k第十一周防火墙技术(第23章)讲述.ppt

当选择了不允许例外，Windows 防火墙将拦截所有的连接你的计算机的网络请求, 包括在例外选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的侦测。使用不允许例外选项的windows 防火墙比较适用于连接在公共网络上个人计算机，比如在宾馆和机场公共使用的计算机。即使使用了不允许例外选项的windows 防火墙，仍然可以浏览网页，发送接受电子邮件，或者使用即使通讯软件。 例外选项卡 练习：Windows 防火墙 例外选项卡中允许添加阻止规则例外的程序和端口来允许特定的进站通讯。对于每一个例外项，都可以相应的设置一个作用域。对于家用和小型办公室应用网络，推荐设置作用域为可能的本地网络。当然，也可以手工设置作用域中IP的范围。这样，只有来自特定的IP地址范围的网络请求才能被接受。 例如，针对WWW服务器，可以开放80端口，FTP可以开放20，21端口。 例外选项卡 练习：Windows 防火墙 在例外选项卡中还有一个添加程序的按钮。如果希望网络中（防火墙外）的其他客户端能够访问本地的某个特定的程序或服务，而又不知道这个程序或服务将使用哪一个端口和哪一类型端口，这种情况下可以将这个程序或者服务添加到Windows 防火墙的例外项中以保证它能被外部访问。例如学校的办公系统。 例外选项卡 练习：Windows 防火墙 在高级选项卡中可以配置以下设定： 　　应用在每个网络界面上的连接特定规则 　　安全记录配置 　　全局ICMP规则，通过Internet控制消息协议(ICMP)允许网络上的计算机共享和传递 错误和状态信息。 　　默认设置，可以将所有Windows防火墙设置还原为默认状态。 高级选项卡 练习：Windows 防火墙 启用或禁用Internet控制消息协议（ICMP） ：打开“网络连接”。 单击已启用Internet连接防火墙的连接，然后在“网络任务”→“更改该连接的设置”→单击“高级”→“设置”→“ICMP”选项卡上，选中希望你的计算机响应的请求信息类型旁边的复选框。例如允许别人PING你的计算机。 高级选项卡 练习：Windows 防火墙 * 欢迎辞 * 书本补充部分P65 防止会话劫持，最好的方法还是加密。例如SSH,Kerberos * * 　　所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。 * 在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。 * 双宿主主机结构防火墙 * 屏蔽主机防火墙 主要的安全机制由屏蔽路由器来提供 包过滤，只允许外部访问堡垒主机的IP包通过 堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机（而看不到内部网络其它部分） 因此，堡垒主机需要保持更高的安全等级 内部网的其它主机可自由访问外网 * 屏蔽主机防火墙 * 屏蔽主机防火墙 优点： 外部网对内部网的可控访问 适合于向外提供网络服务的系统 问题： 如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。 配置复杂 下面来看一下路由器不被正常路由的情况，这会降低系统的安全性。 下图显示了正常的路由情况，路由器的路由表指向堡垒主机。内部网络号是，堡垒主机的IP地址为，路由表的内容为： 目的： 转发至： 这样，网络上所有的流量都被转发到堡垒主机上。 屏蔽主机防火墙 图 正常的路由情况 屏蔽主机防火墙 下图显示了路由表被破坏的情形，堡垒主机的路由项目被从路由表中删除，这样，进入屏蔽路由器的流量就不会被转发到堡垒主机上，可能被转发到另一主机上，即外部主机直接访问了内部主机而绕过了防火墙。在这种情况下，过滤路由器成了惟一的防线，在前面讲过屏蔽路由器的安全性较差，这样入侵者就很容易突破屏蔽路由器，内部网络也就处于危险之中了。 屏蔽主机防火墙 图 路由表被破坏的情形 屏蔽主机防火墙 * 屏蔽子网防火墙 添加额外的安全层：周边网，将内部网与因特网进一 步隔开。 周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。 屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。 两个屏蔽路由器的规则设置的侧重点不同。 外部路由器只