1、本节实训与思考的目的是:(1) 熟悉防火墙技术的基本概念,了解防火墙技术的基本内容。(2) 通过因特网搜索与浏览,了解网络环境中主流的防火墙技术网站,掌握通过专业网站不断丰富防火墙技术最新知识的学习方法,尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。(3) 在 Windows XP 中配置简易防火墙 (IP 筛选器) ,完成后,将能够在本机实现对 IP 站点、端口、DNS 服务屏蔽,实现防火墙功能。1 工具/准备工作在开始本实训之前,请认真阅读本课程的相关内容,熟悉防火墙的基本概念。需要准备一台运行 Windows XP Professional 并带有浏览器,能够访问因特网的计算机。
2、2 实训内容与步骤(1) 概念理解1) 请通过查阅有关资料,尽量用自己的语言,简述防火墙的作用是什么?防火墙是网络安全的屏障。防火墙可以强化网络安全策略。对网络存取和访问进行监控审计。防止内部信息的外泄。_2) 根据防范的方式和侧重点的不同,防火墙技术可分成很多类型,但总体来讲还是二大类:分组过滤和应用代理。请分别简单介绍这两种防火墙技术。实训 4.1了解防火墙技术2 信息安全技术分组过滤或包过滤技术:作用于网络层和传输层,通常安装在路由器上,对数据进行选择,它根据分组包头源地址、目的地址和端口号、协议类型等标志,确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其
3、余数据包则被从数据流中丢弃。应用代理技术:通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。3) 请分别简单介绍:什么是“胖”防火墙: “胖 ”防火墙在保证基本功能的前提下,不断扩展增值功能 NAT、VPN、QoS 以及入侵检测、防病毒等。 “胖”防火墙将安全 Solution 趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案,它的优点在于可以满足用户绝大部分的网络安全需求。什么是“瘦”防火墙:一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用独立的安全设备,并渴望发挥每种
4、产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能,“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA 集群的发展阶段。(2) Windows 防火墙的应用Windows 防火墙能做到和不能做到的功能情况请参见表 4.1。表 4.1 Windows 防火墙的功能能做到: 不能做到:阻止计算机病毒和蠕虫到达你的计算机。检测或禁止计算机病毒和蠕虫 (如果它们已经在你的计算机上) 。由于这个原因,还应该安装防病毒软件并及时进行更新,以防范病毒、蠕虫和其他安全威胁破坏你的计算机或使用你的计算机将病毒扩散到其他计算机。请求你的允许,以阻止或取消阻
5、止某些连接请求。阻止你打开带有危险附件的电子邮件。不要打开来自不认识的发件人的电子邮件附件。即使你知道并信任电子邮件的来源,仍然要格外小心。如果你认识的某个人向你发送了电子邮件附件,请在打开附件前仔细查看主题行。如果主题行比较杂乱或者你认为没有任何意义,那么请在打开附件前向发件人确认。创建记录 (安全日志) ,可用于记录对计算机的成功连接尝试和不成功的连接尝试,可用作故障排除工具。阻止垃圾邮件或未经请求的电子邮件出现在你的收件箱中。不过,某些电子邮件程序可以帮助你做到这一点。第 4 章 防火墙与网络隔离技术 31) 打开或关闭 Windows 防火墙。为打开或关闭 Windows 防火墙,必须
6、以管理员身份登录计算机,并按以下步骤执行:步骤 1:在 Windows 的“开始 ”菜单中单击“控制面板”命令,然后双击其中的“Windows 防火墙”图标,打开 Windows 防火墙,见图 4.6 所示。图 4.6 “Windows 防火墙”对话框步骤 2:在“常规”选项卡上,单击下列选项之一: 启用 (推荐) :通常应当使用此设置。 关闭 (不推荐) :关闭 Windows 防火墙可能会使你的计算机以及网络更容易受到病毒或未知入侵者的损坏。如果使用“高级”选项卡关闭一个或多个单个连接的 Windows 防火墙,那么Windows 安全中心将报告防火墙已关闭,即使其他连接的防火墙并未关闭。
7、并且,在“常规”选项卡中,Windows 防火墙将仍旧设置为“启用 ”。2) 启用安全记录。当 Windows 防火墙处于打开状态时,在默认情况下并不启用安全记录。但是,无论安全记录是否被启用,防火墙都能正常工作。而只有启用了Windows 防火墙的连接才能使用日志记录功能。为启用安全记录选项,用户必须以管理员身份登录计算机,并执行以下操作:步骤 1:打开“Windows 防火墙 ”对话框,单击“高级”选项卡,见图 4.7 所示。步骤 2:在其中的“安全日志记录”栏中单击“设置”按钮,打开“日志设置”对话框,如图 4.8 所示。步骤 3:单击下面的选项之一: 若要启用对不成功的入站连接尝试的记
8、录,请选中“记录被丢弃的数据包”4 信息安全技术复选框。 若要启用对成功的出站连接的记录,请选中“记录成功的连接”复选框。步骤 4:单击“确定”按钮,完成操作。图 4.7 Windows 防火墙的“高级”选项卡 图 4.8 “日志设置”对话框3) 查看安全日志文件。为查看安全日志文件,请按以下步骤操作:步骤 1:打开 Windows 防火墙,在 “高级”选项卡上单击“安全日志记录”下的“设置”按钮。步骤 2:单击“另存为”按钮,在对话框中进行浏览查看。步骤 3:右键单击 pfirewall.log,然后在快捷菜单中单击“ 打开”命令。防火墙日志的默认名称是 pfirewall.log,其存放位
9、置在 Windows 文件夹中。但必须选中“记录被丢弃的数据包”或“记录成功的连接”复选框,才能使 pfirewall.log文件出现在 Windows 文件夹中。如果超过了 pfirewall.log 可允许的最大大小 (4096 KB) ,则日志文件中原有的信息将转移到一个新文件中,并用文件名 pfirewall.log.old 进行保存。新的信息将保存在所创建的第一个文件 (名为 pfirewall.log) 中。请记录:上述各项操作能够顺利完成吗?如果不能,请分析原因。能够顺利完成。 第 4 章 防火墙与网络隔离技术 5(3) 简易防火墙设置下面,我们尝试在 Windows XP Pr
10、ofessional 上学习设置简易的防火墙。1) 运行 IP 筛选器。为运行 IP 筛选器,请按以下步骤执行:步骤 1:在 Windows XP 的“开始”菜单中单击“运行”命令,在“运行”对话框的“打开”文本框中输入 mmc,单击“确定”按钮,屏幕显示“控制台 1”窗口,如图 4.9 所示。其中包含了“控制台根节点”窗口。图 4.9 “控制台 1”窗口步骤 2:在“控制台 1”窗口的“文件”菜单中单击“添加/删除管理单元”命令,出现“添加/删除管理单元 ”对话框 (见图 4.10) 。在其中选择“独立”选项卡。图 4.10 “添加/删除管理单元”对话框 图 4.11 “添加独立管理单元”对
11、话框步骤 3:在“管理单元添加到”下拉列表框中,选择“控制台根节点”选项,单6 信息安全技术击“添加”按钮,出现“添加独立管理单元”对话框,见图 4.11 所示。请记录:在“可用的独立管理单元”栏中有哪些选项 (请阅读相关的描述信息) :a 组件服务 b 组策略对象编辑器c 证书d 性能日志和警报e 文件夹f 索引服务g 事件查看器h 设备管理器i 可移动存储管理j 计算机管理k 共享文件夹l 服务m 磁盘碎片整理程序n 磁盘管理o 策略的结果集p 本地拥护和组q 安全配置和分析r 安全摸板s WMT 控制t WEB 地址的连接u SQL Server 配置管理器v Oracle 管理对象w
12、SQL 企业管理器x Micrsoft 元数据浏览器y Internet 协议安全性 (IPSec) 管理步骤 4:在“可用的独立管理单元”列表框中选择“IP 安全策略管理”选项,单击“添加”按钮,显示“选择计算机”对话框,如图 4.12 所示。在其中选择“本地计算机”单选按钮,单击“完成”按钮,返回“添加独立管理单元”对话框。步骤 5:单击“关闭”按钮,返回“添加/删除管理单元”对话框。请记录:此时,在“添加/删除管理单元 ”对话框下部的“描述”框中,显示的“IP 安全策略”描述信息是:Internet 协议安全性 (IPSec) 管理。为与别的计算机进行安全通讯管理 IPSec 策略。第
13、4 章 防火墙与网络隔离技术 7_步骤 6:单击“确定”按钮,返回“控制台 1”窗口,完成“IP 安全策略,在本地计算机”的设置。2) 添加 IP 筛选器表。在本机中添加一个能对指定 IP 地址 (192.168.14.1) 进行筛选的 IP 筛选器表。图 4.12 “选择计算机或域”对话框步骤 1:在“控制台 1”窗口的“控制台根节点”窗口中,单击刚建立的“IP 安全策略,在本地计算机”选项,右边框中出现 3 个默认的安全规则,请分别记录其描述信息: 安全服务器 (需要安全) :对所有 IP 通讯总是使用 Kerberos 信任请求安全。不允许与不被信任的客户端的不安全通讯。 _ 客户端 (
14、仅响应) :正常通讯 (不安全的)。使用默认的响应规则与请示安全的服务器协商。只有与服务器的请求协议和端口通讯是安全的。_ _ 服务器 (请求安全) :对所有 IP 通讯总是使用 Kerberos 信任请求安全。允许与不响应请求的客户端的不安全通讯。_8 信息安全技术步骤 2:选中左边的“IP 安全策略,在本地计算机”选项并单击右键,从快捷菜单中单击“管理 IP 筛选器表和筛选器操作”命令,出现“管理 IP 筛选器表和筛选器操作”对话框,如图 4.13 所示。步骤 3:在对话框中单击“添加”按钮,出现“IP 筛选器列表”对话框 (图 4.14) 。在打开的“IP 筛选器列表”对话框中输入此 I
15、P 筛选器的名称和描述。例如:“名称”为“屏蔽特定 IP”,“描述”为“屏蔽 192.168.14.1”,并取消选择“使用添加向导”复选框,然后单击“添加”按钮,出现“筛选器属性”对话框 (见图 4.15) ,可对“屏蔽特定 IP”进行设置。步骤 4:在“筛选器属性”对话框中选择“寻址”选项卡,在“源地址”和“目标地址”下拉列表框框中分别选择“我的 IP 地址”和“一个特定的 IP 地址”选项。当选择“一个特定的 IP 地址”时,会出现“IP 地址”文本框,可输入要屏蔽的 IP 地址,如“192.168.14.1” 。选择 IP 地址设定的方法有 5 种,容易理解。图 4.13 “管理 IP
16、筛选器表和筛选器操作”对话框第 4 章 防火墙与网络隔离技术 9图 4.14 “IP 筛选器列表”对话框默认情况下,“IP 筛选器”的作用是单方面的,比如源地址为 A,目标地址为B,则防火墙只对 AB 的流量起作用,对 BA 的流量则略过不计。选中“镜像”复选框,则防火墙对 AB 的双向流量都进行处理 (相当于一次添加了两条规则) 。步骤 5:在“协议”选项卡中,可选择协议类型及设置 IP 协议端口。步骤 6:在“描述”选项卡的“描述”文本框中,可输入描述文字,作为筛选器的详细描述。图 4.15 “筛选器属性”对话框步骤 7:然后,单击“确定”按钮,返回“IP 筛选器列表”对话框,再单击“确定
17、”按钮,返回“管理 IP 筛选器表和筛选器操作”对话框, “屏蔽特定 IP”被填入10 信息安全技术了“IP 筛选器列表”中。步骤 8:单击“关闭”按钮,完成本次操作。3) 添加 IP 筛选器操作。上述操作将一个虚拟的 C 类网段 192.168.14.1 加入到了“待屏蔽 IP 列表”,但它只是一个列表,没有防火墙功能,只有再加入动作后,才能够发挥作用。下面,我们将建立一个“阻止”操作,通过操作与刚才的列表结合,就可以屏蔽特定的 IP 地址。步骤 1:在“控制台 1”窗口的“控制台根节点”窗口中,选中左边的“IP 安全策略,在本地计算机”选项并单击右键,选择“管理 IP 筛选器表和筛选器操作
18、”命令,显示“管理 IP 筛选器表和筛选器操作”对话框。步骤 2:在对话框的“管理 IP 筛选器列表”选项卡中选择“屏蔽特定 IP”选项,然后选择“管理筛选器操作”选项卡 (见图 4.16) ,取消对其中的“使用添加向导 ”选项的选择,再单击“添加”按钮,出现“新筛选器操作属性”对话框 (见图4.17) 。步骤 3:在“新筛选器操作属性”对话框的“安全措施”选项卡中选择“阻止”单选按钮,然后选择“常规”选项卡,在“名称”文本框中输入“阻止”(图 4.18) 。步骤 4:单击“确定”按钮,此时“阻止”加入到筛选器操作列表中。步骤 5:请在“管理 IP 筛选器表和筛选器操作”对话框的“筛选器操作”列表中查阅和记录各筛选器操作的描述信息: 请求安全 (可选) :接受不安全的通讯但总是用 TPSEC 响应 。允许和不支持TPSEC 的计算机进行不安全的通讯。
