实验所属系列：防火墙技术

实验对象： 本科/专科信息安全专业

相关课程及专业：信息安全基础、计算机网络

实验时数（学分）：4学时

实验类别：实践实验类

  1、了解个人防火墙的基本工作原理；

  2、掌握Filter防火墙的配置。

防火墙

      防火墙（Firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

      防火墙是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

      防火墙类型，包括：

      1）个人防火墙，针对普通用户，通常是在一部电脑上具有数据包过滤功能的软件，如Windows XP SP2后自带的防火墙程序。

      2）专业防火墙，通常为网络设备，或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种。

      防火墙对于每一个电脑用户的重要性不言而喻，尤其是在当前网络威胁泛滥的环境下，通过专业可靠的工具来帮助自己保护电脑信息安全十分重要。

      Windows 7操作系统自带的防火墙与WindowsXP系统的防火墙功能相比功能更实用，且操作更简单。

一台安装了win7操作系统的主机。

      本任务将通过对Windows防火墙进行配置，实现本机不能访问所有网站。实验步骤如下：

步骤一：未设置防火墙时，测试本机可访问网站。

      登录到实验机后，打开浏览器，在浏览器里面输入某个网站地址。本例以http://tools.hetianlab.com为例，如图示：

步骤二：进入windows防火墙的高级设置页面。

      通过点击：开始-->控制面板-->系统和安全-->Windows 防火墙，出现“Windows防火墙”页面：

      点击“高级设置”，出现“高级安全Windows防火墙”设置页面：

说明：

      1）在高级安全Windows防火墙中，是支持双向保护的，也就是说它将防火墙的规则分为两个部分，分别是入站规则和出站规则。入站就是外网访问本机，出站就是本机访问外网。高级安全Windows防火墙默认是对内阻止，对外开放。

      2）用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接；可以使用预先设置的规则，也可以创建自定义规则。“新建规则向导”则可以帮用户逐步完成创建规则的步骤。

      3）用户可以将规则应用于一组程序、端口或者服务，也可以将规则应用于所有程序或者某个特定程序；可以阻挡某个软件进行所有连接，或者允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性；可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

      4）Web服务器的缺省端口是80。 

设置出口规则为“阻止对80端口的TCP连接”（即禁止访问Web服务器）。分为如下若干小步骤：

1）右键出站规则-->新建规则，如下图：

      将出现设置向导。

2）首先是“规则类型”配置，选择“端口”，并点击“下一步”。如下图：

3）在“协议和端口”配置界面，选择“TCP”，选择“特定远程端口”，输入“80”，点“下一步”。见下图：

4）在“操作”界面，选择“阻止连接”，点“下一步”。

点击下一步之后会出现下面页面，继续默认，点击下一步即可

5）在“名称”界面，为该规则指定一个名称和描述。

 这里我设置的自己的名称是zuzhifangwenweb

6）点击“完成”后，规则创建完毕。

这里是对自己所建规则的详细信息

这里自己建立的规则并没有被启用，要先启用一下才可以进行测试

 还有，这里自己注意一下，上面对自己的规则阻止访问时是×，若启用该规则的话那么被启用的规则上面 的×标志会变成红色，禁用则会变成灰色

步骤四、测试。

      打开浏览器，输入刚才测试的网站，已无法访问。

      在实验之前，把任务一所新建的出口规则删除，此时在浏览器下可以访问http://tools.hetianlab.com。

步骤一、设置出口规则为“阻止对http://tools.hetianlab.com的80端口的TCP连接”（即禁止访问http://tools.hetianlab.com网站）。分为如下若干小步骤：

1）新建规则（出站规则），规则类型选“自定义”，点“下一步”。

2）在“程序”配置界面，选“所有程序”，点“下一步”。

3）在“协议和端口”界面，选“TCP”，选择“特定远程端口”，输入“80”，点“下一步”。

4）在“作用域”界面，点击“添加”，将弹出“IP地址”对话框，输入网址的IP地址，获取IP的方法为CMD 里ping tools.hetianlab.com，点击“确定”，回到“作用域”后，点击“下一步”。见下图：

 这里是点击下面的选框中的添加，毕竟是作为出站规则，要确定可以连接外面的哪些主机

 这里注意一定要输入你自己所想要连接的主机IP地址到绿框，添加成功后界面为

 点击下一步

5）在“操作”界面，选择“阻止连接”，点“下一步”。

 然后同为

 默认原则，点击下一步

6）在“名称”界面，为本次规则取个名字。

      点击“完成”后，规则创建完毕。

 这里自己起的名字是zuzhitedingweb，同样要把上面自己新建的规则启用一下，然后进入规则测试环节，即步骤二

步骤二：测试

      打开浏览器，此时已经无法访问http://tools.hetianlab.com。但可ping通。截图中返回了IP地址说明是通的，请求超时只是网站为了安全而设置的禁ping策略。

对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

1）分析白名单策略与黑名单，哪个策略更严谨？

黑名单更为严谨。

现实生活中，浏览器类型繁多（火狐浏览器、谷歌浏览器、360 浏览器、傲游浏览器、欧普拉浏览器、世界之窗浏览器、QQ 浏览器等），想要将所有的浏览器品牌、类型以及对应的标识收集并放到名单中，那是不实际的，假如漏掉了哪一种，那么对网站来说是一种损失。再者说来，很多的服务并不仅仅开放给浏览器，有些时候这些服务以 API 的形式向应用程序提供服务，比如安卓软件的后端 API ，为安卓软件程序提供数据服务，而软件本身只承担界面和结构的任务，而数据则从后端 API 获取。这个时候，发起的请求中， User-Agent 就会变成 Android 。黑名单在于简单，当你希望屏蔽来自于 Python 代码的请求或者来自于 Java 代码的请求时，只需要将其加入黑名单中即可。

（知识点补充：

1、黑名单技术：在计算机安全中，黑名单只是一种防止已经恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法，更新黑名单可以快速通过更新服务器来实现，大多数防病毒程序使用的是黑名单技术来阻止已知威胁，垃圾邮件过滤器往往需要依赖于黑名单技术。 黑名单技术只在某些应用中能够发挥良好作用，当然前提是黑名单内容准确性和完整性。基于黑名单技术的垃圾邮件过滤的一个共同问题是对合法发件人的阻止。

黑名单的另一个问题就是，它只能抵御已知的有害的程序和发送者，不能够抵御新威胁(零日攻击等)，对进入网络的流量进行扫描并将其与黑名单对比还可能浪费相当多的资源以及降低网络流量。

2、白名单技术：白名单技术的宗旨是不阻止某些特定的事物，它采取了与黑名单相反的做法，利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单，以下是白名单技术的优点：

没有必要运行必须不断更新的防病毒软件，任何不在名单上的事物将被阻止运行；

系统能够免受零日攻击。

用户不能够运行不在名单上的未经授权的程序，所以你不必担心用户有意或无意的安装可执行的有害程序，浪费时间的个人程序(例如游戏和P2P程序)，或者未经授权的软件，因为如果你的公司正受到软件厂商或BSA的审计则可能导致罚款。

白名单技术十分简单，给予了管理员和公司较大的权利来控制能够进入网络或者在机器上运行的程序，白名单技术的优点是，除了名单上的实体外都不能运行或者通过，缺点则是，不在名单上的实体都不能运行和通过。可见，优点也是缺点。

当单独使用白名单技术的时候，它能够非常有效地阻止恶意软件和垃圾邮件，但是同样也会阻止合法代码的运行和合法邮件的通过。对于大多数用户而言，一个纯粹的白名单解决方案不能够很好的进行电子邮件过虑，因为我们经常会收到不认识的人的邮件，即使是合法可取的邮件。这对于经常会受到陌生人询价的销售人员，以及收到读者来信的作家或者其他定期收取潜在客户邮件的商业人士都不切实际，不过对于只需要和某些朋友和家庭成员联系的个人电子邮件帐户还是十分受用的。

白名单越来越流行，并经常被用来与其他安全方法结合使用。例如，很多电子邮件客户会利用垃圾邮件过滤器来分析邮件信息，而将那些符合某些条件(关键字、格式、重复度等)认定为垃圾邮件，然而，他们同样会允许用户编制“安全发件人”名单(白名单)，以确保这些邮件不被标记为垃圾邮件(即使符合垃圾邮件标准)。

在典型的商业设置中，白名单能有效控制可以允许在某台机器上运行的可执行文件。不过，如果用户需要访问不在白名单上的网站时，白名单技术也可能造成某种问题。采用白名单技术能够减轻管理员的负担，知道那些程序能够在网络中运行。）

2）在某一公共场合，只想让用户访问WEB，除此外

2）在某一公共场合，只想让用户访问WEB，除此外如QQ、迅雷之类的都不能用，防火墙应该如何设置？

1.封锁UDP，即封锁聊天软件通常使用的通信协议。这样会造成绝大部分聊天软件不能正常使用。

2.封锁相关的端口，如QQ使用的默认端口是4000,5000，6000。这样会造成QQ不能正常通信。

3.封锁UDP以及封锁相关IM共色的服务器的IP。

实际另外可行方法，在控制面板中的防火墙那里，找到允许程序通过防火墙通过那里找到如QQ、迅雷等的自己所不需要使用的软件，将后面的家庭和公用网络前面的对勾去掉即可不能使用如QQ、迅雷之类的软件，只让用户访问WEB；方法二，在控制面板中的防火墙那里，在例外一栏中在不需要的程序如QQ、迅雷之类的前面打钩可，对于方法二，可以自己尝试下，还没试；方法三，即上面的1、2、3个封锁，根据出站和入站规则的建立和启用来完成