防火墙的使用.ppt

第7章 防火墙的使用,包过滤的例子,考虑IP地址为192.168.120.1的防火墙的最简单的规则集。191.168.120.0代表内部网络,一个典型的包过滤规则库,Windows XP防火墙,天网防火墙简介,1999年推出天网防火墙个人版SkyNet FireWall V1.0。天网防火墙个人版是中国国家安全部、中国公安部、中国国家保密局及中国国家信息安全测评认证中心信息安全产品最新检验标准认证通过，并可使用于中国政府机构和军事机关及对外发行销售的个人版防火墙软件。,安装,直接执行安装程序 选择安装的路径 依提示重新启动计算机,运行,注册,用户只要到个人版网站进行会员注册，注册登陆后，网站会自动转到个人版论坛，然后会在论坛的工具栏目里显示用户的注册码。试用版的图标,控制面板,应用程序规则,自定义IP规则,系统设置,自定义IP规则,应用程序网络状态,日志,断开/接通网络,防火墙的设置,系统设置安全级别设置,系统设置,安全级别设置,低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。中：禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。,安全级别设置,高：除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。扩：天网为用户制定了一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。（试用版用户不享受这项服务）。天网的简易安全级别是为了方便不熟悉天网使用的用户而设的。如果采用简易的安全级别设置，天网就会屏蔽掉高级的IP规则设定里规则的作用。,IP规则设置,缺省IP规则自定义IP规则,缺省IP规则,IP规则是针对整个系统的网络层数据包监控而设置的。用户可针对个人不同的网络状态，设置自己的IP安全规则。点“自定义IP规则”键进入IP规则设置界面。,缺省IP规则,缺省IP规则,防御ICMP攻击：选择时，即别人无法用PING的方法来确定你的存在。但不影响你去PING别人。防御IGMP攻击：IGMP是用于组播的一种协议，现在也被用来作为蓝屏攻击的一种方法，建议选择此设置，不会对用户造成影响。TCP数据包监视：通过这条规则，可以监视机器与外部之间的所有TCP连接请求。这条规则一定要是TCP协议规则的第一条。,缺省IP规则,禁止互联网上的机器使用我的共享资源：禁止互联网上的机器使用共享资源，包括获取机器名称禁止所有人连接低端端口：防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口，几乎所有的Internet服务都是在这些端口上工作的。如果需要向外面公开特定端口，请在本规则之前添加使该特定端口数据包可通行的规则。,缺省IP规则,允许已经授权程序打开的端口：某些程序，如ICQ，视频电话等软件，都会开放一些端口，这样，你的同伴才可以连接到你的机器上。本规则可以保证你这些软件可以正常工作。禁止所有人连接：防止所有的机器和自己连接。如果需要向外面公开你的特定端口，请在本规则之前添加使该特定端口数据包可通行的规则。该规则通常放在最后。,缺省IP规则,UDP数据包监视：通过这条规则，你可以监视机器与外部之间的所有UDP包的发送和接受过程，这条规则一定要是UDP协议规则的第一条。允许DNS（域名解释）：允许域名解释。注意，如果你要拒绝接收UDP包，就一定要开启该规则，否则会无法访问互联网上的资源。,自定义IP规则,工具条增加，修改，删除，保存上移”或“下移”，“导出”和“导入”，清空所有规则,自定义IP规则,规则列表这里列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志，勾选表示该规则有效。改变后，请保存。,自定义IP规则,规则说明列出了规则的详细说明。规则编辑 点击“增加”按钮 或选择一条规则后按“修改”按钮，就会激活编辑窗口,自定义IP规则,1输入规则的“名称”和“说明”，以便于查找和阅读。2选择该规则是对进入的数据包还是输出的数据包有效。3“对方的IP地址”，用于确定选择数据包从那里来或是去哪里，这里有几点说明：“任何地址”是指数据包从任何地方来，都适合本规则“局域网网络地址”是指数据包来自和发向局域网“指定地址”是你可以自己输入一个地址“指定的网络地址”是你可以自己输入一个网络和掩码,自定义IP规则,4录入该规则所对应的协议，其中“TCP”协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口，那么可以在起始端口处录入该端口，结束处，录入同样的端口。如果不想指定任何端口，只要在起始端口都录入 0。“ICMP”规则要填入类型和代码。如果输入255，表示任何类型和代码都符合本规则。“IGMP”不用填写内容,自定义IP规则,5当一个数据包满足上面的条件时，就可以对该数据包采取行动了“通行”指让该数据包畅通无阻的进入或出去“拦截”指让该数据包无法进入你的机器“继续下一规则”指不对该数据包作任何处理，由该规则的下一条同协议规则来决定对该包的处理6在执行这些规则的同时，还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容，并用右下的“天网防火墙个人版”图标是否闪烁来“警告”，或发出声音提示。,自定义IP规则,防火墙的规则检查顺序与列表顺序是一致的。当你有局域网时，又只想对局域网开放某些端口或协议（但对互联网关闭）时，可对局域网的规则采用允许局域网网络地址的某端口、协议的数据包通行的规则，然后用任何地址的某端口、协议的规则拦截，就可达到目的。不要滥用记录功能，记录功能会产生大量日志，并耗费大量的内存。,自定义IP规则,导出,自定义IP规则,导入,应用程序规则设置,设定的应用程序访问网络的权限普通应用程序规则设置高级应用程序规则设置自定义应用程序规则设置,普通应用程序规则设置,对应用程序数据传输封包进行底层分析拦截功能，它可以控制应用程序发送和接收数据传输包的类型、通讯端口，并且决定拦截还是通过选中“以后按照这次的操作进行”选项，该应用程序将自动加入到应用程序列表中，可以通过应用程序设置来设置更为详尽的数据包过滤方式。,高级应用程序规则设置,对应用程序发送数据传输包的监控，可以使了解到系统目前有那些程序正在进行通讯另外特洛依木马也是一样的，天网防火墙个人版可以察觉到攻击者对特洛依木马的控制通讯,高级应用程序规则设置,每一条应用程序规则都有几个按钮 点击“选项”即可激活应用程序规则高级设置,高级应用程序规则设置,高级应用程序规则设置,自定义应用程序规则,工具条增加，删除、导入、导出、清空所有规则,自定义应用程序规则,规则列表列出了所有的应用程序规则的名称，该规则版本号，该规则路径，等信息。在列表的右边为该规则访问权限选项，勾选表示一直允许该规则访问网络，问号选表示该规则每次访问网络的时候会出现询问是否让该规则访问网络对话框，叉选表示一直禁止该规则访问网络。用户可以根据自己的需要点击勾、问号、叉来设定应用程序规则访问网络的权限。（您可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式。）,自定义应用程序规则,自定义应用程序规则,增加规则：参见“高级应用程序规则设置”。,自定义应用程序规则,导出,自定义应用程序规则,导入,防火墙高级设置,网络访问监控功能日志查看与分析断开/接通网络,网络访问监控功能,用户不但可以控制应用程序访问权限，还可以监视该应用程序访问网络所使用的数据传输通讯协议端口等。任何不明程序的数据传输通讯协议端口，例如特洛依木马等，都可以在应用程序网络状态下一览无遗。,网络访问监控功能,零售版对访问网络的应用程序进程监控还实现了协议过滤功能，由于通常的危险进程都是采用TCP传输层协议，所以基本上只要对使用TCP协议的应用程序进程监控就可以了。一旦发现有不法进程在访问网络，用户可以用结束进程钮来禁止它们,日志查看与分析,所有不合规则的数据传输封包都会被拦截并且记录，如果选择了监视TCP和UDP数据传输封包，那么发送和接受的每个数据传输封包也将被记录下来。每条记录从左到右分别是发送/接受时间、发送IP地址、数据传输封包类型、本机通讯端口，对方通讯端口，标志位。,断开/接通网络,如果按下断开/接通网络按钮，那么您的计算机就将完全与网络断开了，就好象拔下了上网线路一样。没有任何人可以访问您的计算机，但您也不可以访问网络。这是在遇到频繁攻击的时候最有效的应对方法。,