（一）實驗簡介

實驗所屬系列：防火牆技術

實驗物件： 本科/專科資訊保安專業

相關課程及專業：資訊保安基礎、計算機網路

實驗時數（學分）：4學時

實驗類別：實踐實驗類

（二）實驗目的

1、瞭解個人防火牆的基本工作原理；

2、掌握Filter防火牆的配置。

（三）預備知識

防火牆

防火牆（Firewall）是一項協助確保資訊保安的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可以是一臺專屬的硬體也可以是架設在一般硬體上的一套軟體。

防火牆是用來阻擋外部不安全因素影響的內部網路屏障，其目的就是防止外部網路使用者未經授權的訪問。它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全閘道器（Security Gateway），從而保護內部網免受非法使用者的侵入。

防火牆型別，包括：

1）個人防火牆，針對普通使用者，通常是在一部電腦上具有資料包過濾功能的軟體，如Windows XP SP2後自帶的防火牆程式。

2）專業防火牆，通常為網路裝置，或是擁有2個以上網路介面的電腦。以作用的TCP/IP堆疊區分，主要分為網路層防火牆和應用層防火牆兩種。

防火牆對於每一個電腦使用者的重要性不言而喻，尤其是在當前網路威脅氾濫的環境下，通過專業可靠的工具來幫助自己保護電腦資訊保安十分重要。

Windows 7作業系統自帶的防火牆與WindowsXP系統的防火牆功能相比功能更實用，且操作更簡單。

（四）實驗步驟

使本機不能訪問所有網站

本任務將通過對Windows防火牆進行配置，實現本機不能訪問所有網站。實驗步驟如下：

步驟一：未設定防火牆時，測試本機可訪問網站。

登入到實驗機後，開啟瀏覽器，在瀏覽器裡面輸入某個網站地址。本例以http://tools.hetianlab.com為例，如圖示：

步驟二：進入windows防火牆的高階設定頁面。

通過點選：開始-->控制面板-->系統和安全-->Windows 防火牆，出現“Windows防火牆”頁面：

點選“高階設定”，出現“高階安全Windows防火牆”設定頁面：

設定出口規則為“阻止對80埠的TCP連線”（即禁止訪問Web伺服器）。分為如下若干小步驟：

1）右鍵出站規則-->新建規則，將出現設定嚮導。

2）首先是“規則型別”配置，選擇“埠”，並點選“下一步”。如下圖：

3）在“協議和埠”配置介面，選擇“TCP”，選擇“特定遠端埠”，輸入“80”，點“下一步”。見下圖：

4）在“操作”介面，選擇“阻止連線”，點“下一步”。

5）在“名稱”介面，為該規則指定一個名稱和描述。

6）點選“完成”後，規則建立完畢。

步驟四、測試。

開啟瀏覽器，輸入剛才測試的網站，已無法訪問。

使本機不能訪問指定網站

在實驗之前，把任務一所新建的出口規則刪除，此時在瀏覽器下可以訪問http://tools.hetianlab.com。

步驟一，設定出口規則為“阻止對http://tools.hetianlab.com的80埠的TCP連線”（即禁止訪問http://tools.hetianlab.com網站）。分為如下若干小步驟：

1）新建規則（出站規則），規則型別選“自定義”，點“下一步”。

2）在“程式”配置介面，選“所有程式”，點“下一步”。

3）在“協議和埠”介面，選“TCP”，選擇“特定遠端埠”，輸入“80”，點“下一步”。

4）在“作用域”介面，點選“新增”，將彈出“IP地址”對話方塊，輸入網址的IP地址，獲取IP的方法為CMD裡ping tools.hetianlab.com，點選“確定”，回到“作用域”後，點選“下一步”。

5）在“操作”介面，選擇“阻止連線”，點“下一步”。

6）在“名稱”介面，為本次規則取個名字。

點選“完成”後，規則建立完畢。

步驟二：測試

開啟瀏覽器，此時已經無法訪問http://tools.hetianlab.com。但可ping通。截圖中返回了IP地址說明是通的，請求超時只是網站為了安全而設定的禁ping策略。