第11章防火墻技術(shù)

第11章

防火墻技術(shù)項(xiàng)目1雙機(jī)互連對(duì)等網(wǎng)絡(luò)的組建

【學(xué)習(xí)目標(biāo)】了解防火墻的基本概念。掌握包過濾防火墻、代理防火墻、狀態(tài)檢測(cè)防火墻技術(shù)。了解防火墻體系結(jié)構(gòu)。掌握Windows防火墻中網(wǎng)絡(luò)配置文件的作用。掌握Windows防火墻中入站、出站和連接安全規(guī)則的創(chuàng)建方法。11.1防火墻概述

以前當(dāng)構(gòu)筑和使用木結(jié)構(gòu)房屋的時(shí)候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱為防火墻(FireWall)。如今，人們借助這個(gè)概念，使用“防火墻”來保護(hù)敏感的數(shù)據(jù)不被竊取和篡改。不過，這種防火墻是由先進(jìn)的計(jì)算機(jī)系統(tǒng)構(gòu)成的。防火墻猶如一道護(hù)欄隔在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間，用來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。防火墻可以是非常簡單的過濾器，也可能是精心配置的網(wǎng)關(guān)，但它們的原理是一樣的，都是監(jiān)測(cè)并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。防火墻通常是運(yùn)行在一臺(tái)單獨(dú)計(jì)算機(jī)之上的一個(gè)特別的服務(wù)軟件，它可以識(shí)別并屏蔽非法的請(qǐng)求，保護(hù)內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞，并記錄內(nèi)外網(wǎng)通信的有關(guān)狀態(tài)信息日志，如通信發(fā)生的時(shí)間和執(zhí)行的操作等。防火墻技術(shù)是一種有效的網(wǎng)絡(luò)安全機(jī)制，它主要用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)。其基本準(zhǔn)則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的。防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，并越來越多地應(yīng)用于專用網(wǎng)絡(luò)（內(nèi)網(wǎng)）與公用網(wǎng)絡(luò)（外網(wǎng)）的互聯(lián)環(huán)境之中。防火墻應(yīng)該是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它能有效監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。其結(jié)構(gòu)如圖13-1所示。11.1.1防火墻的功能防火墻具有如下功能。①防火墻是網(wǎng)絡(luò)安全的屏障。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，使網(wǎng)絡(luò)環(huán)境變得更安全。②防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。③對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到探測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。④防止內(nèi)部信息的外泄。通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)重點(diǎn)網(wǎng)段的隔離，從而限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的服務(wù)。11.1.2防火墻的局限性防火墻也有局限性，存在著一些防范不到的地方。（1）防火墻不能防范不經(jīng)過防火墻的攻擊（例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與因特網(wǎng)的直接連接）。（2）目前，防火墻還不能非常有效地防范感染了病毒的軟件和文件的傳輸。（3）防火墻管理控制的是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，所以它不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻是用來防范外網(wǎng)攻擊的，也就是防范黑客攻擊的。內(nèi)部網(wǎng)絡(luò)攻擊有好多都是攻擊交換機(jī)或者攻擊網(wǎng)絡(luò)內(nèi)部其他計(jì)算機(jī)的，根本不經(jīng)過防火墻，所以防火墻就失效了。11.2防火墻的分類防火墻可分成三大類：包過濾防火墻、代理防火墻和狀態(tài)檢測(cè)防火墻。11.2.1包過濾防火墻包過濾防火墻是目前使用最為廣泛的防火墻，它工作在網(wǎng)絡(luò)層和傳輸層，通常安裝在路由器上，對(duì)數(shù)據(jù)包進(jìn)行過濾選擇。通過檢查數(shù)據(jù)流中每一數(shù)據(jù)包的源IP地址、目的IP地址、所用端口號(hào)、協(xié)議狀態(tài)等參數(shù)，或它們的組合與用戶預(yù)定的訪問控制表中的規(guī)則進(jìn)行比較，來確定是否允許該數(shù)據(jù)包通過。如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則，則允許通過；如果檢查到數(shù)據(jù)包的條件不符合規(guī)則，則阻止通過并將其丟棄。數(shù)據(jù)包檢查是對(duì)網(wǎng)絡(luò)層的首部和傳輸層的首部進(jìn)行過濾，一般要檢查下面幾項(xiàng)。（1）源IP地址。（2）目的IP地址。（3）TCP/UDP源端口。（4）TCP/UDP目的端口。（5）協(xié)議類型（TCP包、UDP包、ICMP包）。（6）TCP報(bào)頭中的ACK位。（7）ICMP消息類型。實(shí)際上，包過濾防火墻一般允許網(wǎng)絡(luò)內(nèi)部的主機(jī)直接訪問外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問則要受到限制。Internet上的某些特定服務(wù)一般都使用相對(duì)固定的端口號(hào)，因此路由器在設(shè)置包過濾規(guī)則時(shí)指定，對(duì)于某些端口號(hào)允許數(shù)據(jù)包與該端口交換，或者阻斷數(shù)據(jù)包與它們的連接。包過濾規(guī)則定義在轉(zhuǎn)發(fā)控制表中，數(shù)據(jù)包遵循自上而下的次序依次運(yùn)用每一條規(guī)則，直到遇到與其相匹配的規(guī)則為止。對(duì)數(shù)據(jù)包可采取的操作有轉(zhuǎn)發(fā)、丟棄、報(bào)錯(cuò)等。根據(jù)不同的實(shí)現(xiàn)方式，包過濾可以在進(jìn)入防火墻時(shí)進(jìn)行，也可以在離開防火墻時(shí)進(jìn)行。下表是常見的包過濾轉(zhuǎn)發(fā)控制表。表中的規(guī)則1、規(guī)則2允許外部主機(jī)訪問本站點(diǎn)的WWW服務(wù)器，規(guī)則3、規(guī)則4允許內(nèi)部主機(jī)訪問外部的WWW服務(wù)器。由于服務(wù)器可能使用非標(biāo)準(zhǔn)端口號(hào)，給防火墻允許的配置帶來一些麻煩。實(shí)際使用的防火墻都直接對(duì)應(yīng)用協(xié)議進(jìn)行過濾，即管理員可在規(guī)則中指明是否允許HTTP通過，而不是只關(guān)注80端口。規(guī)則5表示除了規(guī)則1～4允許的數(shù)據(jù)包通過外，其他所有數(shù)據(jù)包一律禁止通過，即一切未被允許的就是禁止的。包過濾防火墻的優(yōu)點(diǎn)是簡單、方便、速度快，對(duì)用戶透明，對(duì)網(wǎng)絡(luò)性能影響不大。其缺點(diǎn)是：不能徹底防止IP地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；缺乏用戶認(rèn)證機(jī)制；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。因此，包過濾防火墻的安全性較差。11.2.2代理防火墻首先介紹一下代理服務(wù)器，代理服務(wù)器作為一個(gè)為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛。一個(gè)完整的代理設(shè)備包含一個(gè)代理服務(wù)器端和一個(gè)代理客戶端，代理服務(wù)器端接收來自用戶的請(qǐng)求，調(diào)用自身的代理客戶端模擬一個(gè)基于用戶請(qǐng)求的連接到目的服務(wù)器，再把目的服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶，完成一次代理工作過程。其工作過程如圖所示。也就是說，代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，是客戶機(jī)和真實(shí)服務(wù)器之間的中介，代理服務(wù)器徹底隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的“直接”通信，內(nèi)部網(wǎng)絡(luò)的客戶機(jī)對(duì)外部網(wǎng)絡(luò)的服務(wù)器的訪問，變成了代理服務(wù)器對(duì)外部網(wǎng)絡(luò)的服務(wù)器的訪問，然后由代理服務(wù)器轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的客戶機(jī)。代理服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)的客戶機(jī)來說像是一臺(tái)服務(wù)器，而對(duì)于外部網(wǎng)絡(luò)的服務(wù)器來說，又像是一臺(tái)客戶機(jī)。如果在一臺(tái)代理設(shè)備的代理服務(wù)器端和代理客戶端之間連接一個(gè)過濾措施，就成了“應(yīng)用代理”防火墻，這種防火墻實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)“檢測(cè)、過濾”功能的透明代理服務(wù)器，但是并不是單純的在一個(gè)代理設(shè)備中嵌入包過濾技術(shù)，而是一種被稱為“應(yīng)用協(xié)議分析”（ApplicationProtocolAnalysis）的技術(shù)。所以也經(jīng)常把代理防火墻稱為代理服務(wù)器、應(yīng)用網(wǎng)關(guān)，工作在應(yīng)用層，適用于某些特定的服務(wù)，如HTTP、FTP等。其工作原理如圖所示?！皯?yīng)用協(xié)議分析”技術(shù)工作在OSI模型的應(yīng)用層上，在這一層能接觸到的所有數(shù)據(jù)都是最終形式，也就是說，防火墻“看到”的數(shù)據(jù)與最終用戶看到的是一樣的，而不是一個(gè)個(gè)帶著地址、端口、協(xié)議等原始內(nèi)容的數(shù)據(jù)包，因而可以實(shí)現(xiàn)更高級(jí)的數(shù)據(jù)檢測(cè)過程?！皯?yīng)用協(xié)議分析”模塊便根據(jù)應(yīng)用層協(xié)議處理這個(gè)數(shù)據(jù)，通過預(yù)置的處理規(guī)則查詢這個(gè)數(shù)據(jù)是否帶有危害。由于這一層面對(duì)的已經(jīng)不再是組合有限的報(bào)文協(xié)議，可以識(shí)別HTTP頭中的內(nèi)容，如進(jìn)行域名的過濾，甚至可識(shí)別類似于“GET/sql.asp?id=1and1”的數(shù)據(jù)內(nèi)容，所以防火墻不僅能根據(jù)數(shù)據(jù)應(yīng)用層提供的信息判斷數(shù)據(jù)，更能像管理員分析服務(wù)器日志那樣“看”內(nèi)容辨別危害。代理防火墻實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)“檢測(cè)、過濾”功能的透明“代理服務(wù)器”，有時(shí)人們把代理防火墻也稱為代理服務(wù)器。代理服務(wù)器工作在應(yīng)用層，針對(duì)不同的應(yīng)用協(xié)議，需要建立不同的服務(wù)代理，如HTTP代理、FTP代理、POP3代理、Telnet代理、SSL代理、Socks代理等。代理防火墻的特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。與包過濾防火墻不同之處在于，內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時(shí)提供審計(jì)和日志服務(wù)。實(shí)際中的代理防火墻通常由專用工作站來實(shí)現(xiàn)，如圖所示。代理防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，工作在OSI模型的最高層（應(yīng)用層），掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。其優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。其缺點(diǎn)主要是難于配置和處理速度較慢。11.2.3狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)技術(shù)是基于會(huì)話層的技術(shù)，對(duì)外部的連接和通信行為進(jìn)行狀態(tài)檢測(cè)，阻止具有攻擊性可能的行為，從而可以抵御網(wǎng)絡(luò)攻擊。Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議。根據(jù)TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過“客戶端同步請(qǐng)求”、“服務(wù)器應(yīng)答”、“客戶端再應(yīng)答”3個(gè)階段(即3次握手)，如常用的Web瀏覽、文件下載和收發(fā)郵件等都要經(jīng)過這3個(gè)階段。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)防火墻摒棄了包過濾防火墻僅檢查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)連接表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)檢測(cè)對(duì)每一個(gè)數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，還考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。狀態(tài)檢測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。任何一款高性能的防火墻，都會(huì)采用狀態(tài)檢測(cè)技術(shù)。國內(nèi)著名的防火墻公司，如北京天融信等公司，2000年就開始采用狀態(tài)檢測(cè)技術(shù)，并在此基礎(chǔ)上創(chuàng)新推出了核檢測(cè)技術(shù)，在實(shí)現(xiàn)安全目標(biāo)的同時(shí)可以得到極高的性能。11.3防火墻體系結(jié)構(gòu)網(wǎng)絡(luò)防火墻的安全體系結(jié)構(gòu)基本上可分為4種：（1）包過濾路由器防火墻結(jié)構(gòu)；（2）雙宿主主機(jī)防火墻結(jié)構(gòu)；（3）屏蔽主機(jī)防火墻結(jié)構(gòu)；（4）屏蔽子網(wǎng)防火墻結(jié)構(gòu)。11.3.1包過濾路由器防火墻結(jié)構(gòu)在傳統(tǒng)的路由器中增加包過濾功能就能形成這種簡單的防火墻。這種防火墻的好處是完全透明，但由于是在單機(jī)上實(shí)現(xiàn)，形成了網(wǎng)絡(luò)中的“單失效點(diǎn)”。由于路由器的基礎(chǔ)功能是轉(zhuǎn)發(fā)數(shù)據(jù)包，一旦過濾機(jī)能失效，被入侵就會(huì)形成網(wǎng)絡(luò)直通狀態(tài)，任何非法訪問都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)。這種防火墻尚不能提供有效的安全功能，僅在早期的網(wǎng)絡(luò)中應(yīng)用。包過濾路由器防火墻的基本結(jié)構(gòu)如圖所示。11.3.2雙宿主主機(jī)防火墻結(jié)構(gòu)該結(jié)構(gòu)至少由具有兩個(gè)接口（即兩塊網(wǎng)卡）的雙宿主主機(jī)（堡壘主機(jī)）而構(gòu)成。雙宿主主機(jī)的一個(gè)接口接內(nèi)部網(wǎng)絡(luò)，另一個(gè)接口接外部網(wǎng)絡(luò)。內(nèi)、外網(wǎng)絡(luò)之間不能直接通信，必須通過雙宿主主機(jī)上的應(yīng)用層代理服務(wù)來完成，其結(jié)構(gòu)如圖所示。該結(jié)構(gòu)的優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡單，有較好的安全性，可以實(shí)現(xiàn)身份鑒別和應(yīng)用層數(shù)據(jù)過濾。但當(dāng)外部用戶入侵堡壘主機(jī)時(shí)，可能導(dǎo)致內(nèi)部網(wǎng)絡(luò)處于不安全的狀態(tài)。11.3.3屏蔽主機(jī)防火墻結(jié)構(gòu)該結(jié)構(gòu)的防火墻由包過濾路由器和運(yùn)行網(wǎng)關(guān)軟件的堡壘主機(jī)構(gòu)成。該結(jié)構(gòu)提供安全保護(hù)的堡壘主機(jī)僅與內(nèi)部網(wǎng)絡(luò)相連，而包過濾路由器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，如圖所示。通常在路由器上設(shè)立過濾規(guī)則，使得堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。屏蔽主機(jī)防火墻實(shí)現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層的安全，因而比單純的包過濾防火墻更安全。在這一方式下，包過濾路由器是否配置正確，是這種防火墻安全與否的關(guān)鍵。如果路由表遭到破壞，堡壘主機(jī)就可能被越過，使內(nèi)部網(wǎng)絡(luò)完全暴露。11.3.4屏蔽子網(wǎng)防火墻結(jié)構(gòu)該防火墻結(jié)構(gòu)如圖所示，采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，通常稱為非軍事區(qū)（DMZ區(qū)）?？梢詫⒏鞣N服務(wù)器（如WWW服務(wù)器、FTP服務(wù)器等）置于DMZ區(qū)中，解決了服務(wù)器位于內(nèi)部網(wǎng)絡(luò)帶來的不安全問題。由于采用兩個(gè)路由器進(jìn)行了雙重保護(hù)，外部攻擊數(shù)據(jù)很難進(jìn)入內(nèi)部網(wǎng)絡(luò)。外網(wǎng)用戶通過DMZ區(qū)中的服務(wù)器訪問企業(yè)的網(wǎng)站，而不需要進(jìn)入內(nèi)網(wǎng)。在這一配置中，即使堡壘主機(jī)被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍然受到內(nèi)部包過濾路由器的保護(hù)，避免了“單點(diǎn)失效”的問題。上述幾種防火墻結(jié)構(gòu)是允許調(diào)整和改動(dòng)的，如合并內(nèi)外路由器、合并堡壘主機(jī)和外部路由器、合并堡壘主機(jī)和內(nèi)部路由器等，由防火墻承擔(dān)合并部分的合并前的功能。11.4WindowsDefender防火墻Windows10系統(tǒng)內(nèi)置了WindowsDefender防火墻，它可以為計(jì)算機(jī)提供保護(hù)，以避免其遭受外部惡意軟件的攻擊。11.4.1網(wǎng)絡(luò)配置文件在Windows10系統(tǒng)中，不同的網(wǎng)絡(luò)配置文件對(duì)應(yīng)不同的Windows防火墻設(shè)置，因此為了增加計(jì)算機(jī)在網(wǎng)絡(luò)中的安全性，管理員應(yīng)該為計(jì)算機(jī)選擇適當(dāng)?shù)木W(wǎng)絡(luò)配置文件?？梢赃x擇的網(wǎng)絡(luò)配置文件有專用網(wǎng)絡(luò)配置文件、公用網(wǎng)絡(luò)配置文件、域網(wǎng)絡(luò)配置文件3種，如圖所示。1.專用網(wǎng)絡(luò)配置文件專用網(wǎng)絡(luò)包含家庭網(wǎng)絡(luò)和工作網(wǎng)絡(luò)。在該網(wǎng)絡(luò)配置文件中，系統(tǒng)會(huì)啟用網(wǎng)絡(luò)搜索功能使用戶在本地計(jì)算機(jī)上可以找到網(wǎng)絡(luò)上的其他計(jì)算機(jī)；同時(shí)，通過設(shè)置WindowsDefender防火墻（開放傳入的網(wǎng)絡(luò)搜索流量）使網(wǎng)絡(luò)內(nèi)其他用戶能夠?yàn)g覽到本地計(jì)算機(jī)。2.公用網(wǎng)絡(luò)配置文件公用網(wǎng)絡(luò)主要指外部的不安全的網(wǎng)絡(luò)（如機(jī)場(chǎng)、咖啡店的網(wǎng)絡(luò)）。在該網(wǎng)絡(luò)配置文件中，系統(tǒng)會(huì)通過WindowsDefender防火墻的保護(hù)，使其他用戶無法在網(wǎng)絡(luò)上瀏覽到本地計(jì)算機(jī)，并可以阻止來自Internet的攻擊行為；同時(shí)會(huì)禁用網(wǎng)絡(luò)搜索功能，使用戶在本地計(jì)算機(jī)上也無法找到網(wǎng)絡(luò)上的其他計(jì)算機(jī)。3.域網(wǎng)絡(luò)配置文件如果計(jì)算機(jī)加入域中，則其網(wǎng)絡(luò)配置文件會(huì)自動(dòng)被設(shè)置為域網(wǎng)絡(luò)配置文件，并且無法自行更改。更改計(jì)算機(jī)的網(wǎng)絡(luò)配置文件“公用網(wǎng)絡(luò)”或“專用網(wǎng)絡(luò)”，其實(shí)是應(yīng)用了WindowsDefender防火墻的不同配置文件。11.4.2高級(jí)安全性具有高級(jí)安全性的WindowsDefender防火墻結(jié)合了主機(jī)防火墻和IPSec技術(shù)（一種用來通過公共IP網(wǎng)絡(luò)進(jìn)行安全通信的技術(shù)）。與邊界防火墻不同，具有高級(jí)安全性的Windows防火墻可在每臺(tái)運(yùn)行Windows10/WindowsServer2016的計(jì)算機(jī)上運(yùn)行，并對(duì)可能穿越外圍網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全，使用戶對(duì)通信過程要求身份驗(yàn)證和數(shù)據(jù)保護(hù)。具有高級(jí)安全性的WindowsDefender防火墻是一種狀態(tài)防火墻，它檢查并篩選IPv4和IPv6流量的所有數(shù)據(jù)包。它默認(rèn)阻止傳入流量，除非是對(duì)主機(jī)請(qǐng)求（請(qǐng)求的流量）的響應(yīng)，或者被特別允許（即創(chuàng)建了防火墻規(guī)則允許該流量），默認(rèn)允許傳出流量。通過配置具有高級(jí)安全性的WindowsDefender防火墻設(shè)置（指定端口號(hào)、應(yīng)用程序名稱、服務(wù)名稱或其他標(biāo)準(zhǔn)）可以顯式允許流量。使用具有高級(jí)安全性的WindowsDefender防火墻還可以請(qǐng)求或要求計(jì)算機(jī)在通信之前互相進(jìn)行身份驗(yàn)證，并在通信時(shí)使用數(shù)據(jù)完整性或數(shù)據(jù)加密。具有高級(jí)安全性的WindowsDefender防火墻使用兩組規(guī)則配置其如何響應(yīng)傳入和傳出流量，即防火墻規(guī)則（入站規(guī)則和出站規(guī)則）和連接安全規(guī)則，如圖所示。其中，防火墻規(guī)則確定允許或阻止哪種流量，連接安全規(guī)則確定如何保護(hù)此計(jì)算機(jī)和其他計(jì)算機(jī)之間的流量。通過使用防火墻配置文件（根據(jù)計(jì)算機(jī)連接的網(wǎng)絡(luò)位置）可以應(yīng)用這些規(guī)則及其他設(shè)置，還可以監(jiān)視防火墻活動(dòng)和規(guī)則。1.

防火墻規(guī)則配置防火墻規(guī)則以確定阻止還是允許網(wǎng)絡(luò)流量通過具有高級(jí)安全性的Windows防火墻。傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或者允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建相關(guān)條目（如果啟用了日志記錄）。對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇，如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的各項(xiàng)標(biāo)準(zhǔn)添加在一起，添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)。2.連接安全規(guī)則可以使用連接安全規(guī)則來配置本計(jì)算機(jī)與其他計(jì)算機(jī)之間特定連接的IPSec設(shè)置。具有高級(jí)安全性的Windows防火墻使用該規(guī)則來評(píng)估網(wǎng)絡(luò)通信，然后根據(jù)該規(guī)則中所建立的標(biāo)準(zhǔn)阻止或允許消息。在某些環(huán)境下，具有高級(jí)安全性的Windows防火墻將阻止通信。如果所配置的設(shè)置要求連接安全（雙向），而兩臺(tái)計(jì)算機(jī)無法互相進(jìn)行身份驗(yàn)證，則將阻止連接。11.5本章實(shí)訓(xùn):Windows防火墻的應(yīng)用1．實(shí)訓(xùn)目標(biāo)了解防火墻的作用，熟悉Windows防火墻的應(yīng)用。掌握安全規(guī)則的建立方法。2．完成實(shí)訓(xùn)所需的設(shè)備和軟件Windows10計(jì)算機(jī)兩臺(tái)（PC1和PC2），其中一臺(tái)安裝有FTP服務(wù)。3．完成任務(wù)所需的設(shè)備和軟件

安裝有Windows10操作系統(tǒng)的PC機(jī)2臺(tái)，其中一臺(tái)安裝有FTP服務(wù)。能正常運(yùn)行的局域網(wǎng)。3．實(shí)施步驟（1）選擇網(wǎng)絡(luò)配置文件為了增加計(jì)算機(jī)在網(wǎng)絡(luò)中的安全性，管理員應(yīng)該為計(jì)算機(jī)選擇適當(dāng)?shù)木W(wǎng)絡(luò)配置文件。步驟1：選擇“開始”→“設(shè)置”→“網(wǎng)絡(luò)和Internet”選項(xiàng)，出現(xiàn)“網(wǎng)絡(luò)狀態(tài)”界面，如圖所示，可以看到當(dāng)前網(wǎng)絡(luò)狀態(tài)為“公用網(wǎng)絡(luò)”。步驟2：單擊“屬性”按鈕，出現(xiàn)“網(wǎng)絡(luò)配置文件”界面，選中“專用”單選按鈕，如圖所示，即可選擇專用網(wǎng)絡(luò)配置文件，網(wǎng)絡(luò)狀態(tài)就會(huì)變?yōu)椤皩Ｓ镁W(wǎng)絡(luò)”。（2）啟用Windows防火墻步驟1：選擇“開始”→“Windows系統(tǒng)”→“控制面板”→“系統(tǒng)和安全”→“WindowsDefender防火墻”選項(xiàng)，打開“WindowsDefender防火墻”窗口，如圖所示。步驟2：單擊左窗格中的“啟用或關(guān)閉WindowsDefender防火墻”鏈接，出現(xiàn)“自定義設(shè)置”界面，選中“專用網(wǎng)絡(luò)設(shè)置”和“公用網(wǎng)絡(luò)設(shè)置”區(qū)域中的“啟用WindowsDefender防火墻”單選按鈕，如圖所示，單擊“確定”按鈕。（3）設(shè)置Windows防火墻允許ping命令響應(yīng)在默認(rèn)情況下，Windows防火墻是不允許ping命令響應(yīng)的，即當(dāng)本地計(jì)算機(jī)開啟Windows防火墻時(shí)，在網(wǎng)絡(luò)中的其他計(jì)算機(jī)上運(yùn)行ping命令，向本地計(jì)算機(jī)發(fā)送數(shù)據(jù)包，本地計(jì)算機(jī)將不會(huì)應(yīng)答響應(yīng)，其他計(jì)算機(jī)上會(huì)出現(xiàn)ping命令的“請(qǐng)求超時(shí)”錯(cuò)誤。如果要讓W(xué)indows防火墻允許ping命令響應(yīng)，可進(jìn)行如下設(shè)置。步驟1：在“WindowsDefender防火墻”窗口中，單擊“高級(jí)設(shè)置”鏈接，打開“高級(jí)安全WindowsDefender防火墻”對(duì)話框，選擇左窗格中的“入站規(guī)則”選項(xiàng)，然后右擊，在彈出的快捷菜單中選擇“新建規(guī)則”命令，如圖所示。步驟2：在打開的“新建入站規(guī)則向?qū)А睂?duì)話框中，選中“自定義”單選按鈕，如圖所示。步驟3：單擊“下一步”按鈕，出現(xiàn)“程序”界面，如圖所示，選中“所有程序”單選按鈕。步驟4：單擊“下一步”按鈕，出現(xiàn)“協(xié)議和端口”界面，如圖所示，選擇“協(xié)議類型”為ICMPv4。步驟5：單擊“自定義”按鈕，打開“自定義ICMP設(shè)置”對(duì)話框，如圖所示，選中“特定ICMP類型”單選按鈕，并在列表框中選中“回顯請(qǐng)求”復(fù)選框，單擊“確定”按鈕返回“協(xié)議和端口”界面。步驟6：單擊“下一步”按鈕，出現(xiàn)“作用域”界面，如圖所示，保持默認(rèn)設(shè)置不變。步驟7：單擊“下一步”按鈕，出現(xiàn)“操作”界面，如圖所示，選中“允許連接”單選按鈕。步驟8：單擊“下一步”按鈕，出現(xiàn)“配置文件”界面，如圖所示，選中“域”、“專用”、“公用”復(fù)選框。步驟9：單擊“下一步”按鈕，出現(xiàn)“名稱”界面，如圖所示，在“名稱”文本框輸入本規(guī)則的名稱“PingOK”，單擊“完成”按鈕完成本入站規(guī)則的創(chuàng)建。步驟10：在其他計(jì)算機(jī)上Ping本計(jì)算機(jī)，測(cè)試是否Ping成功。禁用“PingOK”入站規(guī)則，再次測(cè)試是否Ping成功。（4）設(shè)置Windows防火墻禁止訪問FTP站點(diǎn)具有高級(jí)安全性的Windows防火墻默認(rèn)不阻止出去的流量。但用戶可以針對(duì)數(shù)據(jù)包的協(xié)議和端口創(chuàng)建相應(yīng)的出站規(guī)則。設(shè)置Windows防火墻禁止訪問FTP站點(diǎn)的步驟如下。步驟1：在“高級(jí)安全WindowsDefender防火墻”對(duì)話框中，選擇左窗格中的“出站規(guī)則”選項(xiàng)，然后右擊之，在彈出的快捷菜單中選擇“新建規(guī)則”命令，如圖所示。步驟2：在打開的“新建出站規(guī)則向?qū)А睂?duì)話框中，選中“端口”單選按鈕，如圖所示。步驟3：單擊“下一步”按鈕，出現(xiàn)“協(xié)議和端口”界面，選中“TCP”單選按鈕，設(shè)置“特定遠(yuǎn)程端口”為21，如圖所示。步驟4：單擊“下一步”按鈕，出現(xiàn)“操作”界面，選中“阻止連接”單選按鈕，如圖所示。步驟5：單擊“下一步”按鈕，出現(xiàn)“配置文件”界面，選中“域”、“專用”、“公用”復(fù)選框。步驟6：單擊“下一步”按鈕，出現(xiàn)“名稱”界面，在“名稱”文本框輸入本規(guī)則的名稱“NoFTP-out”，單擊“完成”按鈕完成本出站規(guī)則的創(chuàng)建，如圖所示。步驟7：訪問FTP站點(diǎn)，測(cè)試是否能夠訪問成功。如果以前成功訪問過FTP站點(diǎn)，需刪除訪問記錄后重新訪問。步驟8：禁用NoFTP-out出站規(guī)則，重新訪問FTP站點(diǎn)，測(cè)試是否能夠訪問成功。（5）設(shè)置Windows防火墻禁止QQ程序訪問服務(wù)器有些應(yīng)用程序，比如QQ程序，可以使用多種協(xié)議和端口連接服務(wù)器。要想禁止QQ應(yīng)用程序訪問服務(wù)器，可以創(chuàng)建基于應(yīng)用程序的出站規(guī)則進(jìn)行阻止，操作步驟如下。步驟1：在“高級(jí)安全WindowsDefender防火墻”對(duì)話框中，右擊“出站規(guī)則”選項(xiàng)，選擇“新建規(guī)則”命令，在打開的“新建出站規(guī)則向?qū)А睂?duì)話框中，選中“程序”單選按鈕，如圖所示。步驟2：單擊“下一步”按鈕，出現(xiàn)“程序”界面，選中“此程序路徑”單選按鈕，然后瀏覽到本機(jī)中的QQ.exe文件，如圖所示。步驟3：單擊“