关于防火墙规则的简单看法
简述防火墙的基本执行准则 -回复
简述防火墙的基本执行准则-回复防火墙的基本执行准则是指在设计和配置防火墙时应遵循的一系列原则和规则,这些准则旨在确保网络的安全和保护系统免受恶意攻击。
1.最小权限原则最小权限原则要求将网络上的所有资源划分为不同的安全区域,并为每个区域分配最小权限,只允许必要的网络流量通过。
通过应用最小权限原则,可以最大程度地减少被攻击的可能性。
2.防御深度防火墙执行准则中的防御深度指的是在网络层、主机层和应用程序层实施多层次的安全控制和防护措施。
这种层层防护机制可以增加攻击者的难度,即便他们成功绕过了一层防御,仍然会被另一层防御所拦截。
3.认证和身份验证认证和身份验证是确保网络安全的关键要素之一。
防火墙应能有效识别并验证发送数据包的实体身份。
常见的身份验证方法包括用户名和密码、数字证书等。
只有通过了身份验证的用户才能访问受保护的系统和资源。
4.访问控制列表(ACL)访问控制列表(ACL)用于根据预定义的规则对网络流量进行过滤和管理。
ACL可以基于来源IP地址、目标IP地址、传输协议、端口号等对网络流量进行筛选和限制。
有效的ACL能够防止未经授权的用户或恶意攻击者访问受保护的资源。
5.漏洞管理防火墙执行准则中的漏洞管理是指定期检查和修复网络设备、操作系统和应用程序中的安全漏洞。
及时修复这些漏洞是保持网络安全的关键步骤之一,因为漏洞可能被利用来绕过防火墙和入侵系统。
6.日志记录和监控防火墙应具备日志记录和监控功能,可以记录和跟踪通过防火墙的网络流量、事件和故障。
日志记录和监控可以提供实时的安全状态和网络活动信息,帮助及时识别和响应潜在的安全威胁。
7.定期审计与更新防火墙执行准则还包括定期对防火墙的配置进行审计和更新。
定期审计可以检查配置的准确性和一致性,确保防火墙规则能够满足当前的安全需求。
同时,应及时更新防火墙软件和固件版本,以获取最新的功能和安全补丁。
总结起来,防火墙的基本执行准则是通过最小权限原则、防御深度、认证和身份验证、访问控制列表、漏洞管理、日志记录和监控、定期审计与更新等措施来保护网络安全和确保系统的完整性和可用性。
配置防火墙规则
配置防火墙规则全文共四篇示例,供读者参考第一篇示例:在网络安全领域,配置防火墙规则是一项至关重要的工作。
防火墙是网络安全的第一道防线,可以帮助阻挡恶意攻击和保护网络安全。
合理的配置防火墙规则是确保网络系统安全的关键步骤之一。
一、了解防火墙规则的作用防火墙规则是指防火墙设备针对网络流量所设定的一系列规则和策略。
通过配置这些规则,可以控制网络流量的进出方向、端口、IP地址等参数,从而实现对网络流量的过滤和监控。
防火墙规则可以帮助防止未经授权的网络访问、拦截恶意攻击、保护网络系统免受攻击。
二、配置防火墙规则的基本原则1. 遵循最小权限原则:只开放必要的网络端口和服务,限制不必要的访问。
避免过度开放端口和服务,减少网络攻击的风险。
2. 区分内网和外网:根据网络拓扑结构,对内网和外网的流量进行区分和筛选。
设立不同的规则,确保内网外网的安全可控。
3. 实时监控和调整:随着网络环境的变化和攻击手段的更新,防火墙规则也需要不断调整和优化。
实时监控网络流量,发现问题及时修复。
4. 确保防火墙规则的完整性和一致性:所有的防火墙规则需要经过严格的审核和验证,确保规则的完整性和一致性,避免规则之间的冲突和漏洞。
1. 制定防火墙策略:根据网络安全需求和实际情况,制定合适的防火墙策略和规则。
确定允许的网络流量和拒绝的网络流量,确保网络系统的安全。
2. 编写防火墙规则:根据制定的防火墙策略,编写具体的防火墙规则。
规定网络流量的源地址、目标地址、端口号等条件,实现对网络流量的精确控制。
3. 设置规则执行顺序:根据规则的优先级和执行顺序,设置规则的执行顺序。
确保规则的执行顺序正确,避免规则之间的冲突和漏洞。
4. 测试规则有效性:在实际环境中测试防火墙规则的有效性和可靠性。
模拟各种攻击情况,检验规则的防御效果,并根据测试结果对规则进行优化和调整。
四、优化防火墙规则的方法1. 定期审查和更新规则:定期审查和更新防火墙规则,确保规则与网络环境的变化同步。
防火墙的基本原则
防火墙的基本原则
防火墙的基本原则包括以下几点:
1. 最小权限原则:只允许必要的网络流量通过防火墙,禁止一切不
必要的流量。
只开放必需的端口和服务,并对其进行严格的访问控制。
2. 默认拒绝原则:防火墙应该默认拒绝所有未明确允许的流量,只
允许经过授权的流量通过。
这意味着所有流量都必须经过明确的规
则和策略才能通过防火墙。
3. 分层防御原则:防火墙应该采用多层次的防御策略,包括网络层、传输层和应用层的防护。
这样可以提高安全性,并减少攻击者的成
功几率。
4. 审计和日志原则:防火墙应该记录所有通过它的流量,并生成详
细的日志。
这样可以帮助管理员及时发现和应对潜在的安全威胁,
以及进行后续的审计和调查。
5. 定期更新原则:防火墙的软件和规则应该定期更新,以保持对最
新威胁的防护能力。
同时,也需要定期对防火墙进行安全审计和漏
洞扫描,及时修补发现的安全漏洞。
6. 强密码和身份验证原则:防火墙的管理界面和远程访问应该使用
强密码,并且需要进行身份验证。
这样可以防止未经授权的人员对
防火墙进行操作和访问。
7. 定期备份原则:防火墙的配置和日志应该定期备份,并存储在安
全的地方。
这样可以在出现故障或被攻击时,快速恢复防火墙的功
能和数据。
8. 教育和培训原则:管理员和用户应该接受相关的教育和培训,了解防火墙的基本原理和使用方法。
这样可以提高防火墙的有效性,并减少人为失误导致的安全问题。
以上是防火墙的基本原则,通过遵循这些原则可以提高防火墙的安全性和有效性,保护网络免受各种威胁。
网络防火墙的基本原则和策略配置方法(八)
网络防火墙的基本原则和策略配置方法随着互联网的快速发展和普及,网络安全问题也日益凸显。
在网络安全防护中,网络防火墙扮演着至关重要的角色。
网络防火墙作为一道安全屏障,保护着企业网络不受恶意攻击和非法访问。
为了更好地了解网络防火墙的基本原则和策略配置方法,我们将从以下几个方面展开论述。
一、网络防火墙的基本原则1. 白名单原则白名单原则是网络防火墙配置的基本原则之一。
它要求只允许经过授权或有合法需求的用户/主机发起的数据包通过防火墙,其他来源的数据包一律阻断。
这样做的好处是大大降低了网络被攻击的风险,增强了网络的安全性。
2. 黑名单原则黑名单原则是网络防火墙配置的另一个基本原则。
与白名单原则相反,黑名单原则是指不允许特定的用户/主机发起的数据包通过防火墙,其他数据包一律放行。
黑名单原则常用于限制一些具有恶意行为或无效数据包的访问,以减少网络威胁。
3. 分层原则分层原则是网络防火墙配置的重要原则之一。
它要求将网络防火墙划分为不同的层次,分别进行配置和管理。
一般来说,网络防火墙可以分为边界防火墙、内部防火墙和主机防火墙。
分层原则的好处是能够更细致地控制访问权限,增加网络的安全性。
二、网络防火墙的策略配置方法1. 访问控制策略访问控制策略是网络防火墙配置中最重要的一项。
它通过对数据包的源地址、目的地址、源端口、目的端口等进行检查和筛选,来判断是否允许通过防火墙。
针对不同的业务需求,可以配置不同的访问控制策略,包括允许、拒绝、丢弃、日志等操作。
合理的访问控制策略可以大大提高网络的安全性。
2. 应用层代理策略应用层代理策略是指在网络防火墙上运行特定的应用程序来处理特定的网络请求。
它可以对应用层的数据进行检查和处理,提高网络的安全性和性能。
例如,可以配置邮件代理来检查和过滤恶意邮件,或者配置Web代理来过滤非法网站等。
应用层代理策略可以根据实际需要进行配置,以满足不同的安全需求。
3. 安全认证策略安全认证策略是网络防火墙配置中的重要组成部分。
防火墙的体系结构及原理
防火墙的体系结构及原理防火墙是构建网络安全体系的重要设备,它位于网络边缘,负责过滤、检测和阻止非法或有损害的网络流量进入或传出网络,同时允许合法的流量通过。
以下是防火墙的体系结构及原理的正式版说明:一、防火墙的体系结构1.边界设备边界设备是指放置在网络边缘的硬件设备,如路由器、交换机等。
它们负责网路流量的传输和转发,并起到连接内部网络和外部网络的桥梁作用。
2.过滤规则过滤规则是指防火墙根据网络流量的特征进行设置的规则。
它们决定了哪些流量可以通过防火墙,哪些需要被拦截或阻止。
过滤规则通常基于源地址、目标地址、协议、端口等参数进行设置。
3.安全策略安全策略是指防火墙的整体安全规划和管理策略。
它包括网络拓扑规划、身份认证、用户权限管理、访问控制等,以保障网络的安全性和合规性。
安全策略需要根据具体的网络环境和需求进行设计和实施。
二、防火墙的原理防火墙工作的原理主要包括数据过滤、状态检测和安全认证三个方面。
1.数据过滤数据过滤是指防火墙根据设定的过滤规则,对网络流量进行过滤和判断。
它分为包过滤和代理过滤两种方式。
-包过滤:防火墙会根据源地址、目标地址、协议和端口等信息过滤网络流量。
只有符合规则的数据包才能通过防火墙,不符合规则的数据包将被丢弃或阻止。
-代理过滤:在代理过滤中,防火墙会先完全接收数据包,然后解析、检测和过滤其中的有效信息。
只有符合规则的数据包才会被发送到目标主机,不符合规则的数据包将被丢弃或阻止。
2.状态检测状态检测是指防火墙根据网络会话的状态进行判断。
它可以检测网络会话的建立、维护和结束等过程,并根据设定的规则对会话进行处理。
-建立:防火墙会检测网络会话的建立请求,验证其合法性并记录相关信息。
-维护:防火墙会监控网络会话的状态,确保会话的持续和正常进行。
-结束:防火墙会检测网络会话的结束请求,关闭相关的会话连接并释放相关资源。
3.安全认证安全认证是指防火墙对网络流量进行身份验证和授权的过程。
防火墙的基本配置原则【精选】
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。
但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。
同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。
首先介绍一些基本的配置原则。
一. 防火墙的基本配置原则默认情况下,所有的防火墙都是按以下两种情况配置的:●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。
其实这也是任何事物的基本原则。
越简单的实现方式,越容易理解和使用。
而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。
但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。
但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
03防火墙安全规则
03防火墙安全规则防火墙是网络安全的重要组成部分,其作用是保护网络免受恶意攻击和未经授权的访问。
防火墙安全规则是指在防火墙配置中设置的一系列规则,用于控制网络流量的传输和访问,以确保网络的安全性和稳定性。
下面将介绍一些常用的防火墙安全规则。
1.拒绝所有不必要的通信:在防火墙配置中设置默认规则,拒绝所有未经授权的通信。
通过这一设置,可以防止未经授权的外部主机访问内部网络,并减少恶意攻击的风险。
2.允许必要的通信:根据网络使用需求,设置允许特定通信的规则。
例如,允许出站的HTTP和HTTPS流量,以便内部用户能够浏览互联网;允许内部用户通过VPN访问公司的内部资源等。
需要注意的是,这些规则应该基于业务需要,并且仅限于所需的端口和协议。
3. 防止常见攻击:设置防止常见攻击的规则,例如防止SYN Flood、Ping Flood和ICMP Flood等DDoS攻击。
这些规则可以过滤掉一些恶意的数据包,从而减少网络遭受攻击的风险。
4.限制远程访问:对远程访问的规则进行严格限制,以防止未经授权的远程连接。
可以通过限制源IP地址、端口和协议,以及使用双因素认证等方式来实现。
5.限制内部访问:设置内部访问规则,限制内部用户对外部网络的访问。
防止内部用户恶意行为或误操作给公司带来损害。
例如,限制文件传输协议(FTP)的使用,以防止机密数据被泄露。
6.日志记录和监控:设置防火墙日志记录和监控规则,以便对网络流量进行实时监控和分析。
通过记录日志,可以及时发现异常流量、潜在的威胁和攻击,并采取相应的应对措施。
7.定期审查和更新:定期审查防火墙规则,并及时更新和修改不再需要的规则。
网络环境和业务需求经常变化,需要定期对防火墙规则进行评估和调整,以保持网络的安全性。
8.强化访问控制:设置访问控制列表(ACL)来限制网络流量的传输和访问。
可以根据源IP地址、目标IP地址、端口号和协议等信息进行精确的访问控制。
9.多层次防护:使用多层次的防火墙安全规则,以增加安全性。
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。
但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。
同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。
首先介绍一些基本的配置原则。
一. 防火墙的基本配置原则默认情况下,所有的防火墙都是按以下两种情况配置的:●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。
其实这也是任何事物的基本原则。
越简单的实现方式,越容易理解和使用。
而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。
但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。
但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
防火墙原理与作用
防火墙原理与作用
防火墙(Firewall)是一种针对计算机网络的安全设备,它可
以根据预先设定的规则,控制网络通信的流量进出,以保护网络免受未经授权的访问和攻击。
防火墙的原理和作用:
1. 分割访问权限:防火墙根据设定的规则,将网络划分为不同的安全区域,即内部网络区域和外部网络区域。
仅允许授权的流量通过,阻止未经授权的流量,从而实现访问权限的分割。
2. 过滤数据包:防火墙能够检查每个进出网络的数据包的源、目的地址、端口及协议等信息,并根据设定的规则进行过滤。
例如,可以根据端口屏蔽某些特定的网络服务,或者根据IP
地址屏蔽某些具体的计算机。
3. 堵塞恶意流量:防火墙能够识别并堵塞一些已知的恶意流量,如病毒、恶意软件、木马程序等,以及一些已知的网络攻击,如DDoS攻击、端口扫描等。
4. 保护隐私数据:防火墙可以阻止一些潜在的威胁,如未经授权的用户对敏感信息的访问,避免隐私泄露。
5. 日志记录和审计:防火墙能记录网络流量、事件和安全事件,提供日志信息和审计功能,便于对网络安全进行监控和调查。
6. VPN支持:防火墙通常支持虚拟专用网络(VPN)的建立与管理,可以提供远程访问的安全通道,增强网络的安全性。
防火墙规则设置
防火墙规则设置
好呀,以下是为您生成的关于“防火墙规则设置”的文章:
嘿,朋友们!今天咱们来聊聊防火墙规则设置这回事儿。
啥是防火墙规则设置呢?简单说,就是给咱网络世界的大门安个聪
明的保安,让它知道啥能进,啥不能进。
这可重要啦,要是设置不好,那麻烦可就大了!
先来说说允许的行为。
比如说,咱自己常用的那些正规网站,像购
物的、查资料的,这都得让它们能顺利进来,不然咱咋办事儿呢?还
有和工作相关的软件、程序,得让它们能正常运行,不然工作可就没
法开展啦。
但是呢,也有好多禁止的行为。
那些一看就不靠谱的、乱七八糟的
网站,可不能让它们进来,说不定里面就有病毒、木马啥的,会把咱
的电脑、手机弄瘫痪。
还有那种来路不明的软件,想偷偷溜进来,没
门儿!
比如说,你要是不小心让一个到处乱发广告的网站通过了防火墙,
那好家伙,你的屏幕上就会被各种烦人的广告占满,啥都干不了。
再
比如,要是让一个有恶意代码的软件进来了,它可能会偷你的信息,
甚至把你的重要文件都给搞坏喽。
那怎么设置好防火墙规则呢?首先得清楚自己的需求,知道自己平
常都干啥,哪些是必须要放行的。
然后呢,定期更新防火墙的规则,
因为网络世界变化快,新的威胁不断出现。
还有啊,别乱下载一些来
历不明的东西,这很容易让防火墙的工作变得更复杂。
总之,防火墙规则设置就像是给咱的网络小窝安了一道坚固的门,
得用心设置,才能让好的进来,把坏的挡在外面,让咱们在网络世界
里能安心、愉快地玩耍和工作!
怎么样,朋友们,是不是对防火墙规则设置有点清楚啦?好好设置,保护好咱们的网络家园哟!。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
好多网友发帖询问防火墙规则的做法,看来这些朋友不常到防火墙区走动,那里面有很好的教程啊。
为了帮助这些朋友,我简单地说点个人的肤浅看法。
防火墙规则,一般分为全局规则和应用程序规则两部分。
全局规则,从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。
应用程序规则,从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。
TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。
全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。
在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。
因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛……应用程序规则的制定,围绕协议、地址和端口这三个要素进行。
当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。
当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。
如非必要,在做规则时,一般可以不填源地址和目标地址。
【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。
名词虽不同,意思都是一样的】计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。
在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。
高端口与低端口的名称,源自端口号的大小,是一种俗称。
使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。
TCP连接是可靠连接,网络数据传输中使用得比较多。
UDP连接虽然是不可靠连接,但是传输速度较快,QQ和P2P 软件中会使用它。
【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。
xp的常用端口是1024-5000,vista的好像是49512-65535。
一般情况下,偷懒的话,直接选满档1024-65535即可。
注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】基本东西了解,程序规则做起来就很简单。
先看系统进程:外网的话,只须允许svchost即可,其它的可以禁止访问网络。
svchost的规则如下:1、域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口532、DHCP服务行为允许协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】3、时间同步行为允许协议UDP 方向出源端口123 目标端口1234、系统更新行为允许协议TCP 方向出源端口1024-65535 目标端口80和443【不用系统更新的删掉】5、UPNP 行为允许协议UDP 方向出源地址任意目标地址239.255.255.250 源端口1024-65535 目标端口1900【不用upnp可以不设】6、扎口袋行为阻止协议TCP/UDP 方向出/入【从严厉的角度讲,协议应选IP,如果不清楚它是否使用ICMP协议,那就选TCP/UDP即可】扎口袋的作用,是阻止不必要的弹窗——不在前面规则设定允许之列的一律阻止,不要再来弹窗询问。
如果是内网的话,再加个system的规则即可。
只需共享其它计算机文件的,按如下设置:1、行为允许协议IP 方向出源地址任意目标地址为本地网络1#同时在全局规则中也添加:行为允许协议IP 方向出源地址任意目标地址为本地网络1#如果允许其他计算机共享本机文件,按如下设置:1、行为允许协议IP 方向入源地址本地网络1# 目标地址任意同时在全局规则中也添加:行为允许协议IP 方向入源地址本地网络1# 目标地址任意注意:以上规则如果要细化,请将IP协议改为UDP,添上目标端口为137-138;将IP协议改为TCP,添上目标端口为139也就是把1、行为允许协议IP 方向入源地址本地网络1# 目标地址任意改为1、行为允许协议UDP 方向入源地址本地网络1# 目标地址任意来源端口任意目标端口137-1382、行为允许协议UDP 方向入源地址本地网络1# 目标地址任意来源端口任意目标端口139【文件共享,一般只需访问UDP137-138端口(获取机器名称),TCP139端口(传文件)即可;对于2000之类的系统,使用445端口来共享文件,那就再加上UDP445与TCP445端口的规则即可,局域网中共享远程打印,也会使用445端口和upnp服务(该服务一般在svchost中设置即可)】【对于只想允许特定IP的计算机(例如死党、好友)共享本机文件的情况来说,请把源地址本地网络1# 改为指定的局域网内计算机的IP地址,要允许几台计算机,就添加几条规则】使用VPN的话,再加个lsass的规则即可。
全局规则里可能需要设置一下协议支持,具体参看VPN的设置方法。
应用程序规则,可以分一下类:1、只做客户端。
这是最大的一类。
无论这种客户端软件使用的TCP协议还是UDP协议,对于它们来说,规则都是出奇的简单——使用本机的活动端口【1024-65535的高端口】出外连接【方向出】远程计算机【服务端】的服务端口即可。
比如我们熟悉的浏览器,以TCP协议的方式连接服务器的80端口【HTTP】,如果需要加密连接【例如网络银行之类的特殊场合】就再加条以TCP协议的方式连接服务器的443端口【HTTPS】,如果要使用代理,那就再加上以TCP协议的方式连接服务器的1080端口、3128端口、8080端口即可。
一般应用程序升级,只须HTTP连接即可【以TCP协议的方式连接服务器的80端口】。
像联众、中国在线游戏之类的一般性游戏,只须以TCP协议的方式连接远程服务器开放的指定端口,既可登录游戏中心玩游戏。
注意,HTTP服务的端口,标准规定是80端口,但是有些网站却使用其它端口来做HTTP服务【HTTP 服务端口是可以设定的】,例如82、83、88、90、1721、8080、8888等。
所以,当浏览器的规则设定HTTP访问只能访问80端口时,遇到这样的网站,就会被防火墙拦截而无法正常访问。
解决的办法是:一、这种另类网站很少,无视。
二、自控掌握,规则结尾写上一条TCP协议的本机高端口访问远程任意端口时询问的规则。
如果没有在系统服务中禁用DNS Client服务,域名解析是由svchost进程代劳域名解析的;如果禁用了该服务,就得启用应用程序本身的域名解析功能,这就需要在规则中添加上一条允许本机高端口【1024-65535】出站连接【方向出】远程UDP【UDP协议】53端口的规则。
【域名解析的作用,是把域名翻译成IP地址,因为计算机的网络通信只认IP地址,如果没有域名解析功能,当我们输入的时候,浏览器就不知道它要连接的是什么地址,结果就会报错而无法访问。
域名解析有TCP和UDP两种方式,一般只用UDP方式,因为UDP速度快,无需像TCP为了建立一个连接须进行三次握手、为了断开一个连接又须发出确认标志,适合DNS服务的快连快断的特点】。
(如果不确定是否需要启用程序的域名解析功能,一般建议在应用程序规则中加上一条域名解析的规则以防万一)以浏览器规则为例,其规则一般一两条就够了:①HTTP访问行为允许协议TCP 方向出源端口1024-65535 目标端口80,443②域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53③扎口袋行为阻止协议TCP/UDP 方向出/入注意,上面的①②两条规则如果合并为一条规则:允许发起对外的访问行为允许协议IP 方向出时,实际上是比较宽松的,它包含的意思是,允许本机0-65535的端口【实际上应是1024-65535,系统分配给应用程序使用的活动端口号是从1024开始的】以TCP或者UDP的方式访问远程的0-65535端口,还允许对外发出任意的ICMP消息【只要是全局规则没有禁止的而程序能发的都会被允许】。
如果再加上一条扎口袋的规则,它就成了”只允许外联访问“。
2、既是客户端又是服务端。
这类软件也很多,P2P软件【迅雷、电驴、快车、网络电视……】、QQ、大型网游【CS、魔兽争霸……】。
这类软件,客户端规则与上面第一类基本相同外,由于还会开放本机端口【通常是一个TCP端口和一个UDP端口】做服务端,所以还要加上服务端的规则——允许远程计算机的活动端口来连接【方向入】本机的服务端口【如果想精确控制,那么需要明确写上本机开放的是哪个端口号。
由于我们不知道P2P软件究竟设置了哪个端口来做服务端口,模糊处理,可以指定范围——本机允许该软件使用高端口1024-65535范围内的端口来做服务端口,这样做出的P2P软件规则就会具有很大的通用性。
倘若采用精确控制的方法来设定P2P软件的规则,如果所有的P2P软件都套用该规则,那么,就得在P2P软件上改设置——所有的P2P软件,不论是迅雷还是BT,都只能使用规则中指定的端口来做服务端口,否则就会被防火墙拦截】。
对于这类软件的规则,以P2P规则为例,不做精确控制的话,五条规则即可:①外出访问行为允许协议TCP/UDP 方向出源端口1024-65535 目标端口任意②接入服务行为允许协议TCP/UDP 方向入源端口1024-65535 目标端口1024-65535③域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53④允许ping出行为允许协议ICMP 方向出 ICMP细节:ICMP回显请求⑤扎口袋行为阻止协议TCP/UDP 方向出/入像QQ这种聊天软件来说,直接套用P2P的规则也无不可,如果模糊控制,那就是两条规则:①外联访问行为允许协议IP 方向出②接入服务行为允许协议TCP/UDP 方向入源端口1024-65535 目标端口1024-65535如果要细化一点,作些精确控制,那么就是:1、允许外出的HTTP访问【本机高端口连接远程服务端的TCP80、443、1080、3128、8080、8000、12000端口】2、允许ICQ访问【本机UDP4000-4002端口连接远程服务端的UDP8000-8002端口,本机UDP5000-5002端口连接远程服务端的UDP9000-9002端口】3、接入服务【远程客户端UDP4000-5002端口连入本机UDP9000-9002端口】4、文件传输TCP方式【本机高端口1024-65535外出访问远程服务端的高端口1024-65535】5、文件传输UDP方式【本机UDP6000-6012端口访问远程服务端的高端口1024-65535】6、扎口袋或者询问一般来说,能够进行精确控制的,尽量精确控制。