M2-2 使用防火墙规则提高windows桌面系统的防御1.1教学目的与要求1.1.1 教学目的学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的防火墙配置。

1.1.2 教学要求1.教学重点✧防火墙原理✧防火墙的规则配置2.教学难点✧防火墙的规则概述：启用：在“高级”选项卡上选定的所有网络连接启用Windows防火墙，启用Windows防火墙，仅允许请求的通信和已添加到例外列表中的传入通信。

不允许例外：允许请求的传入通信。

不允许已添加到例外列表中的传入通信。

关闭：禁用Windows防火墙。

1.2 本能力单元涉及的知识组织1.2.1本能力单元涉及的主要知识点1.防火墙概述2.防火前功能3.防火墙的基本操作1.2.2本能力单元需要解决的问题1.按照项目的需求，重点对WindowsXP的防火墙概念机操作进行深入的理解。

1.3核心技术和知识的理解1.3.1 防火墙基本原理所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。

该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙英语为firewall 《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。

使用防火墙比喻不要引火烧身。

1.3.2 为什么使用防火墙?防火墙具有很好的保护作用。

入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

你可以将防火墙配置成许多不同保护级别。

高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

1.3.3 防火墙的类型一个个人防火墙, 通常软件应用过滤信息进入或留下。

一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。

这样防火墙过滤所有信息进入或留下被连接的网络。

后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。

以下是两个主要类防火墙: 网络层防火墙和应用层防火墙。

这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。

网络层防火墙网络层防火墙可视为一种IP 封包过滤器，运作在底层的TCP/IP 协议堆栈上。

我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP 地址、来源端口号、目的IP 地址或端口号、服务类型(如WWW 或是FTP)。

也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙应用层防火墙是在TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP 时的数据流都是属于这一层。

应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。

理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

代理服务代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。

代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。

相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。

当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。

防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在[RFC 1918] 。

管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。

防火墙的适当的配置要求技巧和智能。

它要求管理员对网络协议和电脑安全有深入的了解。

因小差错可使防火墙不能作为安全工具。

[1][2][3]1.3.4 防火墙的概念当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。

防火墙是汽车中一个部件的名称。

在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。

在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的优点[6]：（1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。

防火墙能够用来隔开网络中一个网段与另一个网段。

这样，能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。

所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

1.3.5 防火墙的功能防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。

例如互联网是不可信任的区域，而内部网络是高度信任的区域。

以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。

它有控制信息基本的任务在不同信任的区域。

典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。

最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

例如：TCP/IP Port 135~139是Microsoft Windows的【网上邻居】所使用的。

如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。

且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。

防火墙还可以关闭不使用的端口。

而且它还能禁止特定端口的流出通信，封锁特洛伊木马。

最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。

当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

另外，收集一个网络的使用和误用情况也是非常重要的。

首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。

使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。

Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。

但是Finger 显示的信息非常容易被攻击者所获悉。

攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。

防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

1.4实施过程指导〖步骤1 〗创建防火墙规则第一步：创建多个防火墙规则我们在PC1上建立多条防火墙规则。

假设PC1需要运行很多网络软件，那些允许连接哪些不允许连接，我们需要在PC1上的防火墙进行设置。

首先我们打开PC2的远程桌面，连接到PC1上，查看现象。

发现连接失败，现在我们设定PC1上的防火墙来打开远程桌面，使PC2可以远程桌面到PC1。

如图2-1所示。

图2- 1 查看远程桌面服务状态打开PC1的防火墙配置界面首先启动PC1的防火墙，如图2-2所示。

图2- 2 防火墙页面点击“例外”标签，添加程序（添加端口）来加入允许通过防火墙的程序和数据流量。

如图2-3所示。

图2- 3 例外标签勾选远程桌面选项，如图2-4所示。