Filter防火牆

實驗目的

  1、了解個人防火牆的基本工作原理；

  2、掌握Filter防火牆的配置。

預備知識

防火牆

      防火牆（Firewall）是一項協助確定資訊安全的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可以是一台專屬的硬體也可以是架設在一般硬體上的一套軟體。

      防火牆是用來阻擋外部不安全因素影響的内部網絡屏障，其目的就是防止外部網絡使用者未經授權的通路。它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），進而保護内部網免受非法使用者的侵入。

      防火牆類型，包括：

      1）個人防火牆，針對普通使用者，通常是在一部電腦上具有資料包過濾功能的軟體，如Windows XP SP2後自帶的防火牆程式。

      2）專業防火牆，通常為網絡裝置，或是擁有2個以上網絡接口的電腦。以作用的TCP/IP堆棧區分，主要分為網絡層防火牆和應用層防火牆兩種。

      防火牆對于每一個電腦使用者的重要性不言而喻，尤其是在目前網絡威脅泛濫的環境下，通過專業可靠的工具來幫助自己保護電腦資訊安全十分重要。

      Windows 7作業系統自帶的防火牆與WindowsXP系統的防火牆功能相比功能更實用，且操作更簡單。

實驗步驟一

使本機不能通路所有網站

      本任務将通過對Windows防火牆進行配置，實作本機不能通路所有網站。實驗步驟如下：

步驟一：未設定防火牆時，測試本機可通路網站。

      登入到實驗機後，打開浏覽器，在浏覽器裡面輸入某個網站位址。本例以http://tools.hetianlab.com為例，如圖示：

步驟二：進入windows防火牆的進階設定頁面。

      通過點選：開始-->控制台-->系統和安全-->Windows 防火牆，出現“Windows防火牆”頁面：

      點選“進階設定”，出現“進階安全Windows防火牆”設定頁面：

說明：

      1）在進階安全Windows防火牆中，是支援雙向保護的，也就是說它将防火牆的規則分為兩個部分，分别是入站規則和出站規則。入站就是外網通路本機，出站就是本機通路外網。進階安全Windows防火牆預設是對内阻止，對外開放。

      2）使用者可以建立入站和出站規則，進而阻擋或者允許特定程式或者端口進行連接配接；可以使用預先設定的規則，也可以建立自定義規則。“建立規則向導”則可以幫使用者逐漸完成建立規則的步驟。

      3）使用者可以将規則應用于一組程式、端口或者服務，也可以将規則應用于所有程式或者某個特定程式；可以阻擋某個軟體進行所有連接配接，或者允許所有連接配接，或者隻允許安全連接配接，并要求使用加密來保護通過該連接配接發送的資料的安全性；可以為入站和出站流量配置源IP位址及目的地IP位址，同樣還可以為源TCP和UDP端口及目的地TCP和UPD端口配置規則。

      4）Web伺服器的預設端口是80。 

實驗步驟二

設定出口規則為“阻止對80端口的TCP連接配接”（即禁止通路Web伺服器）。分為如下若幹小步驟：

1）右鍵出站規則-->建立規則，如下圖：

      将出現設定向導。

2）首先是“規則類型”配置，選擇“端口”，并點選“下一步”。如下圖：

3）在“協定和端口”配置界面，選擇“TCP”，選擇“特定遠端端口”，輸入“80”，點“下一步”。見下圖：

4）在“操作”界面，選擇“阻止連接配接”，點“下一步”。

5）在“名稱”界面，為該規則指定一個名稱和描述。

6）點選“完成”後，規則建立完畢。

  步驟四、測試。

      打開浏覽器，輸入剛才測試的網站，已無法通路。

實驗步驟三

使本機不能通路指定網站

      本任務将通過對windows防火牆進行規則設定，使本機不能通路指定網站，我們以http://tools.hetianlab.com為例。

      在實驗之前，把任務一所建立的出口規則删除，此時在浏覽器下可以通路http://tools.hetianlab.com。

步驟一、設定出口規則為“阻止對http://tools.hetianlab.com的80端口的TCP連接配接”（即禁止通路http://tools.hetianlab.com網站）。分為如下若幹小步驟：

1）建立規則（出站規則），規則類型選“自定義”，點“下一步”。

2）在“程式”配置界面，選“所有程式”，點“下一步”。

3）在“協定和端口”界面，選“TCP”，選擇“特定遠端端口”，輸入“80”，點“下一步”。

4）在“作用域”界面，點選“添加”，将彈出“IP位址”對話框，輸入網址的IP位址，擷取IP的方法為CMD 裡ping tools.hetianlab.com，點選“确定”，回到“作用域”後，點選“下一步”。見下圖：

5）在“操作”界面，選擇“阻止連接配接”，點“下一步”。

6）在“名稱”界面，為本次規則取個名字。

      點選“完成”後，規則建立完畢。

步驟二：測試

      打開浏覽器，此時已經無法通路http://tools.hetianlab.com。但可ping通。截圖中傳回了IP位址說明是通的，請求逾時隻是網站為了安全而設定的禁ping政策。

分析與思考

1）分析白名單政策與黑名單，哪個政策更嚴謹？

兩者的安全本質差距在于黑名單通過實施政策進而啟動措施，而白名單是通過實施政策阻止措施。但是這是假設政策有效時，如果政策無效，會導緻措施無法保證安全，而白名單會使得措施繼續保證安全，這是由兩者政策和措施的關系的有無的本質差别造成的.是以白名單可靠性遠高于黑名單，這兩者是質的天壤之别.

2）在某一公共場合，隻想讓使用者通路WEB，除此外如QQ、迅雷之類的都不能用，防火牆應該如何設定？

設定防火牆隻允許web端口通路

3）嘗試win7防火牆中其他功能。