第五單元網(wǎng)絡(luò)安全主要內(nèi)容任務2防火墻任務2防火墻奇威公司張經(jīng)理有臺存放重要資料的電腦，由于工作需要，這臺電腦需要連接互聯(lián)網(wǎng)，給指定的用戶發(fā)送材料，張經(jīng)理擔心外部非法人員通過網(wǎng)絡(luò)入侵這臺電腦，訪問和盜取資料，故找到小衛(wèi)幫忙進行系統(tǒng)安全防護設(shè)置。小衛(wèi)決定啟用系統(tǒng)自帶防火墻，配置好策略，控制此電腦連接網(wǎng)絡(luò)的程序。【任務情境】任務2防火墻1、什么是防火墻防火墻是一個架設(shè)在互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間的信息安全系統(tǒng)，根據(jù)企業(yè)預定的訪問控制策略來監(jiān)控往來的訪問。防火墻可能是一臺專屬的網(wǎng)絡(luò)設(shè)備或是運行于主機上運行的軟件用來檢查各個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)傳輸。它是當前最重要的一種網(wǎng)絡(luò)防護設(shè)備，從專業(yè)角度來說，防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實行網(wǎng)絡(luò)間訪問或控制的一組組件集合之硬件或軟件。【知識準備】任務2防火墻【知識準備】圖5-9部署在內(nèi)網(wǎng)和外網(wǎng)間的防火墻任務2防火墻2、防火墻的分類第一種：軟件防火墻軟件防火墻運行于計算機系統(tǒng)上的應用軟件，像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用，通過對防火墻的訪問控制策略設(shè)置，可以實現(xiàn)對這臺計算機的訪問進行安全控制，從而保證該計算機的安全。軟件防火墻一般用在個人計算機。如WindowsDefender防火墻（前稱：網(wǎng)絡(luò)連線防火墻、Windows防火墻）是微軟Windows的組件，提供一般防火墻的功能。在WindowsXP于2001年10月販售初期，它內(nèi)置有一個功能有限的防火墻。在初期為了能讓系統(tǒng)向下兼容，這個防火墻默認是被停用的，同時其設(shè)置窗口更是默認隱藏的，因此絕大部分用戶也未曾見過它。直到2003年中旬，沖擊波蠕蟲及震蕩波蠕蟲為窗口用戶組帶來了很大的影響；為了讓窗口用戶能更有效預防這種攻擊，微軟開始加強這個內(nèi)置的防火墻，并把它命名為Windows防火墻。【知識準備】任務2防火墻第二種：硬件防火墻硬件防火墻是由軟件和硬件組成的系統(tǒng)設(shè)備，目前的硬件防火墻通常采用的是X86架構(gòu)的硬件設(shè)備，在硬件設(shè)備上一般都安裝Linux操作系統(tǒng)和防火墻軟件，通過對防火墻安全策略設(shè)置，實現(xiàn)網(wǎng)絡(luò)間訪問控制、對數(shù)據(jù)流進行過濾等安全防護。 傳統(tǒng)硬件防火墻一般至少應具備三個區(qū)域的接口，LAN口連接內(nèi)部網(wǎng)絡(luò)，WLAN口連接互聯(lián)網(wǎng)（或其他外部網(wǎng)絡(luò)）、DMZ口連接DMZ區(qū)（改區(qū)域即可被外網(wǎng)訪問、又可被內(nèi)部網(wǎng)絡(luò)訪問），以上三個接口只是邏輯上的劃分，以天融信公司的其中一款硬件防火墻為例，4個網(wǎng)絡(luò)接口可以任意劃分為LAN口、WAN口、DMZ口。【知識準備】圖5-10天融信公司的硬件防火墻任務2防火墻防火墻已經(jīng)成為網(wǎng)絡(luò)安全必備重要安全技術(shù)手段，防火墻根據(jù)上述介紹可以分為硬件和軟件兩種形式，本次任務以Win7系統(tǒng)自帶的防火墻軟件為例，Win7系統(tǒng)自帶防火墻支持用戶根據(jù)不同使用環(huán)境自定義安全規(guī)則，也支持詳細的軟件個性化設(shè)置，還支持還原默認設(shè)置等，功能強大，簡單易用。接下來，小衛(wèi)和大家一起學習如何配置、使用Win7系統(tǒng)自帶防火墻。【任務實施】任務2防火墻步驟1：點擊開始運行，在運行窗口中輸入firewall.cpl命令，打開Windows默認防火墻窗口，如圖所示：【任務實施】圖5-11打開防火墻任務2防火墻步驟2：點擊打開或關(guān)閉Windows防火墻，在這里可以設(shè)置啟動或關(guān)閉防火墻。如下圖所示：【任務實施】圖5-12打開防火墻功能任務2防火墻步驟3：點擊高級設(shè)置，在這里可以對防火墻進行規(guī)則設(shè)置，如下圖所示：【任務實施】圖5-13選擇設(shè)置防火墻策略任務2防火墻步驟4：設(shè)置訪問入站規(guī)則，如下圖所示。【任務實施】圖5-14設(shè)置入站規(guī)則任務2防火墻步驟5：入站規(guī)則簡而言之就是外部訪問你的電腦的規(guī)則。這里我們在右側(cè)點擊新建規(guī)則，如下圖所示：【任務實施】圖5-15創(chuàng)建入站規(guī)則任務2防火墻【任務實施】圖5-16創(chuàng)建入站規(guī)則任務2防火墻步驟6：這里我們可以按需求創(chuàng)建程序、端口、預定義、和自定義等不同規(guī)則類型。這里我們以限制3389端口為例創(chuàng)建入站規(guī)則。點擊端口下一步，如下圖所示：【任務實施】圖5-17創(chuàng)建入站規(guī)則任務2防火墻步驟7：首先，我們知道3389端口是Windows系統(tǒng)自帶的默認遠程連接端口，利用的是TCP協(xié)議。因此，我們選擇該規(guī)則應用于TCP協(xié)議及特定本地端口，如下圖所示：【任務實施】圖5-18設(shè)置端口任務2防火墻步驟8：點擊下一步，這里我們可以選擇允許連接或阻斷連接，這里根據(jù)自己的情況來設(shè)置。如下圖所示。【任務實施】圖5-19選擇規(guī)則應用任務2防火墻步驟9：根據(jù)自己的情況可以填寫相應的名稱和描述。點擊完成。【任務實施】圖5-20輸入規(guī)則名稱并完成任務2防火墻【任務實施】提示：出站規(guī)則就是你的電腦訪問外部的規(guī)則，設(shè)置方式與入站規(guī)則一致。需要注意的就是限制的出入方向。比如，入站規(guī)則限制了3389端口的訪問，代表著外部網(wǎng)絡(luò)無法通過3389端口訪問你的電腦，但通過你的電腦還是可以訪問外部的3389端口。反之同理。只有入站規(guī)則和出站規(guī)則同時設(shè)置禁止3389端口訪問，這時才完全禁止3389端口。任務2防火墻【拓展與提高】Windows7的防火墻為操作系統(tǒng)安全提供了強大的保障，但也并非面面俱到，它對兩種威脅無能為力：電子郵件病毒和網(wǎng)絡(luò)釣魚。電子郵件病毒和網(wǎng)絡(luò)釣魚。電子郵件病毒隨附于電子郵件，防火墻無法確定電子郵件的內(nèi)容，因此它無法保護用戶用戶免受這類病毒的侵害；網(wǎng)絡(luò)釣魚是一種技術(shù)，用于欺騙計算機用戶