【任务描述】
雅鹿公司电商专员小王需要对防火墙进行IP规则设置,以使外部网络不能访问内部网络。请帮助小王完成这一任务。
【任务分析】
掌握防火墙IP规则的设置原理和方法,掌握防火墙应用程序规则的设置原理和方法。
【知识准备】
1.防火墙的概念
1)防火墙
防火墙是指隔离在本地网络与外界网络之间的第一道防御系统,防火墙是位于内部网络和外部网络之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙的作用是防止非法用户的进入,对网络访问进行记录和统计,控制对特殊站点的访问。通过防火墙可以隔离风险区域(即Internet或有一定风险的外部网络)与安全区域(本地局域网)的连接,同时不会妨碍人们对风险区域的访问。
防火墙的弱点是不能防范内部入侵。
2)防火墙的位置
防火墙一般位于内、外网络之间,至少应具备3个端口,分别接内部网络、外部网络和DMZ区(非军事化区),如图2-59所示。
图2-59 防火墙的位置
防火墙是用于企业内部网络和Internet之间实施安全策略的系统,它决定内部服务中哪些可被外界访问,外界的哪些人可以访问内部的哪些服务,同时决定内部人员可以访问哪些外部服务。
2.防火墙的功能
防火墙的功能是管理Internet和企业内部网络之间的互相访问;简化安全管理,安全管理措施可以从防火墙上实施;监视网络安全并产生安全报警;是逻辑上的网络地址转换器;审计、记录Internet使用量最佳位置;部署Web和FTP服务器的理想位置;进行集中化安全管理,对网络访问进行记录和统计;控制对特殊站点的访问。
防火墙的主要功能有5个:(1)过滤进出网络的数据包;(2)管理进出网络的访问行为;(3)封堵某些被禁止的访问行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和报警。
3.防火墙的基本结构
1)DMZ
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称为“非军事化区”。两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性。
DMZ是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过DMZ区域,可以更加有效地保护内部网络。这种网络部署,比起一般的防火墙方案,对来自外部网络的攻击者来说又多了一道关卡。
2)防火墙的局限性
不能防止不经过防火墙的攻击;不能防止由于公司泄密者或职员的错误操作而产生的安全威胁;不能防范已感染病毒的软件或文件的传送;不能防止数据驱动型攻击,在表面上看来是无害的数据被邮寄或复制到内部网络主机中,一旦执行就发起攻击。
3)防火墙的设计准则
(1)防火墙的姿态。拒绝每件未被特别许可的事情(限制政策),允许未被特别拒绝的每件事情(宽松政策),多数防火墙都在两种姿态之间采取折中。
(2)防火墙的访问控制策略。当规划一个拥有DMZ的网络的时候,可以明确各个网络之间的访问关系,可以确定以下6条访问控制策略,如表2-3所示。
表2-3 防火墙的访问控制策略
续表
(3)防火墙系统的基本成分和基本构件。
4.包过滤防火墙
(1)包过滤防火墙对收到的每一数据包作许可或拒绝决定。
(2)包过滤路由器的优点:速度快、性能高、对用户透明、可进行网络地址转换。
(3)包过滤路由器的局限性:维护比较困难(需要对TCP/IP了解);安全性低(存在IP欺骗等);不提供有用的日志,或根本不提供日志;不防范数据驱动型攻击(缓冲区溢出和输入验证攻击);不能根据状态信息进行控制;不能处理网络层以上的信息;无法对网络上流动的信息提供全面的控制。
5.应用层网关
应用层网关以存储转发方式,检查和确定网络请求的合法性,以决定是否转发或丢失。
1)应用层网关的优点
网络管理者对每一服务进行完全控制;应用层网关有能力支持用户强制认证并能提供详细的记录信息;应用层网关也比包过滤路由器容易配置和检查。
2)应用层网关的缺点
通过应用层网关的Telent访问要求用户通过两步而不是一步来建立连接;每个应用程序都必须有一个代理服务程序来进行完全控制,每一种应用升级时,一般代理服务程序也要升级。
堡垒主机是处于防火墙关键部位、运行应用层网关软件的计算机系统,是能被应用层执行专门功能的组件,它只是简单地被用作TCP连接的中继点,而不对传输的数据包进行处理和过滤。
防火墙主要有包过滤路由器、屏蔽主机防火墙和屏蔽子网防火墙三种类型。
屏蔽子网防火墙的优点如下:
(2)外部路由器是DMZ与Internet的唯一接口,内部网络对Internet来说是“不可见的”,Internet只有通过路由表和域名系统信息交换才能知道DMZ的某些系统。
【任务实施】
1.安装防火墙
1)下载天网防火墙
可在网站“http://pfw.sky.net.cn/”下载天网防火墙个人版v3.0.0.1015试用版。
2)对该防火墙进行安装
(1)进入“欢迎”界面,选中“我接受此协议”选项,单击“下一步”按钮,如图2-60所示。
图2-60 防火墙安装协议
(2)进入“选择安装的目标文件夹”对话框。默认使用的安装目录是“C:\Program Files\SkyNet\FireWall”。如需要更改安装目录,可单击该界面中的“浏览”按钮,选择要安装的目录。确定安装目录后,单击“下一步”按钮,如图2-61所示。
图2-61 选择安装目录
(3)打开“选择程序管理器程序组”对话框,单击“下一步”按钮,进入“开始安装”界面,再单击“下一步”按钮,系统开始安装天网防火墙。
(4)在安装过程中,会弹出图2-62所示的“天网防火墙设置向导”对话框,阅读说明文字,单击“下一步”按钮。
图2-62 “天网防火墙设置向导”对话框
(5)进入“安全级别设置”界面,仔细阅读不同的安全级别的安全性说明。
思考:该界面有何用途?记住默认的安全级别,单击“下一步”按钮,如图2-63所示。
图2-63 安全级别设置(www.xing528.com)
(6)进入“局域网信息设置”界面,仔细阅读该界面的说明,保留默认设置不变。
该界面中有两个选择项:“开机的时候自动启动防火墙”和“我的电脑计算机在局域网中使用”。查看该界面中显示的IP地址是否是本机地址。单击“刷新”按钮,查看效果。单击“下一步”按钮,如图2-64所示。
图2-64 “局域网信息设置”界面
(7)进入“常用应用程序设置”界面,阅读该界面说明。仔细浏览在该界面中包含的应用程序。
思考:如果取消勾选“Internet Explorer”选项,会产生什么样的后果?
保留默认的设置,单击“下一步”按钮,如图2-65所示。
图2-65 “常用应用程序设置”界面
(8)进入“向导设置完成”界面,单击“结束”按钮,弹出“安装已完成”界面。取消勾选“安装CNNIC中文域名和通用网址客户端软件”选项。
(9)弹出“安装”窗口,要求重新启动计算机,单击“确定”按钮即重新启动计算机。
2.配置天网防火墙
1)启动天网防火墙
(1)选择“开始”→“程序”→“天网防火墙个人版V2.73”选项,此时会弹出一个对话框,要求输入用户名和注册码,单击“取消”按钮,启动天网防火墙。
(2)在任务栏托盘处会看见一个蓝色的天网防火墙图标,双击该图标,天网防火墙个人版软件就展示在桌面上,如图2-66所示。
图2-66 天网防火墙个人版软件
2)学习应用程序访问网络权限设置功能
(1)打开IE浏览器,试着访问一个网页,看是否能够正常访问。
(2)单击“应用程序规则”按钮,弹出图2-67所示界面。
图2-67 应用程序规则
(3)找到Internet Explorer应用程序,单击“选项”按钮,弹出“应用程序规则高级设置”对话框,如图2-68所示,仔细阅读规则。
图2-68 “应用程序规则高级设置”对话框
(4)选中Internet Explorer应用程序,单击“删除”按钮。然后打开IE浏览器,试着访问一个网站,看看结果如何。
思考:将此结果和第(1)步的结果比较,看看有何不同。
3)学习系统设置功能
(1)单击“系统设置”按钮,弹出系统设置界面,如图2-69所示。
图2-69 系统设置界面
思考1:如果勾选“启动”区域的“开机后自动启动防火墙”选项,会有什么结果?
思考2:如果勾选“应用程序权限”区域的“允许所有的应用程序访问网络,并在规则中记录这些程序”选项,会有什么结果?
(2)单击“在线升级设置”选项卡,熟悉相关内容。
4)学习网络访问监控功能
(1)单击“应用程序网络使用状况”按钮,弹出图2-70所示界面。将所有选项展开,查看针对TCP协议,本机哪些端口处于监听状态,并记录下来。
图2-70 查看TCP端口状态
(2)在该界面中,单击“TCP协议”下拉按钮,显示下拉菜单,然后在下拉菜单中选择“UDP协议”选项,界面如图2-71所示。将所有选项展开,查看针对UDP协议,本机哪些端口处于监听状态,并记录下来。
图2-71 查看UDP端口状态
5)学习日志记录功能
单击“日志”按钮,弹出图2-72所示界面。
图2-72 查看日志记录
详细阅读每一条记录,并思考这些记录和本机哪些操作是关联的。
6)学习断开/接通网络功能
单击“断开/接通网络”按钮,打开一个IE窗口,输入刚才访问的网站,看能否再次访问。
3.理解防火墙的IP规则
(1)需要两台计算机配对做实验。计算机甲安装并启动天网防火墙,计算机乙不启动天网防火墙并保证没有加载其他防火墙。
(2)在计算机甲上,单击“自定义IP规则”按钮,弹出图2-73所示界面。
(3)获取计算机甲和乙的IP地址。在计算机乙上,使用ping命令ping计算机甲,看能否ping通。
在计算机甲上,使用ping命令ping计算机乙,看是否ping通。例如,计算机甲的IP地址为192.169.0.101,则在计算机乙上,选择“开始”→“运行”选项,在“打开”文本框中输入“ping 192.168.0.101-t”,查看弹出窗口显示的ping命令执行结果,如图2-74所示。
图2-73 “自定义IP规则”界面
图2-74 使用ping命令
(4)在计算机甲的天网防火墙IP规则列表中,找到“防止别人用ping命令探测”这条规则,可以看到,使用默认规则时该规则是被勾选的,现在取消勾选。
(5)在计算机乙上,再次使用ping命令ping计算机甲,查看弹出窗口显示的ping命令执行结果,将它与第(3)步的相同操作的结果比较,并思考原因。
(6)在计算机甲的天网防火墙IP规则列表中,找到“禁止所有人连接”这条规则,可以看到,使用默认规则时该规则是被勾选的,双击它,弹出“修改IP规则”对话框,如图2-75所示。
图2-75 “修改IP规则”对话框
(7)仔细阅读该对话框中的相关信息,思考该规则的功能。在该对话框中,单击“对方IP地址”下拉按钮,将“任何地址”改为“指定地址”。
(8)在“指定地址”的右边,填上计算机乙的IP地址。例如,如果计算机乙的IP地址为192.168.0.102,则在地址栏中就填上该地址。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。