專(zhuān)題講座資料（2021-2022年）個(gè)人防火墻的應(yīng)用和配置實(shí)驗(yàn)報(bào)告

1、個(gè)人防火墻的應(yīng)用和配置1 實(shí)驗(yàn)題目簡(jiǎn)述1.1 題目描述個(gè)人防火墻是防止電腦中的信息被外部侵襲的一項(xiàng)技術(shù)，在系統(tǒng)中監(jiān)控、阻止任何未經(jīng)授權(quán)允許的數(shù)據(jù)進(jìn)入或發(fā)出到互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)系統(tǒng)。個(gè)人防火墻產(chǎn)品如著名Symantec公司的諾頓、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等，都能幫助用戶(hù)的系統(tǒng)進(jìn)行監(jiān)控及管理，防止特洛伊木馬、spy-ware 等病毒程序通過(guò)網(wǎng)絡(luò)進(jìn)入電腦或向外部擴(kuò)散。這些軟件都能夠獨(dú)立運(yùn)行于整個(gè)系統(tǒng)中或針對(duì)個(gè)別程序、項(xiàng)目，所以在使用時(shí)十分方便及實(shí)用。本次試驗(yàn)采用天網(wǎng)個(gè)人防火墻SkyNet

2、FireWall進(jìn)行個(gè)人防火墻簡(jiǎn)單的配置應(yīng)用。1.2 實(shí)驗(yàn)?zāi)繕?biāo)和意義實(shí)驗(yàn)的目標(biāo)是在于熟悉個(gè)人防火墻的配置與應(yīng)用，以便更加保證個(gè)人電腦的網(wǎng)絡(luò)安全，避免惡意用戶(hù)以及程序的入侵。防治安全威脅對(duì)個(gè)人計(jì)算機(jī)產(chǎn)生的破壞。2 實(shí)驗(yàn)原理和實(shí)驗(yàn)設(shè)備2.1 實(shí)驗(yàn)原理隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益

3、突出，因此計(jì)算機(jī)安全問(wèn)題，應(yīng)該像每家每戶(hù)的防火防盜問(wèn)題一樣，做到防范于未然。防火墻則是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。例如，防火墻可以限制TCP、UDP協(xié)議及TCP協(xié)議允許訪問(wèn)端口范圍，當(dāng)不符合條件時(shí)，程序?qū)⒃?xún)問(wèn)用戶(hù)或禁止操作，這樣可以防止惡意程序或木馬向外發(fā)送、泄露主機(jī)信息。并且可以

4、通過(guò)配置防火墻IP規(guī)則，監(jiān)視和攔截惡意信息。與此通知，還可以利用IP規(guī)則封殺指定TCP/UDP端口，有效地防御入侵，如139漏洞、震蕩波等。2.1 實(shí)驗(yàn)設(shè)備Window XP 天網(wǎng)個(gè)人防火墻3實(shí)驗(yàn)步驟3.1 實(shí)驗(yàn)步驟第一步：局域網(wǎng)地址設(shè)置，防火墻將會(huì)以這個(gè)地址來(lái)區(qū)分局域網(wǎng)或者是INTERNET的IP來(lái)源。設(shè)置如圖3-1.3-1：局域網(wǎng)地址設(shè)置第二步：管理權(quán)限設(shè)置，它有效地防止未授權(quán)用戶(hù)隨意改動(dòng)設(shè)置、退出防火墻等如圖3-2. 3-2：管理權(quán)限設(shè)置第三步：入侵檢測(cè)設(shè)置，開(kāi)啟此功能，當(dāng)防火墻檢測(cè)到可疑的數(shù)據(jù)包時(shí)防火墻會(huì)彈出入侵檢測(cè)提示窗口，并將遠(yuǎn)端主機(jī)IP顯示于列表中。（如圖3-2）. 3-3：入侵

5、檢測(cè)第四步：安全級(jí)別設(shè)置，其中共有五個(gè)選項(xiàng)。如圖3-4頁(yè)面。3-4：安全級(jí)別設(shè)置低：所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將詢(xún)問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。計(jì)算機(jī)將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機(jī)器訪問(wèn)自己提供的各種服務(wù)（文件、打印機(jī)共享服務(wù)）但禁止互聯(lián)網(wǎng)上的機(jī)器訪問(wèn)這些服務(wù)。適用于在局域網(wǎng)中提供服務(wù)的用戶(hù)。 中：所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將詢(xún)問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù)（如HTTP、FTP等）。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問(wèn)文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開(kāi)放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)。適用于

6、普通個(gè)人上網(wǎng)用戶(hù)。 高：所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將詢(xún)問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問(wèn)自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機(jī)共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無(wú)法看到本機(jī)器。除了已經(jīng)被認(rèn)可的程序打開(kāi)的端口，系統(tǒng)會(huì)屏蔽掉向外部開(kāi)放的所有端口。也是最嚴(yán)密的安全級(jí)別。 擴(kuò)：基于“中”安全級(jí)別再配合一系列專(zhuān)門(mén)針對(duì)木馬和間諜程序的擴(kuò)展規(guī)則，可以防止木馬和間諜程序打開(kāi)TCP或UDP端口監(jiān)聽(tīng)甚至開(kāi)放未許可的服務(wù)。我們將根據(jù)最新的安全動(dòng)態(tài)對(duì)規(guī)則庫(kù)進(jìn)行升級(jí)。適用于需要頻繁試用各種新的網(wǎng)絡(luò)軟件和服務(wù)、又需要對(duì)木馬程序進(jìn)行足夠限制的用戶(hù)。自定義：如果您了解各種網(wǎng)絡(luò)協(xié)議

7、，可以自己設(shè)置規(guī)則。注意，設(shè)置規(guī)則不正確會(huì)導(dǎo)致您無(wú)法訪問(wèn)網(wǎng)絡(luò)。適用于對(duì)網(wǎng)絡(luò)有一定了解并需要自行設(shè)置規(guī)則的用戶(hù)。第五步：IP規(guī)則，如圖3-5的頁(yè)面。3-5：IP規(guī)劃IP規(guī)則是針對(duì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的，其中有幾個(gè)重要的設(shè)置。防御ICMP攻擊：選擇時(shí)，即別人無(wú)法用PING的方法來(lái)確定用戶(hù)的存在。但不影響用戶(hù)去PING別人。因?yàn)镮CMP協(xié)議現(xiàn)在也被用來(lái)作為藍(lán)屏攻擊的一種方法，而且該協(xié)議對(duì)于普通用戶(hù)來(lái)說(shuō)，是很少使用到的。防御IGMP攻擊：IGMP是用于組播的一種協(xié)議，對(duì)于MS Windows的用戶(hù)是沒(méi)有什么用途的，但現(xiàn)在也被用來(lái)作為藍(lán)屏攻擊的一種方法。TCP數(shù)據(jù)包監(jiān)視：通過(guò)這條規(guī)則，用戶(hù)可

8、以監(jiān)視機(jī)器與外部之間的所有TCP連接請(qǐng)求。注意，這只是一個(gè)監(jiān)視規(guī)則，開(kāi)啟后會(huì)產(chǎn)生大量的日志。禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源：開(kāi)啟該規(guī)則后，別人就不能訪問(wèn)用戶(hù)的共享資源，包括獲取您的機(jī)器名稱(chēng)。 禁止所有人連接低端端口：防止所有的機(jī)器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標(biāo)準(zhǔn)端口，幾乎所有的Internet服務(wù)都是在這些端口上工作的，所以這是一條非常嚴(yán)厲的規(guī)則，有可能會(huì)影響使用某些軟件。允許已經(jīng)授權(quán)程序打開(kāi)的端口：某些程序，如ICQ，視頻電話等軟件，都會(huì)開(kāi)放一些端口，這樣，才可以連接到您的機(jī)器上。本規(guī)則可以保證些軟件可以正常工作。 3.2 重點(diǎn)和難點(diǎn)問(wèn)題分析網(wǎng)絡(luò)攻擊在網(wǎng)上是一種常見(jiàn)的進(jìn)攻手段，用來(lái)竊取個(gè)人信息。本實(shí)驗(yàn)的重點(diǎn)是學(xué)習(xí)如何利用個(gè)人防火墻有效地建立起相對(duì)安全的網(wǎng)絡(luò)應(yīng)用，以免惡意程序或木馬的入侵。并且在實(shí)踐中讓我了解到，網(wǎng)絡(luò)安全的重點(diǎn)并不是如何避免受到攻擊，而是需要用戶(hù)及時(shí)發(fā)現(xiàn)攻擊并采取有效手段保護(hù)自己的網(wǎng)絡(luò)安全，甚至對(duì)其反攻。4 實(shí)驗(yàn)結(jié)果的評(píng)價(jià)本次實(shí)驗(yàn)，提高了自身網(wǎng)絡(luò)的安全意識(shí)以及保護(hù)措施。在此次實(shí)驗(yàn)中，進(jìn)行了設(shè)置應(yīng)用程序權(quán)限、自定義IP規(guī)則設(shè)置以及利用IP規(guī)則防止常見(jiàn)病毒的設(shè)置，從而可以有效的防止上網(wǎng)賬