【正文】 ■‘IGMP’不用填寫(xiě)內(nèi)容?！觥甀CMP’規(guī)則要填入類型和代碼。如果不想指定任何端口，只要在起始端口都錄入0。（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對(duì)應(yīng)的協(xié)議，其中：■‘IP’協(xié)議不用填寫(xiě)內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點(diǎn)要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對(duì)方地址：任何地址；動(dòng)作：繼續(xù)下一規(guī)則”。（2）然后，選擇該規(guī)則是對(duì)進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。然后按照需求對(duì)各部分進(jìn)行修改。單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)?。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。然后點(diǎn)擊左邊的將打開(kāi)自定義的IP規(guī)則。了解安全級(jí)別的說(shuō)明請(qǐng)查看防火墻幫助文件。日志保存：選中每次退出防火墻時(shí)自動(dòng)保存日志，當(dāng)你退出防火墻的保護(hù)時(shí)，天網(wǎng)防火墻將會(huì)把當(dāng)日的日志記錄自動(dòng)保存到SkyNet/FireWall/log文件下，打開(kāi)文件夾便可查看當(dāng)日的日志記錄。（譬如在運(yùn)行某些游戲程序的時(shí)候）局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。應(yīng)用程序權(quán)限設(shè)置：勾選了該選項(xiàng)之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)都默認(rèn)為通行不攔截。防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個(gè)人版專門(mén)為用戶設(shè)計(jì)了防火墻設(shè)置向?qū)?。天網(wǎng)個(gè)人版防火墻系統(tǒng)設(shè)置界面如下。3）系統(tǒng)設(shè)置。2）天網(wǎng)防火墻個(gè)人版的安裝。實(shí)驗(yàn)設(shè)備主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境，天網(wǎng)防火墻個(gè)人版?！霾荒芊纻湫碌木W(wǎng)絡(luò)安全問(wèn)題。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無(wú)害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上，但一旦執(zhí)行就開(kāi)始攻擊?！鯥nternet防火墻也不能完全防止傳送已感染病毒的軟件或文件。例如，在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒(méi)有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過(guò)SLIP或PPP聯(lián)接進(jìn)入Internet。目前防火墻只提供對(duì)外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠?jī)?nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。很多防火墻(例如SunScreenEFS、CiscoIOs、FW1)以順序方式檢查信息包，當(dāng)防火墻接收到一個(gè)信息包時(shí)，它先與第一條規(guī)則相比較,然后是第二條、第三條??當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí)，就停止檢查并應(yīng)用那條規(guī)則。3）防火墻的基本規(guī)則■一切未被允許的就是禁止的(No規(guī)則)。（4）按防火墻的應(yīng)用部署位置邊界防火墻、個(gè)人防火墻和混合防火墻三大類。（2）從防火墻技術(shù)“包過(guò)濾型”和“應(yīng)用代理型”兩大類。防火墻也并不能防止內(nèi)部人員的蓄意破壞和對(duì)內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺(jué)，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來(lái)控制。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，而且防火墻本身也必須能夠免于滲透。對(duì)于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(securitygateway),也就是一個(gè)電子吊橋，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開(kāi)的屏障。提高要求能夠使用WindowsDDK開(kāi)發(fā)防火墻。題目描述根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略，并制定、測(cè)試相應(yīng)的防火墻的規(guī)則等。第一篇：實(shí)驗(yàn) 防火墻技術(shù)實(shí)驗(yàn)實(shí)驗(yàn)九防火墻技術(shù)實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康姆阑饓κ蔷W(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個(gè)人防火墻和分布式防火墻三類。通過(guò)實(shí)驗(yàn)，使學(xué)生了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。實(shí)驗(yàn)要求基本要求了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。相關(guān)知識(shí)1)防火墻的基本原理防火墻（firewall）是一種形象的說(shuō)法，本是中世紀(jì)的一種安全防務(wù)：在城堡周?chē)诰蛞坏郎钌畹暮緶?，進(jìn)入城堡的人都要經(jīng)過(guò)一個(gè)吊橋，吊橋的看守檢查每一個(gè)來(lái)往的行人。它決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)、可以被哪些人訪問(wèn)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。典型的網(wǎng)絡(luò)防火墻如下所示。2)防火墻的分類前市場(chǎng)的防火墻產(chǎn)品主要分類如下：（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。（3）從防火墻結(jié)構(gòu)單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。（5）按防火墻性能百兆級(jí)防火墻和千兆級(jí)防火墻兩類?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。4）防火墻自身的缺陷和不足■限制有用的網(wǎng)絡(luò)服務(wù)。■無(wú)法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。■Internet防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊?！鰧?duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸及單點(diǎn)失效?！龇阑饓o(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。例如，一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使得入侵者很容易獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)。防火墻是一種被動(dòng)式的防護(hù)手段，它只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。實(shí)驗(yàn)步驟1）從指導(dǎo)老師處得到天網(wǎng)防火墻個(gè)人版軟件。按照安裝提示完成安裝，并重啟后系統(tǒng)。在防火墻的控制面板中點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，即可展開(kāi)防火墻系統(tǒng)設(shè)置面板。防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：如果確定，天網(wǎng)防火墻將會(huì)把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，你對(duì)安全規(guī)則的修改和加入的規(guī)則將會(huì)全部被清除掉。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。這適合在某些特殊情況下，不需要對(duì)所有訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。防火墻將會(huì)以這個(gè)地址來(lái)區(qū)分局域網(wǎng)或者是INTERNET 的IP來(lái)源。4）安全級(jí)別設(shè)置天網(wǎng)個(gè)人版防火墻的缺省安全級(jí)別分為低、中、高三個(gè)等級(jí)，默認(rèn)的安全等級(jí)為中級(jí)。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級(jí)別。從中可以看出，規(guī)則的先后順序?yàn)镮P規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。重要：規(guī)則增加、修改、刪除等操作后一定要點(diǎn)擊保存圖標(biāo)進(jìn)行保存，否則無(wú)效。5）修改規(guī)則雙擊該規(guī)則，或者點(diǎn)擊工具條上的修改按鈕可以打開(kāi)該規(guī)則的修改窗體。（1）首先輸入規(guī)則的“名稱”和“說(shuō)明”，以便于查找和閱讀。（3）“對(duì)方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來(lái)或是去哪里，這里有幾點(diǎn)說(shuō)明： ■“任何地址”是指數(shù)據(jù)包從任何地方來(lái)，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來(lái)自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個(gè)地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。■‘TCP’協(xié)議要填入本機(jī)的端口范圍和對(duì)方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。TCP標(biāo)志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標(biāo)志，那么將不會(huì)對(duì)標(biāo)志作檢查。如果輸入255，表示任何類型和代碼都符合本規(guī)則。（5）當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，你就可以對(duì)該數(shù)據(jù)包采取行動(dòng)了： ■‘通行’指讓該數(shù)據(jù)包暢通無(wú)阻的進(jìn)入或出去。（6）在執(zhí)行這些規(guī)則的同時(shí)，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來(lái)“警告”，或發(fā)出聲音提示。比如新增一條允許訪問(wèn)WWW端口的規(guī)則，可以按如下方法設(shè)置。7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個(gè)人版增加對(duì)應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過(guò)。這時(shí)可以根據(jù)需要來(lái)決定是否允許應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)。如果選中“該程序以后按照這次的操作運(yùn)行”選項(xiàng)，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過(guò)應(yīng)用程序設(shè)置來(lái)設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過(guò)濾方式。單擊應(yīng)用程序規(guī)則面板中對(duì)應(yīng)每一條應(yīng)用程序規(guī)則都有幾個(gè)按鈕點(diǎn)擊“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級(jí)設(shè)置頁(yè)面。其中：是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請(qǐng)求，通常是用于各種客戶端軟件。9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測(cè)試。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機(jī)，允許IE訪問(wèn)Internet的80端口，UDP規(guī)則允許DNS解析，其它進(jìn)出UDP報(bào)文禁止。實(shí)施是為了保護(hù)內(nèi)部網(wǎng)絡(luò)免遭非法數(shù)據(jù)包的侵害。防火墻作為Internet訪問(wèn)控制的基本技術(shù)，其主要作用是監(jiān)視和過(guò)濾通過(guò)它的數(shù)據(jù)包，根據(jù)自身所配置的訪問(wèn)控制策略決定該包應(yīng)當(dāng)被轉(zhuǎn)發(fā)還是應(yīng)當(dāng)被拋棄，以拒絕非法用戶訪問(wèn)網(wǎng)絡(luò)并保障合法用戶正常工作。例如，將防火墻設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)的連接處，以保護(hù)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)免于為未認(rèn)證或未授權(quán)的用戶訪問(wèn)，防止來(lái)自外網(wǎng)的惡意攻擊。防火墻可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在路由器上配置了防火墻特性后，路由器就成了一個(gè)健壯而有效的防火墻。網(wǎng)絡(luò)層的防火墻主要獲取數(shù)據(jù)包的包頭信息，如協(xié)議號(hào)、源地址、目的地址和目的端口等或者直接獲取包頭的一段數(shù)據(jù)，而應(yīng)用層的防火墻則對(duì)整個(gè)信息流進(jìn)行分析。常用的訪問(wèn)控制列表可以分為兩種：標(biāo)準(zhǔn)的訪問(wèn)控制列表和擴(kuò)展的訪問(wèn)控制列表。所有的訪問(wèn)控制列表都有一個(gè)編號(hào)，標(biāo)準(zhǔn)的訪問(wèn)控制列表和擴(kuò)展的訪問(wèn)控制列表就是按照這個(gè)編號(hào)來(lái)區(qū)分的：標(biāo)準(zhǔn)的訪問(wèn)控制列表編號(hào)范圍是199，擴(kuò)展的訪問(wèn)控制列表編號(hào)范圍是100199。配置說(shuō)明：RouterA的各個(gè)接口的地址分別為： E0::： E0:::： pcB的地址:： pcC的地址:：具體的配置：方法一：（標(biāo)準(zhǔn)的）RouterA上配置策略(啟動(dòng)防火墻)[routerA]firewall enable Firewall enabled [routerA]acl 1 [routerAacl2000]rule normal permit source Rule has been added to normal packetfiltering rules [routerAacl2000]rule normal deny source Rule has been added to normal packetfiltering rules [routerAacl2000] [routerA]int s0 [routerASerial0]firewall packetfilter 1 outbound [routerASerial0] [routerA]dis cur Now create configuration...Current configuration version sysname routerA firewall enable aaaenable aaa accountingscheme optional acl 2000 matchorder auto rule normal permit source rule normal deny source interface Aux0 async mode flow linkprotocol ppp interface Ethernet0 ip address interface Serial0 linkprotocol ppp ip address firewall packetfilter 2000 outbound interface Serial1 linkprotocol ppp interface Serial2 linkprotocol ppp quit rip network all quit return RouterB的配置： [RouterB]int s0 [RouterBSerial0]ip address [RouterBSerial0] %15:49:51: Line protocol ip on the interface Serial0 is UP [RouterBSerial0]int E0 [RouterBEthernet0]ip address [RouterBEthernet0] %15:50:31: Line protocol ip on the interface Ethernet0 is UP [RouterBEthernet0] [RouterB]rip waiting...RIP is running [RouterBrip]network all [RouterBrip]save Now writing the running config to flash wait for a while......write the running config to flash memory successfully [RouterBrip] [RouterB]int s0 [RouterBSerial0]clock dteclk3 [RouterBSerial0] %15:52:25: Interface Serial0 is DOWN %15:52:25: Interface Serial0 is UP %15:52:25: Line protocol ip on the interface Serial0 is UP [RouterBEthernet0]save Now writing the running config to flash wait for a while......write the running config to flash memory successfully方法二：（擴(kuò)展的）RouterA的配置：其它的配置和上面的保持一致，不同的是： [routerA]acl 101 [routerAacl3001] [routerA]acl 101 matchorder auto [routerAacl3001]rule normal permit ip source destination Rule has been added to normal packetfiltering rules [routerAacl3001]rule normal