步驟一：

1.未設定防火牆時，測試本機可訪問網站。

登入到實驗機後，開啟瀏覽器，在瀏覽器裡面輸入某個網站地址。本例以http://tools.hetianlab.com為例，如下圖

2.進入windows防火牆的高階設定頁面。

開始-->控制面板-->系統和安全-->Windows 防火牆，出現“Windows防火牆”頁面，如下圖

點選“高階設定”，出現“高階安全Windows防火牆”設定頁面，如下圖

步驟二：

1.設定出口規則為“阻止對80埠的TCP連線”（即禁止訪問Web伺服器）

　　（1）右鍵出站規則-->新建規則，如下圖：

　　（2）首先是“規則型別”配置，選擇“埠”，並點選“下一步”。如下圖：

　　（3）在“協議和埠”配置介面，選擇“TCP”，選擇“特定遠端埠”，輸入“80”，點“下一步”。見下圖：

　　（4）在“操作”介面，選擇“阻止連線”，點“下一步”。如下圖：

　　（5）“配置檔案”選擇預設選項即可，點選“下一步”，如下圖：

　　（6）在“名稱”介面，為該規則指定一個名稱和描述，點選“完成”，如下圖：

至此，規則建立完成。

2.測試：開啟瀏覽器，輸入剛才測試的網站，已無法訪問。

步驟三：使本機不能訪問指定網站

首先，將步驟二所建立的規則刪除，這樣就可以訪問步驟一的網址

1.設定出口規則為“阻止對http://tools.hetianlab.com的80埠的TCP連線”（即禁止訪問http://tools.hetianlab.com網站）。分為如下若干小步驟：

　　（1）新建規則（出站規則），規則型別選“自定義”，點“下一步”。

　　（2）在“程式”配置介面，選“所有程式”，點“下一步”。

　　（3）在“協議和埠”介面，選“TCP”，選擇“特定遠端埠”，輸入“80”，點“下一步”。

　　（4）在“作用域”介面，在“此規則運用於哪些遠端ip地址”中選擇“下列ip地址”，再點選“新增”，將彈出“IP地址”對話方塊，輸入網址的IP地址，獲取IP的方法為CMD裡ping tools.hetianlab.com，點選“確定”，回到“作用域”後，點選“下一步”。見下圖：

該網址ip為10.1.1.254

　　（5）在“操作”介面，選擇“阻止連線”，點“下一步”。

　　（6）“配置檔案”不做更改，點選“下一步”，如下圖

　　（7）在“名稱”介面，為本次規則取個名字。

至此，規則建立完成

2.測試： 開啟瀏覽器，此時已經無法訪問http://tools.hetianlab.com。但可ping通。截圖中返回了IP地址說明是通的，請求超時只是網站為了安全而設定的禁ping策略。

分析與思考：

1.分析白名單策略與黑名單，哪個策略更嚴謹？

黑名單是阻止認為有害的網站的訪問，白名單是隻能訪問認為無害的網站，所以白名單更嚴謹。

2.在某一公共場合，只想讓使用者訪問WEB，除此外如QQ、迅雷之類的都不能用，防火牆應該如何設定？

只允許訪問web埠

答題：