防火牆如何配置和使用

❶ 防火牆如何配置規則

1、打開控制面板，點擊「系統和安全」。

❷ 怎樣使用防火牆

網上鄰居——》右鍵屬性－》本地連接－》右鍵屬性－》高級選項卡－》windows防火牆設置

❸ 硬體防火牆如何配置

一般來說，硬體防火牆的例行檢查主要針對以下內容：
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密，一旦硬體防火牆投入到實際使用環境中，情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著，配置參數也會時常有所改變。作為網路安全管理人員，最好能夠編寫一套修改防火牆配置和規則的安全策略，並嚴格實施。所涉及的硬體防火牆配置，最好能詳細到類似哪些流量被允許，哪些服務要用到代理這樣的細節。
在安全策略中，要寫明修改硬體防火牆配置的步驟，如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體做修改，另一人負責記錄，第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化，並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下，磁碟佔用量的異常增長很可能表明日誌清除過程存在問題，這種情況相對來說還好處理一些。在不保留日誌的情況下，如果磁碟佔用量異常增長，則說明硬體防火牆有可能是被人安裝了Rootkit工具，已經被人攻破。
因此，網路安全管理人員首先需要了解在正常情況下，防火牆的磁碟佔用情況，並以此為依據，設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線，就意味著系統遇到了安全或其他方面的問題，需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似，CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員，必須了解硬體防火牆系統CPU負載的正常值是多少，過低的負載值不一定表示一切正常，但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下，都有一組精靈程序（Daemon），比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行，如果發現某些精靈程序沒有運行，則需要進一步檢查是什麼原因導致這些精靈程序不運行，還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況：管理人員有目的、有計劃地進行的修改，比如計劃中的系統升級所造成的修改；管理人員偶爾對系統文件進行的修改；攻擊者對文件的修改。
經常性地檢查系統文件，並查對系統文件修改記錄，可及時發現防火牆所遭到的攻擊。此外，還應該強調一下，最好在硬體防火牆配置策略的修改中，包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息，是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大，所以，檢查異常日誌通常應該是一個自動進行的過程。當然，什麼樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件並進行記錄，硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患，但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要，管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否，甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊，以考核硬體防火牆的能力。

❹ 如何配置防火牆

1、nameif

設置介面名稱，並指定安全級別，安全級別取值范圍為1～100，數字越大安全級別越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工作在自適應狀態。

100full：設置網卡工作在100Mbit/s，全雙工狀態。

shutdown：設置網卡介面關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置網路介面的IP地址
4、global

指定公網地址范圍：定義地址池。

Global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網介面名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網路掩碼。
5、nat

地址轉換命令，將內網的私有ip轉換為外網公網ip。
6、route

route命令定義靜態路由。

語法：

route(if_name)00gateway_ip[metric]
7、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL

訪問控制列表的命令與couit命令類似
10、偵聽命令fixup

作用是啟用或禁止一個服務或協議，

通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet

當從外部介面要telnet到PIX防火牆時，telnet數據流需要用vpn隧道ipsec提供保護或

在PIX上配置SSH，然後用SSHclient從外部到PIX防火牆。
12、顯示命令：

showinterface；查看埠狀態。

showstatic；查看靜態地址映射。

showip；查看介面ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數據包。

showmem；顯示內存

13、DHCP服務

PIX具有DHCP服務功能。

❺ 如何配置防火牆

點擊電腦上的開始按鈕

然後選擇 控制面板 需找防火牆設置選向

然後點擊防火牆 進入防火牆設置頁面

點擊可以設置防火牆的 開啟 關閉

點擊例外 可以對其設置

點擊高級 也可以設置

❻ 防火牆如何設置

防火牆有軟體的也有硬體的，當然了，其實硬體仍然是按照軟體的邏輯進行工作的，所以也並非所有的硬防就一定比軟防好，防火牆的作用是用來檢查網路或Internet的交互信息，並根據一定的規則設置阻止或許可這些信息包通過，從而實現保護計算機的目的，

Windows 7防火牆的常規設置方法還算比較簡單，依次打開「計算機」——「控制面板」——「Windows防火牆」，

上圖中，啟用的是工作網路，家庭網路和工作網路同屬於私有網路，或者叫專用網路，圖下面還有個公用網路，實際上Windows 7已經支持對不同網路類型進行獨立配置，而不會互相影響，這是windows 7的一個改進點。圖2中除了右側是兩個幫助連接，全部設置都在左側，如果需要設置網路連接，可以點擊左側下面的網路和共享中心，另外如果對家庭網路、工作網路和公用網路有疑問也可參考一下。

下面來看一下Windows 7防火牆的幾個常規設置方法：

一、打開和關閉Windows防火牆

點擊圖2左側的打開和關閉Windows防火牆（另外點擊更改通知設置也會到這個界面），

可以看出，私有網路和公用網路的配置是完全分開的，在啟用Windows防火牆里還有兩個選項：

1、「阻止所有傳入連接，包括位於允許程序列表中的程序」，這個默認即可，否則可能會影響允許程序列表裡的一些程序使用。

2、「Windows防火牆阻止新程序時通知我」這一項對於個人日常使用肯定需要選中的，方便自己隨時作出判斷響應。

如果需要關閉，只需要選擇對應網路類型里的「關閉Windows防火牆（不推薦）」這一項，然後點擊確定即可。

二、還原默認設置

如果自己的防火牆配置的有點混亂，可以使用圖2左側的「還原默認設置」一項，還原時，Windows 7會刪除所有的網路防火牆配置項目，恢復到初始狀態，比如，如果關閉了防火牆則會自動開啟，如果設置了允許程序列表，則會全部刪除掉添加的規則。

三、允許程序規則配置

點擊圖2中上側的「允許程序或功能通過Windows防火牆」，

大家看到這個配置圖會很熟悉，就是設置允許程序列表或基本服務，跟早期的Windows XP很類似，不過還是有些功能變化：

1、常規配置沒有埠配置，所以也不再需要手動指定埠TCP、UDP協議了，因為對於很多用戶根本不知道這兩個東西是什麼，這些配置都已轉到高級配置里，對於普通用戶一般只是用到增加應用程序許可規則。

2、應用程序的許可規則可以區分網路類型，並支持獨立配置，互不影響，這對於雙網卡的用戶就很有作用。

不過，我們在第一次設置時可能需要點一下右側的更改設置按鈕後才可操作（要管理員許可權）。比如，上文選擇了，允許文件和列印機共享，並且只對家庭或工作網路有效（見圖右側）。如果需要了解某個功能的具體內容，可以在點選該項之後，點擊下面的詳細信息即可查看。

如果是添加自己的應用程序許可規則，可以通過下面的「允許允許另一程序」按鈕進行添加，方法跟早期防火牆設置類似，

選擇將要添加的程序名稱（如果列表裡沒有就點擊「瀏覽」按鈕找到該應用程序，再點擊」打開「），下面的網路位置類型還是私有網路和公用網路兩個選項，不用管，我們可以回到上一界面再設置修改，添加後

添加後如果需要刪除（比如原程序已經卸載了等），則只需要在上圖中點選對應的程序項，再點擊下面的「刪除」按鈕即可，當然系統的服務項目是無法刪除的，只能禁用。

❼ 如何設置使用looknstop防火牆

四步簡單配置，look'n'stop防火牆就是中文的，完全可控的，方便的，簡單的

看到這么多人對這個look'n'stop防火牆感興趣，我就再仔細說說，其實即使沒有多少電腦基礎的朋友，同樣可以使用這個look'n'stop防火牆的。不相信你就跟我來試試吧。很簡單的。相信你能夠培植成功。所有的步驟都經過我的實際測試保證可以成功的。
只要下載本blog里look'n'stop防火牆的安裝包就可以使用並配置成中文版本的簡單方法
第一步，下載本blog里的look'n'stop防火牆安裝包。同時帶規則包、注冊機、使用說明文件。從http://cdxueq.itpub.net/resource/1025/8348下載這個完全安裝包
第二步 Look』n』Stop 選擇簡體中文界面的步驟：

1、將中文包里的兩個文件（chinese.lng及語言插件）全部復制到Look』n』Stop的安裝目錄下（默認是C:Program FilesSoft4Everlooknstop）
2、打開 Look』n』Stop （如有提示不必理會，選擇「否」）；
1）點擊「Options」頁面的「Advanced Options」按鈕；
2）點擊「Plugins」按鈕；
3）在「Avilable_plugins」框中打勾plugin_language.dll；
4）點擊「Configure」按鈕
5）選中「簡體中文」，確定。
3、退出Look』n』Stop界面，再打開就可以使用中文了。
如果沒有生效，先關掉防火牆，再啟動一次就可以看見變成中文版本界面了。
第三步 注冊的方法：
打開防火牆，點出「注冊」將「代碼」里的那串數字復制到注冊機里，點生成，將生成的新串復制粘貼回「序列號」那裡，點「驗證」。出現驗證變灰，就是成功啦。
如果沒有生效，先關掉防火牆，再啟動一次就可以看見那個「驗證」按紐邊會了。
第四步 最簡單配置網路的方法：
1、點防火牆的「選項」 去掉「網路介面」下面的「自動選擇」里的鉤，再選擇上面帶的「WAN」的選項。這樣可以解決ADSL方式上網不能登陸網頁的問題。
2、在「網際網路過濾」選項中，載入「規則包」自帶的規則「EndhanceRuleSet」（增強規則設置），一定要用這增強包，不要用那個標准包。還有就是記得以後對某一軟體訪問網路許可權的設置或修改都在這個「網際網路過濾」選項中哦。其實到此基本就可以了，你需要做的就是當以後某一軟體或服務啟動並試圖訪問網路時防火牆會自動捕獲該網路連接請求，並且在第一次提示您是否允許它連接或訪問網路，你點允許或則禁止就可以了。如果要把一個已經禁止的服務改為允許，只需要在這個「網際網路過濾」選項中對應的服務（有名字和路徑的），找到去掉，或點成綠色的就可以了。夠簡單了吧。呵呵
以上兩項是關鍵，需要特別注意哦！

還有一個特別需要注意的地方：
注意你需要把你想監控的軟體的安裝目錄全部設置為英文的目錄，LOOK N STOP 無法識別中文目錄，如果是中文目錄，則需要重新安裝一次到英文目錄即可解決問題。 不需要監控的軟體不需要。

實戰：LooknStop防火牆的規則設置
1.概述
LooknStop作為一款強大的防火牆，其採用的原型是非常嚴格的，首先，
LooknStop先禁止所有本地和遠程的網路訪問操作，然後才逐項允許，在初始時
不信任任何程序和網路操作，正是因為這過於嚴厲的策略原型，LooknStop才能
成為一堵樹立在系統和網路之間的「牆」，而也正是因為這樣的模型，
LooknStop也造成了一部分用戶安裝完畢後無法連接網路的問題——它把所有數
據包都攔截了。所以我們首先要解決的就是大部分用戶面對LooknStop時吃的第
一個下馬威：無法連接網路。
LooknStop的主界面並不難理解，從左到右分別為「歡迎」、「應用程序過濾」
、「互聯網過濾」、「日誌」、「選項」和「注冊」，歡迎界面主要用於顯示一
些概要信息如連接狀態、IP地址、數據包情況等。
我們先解決第一個燃眉之急：如果你不幸成為安裝LooknStop後無法成功進行
ADSL撥號的用戶，請先進入「互聯網過濾」界面，然後雙擊最後一條規則「All
other packets」，它就是罪魁禍首，選擇「乙太網類型」為IP，保存應用即可
。
這一故障是LooknStop默認的嚴格規則造成的，它把所有未在規則里定義的數據
包都過濾了，於是計算機向遠程MODEM設備發送的PPPoE協議包全部被扼殺在了系
統的門口裡……由此可見，與某些防火牆比起來，LooknStop是多麼的嚴格！
解決這個問題後，我們回到正題。
2.基於界面的設置
既然LooknStop的規則如此嚴格，我們也遵循它的規則，嚴格依照從左到右的順
序講解吧：P（老勇不許扔雞蛋！）
首先是「歡迎」界面，這里是作為快捷數據統計而設的，用戶可以在這個界面看
到基本的數據流量情況以及網路信息，如果網路已經連通，LooknStop會報告你
的計算機IP地址，如果這里為0.0.0.0，則說明沒有連接網路或者LooknStop沒能
檢測出活動的連接，用戶必須自己到「選項」的「網路介面」裏手工選擇一個作
為LooknStop的監控對象。
其次，是眾多軟體防火牆都會提供的「應用程序過濾」功能，LooknStop「不信
任任何人」的思想在這里又一次得到了發揮，每個程序第一次啟動的時候都會被
攔截詢問，用戶允許通過的程序都在裡面列舉出來，並且在左邊出現一個活動列
表，可是即使這樣，LooknStop仍然為每個程序列表設置了四個不同性質的可以
隨時中斷該程序訪問的按鈕，分別為「過濾激活」、「過濾類型」、「進程調用
」、「連接記錄」。
在「過濾激活」里可以選擇兩種狀態，分別為「啟用」和「禁止」，用於告訴防
火牆是否允許該應用程序按照後面的規則運行，如果狀態為「禁止」，則後面設
置的獨立應用程序規則不起作用，但是這並不意味著程序能擺脫防火牆的限制—
—每次這個程序訪問網路的時候，防火牆都會再次詢問你是否允許這個程序訪問
網路。
「過濾類型」里提供了3種類型選擇，分別為「允許」、「自定義」和「禁止」
，如果用戶沒有為這個程序設置特殊規則，則只會在「允許」和「禁止」兩種類
型之間選擇，否則為三種。直接雙擊程序名字就可以設置「過濾類型」，裡面分
別提供了TCP和UDP協議的埠和IP設置，LooknStop強大的靈活設置性能再次體
現了出來：單獨輸入IP或埠，則規定這個程序只能訪問用戶指定的IP或埠，
多個埠之間用分號「;」分隔，IP同上。
看到這里，一些用戶可能會想，是不是只能設置允許訪問的地址呀？其實不然，
LooknStop的強大之處正是在於它能通過盡量少的對話框完成盡量多的操作——
要設置程序禁止訪問的IP，只需要在同樣的設置對話框里設定IP或埠時在前面
加一個感嘆號「!」即可，可以說，LooknStop把「簡潔就是美」的信奉發揮到了
極致！
現在讓我們來看看「進程調用」，首先我要簡單介紹一下「進程調用」的概念，
有時候，一個程序要訪問網路並不是通過它自身實現的，而是調用了外置的DLL
函數，這樣的話，最終訪問網路的程序就是那個DLL文件而不是程序本身，許多
防火牆都認為，通過程序宿主進程啟動進而訪問網路的模塊也是符合條件的，因
此不會做任何阻攔，但是LooknStop仍然不信任任何模塊，它會忠實的報告並控
制每個子進程DLL的網路連接並提示用戶，在如今這個「代碼插上翅膀」（線程
注射）越來越猖獗的年代裡，這樣的限制是十分有必要的，很多防火牆正因為過
於信任程序調用的進程模塊，導致一些DLL類型的木馬得以搭載順風車，給用戶
的系統安全帶來威脅。針對這種情況，LooknStop提供了「進程調用」的控制功
能，分別為「允許」（雙箭頭標志）和「禁止」（紅色停止標志），一旦某個程
序的「進程調用」被設置為禁止，該程序就只能通過自身訪問網路了，所有通過
它調用的模塊都無法突破限制，這個設置對一些經常被後門搭順風車的系統程序
是很有用的，設置禁止後，我們就不用再怕灰鴿子之流通過IEXPLORE.EXE、
Svchost.exe等程序突破傳統意義的防火牆連接了。
最後，是一個標示為感嘆號的設置項，它代表「連接記錄」：灰色的點表示不記
錄，兩個感嘆號表示記錄該程序的所有連接，而單獨一個感嘆號則是與「過濾激
活」配合使用的，如果你把一個程序的「過濾激活」設置為「禁止」，以後這個
程序再次請求訪問網路的時候就會被LooknStop記錄下來，如果一個奇怪的程序
頻頻要求連接網路，那麼它是木馬的可能性將會很大！
從「應用程序過濾」這一部分就可以看出，LooknStop對程序的控制非常靈活和
精巧，僅使用一個界面和一個對話框就能完成對4種程序控制方式，包括多達10
個屬性36種不同組合的控制能力，其對程序的控制能力可見一斑。
那麼，LooknStop對網路協議的控制功能又如何呢？讓我們進入「互聯網過濾」
，這里正是用戶噩夢開始的地方。
這里同樣是簡潔而復雜的界面，簡潔在於按鈕的稀少，復雜在於太多列表控制的
項目，一眼看去，幾乎能讓人摸不到頭腦，但是這里正是所有防火牆思維的起點
：防火牆規則集合。
從左到右依次為「啟用規則」、「規則模式」、「匹配時記錄」、「匹配規則後
是否執行後續規則」、「匹配規則時聲音或警報提示」。
「啟用規則」里提供了3種類型選擇，分別為「默認方式啟用規則」、「自定義
方式啟用規則」和「不啟用規則」，如果用戶沒有設置自定義規則，則只能在「
默認方式啟用規則」和「不啟用規則」之間切換。
「自定義方式啟用規則」取決於規則里定義的「應用程序」項目，表示該規則只
對特定的應用程序起作用，當符合條件的程序啟動後，這個暗紅色帶綠勾標志變
為綠色帶紅勾標志，代表程序已經啟動並處於防火牆規則控制之下。
「規則模式」允許兩種選擇：「攔截」和「允許」，LooknStop通過這里的標識
決定符合該規則的程序是該允許訪問網路還是被阻止訪問網路，與其它防火牆產
品對比，這樣的設置方法是非常方便的，用戶不需要重新進入規則設置便能直接
修改規則行為。
「匹配時記錄」提供了兩個選項，「記錄」和「不記錄」，顧名思義，當一個滿
足規則設定的操作發生時，防火牆會根據這里的設置決定是否在日誌里記錄下這
次操作信息。
「匹配規則後是否執行後續規則」是一個非常重要的規則行為標志，它提供兩種
選擇，分別為「不匹配下一規則」和「匹配下一規則」，前面說過LooknStop的
思想是阻止所有連接，而這里的規則設定就是其思想的具體實施方案，為了讓程
序能正常連接網路，同時也為了提高自身的執行效率，LooknStop提出了這個選
項，它決定當一個符合防火牆設定的規則被執行後，是否要繼續匹配下一條相同
性質的規則，在這里我們可以方便的設置一些復雜的規則，例如我們需要增加一
條允許本機打開80埠的規則，但是又不想為此開放所有低埠連接，那麼就可
以添加一條允許80埠的規則，並設置其「後續規則」為「不匹配」，那麼就可
以在保留原規則不變的同時增加本機開放80埠的功能了。
「匹配規則時聲音或警報提示」有3種類型選擇，分別為「聲音報警」、「可視
報警」和「不報警」，這個選項要與選項里的「聲音」和「消息框」配合使用，
第一種表示規則匹配時發出聲音報警，第二種表示規則匹配時彈出消息框並同時
發出聲音報警，如果你覺得噪音擾民，可以設置為最後一種，還你一個安靜的環
境。

3.防火牆的靈魂——規則設置
任何防火牆都在各種規則的引導下運行，LooknStop也不會例外，而其恰恰正是
因為規則難以配置而「聞名」的，要真正馴服這個強悍的小傢伙，就必須理解並
解決規則設置，在「互聯網過濾」界面里點擊「添加」，會彈出一個略顯復雜的
對話框出來。相對於大部分國內防火牆產品而言，LooknStop提供的可供設置的
數據類型和模式多了不少，如果用戶對各種協議的概念不是很了解，在面對這部
分的時候就會很頭痛了，LooknStop在這個設置對話框里提供了8大類設置，分別
為「規則名稱」、「方向」、「規則說明」、「乙太網」、「IP」、「TCP標識
」、「來源」和「目標」。
「規則名稱」很容易理解，用戶就是在這里設置特定規則名稱的，「規則說明」
則是為了描述這條規則的功能和用途，除了這兩個選項不需要特別講解以外，其
他部分請仔細聽好！
在開始動手之前，必須先了解一件LooknStop特有的事情，這款防火牆在編輯規
則時是中性的，我們不能從這個界面里設置某條規則是給予通行還是攔截，一旦
你保存這條規則，LooknStop則默認了此規則是「允許通行」的，要設置為「攔
截」的話必須在保存後自行到主界面上相應的「規則模式」里設置為「攔截」。
其次，LooknStop的信任關系是基於IP地址和MAC地址雙重檢測的，這是一種理想
的信任關系模式，IP地址和MAC地址分別都是可以欺騙的，但是如果IP和MAC結合
起來，就很難實施欺騙了，而且也正是這種信任模式，它的規則設置才容易讓人
迷惑，其實只要理解了其思想，對這款防火牆的規則設置就不復雜了。
明白這兩個基本概念後，我們正式開始吧。
首先是「乙太網:類型」區，這部分到底表達了什麼，筆者最初也是頭痛了很久
，經過多次試驗後終於發現，這里其實是讓防火牆知道你的機器環境是在區域網
內還是互聯網中的獨立機器，或者說，控制某條規則是適合在區域網中使用還是
在單機環境中使用。
這個區域里提供了4種選擇，分別是「全部」、「IP」、「ARP」和「其它」，「
全部」表示包含後面三種類型的協議，一般很少用到，除非你的機器所處的網路
環境非常復雜，有多種系統一起運作，否則只需要選擇「IP」類型即可，這是一
種最兼容最常用的類型。
「ARP」類型只能在區域網內使用，也就是專為區域網環境設定的，由於它涉及
MAC地址，故脫離了區域網環境就無效了，除非你是在區域網內使用機器，否則
不要選擇這個類型。
其次是「IP」區，這里又分為3個小區，最左邊的「協議」用於為當前規則指定
協議，LooknStop提供了9種選擇，除了「全部」以外，幾乎包含了各種常見協議
類型，一般只需要設置TCP、UDP或ICMP其中之一即可，雖然曾經有過IGMP Nuke
，可是現在也基本上沒有人用Windows 98作為工作環境了吧，所以連IGMP防禦都
可以免了……
右側的「碎片偏移」和「碎片標志」分別用於更詳細的檢測過濾IP頭部的偏移位
和標志位，可以用於防止特定標志位的碎片數據報攻擊，不過對於普通用戶來說
，我們並不需要特別指定這里的內容，一般選擇「全部」即可。
然後到「TCP標識」區，這里其實不是只有一個功能設定的，它還可以變為
「ICMP」區或「IGMP」區，視前一個「IP」區的協議類型而定，用戶只有選擇了
TCP協議以後才能進入TCP標識里設置要具體控制的TCP標志位，裡面一共有URG、
ACK、PSH、RST、SYN和FIN這6種標志位供用戶選擇，主要針對一些有特殊TCP要
求的用戶，例如某台機器被用作Internet網關時，如果想阻止區域網內的某台機
器通過TCP協議連接某個外部埠，則可把TCP標志位設置為ACK，阻止遠程連接
傳回的應答請求，該連接自然就無法成功建立，最終達到攔截的目的。
現在到「來源」區，許多人覺得LooknStop難以配置，除了「乙太網類型」難以
理解以外，最容易混淆的就是「來源」區和旁邊的「目標」區，要成功配置
LooknStop，首先要弄清楚一件事情：在LooknStop的規則設置里，「來源」完全
表示本地，「目標」則表示遠程，而不管實際的連接請求或者數據包方向是從哪
里發出的。所有與本機網路有關的設置如開放本地某個埠、允許或阻止本地網
絡的某個IP，都是在「來源」里設置的，這里通常是和「目標」區搭配使用的，
例如配置開放本機的80埠，那麼就不應該去管「目標」區的任何設置，除非你
要限制對方IP范圍或埠范圍那就另當別論。要開放本機80埠，首先應該在「
來源」區的「IP:地址」里選擇「等於本機在」，「TCP/UDP:埠」里選擇「等
於」，下面的第一個選項里輸入埠80，第二個選項置空即可。如果要開放一段
連續的埠，則在第二個選項里填入另一個數字，然後把「全部」改為「在A:B
范圍內」即可，需要提醒一點，普通的開放本機埠操作在「目標」區里不用填
寫任何東西！其他更多的選項可以根據這個舉一反三。
最後是「目標」區，這里和「來源」區相反，它表示遠程主機連接的參數，無論
你在「方向」里選了什麼，這個地方出現的都必須是遠程機器的數據，永遠不要
出現你的本地數據！
「目標」區主要是作為限制本機對遠程訪問數據而設置的，例如阻止本機程序訪
問任何外部地址的8000埠，則在「目標」區里設置「IP:地址」為「全部」，
「TCP/UDP:埠」為「8000」即可，而「來源」區里完全不用設置任何東西。
在上面幾個大區之外，還有個名為「應用程序」的按鈕，這里用於設置特定的程
序規則，其中可供選擇的程序在右邊列出的已經被記錄訪問過網路的程序列表中
選擇添加，以後此條規則就專門針對這個列表裡的程序使用了，LooknStop這種
思想大大增加了應用程序訪問規則的靈活性。

4. 監視的窗口——防火牆日誌
這里是LooknStop的數據顯示窗口，如果你在規則里設置了日誌記錄，這里就會
報告出來，顯示當前阻止和允許的連接數量和內容，還可以直接雙擊列表直接查
看詳細的數據類型，甚至完整的數據內容，在這一點上，LooknStop甚至可以替
代Sniffer成為網路抓包工具！

❽ 防火牆該如何設置

防火牆的設置具體步驟如下：以win8為例；

1、在開始界面下點擊【桌面】或【Win+D】快捷鍵或單獨按【Win】顯示桌面。

❾ 防火牆怎麼配置

在使用防火牆之前，需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例，說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸，我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC，使用串口連接工具即可。從串口登陸到防火牆之後，可以配置用戶，密碼，登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口，一般默認配置了IP，如192.168.0.1/24。我們在對端PC上配置同網段的IP，如192.168.0.10/24，我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後，默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖，interface GigabitEthernet 0/0/0進入介面視圖，diagnose進入診斷視圖，security-policy進入安全策略視圖，firewall zone trust進入trust安全區域視圖，aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務：
telnet server enable
3. ftp配置
在aaa里配置：
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務：
ftp server enable
4. SFTP配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務：
sftp server enable
配置Password認證方式 ：
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c：
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3：
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務：
web-manager enable
配置完Web之後，其他配置就可以登陸到Web頁面進行可視化配置了。

❿ 防火牆要怎麼設置

目前已經發布的windows xp service pack 2(sp2)包括了windows防火牆，即以前所稱的internet連接防火牆(icf)。windows防火牆是一個基於主機的狀態防火牆，它丟棄所有未請求的傳入流量，即那些既沒有對應於為響應計算機的某個請求而發送的流量(請求的流量)，也沒有對應於已指定為允許的未請求的流量(異常流量)。windows防火牆提供某種程度的保護，避免那些依賴未請求的傳入流量來攻擊網路上的計算機的惡意用戶和程序。

在windows xp sp2中，windows防火牆有了許多新增特性，其中包括:

默認對計算機的所有連接啟用、應用於所有連接的全新的全局配置選項、用於全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網路限制、異常流量可以通過應用程序文件名指定對internet協議第6版(ipv6)的內建支持

採用netsh和組策略的新增配置選項

本文將詳細描述用於手動配置全新的windows防火牆的對話框集。與windows xp(sp2之前的版本)中的icf不同，這些配置對話框可同時配置ipv4和ipv6流量。

windows xp(sp2之前的版本)中的icf設置包含單個復選框(在連接屬性的「高級」選項卡上「通過限制或阻止來自internet對此計算機的訪問來保護我的計算機和網路」復選框)和一個「設置」按鈕，您可以使用該按鈕來配置流量、日誌設置和允許的icmp流量。

在windows xp sp2中，連接屬性的「高級」選項卡上的復選框被替換成了一個「設置」按鈕，您可以使用該按鈕來配置常規設置、程序和服務的許可權、指定於連接的設置、日誌設置和允許的icmp流量。

「設置」按鈕將運行全新的windows防火牆控制面板程序(可在「網路和internet連接與安全中心」類別中找到)。

新的windows防火牆對話框包含以下選項卡:

「常規」 「異常」 「高級」 「常規」選項卡

在「常規」選項卡上，您可以選擇以下選項:

「啟用(推薦)」

選擇這個選項來對「高級」選項卡上選擇的所有網路連接啟用windows防火牆。

windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在「異常」選項卡上進行配置。

「不允許異常流量」

單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。「異常」選項卡上的設置將被忽略，所有的連接都將受到保護，而不管「高級」選項卡上的設置如何。

「禁用」

選擇這個選項來禁用windows防火牆。不推薦這樣做，特別是對於可通過internet直接訪問的網路連接。

注意對於運行windows xp sp2的計算機的所有連接和新創建的連接，windows防火牆的默認設置是「啟用(推薦)」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下，您必須識別出那些已不再運作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶端(如:outlook express)，不依賴未請求的傳入流量，因而能夠在啟用windows防火牆的情況下正確地運作。

如果您在使用組策略配置運行windows xp sp2的計算機的windows防火牆，您所配置的組策略設置可能不允許進行本地配置。在這樣的情況下，「常規」選項卡和其他選項卡上的選項可能是灰色的，而無法選擇，甚至本地管理員也無法進行選擇。

基於組策略的windows防火牆設置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網路時所應用的windows防火牆設置)和標准配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網路時所應用的windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的windows防火牆設置。要查看當前未應用的配置文件的設置，可使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置，可使用netsh firewall set命令。

「異常」選項卡

在「異常」選項卡上，您可以啟用或禁用某個現有的程序或服務，或者維護用於定義異常流量的程序或服務的列表。當選中「常規」選項卡上的「不允許異常流量」選項時，異常流量將被拒絕。

對於windows xp(sp2之前的版本)，您只能根據傳輸控制協議(tcp)或用戶數據報協議(udp)埠來定義異常流量。對於windows xp sp2，您可以根據tcp和udp埠或者程序或服務的文件名來定義異常流量。在程序或服務的tcp或udp埠未知或需要在程序或服務啟動時動態確定的情況下，這種配置靈活性使得配置異常流量更加容易。

已有一組預先配置的程序和服務，其中包括:

文件和列印共享、遠程助手(默認啟用)、遠程桌面、upnp框架，這些預定義的程序和服務不可刪除。

如果組策略允許，您還可以通過單擊「添加程序」，創建基於指定的程序名稱的附加異常流量，以及通過單擊「添加埠」，創建基於指定的tcp或udp埠的異常流量。

當您單擊「添加程序」時，將彈出「添加程序」對話框，您可以在其上選擇一個程序或瀏覽某個程序的文件名。

當您單擊「添加埠」時，將彈出「添加埠」對話框，您可以在其中配置一個tcp或udp埠。

全新的windows防火牆的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發起異常流量的網段。在定義程序或埠的范圍時，您有兩種選擇:
「任何計算機」

允許異常流量來自任何ip地址。

「僅只是我的網路(子網)」

僅允許異常流量來自如下ip地址，即它與接收該流量的網路連接所連接到的本地網段(子網)相匹配。例如，如果該網路連接的ip地址被配置為 192.168.0.99，子網掩碼為255.255.0.0，那麼異常流量僅允許來自192.168.0.1到192.168.255.254范圍內的 ip地址。

當您希望允許本地家庭網路上全都連接到相同子網上的計算機以訪問某個程序或服務，但是又不希望允許潛在的惡意internet用戶進行訪問，那麼「僅只是我的網路(子網)」設定的地址范圍很有用。

一旦添加了某個程序或埠，它在「程序和服務」列表中就被默認禁用。

在「異常」選項卡上啟用的所有程序或服務對「高級」選項卡上選擇的所有連接都處於啟用狀態。

「高級」選項卡

「高級」選項卡包含以下選項:

網路連接設置、安全日誌、icmp、默認設置

「網路連接設置」

在「網路連接設置」中，您可以:

1、指定要在其上啟用windows防火牆的介面集。要啟用windows防火牆，請選中網路連接名稱後面的復選框。要禁用windows防火牆，則清除該復選框。默認情況下，所有網路連接都啟用了windows防火牆。如果某個網路連接沒有出現在這個列表中，那麼它就不是一個標準的網路連接。這樣的例子包括internet服務提供商(isp)提供的自定義撥號程序。

2、通過單擊網路連接名稱，然後單擊「設置」，配置單獨的網路連接的高級配置。

如果清除「網路連接設置」中的所有復選框，那麼windows防火牆就不會保護您的計算機，而不管您是否在「常規」選項卡上選中了「啟用(推薦)」。如果您在「常規」選項卡上選中了「不允許異常流量」，那麼「網路連接設置」中的設置將被忽略，這種情況下所有介面都將受到保護。

當您單擊「設置」時，將彈出「高級設置」對話框。

在「高級設置」對話框上，您可以在「服務」選項卡中配置特定的服務(僅根據tcp或udp埠來配置)，或者在「icmp」選項卡中啟用特定類型的icmp流量。

這兩個選項卡等價於windows xp(sp2之前的版本)中的icf配置的設置選項卡。

「安全日誌」

在「安全日誌」中，請單擊「設置」，以便在「日誌設置」對話框中指定windows防火牆日誌的配置，

在「日誌設置」對話框中，您可以配置是否要記錄丟棄的數據包或成功的連接，以及指定日誌文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。

「icmp」

在「icmp」中，請單擊「設置」以便在「icmp」對話框中指定允許的icmp流量類型，

在「icmp」對話框中，您可以啟用和禁用windows防火牆允許在「高級」選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用於診斷、報告錯誤情況和配置。默認情況下，該列表中不允許任何icmp消息。

診斷連接問題的一個常用步驟是使用ping工具檢驗您嘗試連接到的計算機地址。在檢驗時，您可以發送一條icmp echo消息，然後獲得一條icmp echo reply消息作為響應。默認情況下，windows防火牆不允許傳入icmp echo消息，因此該計算機無法發回一條icmp echo reply消息作為響應。為了配置windows防火牆允許傳入的icmp echo消息，您必須啟用「允許傳入的echo請求」設置。

「默認設置」

單擊「還原默認設置」，將windows防火牆重設回它的初始安裝狀態。

當您單擊「還原默認設置」時，系統會在windows防火牆設置改變之前提示您核實自己的決定。 bbbbb