防火牆做了什麼配置
① 防火牆硬體怎麼配置
應該叫硬體防火牆
② 防火牆要怎麼設置
目前已經發布的windows xp service pack 2(sp2)包括了windows防火牆,即以前所稱的internet連接防火牆(icf)。windows防火牆是一個基於主機的狀態防火牆,它丟棄所有未請求的傳入流量,即那些既沒有對應於為響應計算機的某個請求而發送的流量(請求的流量),也沒有對應於已指定為允許的未請求的流量(異常流量)。windows防火牆提供某種程度的保護,避免那些依賴未請求的傳入流量來攻擊網路上的計算機的惡意用戶和程序。
在windows xp sp2中,windows防火牆有了許多新增特性,其中包括:
默認對計算機的所有連接啟用、應用於所有連接的全新的全局配置選項、用於全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網路限制、異常流量可以通過應用程序文件名指定對internet協議第6版(ipv6)的內建支持
採用netsh和組策略的新增配置選項
本文將詳細描述用於手動配置全新的windows防火牆的對話框集。與windows xp(sp2之前的版本)中的icf不同,這些配置對話框可同時配置ipv4和ipv6流量。
windows xp(sp2之前的版本)中的icf設置包含單個復選框(在連接屬性的「高級」選項卡上「通過限制或阻止來自internet對此計算機的訪問來保護我的計算機和網路」復選框)和一個「設置」按鈕,您可以使用該按鈕來配置流量、日誌設置和允許的icmp流量。
在windows xp sp2中,連接屬性的「高級」選項卡上的復選框被替換成了一個「設置」按鈕,您可以使用該按鈕來配置常規設置、程序和服務的許可權、指定於連接的設置、日誌設置和允許的icmp流量。
「設置」按鈕將運行全新的windows防火牆控制面板程序(可在「網路和internet連接與安全中心」類別中找到)。
新的windows防火牆對話框包含以下選項卡:
「常規」 「異常」 「高級」 「常規」選項卡
在「常規」選項卡上,您可以選擇以下選項:
「啟用(推薦)」
選擇這個選項來對「高級」選項卡上選擇的所有網路連接啟用windows防火牆。
windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在「異常」選項卡上進行配置。
「不允許異常流量」
單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。「異常」選項卡上的設置將被忽略,所有的連接都將受到保護,而不管「高級」選項卡上的設置如何。
「禁用」
選擇這個選項來禁用windows防火牆。不推薦這樣做,特別是對於可通過internet直接訪問的網路連接。
注意對於運行windows xp sp2的計算機的所有連接和新創建的連接,windows防火牆的默認設置是「啟用(推薦)」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下,您必須識別出那些已不再運作的程序,將它們或它們的流量添加為異常流量。許多程序,比如internet瀏覽器和電子郵件客戶端(如:outlook express),不依賴未請求的傳入流量,因而能夠在啟用windows防火牆的情況下正確地運作。
如果您在使用組策略配置運行windows xp sp2的計算機的windows防火牆,您所配置的組策略設置可能不允許進行本地配置。在這樣的情況下,「常規」選項卡和其他選項卡上的選項可能是灰色的,而無法選擇,甚至本地管理員也無法進行選擇。
基於組策略的windows防火牆設置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網路時所應用的windows防火牆設置)和標准配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網路時所應用的windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的windows防火牆設置。要查看當前未應用的配置文件的設置,可使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置,可使用netsh firewall set命令。
「異常」選項卡
在「異常」選項卡上,您可以啟用或禁用某個現有的程序或服務,或者維護用於定義異常流量的程序或服務的列表。當選中「常規」選項卡上的「不允許異常流量」選項時,異常流量將被拒絕。
對於windows xp(sp2之前的版本),您只能根據傳輸控制協議(tcp)或用戶數據報協議(udp)埠來定義異常流量。對於windows xp sp2,您可以根據tcp和udp埠或者程序或服務的文件名來定義異常流量。在程序或服務的tcp或udp埠未知或需要在程序或服務啟動時動態確定的情況下,這種配置靈活性使得配置異常流量更加容易。
已有一組預先配置的程序和服務,其中包括:
文件和列印共享、遠程助手(默認啟用)、遠程桌面、upnp框架,這些預定義的程序和服務不可刪除。
如果組策略允許,您還可以通過單擊「添加程序」,創建基於指定的程序名稱的附加異常流量,以及通過單擊「添加埠」,創建基於指定的tcp或udp埠的異常流量。
當您單擊「添加程序」時,將彈出「添加程序」對話框,您可以在其上選擇一個程序或瀏覽某個程序的文件名。
當您單擊「添加埠」時,將彈出「添加埠」對話框,您可以在其中配置一個tcp或udp埠。
全新的windows防火牆的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發起異常流量的網段。在定義程序或埠的范圍時,您有兩種選擇:
「任何計算機」
允許異常流量來自任何ip地址。
「僅只是我的網路(子網)」
僅允許異常流量來自如下ip地址,即它與接收該流量的網路連接所連接到的本地網段(子網)相匹配。例如,如果該網路連接的ip地址被配置為 192.168.0.99,子網掩碼為255.255.0.0,那麼異常流量僅允許來自192.168.0.1到192.168.255.254范圍內的 ip地址。
當您希望允許本地家庭網路上全都連接到相同子網上的計算機以訪問某個程序或服務,但是又不希望允許潛在的惡意internet用戶進行訪問,那麼「僅只是我的網路(子網)」設定的地址范圍很有用。
一旦添加了某個程序或埠,它在「程序和服務」列表中就被默認禁用。
在「異常」選項卡上啟用的所有程序或服務對「高級」選項卡上選擇的所有連接都處於啟用狀態。
「高級」選項卡
「高級」選項卡包含以下選項:
網路連接設置、安全日誌、icmp、默認設置
「網路連接設置」
在「網路連接設置」中,您可以:
1、指定要在其上啟用windows防火牆的介面集。要啟用windows防火牆,請選中網路連接名稱後面的復選框。要禁用windows防火牆,則清除該復選框。默認情況下,所有網路連接都啟用了windows防火牆。如果某個網路連接沒有出現在這個列表中,那麼它就不是一個標準的網路連接。這樣的例子包括internet服務提供商(isp)提供的自定義撥號程序。
2、通過單擊網路連接名稱,然後單擊「設置」,配置單獨的網路連接的高級配置。
如果清除「網路連接設置」中的所有復選框,那麼windows防火牆就不會保護您的計算機,而不管您是否在「常規」選項卡上選中了「啟用(推薦)」。如果您在「常規」選項卡上選中了「不允許異常流量」,那麼「網路連接設置」中的設置將被忽略,這種情況下所有介面都將受到保護。
當您單擊「設置」時,將彈出「高級設置」對話框。
在「高級設置」對話框上,您可以在「服務」選項卡中配置特定的服務(僅根據tcp或udp埠來配置),或者在「icmp」選項卡中啟用特定類型的icmp流量。
這兩個選項卡等價於windows xp(sp2之前的版本)中的icf配置的設置選項卡。
「安全日誌」
在「安全日誌」中,請單擊「設置」,以便在「日誌設置」對話框中指定windows防火牆日誌的配置,
在「日誌設置」對話框中,您可以配置是否要記錄丟棄的數據包或成功的連接,以及指定日誌文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。
「icmp」
在「icmp」中,請單擊「設置」以便在「icmp」對話框中指定允許的icmp流量類型,
在「icmp」對話框中,您可以啟用和禁用windows防火牆允許在「高級」選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用於診斷、報告錯誤情況和配置。默認情況下,該列表中不允許任何icmp消息。
診斷連接問題的一個常用步驟是使用ping工具檢驗您嘗試連接到的計算機地址。在檢驗時,您可以發送一條icmp echo消息,然後獲得一條icmp echo reply消息作為響應。默認情況下,windows防火牆不允許傳入icmp echo消息,因此該計算機無法發回一條icmp echo reply消息作為響應。為了配置windows防火牆允許傳入的icmp echo消息,您必須啟用「允許傳入的echo請求」設置。
「默認設置」
單擊「還原默認設置」,將windows防火牆重設回它的初始安裝狀態。
當您單擊「還原默認設置」時,系統會在windows防火牆設置改變之前提示您核實自己的決定。 bbbbb
③ 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
④ 防火牆如何配置規則
1、打開控制面板,點擊「系統和安全」。
⑤ cisco防火牆配置的基本配置是什麼
設置介面名稱,並指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
配置網路介面的IP地址
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
⑥ 防火牆如何正確設置
1、打開控制面板,點擊「系統和安全」。
⑦ 防火牆的性能參數有哪些
*防火牆(Firewall)
存取控制 ----指定IP地址、用戶認證控制
拒絕攻擊 ----檢測SYN攻擊、檢測Tear Drop攻擊、檢測Ping of Death攻擊、 檢測IP Spoofing攻擊、默認數據包拒絕、過濾源路由IP、動態過濾訪問、支持Web、Radius及SecureID用戶認證
*網路地址轉換NAT(Network Address Translation)
隱藏內部地址,節約IP資源
*網路隔離DMZ(Demilitarized Zone)
物理上隔開內外網段,更安全,更獨立
*負載平衡(Load Balancing)
按規則合理分擔流量至相應伺服器,適用於ISP
*虛擬專網VPN(Virtual Private Network)
符合IPsec標准,節省專線費用。VPNclient適應國際趨勢
*流量控制及實時監控(Traffic Control)
用戶帶寬最大量限制,用戶帶寬最小量保障,八級用戶優先順序設置,合理分配帶寬資源
⑧ 防火牆能做什麼
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的 NFS 協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如 Finger , DNS 等服務。 Finger 顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用 shell 類型等。但是 Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的 DNS 信息,這樣一台主機的域名和 IP 地址就不會被外界所了解。
除了安全作用,防火牆還支持具有 Internet 服務特性的企業內部網路技術體系 VPN 。通過 VPN ,將企事業單位在地域上分布在全世界各地的 LAN 或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
⑨ 配置硬體防火牆
在我們的電腦中有這么一種硬體叫做防火牆,它是一款具有防毒以及多種功能的軟體,主要是作為系統的窗口。可以說它是一個 門 衛或是一扇門,所有的東西想要進入我們的電腦,都必須通過它的審核才能進入。windows系統版本的不同決定了防火牆的配置方法的不同,接下來來為大家講一下具體的配置方法吧。
防火牆的基本配置原則:
默認情況下,所有的防火牆都是按以下兩種情況配置的:拒絕所有的流量,這需要在你的網路中特殊指定能夠進入和出去的流量的一些類型。允許所有的流量,這種情況需要你特殊指定要拒絕的流量的類型。可論證地,大多數防火牆默認都是拒絕所有的流量作為安全選項。一旦你安裝防火牆後,你需要打開一些必要的埠來使防火牆內的用戶在通過驗證之後可以訪問系統。換句話說,如果你想讓你的員工們能夠發送和接收Email,你必須在防火牆上設置相應的規則或開啟允許POP3和SMTP的進程。
在防火牆的配置中,我們首先要遵循的原則就是安全實用,從這個角度考慮,在防火牆的配置過程中需堅持以下三個基本原則:
(1). 簡單實用:對防火牆環境設計來講,首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式,越容易理解和使用。而且是設計越簡單,越不容易出錯,防火牆的安全功能越容易得到保證,管理也越可靠和簡便。
(2). 全面深入:單一的防禦措施是難以保障系統的安全的,只有採用全面的、多層次的深層防禦戰略體系才能實現系統的真正安全。在防火牆配置中,我們不要停留在幾個表面的防火牆語句上,而應系統地看等整個網路的安全防護體系,盡量使各方面的配置相互加強,從深層次上防護整個系統。這方面可以體現在兩個方面:一方面體現在防火牆系統的部署上,多層次的防火牆部署體系,即採用集互聯網邊界防火牆、部門邊界防火牆和主機防火牆於一體的層次防禦;另一方面將入侵檢測、網路加密、病毒查殺等多種安全措施結合在一起的多層安全體系。
防火牆的具體設置步驟如下:
1. 將防火牆的Console埠用一條防火牆自帶的串列 電纜 連接到 筆記本電腦 的一個空餘串口上。
2. 打開PIX防火電源,讓系統加電初始化,然後開啟與防火牆連接的主機。
3. 運行筆記本電腦Windows系統中的超級終端(HyperTerminal)程序(通常在"附件"程序組中)。對超級終端的配置與 交換機 或路由器的配置一樣。
⑩ 如何配置防火牆
點擊電腦上的開始按鈕
然後選擇 控制面板 需找防火牆設置選向
然後點擊防火牆 進入防火牆設置頁面
點擊可以設置防火牆的 開啟 關閉
點擊例外 可以對其設置
點擊高級 也可以設置