實訓(xùn)4-1防火墻與網(wǎng)絡(luò)隔離技術(shù)

WordWord資料 信息安全技術(shù)實訓(xùn)4.1亍解防火墻技術(shù)"本節(jié)實訓(xùn)與思考的目的是：(1)熟悉防火墻技術(shù)的基本概念，了解防火墻技術(shù)的基本內(nèi)容。(2)通過因特網(wǎng)搜索與瀏覽，了解網(wǎng)絡(luò)環(huán)境中主流的防火墻技術(shù)網(wǎng)站，掌握通過專業(yè)網(wǎng)站不斷豐富防火墻技術(shù)最新知識的學(xué)習(xí)方法，嘗試通過專業(yè)網(wǎng)站的輔助與支持來開展防火墻技術(shù)應(yīng)用實踐。(3)在WindowsXP中配置簡易防火墻(IP篩選器)，完成后，將能夠在本機實現(xiàn)對IP站點、端口、DNS服務(wù)屏蔽，實現(xiàn)防火墻功能。1工具/準(zhǔn)備工作在開始本實訓(xùn)之前，請認真閱讀本課程的相關(guān)內(nèi)容，熟悉防火墻的基本概念。需要準(zhǔn)備一臺運行WindowsXPProfessional并帶有瀏覽器，能夠訪問因特網(wǎng)的計算機。2實訓(xùn)內(nèi)容與步驟（1）概念理解1）請通過查閱有關(guān)資料，盡量用自己的語言，簡述防火墻的作用是什么？防火墻是網(wǎng)絡(luò)安全的屏障。防火墻可以強化網(wǎng)絡(luò)安全策略。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。防止內(nèi)部信息的外泄。2）根據(jù)防范的方式和側(cè)重點的不同， 防火墻技術(shù)可分成很多類型， 但總體來講還是二大類：分組過濾和應(yīng)用代理。請分別簡單介紹這兩種防火墻技術(shù)。分組過濾或包過濾技術(shù)：作用于網(wǎng)絡(luò)層和傳輸層，通常安裝在路由器上，對數(shù)據(jù)進行選擇，它根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標(biāo)志，確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用代理技術(shù)：通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。3）請分別簡單介紹：什么是"胖”防火墻： 胖”防火墻在保證基本功能的前提下，不斷擴展增值功能NAT、VPN、QoS以及入侵檢測、防病毒等。 胖”防火墻將安全Solution趨向于一種注重功能大而全的單一產(chǎn)品體系，力圖將防火墻系統(tǒng)開發(fā)成為一個安全域的整體解決方案，它的優(yōu)點在于可以滿足用戶絕大部分的網(wǎng)絡(luò)安全需求。什么是“瘦”防火墻：一般來說，大型用戶安全需求廣泛，專業(yè)性要求強，安全投入較大，自身安全管理能力也較高，因此，這種客戶均傾向于使用獨立的安全設(shè)備，并渴望發(fā)揮每種產(chǎn)品的最大效果。 而安全廠商也竭力挖掘每種安全產(chǎn)品的最大功能， 瘦”防火墻也就經(jīng)歷了從包過濾、應(yīng)用代理、狀態(tài)檢測到深度檢測、智能檢測以及從雙機熱備到負載均衡、HA集群的發(fā)展階段。(2)Windows防火墻的應(yīng)用Windows防火墻能做到和不能做到的功能情況請參見表 4.1。表4.1Windows防火墻的功能能做到：不能做到：阻止計算機病毒和蠕蟲到達你的計算機。檢測或禁止計算機病毒和蠕蟲 (如果它們已經(jīng)在你的計算機上)O由于這個原因，還應(yīng)該安裝防病毒軟件并及時進行更新，以防范病毒、蠕蟲和其他安全威脅破壞你的計算機或使用你的計算機將病毒擴散到其他計算機。請求你的允許，以阻止或取消阻止某些連接請求。阻止你打開帶有危險附件的電子郵件。不要打開來自不認識的發(fā)件人的電子郵件附件。即使你知道并信任電子郵件的來源，仍然要格外小心。如果你認識的某個人向你發(fā)送了電子郵件附件，請在打開附件前仔細查看主題行。如果主題行比較雜亂或者你認為沒有任何意義，那么請在打開附件前向發(fā)件人確認。

創(chuàng)建記錄（安全日志），可用于記錄對計算機的成功連接嘗試和不成功的連接嘗試，可用作故障排除工具。阻止垃圾郵件或未經(jīng)請求的電子郵件出現(xiàn)在你的收件箱中不過，某些電子郵件程序可以幫助你做到這一點。創(chuàng)建記錄（安全日志），可用于記錄對計算機的成功連接嘗試和不成功的連接嘗試，可用作故障排除工具。1）打開或關(guān)閉Windows防火墻。為打開或關(guān)閉 Windows防火墻，必須以管理員身份登錄計算機，并按以下步驟執(zhí)行:步驟1:在Windows的“開始”菜單中單擊“控制面板”命令，然后雙擊其中的圖4.6 "Windows防火墻”對話框Windows防火墻”圖標(biāo)，打開Windows防火墻，見圖4.6圖4.6 "Windows防火墻”對話框步驟2:在“常規(guī)”選項卡上，單擊下列選項之一：①啟用（推薦）：通常應(yīng)當(dāng)使用此設(shè)置。②關(guān)閉（不推薦）：關(guān)閉Windows防火墻可能會使你的計算機以及網(wǎng)絡(luò)更容易受到病毒或未知入侵者的損壞。

如果使用“高級”選項卡關(guān)閉一個或多個單個連接的Windows如果使用“高級”選項卡關(guān)閉一個或多個單個連接的Windows防火墻，那么Windows安全中心將報告防火墻已關(guān)閉，即使其他連接的防火墻并未關(guān)閉。并且，在“常規(guī)”選項卡中，Windows防火墻將仍舊設(shè)置為“啟用”。2）啟用安全記錄。當(dāng)Windows防火墻處于打開狀態(tài)時，在默認情況下并不啟用安全記錄。但是，無論安全記錄是否被啟用，防火墻都能正常工作。而只有啟用了Windows防火墻的連接才能使用日志記錄功能。為啟用安全記錄選項，用戶必須以管理員身份登錄計算機，并執(zhí)行以下操作：步驟1：打開“Windows防火墻”對話框，單擊“高級”選項卡，見圖4.7所示。步驟2：在其中的“安全日志記錄”欄中單擊“設(shè)置”按鈕，打開“日志設(shè)置”對話框，如圖4.8所示。步驟3:單擊下面的選項之一：①若要啟用對不成功的入站連接嘗試的記錄，請選中“ 記錄被丟棄的數(shù)據(jù)包”復(fù)選框。②若要啟用對成功的出站連接的記錄，請選中“ 記錄成功的連接”復(fù)選框。步驟4:單擊“確定”按鈕，完成操作。

圖4.7Windows防火墻的"圖4.7Windows防火墻的"高級"選項卡圖4.8 “日志設(shè)置”對話框3）查看安全日志文件。為查看安全日志文件，請按以下步驟操作：步驟1:打開Windows防火墻，在“高級”選項卡上單擊“安全日志記錄”下的“設(shè)置”按鈕。步驟2：單擊“另存為”按鈕，在對話框中進行瀏覽查看。步驟3:右鍵單擊pfirewall.log,然后在快捷菜單中單擊"打開"命令。防火墻日志的默認名稱是pfirewall.log,其存放位置在Windows文件夾中。但必須選中“記錄被丟棄的數(shù)據(jù)包”或“記錄成功的連接”復(fù)選框，才能使pfirewall.log文件出現(xiàn)在Windows文件夾中。則日志文件中原有的信如果超過了pfirewall.log可允許的最大大小 （4096KB）則日志文件中原有的信息將轉(zhuǎn)移到一個新文件中，并用文件名pfirewall.log.old進行保存。新的信息將保存在所創(chuàng)建的第一個文件（名為pfirewall.log）中。請記錄：上述各項操作能夠順利完成嗎？如果不能，請分析原因。能夠順利完成。（3）簡易防火墻設(shè)置下面，我們嘗試在WindowsXPProfessional上學(xué)習(xí)設(shè)置簡易的防火墻。1）運行IP篩選器。為運行IP篩選器，請按以下步驟執(zhí)行：步驟1:在WindowsXP的“開始”菜單中單擊“運行”命令，在“運行”對話框的“打開”文本框中輸入mmc,單擊“確定”按鈕，屏幕顯示“控制臺1”窗口，如圖4.9所示。其中包含了“控制臺根節(jié)點”窗口。圖4.9“控制臺1”窗口步驟2:在“控制臺1”窗口的“文件”菜單中單擊“添加/刪除管理單元…”命令，出現(xiàn)“添加/刪除管理單元”對話框（見圖4.10）。在其中選擇“獨立”選項卡。圖4.10 “添加/刪除管理單元” 對話框圖圖4.10 “添加/刪除管理單元” 對話框圖4.11 “添加獨立管理單元”對話框步驟3:在“管理單元添加到”下拉列表框中，選擇“控制臺根節(jié)點”選項，單擊“添加…”按鈕，出現(xiàn)“添加獨立管理單元”對話框，見圖4.11所示。請記錄：在“可用的獨立管理單元”欄中有哪些選項（請閱讀相關(guān)的描述信息）：a組件服務(wù) b組策略對象編輯器c證書d性能日志和警報e文件夾f索引服務(wù)g事件查看器h設(shè)備管理器i可移動存儲管理j計算機管理k共享文件夾l服務(wù)m磁盤碎片整理程序n磁盤管理o策略的結(jié)果集p本地擁護和組q安全配置和分析r安全摸板sWMT控制tWEB地址的連接uSQLServer配置管理器vOracle管理對象wSQL企業(yè)管理器xMicrsoft元數(shù)據(jù)瀏覽器yInternet協(xié)議安全性（IPSec）管理步驟4：在“可用的獨立管理單元”列表框中選擇“IP安全策略管理”選項，單擊“添加”按鈕，顯示“選擇計算機”對話框，如圖4.12所示。在其中選擇“本地計算機”單選按鈕，單擊“完成”按鈕，返回“添加獨立管理單元”對話框。步驟5:單擊“關(guān)閉”按鈕，返回“添加/刪除管理單元”對話框。請記錄：此時，在“添加/刪除管理單元”對話框下部的“描述”框中，顯示的“IP安全策略”描述信息是：Internet協(xié)議安全性（IPSec）管理。為與別的計算機進行安全通訊管理 IPSec策略。步驟6:單擊“確定”按鈕，返回“控制臺1”窗口，完成“IP安全策略，在本地計算機”的設(shè)置。2）添加IP篩選器表。在本機中添加一個能對指定 IP地址（192.168.14.1）進行篩選的IP篩選器表。詵置計翼機或域虎址法十ft理單元茬情落的洲■整就喊魅當(dāng)保存泣個控制臺時,力合保存府置.■洋府理加索.工而讀審臺的計宜視「此濘苴就是苴成員的ActiveDihGm■尸域QD「另一千JLctiwBirttury廊「用9NS/彝* *仃”*氫ewTW；「吊一百計宜見圖4.12 “選擇計算機或域”對話框步驟1：在“控制臺1”窗口的“控制臺根節(jié)點”窗口中，單擊剛建立的“IP安全策略，在本地計算機” 選項，右邊木g中出現(xiàn)3個默認的安全規(guī)則，請分別記錄其描述信息:①安全服務(wù)器 （需要安全）：對所有IP通訊總是使用Kerberos信任請求安全。不允許與不被信任的客戶端的不安全通訊。②客戶端（僅響應(yīng)）：正常通訊（不安全的）。使用默認的響應(yīng)規(guī)則與請示安全的服務(wù)器協(xié)商。只有與服務(wù)器的請求協(xié)議和端口通訊是安全的。③服務(wù)器（請求安全）：對所有IP通訊總是使用Kerberos信任請求安全。允許與不響應(yīng)請求的客戶端的不安全通訊。步驟2：選中左邊的“IP安全策略，在本地計算機”選項并單擊右鍵，從快捷菜單中單擊“管理IP篩選器表和篩選器操作”命令，出現(xiàn)“管理IP篩選器表和篩選器操作”對話框，如圖4.13所示。步驟3:在對話框中單擊“添加”按鈕，出現(xiàn)“IP篩選器列表”對話框（圖4.14）。在打開的“IP篩選器列表”對話框中輸入此IP篩選器的名稱和描述。例如：“名稱”為“屏蔽特定IP”，“描述”為“屏蔽192.168.14.1;并取消選擇“使用‘添加向?qū)А睆?fù)選框，然后單擊“添加…”按鈕，出現(xiàn)“篩選器屬性”對話框（見圖4.15）,可對“屏蔽特定IP”進行設(shè)置。步驟4:在“篩選器屬性”對話框中選擇“尋址”選項卡，在“源地址”和“目標(biāo)地址”下拉列表框框中分別選擇“我白IP地址”和“一個特定的IP地址”選項。當(dāng)選擇“一個特定的IP地址”時，會出現(xiàn)“IP地址”文本框，可輸入要屏蔽的IP地址，如“192.168.14.1選擇IP地址設(shè)定的方法有5種，容易理解。

圖4.13“管理IP篩選器表和篩選器操作” 對話框圖4.14 “IP篩選器列表”對話框默認情況下，“IP篩選器”的作用是單方面的，比如源地址為A,目標(biāo)地址為B,則防火墻只對A-B的流量起作用，對B-A的流量則略過不計。選中“鏡像”復(fù)選框，則防火墻對A--B的雙向流量都進行處理（相當(dāng)于一次添加了兩條規(guī)則）。步驟5:在“協(xié)議”選項卡中，可選擇協(xié)'議類型及設(shè)置 IP協(xié)議端口。步驟6:在“描述”選項卡的“描述”文本框中，可輸入描述文字，作為篩選器的詳細描述。圖4.15 “篩選器屬性”對話框步驟7:然后，單擊“確定”按鈕，返回“IP篩選器列表”對話框，再單擊“確定”按鈕，返回“管理IP篩選器表和篩選器操作” 對話框，“屏蔽特定IP”被填入了“IP篩選器列表”中。步驟8:單擊“關(guān)閉”按鈕，完成本次操作。3）添加IP篩選器操作。上述操作將一個虛擬的C類網(wǎng)段192.168.14.1加入到了“待屏蔽IP列表”，但它只是一個列表，沒有防火墻功能，只有再加入動作后，才能夠發(fā)揮作用。下面，我們將建立一個“阻止”操作，通過操作與剛才的列表結(jié)合，就可以屏蔽特定的IP地址。步驟1:在“控制臺1”窗口的“控制臺根節(jié)點”窗口中，選中左邊的“IP安全策略，在本地計算機”選項并單擊右鍵，選擇“管理IP篩選器表和篩選器操作…”命令，顯示“管理IP篩選器表和篩選器操作”對話框。步驟2:在對話框的“管理IP篩選器列表”選項卡中選擇“屏蔽特定IP”選項，然后選擇“管理篩選器操作”選項卡（見圖4.16）,取消對其中的“使用‘添加向?qū)А边x項的選擇，再單擊“添加”按鈕，出現(xiàn)“新篩選器操作屬性”對話框（見圖4.17）。步驟3:在“新篩選器操作屬性” 對話框的“安全措施”選項卡中選擇“阻止”單選按鈕，然后選擇“常規(guī)”選項卡，在“名稱”文本框中輸入“阻止”（圖4.18）。步驟4:單擊“確定”按鈕，此時“阻止”加入到篩選器操作列表中。步驟5:請在“管理IP篩選器表和篩選器操作” 對話框的“篩選器操作”列表中查閱和記錄各篩選器操作的描述信息：①請求安全（可選）：接受不安全的通訊但總是用 TPSEC響應(yīng)。允許和不支持TPSEC的計算機進行不安全的通訊。圖4.16 “管理篩選器操作”選項卡圖4.17 "新篩選器操作屬性” 對話框圖4.16 “管理篩選器操作”選項卡圖4.17 "新篩選器操作屬性” 對話框圖4.18 “常規(guī)”標(biāo)簽頁②需要安全：接受不安全的通訊但總是用 TPSEC響應(yīng)③許可：允許不安全的IP包經(jīng)過4）創(chuàng)建IP安全策略。篩選器表和篩選器操作已建立完畢，將它們結(jié)合起來發(fā)揮防火墻的作用。步驟1:返回“控制臺1”的“控制臺根節(jié)點”窗口，選擇“IP安全策略，在本地計算機”選項并單擊右鍵，在快捷菜單中單擊“創(chuàng)建IP安全策略…”命令，出現(xiàn)“IP安全策略向?qū)А睂υ捒蛑?，單擊“下一步”按鈕。步驟2:在“IP安全策略向?qū)А睂υ捒颍ㄒ妶D4.19）的“名稱”文本框中輸入“我的安全策略”，還可以在“描述”文本框中輸入對安全策略設(shè)置的描述。圖4.19 “IP安全策略向?qū)А睂υ捒虿襟E3:單擊“下一步”按鈕，在繼續(xù)顯示的“IP安全策略向?qū)А睂υ捒蛑?，取消選擇“激活默認響應(yīng)規(guī)則” 復(fù)選框（見圖4.20）。步驟4:再單擊“下一步”按鈕，在“IP安全策略向?qū)А睂υ捒蛑羞x擇“編輯屬性”復(fù)選框（見圖4.21）,再單擊“完成”按鈕，這時，將出現(xiàn)“我的安全策略屬性”對話框（見圖4.22）。步驟5:在“我的安全策略屬性”對話框的“規(guī)則”選項卡中，取消對其中的“使用‘添加向?qū)А边x項的選擇，再單擊“添加”按鈕，出現(xiàn)“新規(guī)則屬性”對話框（圖4.23）。圖4.21“IP安全策略向?qū)А睂υ捒虿襟E6:我們來修改策略的屬性，用篩選器表和篩選器操作建立規(guī)則。為此，在“新規(guī)則屬性”對話框的“IP篩選器列表”標(biāo)簽頁中，選擇新建立的IP篩選器（即“屏蔽特定IP”）單選按鈕；再在“篩選器操作”選項卡中，選擇“阻止”單選按鈕；然后單擊“確定”按鈕，返回“我的安全策略屬性”對話框，可以看到新規(guī)則已經(jīng)建立。至此，屏蔽特定IP的操作已完成。賈卷翼犒曾湛愣稷舞蕊瑞臚機.圖4.20 “IP安全策略向?qū)А睂υ捒?）用IP篩選器屏蔽特定端口。下面，我們建立一個名為“屏蔽139端口”的IP篩選器規(guī)則，關(guān)閉本機的139端口，然后結(jié)合上述任務(wù)添加的“阻止”動作進行設(shè)置。同樣，也可以關(guān)閉其他端口。步驟1:在“控制臺1”窗口的“控制臺根節(jié)點”窗口中，選中左邊的“IP安全

策略，在本地計算機”選項并單擊右鍵，在快捷菜單中單擊“管理IP篩選器表和篩選器操作…”命令。步驟2:在“管理IP篩選器表和篩選器操作” 對話框中單擊“添加…”按鈕，在IP篩選器列表”對話框的“名稱”文本框中，輸入“屏蔽139端口”，繼續(xù)單擊“添加”按鈕，出現(xiàn)“篩選器屬性”對話框。圖4.22 “我的安全策略屬性”對話框圖加”按鈕，出現(xiàn)“篩選器屬性”對話框。圖4.22 “我的安全策略屬性”對話框圖4.23"新規(guī)則屬性”對話框步驟3:在“篩選器屬性”對話框“尋址”選項卡的“源地址”下拉列表框中選擇“任彳sjIP地址”；在“目的地址”下拉列框中，選擇“我的IP地址”；取消“鏡像”復(fù)選框，如圖4.24所示?！昂Y選器屬性”對話框中的“協(xié)議”選項卡和“描述”選項卡，請參考圖4.25進行設(shè)置。步驟4:單擊“確定”按鈕，返回“管理IP篩選器表和篩選器操作” 對話框，可以看到‘屏蔽139端口”已建立。6）應(yīng)用IP安全策略規(guī)則。為應(yīng)用IP安全策略規(guī)則，可執(zhí)行以下步驟：步驟1:在“控制臺1”窗口的“控制臺根節(jié)點”窗口中，在右邊新建立的“我的安全策略”規(guī)則上單擊右鍵，在快捷菜單中單擊“屬性”，打開“我的安全策略屬性”對話框，單擊“添加”按鈕，打開“新規(guī)則屬性”對話框，步驟2:在“新規(guī)則屬性”對話框的“IP篩選器列表”標(biāo)簽頁中，選擇新建立的IP篩選器（即“屏蔽139端口”）單選按鈕；再在“篩選器操作”選項卡中，選擇“阻止”單選按鈕；然后單擊“確定”按鈕，返回“我的安全策略屬性”對話框，可以看到新規(guī)則已經(jīng)建立。至此，共有兩條安全規(guī)則 （“屏蔽特定IP"和"屏蔽139端口”）已經(jīng)建立，如圖4.26所示。單擊“確定”按鈕，返回“控制臺1”窗口。步驟3:“控制臺1”的“控制臺根節(jié)點”窗口，選擇“IP安全策略，在本地計算機”選項并單擊右鍵，在快捷菜單中單擊單擊“指派”命令。步驟4:在窗口的左邊選擇“IP安全策略，在本地計算機” 選項并單擊右鍵，在快捷菜單中單擊“所有任務(wù)”>“導(dǎo)出策略…”命令，備份所設(shè)置的安全策略。同樣，也可以使用“導(dǎo)入策略…”命令恢復(fù)。圖4.24“尋址”選項卡圖4.24“尋址”選項卡圖4.25“協(xié)議”和“描述”選項卡的設(shè)置(4)防火墻產(chǎn)品選擇請以“防火墻產(chǎn)品”為關(guān)鍵字，在因特網(wǎng)上搜索，選擇至少 3款防火墻產(chǎn)品，并分別簡單描述之。1)產(chǎn)品選擇1。圖4.26 “我的安全策略屬性”選項卡①產(chǎn)品名稱：華為賽門鐵克SecospaceUSG5530②產(chǎn)品生產(chǎn)廠家： ③產(chǎn)品功能描述：關(guān)鍵部件冗余配置，成熟的鏈路轉(zhuǎn)換機制，支持光電兩類內(nèi)置Bypass插卡，提供超長無故障硬件保障，商用 10年+的超穩(wěn)定軟件平臺，全球在線設(shè)備超過10萬臺，打造永續(xù)的辦公環(huán)境， 56千兆+14萬兆的高密度接口，為提前跨入萬兆時代的您提供不同組網(wǎng)情況下的安全防護，方便細化安全區(qū)域， 32G防火墻吞吐，15K并發(fā)VPN隧道，大容