计算机信息安全-防火墙的配置
2022/05/29 09:28:09
一、实验目的
1.理解防火墙的基本原理
2.掌握防火墙策略的基本配置方法
3.掌握防火墙出站规则、入站规则的设置方法,并进行设计和验证
二、实验环境
计算机,windows防火墙(或其他防火墙产品)
三、实验原理
Windows提供的防火墙(WFAS)(及其他安装于个人主机中的防火墙产品)属于基于主机的防火墙,可以拦截对主机的非法入侵,例如,防止非法远程主机对主机的扫描等,从而提高主机的安全性。Windows防火墙的设置分为入站规则和出站规则,总体来说,如果想阻止本机对外的主动连接,应该在“出站规则”中进行设置;如果想阻止外部主机主动连接本机的某些网络请求,应该在“入站规则”中进行设置。
四、实验内容及要求
本实验指导以windows 10(7)防火墙的配置为例,也可供配置其他防火墙参考。
1. 防火墙的开启和关闭
打开控制面板——>系统和安全——>防火墙,点击其中的“启用或关闭windows defender 防火墙”。
实验记录:防火墙开启状态截图。
2. 配置防火墙阻止主机响应外部PING
(1)使用另一台主机对本机执行ping探测。如果另一台主机能够收到本机的ping回复,那么执行下一步(2);否则查看确认下一步提到的内容。
实验记录:另一台主机ping本机的截图。
(2)打开防火墙中的“高级设置”——入站规则,新建“入站规则”阻止本机对ping的回应。具体规则设置过程:新建规则——规则类型(选择自定义)——协议和端口(协议类型选ICMPv4)——操作(阻止连接)——名称。启用该新建规则。
注:Ping(packet internet groper)命令用于确定本地主机是否能与远程主机交换数据包,通过向目标主机发送ICMP(Internet Control Message Protocol,Internet控制报文协议)回应请求来测试目标的可达性。因此可以通过上述操作实现阻止主机响应外部ping。
实验记录:防火墙入站规则截图(截图中可见新建规则)。
(3)使用另一台主机对本机再次执行ping探测看是否能够收到本机的回复。
实验记录:另一台主机ping本机的截图。
3. 基于程序进行过滤,配置防火墙阻止程序访问外网
如果希望某些程序(如QQ、微信、IE浏览器等)不能主动访问网络,那么可以通过在防火墙的出站规则中对该程序设置访问策略来进行限制。
打开防火墙中的“高级设置”——出站规则,新建“出站规则”阻止某程序连网。具体规则设置过程:新建规则—— 规则类型(选择程序)——程序(选择所有程序或某个指定的程序)——操作(阻止连接)——名称。启用该新建规则。
实验记录:对比启用与禁止该新建规则时,程序连网的状态。
4. 基于协议和端口进行过滤,配置防火墙阻止使用网络应用
如果本机不希望外部网络数据能够通过本机的某些端口访问到本机的数据以及相应的服务或者不希望本机主动访问外部的某些端口和服务,那么可以通过在防火墙中的“入站规则”和“出站规则”进行设置。通过入站规则的设置限定远端主机的数据包是否可访问本机的哪些端口;通过出站规则的设置限定本主机流出的数据包是否可以访问远端主机的哪些端口。
(1)打开防火墙中的“高级设置”——出站规则,新建“出站规则”阻止本机访问远程WEB服务器。具体规则设置过程:新建规则——规则类型(选择端口)——协议和端口(TCP,特定远程端口http 80)——操作(阻止连接)——名称。启用该新建规则。https 443
实验记录:防火墙出站规则截图(截图中可见新建规则)。
2)任意访问某网站,比较启用规则前后的情况。(如果访问使用HTTPS的网站,特定端口需要设置为443)写出设置443端口的步骤。
实验记录:对比启用与禁止该新建规则时,访问网站的情况。
5. 基于IP地址进行过滤,配置防火墙阻止访问IP地址
在现实访问网络过程中,可能存在着需要将本机与某网络主机之间的网络连接断开,或者只允许某些主机与本机之间互相通信的情况,此时可以使用防火墙针对IP地址的过滤功能进行配置。
(1)访问某网站。在命令行下使用nslookup命令或ping命令查询某网站的(例如www.baidu.com)的IP地址。
实验记录:拟阻止访问的IP地址为39.156.66.14。
(2)打开防火墙中的“高级设置”——出站规则,新建“出站规则”阻止本机访问某外网IP地址。具体规则设置过程:新建规则——规则类型(选择自定义)——作用域(此规则应用于本地任何IP地址,此规则应用于下列IP地址,添加要阻止访问的IP地址)——操作(阻止连接)——名称。启用该新建规则。
实验记录:防火墙入站规则截图(截图中可见新建规则)。
(3)再次访问某网站,观察是否能成功访问。
1.理解防火墙的基本原理
2.掌握防火墙策略的基本配置方法
3.掌握防火墙出站规则、入站规则的设置方法,并进行设计和验证
二、实验环境
计算机,windows防火墙(或其他防火墙产品)
三、实验原理
Windows提供的防火墙(WFAS)(及其他安装于个人主机中的防火墙产品)属于基于主机的防火墙,可以拦截对主机的非法入侵,例如,防止非法远程主机对主机的扫描等,从而提高主机的安全性。Windows防火墙的设置分为入站规则和出站规则,总体来说,如果想阻止本机对外的主动连接,应该在“出站规则”中进行设置;如果想阻止外部主机主动连接本机的某些网络请求,应该在“入站规则”中进行设置。
四、实验内容及要求
本实验指导以windows 10(7)防火墙的配置为例,也可供配置其他防火墙参考。
1. 防火墙的开启和关闭
打开控制面板——>系统和安全——>防火墙,点击其中的“启用或关闭windows defender 防火墙”。
实验记录:防火墙开启状态截图。
2. 配置防火墙阻止主机响应外部PING
(1)使用另一台主机对本机执行ping探测。如果另一台主机能够收到本机的ping回复,那么执行下一步(2);否则查看确认下一步提到的内容。
实验记录:另一台主机ping本机的截图。
(2)打开防火墙中的“高级设置”——入站规则,新建“入站规则”阻止本机对ping的回应。具体规则设置过程:新建规则——规则类型(选择自定义)——协议和端口(协议类型选ICMPv4)——操作(阻止连接)——名称。启用该新建规则。
注:Ping(packet internet groper)命令用于确定本地主机是否能与远程主机交换数据包,通过向目标主机发送ICMP(Internet Control Message Protocol,Internet控制报文协议)回应请求来测试目标的可达性。因此可以通过上述操作实现阻止主机响应外部ping。
实验记录:防火墙入站规则截图(截图中可见新建规则)。
(3)使用另一台主机对本机再次执行ping探测看是否能够收到本机的回复。
实验记录:另一台主机ping本机的截图。
3. 基于程序进行过滤,配置防火墙阻止程序访问外网
如果希望某些程序(如QQ、微信、IE浏览器等)不能主动访问网络,那么可以通过在防火墙的出站规则中对该程序设置访问策略来进行限制。
打开防火墙中的“高级设置”——出站规则,新建“出站规则”阻止某程序连网。具体规则设置过程:新建规则—— 规则类型(选择程序)——程序(选择所有程序或某个指定的程序)——操作(阻止连接)——名称。启用该新建规则。
实验记录:对比启用与禁止该新建规则时,程序连网的状态。
4. 基于协议和端口进行过滤,配置防火墙阻止使用网络应用
如果本机不希望外部网络数据能够通过本机的某些端口访问到本机的数据以及相应的服务或者不希望本机主动访问外部的某些端口和服务,那么可以通过在防火墙中的“入站规则”和“出站规则”进行设置。通过入站规则的设置限定远端主机的数据包是否可访问本机的哪些端口;通过出站规则的设置限定本主机流出的数据包是否可以访问远端主机的哪些端口。
(1)打开防火墙中的“高级设置”——出站规则,新建“出站规则”阻止本机访问远程WEB服务器。具体规则设置过程:新建规则——规则类型(选择端口)——协议和端口(TCP,特定远程端口http 80)——操作(阻止连接)——名称。启用该新建规则。https 443
实验记录:防火墙出站规则截图(截图中可见新建规则)。
2)任意访问某网站,比较启用规则前后的情况。(如果访问使用HTTPS的网站,特定端口需要设置为443)写出设置443端口的步骤。
实验记录:对比启用与禁止该新建规则时,访问网站的情况。
5. 基于IP地址进行过滤,配置防火墙阻止访问IP地址
在现实访问网络过程中,可能存在着需要将本机与某网络主机之间的网络连接断开,或者只允许某些主机与本机之间互相通信的情况,此时可以使用防火墙针对IP地址的过滤功能进行配置。
(1)访问某网站。在命令行下使用nslookup命令或ping命令查询某网站的(例如www.baidu.com)的IP地址。
实验记录:拟阻止访问的IP地址为39.156.66.14。
(2)打开防火墙中的“高级设置”——出站规则,新建“出站规则”阻止本机访问某外网IP地址。具体规则设置过程:新建规则——规则类型(选择自定义)——作用域(此规则应用于本地任何IP地址,此规则应用于下列IP地址,添加要阻止访问的IP地址)——操作(阻止连接)——名称。启用该新建规则。
实验记录:防火墙入站规则截图(截图中可见新建规则)。
(3)再次访问某网站,观察是否能成功访问。