【正文】 需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機(jī)，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進(jìn)出UDP報(bào)文禁止。9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測試。其中：是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。單擊應(yīng)用程序規(guī)則面板中對應(yīng)每一條應(yīng)用程序規(guī)則都有幾個(gè)按鈕點(diǎn)擊“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級設(shè)置頁面。如果選中“該程序以后按照這次的操作運(yùn)行”選項(xiàng)，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。這時(shí)可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個(gè)人版增加對應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。比如新增一條允許訪問WWW端口的規(guī)則，可以按如下方法設(shè)置。（6）在執(zhí)行這些規(guī)則的同時(shí)，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來“警告”，或發(fā)出聲音提示。（5）當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，你就可以對該數(shù)據(jù)包采取行動(dòng)了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進(jìn)入或出去。如果輸入255，表示任何類型和代碼都符合本規(guī)則。TCP標(biāo)志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標(biāo)志，那么將不會對標(biāo)志作檢查?！觥甌CP’協(xié)議要填入本機(jī)的端口范圍和對方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。（3）“對方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點(diǎn)說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個(gè)地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。5）修改規(guī)則雙擊該規(guī)則，或者點(diǎn)擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。重要：規(guī)則增加、修改、刪除等操作后一定要點(diǎn)擊保存圖標(biāo)進(jìn)行保存，否則無效。從中可以看出，規(guī)則的先后順序?yàn)镮P規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級別。4）安全級別設(shè)置天網(wǎng)個(gè)人版防火墻的缺省安全級別分為低、中、高三個(gè)等級，默認(rèn)的安全等級為中級。防火墻將會以這個(gè)地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：如果確定，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。在防火墻的控制面板中點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，即可展開防火墻系統(tǒng)設(shè)置面板。按照安裝提示完成安裝，并重啟后系統(tǒng)。實(shí)驗(yàn)步驟1）從指導(dǎo)老師處得到天網(wǎng)防火墻個(gè)人版軟件。防火墻是一種被動(dòng)式的防護(hù)手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。例如，一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)?！龇阑饓o法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊?！鰧τ脩舨煌耆该?，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效?！鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊?！鰺o法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。4）防火墻自身的缺陷和不足■限制有用的網(wǎng)絡(luò)服務(wù)?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。（3）從防火墻結(jié)構(gòu)單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下：（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。典型的網(wǎng)絡(luò)防火墻如下所示。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。相關(guān)知識1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀(jì)的一種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進(jìn)入城堡的人都要經(jīng)過一個(gè)吊橋，吊橋的看守檢查每一個(gè)來往的行人。實(shí)驗(yàn)要求基本要求了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。通過實(shí)驗(yàn)，使學(xué)生了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進(jìn) 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。計(jì)算機(jī)的安全問題正面臨著前所未有的挑戰(zhàn)。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。越來越多的網(wǎng)站因?yàn)榘踩詥栴}而癱瘓，公司的機(jī)密信息不斷被竊取，政府機(jī)構(gòu)和組織不斷遭受著安全問題的威脅等等。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。七、防火墻的發(fā)展趨勢近年來，計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展。未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。據(jù)IDC統(tǒng)計(jì)，國外90%的加密VPN都是通過防火墻實(shí)現(xiàn)的。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器?？梢哉f，支持二進(jìn)制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個(gè)字符都需要一個(gè)字節(jié)，存儲量很大，對防火墻的帶寬也是一個(gè)很大的消耗。這里還要提到日志問題，根據(jù)國家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。因此，對于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時(shí)造成網(wǎng)絡(luò)堵塞。上面提到，為什么防火墻不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)呢？說到底還是因?yàn)槭墁F(xiàn)有技術(shù)的限制。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。六、防火墻的發(fā)展特點(diǎn)（一）高速從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠，真正達(dá)到線速的防火墻少之又少。對于一臺商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加，其費(fèi)用也隨之增加。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。當(dāng)然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。第二，未說明拒絕的均為許可的。這是一個(gè)值得推薦的方法，它將創(chuàng)建一個(gè)非常安全的環(huán)境。（一）基本準(zhǔn)則可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準(zhǔn)則：第一，未經(jīng)說明許可的就是拒絕。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買相關(guān)硬件平臺的費(fèi)用為代價(jià)，網(wǎng)關(guān)的配置將降低對用戶的服務(wù)水平，但增加了安全配置上的靈活性。（二）應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾路由器更為嚴(yán)格的安全策略，為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時(shí)，代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。獨(dú)立于服務(wù)的過濾，有些類型的攻擊是與服務(wù)無關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。具體地，它對每一個(gè)數(shù)據(jù)報(bào)的包頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。四、防火墻的基本功能典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè)：包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。復(fù)合型（Hybfid）防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來，形成新 的防火墻，由堡壘主機(jī)提供代理服務(wù)。代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序。包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP源地址、目標(biāo)地址、協(xié)議類型、端口號等進(jìn)行篩選。三、防火墻的技術(shù)分類現(xiàn)有的防火墻主要有：包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型（雙宿主主機(jī)、主機(jī)過濾以及加密路由器）防火墻。一個(gè)有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性，所以我們要用防火墻，防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。六、防火墻的發(fā)展特點(diǎn).............................................................................................................7（一）高速.........................................................................................................................7（二）多功能化.................................................................................................................8（三）安全.........................................................................................................................8七、防火墻的發(fā)展特點(diǎn).............................................................................................................9 參考文獻(xiàn)...................................................................................................................................10防火墻技術(shù)研究報(bào)告一、概述隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，全球信息化已成為人類發(fā)展的大趨勢。（二）安全策略..........................................................