Filter防火牆（實驗報告）

（一）實驗簡介

實驗所屬系列：防火牆技術

實驗對象： 本科/專科信息安全專業

相關課程及專業：信息安全基礎、計算機網絡

實驗時數（學分）：4學時

實驗類別：實踐實驗類

（二）實驗目的

1、了解個人防火牆的基本工作原理；

2、掌握Filter防火牆的配置。

 

（三）預備知識

防火牆

防火牆（Firewall）是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火牆可以是一台專屬的硬件也可以是架設在一般硬件上的一套軟件。

防火牆是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。

防火牆類型，包括：

   1）個人防火牆，針對普通用戶，通常是在一部電腦上具有數據包過濾功能的軟件，如Windows XP SP2后自帶的防火牆程序。

   2）專業防火牆，通常為網絡設備，或是擁有2個以上網絡接口的電腦。以作用的TCP/IP堆棧區分，主要分為網絡層防火牆和應用層防火牆兩種。

   防火牆對於每一個電腦用戶的重要性不言而喻，尤其是在當前網絡威脅泛濫的環境下，通過專業可靠的工具來幫助自己保護電腦信息安全十分重要。

   Windows 7操作系統自帶的防火牆與WindowsXP系統的防火牆功能相比功能更實用，且操作更簡單。

（四）實驗步驟

使本機不能訪問所有網站

本任務將通過對Windows防火牆進行配置，實現本機不能訪問所有網站。實驗步驟如下：

 

步驟一：未設置防火牆時，測試本機可訪問網站。

 

登錄到實驗機后，打開瀏覽器，在瀏覽器里面輸入某個網站地址。本例以http://tools.hetianlab.com為例，如圖示：

 

步驟二：進入windows防火牆的高級設置頁面。

 通過點擊：開始-->控制面板-->系統和安全-->Windows 防火牆，出現“Windows防火牆”頁面：

 

點擊“高級設置”，出現“高級安全Windows防火牆”設置頁面：

設置出口規則為“阻止對80端口的TCP連接”（即禁止訪問Web服務器）。分為如下若干小步驟：

1）右鍵出站規則-->新建規則，將出現設置向導。

2）首先是“規則類型”配置，選擇“端口”，並點擊“下一步”。如下圖：

 

3）在“協議和端口”配置界面，選擇“TCP”，選擇“特定遠程端口”，輸入“80”，點“下一步”。見下圖：

 

4）在“操作”界面，選擇“阻止連接”，點“下一步”。

 

 5）在“名稱”界面，為該規則指定一個名稱和描述。

 

 

6）點擊“完成”后，規則創建完畢。

步驟四、測試。

打開瀏覽器，輸入剛才測試的網站，已無法訪問。

 

使本機不能訪問指定網站

本任務將通過對windows防火牆進行規則設置，使本機不能訪問指定網站，我們以http://tools.hetianlab.com為例。

在實驗之前，把任務一所新建的出口規則刪除，此時在瀏覽器下可以訪問http://tools.hetianlab.com。

步驟一，設置出口規則為“阻止對http://tools.hetianlab.com的80端口的TCP連接”（即禁止訪問http://tools.hetianlab.com網站）。分為如下若干小步驟：

1）新建規則（出站規則），規則類型選“自定義”，點“下一步”。

 

 

2）在“程序”配置界面，選“所有程序”，點“下一步”。

3）在“協議和端口”界面，選“TCP”，選擇“特定遠程端口”，輸入“80”，點“下一步”。

 

 4）在“作用域”界面，點擊“添加”，將彈出“IP地址”對話框，輸入網址的IP地址，獲取IP的方法為CMD 里ping tools.hetianlab.com，點擊“確定”，回到“作用域”后，點擊“下一步”。

5）在“操作”界面，選擇“阻止連接”，點“下一步”。

6）在“名稱”界面，為本次規則取個名字。

點擊“完成”后，規則創建完畢。

步驟二：測試

打開瀏覽器，此時已經無法訪問http://tools.hetianlab.com。但可ping通。截圖中返回了IP地址說明是通的，請求超時只是網站為了安全而設置的禁ping策略。

 

（五）分析與思考

一、分析白名單策略與黑名單，哪個策略更嚴謹？

黑名單只是一種防止已經惡意程序運行或者防止已知垃圾郵件發送者和其他不受歡迎的發件人向用戶發送郵件的簡單有效的方法，但它只能抵御已知的有害的程序和發送者，不能夠抵御新威脅(零日攻擊等)，對進入網絡的流量進行掃描並將其與黑名單對比還可能浪費相當多的資源以及降低網絡流量。

白名單技術的宗旨是不阻止某些特定的事物，它采取了與黑名單相反的做法，利用一份“已知為良好”的實體(程序、電子郵件地址、域名、網址)名單，沒有必要運行必須不斷更新的防病毒軟件，任何不在名單上的事物將被阻止運行，系統能夠免受零日攻擊。

相較而言，白名單策略更嚴謹

二、在某一公共場合，只想讓用戶訪問WEB，除此外如QQ、迅雷之類的都不能用，防火牆應該如何設置？

在高級防火牆“出站規則”中，只添加對80端口的訪問規則，並對qq，迅雷之類的端口禁止訪問