实训十七 防火墙的配置与管理
一、实训目的:
1、掌握防火墙运用方法;
2、掌握防火墙配置方法。
二、实训设备:
Windows操作系统、Internet。
三、实训任务:
任务1:防火墙的安装;
任务2:防火墙的配置。
四、实习步骤:
由于天网防火墙有正式版(收费的版本,服务好,功能强)和试用版(免费,用的人很多,高级功能受一些限制)之分,本人支持正版软件,所以这里就以正式版为例给大家介绍,试用版的界面和操作基本都一样,使用试用版的可以参考类似的操作。
安装完后要重起,重起后打开天网防火墙就能起到作用了。默认情况下,它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。 一、普通应用(默认情况)略
如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图1,在自定义IP规则里双击进行新规则设置。此主题相关图1如下:
图1 IP规则
服务器部署点击增加规则后就会出现以下图所示界面,我们把它分成四部分。
此主题相关图片如下图2:
图2 IP规则修改
1)图六1是新建IP规则的说明部分,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。 2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。
4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,就看你自己想怎么样了,具体看后面的实例。如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP擦拭棒规则的建立,并立即发挥作用。
三、打开端口实例
在介绍完新IP规则是怎么建立后,我们就开始举例说明,毕竟例子是最好的说明。大家也许都知道BT使用的端口为6881-6889端口这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了,但机器是不是就不安全了?所以下面以打开6881-6889端口举个实例。
1)在图1双击后建立一个新的IP规则后在出现的下图3里设置,由于BT使用的是TCP协议,所以就按下图3设置就OK了,点击确定完成新规则的建立,我命名为BT。
此主题相关如下图3:
图3 BT的IP规划设置
设置新规则后,把规则上移到该协议组的置顶,并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。
此主题相关如下图4:
图4 保存设置规则
四、应用自定义规则防止常见病毒
上面介绍的是开放端口的应用,大体上都能类推,如其他程序要用到某些端口,而防火墙没有开放这些端口时,就可以自己设置,相信大家能搞定。下面来介绍一些实例的应用,就是封端口,让某些病毒无法入侵。
ngd071
圣诞树灯
1、防范冲击波
冲击波,这病毒大家熟悉吧?它是利用WINDOWS系统的RPC服务漏洞以及开放的69c型钢是怎么做成的、135、139、445、4444端口入侵。
如何防范,就是封主以上端口,首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用(就是打勾)就已经禁止了135和139两个端口。
下边是禁止4444端口的图九
此主题相关如下图5:
图5 禁止TCP4444端口
下面是禁止69和445端口的图,图6为69,图7为445
此主题相关图片如下:
图6 禁止TCP69端口
图7 禁止TCP445端口
建立完后就保存,记得保存,很多人就是不记得保存。保存完后就可以防范冲击波了,补丁都不用打,爽吧?
2、防范冰河木马
冰河,熟悉了吧?也是比较狠的病毒哦,它使用的是UDP协议,默认端口为7626,只要在防火墙里把它给封了,看它还能怎么样?具体见下图8。
此主题相关图片如下:
图8 禁止UDP端口7626
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置,其实设置都差不多,大家可以参照,可以大大防范病毒和木马的攻击!
五、下面介绍怎么打开WEB和FTP服务
相信不少朋友都使用了FTP服务器软件和WEB服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。
所以我们为了WEB和FTP服务器能正常使用就得设置防火墙,首先在图八把“禁止所有人连接”前的勾去掉。
以下是WEB和FTP的IP规则供大家参考上图9为WEB,下图选金工艺10为FTP。此主题相关图片如下:
图9 开放WEB服务
图10 开放FTP服务
六、常见日志的分析(仅供参考)
使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,大家看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。下面我们就来说说日志代表的意思。此主题相关图片如下:
图11 日志记录
看上图,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:
ACK:确认标志
提示远端系统已经成功接收所有数据
SYN:同步标志
该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号FIN:结束标志
带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,具体作用未知
其他不知道了,呵呵
第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲:
记录1:[22:30:56] 202、121、0、112 尝试用PING来探测本机
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议