Solaris 防火墙_ipfilter配置
为Solaris配置IP过滤防火墙
2009-05-11 22:38
IPFilter是目前比较流行的包过滤防火墙软件,它拥有多种平台的版本,安装配置相对比较简单。当前的版本是4.1.15,支持 FreeBSD、NetBSD、Solaris 10、Open Solaris、AIX 等操作系统平台。IPFilter是一个在引导时配置的可加载到内核的模块。这使得它十分安全,因为已不能由用户应用程序篡改。
一、学会编写IPFfilter 规则
通过使用IPFfilter系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下:
action [in|out] option keyword, keyword...
参数说明:
1. 每个规则都以操作开头。如果包与规则匹配,则 Solaris IP 过滤器将操作应用于该包。以下列表包括应用于包的常用操作。
block :阻止包通过过滤器。
pass :允许包通过过滤器。
log :记录包但不确定是阻止包还是传递包。使用 ipmon 命令可查看日志。
count :将包包括在过滤器统计信息中。使用 ipfstat 命令可查看统计信息。
skip number :使过滤器跳过 number 个过滤规则。
auth :请求由验证包信息的用户程序执行包验证。该程序会确定是传递包还是阻止包。
preauth :请求过滤器查看预先验证的列表以确定如何处理包。
2. 操作后面的下一个单词必须是 in 或 out。您的选择将确定是将包过滤规则应用于传入包还是应用于传出包。
3. 接下来,可以从选项列表中进行选择。如果使用多个选项,则这些选项必须采用此处显示的顺序。
log :如果规则是最后一个匹配规则,则记录包。使用 ipmon 命令可查看日志。
quick :如果存在匹配的包,则执行包含 quick 选项的规则。所有进一步的规则检查都将停止。
on interface-name :仅当包移入或移出指定接口时才应用规则。
dup-to interface-name:复制包并将 interface-name 上的副本向外发送到选择指定的 IP 地址。
to interface-name :将包移动到 interface-name 上的外发队列。
4. 指定选项后,可以从确定包是否与规则匹配的各关键字中进行选择。必须按此处显示的顺序使用以下关键字。
tos :基于表示为十六进制或十进制整数的服务类型值,对包进行过滤。
ttl :基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。
proto :与特定协议匹配。可以使用在 /etc/protocols 文件中指定的任何协议名称,或者使用十进制数来表示协议。关键字 tcp/udp 可以用于与 TCP 包或 UDP 包匹配。
from/to/all/any :与以下任一项或所有项匹配:源 IP 地址、目标 IP 地址和端口号。all 关键字用于接受来自所有源和发往所有目标的包。
with :与和包关联的指定属性匹配。在关键字前面插入 not 或 no 一词,以便仅当选项不存在时才与包匹配。
flags :供 TCP 用来基于已设置的 TCP 标志进行过滤。
icmp-type :根据 ICMP 类型进行过滤。仅当 proto 选项设置为 icmp 时才使用此关键字;如果使用 flags 选项,则不使用此关键字。
keep keep-options :确定为包保留的信息。可用的 keep-options 包括 state 选项和 frags 选项。state 选项会保留有关会话的信息,并可以保留在 TCP、UDP 和 ICMP 包中。frags 选项可保留有关包片段的信息,并将该信息应用于后续片段。keep-options 允许匹配包通过,而不会查询访问控制列表。
head number :为过滤规则创建一个新组,该组由数字 number 表示。
group number :将规则添加到编号为 number 的组而不是缺省组。如果未指定其他组,则将所有过滤规则放置在组 0 中。
二、动手编写第一个规则
1.查看IPFilter包过滤防火墙运行情况
Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理,这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是,缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。界面如图1 。
图1 查看IPFilter包过滤防火墙运行情况
IP Filter 有两个服务ipfilter 和pfil,默认情况下ipfilter 是关闭的,而pfil 是打开的。
2.查看网卡接口
lo0:
flags=2001000849
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843
inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255 可以看到网卡接口是pcn0。
3.修改/etc/ipf/pfil.ap 文件
此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下,这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。
vi /etc/ipf/pfil.ap
"/etc/ipf/pfil.ap" 23 DD£?371 ×???
# IP Filter pfil autopush setup
# See the autopush(1M) manpage for more information.
# Format of the entries in this file is:
#major minor lastminor modules
#iprb -1 0 pfil
#elxl -1 0 pfil
#e1000g -1 0 pfil
#bge -1 0 pfil
#nf -1 0 pfil
#fa -1 0 pfil
#ci -1 0 pfil
#el -1 0 pfil
#ipdptp -1 0 pfil
#lane -1 0 pfil
pcn -1 0 pfil
#pcelx -1 0 pfil
#spwr -1 0 pfil
4. 编辑防火墙规则
使服务器对ping没有反应,防止你的服务器对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。TCP/IP
协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改文件添加一行:
block out quick proto icmp from any to 10.1.1.8/24 icmp-type 0
说明:IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp),启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。
我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候,可以使用icmp-type关键字来指定ICMP协议的类型,类型的值以下几种见表1。
表1 ICMP协议内容简介
所以把icmp-type设置为 0即可。
5. 启动服务
使用命令:svcadm enable svc:/network/ipfilter:default
6.使 pfil.ap配置文件生效
autopush -f /etc/ipf/pfil.ap
说明:此步骤只需要做一次,以后更改防火墙规则就不需要再做。
7. 重新引导计算机,使用命令:“reboot”。
8.使用命令再次查看IPFilter包过滤防火墙运行情况如图2 。
图2 查看IPFilter包过滤防火墙运行情况
从图2 可以看到IP Filter 有两个服务ipfilter 和pfil都已经打开。
9.从客户端计算机测试
下面从一台和sorlaris连接的windows 计算机使用ping 命令检测,如图3 。
图3从客户端计算机测试ping操作
三、 IPFilter包过滤防火墙规则编写技巧
在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略,该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后,最好是编写一条规则:首先拒绝全部数据包,然后编写另外的规则:允许使用的端口。你还必须设置两个方向启用允许的服务。例如.用户同时接收和发送电子邮件通常是必要的,于是你需要对sendmail(端口25)包括一条入站和出站规则。
1.技巧一
要阻止从 IP 地址 192.168.0.0/16 传入的流量,需要在规则列表中包
括以下规则:
block in quick from 192.168.0.0/16 to any
下面的例子阻止来自b类网络178.222.0.0的任何数据包:
block in quick from 178.222.0.0/16 to any
2.技巧二
通俗来说就是:禁止是block ,通过是pass ,进入流量是in,出去流量是out 。然后配合起来使用就行了,再加上可以指定在哪个网卡上使用,也就是再加个on pcn0,另外还有一个关键字就是all,这是匹配(禁止或者通过)所有的包。基于IP地址和防火墙接口的基本过滤方式:
block in quick on hme0 from 192.168.0.0/24 to any
block in quick on hme0 from 172.16.0.0/16 to any
pass in all
应用此规则将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
3.技巧三
基于IP地址和防火墙接口的完全双向过滤方式:
block out quick on hme0 from any to 192.168.0.0/24
block out quick on hme0 from any to 172.16.0.0/16
block in quick on hme0 from 192.168.0.0/24 to any
block in quick on hme0 from 172.16.0.0/16 to any
pass in all
应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
4.技巧四
使用“port”关键字对TCP和UDP的端口进行过滤:
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23
pass in all
应用此规则后将阻止从192.168.0.0网段通过8080和23端口对防火墙内的数据通信,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
四、禁用 Solaris IP 过滤防火墙
有些情况可能希望取消激活或禁用包过滤,例如要进行测试另外在认为系统问题是由 Solaris IP 过滤器所导致时,对这些问题进行疑难解答。首先成为管理员权限。
禁用包过滤,并允许所有包传入网络的命令:
# ipf –D
取消激活 Solaris IP 过滤器规则方法:
从内核中删除活动规则集。
# ipf -Fa
此命令取消激活所有的包过滤规则。
删除传入包的过滤规则。
# ipf -Fi
此命令取消激活传入包的包过滤规则。
删除传出包的过滤规则。
# ipf -Fo
此命令取消激活传出包的包过滤规则。
五、查看 Solaris IP 过滤器的日志文件
使用命令如下:
ipmon –o -a [S|N|I] filename
参数说明:
S :显示状态日志文件。
N:显示 NAT 日志文件。
I:显示常规 IP 日志文件。
-a:显示所有的状态日志文件、NAT 日志文件和常规日志文件。
清除包日志文件使用命令:
# ipmon -F
六、 Solaris IP 过滤防火墙的监控和管理
1.查看包过滤规则集
启用 Solaris IP 过滤器后,活动和非活动的包过滤规则集都可以驻留在内核中。活动规则集确定正在对传入包和传出包执行的过滤。非活动规则集也存储规则,但不会使用这些规则,除非使非活动规则集成为活动规则集。可以管理、查看和修改活动和非活动的包过滤规则集。查看装入到内核中的活动包过滤规则集,使用命令:ipfstat –io,如图4 。
图4 查看活动的包过滤规则集
如果希望查看非活动的包过滤规则集。可以同使用命令:
# ipfstat -I –io
2. 激活不同的包过滤规则集
以下示例显示如何将一个包过滤规则集替换为另一个包过滤规则集。
# ipf -Fa -f filename
活动规则集将从内核中删除。filename 文件中的规则将成为活动规则集。
3. 将规则附加到活动的包过滤规则集
以下示例显示如何从命令行将规则添加到活动的包过滤规则集。
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
4.监控整个IP管理器防火墙查看状态表
使用没有参数的ipfstat命令即可,图5 是整个IP过滤器防火墙查看状态表的输出。
图5 整个IP过滤器防火墙查看状态表的输出
另外可以使用命令:“ipfstat -s” 查看 Solaris IP 过滤器的状态统计,使用命令:“ipnat -s” 查看 Solaris IP 过滤器的NAT状态统计。表 2是显示 Solaris IP 过滤器的统计信息的列表,也是对以下操作的一个总结。
表 2是显示 Solaris IP 过滤器的统计信息
七、IPFilter包过滤防火墙不足之处
尽管IPFilter技术十分容易了解,并且对于在网络传输上设置具体的限制特别有用,—般而言,配置IPFilter防火墙存在一些缺点,因为防火墙配置
涉及编写规则,常用规则语言的话法通常对于初学者(特别是Windows 初学者)难于理解,这样数据包过滤可能难于正确配置。当然如果您以前使用Freebsd 那么掌握IPFilter包过滤防火墙就非常简单了。
规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。
虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤防火墙,而是将它和其他设备(如堡垒主机等)联合使用。
附录:Solaris IP 过滤器配置文件示例
以下示例说明了在过滤配置中使用的包过滤规则。示例显示具有 elxl 网络接口的主机上的配置。
# pass and log everything by default
pass in log on elxl0 all
pass out log on elxl0 all
# block, but don't log, incoming packets from other reserved addresses
block in quick on elxl0 from 10.0.0.0/8 to any
block in quick on elxl0 from 172.16.0.0/12 to any
# block and log untrusted internal IPs. 0/32 is notation that replaces
# address of the machine running Solaris IP Filter.
block in log quick from 192.168.1.15 to 0/32
block in log quick from 192.168.1.43 to 0/32
# block and log X11 (port 5555) and remote procedure call and portmapper (port 121) attempts
block in log quick on elxl0 proto tcp from any to 0/32 port = 5555 keep state
block in log quick on elxl0 proto tcp/udp from any to 0/32 port = 121 keep state
说明:此规则集以两个无限制规则开始,分别允许将任何内容传入和传
出 elxl 接口。第二个规则集阻止从专用地址空间 10.0.0.0 和 172.16.0.0 传入的任何包进入防火墙。下一个规则集阻止来自主机的特定内部地址。最后一个规则集阻止从端口 5555 和端口 121 上传入的包。
防火墙的基本配置
防火墙配置
目录 一.防火墙的基本配置原则 (2) 1.防火墙两种情况配置 (2) 2.防火墙的配置中的三个基本原则 (2) 3.网络拓扑图 (3) 二.方案设计原则 (4) 1. 先进性及成熟性 (4) 2. 实用性及经济性 (4) 3. 扩展性及兼容性 (4) 4. 标准化及开放性 (5) 5. 安全性及可维护性 (5) 6. 整合型好 (5) 三.防火墙的初始配置 (6) 1.简述 (6) 2.防火墙的具体配置步骤 (6) 四.Cisco PIX防火墙的基本配置 (8) 1. 连接 (8) 2. 初始化配置 (8) 3. enable命令 (8) 4.定义以太端口 (8) 5. clock (8) 6. 指定接口的安全级别 (9) 7. 配置以太网接口IP地址 (9) 8. access-group (9) 9.配置访问列表 (9) 10. 地址转换(NAT) (10) 11. Port Redirection with Statics (10) 1.命令 (10) 2.实例 (11) 12. 显示及保存结果 (12) 五.过滤型防火墙的访问控制表(ACL)配置 (13) 1. access-list:用于创建访问规则 (13) 2. clear access-list counters:清除访问列表规则的统计信息 (14) 3. ip access-grou (15) 4. show access-list (15) 5. show firewall (16)
一.防火墙的基本配置原则 1.防火墙两种情况配置 拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 2.防火墙的配置中的三个基本原则 (1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
防火墙配置模式
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
东软防火墙配置过程
(一)初始化设备 1)初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
Windows_7防火墙设置详解
Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法,自从Vista开始,Windows的防火墙功能已经是越加臻于完善、今非昔比了,系统防火墙已经成为系统的一个不可或缺的部分,不再像XP那样防护功能简单、配置单一,所以无论是安装哪个第三方防火墙,Windows 7自带的系统防火墙都不应该被关闭掉,反而应该学着使用和熟悉它,对我们的系统信息保护将会大有裨益。 防火墙有软件的也有硬件德,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,下面这张图是Windows 7帮助里截出来的工作原理图: Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,如下图所示:
上图中,天缘启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,具体设置方法,可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。 下面来看一下Windows 7防火墙的几个常规设置方法: 一、打开和关闭Windows防火墙
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
TongWeb服务器安全配置基线
TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)
第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
东软防火墙配置过程
(一)初始化设备 1) 初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
防火墙的构筑及配置
防火墙的构筑及配置 施建强 一、防火墙的类型 目前,比较成熟的防火墙技术主要有以下两种:包过滤技术和代理服务技术。与之相对应出现了构造防火墙的两种基本原则:屏蔽路由器和代理服务器。 1.屏蔽路由器(Screening Router) 屏蔽路由器一般是一个多口IP路由器,用于在内部和外部的主机之间发送数据包,它不但对数据包进行路由发送,还依据一定的安全规则检查数据包,决定是否发送。它依据的规则由站点的安全策略决定,这些规则可根据IP包中信息:IP源地址、IP目的地址、协议、ICP或UDP源端口等进行设置,也可根据路由器知道的信息如数据包到达端口、出去端口进行设置。这些规则由屏蔽路由器强制设置,也称它为包过滤规则。 2.代理服务器(Proxy Server) 代理服务器是运行在防火墙主机上的专门应用程序或服务器程序。这些程序接受用户对Internet 服务的请求,并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接,充当服务的网关,因此又称为应用级网关。 二、防火墙的体系结构 实际构筑防火墙时,一般是使用多种不同部件的组合,每个部件有其解决问题的重点。由于整个网络的拓扑结构、应用和协议的需要不同,防火墙的配置和实现方式也千差万别。以下是几种常用的防火墙实现方式及其优缺点。 1.筛选路由器 (Screening router) 筛选路由器通常又称包过滤(Packet filter)防火墙。它一般作用在网络层(IP层),对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包作允许拒绝的决定。采用这种技术的防火墙优点在于速度快、实现方便但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。 2.双宿主主机(双宿网关)(Dual-Homed Host) 双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外网络之间的IP
交换机设备安全基线
H3C设备安全配置基线 目录 第1章概述 ................................................................................................................................ 1.1目的.................................................................................................................................... 1.2适用范围............................................................................................................................ 1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 .................................................................................... 2.1帐号管理............................................................................................................................ 2.1.1用户帐号分配* .......................................................................................................... 2.1.2删除无关的帐号* ...................................................................................................... 2.2口令.................................................................................................................................... 2.2.1静态口令以密文形式存放 ........................................................................................ 2.2.2帐号、口令和授权 .................................................................................................... 2.2.3密码复杂度 ................................................................................................................ 2.3授权.................................................................................................................................... 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................ 3.1日志安全............................................................................................................................ 3.1.1启用信息中心 ............................................................................................................ 3.1.2开启NTP服务保证记录的时间的准确性................................................................ 3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................ 4.1IP协议 ............................................................................................................................... 4.1.1VRRP认证................................................................................................................... 4.1.2系统远程服务只允许特定地址访问 ........................................................................
防火墙的配置及应用
防火墙的配置及应用 一、防火墙概念: 防火墙是指设置在不同网络之间,比如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。防火墙是企业网络安全的屏蔽,它可以强化网络安全策略,对网络访问和内部资源使用进行监控审计,防止敏感信息的泄漏。 二、如何合理实施防火墙的配置呢? 1.动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤; 2.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题; 3.可以设置信任域与不信任域之间数据出入的策略; 4.可以定义规则计划,使得系统在某一时可以自动启用和关闭策略; 5.具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出; 6.具有IPSec VPN功能,可以实现跨互联网安全的远程访问; 7.具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员; 8.具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃; 9.Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。 三、Windows 系统中的防火墙实例 1、打开Windows XP的访问控制面板,这里包括Windows 自带防火墙。
防火墙配置
第1章防火墙配置 1.1 防火墙简介 防火墙一方面阻止来自因特网的对受保护网络的未授权的访问,另一方面允许 内部网络的用户对因特网进行Web访问或收发E-mail等。 应用:1)作为一个访问网络的权限控制关口,如允许组织内的特定的主机可以 访问外网。2)在组织网络内部保护大型机和重要的资源(如数据)。对受保护 数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据, 也要经过防火墙。 类型:目前设备中的防火墙主要是指基于访问控制列表(ACL)的包过滤(以 下简称ACL/包过滤)、基于应用层状态的包过滤(以下简称状态防火墙ASPF, Application Specific Packet Filter)和地址转换。 1.1.1 ACL/包过滤防火墙简介 ACL/包过滤应用在设备中,为设备增加了对数据包的过滤功能。 工作过程:对设备需要转发的数据包,先获取数据包的包头信息,包括IP层所 承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等, 然后和设定的ACL(访问控制列表)规则进行比较,根据比较的结果决定对数 据包进行相应的处理。 1.2 包过滤防火墙配置 1.启用防火墙功能 进入系统视图system-view 启用防火墙功能firewall enable 2.配置防火墙的缺省过滤方式 防火墙的缺省过滤方式,即在没有一个合适的规则去判定用户数据包是否可以通过的时候,防火墙采取的策略是允许还是禁止该数据包通过。在防火墙开启时,缺省过滤方式为“允许”进入系统视图system-view 设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny } 3.配置访问控制列表 4.在接口上应用访问控制列表
Windows系统安全配置基线
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
学习防火墙的配置方法..
在前几篇对防火墙的有关知识和技术作了一个较全面的介绍,本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则: (1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以
防火墙配置实例
C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside
security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS
天网防火墙配置详解
天网防火墙配置详解 2007-03-28 19:39 由于天网防火墙有正式版(收费的版本,服务好,功能强)和试用版(免费,用的人很多,高级功能受一些限制)之分,本人支持正版软件,所以这里就以正式版为例给大家介绍,试用版的界面和操作基本都一样,使用试用版的可以参考类似的操作。 安装完后要重起,重起后打开天网防火墙就能起到作用了。默认情况下,它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。 一、普通应用(默认情况) 下面来介绍天网的一些简单设置,如下图一是系统设置界面,大家可以参照来设置:图一 此主题相关图片如下: 【 下面是IP规则,一般默认就可以了,其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的,因为我们再介绍,这里是默认情况就不多说了。图二 此主题相关图片如下:
下面是各个程序使用及监听端口的情况,可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。图三 此主题相关图片如下:
再看下图就是日志,上面记录了你程序访问网络的记录,局域网,和网上被IP扫描你端口的情况,供参考以便采取相应对策,由于是默认就不多说了,日志上基本都是拒绝的操作。图四 此主题相关图片如下:
以上是天网在默认下的一些情况,只要你没什么特殊要求,如开放某些端口或屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。 二、防火墙开放端口应用 如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图五,在自定义IP规则里双击进行新规则设置。图五 此主题相关图片如下