4.1實訓了解防火墻技術本節(jié)實訓與思考的目的是：〔1)生疏防火墻技術的根本概念，了解防火墻技術的根本內(nèi)容。(2〕通過因特網(wǎng)搜尋與掃瞄,了解網(wǎng)絡環(huán)境中主流的防火墻技術網(wǎng)站，把握通過專業(yè)網(wǎng)站不斷豐富防火墻技術最學問的學習方法，嘗試通過專業(yè)網(wǎng)站的關心與支持來開展防火墻技術應用實踐。〔3〕WindowsXP中配置簡易防火墻(IP篩選器)，完成后，將能夠在本機實現(xiàn)對IP站點、端口、DNS效勞屏蔽，實現(xiàn)防火墻功能。1工具/預備工作.需要預備一臺運行WindowsXPProfessional并帶有掃瞄器，能夠訪問因特網(wǎng)的計算機。2實訓內(nèi)容與步驟〔1)概念理解請通過查閱有關資料，盡量用自己的語言，簡述防火墻的作用是什么？防火墻是網(wǎng)絡安全的屏障.防火墻可以強化網(wǎng)絡安全策略對網(wǎng)絡存取和訪問進展監(jiān)控審計。防止內(nèi)部信息的外泄。 依據(jù)防范的方式和側(cè)重點的不同，防火墻技術可分成很多類型,但總體來講還是二大類:分組過濾和應用代理。請分別簡潔介紹這兩種防火墻技術。2 信息安全技術分組過濾或包過濾技術：作用于網(wǎng)絡層和傳輸層，通常安裝在路由器上，對數(shù)據(jù)進展選擇,它依據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標志，確定是否允許數(shù)據(jù)包通過。只有滿足過濾規(guī)律的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄.應用代理技術：通過對每種應用效勞編制特地的代理程序，實現(xiàn)監(jiān)視和掌握應用層通信流的作用。請分別簡潔介紹：什么是“胖”防火墻：“胖”防火墻在保證根本功能的前提下,不斷擴展增值功能—-NAT、VPN、QoS“胖”Solution趨向于一種留意功能大而全的單一產(chǎn)品體系，力圖將防火墻系統(tǒng)開發(fā)成為一個安全域的整體解決方案，它的優(yōu)點在于可以滿足用戶絕大局部的網(wǎng)絡安全需求。一般來說，大型用戶安全需求廣泛,專業(yè)性要求強，安全投入較,這種客戶均傾向于使用獨立的安全設備，并渴望發(fā)揮每種產(chǎn)品的最大效果。而安全廠商也盡力挖掘每種安全產(chǎn)品的最大功能,“瘦”防火墻也就經(jīng)受了從包過濾、應用代理、狀態(tài)檢測到深度檢測、智能檢測以及從雙機熱備到負載均衡、HA集群的進展階段。(2)Windows防火墻的應用Windows防火墻能做到和不能做到的功能狀況請參見表4.1。表4.1 Windows防火墻的功能能做到： 不能做到：到達你的計算機。,以阻擋或取消阻擋某些連接懇求。〔安全日志)，

檢測或制止計算機病毒和蠕蟲〔假設它們已經(jīng)在你的計算機上〕以防范病毒、蠕蟲和其他安全威逼破壞你的計算機或使用你的計算機將病毒集中到其他計算機.阻擋你翻開帶有危急附件的電子郵件。不要翻開來自不生疏的發(fā)件人的電子郵件附件。即使你知道并信任電子郵件的來源，,請在翻開附件前認真查看主題行。假設主題行比較雜亂或者你認為沒有任何意義，那么請在翻開附件前向發(fā)件人確認?？捎糜谟涗泴τ嬎銠C的成功 圾郵件或未經(jīng)懇求的電子郵件消滅在你的收件箱中。連接嘗試和不成功的連接嘗 不過，某些電子郵件程序可以幫助你做到這一點。試，可用作故障排解工具.第4章 防火墻與網(wǎng)絡隔離技術 31〕翻開或關閉WindowsWindows防火墻，必需以治理員身份登錄計算機，并按以下步驟執(zhí)行：步驟1：在Windows的“開頭”菜單中單擊“掌握面板“命令，然后雙擊其中的“Windows防火墻”圖標，翻開Windows4.6所示。圖4.6 “Windows防火墻”對話框步驟2：在“常規(guī)”選項卡上，單擊以下選項之一:①啟用(推舉〕：通常應當使用此設置。②關閉〔不推舉〕：關閉Windows防火墻可能會使你的計算機以及網(wǎng)絡更簡潔受到病毒或未知入侵者的損壞。假設使用“高級”選項卡關閉一個或多個單個連接的Windows防火墻，那么Windows.規(guī)”選項卡中，Windows防火墻將照舊設置為“啟用“。2)啟用安全記錄.Windows防火墻處于翻開狀態(tài)時，在默認狀況下并不啟用安.而只有啟用了Windows防火墻的連接才能使用日志記錄功能。為啟用安全記錄選項,用戶必需以治理員身份登錄計算機，并執(zhí)行以下操作：1:翻開“Windows防火墻”對話框，單擊“高級“選項卡,4。7所示。步驟2：“對4.8所示。步驟3:單擊下面的選項之一：①假設要啟用對不成功的入站連接嘗試的記錄，請選中“記錄被丟棄的數(shù)據(jù)包”復選框。4 信息安全技術②假設要啟用對成功的出站連接的記錄，請選中“記錄成功的連接”復選框。步驟4：單擊“確定”按鈕，完成操作。圖4。7 Windows防火墻的“高級”選項卡 圖4.8 “日志設置“對話框3〕查看安全日志文件。為查看安全日志文件,請按以下步驟操作:1：Windows““置”按鈕。步驟2：單擊“另存為”按鈕，在對話框中進展掃瞄查看。步驟3：右鍵單擊pfirewall.log,然后在快捷菜單中單擊“翻開”命令。pfirewall.log，其存放位置在Windows文件夾中。但必需選中“記錄被丟棄的數(shù)據(jù)包”或“記錄成功的連接”復選框，才能使pfirewall。log文件消滅在Windows文件夾中。假設超過了pfirewall。log可允許的最大大小〔4096KB〕，則日志文件中原有的信息將轉(zhuǎn)移到一個文件中,并用文件名pfirewall。log.old進展保存。的信息將?！裁麨閜firewall。log)中.請記錄：上述各項操作能夠順當完成嗎？假設不能，請分析緣由。能夠順當完成。第4章 防火墻與網(wǎng)絡隔離技術 5〔3)簡易防火墻設置下面,我們嘗試在WindowsXPProfessional上學習設置簡易的防火墻。1〕運行IP篩選器。為運行IP篩選器,請按以下步驟執(zhí)行：1：WindowsXP的“開頭”菜單中單擊“運行”命令，在“運行”對話框的“翻開”文本框中輸入mmc,單擊“確定”按鈕，屏幕顯示“掌握臺1”窗口，如4。9所示.其中包含了“掌握臺根節(jié)點”窗口。圖4.9 “掌握臺1“窗口2：1”窗口的“文件”菜單中單擊“添加/刪除治理單元…”命令，消滅“添加/刪除治理單元”對話框〔4.10〕.在其中選擇“獨立”選項卡。圖4。10 “添加/刪除治理單元“對話框 圖4。11 “添加獨立治理單元”對話框步驟3:,“6 信息安全技術加…“按鈕,消滅“添加獨立治理單元”對話框，見圖4。11所示。請記錄：在“可用的獨立治理單元”欄中有哪些選項(請閱讀相關的描述信息):a組件效勞b組策略對象編輯器c證書d性能日志和警報e文件夾f索引效勞g大事查看器h設備治理器i可移動存儲治理j計算機治理k共享文件夾l效勞m磁盤碎片整理程序n磁盤治理o策略的結(jié)果集p本地擁護和組q安全配置和分析r安全摸板WMT掌握WEB地址的連接uSQLServer配置治理器Oracle治理對象SQL企業(yè)治理器Micrsoft元數(shù)據(jù)掃瞄器Internet協(xié)議安全性〔IPSec)治理步驟4：在“可用的獨立治理單元”列表框中選擇“IP安全策略治理”選項，單擊“添加“按鈕，顯示“選擇計算機”對話框，如圖4。12所示.在其中選擇“本地計算機”單項選擇按鈕,單擊“完成“按鈕，返回“添加獨立治理單元”對話框.步驟5：單擊“關閉“按鈕，返回“添加/刪除治理單元”對話框。請記錄:此時，在“添加/刪除治理單元“對話框下部的“描述“框中，顯示的“IP安全策略”描述信息是:Internet協(xié)議安全性〔IPSec〕IPSec策略。第4章 防火墻與網(wǎng)絡隔離技術 7步驟6：單擊“確定“1“窗口,完成“IP安全策略，在本地計算機”的設置。添加IPIP〔192.168.14.1)進展篩選的IP篩選器表.圖4.12 “選擇計算機或域”對話框1：1”窗口的“掌握臺根節(jié)點“窗口中，單擊剛建立的“IP安全策略，在本地計算機”選項，右邊框中消滅3個默認的安全規(guī)章,請分別記錄其描述信息:①安全效勞器需要安全〕IP通訊總是使用Kerberos不允許與不被信任的客戶端的擔憂全通訊。②客戶端〔僅響應〕：正常通訊(擔憂全的〕。使用默認的響應規(guī)章與請示安③效勞器〔懇求安全〕：對全部IP通訊總是使用Kerberos信任懇求安全。允許與不響應請求的客戶端的不安全通訊. 步驟2：選中左邊的“IP,從快捷菜單8 信息安全技術IP篩選器表和篩選器操作“IP篩選器表和篩選器操作”4。13所示.3：在對話框中單擊“添加”按鈕，消滅“IP篩選器列表”對話框〔4。。在翻開的“IPIP稱”為“屏蔽特定IP”，“描述”為“屏蔽192.168。14.1”,并取消選擇“使用‘添加向?qū)А啊?4.15〕可對“屏蔽特定IP”進展設置。步驟4：在“篩選器屬性”對話框中選擇“尋址”選項卡，在“源地址”和“目標地址”下拉列表框框中分別選擇“我的IP地址”和“一個特定的IP地址“選項。中選IP地址“時,會消滅“IP地址“IP地址,如“192.168。14。1“.IP5種，簡潔理解.圖4.13 “治理IP篩選器表和篩選器操作”對話框第4章 防火墻與網(wǎng)絡隔離技術 9圖4.14 “IP篩選器列表“對話框默認狀況下，“IP篩選器”的作用是單方面的,A，目標地址為B，則防火墻只對A→BB→A“復選框，則防火墻對A←→B的雙向流量都進展處理(相當于一次添加了兩條規(guī)章).步驟5：在“協(xié)議”選項卡中，可選擇協(xié)議類型及設置IP協(xié)議端口。步驟6：在“描述“選項卡的“描述“文本框中，可輸入描述文字,作為篩選器的具體描述.圖4。15 “篩選器屬性”對話框7：然后，單擊“確定“按鈕，返回“IP篩選器列表”對話框，再單擊“確定按鈕，返回“治理IP篩選器表和篩選器操作”對話框IIP篩選器列表“中。10 信息安全技術步驟8：單擊“關閉”按鈕,完本錢次操作。IP篩選器操作。上述操作將一個虛擬的C192。168。14.1參加到了“待屏蔽IP列表“,但它只是一個列表，沒有防火墻功能，只有再參加動作后，才能夠發(fā)揮作用。下面,我們將建立一個“阻擋”操作，通過操作與剛剛的列表結(jié)合，就可以屏蔽特定的IP地址.步驟1：1”窗口的“掌握臺根節(jié)點”窗口中，選中左邊的“IP安全,IP篩選器表和篩選器操作…“命令，顯示“治理IP篩選器表和篩選器操作”對話框。2：IP篩選器列表“IP”選項，選項卡見圖4.16)取消對其中的“使用‘添加向?qū)нx項的選擇，再單擊“添加”按鈕，消滅“篩選器操作屬性“對話框(4.17).步驟3：“單項選擇按鈕,然后選擇“常規(guī)”選項卡,在“名稱”文本框中輸入“阻擋“〔4。18〕。步驟4：單擊“確定“按鈕，此時“阻擋”參加到篩選器操作列表中。步驟5：請在“治理IP篩選器表和篩選器操作”對話框的“篩選器操作”列表中查閱和記錄各篩選器操作的描述信息：①懇求安全〔可選):承受擔憂全的通訊但總是用TPSECTPSEC的計算機進展擔憂全的通訊。4。16“治理篩選器操作”選項卡4.17“篩選器操作屬性“對話框第4章 防火墻與網(wǎng)絡隔離技術 11圖4。18 “常規(guī)”標簽頁②需要安全：承受擔憂全的通訊但總是用TPSEC響應。③許可：允許擔憂全的IP包經(jīng)過。創(chuàng)立IP安全策略。篩選器表和篩選器操作已建立完畢，將它們結(jié)合起來發(fā)揮防火墻的作用。1：1”的“掌握臺根節(jié)點”窗口,選擇“IP安全策略,在本地計算機”選項并單擊右鍵，在快捷菜單中單擊“創(chuàng)立IP安全策略…”命令，消滅“IP安全策略向?qū)А睂υ捒蛑?，單擊“下一步”按鈕。2：在“IP(4.19)的“名稱”文本框中輸入“我文本框中輸入對安全策略設置的描述。12 信息安全技術圖4.19 “IP安全策略向?qū)А睂υ捒虿襟E3:單擊“下一步”按鈕，在連續(xù)顯示的“IP安全策略向?qū)А皩υ捒蛑校∠x擇“激活默認響應規(guī)章“復選框(4.20〕。步驟4:IP復選框(4。21〕，再單擊“完成”按鈕，這時，將消滅“我的安全策略屬性”對話框〔4。22〕。步驟5：在“我的安全策略屬性”對話框的“規(guī)章”選項卡中,取消對其中的“使,再單擊“添加”按鈕,消滅“規(guī)章屬性”對話框〔圖4.23)。圖4.21 “IP安全策略向?qū)А睂υ捒虿襟E6:.屬性”對話框的“IP篩選器列表“標簽頁中，選擇建立的IP篩選器〔即“屏蔽特定I〕單項選擇按鈕；然后單擊“確定“,可以看到規(guī)章已經(jīng)建立。至此，屏蔽特定IP的操作已完成。圖4。20 “IP安全策略向?qū)А皩υ捒虻?章 防火墻與網(wǎng)絡隔離技術 13用IP139端口“的IP139端口，然后結(jié)合上述任務添加的“阻擋“動作進展設置。同樣，也可以關閉其他端口。步驟1：在“掌握臺1”窗口的“掌握臺根節(jié)點”窗口中，選中左邊的“IP安全策略，在本地計算機”選項并單擊右鍵,在快捷菜單中單擊“治理IP篩選器表和篩選器操作…”命令.步驟2：在“治理IP…”按鈕，在“IP輸入“屏蔽139“按鈕，消滅“篩選器屬性”對話框.圖4。22 “我的安全策略屬性”對話框 圖4。23 “規(guī)章屬性”對話框14 信息安全技術步驟3：在“篩選器屬性”對話框“尋址”選項卡的“源地址”下拉列表框中選擇“任何IPIP4.24所示.“篩選器屬性“對話框中的“協(xié)議”選項卡和“描述“選項卡,4。25進展設置.4：單擊“確定”按鈕，返回“治理IP篩選器表和篩選器操作”對話框,可以139端口”已建立。6〕應用IP安全策略規(guī)章。為應用IP安全策略規(guī)章,可執(zhí)行以下步驟：步驟1:在“掌握臺1”窗口的“掌握臺根節(jié)點”窗口中，在右邊建立的“我的安全策略”規(guī)章上單擊右鍵,在快捷菜單中單擊“屬性“，翻開“我的安全策略屬性”對話框，單擊“添加”按鈕，翻開“規(guī)章屬性”對話框，2：在“規(guī)章屬性“對話框的“IP篩選器列表”標簽頁中，選擇建立的IP篩選器〔139端口”)單項選擇按鈕；再在“篩選器操作”選項卡中，選擇“阻擋“對話框，可以看到“屏蔽特定IP和“屏蔽139〕已經(jīng)4.26所示。單擊“確定“1”窗口.3：1”的“掌握臺根節(jié)點”窗口，選擇“IP安全策略,在本地計算機”選項并單擊右鍵，在快捷菜單中單擊單擊“指派“命令。步驟4：在窗口的左邊選擇“IP安全策略，在本地計算機“選項并單擊右鍵,在快捷菜單中單擊“全部任務…”命令,備份所設置的安全策略。同樣，也可以使用“導入策略…”命令恢復。圖4。24 “尋址”選項卡第4章 防火墻與網(wǎng)絡隔離技術 15圖4.25 “協(xié)議“和“描述”選項卡的設置(4)防火墻產(chǎn)品選擇,在因特網(wǎng)上搜尋，選擇至少3款防火墻產(chǎn)品，并分別簡潔描述之.1。圖4.26 “我的安全策略屬性“選項卡16 信息安全技術①產(chǎn)品名稱:華為賽門鐵克SecospaceUSG5530②產(chǎn)品生產(chǎn)廠家： ③產(chǎn)品功能描述:,支持光電兩類內(nèi)置Bypass插卡,供給超長無故障硬件保障，商用10年+的超穩(wěn)定軟件平臺，全球在線設備超過10萬臺,打造永續(xù)的辦公環(huán)境，56千兆+14萬兆的高密度接口,為提前跨入萬兆時代的您供給不同組網(wǎng)狀況下的安全防護，便利細化安全區(qū)域,32G防火墻吞吐，15K并發(fā)VPN隧道,大容量NAT轉(zhuǎn)換力量，輕松實現(xiàn)海量業(yè)務處理。:有沒有不清楚⑤產(chǎn)品價格:2023 2。①產(chǎn)品名稱：金山KingGateMBG+25②產(chǎn)品生產(chǎn)廠