实验七防火墙配置与组策略实验.docx
《实验七防火墙配置与组策略实验.docx》由会员分享,可在线阅读,更多相关《实验七防火墙配置与组策略实验.docx(14页珍藏版)》请在冰豆网上搜索。
实验七防火墙配置与组策略实验
实验七防火墙配置与组策略实验
一.实验目的和要求
1.理解防火墙的功能.
2.了解防火规则的作用
二.实验内容及步骤
1、天网防火墙安装配置
1. 到网站
2. 安装天网防火墙V2.73试用版。
(1)首先进入“欢迎”界面,点击“我接受此协议”,再点击“下一步”按钮。
(2)然后进入“选择安装的目标文件夹”界面。
缺省使用的安装目录是C:
\ProgramFiles\SkyNet\FireWall。
如需要更改安装目录,使用该界面的“浏览”按钮,选择要安装的目录。
确定安装目录后,点击“下一步”按钮。
(3)进入“选择程序管理器程序组”界面。
点击“下一步”按钮。
进入“开始安装”界面,再点击“下一步”按钮。
系统开始安装天网防火墙。
(4)安装过程中,会看到弹出如图1所示的“天网防火墙设置向导”界面。
阅读说明文字,点击“下一步”按钮。
图1
(5)进入“安全级别设置”界面,仔细阅读不同的安全级别的安全性说明。
nbsp; 思考:
该界面有何用途?
记住缺省的安全级别,点击“下一步”按钮。
(6)进入“局域网信息设置”界面。
可以看到如图2所示的界面。
仔细阅读该界面的说明。
保留缺省设置不变。
该界面中有两个选择项:
开机的时候自动启动防火墙;我的电脑在局域网中使用。
看看该界面中显示的IP地址是否是本机器地址。
按“刷新”按钮,看效果如何。
点击“下一步”按钮
图2
(7)进入“常用应用程序设置”界面,阅读该界面说明。
仔细浏览在该界面中包含的应用程序。
思考:
如果点击应用程序“InternetExplorer”前面的勾,会产生什么样的后果。
保留缺省的设置,点击“下一步”按钮。
(8)进入“向导设置完成”界面。
按“结束”按钮。
(9)弹出“安装已完成”界面。
该界面有一个选项“安装CNNIC中文域名和通用网址客户端软件”,点击选项前面的勾,取消安装他们。
如图3所示。
图3
(10)弹出标题为“安装”的小窗口,要求重新启动机器。
点击“确定”按钮,重新启动机器。
二、学习天网防火墙的基本功能
3 启动天网防火墙
(1)点击“开始”-》“程序”-》“天网防火墙试用版V2.73”-》“天网防火墙试用版V2.73”。
此时,会谈出一个对话框,要求输入用户名和注册码,选择“取消”按钮,启动天王防火墙。
(2)在任务栏图托盘处会看见一个蓝色的天王防火墙图标,双击该图标,天网防火墙个人版软件就展示在桌面上了,如图4所示。
图4
4 学习应用程序访问网络权限设置功能。
(1)打开一个IE浏览器,试着访问一个网页,看是否能够正常访问。
(2)点击“应用程序规则”按钮
。
显示如图5所示。
图5
(3)找到InternetExplorer应用程序,点击“选项”,弹出一个“应用程序规则高级设置”窗口,如图6所示。
仔细阅读规则。
思考:
当设置规则如图6所示时,此时“不符合上面条件时”对应的操作是选择项 “询问”。
假设要访问的网站使用的是8080端口,如:
8080,在IE浏览器中输入这样的地址后会有什么样的信息出现。
如果将“不符合上面条件时”对应操作改为选择项“禁止操作”,同样访问使用8080端口的网站,会有什么结果出现。
点击“取消”按钮,回到应用程序规则界面。
图6
(4)InternetExplorer应用程序,点击“删除”按钮。
然后打开IE浏览器,试着访问一个网站,看看结果如何。
思考:
将此结果和本步中的第
(1)步的结果相比较,看看有何不同,并思考一下为什么不同。
5学习系统设置功能。
(1)点击“系统设置”按钮
。
弹出系统设置界面,如图7所示。
图7
(2)思考:
如果选中了“启动”项的“开机后自动启动防火墙”,会有什么后果。
(3)思考:
如果勾选“应用程序权限”下的“允许所有的应用程序访问网络,并在规则中记录这些程序”选项,会有什么结果。
点开“在线升级设置”,熟悉相关内容。
6学习网络访问监控功能。
(1)点击“应用程序网络使用状况”按钮
。
弹出界面如图8所示。
将前面的“+”号全部点开,看看针对TCP协议,本机哪些端口处于监听状态,并记录下来。
图8
(2)在该界面中,找到
,点击箭头,显示下拉框,然后在下拉框中选择UDP协议,界面如图9所示。
将前面的“+”号全部点开,看看针对UDP协议,本机哪些端口处于监听状态,并记录下来。
图9
思考:
对正在监听的端口,考虑是哪些应用程序在使用它们。
并通过系统开始菜单中的程序,查找相关程序,验证你的想法。
7学习日志记录功能。
点击“日志”按钮
。
弹出界面如图10所示。
图10
详细读每一条记录,并思考这些记录和哪些本机操作是相关联的。
8学习断开/接通网络功能。
(1)点击断开/接通网络按钮
,当按钮变成
时,打开一个IE窗口,输入刚才访问的网站,看能否再次访问。
思考:
当遇到频繁攻击的时候,最有效的应对方法是什么?
三、理解防火墙的规则
1学习天网防火墙的IP规则
(1)这一步需要两台机器配对作试验。
机器甲安装并启动天网防火墙,机器乙不启动天网防火墙并保证没有加载其他防火墙。
(2)在机器甲上,点击“自定义IP规则”键
,弹出窗口如图11所示。
图11
(3)获取机器甲和机器乙的ip地址。
在机器乙上,使用ping命令ping机器甲,看是否ping的通,思考为什么。
在机器甲上,使用ping命令ping机器乙,看是否ping的通,思考为什么。
例如,机器甲的ip地址为192.169.0.101,则在机器乙上,点击开始—〉运行,然后在“运行”窗口输入命令:
ping192.168.0.101-t,如图12所示,看弹出窗口显示的ping命令执行结果。
图12
(4)在机器甲的天网防火墙IP规则列表中,找到“防止别人用ping命令探测”这一条规则,可以看到,使用缺省规则时这一条前面的方框是打了一个勾的,现在将方框里的勾点击一下,去掉这个勾。
(5)在机器乙上,再次使用ping命令ping机器甲的地址,看弹出窗口显示的ping命令执行结果,将它与第(3)步的相同操作的结果相比较,并思考为什么。
(6)在机器甲的天网防火墙IP规则列表中,找到“禁止所有人连接”这一条规则,可以看到,使用缺省规则时这一条前面的方框是打了一个勾的,现在双击它,看到弹出一个修改IP规则窗口,如图13所示。
图13
(7)仔细读该窗口的相关信息。
思考该规则的功能。
(8)在该窗口中,将“对方IP地址”下的下拉窗口拉开,将“任何地址”改为“指定地址”,如图14所示。
(9)在“指定地址”的右边,填上机器乙的地址。
例如,如果机器乙的地址为192.168.0.102,则在地址栏就填上该地址,如图14所示。
图14
在机器乙上,再次使用ping命令ping机器甲的地址,看弹出窗口显示的ping命令执行结果,将
它与第(3)步的相同操作的结果相比较,并思考为什么。
2、组策略配置
组策略是系统自带的最强大的设置管理工具之一,通过它,能让我们更容易管理计算机甚至网络上的资源。
在Windows2000/XP/2003系统中,已默认安装了组策略管理程序,在“开始->运行”中输入“gpedit.msc”并确定,即可运行。
本文以优化设置系统为主线,全面介绍组策略设置方法与技巧。
注意:
下面的操作均在WindowsXP中进行。
1、用户权限分配
通过用户权限分配,可以为某些用户和组授予或拒绝一些特殊的权限,如更改系统时间,拒绝本地登录等
下列表中列出了一些常用的用户权限分配中的安全策略
策略
说明
从网络访问计算机
拒绝从网络访问这台计算机
默认情况下任何用户都可以从网络访问计算机,可以根据实际需要撤销某用户或某组账户从网络访问计算机的权限
如果某些用户只在本地使用,不允许其通过网络访问此计算机,就可以再此策略的设置中加入该用户
2、安全选项
通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置,安全选项如下图所示:
注意:
要使本地安全策略生效,需要运行“gpupdate"命令或者重启计算机
2、本地组策略
在“开始”菜单-运行“gpedit.msc”命令打开本地组策略编辑器
注意:
针对计算机设置的策略,只对计算机生效,需要重启计算机
升级会员 