Filter防火墙（实验报告）

（一）实验简介

实验所属系列：防火墙技术

实验对象： 本科/专科信息安全专业

相关课程及专业：信息安全基础、计算机网络

实验时数（学分）：4学时

实验类别：实践实验类

（二）实验目的

1、了解个人防火墙的基本工作原理；

2、掌握Filter防火墙的配置。

 

（三）预备知识

防火墙

防火墙（Firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

防火墙是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

防火墙类型，包括：

   1）个人防火墙，针对普通用户，通常是在一部电脑上具有数据包过滤功能的软件，如Windows XP SP2后自带的防火墙程序。

   2）专业防火墙，通常为网络设备，或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种。

   防火墙对于每一个电脑用户的重要性不言而喻，尤其是在当前网络威胁泛滥的环境下，通过专业可靠的工具来帮助自己保护电脑信息安全十分重要。

   Windows 7操作系统自带的防火墙与WindowsXP系统的防火墙功能相比功能更实用，且操作更简单。

（四）实验步骤

使本机不能访问所有网站

本任务将通过对Windows防火墙进行配置，实现本机不能访问所有网站。实验步骤如下：

 

步骤一：未设置防火墙时，测试本机可访问网站。

 

登录到实验机后，打开浏览器，在浏览器里面输入某个网站地址。本例以http://tools.hetianlab.com为例，如图示：

 

步骤二：进入windows防火墙的高级设置页面。

 通过点击：开始-->控制面板-->系统和安全-->Windows 防火墙，出现“Windows防火墙”页面：

 

点击“高级设置”，出现“高级安全Windows防火墙”设置页面：

设置出口规则为“阻止对80端口的TCP连接”（即禁止访问Web服务器）。分为如下若干小步骤：

1）右键出站规则-->新建规则，将出现设置向导。

2）首先是“规则类型”配置，选择“端口”，并点击“下一步”。如下图：

 

3）在“协议和端口”配置界面，选择“TCP”，选择“特定远程端口”，输入“80”，点“下一步”。见下图：

 

4）在“操作”界面，选择“阻止连接”，点“下一步”。

 

 5）在“名称”界面，为该规则指定一个名称和描述。

 

 

6）点击“完成”后，规则创建完毕。

步骤四、测试。

打开浏览器，输入刚才测试的网站，已无法访问。

 

使本机不能访问指定网站

本任务将通过对windows防火墙进行规则设置，使本机不能访问指定网站，我们以http://tools.hetianlab.com为例。

在实验之前，把任务一所新建的出口规则删除，此时在浏览器下可以访问http://tools.hetianlab.com。

步骤一，设置出口规则为“阻止对http://tools.hetianlab.com的80端口的TCP连接”（即禁止访问http://tools.hetianlab.com网站）。分为如下若干小步骤：

1）新建规则（出站规则），规则类型选“自定义”，点“下一步”。

 

 

2）在“程序”配置界面，选“所有程序”，点“下一步”。

3）在“协议和端口”界面，选“TCP”，选择“特定远程端口”，输入“80”，点“下一步”。

 

 4）在“作用域”界面，点击“添加”，将弹出“IP地址”对话框，输入网址的IP地址，获取IP的方法为CMD 里ping tools.hetianlab.com，点击“确定”，回到“作用域”后，点击“下一步”。

5）在“操作”界面，选择“阻止连接”，点“下一步”。

6）在“名称”界面，为本次规则取个名字。

点击“完成”后，规则创建完毕。

步骤二：测试

打开浏览器，此时已经无法访问http://tools.hetianlab.com。但可ping通。截图中返回了IP地址说明是通的，请求超时只是网站为了安全而设置的禁ping策略。

 

（五）分析与思考

一、分析白名单策略与黑名单，哪个策略更严谨？

黑名单只是一种防止已经恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法，但它只能抵御已知的有害的程序和发送者，不能够抵御新威胁(零日攻击等)，对进入网络的流量进行扫描并将其与黑名单对比还可能浪费相当多的资源以及降低网络流量。

白名单技术的宗旨是不阻止某些特定的事物，它采取了与黑名单相反的做法，利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单，没有必要运行必须不断更新的防病毒软件，任何不在名单上的事物将被阻止运行，系统能够免受零日攻击。

相较而言，白名单策略更严谨

二、在某一公共场合，只想让用户访问WEB，除此外如QQ、迅雷之类的都不能用，防火墙应该如何设置？

在高级防火墙“出站规则”中，只添加对80端口的访问规则，并对qq，迅雷之类的端口禁止访问