企管-项目13防火墙的配置

学习情境六网络平安与网络编程

工程13防火墙的配置工程1双机互连对等网络的组建13.1工程提出在目前网络受攻击案件数量直线上升的情况下，用户随时都可能遭到各种恶意攻击。张飞近期备受计算机病毒的骚扰，虽然了安装了反病毒软件，但还是存在很多平安隐患，如上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丧失、隐私曝光等。为了进一步提高计算机及网络的平安性，张飞请诸葛亮帮助安装一款防火墙软件，并合理设置一些平安规那么，拦截一些来历不明、有害敌意访问或攻击行为，消除平安隐患。13.2工程分析网络的开展虽然为人们带来了许多方便，可也带来了很多隐患。随着网络的普及，病毒、木马、网络攻击等平安事故层出不穷，安装一款好的防火墙软件必不可少。Windows系统自带了防火墙，能满足一般用户的需要。用InternetExplorer、OutlookExpress等Windows系统自带的程序进行网络连接，Windows防火墙是默认不干预的。Windows防火墙能限制从其他计算机发送来的信息，使用户可以更好地控制自己计算机上的数据，并针对那些未经邀请而尝试连接的用户或程序(包括病毒和蠕虫)提供了一条平安防线。在微软管理控制台(MMC)中，添加“IP平安策略管理〞后，通过“IP筛选器表〞和“IP筛选器操作〞，创立IP平安策略，阻止或许可特定的网络连接，完成自建简易的防火墙。用得较多的还是第三方防火墙软件，如天网防火墙软件等。天网防火墙软件是一款网络平安程序，根据用户设定的平安规那么把守网络，提供强大的访问控制、信息过滤等功能，从而抵御网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的平安方案，适合于任何方式上网的用户。13.3相关知识点13.3.1防火墙概述传统情况下，当构筑和使用木结构房屋的时候，为防止火灾的发生和蔓延，人们将巩固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙(FireWall)。如今，人们借助这个概念，使用“防火墙〞来保护敏感的数据不被窃取和篡改。不过，这种防火墙是由先进的计算机系统构成的。防火墙犹如一道护栏隔在被保护的内部网与不平安的非信任网络之间，用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。防火墙通常是运行在一台单独计算机之上的一个特别的效劳软件，它可以识别并屏蔽非法的请求，保护内部网络敏感的数据不被偷窃和破坏，并记录内外网通信的有关状态信息日志，如通信发生的时间和进行的操作等。防火墙技术是一种有效的网络平安机制，它主要用于确定哪些内部效劳允许外部访问，以及允许哪些外部效劳访问内部效劳。其根本准那么就是：一切未被允许的就是禁止的；一切未被禁止的就是允许的。防火墙应该是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息平安效劳，实现网络和信息平安的根底设施。在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，它能有效监控内部网和外部网之间的任何活动，保证了内部网络的平安。其结构如图13-1所示。防火墙具有如下作用：①防火墙是网络平安的屏障。由于只有经过精心选择的应用协议才能通过防火墙，所以防火墙(作为阻塞点、控制点)能极大地提高内部网络的平安性，并通过过滤不平安的效劳而降低风险，使网络环境变得更平安。②防火墙可以强化网络平安策略。通过以防火墙为中心的平安方案配置，能将所有平安软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络平安问题分散到各个主机上相比，防火墙的集中平安管理更经济。③对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到探测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。④防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现对内部网络重点网段的隔离，从而限制局部重点或敏感网络平安问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关平安的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些平安漏洞。使用防火墙就可以隐蔽那些透漏内部细节的效劳。防火墙也有局限性，存在着一些防火墙不能防范的平安威胁，如防火墙不能防范不经过防火墙的攻击(例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与因特网的直接连接)。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁等。13.3.2防火墙技术1．分组(包)过滤技术分组过滤器是目前使用最为广泛的防火墙，其作用于网络层和传输层，通常安装在路由器上。它根据分组中的源地址、目的地址、端口号、协议类型等标志，确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包那么从数据流中丢弃。优点：一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些平安策略。2．应用代理技术应用代理也叫应用网关，它工作在应用层，采用代理效劳器来代替内部网络的用户接收外部的数据，取出应用层的信息并经过检查后，通过建立一条新的会话连接将数据转交给内部用户主机。由于内部主机与外部主机不进行直接的通信连接，而是通过防火墙的应用层进行传达转交，所以可以较好地保证平安性。但是它要求应用层数据中不包含加密、压缩的数据，否那么应用层的代理很难实现平安检测。应用代理技术的特点是完全“阻隔〞了网络通信流，通过对每种应用效劳编制专门的代理程序，实现监视和控制应用层通信流的作用。与分组过滤技术不同之处在于，内部网和外部网之间不存在直接连接，同时提供审计和日志效劳。实际中的应用代理通常由专用工作站来实现，如图13-2所示。应用代理型防火墙是内部网与外部网的隔离点，工作在OSI模型的最高层，掌握着应用系统中可用作平安决策的全部信息，起着监视和隔绝应用层通信流的作用。优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。缺点：难于配置和处理速度较慢。针对更高平安性的要求，常把分组过滤技术与应用代理技术结合起来，形成复合型防火墙产品。所用主机称为堡垒主机，负责提供代理效劳。这种结合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构方案。在屏蔽主机防火墙体系结构中，如图13-3所示，包过滤路由器或防火墙与因特网相连，同时一个堡垒主机安装在内部网络，通过在包过滤路由器或防火墙上过滤规那么的设置，使堡垒主机成为因特网上其他节点所能到达的唯一节点，确保内部网络不受未授权外部用户的攻击。在屏蔽子网防火墙体系结构中，如图13-4所示，堡垒主机放在一个子网(非军事区，DMZ)内，两个包过滤路由器放在这一子网的两端，使这一子网与因特网及内部网别离，堡垒主机和包过滤路由器共同构成了整个防火墙的平安根底。3．状态检测技术状态检测技术是基于会话层的技术，对外部的连接和通信行为进行状态检测，阻止具有攻击性可能的行为，从而可以抵御网络攻击。Internet上传输的数据都必须遵循TCP/IP协议。根据TCP协议，每个可靠连接的建立需要经过“客户端同步请求〞、“效劳器应答〞、“客户端再应答〞3个阶段(即3次握手)，如常用的Web浏览、文件下载和收发邮件等都要经过这3个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅检查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心局部建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态连接表跟踪每一个会话状态。状态检测对每一个数据包的检查不仅根据规那么表，还考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规那么复杂的大型网络上。任何一款高性能的防火墙，都会采用状态检测技术。国内著名的防火墙公司，如北京天融信等公司，2000年就开始采用状态检测技术，并在此根底上创新推出了核检测技术，在实现平安目标的同时可以得到极高的性能。13.3.3防火墙技术的开展目前对防火墙的开展普遍存在着两种观点，即所谓的“胖、瘦〞防火墙之争。一种观点认为，要采取分工协作，防火墙应该做得“精瘦〞，只做防火墙的专职工作，可采取多家平安厂商联盟的方式来解决；另一种观点认为，应该把防火墙做得尽量的“胖〞，把所有平安功能尽可能多地附加在防火墙上，成为一个集成化的网络平安平台。从本质上讲，“胖、瘦〞防火墙并没有好坏之分，只有需求上的差异。低端防火墙是一个集成的产品，它可以具有简单的平安防护功能，还可以具有一定的IDS(入侵检测系统)功能，但一般不会集成防病毒功能。而中高端防火墙更加专业化，平安和访问控制并重，主要对经过防火墙的数据包进行审核，平安会更加深化，对协议的研究更加深入，同时会支持多种通用的路由协议，对网络拓扑更加适应，VPN会集成到防火墙内，作为建立广域网平安隧道的一种手段，但防火墙不会集成IDS和防病毒功能，这些还是由专门的设备负责完成。13.3.4Windows防火墙WindowsXPSP2为连接到因特网上的小型网络提供了增强的防火墙平安保护。默认情况下，会启用Windows防火墙，以便帮助保护所有因特网和网络连接。用户还可以下载并安装自己选择的防火墙。用户可以将防火墙视为一道屏障，它检查来自因特网或网络的信息，然后根据防火墙设置，拒绝信息或允许信息到达计算机，如图13-5所示。13.3.4Windows防火墙当因特网或网络上的某人尝试连接到用户的计算机时，这种尝试称为“未经请求的请求〞。当收到“未经请求的请求〞时，Windows防火墙会阻止该连接。如果运行的程序需要从因特网或网络接收信息，那么防火墙会询问阻止连接还是取消阻止(允许)连接。如果选择取消阻止连接，Windows防火墙将创立一个“例外〞，这样当该程序日后需要接收信息时，防火墙就会允许信息到达用户的计算机。虽然可以为特定因特网连接和网络连接关闭Windows防火墙，但这样做会增加计算机平安性受到威胁的风险。Windows防火墙有三种设置：“开〞、“开并且无例外〞和“关〞。①“开〞：默认情况下处于翻开状态，而且通常应当保存此设置不变。选择此设置时，Windows防火墙阻止所有未经请求的连接，但不包括那些对“例外〞选项卡中选中的程序或效劳发出的请求。②“开并且无例外〞：Windows防火墙会阻止所有未经请求的连接，包括那些对“例外〞选项卡中选中的程序或效劳发出的请求。当需要为计算机提供最大程度的保护时，可以使用该设置。如果选中“不允许例外〞复选框，仍然可以收发电子邮件、使用即时消息程序或浏览大多数网页。③“关〞：此设置将关闭Windows防火墙。选择此设置时，计算机更容易受到未知入侵者或因特网病毒的侵害。此设置只应由高级用户用于计算机管理目的，或者在计算机有其他防火墙保护的情况下使用。Windows防火墙只阻截所有传入的未经请求的流量，对主动请求传出的流量不作理会。而第三方防火墙软件一般都会对两个方向的访问进行监控和审核，这一点是它们之间最大的区别。13.3.5天网防火墙天网防火墙个人版SkyNetFireWall(以下简称为天网防火墙)是由广州众达天网技术研发制作给个人计算机使用的网络平安程序。是“中国国家平安部〞、“中国公安部〞、“中国国家保密局〞及“中国国家信息平安测评认证中心〞信息平安产品最新检验标准认证通过，并可使用于中国政府机构和军事机关及对外发行销售的个人版防火墙软件。天网防火墙具有以下特点：①严密的实时监控。天网防火墙对所有来自外部机器的访问请求进行过滤，发现非授权的访问请求后立即拒绝，随时保护用户系统的信息平安。②灵活的平安规那么。天网防火墙设置了一系列平安规那么，允许特定主机的相应效劳，拒绝其它主机的访问要求。用户还可以根据自己的实际情况，添加、删除、修改平安规那么，保护主机平安。③应用程序规那么设置。天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通信端口，并且决定拦截还是通过。④详细的访问记录和完善的报警系统。天网防火墙可显示所有被拦截的访问记录，包括访问的时间、来源、类型、代码等都详细地记录下来，可以清楚地看到是否有入侵者想连接到用户的计算机，从而制定更有效的防护规那么。天网防火墙还设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。⑤即时聊天保护功能。13.4工程实现13.4.1任务1:Windows防火墙的应用及简易防火墙的配置1．任务目标熟悉Windows防火墙的应用。了解简易防火墙的配置。掌握平安规那么的建立方法。2．工程所需设备准备装有WindowsXP操作系统的PC机1台。能正常运行的局域网。3．工程实施步骤(1)Windows防火墙的应用①启用Windows防火墙。步骤1：选择菜单“开始〞→“设置〞→“控制面板〞命令，翻开“控制面板〞窗口，然后双击其中的“Windows防火墙〞图标，翻开“Windows防火墙〞对话框，如图13-6所示。步骤2：在“常规〞选项卡中，选中“启用(推荐)〞单项选择按钮。②设置Windows防火墙允许ping命令运行。在默认情况下，Windows防火墙是不允许ping命令运行的，即当本地计算机开启Windows防火墙时，在网络中的其他计算机上运行ping命令，向本地计算机发送数据包，本地计算机将不会应答，其他计算机上会出现ping命令的超时错误。如果要让Windows防火墙允许ping命令运行，需进行如下设置。步骤1：在“Windows防火墙〞对话框中，选择“高级〞选项卡。步骤2：单击“ICMP〞选项组中的“设置〞按钮，翻开“ICMP设置〞对话框，选中“允许传入回显请求〞复选框。③设置Windows防火墙允许QQ程序运行。在默认情况下，Windows防火墙将阻止QQ程序的运行，如果要让Windows防火墙允许QQ程序运行，需进行如下设置。步骤1：在“Windows防火墙〞对话框中，选择“例外〞选项卡，如图13-9所示，“程序和效劳〞列表框中列出了Windows防火墙允许进行传入网络连接的程序和效劳。步骤2：单击“添加程序〞按钮，翻开“添加程序〞对话框，向下拖动垂直滚动条，找到并选中“腾讯QQ2021〞程序，如图13-10所示，再单击“确定〞按钮。此时，“腾讯QQ2021〞程序已填入“例外〞选项卡中的“程序和效劳〞列表框中了。④启用平安记录。当Windows防火墙处于启动状态时，在默认情况下并不启用平安记录。但是，无论平安记录是否被启用，防火墙都能正常工作，而只有启用了Windows防火墙的连接才能使用日志记录功能。步骤1：在“Windows防火墙〞对话框中，选择“高级〞选项卡。步骤2：单击“平安日志记录〞选项组中的“设置〞按钮，翻开“日志设置〞对话框，选中“记录被丢弃的数据包〞和“记录成功的连接〞复选框，如图13-11所示，再单击“确定〞按钮。⑤查看平安日志。防火墙平安日志文件名为pfirewall.log，存放在Windows文件夹中。但必须选中“记录被丢弃的数据包〞或“记录成功的连接〞复选框后，才能使pfirewall.log文件出现在Windows文件夹中。步骤1：在“Windows防火墙〞对话框中，选择“高级〞选项卡。步骤2：单击“平安日志记录〞选项组中的“设置〞按钮，翻开“日志设置〞对话框。步骤3：单击“另存为〞按钮，在翻开的“另存为〞对话框中，找到并右击pfirewall.log文件，在弹出的快捷菜单中选择“翻开〞命令，即可查看平安日志。(2)简易防火墙的配置下面尝试在WindowsXPProfessional上学习配置简易的防火墙。①添加IP平安策略管理。步骤1：选择菜单“开始〞→“运行〞命令，在“运行〞对话框的“翻开〞文本框中输入mmc，单击“确定〞按钮，翻开“控制台1〞窗口，如图13-12所示，其中包含了“控制台根节点〞窗口。步骤2：在“控制台1〞窗口的“文件〞菜单中选择“添加/删除管理单元〞命令，翻开“添加/删除管理单元〞对话框，如图13-13所示，选择“独立〞选项卡。步骤3：在“将管理单元添加到〞下拉列表框中，选择“控制台根节点〞选项，然后单击“添加〞按钮，翻开“添加独立管理单元〞对话框，如图13-14所示。步骤4：在“可用的独立管理单元〞列表框中选择“IP平安策略管理〞选项，然后单击“添加〞按钮，翻开“选择计算机或域〞对话框，如图13-15所示。选中“本地计算机〞单项选择按钮，再单击“完成〞按钮，返回“添加独立管理单元〞对话框。步骤5：单击“关闭〞按钮，返回“添加/删除管理单元〞对话框。步骤6：单击“确定〞按钮，返回“控制台1〞窗口，完成“IP平安策略，在本地计算机〞的设置。②添加IP筛选器表。在本机中添加一个能对指定IP地址(如)进行筛选的IP筛选器表。步骤1：在“控制台1〞窗口的“控制台根节点〞窗口中，右击左窗格中的“IP平安策略，在本地计算机〞选项，在弹出的快捷菜单中选择“管理IP筛选器表和筛选器操作〞命令，翻开“管理IP筛选器表和筛选器操作〞对话框，如图13-16所示，单击“添加〞按钮。步骤2：在翻开的“IP筛选器列表〞对话框中，输入此IP筛选器的名称和描述。例如：“名称〞为“屏蔽特定IP〞，“描述〞为“屏蔽〞，并取消选择“使用‘添加向导’〞复选框，如图13-17所示，然后单击“添加〞按钮。步骤3：在翻开的“筛选器属性〞对话框中选择“寻址〞选项卡，在“源地址〞和“目标地址〞下拉列表框中分别选择“我的IP地址〞和“一个特定的IP地址〞选项。在“IP地址〞文本框中输入要屏蔽的IP地址，如“〞，如图13-18所示。步骤4：在“协议〞选项卡中，可选择协议类型及设置IP协议端口。步骤5：在“描述〞选项卡的“描述〞文本框中，可输入描述文字，作为筛选器的详细说明。步骤6：然后，单击“确定〞按钮，返回“IP筛选器列表〞对话框，再单击“确定〞按钮，返回“管理IP筛选器表和筛选器操作〞对话框，“屏蔽特定IP〞已填入了“IP筛选器列表〞列表中。步骤7：单击“关闭〞按钮，完本钱次操作。③添加IP筛选器操作。上述操作将一个虚拟的C类网址“〞参加到了待屏蔽IP列表中，但它只是一个列表项，没有防火墙功能，只有再参加动作后，才能够发挥作用。下面将建立一个“阻止〞操作，通过“阻止〞操作与刚刚的列表项结合，就可以屏蔽特定的IP地址。步骤1：在“控制台1〞窗口的“控制台根节点〞窗口中，右击左窗格中的“IP平安策略，在本地计算机〞选项，在弹出的快捷菜单中选择“管理IP筛选器表和筛选器操作〞命令，翻开“管理IP筛选器表和筛选器操作〞对话框。步骤2：在“管理IP筛选器列表〞选项卡中选择“屏蔽特定IP〞选项，然后选择“管理筛选器操作〞选项卡，取消选择“使用‘添加向导’〞复选框，如图13-19所示，再单击“添加〞按钮。步骤3：在翻开的“新筛选器操作属性〞对话框的“平安措施〞选项卡中，选中“阻止〞单项选择按钮，如图13-20所示。步骤4：选择“常规〞选项卡，在“名称〞文本框中输入“阻止〞，如图13-21所示。步骤5：单击“确定〞按钮，此时“阻止〞操作已填入到“筛选器操作〞列表中了。步骤6：单击“关闭〞按钮，完本钱次操作。④创立IP平安策略。筛选器表和筛选器操作已建立完毕，将它们结合起来发挥防火墙的作用。步骤1：返回“控制台1〞的“控制台根节点〞窗口，右击“IP平安策略，在本地计算机〞选项，在弹出的快捷菜单中选择“创立IP平安策略〞命令，翻开“IP平安策略向导〞对话框。步骤2：单击“下一步〞按钮，出现“IP平安策略名称〞界面，如图13-22所示。在“名称〞文本框中输入“我的平安策略〞，还可以在“描述〞文本框中输入对平安策略设置的描述。步骤3：单击“下一步〞按钮，出现“平安通讯请求〞界面，如图13-23所示。取消选择“激活默认响应规那么〞复选框。步骤4：单击“下一步〞按钮，出现“正在完成IP平安策略向导〞界面，如图13-24所示。选中“编辑属性〞复选框，再单击“完成〞按钮。步骤5：在翻开的“我的平安策略属性〞对话框中，选择“规那么〞选项卡，取消选择“使用‘添加向导’〞复选框，如图13-25所示，再单击“添加〞按钮，翻开“新规那么属性〞对话框，如图13-26所示。下面修改策略的属性，用筛选器表和筛选器操作建立规那么。步骤6：在“IP筛选器列表〞选项卡中，选中新建立的IP筛选器(即“屏蔽特定IP〞)单项选择按钮；再在“筛选器操作〞选项卡中，选中“阻止〞单项选择按钮；然后单击“确定〞按钮，返回“我的平安策略属性〞对话框，可以看到新规那么已经建立。单击“关闭〞按钮。至此，屏蔽特定IP的操作已完成。⑤用IP筛选器屏蔽特定端口。下面建立一个名为“屏蔽139端口〞的IP筛选器规那么，关闭本机的139端口，然后结合上述任务添加的“阻止〞动作进行设置。同样，也可以关闭其他端口。步骤1：在“控制台1〞窗口的“控制台根节点〞窗口中，右击左窗格中的“IP平安策略，在本地计算机〞选项，在弹出的快捷菜单中选择“管理IP筛选器表和筛选器操作〞命令。步骤2：在“管理IP筛选器表和筛选器操作〞对话框中，单击“添加〞按钮，在“IP筛选器列表〞对话框的“名称〞文本框中，输入“屏蔽139端口〞，继续单击“添加〞按钮，翻开“筛选器属性〞对话框。步骤3：选择“寻址〞选项卡，在“源地址〞下拉列表框中，选择“任何IP地址〞；在“目标地址〞下拉列表框中，选择“我的IP地址〞；取消“镜像〞复选框，如图13-27所示。“筛选器属性〞对话框中的“协议〞选项卡和“描述〞选项卡，可参考图13-28、图13-29进行设置。步骤4：单击“确定〞按钮，返回“IP筛选器列表〞对话框，再单击“确定〞按钮，可以看到“屏蔽139端口〞已建立完成。⑥应用IP平安策略规那么。步骤1：右击右窗格中新建立的“我的平安策略〞选项，在弹出的快捷菜单中选择“属性〞命令，翻开“我的平安策略属性〞对话框，单击“添加〞按钮。步骤2：在“IP筛选器列表〞选项卡中，选中“屏蔽139端口〞单项选择按钮；再在“筛选器操作〞选项卡中，选中“阻止〞单项选择按钮；然后单击“确定〞按钮，返回“我的平安策略属性〞对话框，可以看到新规那么已经建立。步骤3：在“控制台1〞窗口的“控制台根节点〞窗口中，右击右窗格中的“我的平安策略〞选项，在弹出的快捷菜单中选择“指派〞命令。步骤4：右击左窗格中的“IP平安策略，在本地计算机〞选项，在弹出的快捷菜单中选择“所有任务〞→“导出策略〞命令，备份所设置的平安策略。同样，也可以使用“导入策略〞命令恢复。13.4.2任务2:天网防火墙的配置1．任务目标了解天网防火墙的功能。熟悉天网防火墙的配置。2．工程所需设备准备装有WindowsXP操作系统的PC机1台。天网防火墙(个人版)软件1套。能正常运行的局域网。3．工程实施步骤(1)天网防火墙的默认设置步骤1：下载并安装天网防火墙(个人版)后的主界面如图13-31所示，平安级别默认为“中〞，能满足大局部用户的需要。操作按钮主要有“应用程序规那么〞、“IP规那么管理〞、“系统设置〞、“网络使用情况〞、“日志〞、“接通/断开网络开关〞等。步骤2：单击“系统设置〞按钮，翻开如图13-32所示的界面，选中“开机后自动启动防火墙〞和“报警声音〞复选框，取消选择“自动弹出新资讯提示〞复选框。(2)InternetExplorer程序规那么设置(3)开放BT端口(4)禁止端口防范常见病毒①防范“冲击波〞病毒。“冲击波〞病毒是利用Windows系统的RPC效劳漏洞以及开放的69、135、139、445、4444端口进行入侵。禁止上述端口，就可防范“冲击波〞病毒。步骤1：在图13-38中，选中“禁止互联网上的机器使用我的共享资源〞复选框，就禁止了135和139两个端口。步骤2：新建“禁止69端口〞、“禁止445端口〞和“禁止4444端口〞3条规那么，如图13-39、图13-40和图13-41所示。②防范“冰河〞木马。“冰河〞木马使用的是UDP协议，默认端口为7626，只要禁止这个端口，就可防范“冰河〞木马。(5)开放WEB和FTP效劳(6)日志分析使用防火墙，关键是会看日志，看懂日志对分析问题是非常关键的。日志记录了不符合规那么的数据包被拦截等情况，通过分析日志就能知道计算机遭受到什么攻击。步骤1：在天网防火墙主界面中，单击“日志〞按钮，翻开日志界面，选择日志类型为“全部日志〞，如图13-45所示。13.5拓展知识：网络平安根底网络平安是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络效劳不中断。网络平安从其本质上来讲就是网络上的信息平安。从广义来说，但凡涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络平安的研究领域。1．网络平安的特性①机密性。机密性是指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。②完整性。完整性是指维护信息