防火墙实验六Windows防火墙的设置与管理

实验六Windo ws防火墙的设置与管理

一、实验目的

通过对wi ndows XP自带防火墙的设置和管理掌握防火墙的功能和工作原理。

二、实验仪器

操作系统为Windo wsXP的PC机一台。

三、原理概述

网络安全中的防火墙技术。

目前已经发布的英文版WindowsXPServi cePack2SP2包括了全新的Wind ows防火墙 即以前所称的Inte rnet连接防火墙ICF。Windo ws防火墙是一个基于主机的状态防火墙它丢弃所有未请求的传入流量 即那些既没有对应于为响应计算机的某个请求而发送的流量请求的流量 也没有对应于已指定为允许的未请求的流量异常流量。Windo ws防火墙提供某种程度的保护避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。

在Wind owsXPSP2中Windo ws防火墙有了许多新增特性其中包括

•默认对计算机的所有连接启用

•应用于所有连接的全新的全局配置选项

•用于全局配置的新增对话框集

•全新的操作模式

•启动安全性

•本地网络限制

•异常流量可以通过应用程序文件名指定

•对Inte rnet协议第6版I Pv6的内建支持

•采用Net sh和组策略的新增配置选项

Windo ws XP SP2之前的版本中的ICF设置包含单个复选框在“本地连接”属性的“高级”选项卡上“通过限制或阻止来自 I ntern et对此计算机的访问来保护我的计算机和网络”复选框和一个“设置”按钮用户可以使用该按钮来配置流量、 日志设置和允许的

IC MP流量。

在Wind ows XP SP2中连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮用户可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、 日志设置和允许的I C MP流量。 “设置”按钮将运行全新的Wi ndows防火墙控制面板程序可在“网络和Internet连接与安全中心”类别中找到。

新的Win dows防火墙对话框包含以下选项卡

•“常规”

•“例外”

•“高级”

四、实验内容及步骤

主要步骤

1配置win dows防火墙的“常规项”

2配置win dows防火墙的“例外项”

3.配置win dows防火墙的“高级项”

“常规”选项卡

“常规”选项卡及其默认设置如下图所示。

在“常规”选项卡上用户可以选择以下选项

•“启用推荐”

选择这个选项来对“高级”选项卡上选择的所有网络连接启用Windows防火墙。Windo ws防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进 行配置。

• “不允许例外”

单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。 “异常”选项卡上的设置将被忽略所有的连接都将受到保护而不管“高级”选项卡上的设置如何。

•“禁用”

选择这个选项来禁用Windows防火墙。不推荐这样做特别是对于可通过Internet直接访问的网络连接。

注意对于运行Wind owsXPSP2的计算机的所有连接和新创建的连接Windo ws防火墙的默认设置是“启用推荐 ” 。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下用户必须识别出那些已不再运作的程序将它们或它们的流量添加为异常流量。许多程序比如Int ernet浏览器和电子邮件客户端如 Outlo okExpre ss 不依赖未请求的传入流量 因而能够在启用Win dows防火墙的情况下正确地运作。

如果用户在使用组策略配置运行Window sXP SP2的计算机的Wi ndows防火墙用户所配置的组策略设置可能不允许进行本地配置。在这样的情况下 “常规”选项卡和其他选项卡上的选项可能是灰色的而无法选择甚至本地管理员也无法进行选择。

基于组策略的Wind ows防火墙设置允许用户配置一个域配置文件一组将在用户连接到一个包含域控制器的网络时所应用的Windo ws防火墙设置和标准配置文件一组将在用户连接到像Inter net这样没有包含域控制器的网络时所应用的Wind ows防火墙设置 。这些配置对话框仅显示当前所应用的配置文件的Wind ows防火墙设置。要查看当前未应用的配置文件的设置可使用ne tsh firew all show命令。要更改当前没有被应用的配置文件的设置可使用ne tsh firew all set命令。

“例外”选项卡设置

“例外”选项卡

“例外”选项卡及其默认设置如下图所示。

在“例外”选项卡上用户可以启用或禁用某个现有的程序或服务或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许例外”选项时例外流量将被拒绝。

对于Win dowsXP SP2之前的版本 用户只能根据传输控制协议TCP或用户数据报协议UDP端口来定义异常流量。对于Win dows XP SP2用户可以根据TCP和UDP端口或者程序或服务的文件名来定义异常流量。在程序或服务的TCP或UDP端口未知或需要在程序或服务启动时动态确定的情况下这种配置灵活性使得配置异常流量更加容易。

已有一组预先配置的程序和服务其中包括

文件和打印共享

远程助手默认启用

远程桌面

UPnP框架

这些预定义的程序和服务不可删除。

如果组策略允许用户还可以通过单击“添加程序” 创建基于指定的程序名称的附加异常流量 以及通过单击“添加端口” 创建基于指定的TCP或UDP端口的异常流量。当用户单击“添加程序”时将弹出“添加程序”对话框用户可以在其上选择一个程序或浏览某个程序的文件名。下图显示了一个例子。

当用户单击“添加端口”时将弹出“添加端口”对话框用户可以在其中配置一个TCP或UDP端口。下图显示了一个例子。

全新的Wi ndows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时用户有两种选择

“任何计算机”

允许异常流量来自任何IP地址。

“仅只是我的网络子网”

仅允许异常流量来自如下IP地址 即它与接收该流量的网络连接所连接到的本地网段子网相匹配。例如如果该网络 连接的 IP地址被配置 为 10.64.6.7子网掩码为

255.255.0.0那么异常流量仅允许来自10.4.6.1到10.4.6.254范围内的IP地址。

当用户希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务但是又不希望允许潜在的恶意In terne t用户进行访问那么“仅只是我的网络子网 ”设定的地址范围很有用。

一旦添加了某个程序或端口它在“程序和服务”列表中就被默认禁用。

在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。

“高级”选项卡设置

“高级”选项卡

“高级”选项卡如下图所示。

“高级”选项卡包含以下选项

•网络连接设置

•安全日志

• ICMP Inter net控制报文协议

•默认设置

“网络连接设置”

在“网络连接设置”中用户可以

•指定要在其上启用Wi ndows防火墙的接口集。要启用Wi ndows防火墙请选中网络连接名称后面的复选框。要禁用Wi ndows防火墙则清除该复选框。默认情况下所有网络连接都启用了Windo ws防火墙。如果某个网络连接没有出现在这个列表中那么它就不是一个标准的网络连接。这样的例子包括I nt ernet服务提供商 ISP提供的自定义拨号程序。

•通过单击网络连接名称然后单击“设置” 配置单独的网络连接的高级配置。如果清除“网络连接设置”中的所有复选框那么Win dows防火墙就不会保护用户的计算机而不管用户是否在“常规”选项卡上选中了“启用推荐 ” 。如果用户在“常规”选项卡上选中了“不允许例外” 那么“网络连接设置”中的设置将被忽略这种情况下所有接口都将受到保护。

当用户单击 “设置”时将弹出“高级设置”对话框。

在“高级设置”对话框上用户可以在“服务”选项卡中配置特定的服务仅根据TC P或UDP端口来配置或者在“ICMP”选项卡中启用特定类型的ICMP流量。这两个选项卡等价于W indow sXP SP2之前的版本中的ICF配置的设置选项卡。

“安全日志”

在“安全日志”中请单击“设置”  以便在“日志设置”对话框中指定Windows防火墙日志的配置如下图所示。

在“日志设置”对话框中用户可以配置是否要记录丢弃的数据包或成功的连接 以及指定日志文件的名称和位置默认设置为pfire wal l. log及其最大容量。

“ICMP”

在“ICMP”中请单击“设置”以便在“ICMP”对话框中指定允许的I CMP流量类型如下图所示。

在“ICMP”对话框中用户可以启用和禁用W indow s防火墙允许在“高级”选项卡上选择的所有连接传入的I CMP消息的类型。 ICMP消息用于诊断、报告错误情况和配置。默认情况下该列表中不允许任何I CMP消息。

诊断连接问题的一个常用步骤是使用Ping工具检验用户尝试连接到的计算机地址。在检验时用户可以发送一条IC MPEcho(回显命令)消息然后获得一条ICMP Echo Reply消息作为响应。默认情况下Windows防火墙不允许传入ICMP Echo消息 因此该计算机无法发回一条ICM PEcho Reply消息作为响应。为了配置Window s防火墙允许传入的I CMPEcho消息用户必须启用“允许传入的echo请求”设置。

“默认设置”

单击“还原默认设置”将Wind ows防火墙重设回它的初始安装状态。当用户单击“还原默认设置”时系统会在Window s防火墙设置改变之前提示用户核实自己的决定。