實驗所屬系列：防火牆技術

實驗物件： 本科/專科資訊保安專業

相關課程及專業：資訊保安基礎、計算機網路

實驗時數（學分）：4學時

實驗類別：實踐實驗類

1、瞭解個人防火牆的基本工作原理；

2、掌握Filter防火牆的配置。

防火牆

防火牆（Firewall）是一項協助確保資訊保安的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可以是一臺專屬的硬體也可以是架設在一般硬體上的一套軟體。

防火牆是用來阻擋外部不安全因素影響的內部網路屏障，其目的就是防止外部網路使用者未經授權的訪問。它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全閘道器（Security Gateway），從而保護內部網免受非法使用者的侵入。

防火牆型別，包括：

1）個人防火牆，針對普通使用者，通常是在一部電腦上具有資料包過濾功能的軟體，如Windows XP SP2後自帶的防火牆程式。

2）專業防火牆，通常為網路裝置，或是擁有2個以上網路介面的電腦。以作用的TCP/IP堆疊區分，主要分為網路層防火牆和應用層防火牆兩種。

防火牆對於每一個電腦使用者的重要性不言而喻，尤其是在當前網路威脅氾濫的環境下，通過專業可靠的工具來幫助自己保護電腦資訊保安十分重要。

Windows 7作業系統自帶的防火牆與WindowsXP系統的防火牆功能相比功能更實用，且操作更簡單。

一臺安裝了win7作業系統的主機。

本任務將通過對Windows防火牆進行配置，實現本機不能訪問所有網站。實驗步驟如下：

步驟一：未設定防火牆時，測試本機可訪問網站。

登入到實驗機後，開啟瀏覽器，在瀏覽器裡面輸入某個網站地址。本例以http://tools.hetianlab.com為例，如圖示：

步驟二：進入windows防火牆的高階設定頁面。

通過點選：開始-->控制面板-->系統和安全-->Windows 防火牆，出現“Windows防火牆”頁面：

點選“高階設定”，出現“高階安全Windows防火牆”設定頁面：

說明：

1）在高階安全Windows防火牆中，是支援雙向保護的，也就是說它將防火牆的規則分為兩個部分，分別是入站規則和出站規則。入站就是外網訪問本機，出站就是本機訪問外網。高階安全Windows防火牆預設是對內阻止，對外開放。

2）使用者可以建立入站和出站規則，從而阻擋或者允許特定程式或者埠進行連線；可以使用預先設定的規則，也可以建立自定義規則。“新建規則嚮導”則可以幫使用者逐步完成建立規則的步驟。

3）使用者可以將規則應用於一組程式、埠或者服務，也可以將規則應用於所有程式或者某個特定程式；可以阻擋某個軟體進行所有連線，或者允許所有連線，或者只允許安全連線，並要求使用加密來保護通過該連線傳送的資料的安全性；可以為入站和出站流量配置源IP地址及目的地IP地址，同樣還可以為源TCP和UDP埠及目的地TCP和UPD埠配置規則。

4）Web伺服器的預設埠是80。

設定出口規則為“阻止對80埠的TCP連線”（即禁止訪問Web伺服器）。分為如下若干小步驟：

1）右鍵出站規則-->新建規則

2）首先是“規則型別”配置，選擇“埠”，並點選“下一步”

3）在“協議和埠”配置介面，選擇“TCP”，選擇“特定遠端埠”，輸入“80”，點“下一步”

4）在“操作”介面，選擇“阻止連線”，點“下一步”。

5）在“名稱”介面，為該規則指定一個名稱和描述。

6）點選“完成”後，規則建立完畢。

步驟四、測試。

開啟瀏覽器，輸入剛才測試的網站，已無法訪問。

在實驗之前，把任務一所新建的出口規則刪除，此時在瀏覽器下可以訪問http://tools.hetianlab.com。

步驟一、設定出口規則為“阻止對http://tools.hetianlab.com的80埠的TCP連線”（即禁止訪問http://tools.hetianlab.com網站但是任然可以訪問該埠下其他網站）。分為如下若干小步驟

1）新建規則（出站規則），規則型別選“自定義”，點“下一步”。

2）在“程式”配置介面，選“所有程式”，點“下一步”。

3）在“協議和埠”介面，選“TCP”，選擇“特定遠端埠”，輸入“80”，點“下一步”。

4）在“作用域”介面，點選“新增”，將彈出“IP地址”對話方塊，輸入網址的IP地址，獲取IP的方法為CMD裡ping tools.hetianlab.com，點選“確定”，回到“作用域”後，點選“下一步”

5）在“操作”介面，選擇“阻止連線”，點“下一步”。

6）在“名稱”介面，為本次規則取個名字。

點選“完成”後，規則建立完畢。

步驟二：測試

開啟瀏覽器，此時已經無法訪問http://tools.hetianlab.com。但可ping通。截圖中返回了IP地址說明是通的，請求超時只是網站為了安全而設定的禁ping策略。

分析與思考

1）分析白名單策略與黑名單，哪個策略更嚴謹？

黑名單策略只能組織已經知道的有害程式和威脅，不能夠抵禦新威脅

白名單技術的優點是，除了名單上的實體外都不能執行或者通過，缺點則是，不在名單上的實體都不能執行和通過。

相比較而言，白名單技術更為嚴謹

2）在某一公共場合，只想讓使用者訪問WEB，除此外如QQ、迅雷之類的都不能用，防火牆應該如何設定？

在高階防火牆“出站規則”中 只田新增對80埠的訪問規則，並對qq，迅雷之類的埠禁止訪問

答題