防火墙如何配置和使用
❶ 防火墙如何配置规则
1、打开控制面板,点击“系统和安全”。
❷ 怎样使用防火墙
网上邻居——》右键属性-》本地连接-》右键属性-》高级选项卡-》windows防火墙设置
❸ 硬件防火墙如何配置
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4.硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
5.系统文件
关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
6.异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。
❹ 如何配置防火墙
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置网络接口的IP地址
4、global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmarkglobal_mask]:表示全局ip地址的网络掩码。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
6、route
route命令定义静态路由。
语法:
route(if_name)00gateway_ip[metric]
7、static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
语法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、访问控制列表ACL
访问控制列表的命令与couit命令类似
10、侦听命令fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置PIX防火墙要侦听listen服务的端口。
11、telnet
当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或
在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。
12、显示命令:
showinterface;查看端口状态。
showstatic;查看静态地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;显示当前配置信息。
writeterminal;将当前配置信息写到终端。
showcpuusage;显示CPU利用率,排查故障时常用。
showtraffic;查看流量。
showblocks;显示拦截的数据包。
showmem;显示内存
13、DHCP服务
PIX具有DHCP服务功能。
❺ 如何配置防火墙
点击电脑上的开始按钮
然后选择 控制面板 需找防火墙设置选向
然后点击防火墙 进入防火墙设置页面
点击可以设置防火墙的 开启 关闭
点击例外 可以对其设置
点击高级 也可以设置
❻ 防火墙如何设置
防火墙有软件的也有硬件的,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,
Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,
上图中,启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。
下面来看一下Windows 7防火墙的几个常规设置方法:
一、打开和关闭Windows防火墙
点击图2左侧的打开和关闭Windows防火墙(另外点击更改通知设置也会到这个界面),
可以看出,私有网络和公用网络的配置是完全分开的,在启用Windows防火墙里还有两个选项:
1、“阻止所有传入连接,包括位于允许程序列表中的程序”,这个默认即可,否则可能会影响允许程序列表里的一些程序使用。
2、“Windows防火墙阻止新程序时通知我”这一项对于个人日常使用肯定需要选中的,方便自己随时作出判断响应。
如果需要关闭,只需要选择对应网络类型里的“关闭Windows防火墙(不推荐)”这一项,然后点击确定即可。
二、还原默认设置
如果自己的防火墙配置的有点混乱,可以使用图2左侧的“还原默认设置”一项,还原时,Windows 7会删除所有的网络防火墙配置项目,恢复到初始状态,比如,如果关闭了防火墙则会自动开启,如果设置了允许程序列表,则会全部删除掉添加的规则。
三、允许程序规则配置
点击图2中上侧的“允许程序或功能通过Windows防火墙”,
大家看到这个配置图会很熟悉,就是设置允许程序列表或基本服务,跟早期的Windows XP很类似,不过还是有些功能变化:
1、常规配置没有端口配置,所以也不再需要手动指定端口TCP、UDP协议了,因为对于很多用户根本不知道这两个东西是什么,这些配置都已转到高级配置里,对于普通用户一般只是用到增加应用程序许可规则。
2、应用程序的许可规则可以区分网络类型,并支持独立配置,互不影响,这对于双网卡的用户就很有作用。
不过,我们在第一次设置时可能需要点一下右侧的更改设置按钮后才可操作(要管理员权限)。比如,上文选择了,允许文件和打印机共享,并且只对家庭或工作网络有效(见图右侧)。如果需要了解某个功能的具体内容,可以在点选该项之后,点击下面的详细信息即可查看。
如果是添加自己的应用程序许可规则,可以通过下面的“允许允许另一程序”按钮进行添加,方法跟早期防火墙设置类似,
选择将要添加的程序名称(如果列表里没有就点击“浏览”按钮找到该应用程序,再点击”打开“),下面的网络位置类型还是私有网络和公用网络两个选项,不用管,我们可以回到上一界面再设置修改,添加后
添加后如果需要删除(比如原程序已经卸载了等),则只需要在上图中点选对应的程序项,再点击下面的“删除”按钮即可,当然系统的服务项目是无法删除的,只能禁用。
❼ 如何设置使用looknstop防火墙
四步简单配置,look'n'stop防火墙就是中文的,完全可控的,方便的,简单的
看到这么多人对这个look'n'stop防火墙感兴趣,我就再仔细说说,其实即使没有多少电脑基础的朋友,同样可以使用这个look'n'stop防火墙的。不相信你就跟我来试试吧。很简单的。相信你能够培植成功。所有的步骤都经过我的实际测试保证可以成功的。
只要下载本blog里look'n'stop防火墙的安装包就可以使用并配置成中文版本的简单方法
第一步,下载本blog里的look'n'stop防火墙安装包。同时带规则包、注册机、使用说明文件。从http://cdxueq.itpub.net/resource/1025/8348下载这个完全安装包
第二步 Look’n’Stop 选择简体中文界面的步骤:
1、将中文包里的两个文件(chinese.lng及语言插件)全部复制到Look’n’Stop的安装目录下(默认是C:Program FilesSoft4Everlooknstop)
2、打开 Look’n’Stop (如有提示不必理会,选择“否”);
1)点击“Options”页面的“Advanced Options”按钮;
2)点击“Plugins”按钮;
3)在“Avilable_plugins”框中打勾plugin_language.dll;
4)点击“Configure”按钮
5)选中“简体中文”,确定。
3、退出Look’n’Stop界面,再打开就可以使用中文了。
如果没有生效,先关掉防火墙,再启动一次就可以看见变成中文版本界面了。
第三步 注册的方法:
打开防火墙,点出“注册”将“代码”里的那串数字复制到注册机里,点生成,将生成的新串复制粘贴回“序列号”那里,点“验证”。出现验证变灰,就是成功啦。
如果没有生效,先关掉防火墙,再启动一次就可以看见那个“验证”按纽边会了。
第四步 最简单配置网络的方法:
1、点防火墙的“选项” 去掉“网络接口”下面的“自动选择”里的钩,再选择上面带的“WAN”的选项。这样可以解决ADSL方式上网不能登陆网页的问题。
2、在“因特网过滤”选项中,加载“规则包”自带的规则“EndhanceRuleSet”(增强规则设置),一定要用这增强包,不要用那个标准包。还有就是记得以后对某一软件访问网络权限的设置或修改都在这个“因特网过滤”选项中哦。其实到此基本就可以了,你需要做的就是当以后某一软件或服务启动并试图访问网络时防火墙会自动捕获该网络连接请求,并且在第一次提示您是否允许它连接或访问网络,你点允许或则禁止就可以了。如果要把一个已经禁止的服务改为允许,只需要在这个“因特网过滤”选项中对应的服务(有名字和路径的),找到去掉,或点成绿色的就可以了。够简单了吧。呵呵
以上两项是关键,需要特别注意哦!
还有一个特别需要注意的地方:
注意你需要把你想监控的软件的安装目录全部设置为英文的目录,LOOK N STOP 无法识别中文目录,如果是中文目录,则需要重新安装一次到英文目录即可解决问题。 不需要监控的软件不需要。
实战:LooknStop防火墙的规则设置
1.概述
LooknStop作为一款强大的防火墙,其采用的原型是非常严格的,首先,
LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时
不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能
成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型,
LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数
据包都拦截了。所以我们首先要解决的就是大部分用户面对LooknStop时吃的第
一个下马威:无法连接网络。
LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”
、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一
些概要信息如连接状态、IP地址、数据包情况等。
我们先解决第一个燃眉之急:如果你不幸成为安装LooknStop后无法成功进行
ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“All
other packets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可
。
这一故障是LooknStop默认的严格规则造成的,它把所有未在规则里定义的数据
包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系
统的门口里……由此可见,与某些防火墙比起来,LooknStop是多么的严格!
解决这个问题后,我们回到正题。
2.基于界面的设置
既然LooknStop的规则如此严格,我们也遵循它的规则,严格依照从左到右的顺
序讲解吧:P(老勇不许扔鸡蛋!)
首先是“欢迎”界面,这里是作为快捷数据统计而设的,用户可以在这个界面看
到基本的数据流量情况以及网络信息,如果网络已经连通,LooknStop会报告你
的计算机IP地址,如果这里为0.0.0.0,则说明没有连接网络或者LooknStop没能
检测出活动的连接,用户必须自己到“选项”的“网络接口”里手工选择一个作
为LooknStop的监控对象。
其次,是众多软件防火墙都会提供的“应用程序过滤”功能,LooknStop“不信
任任何人”的思想在这里又一次得到了发挥,每个程序第一次启动的时候都会被
拦截询问,用户允许通过的程序都在里面列举出来,并且在左边出现一个活动列
表,可是即使这样,LooknStop仍然为每个程序列表设置了四个不同性质的可以
随时中断该程序访问的按钮,分别为“过滤激活”、“过滤类型”、“进程调用
”、“连接记录”。
在“过滤激活”里可以选择两种状态,分别为“启用”和“禁止”,用于告诉防
火墙是否允许该应用程序按照后面的规则运行,如果状态为“禁止”,则后面设
置的独立应用程序规则不起作用,但是这并不意味着程序能摆脱防火墙的限制—
—每次这个程序访问网络的时候,防火墙都会再次询问你是否允许这个程序访问
网络。
“过滤类型”里提供了3种类型选择,分别为“允许”、“自定义”和“禁止”
,如果用户没有为这个程序设置特殊规则,则只会在“允许”和“禁止”两种类
型之间选择,否则为三种。直接双击程序名字就可以设置“过滤类型”,里面分
别提供了TCP和UDP协议的端口和IP设置,LooknStop强大的灵活设置性能再次体
现了出来:单独输入IP或端口,则规定这个程序只能访问用户指定的IP或端口,
多个端口之间用分号“;”分隔,IP同上。
看到这里,一些用户可能会想,是不是只能设置允许访问的地址呀?其实不然,
LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——
要设置程序禁止访问的IP,只需要在同样的设置对话框里设定IP或端口时在前面
加一个感叹号“!”即可,可以说,LooknStop把“简洁就是美”的信奉发挥到了
极致!
现在让我们来看看“进程调用”,首先我要简单介绍一下“进程调用”的概念,
有时候,一个程序要访问网络并不是通过它自身实现的,而是调用了外置的DLL
函数,这样的话,最终访问网络的程序就是那个DLL文件而不是程序本身,许多
防火墙都认为,通过程序宿主进程启动进而访问网络的模块也是符合条件的,因
此不会做任何阻拦,但是LooknStop仍然不信任任何模块,它会忠实的报告并控
制每个子进程DLL的网络连接并提示用户,在如今这个“代码插上翅膀”(线程
注射)越来越猖獗的年代里,这样的限制是十分有必要的,很多防火墙正因为过
于信任程序调用的进程模块,导致一些DLL类型的木马得以搭载顺风车,给用户
的系统安全带来威胁。针对这种情况,LooknStop提供了“进程调用”的控制功
能,分别为“允许”(双箭头标志)和“禁止”(红色停止标志),一旦某个程
序的“进程调用”被设置为禁止,该程序就只能通过自身访问网络了,所有通过
它调用的模块都无法突破限制,这个设置对一些经常被后门搭顺风车的系统程序
是很有用的,设置禁止后,我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、
Svchost.exe等程序突破传统意义的防火墙连接了。
最后,是一个标示为感叹号的设置项,它代表“连接记录”:灰色的点表示不记
录,两个感叹号表示记录该程序的所有连接,而单独一个感叹号则是与“过滤激
活”配合使用的,如果你把一个程序的“过滤激活”设置为“禁止”,以后这个
程序再次请求访问网络的时候就会被LooknStop记录下来,如果一个奇怪的程序
频频要求连接网络,那么它是木马的可能性将会很大!
从“应用程序过滤”这一部分就可以看出,LooknStop对程序的控制非常灵活和
精巧,仅使用一个界面和一个对话框就能完成对4种程序控制方式,包括多达10
个属性36种不同组合的控制能力,其对程序的控制能力可见一斑。
那么,LooknStop对网络协议的控制功能又如何呢?让我们进入“互联网过滤”
,这里正是用户噩梦开始的地方。
这里同样是简洁而复杂的界面,简洁在于按钮的稀少,复杂在于太多列表控制的
项目,一眼看去,几乎能让人摸不到头脑,但是这里正是所有防火墙思维的起点
:防火墙规则集合。
从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后
是否执行后续规则”、“匹配规则时声音或警报提示”。
“启用规则”里提供了3种类型选择,分别为“默认方式启用规则”、“自定义
方式启用规则”和“不启用规则”,如果用户没有设置自定义规则,则只能在“
默认方式启用规则”和“不启用规则”之间切换。
“自定义方式启用规则”取决于规则里定义的“应用程序”项目,表示该规则只
对特定的应用程序起作用,当符合条件的程序启动后,这个暗红色带绿勾标志变
为绿色带红勾标志,代表程序已经启动并处于防火墙规则控制之下。
“规则模式”允许两种选择:“拦截”和“允许”,LooknStop通过这里的标识
决定符合该规则的程序是该允许访问网络还是被阻止访问网络,与其它防火墙产
品对比,这样的设置方法是非常方便的,用户不需要重新进入规则设置便能直接
修改规则行为。
“匹配时记录”提供了两个选项,“记录”和“不记录”,顾名思义,当一个满
足规则设定的操作发生时,防火墙会根据这里的设置决定是否在日志里记录下这
次操作信息。
“匹配规则后是否执行后续规则”是一个非常重要的规则行为标志,它提供两种
选择,分别为“不匹配下一规则”和“匹配下一规则”,前面说过LooknStop的
思想是阻止所有连接,而这里的规则设定就是其思想的具体实施方案,为了让程
序能正常连接网络,同时也为了提高自身的执行效率,LooknStop提出了这个选
项,它决定当一个符合防火墙设定的规则被执行后,是否要继续匹配下一条相同
性质的规则,在这里我们可以方便的设置一些复杂的规则,例如我们需要增加一
条允许本机打开80端口的规则,但是又不想为此开放所有低端口连接,那么就可
以添加一条允许80端口的规则,并设置其“后续规则”为“不匹配”,那么就可
以在保留原规则不变的同时增加本机开放80端口的功能了。
“匹配规则时声音或警报提示”有3种类型选择,分别为“声音报警”、“可视
报警”和“不报警”,这个选项要与选项里的“声音”和“消息框”配合使用,
第一种表示规则匹配时发出声音报警,第二种表示规则匹配时弹出消息框并同时
发出声音报警,如果你觉得噪音扰民,可以设置为最后一种,还你一个安静的环
境。
3.防火墙的灵魂——规则设置
任何防火墙都在各种规则的引导下运行,LooknStop也不会例外,而其恰恰正是
因为规则难以配置而“闻名”的,要真正驯服这个强悍的小家伙,就必须理解并
解决规则设置,在“互联网过滤”界面里点击“添加”,会弹出一个略显复杂的
对话框出来。相对于大部分国内防火墙产品而言,LooknStop提供的可供设置的
数据类型和模式多了不少,如果用户对各种协议的概念不是很了解,在面对这部
分的时候就会很头痛了,LooknStop在这个设置对话框里提供了8大类设置,分别
为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“TCP标识
”、“来源”和“目标”。
“规则名称”很容易理解,用户就是在这里设置特定规则名称的,“规则说明”
则是为了描述这条规则的功能和用途,除了这两个选项不需要特别讲解以外,其
他部分请仔细听好!
在开始动手之前,必须先了解一件LooknStop特有的事情,这款防火墙在编辑规
则时是中性的,我们不能从这个界面里设置某条规则是给予通行还是拦截,一旦
你保存这条规则,LooknStop则默认了此规则是“允许通行”的,要设置为“拦
截”的话必须在保存后自行到主界面上相应的“规则模式”里设置为“拦截”。
其次,LooknStop的信任关系是基于IP地址和MAC地址双重检测的,这是一种理想
的信任关系模式,IP地址和MAC地址分别都是可以欺骗的,但是如果IP和MAC结合
起来,就很难实施欺骗了,而且也正是这种信任模式,它的规则设置才容易让人
迷惑,其实只要理解了其思想,对这款防火墙的规则设置就不复杂了。
明白这两个基本概念后,我们正式开始吧。
首先是“以太网:类型”区,这部分到底表达了什么,笔者最初也是头痛了很久
,经过多次试验后终于发现,这里其实是让防火墙知道你的机器环境是在局域网
内还是互联网中的独立机器,或者说,控制某条规则是适合在局域网中使用还是
在单机环境中使用。
这个区域里提供了4种选择,分别是“全部”、“IP”、“ARP”和“其它”,“
全部”表示包含后面三种类型的协议,一般很少用到,除非你的机器所处的网络
环境非常复杂,有多种系统一起运作,否则只需要选择“IP”类型即可,这是一
种最兼容最常用的类型。
“ARP”类型只能在局域网内使用,也就是专为局域网环境设定的,由于它涉及
MAC地址,故脱离了局域网环境就无效了,除非你是在局域网内使用机器,否则
不要选择这个类型。
其次是“IP”区,这里又分为3个小区,最左边的“协议”用于为当前规则指定
协议,LooknStop提供了9种选择,除了“全部”以外,几乎包含了各种常见协议
类型,一般只需要设置TCP、UDP或ICMP其中之一即可,虽然曾经有过IGMP Nuke
,可是现在也基本上没有人用Windows 98作为工作环境了吧,所以连IGMP防御都
可以免了……
右侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤IP头部的偏移位
和标志位,可以用于防止特定标志位的碎片数据报攻击,不过对于普通用户来说
,我们并不需要特别指定这里的内容,一般选择“全部”即可。
然后到“TCP标识”区,这里其实不是只有一个功能设定的,它还可以变为
“ICMP”区或“IGMP”区,视前一个“IP”区的协议类型而定,用户只有选择了
TCP协议以后才能进入TCP标识里设置要具体控制的TCP标志位,里面一共有URG、
ACK、PSH、RST、SYN和FIN这6种标志位供用户选择,主要针对一些有特殊TCP要
求的用户,例如某台机器被用作Internet网关时,如果想阻止局域网内的某台机
器通过TCP协议连接某个外部端口,则可把TCP标志位设置为ACK,阻止远程连接
传回的应答请求,该连接自然就无法成功建立,最终达到拦截的目的。
现在到“来源”区,许多人觉得LooknStop难以配置,除了“以太网类型”难以
理解以外,最容易混淆的就是“来源”区和旁边的“目标”区,要成功配置
LooknStop,首先要弄清楚一件事情:在LooknStop的规则设置里,“来源”完全
表示本地,“目标”则表示远程,而不管实际的连接请求或者数据包方向是从哪
里发出的。所有与本机网络有关的设置如开放本地某个端口、允许或阻止本地网
络的某个IP,都是在“来源”里设置的,这里通常是和“目标”区搭配使用的,
例如配置开放本机的80端口,那么就不应该去管“目标”区的任何设置,除非你
要限制对方IP范围或端口范围那就另当别论。要开放本机80端口,首先应该在“
来源”区的“IP:地址”里选择“等于本机在”,“TCP/UDP:端口”里选择“等
于”,下面的第一个选项里输入端口80,第二个选项置空即可。如果要开放一段
连续的端口,则在第二个选项里填入另一个数字,然后把“全部”改为“在A:B
范围内”即可,需要提醒一点,普通的开放本机端口操作在“目标”区里不用填
写任何东西!其他更多的选项可以根据这个举一反三。
最后是“目标”区,这里和“来源”区相反,它表示远程主机连接的参数,无论
你在“方向”里选了什么,这个地方出现的都必须是远程机器的数据,永远不要
出现你的本地数据!
“目标”区主要是作为限制本机对远程访问数据而设置的,例如阻止本机程序访
问任何外部地址的8000端口,则在“目标”区里设置“IP:地址”为“全部”,
“TCP/UDP:端口”为“8000”即可,而“来源”区里完全不用设置任何东西。
在上面几个大区之外,还有个名为“应用程序”的按钮,这里用于设置特定的程
序规则,其中可供选择的程序在右边列出的已经被记录访问过网络的程序列表中
选择添加,以后此条规则就专门针对这个列表里的程序使用了,LooknStop这种
思想大大增加了应用程序访问规则的灵活性。
4. 监视的窗口——防火墙日志
这里是LooknStop的数据显示窗口,如果你在规则里设置了日志记录,这里就会
报告出来,显示当前阻止和允许的连接数量和内容,还可以直接双击列表直接查
看详细的数据类型,甚至完整的数据内容,在这一点上,LooknStop甚至可以替
代Sniffer成为网络抓包工具!
❽ 防火墙该如何设置
防火墙的设置具体步骤如下:以win8为例;
1、在开始界面下点击【桌面】或【Win+D】快捷键或单独按【Win】显示桌面。
❾ 防火墙怎么配置
在使用防火墙之前,需要对防火墙进行一些必要的初始化配置。出厂配置的防火墙需要根据实际使用场景和组网来配置管理IP、登陆方式、用户名/密码等。下面以我配置的华为USG防火墙为例,说明一下拿到出厂的防火墙之后应该怎么配置。
1. 设备配置连接
一般首次登陆,我们使用的是Console口登陆。只需要使用串口网线连接防火墙和PC,使用串口连接工具即可。从串口登陆到防火墙之后,可以配置用户,密码,登陆方式等。这些配置在后面有记录。
直接使用一根网线连接PC和设备的管理口。管理口是在设备面板上一个写着MGMT的一个网口,一般默认配置了IP,如192.168.0.1/24。我们在对端PC上配置同网段的IP,如192.168.0.10/24,我们就可以通过PC上的telnet客户端登陆到防火墙设备上。
登陆到设备之后,默认是在防火墙的用户视图下。可以使用system-view进入系统视图,interface GigabitEthernet 0/0/0进入接口视图,diagnose进入诊断视图,security-policy进入安全策略视图,firewall zone trust进入trust安全区域视图,aaa进入aaa视图等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用户:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服务:
telnet server enable
3. ftp配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服务:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用户:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服务:
sftp server enable
配置Password认证方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用户:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服务:
web-manager enable
配置完Web之后,其他配置就可以登陆到Web页面进行可视化配置了。
❿ 防火墙要怎么设置
目前已经发布的windows xp service pack 2(sp2)包括了windows防火墙,即以前所称的internet连接防火墙(icf)。windows防火墙是一个基于主机的状态防火墙,它丢弃所有未请求的传入流量,即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量),也没有对应于已指定为允许的未请求的流量(异常流量)。windows防火墙提供某种程度的保护,避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。
在windows xp sp2中,windows防火墙有了许多新增特性,其中包括:
默认对计算机的所有连接启用、应用于所有连接的全新的全局配置选项、用于全局配置的新增对话框集、全新的操作模式、启动安全性、本地网络限制、异常流量可以通过应用程序文件名指定对internet协议第6版(ipv6)的内建支持
采用netsh和组策略的新增配置选项
本文将详细描述用于手动配置全新的windows防火墙的对话框集。与windows xp(sp2之前的版本)中的icf不同,这些配置对话框可同时配置ipv4和ipv6流量。
windows xp(sp2之前的版本)中的icf设置包含单个复选框(在连接属性的“高级”选项卡上“通过限制或阻止来自internet对此计算机的访问来保护我的计算机和网络”复选框)和一个“设置”按钮,您可以使用该按钮来配置流量、日志设置和允许的icmp流量。
在windows xp sp2中,连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮,您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的icmp流量。
“设置”按钮将运行全新的windows防火墙控制面板程序(可在“网络和internet连接与安全中心”类别中找到)。
新的windows防火墙对话框包含以下选项卡:
“常规” “异常” “高级” “常规”选项卡
在“常规”选项卡上,您可以选择以下选项:
“启用(推荐)”
选择这个选项来对“高级”选项卡上选择的所有网络连接启用windows防火墙。
windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。
“不允许异常流量”
单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略,所有的连接都将受到保护,而不管“高级”选项卡上的设置如何。
“禁用”
选择这个选项来禁用windows防火墙。不推荐这样做,特别是对于可通过internet直接访问的网络连接。
注意对于运行windows xp sp2的计算机的所有连接和新创建的连接,windows防火墙的默认设置是“启用(推荐)”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下,您必须识别出那些已不再运作的程序,将它们或它们的流量添加为异常流量。许多程序,比如internet浏览器和电子邮件客户端(如:outlook express),不依赖未请求的传入流量,因而能够在启用windows防火墙的情况下正确地运作。
如果您在使用组策略配置运行windows xp sp2的计算机的windows防火墙,您所配置的组策略设置可能不允许进行本地配置。在这样的情况下,“常规”选项卡和其他选项卡上的选项可能是灰色的,而无法选择,甚至本地管理员也无法进行选择。
基于组策略的windows防火墙设置允许您配置一个域配置文件(一组将在您连接到一个包含域控制器的网络时所应用的windows防火墙设置)和标准配置文件(一组将在您连接到像internet这样没有包含域控制器的网络时所应用的windows防火墙设置)。这些配置对话框仅显示当前所应用的配置文件的windows防火墙设置。要查看当前未应用的配置文件的设置,可使用netsh firewall show命令。要更改当前没有被应用的配置文件的设置,可使用netsh firewall set命令。
“异常”选项卡
在“异常”选项卡上,您可以启用或禁用某个现有的程序或服务,或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时,异常流量将被拒绝。
对于windows xp(sp2之前的版本),您只能根据传输控制协议(tcp)或用户数据报协议(udp)端口来定义异常流量。对于windows xp sp2,您可以根据tcp和udp端口或者程序或服务的文件名来定义异常流量。在程序或服务的tcp或udp端口未知或需要在程序或服务启动时动态确定的情况下,这种配置灵活性使得配置异常流量更加容易。
已有一组预先配置的程序和服务,其中包括:
文件和打印共享、远程助手(默认启用)、远程桌面、upnp框架,这些预定义的程序和服务不可删除。
如果组策略允许,您还可以通过单击“添加程序”,创建基于指定的程序名称的附加异常流量,以及通过单击“添加端口”,创建基于指定的tcp或udp端口的异常流量。
当您单击“添加程序”时,将弹出“添加程序”对话框,您可以在其上选择一个程序或浏览某个程序的文件名。
当您单击“添加端口”时,将弹出“添加端口”对话框,您可以在其中配置一个tcp或udp端口。
全新的windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时,您有两种选择:
“任何计算机”
允许异常流量来自任何ip地址。
“仅只是我的网络(子网)”
仅允许异常流量来自如下ip地址,即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。例如,如果该网络连接的ip地址被配置为 192.168.0.99,子网掩码为255.255.0.0,那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的 ip地址。
当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务,但是又不希望允许潜在的恶意internet用户进行访问,那么“仅只是我的网络(子网)”设定的地址范围很有用。
一旦添加了某个程序或端口,它在“程序和服务”列表中就被默认禁用。
在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。
“高级”选项卡
“高级”选项卡包含以下选项:
网络连接设置、安全日志、icmp、默认设置
“网络连接设置”
在“网络连接设置”中,您可以:
1、指定要在其上启用windows防火墙的接口集。要启用windows防火墙,请选中网络连接名称后面的复选框。要禁用windows防火墙,则清除该复选框。默认情况下,所有网络连接都启用了windows防火墙。如果某个网络连接没有出现在这个列表中,那么它就不是一个标准的网络连接。这样的例子包括internet服务提供商(isp)提供的自定义拨号程序。
2、通过单击网络连接名称,然后单击“设置”,配置单独的网络连接的高级配置。
如果清除“网络连接设置”中的所有复选框,那么windows防火墙就不会保护您的计算机,而不管您是否在“常规”选项卡上选中了“启用(推荐)”。如果您在“常规”选项卡上选中了“不允许异常流量”,那么“网络连接设置”中的设置将被忽略,这种情况下所有接口都将受到保护。
当您单击“设置”时,将弹出“高级设置”对话框。
在“高级设置”对话框上,您可以在“服务”选项卡中配置特定的服务(仅根据tcp或udp端口来配置),或者在“icmp”选项卡中启用特定类型的icmp流量。
这两个选项卡等价于windows xp(sp2之前的版本)中的icf配置的设置选项卡。
“安全日志”
在“安全日志”中,请单击“设置”,以便在“日志设置”对话框中指定windows防火墙日志的配置,
在“日志设置”对话框中,您可以配置是否要记录丢弃的数据包或成功的连接,以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。
“icmp”
在“icmp”中,请单击“设置”以便在“icmp”对话框中指定允许的icmp流量类型,
在“icmp”对话框中,您可以启用和禁用windows防火墙允许在“高级”选项卡上选择的所有连接传入的icmp消息的类型。icmp消息用于诊断、报告错误情况和配置。默认情况下,该列表中不允许任何icmp消息。
诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时,您可以发送一条icmp echo消息,然后获得一条icmp echo reply消息作为响应。默认情况下,windows防火墙不允许传入icmp echo消息,因此该计算机无法发回一条icmp echo reply消息作为响应。为了配置windows防火墙允许传入的icmp echo消息,您必须启用“允许传入的echo请求”设置。
“默认设置”
单击“还原默认设置”,将windows防火墙重设回它的初始安装状态。
当您单击“还原默认设置”时,系统会在windows防火墙设置改变之前提示您核实自己的决定。 bbbbb