个人防火墙的应用和配置
1 实验题目简述
1.1 题目描述
个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。
这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。
1.2 实验目标和意义
实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。
2 实验原理和实验设备
2.1 实验原理
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。
2.1 实验设备
Window XP
天网个人防火墙
3实验步骤
3.1 实验步骤
第一步:局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.
3-1:局域网地址设置
第二步:管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
3-2:管理权限设置
第三步:入侵检测设置,开启此功能,当防火墙检测到可疑的数据包时防火墙会弹出入侵检测提示窗口,并将远端主机IP显示于列表中。(如图3-2).
3-3:入侵检测
第四步:安全级别设置,其中共有五个选项。如图3-4页面。
3-4:安全级别设置
低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。
中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务(如HTTP、FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。
高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。
扩:基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则,可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。
自定义:如果您了解各种网络协议,可以自己设置规则。注意,设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。
第五步:IP规则,如图3-5的页面。
3-5:IP规划
IP规则是针对整个系统的网络层数据包监控而设置的,其中有几个重要的设置。
防御ICMP攻击:选择时,即别人无法用PING的方法来确定用户的存在。但不影响用户去PING别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法,而且该协议对于普通用户来说,是很少使用到的。
防御IGMP攻击:IGMP是用于组播的一种协议,对于MS Windows的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法。
TCP数据包监视:通过这条规则,用户可以监视机器与外部之间的所有TCP连接请求。注意,这只是一个监视规则,开启后会产生大量的日志。
禁止互联网上的机器使用我的共享资源:开启该规则后,别人就不能访问用户的共享资源,包括获取您的机器名称。
禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口,几乎所有的Internet服务都是在这些端口上工作的,所以这是一条非常严厉的规则,有可能会影响使用某些软件。
允许已经授权程序打开的端口:某些程序,如ICQ,视频电话等软件,都会开放一些端口,这样,才可以连接到您的机器上。本规则可以保证些软件可以正常工作。
3.2 重点和难点问题分析
网络攻击在网上是一种常见的进攻手段,用来窃取个人信息。本实验的重点是学习如何利用个人防火墙有效地建立起相对安全的网络应用,以免恶意程序或木马的入侵。并且在实践中让我了解到,网络安全的重点并不是如何避免受到攻击,而是需要用户及时发现攻击并采取有效手段保护自己的网络安全,甚至对其反攻。
4 实验结果的评价
本次实验,提高了自身网络的安全意识以及保护措施。在此次实验中,进行了设置应用程序权限、自定义IP规则设置以及利用IP规则防止常见病毒的设置,从而可以有效的防止上网账号被窃取等恶意现象。
5 实验小结
本次实验让我了解了个人防火墙配置的相关知识,了解了木马、病毒的入侵手段。学习到了IP规划设置。并且了解了防火墙的功能,它能够防止Internet上用户的攻击,阻断木马以及其他恶意程序的进攻。经过配置个人防火墙,让我的网络安全意识进一步得到加强。
第二篇:实验报告九 个人防火墙配置和使用
实验报告九 个人防火墙配置和使用
姓 名:于少秋 学号: 12103475 班级: 网络一班
实验组别: 同组实验者姓名: 杨欢,肖翔媛
指导教师: 日期: 成绩:
【实验报告要求】
1.写出个人防火墙的基本工作原理。
防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者,防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务,包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
2.写出你认为很重要的天网防火墙的缺省IP规则,并说明这些规则的作用。
2.默认ip规则:
a) 允许自己用ping命令探测其他机器;
b) 允许路由器返回“超时”的ICMP回应包;
c) 允许路由器返回“无法到达”的ICMP回应包;
d) 允许局域网的机器用ping命令探测;
e) 防止别人用ping命令探测;
f) 防御ICMP攻击;
g) TCP数据包监视;
h) 允许局域网内的机器进行连接和传输;
i) 允许局域网的机器使用我的共享资源;
我认为 d e f规则比较重要,要防御恶意探测攻击,保护电脑安全。
3.写出实验用机的应用程序使用网络状态和应用程序规则设置情况。
3.应用程序配置情况如下:
