《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》課件-項(xiàng)目六 防火墻的應(yīng)用

實(shí)踐一天網(wǎng)防火墻的安裝實(shí)踐二天網(wǎng)防火墻的基本設(shè)置實(shí)踐三天網(wǎng)防火墻開放端口應(yīng)用實(shí)踐四應(yīng)用自定義規(guī)則防止常見病毒實(shí)踐五打開Web和FTP服務(wù)器、升級(jí)更新拓展練習(xí)【學(xué)習(xí)目標(biāo)】學(xué)會(huì)天網(wǎng)防火墻的安裝學(xué)會(huì)天網(wǎng)防火墻的基本設(shè)置學(xué)會(huì)天網(wǎng)防火墻開放端口應(yīng)用學(xué)會(huì)應(yīng)用自定義規(guī)則防止常見病毒學(xué)會(huì)打開Web和FTP服務(wù)、升級(jí)更新Windows補(bǔ)丁

天網(wǎng)防火墻是國(guó)內(nèi)第一款針對(duì)個(gè)人用戶的軟件防火墻，擁有強(qiáng)大的訪問控制、信息過濾和自定義規(guī)則設(shè)置等功能，通過對(duì)不同的網(wǎng)絡(luò)環(huán)境靈活選擇適當(dāng)?shù)陌踩桨?，可以有效抵御木馬、后門病毒、黑客攻擊以及IE、系統(tǒng)漏洞等安全隱患帶來的威脅。最新版本的天網(wǎng)防火墻包含過濾引擎內(nèi)核，數(shù)據(jù)處理速度更快，占用系統(tǒng)資源極低，能在正常上網(wǎng)的同時(shí)最大限度地保障機(jī)器的安全，是個(gè)人上網(wǎng)用戶防止個(gè)人文件和私密信息泄露的必備安全軟件。實(shí)踐一天網(wǎng)防火墻的安裝

防火墻已經(jīng)存在很多年了，現(xiàn)在的絕大多數(shù)機(jī)構(gòu)和個(gè)人都已經(jīng)購(gòu)置或安裝了防火墻，從根本上說，防火墻非常重要。防火墻可以是任何一組網(wǎng)絡(luò)之間用做級(jí)別訪問控制的設(shè)備，在大多數(shù)情況下，防火墻用來阻止外來人員訪問本地網(wǎng)絡(luò)，但是在大型企業(yè)中，防火墻也被用來保護(hù)各種企業(yè)級(jí)別的應(yīng)用。防火墻形式多樣，有硬件級(jí)別的防火墻，如：Cisco的PIX防火墻；也有軟件級(jí)別的防火墻，如：國(guó)內(nèi)個(gè)人用戶常常使用的天網(wǎng)防火墻等。技能一學(xué)會(huì)安裝天網(wǎng)防火墻

（1）雙擊已經(jīng)下載好的安裝程序，出現(xiàn)安裝界面，如圖6-1-1所示。圖6-1-1

（2）勾選“我接受此協(xié)議”，點(diǎn)擊“下一步”按鈕，選擇安裝文件的路徑。默認(rèn)的路徑是C：＼ProgramFile文件夾，也可以單擊“瀏覽”按鈕，自行設(shè)定安裝的路徑，如圖6-1-2所示。圖6-1-2

（3）點(diǎn)擊“下一步”按鈕，在設(shè)定好安裝的路徑后，程序會(huì)提示建立程序組快捷工具欄方式的位置，如圖6-1-3所示。圖6-1-3

（4）點(diǎn)擊“下一步”按鈕安裝軟件，文件復(fù)制完成后，點(diǎn)擊“完成”按鈕，進(jìn)入防火墻的初始設(shè)置，如圖6-1-4所示。圖6-1-4圖6-1-5

（5）在彈出的“天網(wǎng)防火墻設(shè)置向?qū)А贝翱谥袉螕簟跋乱徊健卑粹o，如圖6-1-5所示。

（6）在窗口中設(shè)置安全級(jí)別，為了保證正常上網(wǎng)并免受他人的惡意攻擊，一般情況下，建議大多數(shù)用戶和新用戶選擇“中”等安全級(jí)別，對(duì)于熟悉天網(wǎng)防火墻設(shè)置的用戶可以選擇“自定義”級(jí)別或者是“擴(kuò)展”級(jí)別，如圖6-1-6所示。圖6-1-6

（7）點(diǎn)擊“下一步”按鈕，設(shè)置局域網(wǎng)信息，軟件將會(huì)自動(dòng)檢測(cè)電腦的IP地址，并記錄下來，同時(shí)建議勾選“開機(jī)的時(shí)候自動(dòng)啟動(dòng)防火墻”這一選項(xiàng)，以保證電腦隨時(shí)都受到保護(hù)，如圖6-1-7所示。圖6-1-7

（8）點(diǎn)擊“下一步”按鈕，進(jìn)入“常用應(yīng)用程序設(shè)置”，對(duì)于大多數(shù)用戶和新用戶建議使用默認(rèn)選項(xiàng)，如圖6-1-8所示。圖6-1-8

（9）點(diǎn)擊“下一步”按鈕，天網(wǎng)防火墻的基本設(shè)置已經(jīng)完成，單擊“結(jié)束”按鈕，完成安裝過程，如圖6-1-9所示。圖6-1-9圖6-1-10

（10）保存好正在進(jìn)行的工作，點(diǎn)擊“確定”按鈕，計(jì)算機(jī)將重新啟動(dòng)使防火墻生效，如圖6-1-10所示。小提示：（1）互聯(lián)網(wǎng)是一個(gè)簡(jiǎn)單可靠的網(wǎng)絡(luò)，但是因?yàn)榛ヂ?lián)網(wǎng)在建立之初對(duì)安全性考慮不夠，造成今天互聯(lián)網(wǎng)存在很多安全問題，如：IP欺騙、拒絕式服務(wù)攻擊等。這些問題困擾著學(xué)者，也讓使用計(jì)算機(jī)上網(wǎng)的普通用戶深感不安。為了解決這個(gè)問題，很多安全廠商提出了一些解決方案，如：安裝防火墻、殺毒軟件和木馬清除工具等。

（2）軟件防火墻的作用是在計(jì)算機(jī)和互聯(lián)網(wǎng)連接時(shí)提供防護(hù)功能，主要是防止黑客入侵系統(tǒng)進(jìn)行漏洞攻擊和阻擋一些病毒、可疑程序進(jìn)入計(jì)算機(jī)。在電腦上安裝了殺毒軟件的同時(shí)，還必須安裝防火墻。一定要給自己的系統(tǒng)及時(shí)打上補(bǔ)丁，安裝最新的升級(jí)包。實(shí)踐二天網(wǎng)防火墻的基本設(shè)置

無論是基于軟件的防火墻還是基于硬件的防火墻，只有為防火墻設(shè)置一個(gè)好的規(guī)則庫(kù)才能充分發(fā)揮其功能。規(guī)則庫(kù)是指當(dāng)某種特殊類型的通信流量試圖通過防火墻時(shí)，告訴防火墻該怎樣操作的規(guī)則的集合。建立有效的規(guī)則庫(kù)應(yīng)該滿足3條原則。

1.保持規(guī)則庫(kù)的簡(jiǎn)潔性

規(guī)則庫(kù)越復(fù)雜，產(chǎn)生誤配置的幾率就越大。規(guī)則庫(kù)中規(guī)則數(shù)越少，防火墻需要查看的規(guī)則就越少，防火墻處理請(qǐng)求的速度也就越快。防火墻通常以特定的順序處理規(guī)則庫(kù)中的規(guī)則。規(guī)則庫(kù)中的規(guī)則通常需要按照某種方式進(jìn)行編號(hào)。防火墻的規(guī)則列表通常以網(wǎng)格的形式出現(xiàn)，第一個(gè)單元為該項(xiàng)規(guī)則的編號(hào)，隨后的單元分別為防火墻將要檢測(cè)網(wǎng)絡(luò)流量的屬性，如：IP地址、協(xié)議類型及需要采取的操作等。

因?yàn)橐?guī)則庫(kù)中的規(guī)則是按照順序進(jìn)行處理的，所以應(yīng)該按照規(guī)則的重要性，由高到低依次排列所有規(guī)則。當(dāng)數(shù)據(jù)包經(jīng)過防火墻時(shí)，防火墻將對(duì)規(guī)則庫(kù)中的規(guī)則依次進(jìn)行測(cè)試。只要有一個(gè)規(guī)則匹配，防火墻將執(zhí)行規(guī)則中指定的操作。通常情況下，防火墻執(zhí)行兩種類型的操作：一是允許數(shù)據(jù)包通過防火墻到達(dá)目的地，二是丟棄該數(shù)據(jù)包。

2.基于安全策略建立規(guī)則庫(kù)

為防火墻建立規(guī)則庫(kù)時(shí)，安全人員會(huì)實(shí)施先前指定的安全策略和程序。正確地配置安全規(guī)則對(duì)于與包過濾相關(guān)的安全組件特別重要，通過安全規(guī)則可以實(shí)施的安全策略包括：

（1）日志和審計(jì)。高安全級(jí)別的安全策略需要具有檢測(cè)入侵和病毒等其他安全問題的方法。

（2）跟蹤。用戶可以使用安全規(guī)則中的跟蹤屬性設(shè)置相應(yīng)的通告方式，在發(fā)生入侵時(shí)用戶可以跟蹤響應(yīng)過程。

（3）過濾。建立規(guī)則庫(kù)的一個(gè)主要目標(biāo)是通過建立的復(fù)雜規(guī)則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾，以便于僅僅允許合法的流量通過。

（4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。規(guī)則庫(kù)應(yīng)該提供公司內(nèi)部局域網(wǎng)上主機(jī)的主機(jī)名和地址對(duì)外部網(wǎng)絡(luò)（如：互聯(lián)網(wǎng)）的隱藏規(guī)則。

（5）服務(wù)質(zhì)量（QoS）。建立QoS規(guī)則，并使其維持基本的安全級(jí)別。此安全級(jí)別可能是在公司的安全策略中定制的。

（6）桌面安全策略。當(dāng)遠(yuǎn)程用戶登錄網(wǎng)絡(luò)中的某臺(tái)主機(jī)時(shí)，使用桌面安全策略可以設(shè)置遠(yuǎn)程用戶的訪問權(quán)限。

3.建立應(yīng)用程序規(guī)則

防火墻進(jìn)行訪問控制的主要途徑是控制對(duì)特殊應(yīng)用程序的訪問。有些特洛伊木馬程序通過利用其他應(yīng)用程序而工作，然后再利用控制的應(yīng)用程序達(dá)到自己的目的。使用防火墻可以阻止應(yīng)用程序訪問外部網(wǎng)絡(luò)，如果需要應(yīng)用程序訪問外部網(wǎng)絡(luò)，則可以標(biāo)記該應(yīng)用程序。當(dāng)應(yīng)用程序訪問外部網(wǎng)絡(luò)時(shí)可以提示用戶。通常對(duì)應(yīng)用程序的處理有三種方法：

（1）允許。應(yīng)用程序可以在任何時(shí)候訪問外部網(wǎng)絡(luò)。為操作方便，用戶可以為經(jīng)常使用的應(yīng)用程序建立允許規(guī)則。

（2）阻止。阻止規(guī)則是指阻止應(yīng)用程序訪問外部網(wǎng)絡(luò)。

（3）詢問或者提示。當(dāng)應(yīng)用程序試圖訪問外部網(wǎng)絡(luò)時(shí)，提示用戶，然后再由用戶做出選擇。技能一掌握安全級(jí)別設(shè)置

（1）天網(wǎng)個(gè)人版防火墻的預(yù)設(shè)安全級(jí)別分為低、中、高、擴(kuò)展四個(gè)等級(jí)，默認(rèn)的安全等級(jí)為中級(jí)。用戶可以根據(jù)自己要求來選擇安全級(jí)別，如圖6-2-1所示。圖6-2-1

（2）安全級(jí)別各等級(jí)的安全設(shè)置說明：

低：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時(shí)都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。計(jì)算機(jī)將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機(jī)器訪問自己提供的各種服務(wù)（如：文件、打印機(jī)共享服務(wù)）但禁止互聯(lián)網(wǎng)上的機(jī)器訪問這些服務(wù)。適用于在局域網(wǎng)中提供服務(wù)的用戶。

中：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時(shí)都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止訪問系統(tǒng)級(jí)別的服務(wù)（如：HTTP、FTP等）。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，如：網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)。適用于普通個(gè)人上網(wǎng)用戶。

高：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時(shí)都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（如：文件、打印機(jī)共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無法看到本機(jī)器。除了已經(jīng)被認(rèn)可的程序打開的端口，系統(tǒng)會(huì)屏蔽掉向外部開放的所有端口。這是最嚴(yán)密的安全級(jí)別。

擴(kuò)展：基于“中”安全級(jí)別再配合一系列專門針對(duì)木馬和間諜程序的擴(kuò)展規(guī)則，可以防止木馬和間諜程序打開TCP或UDP端口監(jiān)聽甚至開放未許可的服務(wù)。天網(wǎng)防火墻將根據(jù)最新的安全動(dòng)態(tài)對(duì)規(guī)則庫(kù)進(jìn)行升級(jí)。適用于需要頻繁試用各種新的網(wǎng)絡(luò)軟件和服務(wù)、又需要對(duì)木馬程序進(jìn)行足夠限制的用戶。

自定義：如果了解各種網(wǎng)絡(luò)協(xié)議，也可以自己設(shè)置規(guī)則。需要注意的是，設(shè)置規(guī)則不正確會(huì)導(dǎo)致無法訪問網(wǎng)絡(luò)。適用于對(duì)網(wǎng)絡(luò)有一定了解并需要自行設(shè)置規(guī)則的用戶。技能二掌握普通應(yīng)用的設(shè)置

（1）天網(wǎng)防火墻系統(tǒng)的設(shè)置，可以參照?qǐng)D6-2-2進(jìn)行。圖6-2-2圖6-2-3

（2）設(shè)置IP規(guī)則，一般保持默認(rèn)設(shè)置即可，未經(jīng)過修改的自定義IP規(guī)則與默認(rèn)中級(jí)規(guī)則是一樣的，如圖6-2-3所示。

（3）查看各個(gè)程序使用及監(jiān)聽端口的情況。可以查看什么程序使用了哪個(gè)端口，是不是有可疑程序在使用網(wǎng)絡(luò)資源等。可以根據(jù)要求在自定義IP規(guī)則里封閉某些端口、禁止某些IP訪問自己的電腦等，如圖6-2-4所示。圖6-2-4

（4）查看日志，上面記錄了程序訪問網(wǎng)絡(luò)的記錄、局域網(wǎng)和網(wǎng)上被IP掃描端口的情況，可供參考以便采取相應(yīng)對(duì)策，日志上基本都是拒絕的操作，如圖6-2-5所示。圖6-2-5百寶箱：什么是個(gè)人防火墻

個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻相同的方式，保護(hù)一臺(tái)計(jì)算機(jī)免受攻擊。通常，這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。

安裝完畢重新電腦啟動(dòng)后，設(shè)置天網(wǎng)防火墻自動(dòng)運(yùn)行，打開天網(wǎng)防火墻就可以發(fā)揮作用了。默認(rèn)情況下，其功能已經(jīng)很強(qiáng)大了，所以如果沒什么特殊要求，設(shè)置為默認(rèn)即可，安全級(jí)別設(shè)置為中級(jí)。

天網(wǎng)防火墻的預(yù)設(shè)安全級(jí)別是為了方便不熟悉天網(wǎng)防火墻的用戶能夠很好地使用天網(wǎng)而設(shè)的。正因?yàn)槿绱?，如果選擇了采用某一種預(yù)設(shè)安全級(jí)別設(shè)置，那么天網(wǎng)就會(huì)屏蔽掉其他安全級(jí)別里的規(guī)則。實(shí)踐三天網(wǎng)防火墻開放端口應(yīng)用

自動(dòng)禁止入侵者和竊取者，使黑客無法看到用戶的計(jì)算機(jī)；自動(dòng)檢測(cè)互聯(lián)網(wǎng)攻擊（如：CodeRed和Blaster蠕蟲）；監(jiān)控并管制所有傳入和傳出的互聯(lián)網(wǎng)通信；允許決定可連接到互聯(lián)網(wǎng)的程序；避免遭受利用未打補(bǔ)丁的軟件中存在的安全漏洞進(jìn)行的攻擊；防止機(jī)密信息未經(jīng)許可就被發(fā)送；禁止旗幟廣告和彈出式窗口，使用戶可以更快速地進(jìn)行網(wǎng)上沖浪；可以輕松安裝在家庭網(wǎng)絡(luò)中；在將筆記本計(jì)算機(jī)連接至不同的網(wǎng)絡(luò)是仍能持續(xù)提供保護(hù)。

具體表現(xiàn)為：

1.網(wǎng)絡(luò)安全的屏障

防火墻可通過過濾不安全的服務(wù)而減低風(fēng)險(xiǎn)，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，使攻擊者無法利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，副IP地址選項(xiàng)中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報(bào)文，并將情況及時(shí)通知防火墻管理員。

2.強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如：口令、加密、身份認(rèn)證等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如，在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上而集中在防火墻。

3.對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

由于所有的訪問都必須經(jīng)過防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是一項(xiàng)非常重要的工作。這不僅有助于了解防火墻的控制是否能夠抵擋攻擊者的探測(cè)和攻擊，了解防火墻的控制是否充分有效，而且有助于作出網(wǎng)絡(luò)需求分析和威脅分析。

4.防止內(nèi)部信息的外泄

通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)中重點(diǎn)網(wǎng)段的隔離，以限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。另外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)，可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至由此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱藏那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如：Finger、DNS等。

Finger顯示了主機(jī)的所有用戶的用戶名、真名、最后登錄時(shí)間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以查看一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。技能一學(xué)會(huì)自定義新的IP規(guī)則

（1）如果需要開放端口必須自定義新的IP規(guī)則。所以在介紹開放端口前，首先介紹如何新建一條IP規(guī)則。在自定義IP規(guī)則里雙擊單線所標(biāo)示的圖標(biāo)，以設(shè)置新規(guī)則或者修改已有規(guī)則，如圖6-3-1所示。圖6-3-1

（2）新建IP規(guī)則列表參數(shù)詳細(xì)說明：

①規(guī)則列表。

這里列出了所有規(guī)則的名稱、規(guī)則所對(duì)應(yīng)的數(shù)據(jù)包的方向、規(guī)則所控制的協(xié)議、本機(jī)端口、對(duì)方地址和對(duì)方端口，以及當(dāng)數(shù)據(jù)包滿足本規(guī)則時(shí)所采取的策略。

在列表的左邊為規(guī)則是否有效的標(biāo)志，勾選表示該規(guī)則有效，否則表示無效。改變勾選后，請(qǐng)注意按“保存”鍵。

②規(guī)則說明。

這里列出了規(guī)則的詳細(xì)說明，如圖６-３-２所示。從圖中可以看出窗口大體分為以下幾部分，自上而下依次為：圖6-3-2

●首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。

●然后，選擇該規(guī)則是對(duì)進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。

●“對(duì)方的IP地址”用于確定選擇數(shù)據(jù)包從哪里來或是去哪里，其中，“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則；“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)；“指定地址”是指可以自己輸入一個(gè)地址；“指定的網(wǎng)絡(luò)地址”是指可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。

●除了設(shè)置上述內(nèi)容，還要設(shè)定該規(guī)則所對(duì)應(yīng)的協(xié)議，其中，TCP協(xié)議要填入本機(jī)的端口范圍和對(duì)方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處輸入該端口，結(jié)束處也輸入同樣的端口。如果不想指定任何端口，只要在起始端口都輸入0即可。TCP標(biāo)志比較復(fù)雜，我們可以查閱其他資料，如果不選擇任何標(biāo)志，那么將不會(huì)對(duì)標(biāo)志作檢查。ICMP規(guī)則要填入類型和代碼，如果輸入255，表示任何類型和代碼都符合本規(guī)則。IGMP不用填寫內(nèi)容。

●當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，就可以對(duì)該數(shù)據(jù)包采取行動(dòng)了。

“通行”指讓該數(shù)據(jù)包暢通無阻地進(jìn)入或發(fā)出；“攔截”指讓該數(shù)據(jù)包無法進(jìn)入機(jī)器；“繼續(xù)下一規(guī)則”指不對(duì)該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對(duì)該包的處理。

●在執(zhí)行這些規(guī)則的同時(shí)，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則處理的數(shù)據(jù)包的主要內(nèi)容，并用右下角的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來“警告”，或發(fā)出聲音提示。

建立規(guī)則時(shí)的注意事項(xiàng)：

（1）防火墻的規(guī)則檢查順序與列表順序是一致的。

（2）當(dāng)我們?cè)诰钟蚓W(wǎng)中，又只想對(duì)局域網(wǎng)開放某些端口或協(xié)議（但對(duì)互聯(lián)網(wǎng)關(guān)閉）時(shí)，可對(duì)局域網(wǎng)的規(guī)則采用允許“局域網(wǎng)網(wǎng)絡(luò)地址”的某端口、協(xié)議的數(shù)據(jù)包“通行”的規(guī)則，然后用“任何地址”的某端口、協(xié)議的規(guī)則“攔截”，就可達(dá)到目的。

（3）不要濫用“記錄”功能，一個(gè)定義不好的規(guī)則加上記錄功能，會(huì)產(chǎn)生大量沒有任何意義的日志，并耗費(fèi)大量的內(nèi)存。

（4）零售版用戶最多可以使用1000條IP規(guī)則。設(shè)置好IP規(guī)則后單擊“確定”按鈕保存并把規(guī)則置頂?shù)皆搮f(xié)議組，這就完成了新的IP規(guī)則的建立，并能立即發(fā)揮作用。技能二IP規(guī)則定義應(yīng)用實(shí)例

現(xiàn)在通過具體的實(shí)例來講解一下如何定制IP規(guī)則。BT一般情況下使用的端口為68816889，而防火墻的默認(rèn)設(shè)置是不允許訪問這些端口的，它只允許BT軟件訪問網(wǎng)絡(luò)，所在一定程序上影響了BT下載速度。下面以打開68816889端口實(shí)際說明一下。

（1）建立一個(gè)新的IP規(guī)則，由于BT使用的是TCP協(xié)議，所以按照?qǐng)D6-3-3所示的內(nèi)容設(shè)置就可以了，單擊“確定”按鈕完成新規(guī)則的建立，這里命名為P2PBT。

圖6-3-3

（2）設(shè)置新規(guī)則后，把規(guī)則在該協(xié)議組置頂并保存。然后可以進(jìn)行在線端口測(cè)試，確定BT的連接端口是否已經(jīng)開放。實(shí)踐四應(yīng)用自定義規(guī)則防止常見病毒

上面介紹的是開放端口的應(yīng)用。如果其他程序要用到某些端口，而防火墻沒有開放這些端口，就可以自己手動(dòng)設(shè)置。接下來介紹一些封鎖端口實(shí)例應(yīng)用，通過封鎖端口來抵御某些病毒的入侵。眾所周知，沖擊波病毒是利用Windows系統(tǒng)的RPC服務(wù)漏洞及開放的69、135、139、445和4444端口進(jìn)行入侵的，所以要防范沖擊波病毒，就要封鎖上述端口。技能一學(xué)會(huì)自定義規(guī)則防止病毒

（1）首先在自定義IP規(guī)則窗口里，選中其中的“禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源”選項(xiàng)，即可禁止135和139兩個(gè)端口。隨后禁止4444端口，具體設(shè)置如圖6-4-1所示。禁止69端口和445端口與此類似。完成后一定要保存，這樣就可以防范沖擊波病毒了。圖6-4-1圖6-4-2

（2）冰河木馬病毒使用的是UDP協(xié)議，默認(rèn)端口為7626。此處為了防范冰河木馬，也將它在防火墻里給予封鎖，如圖6-4-2所示。

（3）依次類推，如果掌握了某病毒的攻擊特性及其使用的端口，就可以參照上面的方法設(shè)置。通過如上設(shè)置，可以大大防范病毒和木馬的攻擊。百寶箱：個(gè)人防火墻的優(yōu)缺點(diǎn)

（1）個(gè)人防火墻增加了保護(hù)級(jí)別，不需要額外的硬件資源。

（2）個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊。

（3）個(gè)人防火墻對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)。例如一個(gè)家庭用戶使用的是Modem或ISDN/ADSL上網(wǎng)，可能一個(gè)硬件防火墻于其來說既昂貴又麻煩。而個(gè)人防火墻已經(jīng)能夠?yàn)橛脩綦[蔽暴露在網(wǎng)絡(luò)上的信息，如：IP地址等。

（4）個(gè)人防火墻主要的缺點(diǎn)就是對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口。真正的防火墻應(yīng)當(dāng)監(jiān)視并控制兩個(gè)或更多的網(wǎng)絡(luò)接口之間的通信。這樣一來的話，個(gè)人防火墻本身可能會(huì)容易受到威脅，或者說是具有這樣一個(gè)弱點(diǎn)，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則。

實(shí)踐五打開Web和FTP服務(wù)器、升級(jí)更新

現(xiàn)在FTP服務(wù)器軟件和Web服務(wù)器已經(jīng)被廣泛應(yīng)用。因?yàn)榉阑饓Σ粌H限制本機(jī)訪問外部的服務(wù)器，也限制外部計(jì)算機(jī)訪問本機(jī)，所以為了Web和FTP服務(wù)器能正常使用，就要設(shè)置防火墻。天網(wǎng)防火墻可以更新Windows補(bǔ)丁，及時(shí)為系統(tǒng)打上最新補(bǔ)丁，保證系統(tǒng)安全。

技能一打開Web和FTP服務(wù)器

（1）確?！敖顾腥诉B接”選項(xiàng)沒有被選中，如圖6-5-1所示。圖6-5-1

（2）設(shè)置有關(guān)Web的IP規(guī)則，如圖6-5-