项目13防火墙的配置ppt课件

1、学习情境六 网络平安与网络编程 工程13 防火墙的配置工程1 双机互连对等网络的组建 13.1 工程提出 在目前网络受攻击案件数量直线上升的情况下，用户随时都能够遭到各种恶意攻击。张飞近期备受计算机病毒的骚扰，虽然了安装了反病毒软件，但还是存在很多平安隐患，如上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修正、财务数据被利用、档案丧失、隐私曝光等。为了进一步提高计算机及网络的平安性，张飞请诸葛亮协助安装一款防火墙软件，并合理设置一些平安规那么，拦截一些来历不明、有害敌意访问或攻击行为，消除平安隐患。13.2 工程分析 网络的开展虽然为人们带来了许多方便，可也带来了很多隐患。随着网络的普及

2、，病毒、木马、网络攻击等平安事故层出不穷，安装一款好的防火墙软件必不可少。Windows系统自带了防火墙，能满足普通用户的需求。用Internet Explorer、Outlook Express等Windows系统自带的程序进展网络衔接，Windows防火墙是默许不干涉的。Windows 防火墙能限制从其他计算机发送来的信息，运用户可以更好地控制本人计算机上的数据，并针对那些未经约请而尝试衔接的用户或程序(包括病毒和蠕虫)提供了一条平安防线。在微软管理控制台(MMC)中，添加“IP平安战略管理后，经过“IP挑选器表和“IP挑选器操作，创建IP平安战略，阻止或答应特定的网络衔接，完成自建简易的

3、防火墙。用得较多的还是第三方防火墙软件，如天网防火墙软件等。天网防火墙软件是一款网络平安程序，根据用户设定的平安规那么把守网络，提供强大的访问控制、信息过滤等功能，从而抵御网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的平安方案，适宜于任何方式上网的用户。 13.3 相关知识点 13.3.1 防火墙概述 传统情况下，当构筑和运用木构造房屋的时候，为防止火灾的发生和蔓延，人们将巩固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙(FireWall)。如今，人们借助这个概念，运用“防火墙来维护敏感的数据不被窃取和篡改。不过，这种防火墙

4、是由先进的计算机系统构成的。防火墙犹如一道护栏隔在被维护的内部网与不平安的非信任网络之间，用来维护计算机网络免受非授权人员的骚扰与黑客的入侵。防火墙可以是非常简单的过滤器，也能够是精心配置的网关，但它们的原理是一样的，都是监测并过滤一切内部网和外部网之间的信息交换。防火墙通常是运转在一台单独计算机之上的一个特别的效力软件，它可以识别并屏蔽非法的恳求，维护内部网络敏感的数据不被偷窃和破坏，并记录内外网通讯的有关形状信息日志，如通讯发生的时间和进展的操作等。防火墙技术是一种有效的网络平安机制，它主要用于确定哪些内部效力允许外部访问，以及允许哪些外部效力访问内部效力。其根本准那么就是：一切未被允许的

5、就是制止的；一切未被制止的就是允许的。防火墙应该是不同网络或网络平安域之间信息的独一出入口，能根据企业的平安战略控制(允许、回绝、监测)出入网络的信息流，且本身具有较强的抗攻击才干，是提供信息平安效力，实现网络和信息平安的根底设备。在逻辑上，防火墙是一个分别器，一个限制器，也是一个分析器，它能有效监控内部网和外部网之间的任何活动，保证了内部网络的平安。其构造如图13-1所示。防火墙具有如下作用： 防火墙是网络平安的屏障。由于只需经过精心选择的运用协议才干经过防火墙，所以防火墙(作为阻塞点、控制点)能极大地提高内部网络的平安性，并经过过滤不平安的效力而降低风险，使网络环境变得更平安。 防火墙可以

6、强化网络平安战略。经过以防火墙为中心的平安方案配置，能将一切平安软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络平安问题分散到各个主机上相比，防火墙的集中平安管理更经济。 对网络存取和访问进展监控审计。假设一切的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络运用情况的统计数据。当发生可疑动作时，防火墙能进展适当的报警，并提供网络能否遭到探测和攻击的详细信息。另外，搜集一个网络的运用和误用情况也是非常重要的。 防止内部信息的外泄。经过利用防火墙对内部网络的划分，可实现对内部网络重点网段的隔离，从而限制部分重点或敏感网络平安问题对全局网络呵斥的影响。

7、再者，隐私是内部网络非常关怀的问题，一个内部网络中不引人留意的细节能够包含了有关平安的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些平安破绽。运用防火墙就可以隐蔽那些透漏内部细节的效力。防火墙也有局限性，存在着一些防火墙不能防备的平安要挟，如防火墙不能防备不经过防火墙的攻击(例如，假设允许从受维护的网络内部向外拨号，一些用户就能够构成与因特网的直接衔接)。另外，防火墙很难防备来自于网络内部的攻击以及病毒的要挟等。13.3.2 防火墙技术 1分组(包)过滤技术分组过滤器是目前运用最为广泛的防火墙，其作用于网络层和传输层，通常安装在路由器上。它根据分组中的源地址、目的地址、端口号、协议

8、类型等标志，确定能否允许数据包经过。只需满足过滤逻辑的数据包才被转发到相应的目的地出口端，其他数据包那么从数据流中丢弃。优点：一个过滤路由器能协助维护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。缺陷：不能彻底防止地址欺骗；一些运用协议不适宜于数据包过滤；正常的数据包过滤路由器无法执行某些平安战略。2运用代理技术运用代理也叫运用网关，它任务在运用层，采用代理效力器来替代内部网络的用户接纳外部的数据，取出运用层的信息并经过检查后，经过建立一条新的会话衔接将数据转交给内部用户主机。由于内部主机与外部主机不进展直接的通讯衔接，而是经过防火墙的运用层进展传达转交，所以可以较好地保证平安性。

9、但是它要求运用层数据中不包含加密、紧缩的数据，否那么运用层的代理很难实现平安检测。运用代理技术的特点是完全“阻隔了网络通讯流，经过对每种运用效力编制专门的代理程序，实现监视和控制运用层通讯流的作用。与分组过滤技术不同之处在于，内部网和外部网之间不存在直接衔接，同时提供审计和日志效力。实践中的运用代理通常由公用任务站来实现，如图13-2所示。运用代理型防火墙是内部网与外部网的隔离点，任务在OSI模型的最高层，掌握着运用系统中可用作平安决策的全部信息，起着监视和隔绝运用层通讯流的作用。优点：可以检查运用层、传输层和网络层的协议特征，对数据包的检测才干比较强。缺陷：难于配置和处置速度较慢。针对更高平

10、安性的要求，常把分组过滤技术与运用代理技术结合起来，构成复合型防火墙产品。所用主机称为堡垒主机，担任提供代理效力。这种结合通常有屏蔽主机和屏蔽子网这两种防火墙体系构造方案。在屏蔽主机防火墙体系构造中，如图13-3所示，包过滤路由器或防火墙与因特网相连，同时一个堡垒主机安装在内部网络，经过在包过滤路由器或防火墙上过滤规那么的设置，使堡垒主机成为因特网上其他节点所能到达的独一节点，确保内部网络不受未授权外部用户的攻击。在屏蔽子网防火墙体系构造中，如图13-4所示，堡垒主机放在一个子网(非军事区，DMZ)内，两个包过滤路由器放在这一子网的两端，使这一子网与因特网及内部网分别，堡垒主机和包过滤路由器共

11、同构成了整个防火墙的平安根底。3形状检测技术形状检测技术是基于会话层的技术，对外部的衔接和通讯行为进展形状检测，阻止具有攻击性能够的行为，从而可以抵御网络攻击。Internet上传输的数据都必需遵照TCP/IP协议。根据TCP协议，每个可靠衔接的建立需求经过“客户端同步恳求、“效力器应对、“客户端再应对3个阶段(即3次握手)，如常用的Web阅读、文件下载和收发邮件等都要经过这3个阶段。这反映出数据包并不是独立的，而是前后之间有着亲密的形状联络，基于这种形状变化，引出了形状检测技术。形状检测防火墙摒弃了包过滤防火墙仅检查数据包的IP地址等几个参数，而不关怀数据包衔接形状变化的缺陷，在防火墙的中心

12、部分建立形状衔接表，并将进出网络的数据当成一个个的会话，利用形状衔接表跟踪每一个会话形状。形状检测对每一个数据包的检查不仅根据规那么表，还思索了数据包能否符合会话所处的形状，因此提供了完好的对传输层的控制才干。形状检测技术采用了一系列优化技术，使防火墙性能大幅度提升，能运用在各类网络环境中，尤其是在一些规那么复杂的大型网络上。任何一款高性能的防火墙，都会采用形状检测技术。国内著名的防火墙公司，如北京天融信等公司，2000年就开场采用形状检测技术，并在此根底上创新推出了核检测技术，在实现平安目的的同时可以得到极高的性能。13.3.3 防火墙技术的开展目前对防火墙的开展普遍存在着两种观念，即所谓的

13、“胖、瘦防火墙之争。一种观念以为，要采取分工协作，防火墙应该做得“精瘦，只做防火墙的专职任务，可采取多家平安厂商联盟的方式来处理；另一种观念以为，应该把防火墙做得尽量的“胖，把一切平安功能尽能够多地附加在防火墙上，成为一个集成化的网络平安平台。从本质上讲，“胖、瘦防火墙并没有好坏之分，只需需求上的差别。低端防火墙是一个集成的产品，它可以具有简单的平安防护功能，还可以具有一定的IDS(入侵检测系统)功能，但普通不会集成防病毒功能。而中高端防火墙更加专业化，平安和访问控制并重，主要对经过防火墙的数据包进展审核，平安会更加深化，对协议的研讨更加深化，同时会支持多种通用的路由协议，对网络拓扑更加顺应，

14、VPN会集成到防火墙内，作为建立广域网平安隧道的一种手段，但防火墙不会集成IDS和防病毒功能，这些还是由专门的设备担任完成。13.3.4 Windows防火墙Windows XP SP2为衔接到因特网上的小型网络提供了加强的防火墙平安维护。默许情况下，会启用Windows防火墙，以便协助维护一切因特网和网络衔接。用户还可以下载并安装本人选择的防火墙。用户可以将防火墙视为一道屏障，它检查来自因特网或网络的信息，然后根据防火墙设置，回绝信息或允许信息到达计算机，如图13-5所示。13.3.4 Windows防火墙当因特网或网络上的某人尝试衔接到用户的计算机时，这种尝试称为“未经恳求的恳求。当收到“

15、未经恳求的恳求时，Windows防火墙会阻止该衔接。假设运转的程序需求从因特网或网络接纳信息，那么防火墙会讯问阻止衔接还是取消阻止(允许)衔接。假设选择取消阻止衔接，Windows防火墙将创建一个“例外，这样当该程序日后需求接纳信息时，防火墙就会允许信息到达用户的计算机。虽然可以为特定因特网衔接和网络衔接封锁Windows防火墙，但这样做会添加计算机平安性遭到要挟的风险。Windows 防火墙有三种设置：“开、“开并且无例外和“关。 “开：默许情况下处于翻开形状，而且通常该当保管此设置不变。选择此设置时，Windows防火墙阻止一切未经恳求的衔接，但不包括那些对“例外选项卡中选中的程序或效力发

16、出的恳求。 “开并且无例外：Windows防火墙会阻止一切未经恳求的衔接，包括那些对“例外选项卡中选中的程序或效力发出的恳求。当需求为计算机提供最大程度的维护时，可以运用该设置。假设选中“不允许例外复选框，依然可以收发电子邮件、运用即时音讯程序或阅读大多数网页。 “关：此设置将封锁Windows防火墙。选择此设置时，计算机更容易遭到未知入侵者或因特网病毒的损害。此设置只应由高级用户用于计算机管理目的，或者在计算机有其他防火墙维护的情况下运用。Windows防火墙只阻截一切传入的未经恳求的流量，对自动恳求传出的流量不作理睬。而第三方防火墙软件普通都会对两个方向的访问进展监控和审核，这一点是它们之

17、间最大的区别。13.3.5 天网防火墙天网防火墙个人版SkyNet FireWall(以下简称为天网防火墙)是由广州众达天网技术研发制造给个人计算机运用的网络平安程序。是“中国国家平安部、“中国公安部、“中国国家严密局及“中国国家信息平安测评认证中心信息平安产品最新检验规范认证经过，并可运用于中国政府机构和军事机关及对外发行销售的个人版防火墙软件。天网防火墙具有以下特点： 严密的实时监控。天网防火墙对一切来自外部机器的访问恳求进展过滤，发现非授权的访问恳求后立刻回绝，随时维护用户系统的信息平安。 灵敏的平安规那么。天网防火墙设置了一系列平安规那么，允许特定主机的相应效力，回绝其它主机的访问要求

18、。用户还可以根据本人的实践情况，添加、删除、修正平安规那么，维护主机平安。 运用程序规那么设置。天网防火墙添加对运用程序数据包进展底层分析拦截功能，它可以控制运用程序发送和接纳数据包的类型、通讯端口，并且决议拦截还是经过。 详细的访问记录和完善的报警系统。天网防火墙可显示一切被拦截的访问记录，包括访问的时间、来源、类型、代码等都详细地记录下来，可以清楚地看到能否有入侵者想衔接到用户的计算机，从而制定更有效的防护规那么。天网防火墙还设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。 即时聊天维护功能。13.4 工程实现 13.4.1 义务1:Window

19、s防火墙的运用及简易防火墙的配置 1义务目的熟习Windows防火墙的运用。了解简易防火墙的配置。掌握平安规那么的建立方法。2工程所需设备预备装有Windows XP操作系统的PC机1台。能正常运转的局域网。3工程实施步骤(1) Windows防火墙的运用 启用Windows防火墙。步骤1：选择菜单“开场“设置“控制面板命令，翻开“控制面板窗口，然后双击其中的“Windows 防火墙图标，翻开“Windows防火墙对话框，如图13-6所示。步骤2：在“常规选项卡中，选中“启用(引荐)单项选择按钮。 设置Windows防火墙允许ping命令运转。在默许情况下，Windows防火墙是不允许ping

20、命令运转的，即当本地计算机开启Windows防火墙时，在网络中的其他计算机上运转ping命令，向本地计算机发送数据包，本地计算机将不会应对，其他计算机上会出现ping命令的超时错误。假设要让Windows防火墙允许ping命令运转，需进展如下设置。步骤1：在“Windows防火墙对话框中，选择“高级选项卡。步骤2：单击“ICMP选项组中的“设置按钮，翻开“ICMP设置对话框，选中“允许传入回显恳求复选框。 设置Windows防火墙允许QQ程序运转。在默许情况下，Windows防火墙将阻止QQ程序的运转，假设要让Windows防火墙允许QQ程序运转，需进展如下设置。步骤1：在“Windows防火

21、墙对话框中，选择“例外选项卡，如图13-9所示，“程序和效力列表框中列出了Windows防火墙允许进展传入网络衔接的程序和效力。步骤2：单击“添加程序按钮，翻开“添加程序对话框，向下拖动垂直滚动条，找到并选中“腾讯QQ2021程序，如图13-10所示，再单击“确定按钮。此时，“腾讯QQ2021程序已填入“例外选项卡中的“程序和效力列表框中了。 启用平安记录。当Windows防火墙处于启动形状时，在默许情况下并不启用平安记录。但是，无论平安记录能否被启用，防火墙都能正常任务，而只需启用了Windows防火墙的衔接才干运用日志记录功能。步骤1：在“Windows防火墙对话框中，选择“高级选项卡。步

22、骤2：单击“平安日志记录选项组中的“设置按钮，翻开“日志设置对话框，选中“记录被丢弃的数据包和“记录胜利的衔接复选框，如图13-11所示，再单击“确定按钮。 查看平安日志。防火墙平安日志文件名为pfirewall.log，存放在Windows文件夹中。但必需选中“记录被丢弃的数据包或“记录胜利的衔接复选框后，才干使pfirewall.log文件出如今Windows文件夹中。步骤1：在“Windows防火墙对话框中，选择“高级选项卡。步骤2：单击“平安日志记录选项组中的“设置按钮，翻开“日志设置对话框。步骤3：单击“另存为按钮，在翻开的“另存为对话框中，找到并右击pfirewall.log文件，

23、在弹出的快捷菜单中选择“翻开命令，即可查看平安日志。(2) 简易防火墙的配置下面尝试在Windows XP Professional上学习配置简易的防火墙。 添加IP平安战略管理。步骤1：选择菜单“开场“运转命令，在“运转对话框的“翻开文本框中输入mmc，单击“确定按钮，翻开“控制台1窗口，如图13-12所示，其中包含了“控制台根节点窗口。步骤2：在“控制台1窗口的“文件菜单中选择“添加/删除管理单元命令，翻开“添加/删除管理单元对话框，如图13-13所示，选择“独立选项卡。步骤3：在“将管理单元添加到下拉列表框中，选择“控制台根节点选项，然后单击“添加按钮，翻开“添加独立管理单元对话框，如图

24、13-14所示。步骤4：在“可用的独立管理单元列表框中选择“IP平安战略管理选项，然后单击“添加按钮，翻开“选择计算机或域对话框，如图13-15所示。选中“本地计算机单项选择按钮，再单击“完成按钮，前往“添加独立管理单元对话框。步骤5：单击“封锁按钮，前往“添加/删除管理单元对话框。步骤6：单击“确定按钮，前往“控制台1窗口，完成“IP平安战略，在本地计算机的设置。 添加IP挑选器表。在本机中添加一个能对指定IP地址(如)进展挑选的IP挑选器表。步骤1：在“控制台1窗口的“控制台根节点窗口中，右击左窗格中的“IP平安战略，在本地计算机选项，在弹出的快捷菜单中选择“管理IP挑选器表和挑选器操作命

25、令，翻开“管理IP挑选器表和挑选器操作对话框，如图13-16所示，单击“添加按钮。步骤2：在翻开的“IP挑选器列表对话框中，输入此IP挑选器的称号和描画。例如：“称号为“屏蔽特定IP，“描画为“屏蔽，并取消选择“运用添加导游复选框，如图13-17所示，然后单击“添加按钮。步骤3：在翻开的“挑选器属性对话框中选择“寻址选项卡，在“源地址和“目的地址下拉列表框中分别选择“我的IP地址和“一个特定的IP地址选项。在“IP地址文本框中输入要屏蔽的IP地址，如“，如图13-18所示。步骤4：在“协议选项卡中，可选择协议类型及设置IP协议端口。步骤5：在“描画选项卡的“描画文本框中，可输入描画文字，作为挑

26、选器的详细阐明。步骤6：然后，单击“确定按钮，前往“IP挑选器列表对话框，再单击“确定按钮，前往“管理IP挑选器表和挑选器操作对话框，“屏蔽特定IP已填入了“IP挑选器列表列表中。步骤7：单击“封锁按钮，完本钱次操作。 添加IP挑选器操作。上述操作将一个虚拟的C类网址“参与到了待屏蔽IP列表中，但它只是一个列表项，没有防火墙功能，只需再参与动作后，才可以发扬作用。下面将建立一个“阻止操作，经过“阻止操作与刚刚的列表项结合，就可以屏蔽特定的IP地址。步骤1：在“控制台1窗口的“控制台根节点窗口中，右击左窗格中的“IP平安战略，在本地计算机选项，在弹出的快捷菜单中选择“管理IP挑选器表和挑选器操作

27、命令，翻开“管理IP挑选器表和挑选器操作对话框。步骤2：在“管理IP挑选器列表选项卡中选择“屏蔽特定IP选项，然后选择“管理挑选器操作选项卡，取消选择“运用添加导游复选框，如图13-19所示，再单击“添加按钮。步骤3：在翻开的“新挑选器操作属性对话框的“平安措施选项卡中，选中“阻止单项选择按钮，如图13-20所示。步骤4：选择“常规选项卡，在“称号文本框中输入“阻止，如图13-21所示。步骤5：单击“确定按钮，此时“阻止操作已填入到“挑选器操作列表中了。步骤6：单击“封锁按钮，完本钱次操作。 创建IP平安战略。挑选器表和挑选器操作已建立终了，将它们结合起来发扬防火墙的作用。步骤1：前往“控制台

28、1的“控制台根节点窗口，右击“IP平安战略，在本地计算机选项，在弹出的快捷菜单中选择“创建IP平安战略命令，翻开“IP平安战略导游对话框。步骤2：单击“下一步按钮，出现“IP平安战略称号界面，如图13-22所示。在“称号文本框中输入“我的平安战略，还可以在“描画文本框中输入对平安战略设置的描画。步骤3：单击“下一步按钮，出现“平安通讯恳求界面，如图13-23所示。取消选择“激活默许呼应规那么复选框。步骤4：单击“下一步按钮，出现“正在完成IP平安战略导游界面，如图13-24所示。选中“编辑属性复选框，再单击“完成按钮。步骤5：在翻开的“我的平安战略属性对话框中，选择“规那么选项卡，取消选择“运

29、用添加导游复选框，如图13-25所示，再单击“添加按钮，翻开“新规那么属性对话框，如图13-26所示。下面修正战略的属性，用挑选器表和挑选器操作建立规那么。步骤6：在“IP挑选器列表选项卡中，选中新建立的IP挑选器(即“屏蔽特定IP)单项选择按钮；再在“挑选器操作选项卡中，选中“阻止单项选择按钮；然后单击“确定按钮，前往“我的平安战略属性对话框，可以看到新规那么曾经建立。单击“封锁按钮。至此，屏蔽特定IP的操作已完成。 用IP挑选器屏蔽特定端口。下面建立一个名为“屏蔽端口的IP挑选器规那么，封锁本机的端口，然后结合上述义务添加的“阻止动作进展设置。同样，也可以封锁其他端口。步骤1：在“控制台1

30、窗口的“控制台根节点窗口中，右击左窗格中的“IP平安战略，在本地计算机选项，在弹出的快捷菜单中选择“管理IP挑选器表和挑选器操作命令。步骤2：在“管理IP挑选器表和挑选器操作对话框中，单击“添加按钮，在“IP挑选器列表对话框的“称号文本框中，输入“屏蔽端口，继续单击“添加按钮，翻开“挑选器属性对话框。步骤3：选择“寻址选项卡，在“源地址下拉列表框中，选择“任何IP地址；在“目的地址下拉列表框中，选择“我的IP地址；取消“镜像复选框，如图13-27所示。“挑选器属性对话框中的“协议选项卡和“描画选项卡，可参考图13-28、图13-29进展设置。步骤4：单击“确定按钮，前往“IP挑选器列表对话框，

31、再单击“确定按钮，可以看到“屏蔽端口已建立完成。 运用IP平安战略规那么。步骤1：右击右窗格中新建立的“我的平安战略选项，在弹出的快捷菜单中选择“属性命令，翻开“我的平安战略属性对话框，单击“添加按钮。步骤2：在“IP挑选器列表选项卡中，选中“屏蔽端口单项选择按钮；再在“挑选器操作选项卡中，选中“阻止单项选择按钮；然后单击“确定按钮，前往“我的平安战略属性对话框，可以看到新规那么曾经建立。步骤3：在“控制台1窗口的“控制台根节点窗口中，右击右窗格中的“我的平安战略选项，在弹出的快捷菜单中选择“指派命令。步骤4：右击左窗格中的“IP平安战略，在本地计算机选项，在弹出的快捷菜单中选择“一切义务“导

32、出战略命令，备份所设置的平安战略。同样，也可以运用“导入战略命令恢复。13.4.2 义务2:天网防火墙的配置 1义务目的了解天网防火墙的功能。熟习天网防火墙的配置。2工程所需设备预备装有Windows XP操作系统的PC机1台。天网防火墙(个人版)软件1套。能正常运转的局域网。3工程实施步骤(1) 天网防火墙的默许设置步骤1：下载并安装天网防火墙(个人版)后的主界面如图13-31所示，平安级别默以为“中，能满足大部分用户的需求。操作按钮主要有“运用程序规那么、“IP规那么管理、“系统设置、“网络运用情况、“日志、“接通/断开网络开关等。步骤2：单击“系统设置按钮，翻开如图13-32所示的界面，

33、选中“开机后自动启动防火墙和“报警声音复选框，取消选择“自动弹出新资讯提示复选框。(2) Internet Explorer程序规那么设置(3) 开放BT端口(4) 制止端口防备常见病毒 防备“冲击波病毒。“冲击波病毒是利用Windows系统的RPC效力破绽以及开放的69、445、4444端口进展入侵。制止上述端口，就可防备“冲击波病毒。步骤1：在图13-38中，选中“制止互联网上的机器运用我的共享资源复选框，就制止了和两个端口。步骤2：新建“制止69端口、“制止445端口和“制止4444端口3条规那么，如图13-39、图13-40和图13-41所示。 防备“冰河木马。“冰河木马运用的是UDP

34、协议，默许端口为7626，只需制止这个端口，就可防备“冰河木马。(5) 开放WEB和FTP效力(6) 日志分析运用防火墙，关键是会看日志，看懂日志对分析问题是非常关键的。日志记录了不符合规那么的数据包被拦截等情况，经过分析日志就能知道计算机遭遭到什么攻击。步骤1：在天网防火墙主界面中，单击“日志按钮，翻开日志界面，选择日志类型为“全部日志，如图13-45所示。13.5 拓展知识：网络平安根底 网络平安是指网络系统的硬件、软件及其系统中的数据遭到维护，不因偶尔的或者恶意的缘由而遭遭到破坏、更改、泄露，系统延续可靠正常地运转，网络效力不中断。网络平安从其本质上来讲就是网络上的信息平安。从广义来说，凡是涉及到网络上信息的严密性、完好性、可用性、真实性和可控性的相关技术和实际都是网络平安的研讨领域。 1网络平安的特性 性。性是指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因此不能运用。 完好性。完好性是指维护信息的一致性，即信息在生成、传