項目八（第二課時）

第二課時配置校園網(wǎng)防火墻信息技術(shù)滬教版選擇性必修2第三單元網(wǎng)絡(luò)安全基礎(chǔ)項目八剖析校園網(wǎng)安全體系——了解常用網(wǎng)絡(luò)安全協(xié)議一、新課導(dǎo)入二、防火墻三、防火墻的配置四、配置校園網(wǎng)防火墻五、課堂活動一、新課導(dǎo)入二、防火墻

防火墻的本義原是指古代人們在房屋之間修建一道隔墻，這道隔墻可以防止火災(zāi)發(fā)生的時候火勢從著火的房屋蔓延到其他房屋。計算機網(wǎng)絡(luò)中的防火墻是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)(圖3-6)。防火墻具有將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)互相隔離的作用，通過限制網(wǎng)絡(luò)之間的互相訪問來保護內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件，也可以是軟件，還可以是硬件和軟件的結(jié)合。硬件防火墻通常采用嵌入式系統(tǒng)，抗攻擊能力較強軟件防火墻一般依附于計算機操作系統(tǒng)，可直接在計算機上進行安裝和配置二、防火墻二、防火墻

要把被保護的內(nèi)部網(wǎng)絡(luò)從開放的、無邊界的外部網(wǎng)絡(luò)環(huán)境中分隔開來，構(gòu)建可管理可控制、安全的內(nèi)部網(wǎng)絡(luò)，最基本的分隔手段就是防火墻。從安全性的角度來說，防火墻對內(nèi)部網(wǎng)絡(luò)的保護作用主要有以下三個。(1)禁止來自不可信任網(wǎng)絡(luò)的用戶進入內(nèi)部網(wǎng)絡(luò)(2)允許可信任網(wǎng)絡(luò)的用戶進入內(nèi)部網(wǎng)絡(luò)，并以規(guī)定的權(quán)限訪問網(wǎng)絡(luò)資源。(3)允許來自內(nèi)部網(wǎng)絡(luò)的用戶訪問外部網(wǎng)絡(luò)。二、防火墻

常用的防火墻有兩類。一是包過濾防火墻，它對每個接收和發(fā)送的IP包運用一些規(guī)則，然后決定是傳遞還是丟棄此包。包過濾根據(jù)據(jù)包的源IP地址、目的IP地址、源端口、目的端口及協(xié)議號等報頭信息來判斷是否允許數(shù)據(jù)包通過。由于只對數(shù)據(jù)包的P地址、TCP協(xié)議、UDP協(xié)議和端口進行分析，包過濾防火墻的處理速度較快，并且易于配置。二是應(yīng)用級網(wǎng)關(guān)，也稱為代理服務(wù)器。它適用于特的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸遠程文件傳輸?shù)?。在網(wǎng)關(guān)上執(zhí)行一些特定的應(yīng)用程序和服務(wù)器程序，可以實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。三、防火墻的配置

有時候我們在網(wǎng)上看到設(shè)置下防火墻就可以了，電腦防火墻是什么，我們可能有疑問，然后電腦防火墻有什么用，我們又有疑問，最后防火墻在哪里設(shè)置，我們也不懂，今天我就教大家這些。三、防火墻的配置

①首先我們看下電腦防火墻在哪里設(shè)置，我們打開我的電腦，然后點擊上方的我的打開控制面板進入。三、防火墻的配置

②進入控制面板后，選擇大圖標(biāo)的查看方式就可以在頁面上找到windows防火墻圖標(biāo)了，點擊進入就可以設(shè)置防火墻了。三、防火墻的配置

③進入windows防火墻之后，我們就可以開始設(shè)置防火墻的各個選項了。一般我們使用防護墻有兩種常用的設(shè)置，其一就是關(guān)閉防火墻，因為有些軟件安裝的時候要求關(guān)閉防火墻，那么我們就需要點擊左側(cè)關(guān)閉防火墻的選項打開。三、防火墻的配置

④然后選擇關(guān)閉windows防護墻設(shè)置，點擊確定就可以了。三、防火墻的配置

⑤除了關(guān)閉windows防護墻之外，另一種設(shè)置就是對電腦上安裝的程序進行屏蔽上網(wǎng)設(shè)置了。我們先點擊允許程序或功能通過windows防護墻選項。三、防火墻的配置

⑥然后將不需要用到的程序或者已經(jīng)刪除的程序的相關(guān)端口進行取消處理，這樣我們的電腦會更安全一些。四、配置校園網(wǎng)防火墻

在校園網(wǎng)安全體系中，數(shù)據(jù)中心防火墻負(fù)責(zé)對服務(wù)器訪問流量進行訪問控制，這通常通過限制IP地址和端口等方式來實現(xiàn)，比如只允許訪問某個IP地址的某個端口。配置一條從任意地址只允許訪問IP地址的80號端口的策略，如圖3-9所示四、配置校園網(wǎng)防火墻

1.防火墻是建立在內(nèi)外部網(wǎng)絡(luò)邊界上的一類安全保護機制，它是如何進行安全防護的？思考與討論四、配置校園網(wǎng)防火墻

1.防火墻是建立在內(nèi)外部網(wǎng)絡(luò)邊界上的一類安全保護機制，它是如何進行安全防護的？思考與討論

防火墻通過將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)互相隔離，限制網(wǎng)絡(luò)之間的互相訪問來保護內(nèi)部網(wǎng)絡(luò)的安全。四、配置校園網(wǎng)防火墻

2.在保障校園網(wǎng)安全運行的同時，如何防范來自內(nèi)部的攻擊？思考與討論四、配置校園網(wǎng)防火墻

2.在保障校園網(wǎng)安全運行的同時，如何防范來自內(nèi)部的攻擊？思考與討論

制定良好的管理制度、對內(nèi)部人員的操作進行有效的審核。五、課堂活動

1.配置端口策略。(1)請查詢以下服務(wù)的端口號服務(wù)遠程桌面登錄SSH登錄HTTP訪問HTTPS訪問SQLSERVER數(shù)據(jù)庫服務(wù)端口號

五、課堂活動服務(wù)遠程桌面登錄SSH登錄HTTP訪問HTTPS訪問SQLSERVER數(shù)據(jù)庫服務(wù)端口號338922804431433五、課堂活動

(2)如果要在防火墻上配置訪問控制策略，要求P地址191.10的服務(wù)器只允許從外部訪問遠程桌面登錄、SSH登錄、TP訪問、HTTPS訪問、SQSERVER數(shù)據(jù)庫服務(wù)，應(yīng)該如何編寫配置策略？

五、課堂活動

(2)如果要在防火墻上配置訪問控制策略，要求P地址191.10的服務(wù)器只允許從外部訪問遠程桌面登錄、SSH登錄、TP訪問、HTTPS訪問、SQSERVER數(shù)據(jù)庫服務(wù)，應(yīng)該如何編寫配置策略？①遠程桌面登錄。access-list101extendedpermittcpanyhost192.168.1.10eq3389②SSH登錄。access-list101extendedpermittcpanyhost0eq22③HTTP訪問。access-list101extendedpermittcpanyhost192.168.1.10eq80

五、課堂活動

(2)如果要在防火墻上配置訪問控制策略，要求P地址191.10的服務(wù)器只允許從外部訪問遠程桌面登錄、SSH登錄、TP訪問、HTTPS訪問、SQSERVER數(shù)據(jù)庫服務(wù)，應(yīng)該如何編寫配置策略？④HTTPS訪問。access-list101extendedpermittcpanyhost192168.1.10eq443⑤SQLSERVER數(shù)據(jù)庫服務(wù)。access-list