comodo防火墙规则设置
comodo防火墙规则设置
防火墙规则,一般分为全局规则和应用程序规则两部分。
1、全局规则:
从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP 等协议进行规则设置的地方。
2、应用程序规则:
从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控
制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。
一、全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们
的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛……
二、应用程序规则的制定,围绕协议、地址和端口这三个要素进行。
1、当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。
2、当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。如非必要,在做规则时,一般可以不填源地址和目标地址。【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】
3、计算机上的端口,理论上有0-65535个,按TCP和UDP 协议分,则TCP端口和UDP端口各有65536个。
在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,
QQ和P2P软件中会使用它。
【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】
【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档
1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】
基本东西了解,程序规则做起来就很简单。
一、先看系统进程:
外网的话,只须允许svchost即可,其它的可以禁止访问网络。
一、svchost的规则如下:
1、域名解析行为允许协议UDP 方向出源端口
1024-65535 目标端口53
2、DHCP服务行为允许
协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】
3、时间同步
行为允许协议UDP 方向出源端口123 目标端口123 4、系统更新行为允许协议TCP
方向出源端口1024-65535 目标端口80和443【不用系统更新的删掉】
5、UPNP 行为允许协议UDP 方向出源地址任意
目标地址239.255.255.250 源端口1024-65535 目标端口1900【不用upnp可以不设】
6、扎口袋行为阻止协议TCP/UDP
方向出/入【从严厉的角度讲,协议应选IP,如果不清楚它是否使用ICMP协议,那就选TCP/UDP即可】
扎口袋的作用,是阻止不必要的弹窗——不在前面规则设定允许之列的一律阻止,不要再来弹窗询问。
如果是内网的话,再加个system的规则即可。只需共享其它计算机文件的,按如下设置:
1、行为允许协议IP 方向出源地址任意目标地址为本地网络1#
同时在全局规则中也添加:行为允许协议IP 方向出源地址任意目标地址为本地网络1#
如果允许其他计算机共享本机文件,按如下设置:
1、行为允许协议IP
方向入源地址本地网络1# 目标地址任意
同时在全局规则中也添加:行为允许协议IP
方向入源地址本地网络1# 目标地址任意
注意:以上规则如果要细化,请将IP协议改为UDP,添上目标端口为137-138;将IP协议改为TCP,添上目标端口为139
也就是把1、行为允许协议IP 方向入源地址本地网络1# 目标地址任意改为
1、行为允许协议UDP 方向入源地址本地网络1# 目标地址任意来源端口任意
目标端口137-138
2、行为允许协议UDP 方向入源地址本地网络1# 目标地址任意
来源端口任意目标端口139
【文件共享,一般只需访问UDP137-138端口(获取机器名称),TCP139端口(传文件)即可;对于2000之类的系统,使用445端口来共享文件,那就再加上UDP445与TCP445端口的规则即可,局域网中共享远程打印,也会使用445端口和upnp服务(该服务一般在svchost中设置即可)】
【对于只想允许特定IP的计算机(例如死党、好友)共享本机文件的情况来说,请把源地址本地网络1#
改为指定的局域网内计算机的IP地址,要允许几台计算机,就添加几条规则】
使用VPN的话,再加个lsass的规则即可。全局规则里可能
需要设置一下协议支持,具体参看VPN的设置方法。
二、应用程序规则,可以分一下类:
1、只做客户端。这是最大的一类。无论这种客户端软件使用的TCP协议还是UDP协议,对于它们来说,规则都是出奇的简单——使用本机的活动端口【1024-65535的高端口】出外连接【方向出】远程计算机【服务端】的服务端口即可。比如我们熟悉的浏览器,以TCP协议的方式连接服务器的80端口【HTTP】,如果需要加密连接【例如网络银行之类的特殊场合】就再加条以TCP协议的方式连接服务器的443端口【HTTPS】,如果要使用代理,那就再加上以TCP协议的方式连接服务器的1080端口、3128端口、8080端口即可。一般应用程序升级,只须HTTP连接即可【以TCP协议的方式连接服务器的80端口】。像联众、中国在线游戏之类的一般性游戏,只须以TCP协议的方式连接远程服务器开放的指定端口,既可登录游戏中心玩游戏。
注意,HTTP服务的端口,标准规定是80端口,但是有些网站却使用其它端口来做HTTP服务【HTTP服务端口是可以设定的】,例如82、83、88、90、1721、8080、8888等。所以,当浏览器的规则设定HTTP访问只能访问80端口时,遇到这样的网站,就会被防火墙拦截而无法正常访问。解决的办法是:一、这种另类网站很少,无视。二、自控掌握,规则结尾写上一条TCP协议的本机高端口访问远程任意端
口时询问的规则。
如果没有在系统服务中禁用DNS
Client服务,域名解析是由svchost进程代劳域名解析的;
如果禁用了该服务,就得启用应用程序本身的域名解析功能,这就需要在规则中添加上一条允许本机高端口【1024-65535】出站连接【方向出】远程UDP【UDP协议】53端口的规则。【域名解析的作用,是把域名翻译成IP地址,因为计算机的网络通信只认IP地址,如果没有域名解析功能,当我们输入https://www.360docs.net/doc/147739234.html,的时候,浏览器就不知道它要连接的是什么
地址,结果就会报错而无法访问。域名解析有TCP和UDP 两种方式,一般只用UDP方式,因为UDP速度快,无需像TCP为了建立一个连接须进行三次握手、为了断开一个连接又须发出确认标志,适合DNS服务的快连快断的特点】。(如果不确定是否需要启用程序的域名解析功能,一般建议在应用程序规则中加上一条域名解析的规则以防万一)
以浏览器规则为例,其规则一般一两条就够了:
2、浏览器
①HTTP访问行为允许协议TCP 方向出源端口
1024-65535 目标端口80,443
②域名解析行为允许
协议UDP 方向出源端口1024-65535 目标端口53
③扎口袋行为阻止协议TCP/UDP 方向出/入
注意,上面的①②两条规则如果合并为一条规则:允许发起对外的访问
行为允许协议IP
方向出时,实际上是比较宽松的,它包含的意思是,允许本机0-65535的端口【实际上应是1024-65535,系统分配给应用程序使用的活动端口号是从1024开始的】以TCP或者UDP的方式访问远程的0-65535端口
,还允许对外发出任意的ICMP消息【只要是全局规则没有禁止的而程序能发的都会被允许】。如果再加上一条扎口袋的规则,它就成了”只允许外联访问“。
2、既是客户端又是服务端。这类软件也很多,P2P软件【迅雷、电驴、快车、网络电视……】、QQ、大型网游【CS、魔兽争霸……】。这类软件,客户端规则与上面第一类基本相同外,由于还会开放本机端口【通常是一个TCP端口和一个UDP端口】做服务端,所以还要加上服务端的规则——允许远程计算机的活动端口来连接【方向入】本机的服务端口【如果想精确控制,那么需要明确写上本机开放的是哪个端口号。由于我们不知道P2P软件究竟设置了哪个端口来做服务端口,模糊处理,可以指定范围——本机允许该软件使用高端口1024-65535范围内的端口来做服务端口,这样做出的P2P软件规则就会具有很大的通用性。倘若采用精确控
制的方法来设定P2P软件的规则,如果所有的P2P软件都套用该规则,那么,就得在P2P软件上改设置——所有的
P2P软件,不论是迅雷还是BT,都只能使用规则中指定的端口来做服务端口,否则就会被防火墙拦截】。
对于这类软件的规则,以P2P规则为例,不做精确控制的话,五条规则即可:
3、P2P规则,不做精确控制的话
①外出访问行为允许协议TCP/UDP
方向出源端口1024-65535 目标端口任意
②接入服务行为允许协议TCP/UDP
方向入源端口1024-65535 目标端口1024-65535
③域名解析行为允许协议UDP
方向出源端口1024-65535 目标端口53
④允许ping出行为允许协议ICMP 方向出ICMP细节:ICMP回显请求
⑤扎口袋
行为阻止协议TCP/UDP 方向出/入
3.1、P2P规则、如果做精确控制,那就是:
①外连访问行为允许协议IP 方向出
②接入服务行为允许协议TCP
方向入源端口1024-65535 目标端口TCP服务端口
③接入服务行为允许协议UDP
方向入源端口1024-65535 目标端口TCP服务端口
④扎口袋行为阻止协议TCP/UDP
方向出/入
考虑到规则中端口限制过死,对于不使用固定端口做服务端口以及软件上开放的服务端口号与规则中不一致时需要进
行修改,很麻烦。那么,我们可以变通一下,使用默认的全局规则出入询问来帮助我们自动精准地对端口。
3.2、补充一点ICMP规则,变通后的P2P程序规则如下:
①外连访问行为允许协议IP 方向出
②回应消息行为允许
协议ICMP 方向入ICMP细节:回应ping
③端口不可达行为允许协议ICMP 方向入ICMP细节:端口不可达
④超时消息行为允许
协议ICMP 方向入ICMP细节:超时
⑤分片消息行为允许协议ICMP
方向入ICMP细节:需要分片
好了,这样5条就已经够用了。使用这5条,已经很安全而又易用地对P2P类的程序网络访问进行了控制。
像QQ这种聊天软件来说,直接套用P2P的规则也无不可,如果模糊控制,那就是两条规则:
4、QQ这种聊天软件模糊控制
①外联访问行为允许协议IP 方向出
②接入服务行为允许
协议TCP/UDP 方向入源端口1024-65535 目标端口1024-65535
4.1、如果要细化一点,作些精确控制,那么就是:
1、允许外出的HTTP访问【本机高端口连接远程服务端的TCP80、443、1080、3128、8080、8000、12000端口】
2、允许ICQ访问【本机UDP4000-4002端口连接远程服务端的UDP8000-8002端口,本机UDP5000-5002端口连接远程服务端的UDP9000-9002端口】
3、接入服务【远程客户端UDP4000-5002端口连入本机UDP9000-9002端口】
4、文件传输TCP方式
【本机高端口1024-65535外出访问远程服务端的高端口1024-65535】
5、文件传输
UDP方式【本机UDP6000-6012端口访问远程服务端的高端口1024-65535】
6、扎口袋或者询问
如果参照上面的P2P经典5条,那么,只须写第一条外连访问即可,开放本机服务端口由弹窗询问来控制。
一般来说,能够进行精确控制的,尽量精确控制。究竟是采
用精确控制还是模糊控制,除了个人选择之外,一般需要根据防火墙类型来确定。像jetico、LNS之类的防火墙,都是采用精确控制的;像风云、毛豆之类的防火墙,可以采取模糊控制;像PCT之类的大多数防火墙,总的设定初看是模
糊控制,而实际使用中是精确控制——当检测到一个应用程序开放某端口时,会弹窗询问,如果用户选择确定,就将允许连入该端口的规则加入白名单。
魔兽争霸等大型网游的规则,与P2P一样,可以单独设置,也可以直接套用P2P规则。
超越以上两类,不知道如何分类才好的,是杀毒软件【这里说的杀毒软件是指具有网络监控和访问服务代理的杀毒软
件(比如卡巴、avast、AVG之类),对于绿色杀软和一般的杀马软件只须升级病毒库的对其升级程序给予HTTP连接的规则即可】的规则。对于杀毒软件的规则,建议采用毛豆默认的规则【只一条】:
全权允许【行为允许协议IP 方向出/入】
如果全局规则按照U版的打磨规则进行了详细的设置,那么,应用程序规则中允许的端口,全局规则中必须放行,否则就会被全局规则拦截而使程序无法正常访问或是影响连接速度。
【最后提请注意一点,在程序规则及数据的过滤上,各种防火墙的控制不一样,有的只须单向过滤即可(例如毛豆、
CHX),有的需要双向控制(例如LNS、JETICO),请根据所用防火墙的特点灵活掌握。本帖所谈内容主要是针对毛豆来讲的。】
好了,基本上就是这样。
罗哩叭嗦说半天,不知道新手是清楚了还是越发糊涂了。水平有限,只能讲成这样子,不对之处还请大家批评指正,以免误人子弟。
注:本文来源卡饭。。。。。。。
关于防火墙规则的简单看法
好多网友发帖询问防火墙规则的做法,看来这些朋友不常到防火墙区走动,那里面有很好的教程啊。为了帮助这些朋友,我简单地说点个人的肤浅看法。 防火墙规则,一般分为全局规则和应用程序规则两部分。 全局规则,从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。 应用程序规则,从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。 TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。 全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。 在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛…… 应用程序规则的制定,围绕协议、地址和端口这三个要素进行。 当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。 当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。 如非必要,在做规则时,一般可以不填源地址和目标地址。 【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】 计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。 在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。 使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,QQ和P2P 软件中会使用它。 【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】 【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】 基本东西了解,程序规则做起来就很简单。 先看系统进程: 外网的话,只须允许svchost即可,其它的可以禁止访问网络。svchost的规则如下: 1、域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53 2、DHCP服务行为允许协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】 3、时间同步行为允许协议UDP 方向出源端口123 目标端口123
天融信版本防火墙常用功能配置手册v
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
comodo防火墙规则设置
comodo防火墙规则设置 防火墙规则,一般分为全局规则和应用程序规则两部分。 1、全局规则: 从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP 等协议进行规则设置的地方。 2、应用程序规则: 从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控 制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。 一、全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们
的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛…… 二、应用程序规则的制定,围绕协议、地址和端口这三个要素进行。 1、当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。 2、当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。如非必要,在做规则时,一般可以不填源地址和目标地址。【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】 3、计算机上的端口,理论上有0-65535个,按TCP和UDP 协议分,则TCP端口和UDP端口各有65536个。 在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,
防火墙软件的安装与配置实验报告
实验三防火墙软件的安装与配置 一、防火墙软件的安装 1.双击已经下载好的安装程序,出现如下图所示的安装界面: 2. 在出现的如上图所示的授权协议后,请仔细阅读协议,如果你同意协议中的所有条款,请选择“我接受此协议”,并单击下一步继续安装。如果你对协议有任何异议可以单击取消,安装程序将会关闭。必须接受授权协议才可以继续安装天网防火墙。如果同意协议,单击下一步将会出现如下选择安装的文件夹的界面:
3.继续点击下一步出现如下图所示的选择“开始”菜单文件夹,用于程序的快捷方式 4.点击下一步出现如下图所示的正在复制文件的界面,此时是软件正在安装,请用户耐心等待。
5.文件复制基本完成后,系统会自动弹出如下图所示的“设置向导”,为了方便大家更好的使用天网防火墙,请仔细设置。 6.单击下一步出现如下图所示的“安全级别设置”。为了保证您能够正常上网并免受他人的 恶意攻击,一般情况下,我们建议大多数用户和新用户选择中等安全级别,对于熟悉天网防火墙设置的用户可以选择自定义级别。
7.单击下一步可以看见如下图所示的“局域网信息设置”,软件将会自动检测你的IP 地址,并记录下来,同时我们也建议您勾选“开机的时候自动启动防火墙”这一选项,以保 证您的电脑随时都受到我们的保护。 8.单击下一步进入“常用应用程序设置”,对于大多数用户和新用户建议使用默认选
项。 9.单击下一步,至此天网防火墙的基本设置已经完成,单击“结束”完成安装过程。
10.请保存好正在进行的其他工作,单击完成,计算机将重新启动使防火墙生效。 二、防火墙软件的配置 1.局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。 3-1:局域网地址设置 2.管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.
comodo教程之COMODO防火墙安简规则
comodo教程之COMODO防火墙安简规则,减少不必要的拦截提示COMODO防火墙规则使用说明by Lorchid 1、规则适用对象:拨号上网、外网用户(无线网络未测试),局域网用户请参照抓抓局域网规则; 2、规则特点: 1) 全局阻止未经允许的连入请求,开放p2p端口,阻止本机危险端口访问; 2) 设置日志过滤,减少不必要的入侵拦截提示; 3) 内置常用系统进程规则,添加常用预设规则,方便直接套用。 3、规则导入说明 导入规则之前请先将D+等级设为禁用。 1) 注册表方式导入:双击comodofw.reg导入,默认导入到配置管理中的第一个规则,不影响原有D+规则; 2) 导入配置文件:该方法仅适用于完全禁用D+的用户。在我的配置管理中选择导入...找到comodofw.cfg 确定,为规则命名并激活。 3) 规则导入后需要自行添加p2p程序开放端口。以迅雷为例,在迅雷配置bt端口设置中可以查看TCP、UDP端口,将查看到的端口对应添加到COMODO防火墙——我的端口组——P2P TCP端口和P2P UD P端口下。 4、预设规则说明: 网页浏览器:浏览器IE、FireFox、Opera等套用此规则;
邮件客户端:Foxmail等邮件客户端套用此规则; FTP客户端:FTP下载工具如FLASHFXP; P2P类型程序:一般P2P类型软件和下载工具,如迅雷、电驴、Bitcomet、pplive、pps等(注:需添加软件中开放的端口); 仅允许连出(受限):不属于上面类型的一般联网程序套用此规则(如QQ、千千静听、大部分联网游戏等),该规则比较宽松,适合绝大多数联网程序; 仅允许连出(全部):与仅允许连出(限制)不同在于允许ping出及允许连接危险端口,如程序在仅允许连出(受限)下不能正常运行请套用此规则; 完全信任程序:允许所有IP进出,但仍受全局规则制约,若联网程序套用“仅允许连出(全部)”不能正常运行请套用此规则; 绝对拦截程序:完全阻止联网,对于非联网程序及想屏蔽的更新程序适用; 绝对拦截程序(无日志):功能同绝对拦截程序,不记录日志; svchost专用:允许域名解析、DHCP服务、时间同步、UPnP及系统自动升级; 仅DNS解析:仅允许域名解析,不需要DHCP服务、时间同步、UPnP及系统自动升级时推荐svchost.e xe套用此规则(默认); 仅允许ping出:仅允许ping对方。>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
防火墙安装调试计划方案
实施方案 1、项目概况 山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。 2、服务范围、服务内容 2.1 供货范围 本工程的供货范围见表2-1所示。 表2-1 供货需求一览表 2.2工作范围 供货商的工作范围包括: a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的 要求。 b)提供所需的系统技术资料和文件,并对其正确性负责。 c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器 仪表(包括调整、测试和校核)。 d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设 备机房)以及现场调试直至成功地投入运行。 e)负责提出设备对供电、接地、消防、运行环境及安装等要求。 f)负责完成与买方另外购买的其它设备接口连接调试工作。 g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试 计划。
h)负责编制试验、验收的计划报告。 i)在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换 任何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。 j)由我公司进行安装调试,并提供售后服务。 k)技术培训。 l)按合同要求为买方提供必要其它的服务。 3、服务依据、工作目标; 3.1 服务依据 《信息技术设备的安全》 GB4943-2001 《建筑物电子信息系统防雷技术规范》GB50343-2004 《环境电磁卫生标准》 GB5175-88 《电磁辐射防护规定》 GB8702-88 《电气装置安装工程施工及验收规范》 GB50254-96 《电气装置安装工程施工及验收规范》 GB50255-96 3.2 工作目标 本工程计划工期30日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。 4、服务机构设置、岗位职责 4.1 服务机构设置 **设立两个服务小组,随时调遣工作。 机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。 下图为我公司的服务机构架构图:
防火墙知识点.
第一章 1.防火墙定义:防火墙是位于两个(或多个)网络之间,实施访问控制策略的一个或一组组件的集合。(或者防火墙是设置在本地计算机或内联网络与外联网络之间,保护本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。) 2.防火墙位置:物理位置,安装在内联网络与外联网络的交界点上;对于个人防火墙来说,是指安装在单台主机硬盘上的软件系统。 逻辑位置:防火墙与网络协议相对应的逻辑层次关系。 3.防火墙理论特性:根据信息安全理论对其提出的要求而设置的安全功能,是各种防火墙的共性作用。 防火墙从理论上讲是分离器、限制器和分析器,即防火墙要实现四类控制功能: 方向控制:防火墙能够控制特定的服务请求通过它的方向; 服务控制:防火墙可以控制用户可以访问的网络服务类型; 行为控制:防火墙能够控制使用特定服务的方式; 用户控制:防火墙能够控制能够进行网络访问的用户。 4.防火墙规则 (1)过滤规则 (2)设计原则:a.拒绝访问一切未予特许的服务:这个原则也被称为限制性原则,在该规则下,防火墙阻断所有的数据流,只允许符合开放规则的数据流进出。 b.允许访问一切未被特许拒绝的服务:该规则也被称为连通性原则,在该规则下, 防火墙只禁止符合屏蔽规则的数据流,而允许转发其他所有数据流。 5.防火墙分类 按采用的主要技术划分:包过滤型防火墙、代理型防火墙 按具体实现划分:(1)多重宿主主机:安放在内联网络和外联网络接口上的一台堡垒主机,它提供最少两个网络接口,一个与内联网络连接,另一个与外联网络连接。 (2)筛选路由器:用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的所有信息进行分析,并按照一定的信息过滤规则对进出内联网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。 (3)屏蔽主机:由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接,而不让他们与内部主机直接相连。 (4)屏蔽子网:它对网络的安全保护通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。 6.防火墙的优点 (1)防火墙是网络安全的屏障 (2)防火墙实现了对内网系统的访问控制 (3)部署NAT机制 (4)提供整体安全解决平台 (5)防止内部信息外泄 (6)监控和审计网络行为 (7)防火墙系统具有集中安全性 (8)在防火墙上可以很方便的监视网络的信息流,并产生警告信息。 7.防火墙的缺点 (1)限制网络服务 (2)对内部用户防范不足 (3)不能防范旁路连接
企业三种流行防火墙配置方案
企业三种流行防火墙配置方案 21世纪是网络经济时代,Internet已经走进千家万户,当我们尽情地在Internet上畅游时,往往把网络的安全问题抛在脑后。其实危险无处不在,防火墙是网络安全的一个重要 防护措施,用于对网络和系统的保护。监控通过防火墙的数据,根据管理员的要求,允许和 禁止特定数据包的通过,并对所有事件进行监控和记录。 最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用 网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。 1、双宿主机网关(Dual Homed Gateway) 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配 器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机 并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络(如图 1)。 2、屏蔽主机网关(Screened Host Gateway) 屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机 两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机 安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图2)。通常在路由器上 设立过滤规则,并使这个单宿堡垒主机成为从 Internet惟一可以访问的主机,确保了内部 网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽 主机和路由器访问Internet.
comodo防火墙使用技巧
安装Comodo前,你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机),关闭Windows 防火墙。重启。 用杀毒软件扫描系统,保证你的系统是干净的。如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。 断开网络连接,暂时停用你的一切保护,双击安装程序开始安装。 这里可以选择Advanced Firewall with Defense+ (包过滤防火墙+ HIPS),或者不需要安装HIPS,可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择安装高级防火墙,以后在使用中,也可以选择不激活Defense + 而成为一个包过滤防火墙。 我们接下来要备份默认规则,运行regedit 导出注册表:HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro 双击运行Comodo,在MISCELLANEOUS -> Manage My Configurations 用Export 导出设置。 图1 为啥备份默认规则? 因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro,然后恢复默认规则。 右键点防火墙托盘图标,去掉Display Ballon Messages ,这个选项本来就应该去掉的,以减少对用户的打扰。 图2 在MISCELLANEOUS -> Settings -> Update 去掉Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。 图3 开始菜单运行里输入services.msc 将Terminal Services 设置成手动,并且启动。 其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。(注:新版已修复此问题,禁用此服务也无所谓) 图4 在MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。 图5 安装结束,重启系统。 第四部分Defense+ 基本设置 自动检测私有网络 Comodo V3 在安装以后会自动检测本地网络连接,弹出相应的提示: 是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、10.200.1.62/255.255.255.252 通常,拨号上网,只要点OK 就可以,或者勾上不自动检测;局域网如果需要共享文件,需要勾上相应的选项。 图6 完全禁用Defense+(高级防火墙和基本防火墙切换)
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.360docs.net/doc/147739234.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
win7防火墙设置规则
Win7系统墙规则设置 Windows Firewall with Advanced Security (Guide for win7) 这篇文章大体上是防火墙高手stem在https://www.360docs.net/doc/147739234.html,/showthread.php?t=239750 里面的Vista系统墙的教程。本人将其翻译成中文然后全部在win7中测试过其可靠性。而且全部例子全部用win7试验过,全部截图都是win7下自己截的,并未使用原作者的图片。我觉得这篇文章确实很好,对喜欢用系统防火墙的用户来说是一个很好的教程。希望大家有所收获。 本文分三个部分,以后还会继续翻译和添加 第一部分:win7系统墙概要 第二部分:规则建立的基本理论知识和实例 第三部分:实战,添加特殊的规则 第一部分:win7系统墙概要 位置:控制面板-windows防火墙
打开后 点击高级设置
里面默认有3种配置文件供你使用,一个是域配置文件,一个是专用配置文件,一个是公用配置文件。一个配置文件可以解释成为一个特定类型的登录点所配置的规则设置文件,他取决于你在哪里登录网络。 域:连接上一个域 专用:这是在可信网络里面使用的,如家庭的网络,资源共享是被允许的。 公用:直接连入Internet或者是不信任的网络,或者你想和网络里面的计算机隔离开来。 当你第一次连接上网络的时候,windows会检测你的网络的类型。如果是一个域的话,那么对应的配置文件会被选中。如果不是一个域,那么防火墙会有一个弹窗,让你选中是“公用的”还是“专用的”,这样你就能决定使用哪个配置文件。如果你在选择后改变了主意,想改变其,那么你就得去“网络和共享”那里。这我们会在后面提到。 在我们进一步深入之前,我们得学会怎样进行出站控制。 选中高级设置图片中的属性(上图打框的那里)
金山词霸2010牛津旗舰破解版最完美的使用方案
【可更新一年】【10.31最新更新】金山词霸2010牛津旗舰破解版【最完美的】的使用方案【新增卡巴防火墙设置方法】2010-10-26 18:51 牛逼的词典,主要是喜欢6本牛津还有他的真人发音,英音的女声实在是非常好听,但是目前网上的破解的结果:不是缺少4本牛津词典就是过一会就只剩下两本毫无用处的英汉词典,还有甚至一打上补丁立即就剩下两本词典,而且局域网,无网用户无法使用。 本文的破解方法最终能达到的效果是 ★146本词典一本不少(原本是147本,但是七国词典中的韩语词典可能由于某种原因被撤了,正版也是这样) ★适用所有用户,包括无网用户,理论上30天试用过期用户也可以使用。 ★可以离线真人发音 ★可以联网查词,可以更新,不影响破解效果 ★请先阅读本文内容 1破解原理部分关键文件的作用主要起抛砖引玉的作用(只求使用的用户可跳过这部分)2有网用户破解的详细操作过程+comodo防火墙设置方法 3无网用户及过期用户破解的详细操作过程 4关于离线使用词典查词和真人发音 5改进 6win7 win2008系统防火墙设置方法 7★词库更新一年的方法 8卡巴2011 套装防火墙设置方法 ★(10.31日更新)必读 词库可更新一年,完全破除目前只能更新一个月的现状(请先阅读文章最后第7部分)★CBpassport 杀软报毒。因为是破解的嘛,报毒很正常,关掉杀软就好了,或把它加到信任。 ★IE9beta 与词霸冲突,会造成取词框变透明,请卸载IE9beta 等待正式版 ————————————————————我是分割线——————————————————————— 1★破解原理部分(10.25日更新的,目前看来有些地方是错误的,不过,与破解步骤无关,因此不做变更)
防火墙安全规则和配置
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
加装防火墙前后的路由器配置
在这里我讲述一下关于加装防火墙前后的路由配置变化,因为在原先没有防火墙的情况下,路由既起到路由选择的作用,又起到网关的作用。当加装防火墙的后,局域网的网关就设为防火墙的局域网IP 地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构: 图1 一、先将进入路由器设置将原来的配置备份一份,虽然这一份备份以后不一定用的上,可是万一防火墙安装失败呢? 图2 下面为没有安装防火墙以前的路由器配置情况。 User Access Verification Password: (键入TELNET密码,如果你是直接用CONSOL口进入没有此项提示) Router>en Password: Router#show config (察看ROUTER配置情况命令) Using 810 out of 7506 bytes !version 12.1 service timestamps debug uptime service timestamps log uptime no service password-e ncryptio n !host name Router (ROUTER名字,这里为默认名字ROUTER)!enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0. no ip address shutdown !interface Serial0
bandwidth 2048 ip address 211.97.213.41 255.255.255.252此为定义ROUTER外部接口的IP ip nat outside 255.255.255.252表示此合法的INTERNET-IP) ip classless ip route 0.0.0.0 0.0.0.0 Serial0 no ip http server !access-list 1 permit 192.168.1.0 0.0.0.255!line con 0 transport input none line vty 0 1 password 123456 login !end Router# 二、按照图 1 装上防火墙。 将从路由器到交换机上的线,改为先从路由器到防火墙,然后用防火墙的 E0 口接交换机。 图3 进入路由器配置模式修改,将路由器的配置改为: Using 942 out of 7506 bytes !version 12.1 service timestamps debug uptime service timestamps log uptime service password-encryption !hostname router !enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0 set transform-set test match address 100
Windows_7防火墙设置详解
Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法,自从Vista开始,Windows的防火墙功能已经是越加臻于完善、今非昔比了,系统防火墙已经成为系统的一个不可或缺的部分,不再像XP那样防护功能简单、配置单一,所以无论是安装哪个第三方防火墙,Windows 7自带的系统防火墙都不应该被关闭掉,反而应该学着使用和熟悉它,对我们的系统信息保护将会大有裨益。 防火墙有软件的也有硬件德,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,下面这张图是Windows 7帮助里截出来的工作原理图: Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,如下图所示:
上图中,天缘启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,具体设置方法,可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。 下面来看一下Windows 7防火墙的几个常规设置方法: 一、打开和关闭Windows防火墙