【正文】 則的修改和加入的規(guī)則將會全部被清除掉。防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個(gè)人版專門為用戶設(shè)計(jì)了防火墻設(shè)置向?qū)АＳ脩艨梢愿S它一步一步完成天網(wǎng)防火墻的合理設(shè)置。應(yīng)用程序權(quán)限設(shè)置：勾選了該選項(xiàng)之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認(rèn)為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。（譬如在運(yùn)行某些游戲程序的時(shí)候）局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會以這個(gè)地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時(shí)自動保存日志，當(dāng)你退出防火墻的保護(hù)時(shí)，天網(wǎng)防火墻將會把當(dāng)日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當(dāng)日的日志記錄。4）安全級別設(shè)置天網(wǎng)個(gè)人版防火墻的缺省安全級別分為低、中、高三個(gè)等級，默認(rèn)的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級別。然后點(diǎn)擊左邊的將打開自定義的IP規(guī)則。從中可以看出，規(guī)則的先后順序?yàn)镮P規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點(diǎn)擊保存圖標(biāo)進(jìn)行保存，否則無效。單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?）修改規(guī)則雙擊該規(guī)則，或者點(diǎn)擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進(jìn)行修改。（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。（3）“對方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點(diǎn)說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個(gè)地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對應(yīng)的協(xié)議，其中：■‘IP’協(xié)議不用填寫內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點(diǎn)要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”?！觥甌CP’協(xié)議要填入本機(jī)的端口范圍和對方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標(biāo)志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標(biāo)志，那么將不會對標(biāo)志作檢查?！觥甀CMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內(nèi)容。（5）當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，你就可以對該數(shù)據(jù)包采取行動了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進(jìn)入或出去?！鰯r截’指讓該數(shù)據(jù)包無法進(jìn)入你的機(jī)器■繼續(xù)下一規(guī)則’指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對該包的處理。（6）在執(zhí)行這些規(guī)則的同時(shí)，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來“警告”，或發(fā)出聲音提示。6）新增規(guī)則點(diǎn)擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許訪問WWW端口的規(guī)則，可以按如下方法設(shè)置。設(shè)置完成后點(diǎn)擊“確定”，并點(diǎn)擊工具條的保存按鈕。7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個(gè)人版增加對應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)防火墻個(gè)人版打開的情況下，首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會被天網(wǎng)防火墻個(gè)人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時(shí)可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運(yùn)行”，那么天網(wǎng)防火墻個(gè)人版在以后會繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運(yùn)行”選項(xiàng)，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。8）高級應(yīng)用程序規(guī)則設(shè)置單擊可以打開詳細(xì)的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對應(yīng)每一條應(yīng)用程序規(guī)則都有幾個(gè)按鈕點(diǎn)擊“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級設(shè)置頁面。“該應(yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動作。其中：是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機(jī)打開監(jiān)聽的端口來提供網(wǎng)絡(luò)服務(wù)，這通常用于各種服務(wù)器端程序中。9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測試。需求1：ICMP規(guī)則允許ping進(jìn)來，其它禁止，TCP規(guī)則允許訪問本機(jī)的WWW服務(wù)和主動模式的FTP服務(wù)，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機(jī)，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進(jìn)出UDP報(bào)文禁止。實(shí)驗(yàn)思考1）根據(jù)你所了解的網(wǎng)絡(luò)安全事件，你認(rèn)為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統(tǒng)的手段有哪些？第五篇：防火墻概技術(shù)及其特點(diǎn)防火墻概技術(shù)及其特點(diǎn)大家知道，傳統(tǒng)防火墻的類型主要有三種：包過濾、應(yīng)用層網(wǎng)關(guān)和代理，每種都有各自的特點(diǎn)。數(shù)據(jù)包過濾防火墻技術(shù)數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表(Access Contro*Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。包過濾的優(yōu)點(diǎn)是一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)，數(shù)據(jù)包過濾對用戶透明，過濾路由器速度快、效率高；缺點(diǎn)是不能徹底防止地址欺騙，一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾，正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。應(yīng)用層網(wǎng)關(guān)防火墻技術(shù)應(yīng)用層網(wǎng)關(guān)(Application Leve*Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。代理防火墻技術(shù) 代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Leve*Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用層網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。三、新一代防火墻技術(shù)及其應(yīng)用新一代防火墻的目的主要是綜合包過濾和代理技術(shù)，克服二者在安全方面的缺陷；能從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制；實(shí)現(xiàn)TCP/IP協(xié)議的微內(nèi)核，從而在TCP/IP協(xié)議層能進(jìn)行各項(xiàng)安全控制；基于上述微內(nèi)核，使速度超過傳統(tǒng)的包過濾防火墻；提供透明代理模式，減輕客戶端的配置工作；支持?jǐn)?shù)據(jù)加密、解密(DES和RSA)，提供對虛擬網(wǎng)VPN的強(qiáng)大支持；內(nèi)部信息完全隱藏；產(chǎn)生一個(gè)新的防火墻理論。新一代防火墻技術(shù)不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能，而且在全面對抗IP欺騙、SYN Flood、ICMP、ARP等攻擊手段方面有顯著優(yōu)勢，增強(qiáng)代理服務(wù)，并使其與包過濾相融合，再加上智能過濾技術(shù)，使防火墻的安全性提升到又一高度。智能防火墻的關(guān)鍵技術(shù)有：*防攻擊技術(shù)智能防火墻能智能識別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決SYN Flooding，Land Attack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻擊。防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊。*防掃描技術(shù) 智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS，SSS，NMAP等掃描工具，智能防火墻可以防止被掃描。防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊。*防欺騙技術(shù)智能防火墻提供基于MAC的訪問控制機(jī)制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴(kuò)展到OSI的第二層。*入侵防御技術(shù)智能防火墻為了解決準(zhǔn)許放行包的安全性，對準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測，并提供入侵防御保護(hù)。入侵防御技術(shù)采用了多種檢測技術(shù)，特征檢測可以準(zhǔn)確檢測已知的攻擊，特征庫涵蓋了目前流行的網(wǎng)絡(luò)攻擊；異常檢測基于對監(jiān)控網(wǎng)絡(luò)的自學(xué)習(xí)能力，可以有效地檢測新出現(xiàn)的攻擊。檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。*包擦洗和協(xié)議正?；夹g(shù)智能防火墻支持包擦洗技術(shù)，對IP，TCP，UDP，ICMP等協(xié)議的擦洗，實(shí)現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風(fēng)險(xiǎn)和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。*AAA技術(shù)IP v4版本的一大缺陷是缺乏身份認(rèn)證功能，所以在IP v6版本中增加了該功能。問題是IP v6的推廣尚需時(shí)日，IP v4在相當(dāng)長一段時(shí)間內(nèi)，還會繼續(xù)存在。智能防火墻增加了對IP層的身份認(rèn)證?；谏矸輥韺?shí)現(xiàn)訪問控制。2009年12月26日