windows 本地安全设置 灰色_信息安全技术电子版实验四

实验六 Windows 防火墙的设置与管理

一、实验目的

通过对 windows XP 自带防火墙的设置和管理，掌握防火墙的功能和工作原理。

二、实验仪器 ：

操作系统为 Windows XP 的 PC机一台。

三、原理概述：

网络安全中的防火墙技术。

目前已经发布的英文版 Windows XP Service Pack 2 ( SP2)包括了全新的 Windows防火墙， 即以前所称的 Internet 连接防火墙( ICF)。 Windows 防火墙是一个基于主机的状态防火墙，它

丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量(请求

的流量)，也没有对应于已指定为允许的未请求的流量(异常流量)。 Windows 防火墙提供某种程度的保护，避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。

在 Windows XP SP2中， Windows防火墙有了许多新增特性，其中包括：

? 默认对计算机的所有连接启用

? 应用于所有连接的全新的全局配置选项

? 用于全局配置的新增对话框集

? 全新的操作模式

? 启动安全性

? 本地网络限制

? 异常流量可以通过应用程序文件名指定

? 对 Internet 协议第 6 版( IPv6 )的内建支持

? 采用 Netsh 和组策略的新增配置选项

Windows XP( SP2 之前的版本)中的 ICF 设置包含单个复选框(在 “本地连接” 属性的 “高级” 选项卡上 “通过限制或阻止来自 Internet 对此计算机的访问来保护我的计算机和网络” 复选框)和一个 “设置” 按钮，用户可以使用该按钮来配置流量、日志设置和允许的 ICMP流量。

在 Windows XP SP2 中，连接属性的 “高级” 选项卡上的复选框被替换成了一个 “设置” 按钮， 用户可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许

的 ICMP流量。 “设置” 按钮将运行全新的 Windows 防火墙控制面板程序 (可在“网络和 Internet

连接与安全中心”类别中找到)。

新的 Windows 防火墙对话框包含以下选项卡：

?“常规”

?“例外”

?“高级”

四、实验内容及步骤

主要步骤：

1.配置 windows 防火墙的“常规项” ；

2.配置 windows 防火墙的“例外项” ；

3.配置 windows 防火墙的“高级项”

“常规”选项卡

“常规” 选项卡及其默认设置如下图所示。

在“常规” 选项卡上，用户可以选择以下选项：

?“启用(推荐)”

选择这个选项来对 “高级” 选项卡上选择的所有网络连接启用 Windows 防火墙。 Windows 防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在 “异常” 选项卡上进行配置。

?“不允许例外”

单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。 “异常” 选项卡上的设置将被忽略，所有的连接都将受到保护，而不管 “高级” 选项卡上的设置如何。

?“禁用”

选择这个选项来禁用 Windows 防火墙。 不推荐这样做， 特别是对于可通过 Internet 直接访问的网络连接。

注意对于运行 Windows XP SP2 的计算机的所有连接和新创建的连接， Windows 防火墙的默认设置是 “启用(推荐)” 。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这

样的情况下，用户必须识别出那些已不再运作的程序，将它们或它们的流量添加为异常流量。许

多程序，比如 Internet 浏览器和电子邮件客户端(如： Outlook Express )，不依赖未请求的传入流量，因而能够在启用 Windows 防火墙的情况下正确地运作。

如果用户在使用组策略配置运行 Windows XP SP2的计算机的 Windows 防火墙，用户所配置的组策略设置可能不允许进行本地配置。在这样的情况下， “常规” 选项卡和其他选项卡上的选项可能是灰色的，而无法选择，甚至本地管理员也无法进行选择。

基于组策略的 Windows 防火墙设置允许用户配置一个域配置文件(一组将在用户连接到一个包含域控制器的网络时所应用的 Windows 防火墙设置)和标准配置文件(一组将在用户连接到像

Internet 这样没有包含域控制器的网络时所应用的 Windows 防火墙设置)。这些配置对话框仅显示当前所应用的配置文件的 Windows 防火墙设置。要查看当前未应用的配置文件的设置，可使用netsh firewall show 命令。 要更改当前没有被应用的配置文件的设置，可使用 netsh firewall set 命令。

“例外”选项卡设置

“例外”选项卡

“例外” 选项卡及其默认设置如下图所示。

在“例外” 选项卡上，用户可以启用或禁用某个现有的程序或服务，或者维护用于定义异常

流量的程序或服务的列表。当选中 “常规” 选项卡上的 “不允许例外” 选项时，例外流量将被拒绝。

对于 Windows XP(SP2 之前的版本)，用户只能根据传输控制协议( TCP)或用户数据报协议

( UDP)端口来定义异常流量。对于 Windows XP SP2，用户可以根据 TCP和 UDP端口或者程序或服务的文件名来定义异常流量。在程序或服务的 TCP或 UDP端口未知或需要在程序或服务启动时动态确定的情况下，这种配置灵活性使得配置异常流量更加容易。

已有一组预先配置的程序和服务，其中包括： 文件和打印共享

远程助手(默认启用)

远程桌面

UPnP框架

这些预定义的程序和服务不可删除。

如果组策略允许，用户还可以通过单击 “添加程序” ，创建基于指定的程序名称的附加异常流量，以及通过单击 “添加端口” ，创建基于指定的 TCP或 UDP端口的异常流量。

当用户单击 “添加程序” 时，将弹出 “添加程序” 对话框，用户可以在其上选择一个程序或浏览某个程序的文件名。下图显示了一个例子。

当用户单击 “添加端口” 时，将弹出 “添加端口” 对话框本地安全设置运行码，用户可以在其中配置一个 TCP或UDP端口。下图显示了一个例子。

全新的 Windows 防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时，用户有两种选择：

“任何计算机”

允许异常流量来自任何 IP 地址。“仅只是我的网络(子网)”

仅允许异常流量来自如下 IP 地址，即它与接收该流量的网络连接所连接到的本地网段 (子网) 相匹配。例如，如果该网络连接的 IP 地址被配置为 10.64.6.7 ，子网掩码为 255.255.0.0本地安全设置运行码，那么异常流量仅允许来自 10.4.6.1 到 10.4.6.254 范围内的 IP 地址。

当用户希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务，但

是又不希望允许潜在的恶意 Internet 用户进行访问，那么 “仅只是我的网络(子网)” 设定的地址范围很有用。

一旦添加了某个程序或端口，它在 “程序和服务” 列表中就被默认禁用。

在“异常” 选项卡上启用的所有程序或服务对 “高级” 选项卡上选择的所有连接都处于启用状态。

“高级”选项卡设置

“高级”选项卡

“高级” 选项卡如下图所示。

“高级”选项卡包含以下选项：

? 网络连接设置

? 安全日志

? ICMP( Internet 控制报文协议)

? 默 认 设 置“网络连接设置”

在“网络连接设置” 中，用户可以：

?指定要在其上启用 Windows 防火墙的接口集。 要启用 Windows 防火墙， 请选中网络连接名称后面的复选框。要禁用 Windows 防火墙，则清除该复选框。默认情况下，所有网络连接都启用了Windows 防火墙。如果某个网络连接没有出现在这个列表中，那么它就不是一个标准的网络连接。

这样的例子包括 Internet 服务提供商( ISP)提供的自定义拨号程序。

?通过单击网络连接名称，然后单击 “设置” ，配置单独的网络连接的高级配置。

如果清除 “网络连接设置” 中的所有复选框， 那么 Windows 防火墙就不会保护用户的计算机， 而不管用户是否在 “常规” 选项卡上选中了 “启用(推荐)” 。如果用户在 “常规” 选项卡上选中了 “不允许例外” ，那么 “网络连接设置” 中的设置将被忽略，这种情况下所有接口都将受到

保护。

当用户单击 “设置” 时，将弹出 “高级设置” 对话框。

在“高级设置” 对话框上， 用户可以在 “服务” 选项卡中配置特定的服务 (仅根据 TCP或 UDP 端口来配置) ，或者在“ ICMP”选项卡中启用特定类型的 ICMP流量。 这两个选项卡等价于 Windows XP( SP2之前的版本)中的 ICF 配置的设置选项卡。

“安全日志”

在“安全日志” 中，请单击 “设置” ，以便在 “日志设置” 对话框中指定 Windows 防火墙日志的配置，如下图所示。

在“日志设置” 对话框中，用户可以配置是否要记录丢弃的数据包或成功的连接，以及指定日志文件的名称和位置(默认设置为 pfirewall.log )及其最大容量。

“ ICMP”

在“ ICMP”中，请单击 “设置” 以便在 “ ICMP”对话框中指定允许的 ICMP流量类型，如下图所示。

在“ ICMP” 对话框中，用户可以启用和禁用 Windows 防火墙允许在 “高级” 选项卡上选择的所有连接传入的 ICMP消息的类型。 ICMP消息用于诊断、报告错误情况和配置。默认情况下，该

列表中不允许任何 ICMP消息。

诊断连接问题的一个常用步骤是使用 Ping 工具检验用户尝试连接到的计算机地址。在检验

时，用户可以发送一条 ICMP Echo( 回显命令 ) 消息，然后获得一条 ICMP Echo Reply 消息作为响 应。默认情况下， Windows 防火墙不允许传入 ICMPEcho消息，因此该计算机无法发回一条 ICMPEcho Reply 消息作为响应。为了配置 Windows 防火墙允许传入的 ICMP Echo 消息，用户必须启用 “允许传入的 echo 请求” 设置。

“默认设置”

单击“还原默认设置” ，将 Windows 防火墙重设回它的初始安装状态。 当用户单击 “还原默认设置” 时，系统会在 Windows 防火墙设置改变之前提示用户核实自己的决定。