一.實踐內容

1.防火牆
防火牆技術：防火牆技術屬於一種網路上的訪問控制機制，通過在不同網路安全域之間建立起安全控制點，通過對網路傳輸資料進行檢查，根據具體的安全需求和策略設定是否允許網路訪問通過防火牆。
防火牆的功能：檢查控制進出的網路的網路流量、防止脆弱或不安全的協議和服務、防止內部網路資訊的外洩、對網路存取和訪問進行監控審計和防火牆可以強化網路安全策略並整合其他安全訪問機制。
防火牆的不足：來自網路內部的安全威脅、通過非法外聯的網路攻擊和計算機病毒傳播、針對開放服務安全漏洞的滲透攻擊、針對網路客戶端程式的滲透攻擊和基於隱蔽通道進行通訊的特洛伊木馬和殭屍網路。
對應下圖的位元組傳輸流程，可以分為以下幾層：

包過濾（Packet filtering）：工作在網路層，僅根據資料包頭中的IP地址、埠號、協議型別等標誌確定是否允許資料包通過。
應用代理（Application Proxy）：工作在應用層，通過編寫不同的應用代理程式，實現對應用層資料的檢測和分析。
狀態檢測（Stateful Inspection）：工作在2~4層，訪問控制方式與1同，但處理的物件不是單個數據包，而是整個連線，通過規則表和連線狀態表，綜合判斷是否允許資料包通過。
完全內容檢測（Compelete Content Inspection）：工作在2~7層，不僅分析資料包頭資訊、狀態資訊，而且對應用層協議進行還原和內容分析，有效防範混合型安全威脅。

Linux作業系統平臺上的iptables：
netfilter/iptables（簡稱為iptables）組成Linux平臺下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。

iptables傳輸資料包的過程
① 當一個數據包進入網絡卡時，它首先進入PREROUTING鏈，核心根據資料包目的IP判斷是否需要轉送出去。
② 如果資料包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。資料包到了INPUT鏈後，任何程序都會收到它。本機上執行的程式可以傳送資料包，這些資料包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果資料包是要轉發出去的，且核心允許轉發，資料包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

如果 Linux 系統連線到因特網或 LAN、伺服器或連線 LAN 和因特網的代理伺服器， 則該系統有利於在 Linux 系統上更好地控制 IP 資訊包過濾和防火牆配置。
防火牆在做資料過濾決定時，有一套遵循和組成的規則，這些規則儲存在專用的資料包過濾表中，而這些表整合在 Linux 核心中。在資料包過濾表中，規則被分組放在我們所謂的鏈（chain）中。而netfilter/iptables IP 資料包過濾系統是一款功能強大的工具，可用於新增、編輯和移除規則。

iptables的基本語法格式
iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動作或跳轉］
說明：表名、鏈名用於指定 iptables命令所操作的表和鏈，命令選項用於指定管理iptables規則的方式（比如：插入、增加、刪除、檢視等；條件匹配用於指定對符合什麼樣 條件的資料包進行處理；目標動作或跳轉用於指定資料包的處理方式（比如允許通過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。

iptables有Filter, NAT, Mangle, Raw四種內建表：
（1）Filter表
Filter是iptables的預設表，它有以下三種內建鏈(chains)：
INPUT鏈 – 處理來自外部的資料。
OUTPUT鏈 – 處理向外傳送的資料。
FORWARD鏈 – 將資料轉發到本機的其他網絡卡裝置上。
（2） NAT表
NAT表有三種內建鏈：
PREROUTING鏈 – 處理剛到達本機並在路由轉發前的資料包。它會轉換資料包中的目標IP地址（destination ip address），通常用於DNAT(destination NAT)。
POSTROUTING鏈 – 處理即將離開本機的資料包。它會轉換資料包中的源IP地址（source ip address），通常用於SNAT（source NAT）。
OUTPUT鏈 – 處理本機產生的資料包。
（3） Mangle表
Mangle表用於指定如何處理資料包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈（chains）：
PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING
（4）Raw表
Raw表用於處理異常，它具有2個內建鏈：
PREROUTING chain
OUTPUT chain

Windows作業系統平臺上的個人防火牆：
Windows Defender是一項協助確保資訊保安的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可以是一臺專屬的硬體也可以是架設在一般硬體上的一套軟體。Windows防火牆顧名思義就是在Windows作業系統中系統自帶的軟體防火牆。

開啟,配置windows中的防火牆：
圖形化介面:
依次選擇 開始 | 設定 | 控制面板 | windows防火牆選項,就能開啟Windows防火牆的基本配置介面.
命令列:
鍵盤鍵入win + R 開啟 [執行] ,輸入’r’ 回車開啟windows防火牆控制檯

Windows防火牆的規則掃描有它自己特定的順序，其優先順序為：
1、只允許安全連線
2、阻止連線
3、允許連線
4. 預設規則（如果沒有設定，那就是預設阻止）

二.實踐過程

三.學習中遇到的問題及解決

• 問題1：
• 問題1解決方案：
• 問題2：
• 問題2解決方案：

四.實踐總結