。

（3）个人防火墙对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网，可能一个硬件防火墙于其来说既昂贵又麻烦。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息，如：IP地址等。

（4）个人防火墙主要的缺点就是对公共网络只有一个物理接口。真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来的话，个人防火墙本身可能会容易受到威胁，或者说是具有这样一个弱点，网络通信可以绕过防火墙的规则。

实践五打开Web和FTP服务器、升级更新

现在FTP服务器软件和Web服务器已经被广泛应用。因为防火墙不仅限制本机访问外部的服务器，也限制外部计算机访问本机，所以为了Web和FTP服务器能正常使用，就要设置防火墙。天网防火墙可以更新Windows补丁，及时为系统打上最新补丁，保证系统安全。

技能一打开Web和FTP服务器

（1）确保“禁止所有人连接”选项没有被选中，如图6-5-1所示。图6-5-1

（2）设置有关Web的IP规则，如图6-5-