Filter防火牆

實驗簡介

實驗所屬系列：防火牆技術

實驗對象： 大學/專科資訊安全專業

相關課程及專業：資訊安全基礎、計算機網絡

實驗類别：實踐實驗類

實驗目的

  1、了解個人防火牆的基本工作原理；

  2、掌握filter防火牆的配置。

預備知識

防火牆：

      防火牆（firewall）是一項協助確定資訊安全的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可以是一台專屬的硬體也可以是架設在一般硬體上的一套軟體。 防火牆是用來阻擋外部不安全因素影響的内部網絡屏障，其目的就是防止外部網絡使用者未經授權的通路。它是一種計算機硬體和軟體的結合，使internet與intranet之間建立起一個安全網關（security gateway），進而保護内部網免受非法使用者的侵入。

      防火牆類型，包括：

      1）個人防火牆，針對普通使用者，通常是在一部電腦上具有資料包過濾功能的軟體，如windows xp sp2後自帶的防火牆程式。

      2）專業防火牆，通常為網絡裝置，或是擁有2個以上網絡接口的電腦。以作用的tcp/ip堆棧區分，主要分為網絡層防火牆和應用層防火牆兩種。

實驗環境

一台安裝了win7作業系統的主機。

實驗步驟一

使本機不能通路所有網站

      本任務将通過對windows防火牆進行配置，實作本機不能通路所有網站。實驗步驟如下：

　　步驟一：未設定防火牆時，測試本機可通路網站。

      登入到實驗機後，打開浏覽器，在浏覽器裡面輸入某個網站位址。本例以http://tools.hetianlab.com為例，如圖示：

步驟二：進入windows防火牆的進階設定頁面。

      通過點選：開始-->控制台-->系統和安全-->windows 防火牆，出現“windows防火牆”頁面：

       點選“進階設定”，出現“進階安全windows防火牆”設定頁面：

說明：

      1）在進階安全windows防火牆中，是支援雙向保護的，也就是說它将防火牆的規則分為兩個部分，分别是入站規則和出站規則。入站就是外網通路本機，出站就是本機通路外網。進階安全windows防火牆預設是對内阻止，對外開放。

      2）使用者可以建立入站和出站規則，進而阻擋或者允許特定程式或者端口進行連接配接；可以使用預先設定的規則，也可以建立自定義規則。“建立規則向導”則可以幫使用者逐漸完成建立規則的步驟。

      3）使用者可以将規則應用于一組程式、端口或者服務，也可以将規則應用于所有程式或者某個特定程式；可以阻擋某個軟體進行所有連接配接，或者允許所有連接配接，或者隻允許安全連接配接，并要求使用加密來保護通過該連接配接發送的資料的安全性；可以為入站和出站流量配置源ip位址及目的地ip位址，同樣還可以為源tcp和udp端口及目的地tcp和upd端口配置規則。

      4）web伺服器的預設端口是80。 

實驗步驟二

設定出口規則為“阻止對80端口的tcp連接配接”（即禁止通路web伺服器）。分為如下若幹小步驟：

1）右鍵出站規則-->建立規則

2）首先是“規則類型”配置，選擇“端口”，并點選“下一步”。如下圖：

 3）在“協定和端口”配置界面，選擇“tcp”，選擇“特定遠端端口”，輸入“80”，點“下一步”。見下圖：

 4）在“操作”界面，選擇“阻止連接配接”，點“下一步”。

 5）在“名稱”界面，為該規則指定一個名稱和描述。

6）點選“完成”後，規則建立完畢。

  步驟四、測試。

      打開浏覽器，輸入剛才測試的網站，已無法通路

 實驗步驟三

使本機不能通路指定網站

      本任務将通過對windows防火牆進行規則設定，使本機不能通路指定網站，我們以http://tools.hetianlab.com為例。

      在實驗之前，把任務一所建立的出口規則删除，此時在浏覽器下可以通路http://tools.hetianlab.com。

步驟一、設定出口規則為“阻止對http://tools.hetianlab.com的80端口的tcp連接配接”（即禁止通路http://tools.hetianlab.com網站）。分為如下若幹小步驟：

1）建立規則（出站規則），規則類型選“自定義”，點“下一步”。

2）在“程式”配置界面，選“所有程式”，點“下一步”。

3）在“協定和端口”界面，選“tcp”，選擇“特定遠端端口”，輸入“80”，點“下一步”。

 4）在“作用域”界面，點選“添加”，将彈出“ip位址”對話框，輸入網址的ip位址，擷取ip的方法為cmd 裡ping tools.hetianlab.com，點選“确定”，回到“作用域”後，點選“下一步”。見下圖：

5）在“操作”界面，選擇“阻止連接配接”，點“下一步”。

6）在“名稱”界面，為本次規則取個名字。

      點選“完成”後，規則建立完畢。

步驟二：測試

      打開浏覽器，此時已經無法通路http://tools.hetianlab.com。但可ping通。截圖中傳回了ip位址說明是通的，請求逾時隻是網站為了安全而設定的禁ping政策。

心得體會：

通過此次實驗我了解個人防火牆的基本工作原理并掌握filter防火牆的配置，明白了網絡安全的重要性。

分析與思考

1）分析白名單政策與黑名單，哪個政策更嚴謹？

在計算機安全中，黑名單隻是一種防止已經惡意程式運作或者防止已知垃圾郵件發送者和其他不受歡迎的發件人向使用者發送郵件的簡單有效的方法，更新黑名單可以快速通過更新伺服器來實作，大多數防病毒程式使用的是黑名單技術來阻止已知威脅，垃圾郵件過濾器往往需要依賴于黑名單技術。 黑名單的另一個問題就是，它隻能抵禦已知的有害的程式和發送者，不能夠抵禦新威脅(零日攻擊等)，對進入網絡的流量進行掃描并将其與黑名單對比還可能浪費相當多的資源以及降低網絡流量。

白名單技術的宗旨是不阻止某些特定的事物，它采取了與黑名單相反的做法，利用一份“已知為良好”的實體(程式、電子郵件位址、域名、網址)名單。白名單技術十分簡單，給予了管理者和公司較大的權利來控制能夠進入網絡或者在機器上運作的程式，白名單技術的優點是，除了名單上的實體外都不能運作或者通過，缺點則是，不在名單上的實體都不能運作和通過。

兩者的安全本質差距在于黑名單通過實施政策進而啟動措施，而白名單是通過實施政策阻止措施。但是這是假設政策有效時，如果政策無效，會導緻措施無法保證安全，而白名單會使得措施繼續保證安全，這是由兩者政策和措施的關系的有無的本質差别造成的.是以白名單可靠性遠高于黑名單。

2）在某一公共場合，隻想讓使用者通路web，除此外如qq、迅雷之類的都不能用，防火牆應該如何設定？

 在出站規則中隻開啟通路web，從後面加一條拒絕通路所有web端口。