win7防火墙filter

预备知识

防火墙

什么是防火墙：

防火墙是指一种将内部网和公众访问网分开的方法，它是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

 

功能：

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。

关闭不使用的端口。

禁止特定端口的流出通信，封锁特洛伊木马（有远程控制机器以及捕获屏幕、键击、音频、视频的能力；防范：什么是特洛伊木马病毒？_百度知道 (baidu.com)）

禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

是网络安全的屏障，是安全策略的检查点，强化网络安全策略，监控审计（如果所有的访问都经过防火墙），防止内部信息的外泄（对内部网络的划分，可实现内部网重点网段的隔离），日志记录与事件通知（进出网络的数据都必须经过防火墙，可疑事件，通知）

 

缺点与不足：

1.防火墙可以阻断攻击，但不能消灭攻击源

2.不能抵抗最新的未设置策略的攻击漏洞

落后就要挨打

3.防火墙的并发连接数限制容易导致拥塞或者溢出

由于要判断、处理流经防火墙的每一个包，工作量大，难免会发生堵塞

4.对服务器合法开放的端口的攻击大多无法阻止

我开小门让狗进来的，那想人装狗混进来贼啊，关键是小门必须留着，不然我家狗流浪在外啊

5.无法阻止内部攻击

背叛遭不住啊，身心俱损

6.本身也会出现问题和受到攻击，依然有着漏洞和Bug

自己也会生病，被打

7.不处理病毒

8.不能防绕过防火墙发起的进攻

 

特点：

• 内网与外网的所有数据都流经防火墙
• 只有符合安全策略才能通过防火墙
• 自身有抗击能力（内网边缘）

类型：

1）个人防火墙，针对普通用户，通常是在一部电脑上具有数据包过滤功能的软件，如Windows XP SP2后自带的防火墙程序。

 2）专业防火墙，通常为网络设备，或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种

 

什么是防火墙 - html中文网

 

工作原理：

防火墙＝过滤器＋安全策略（网关）

 

防火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则（用表格的形式表示，包括Match，Action，Trace，Target四个条件项）。即按表格中规则的先后顺序以及每条规则的条件项进行比较，直到满足某一条规则的条件，并作出规定的动作（停下或向前转发），从而来保护网络的安全。

 

winodows防火墙

 1）在高级安全Windows防火墙中，是支持双向保护的，也就是说它将防火墙的规则分为两个部分，分别是入站规则和出站规则。入站就是外网访问本机，出站就是本机访问外网。高级安全Windows防火墙默认是对内阻止，对外开放。

 2）用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接；可以使用预先设置的规则，也可以创建自定义规则。“新建规则向导”则可以帮用户逐步完成创建规则的步骤。

3）用户可以将规则应用于一组程序、端口或者服务，也可以将规则应用于所有程序或者某个特定程序；可以阻挡某个软件进行所有连接，或者允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性；可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

4）Web服务器的缺省端口是80。 

 

另：80端口是为HTTP超文本传输协议开放的端口，主要用于WWW万维网进行传输信息。

实验环境

一台安装了win7操作系统的主机。

实验

概要：

使本机不能访问所有网站

1.先验证本机访问网站功能正常

2.在windows防火墙高级设置中设置阻止80端口的连接规则

3.验证本机访问网站功能

 

使本机不能访问指定网站

1..在windows防火墙高级设置中设置阻止80端口的连接规则

2.将规则用于某个特定的网站

使本机不能访问所有网站

步骤一：未设置防火墙时，测试本机可访问网站。

 

 

 步骤二：进入windows防火墙的高级设置页面。

  通过点击：开始-->控制面板-->系统和安全-->Windows 防火墙，出现“Windows防火墙”页面，  点击“高级设置”

 

 

 出现“高级安全Windows防火墙”设置页面

右键出站规则-->新建规则

出现设置向导。

首先是“规则类型”，选择“端口”，并点击“下一步”

 

 选择“TCP”，选择“特定远程端口”，输入“80”，点“下一步”

 

 选择“阻止连接”，点“下一步

 

 跳过配置文件/点击下一步，选择名称界面

为该规则指定一个名称和描述，点击“完成”

 

 创建成功！

 

 

 

步骤三：测试

 

 

使本机不能访问指定网站

把之前的删掉

 

 新建规则（出站规则），规则类型选“自定义”，点“下一步”。

 

 在“程序”配置界面，选“所有程序”，点“下一步

 在“协议和端口”界面，选“TCP”，选择“特定远程端口”，输入“80”，点“下一步”

 

 在“作用域”界面，点击“添加”，将弹出“IP地址”对话框，输入网址的IP地址，获取IP的方法为CMD 里ping tools.hetianlab.com【tools.hetianlab.com是方便人类记忆的域名】，点击“确定”，回到“作用域”后，点击“下一步”。

 

 “操作”界面，选择“阻止连接”，点“下一步”

 

 在“名称”界面，为本次规则取个名字，  点击“完成

 

 

测试：

打开浏览器，此时已经无法访问http://tools.hetianlab.com。但可ping通。截图中返回了IP地址说明是通的，请求超时只是网站为了安全而设置的禁ping策略。

 

 

 

黑名单只是一种防止已经恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法，更新黑名单可以快速通过更新服务器来实现，大多数防病毒程序使用的是黑名单技术来阻止已知威胁，垃圾邮件过滤器往往需要依赖于黑名单技术。

白名单技术的宗旨是不阻止某些特定的事物，它采取了与黑名单相反的做法，利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单

 1）分析白名单策略与黑名单，哪个策略更严谨？

白名单更严谨，因为黑名单中是已经发生了、已经被知道的错误，具备被动性，经常更新

 

2）在某一公共场合，只想让用户访问WEB，除此外如QQ、迅雷之类的都不能用，防火墙应该如何设置？

1.找QQ、迅雷用的端口，禁用

2.若有常用端口，找其下载安装目录下的Config.db文档记录的服务器地址，按照上述禁用某个网址的方法将其全部禁用

 

如何设置防火墙实现禁用QQ、MSN等-百度经验 (baidu.com)

 

3）尝试win7防火墙中其他功能。

禁用某程序通过防火墙