网络技术员网络安全培训

一 网络防火墙个人版

网络防火墙个人版（简称天网防火墙）是由天网安全实验室研发制作给个人计算机用户使用的网络安全工具。他根据系统管理者设定的安全规则（Security Rules）把守网络，提供强大的访问控制、应用选通、信息过滤等功能。他可以帮助用户抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙将网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，他适用于任何方式连接上网的个人用户。本教材以天网防火墙3.0版为例，对天网防火墙进行系统介绍。

默认情况下，天网防火墙在安装完毕后便以最小化形式随Windows系统启动。此时，双击桌面右下角系统托盘区的打开“天网防火墙个人版”窗口，如图1-1所示。

图标即可

图1-1 “网络防火墙个人版”窗口

1.1.1 设置天网防火墙安全级别

1

从图1-1中可以得知，天网防火墙的安全级别共分5个等级，分为“低”、“中”、“高”、“扩展”和“自定义”。只需将鼠标在相应的安全级别按钮上停止数秒，如在按钮“高”上停止数秒，软件将自动显示“安全级别：高”所对应的规则，如图1-2所示。如需切换安全级别，只需点击安全级别相对应的按钮即可。

图1-2 “安全级别：高”所对应的规则

安全级别对应规则如下。

低：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。

计算机完全信任局域网，允许局域网内部的机器访问自己提供的各种服务，（如文件、打印机共享服务），但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。

中：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。

禁止访问系统级别的服务（如HTTP，FTP等）。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提

2

供的服务。适用于普通个人上网用户。

高：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。

禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机等共享服务），局域网和互联网上的机器将无法看到本机器。除了由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口，部分应用程序在此级别下将可能无法正常使用。也是最严密的安全级别。

扩展：基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够的用户。

自定义：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。

如果你了解TCP/IP协议，你可以自己设置规则，注意，设置规则不正确会导致你无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。

例1：请设置天网防火墙安全级别，要求同时满足如下条件。并把安全级别窗口以文件名aqjb.jpg保存在桌面。

（1）禁止访问系统级别的服务（如HTTP、FTP）； （2）局域网内部只允许访问文件、打印机共享服务；

3

（3） 使用动态规则管理，允许授权运行的程序开放的端口，适用于普通个人用户上网。

解题思路：依次将天网防火墙的5个安全等级所对应的规则同上述条件作对比。不难得出，应将安全等级设置为“中”。 1.1.2 设置应用程序访问网络权限

例2：对应用程序Svchost.exe访问网络权限进行如下设置，并把对该应用程序规则设置以默认文件名导出到桌面上。

（1）可通过TCP协议发送信息和提供协议服务，不可通过UDP协议发送信息和提供协议服务；

（2）TCP协议可访问的端口在80端口； （3）不符合上列条件时禁止操作。 操作步骤如下。

（1）双击系统托盘区“天网防火墙”图标，打开“天网防火墙个人版”窗口。

（2）单击“天网防火墙个人版”窗口左上角的“应用程序规则”按钮，打开“应用程序规则”面板，如图1-3所示。

“应用程序规则”按钮

应用程序Svchost.exe所处的规则

4

图1-3 “应用程序规则”面板 图1-4 选

中应用程序Svchost所处的规则

（3）在“应用程序规则”面板中，系统中的每一个应用程序都以一条应用程序规则来表示。找到并选中应用程序Svchost.exe所处的规则，如图1-4所示。

（4）单击应用程序Svchost.exe所处规则右侧的“选项”按钮，打开“应用程序规则高级设置”对话框，如图1-5所示。

图1-5 “应用程序规则高级设置”对话框 图1-6 设置完

5

成后

（5）在该对话框中，根据题意对应用程序Svchost.exe设置规则。设置完成效果图如图1-6所示。单击“确定”按钮，返回“应用程序规则”面板。

（6）在“应用程序规则”面板中，单击

图标即可打开“导出

应用程序规则”对话框，如图1-7所示。由于只需导出对应用程序Svchost.exe所设置的规则，所以，在该对话框中选中应用程序

6

的“应用程序规则高级设置”对话框

Svchost.exe所处的行。单击“浏览”按钮，将路径定位到桌面后单击“确定”，设置完成效果图如图1-8所示。单击“确定”，将规则以默认文件名导出至桌面。

根据题意，仅导出对应用

程序Svchost.exe所设置的规则，所以只选中Svchost.exe

图1-7 “导出应用程序规则”对话框 图1-8 设置

完成的“导出应用程序规则”对话框

1.1.3 设置IP规则

例3：自定义IP规则，要求如下。

（1）设置防御ICMP攻击：防御IP地址为172.16.1.120的主机对本机的ICMP攻击；

（2）UDP数据包监视：数据包方向为接收或发送、对方IP地址为局域网的网络地址；

（3）TCP数据包监视：数据包方向为发送；

把上述规则以默认文件名导出到桌面上，并将“导出IP规则”窗口截图，以文件名Ipgz.Jpg保存在桌面上。

操作步骤如下。

（1）双击系统托盘区“天网防火墙”图标，打开“天网防火墙个人版”窗口。

（2）单击“天网防火墙个人版”窗口左上角的“IP规则管理”

7

按钮，打开“IP规则管理”面板。此时，安全级别会自动更换到“自定义”，如图1-9所示。

“IP规则管理”按钮

单击“IP规则管

理”按钮后，安全级别会被自动更换为“自定义”。

图1-9 “IP规则管理”面板

（3）首先设置防御ICMP攻击。在“IP规则管理”面板中，找到并双击“防御ICMP攻击”选项，弹出“修改IP规则”对话框，如图1-10所示。

8

图1-10 “修改IP规则”对话框 图1-11 设置

完成的“修改IP规则”对话框

（4）由于指定防御IP地址为172.16.1.120的主机对本机的ICMP攻击，所以，选中“对方IP地址”下拉列表中的“指定地址”，并在弹出的“地址”输入框中输入172.16.1.120。设置完成效果图如图1-11所示，单击“确定”。

（5）然后设置UDP数据包监视。在“IP规则管理”面板中，找到并双击“UDP数据包监视”选项，弹出“修改IP规则”对话框，如图1-12所示。

9

图1-12 “修改IP规则”对话框 图1-13 设

置完成的“修改IP规则”对话框

（6）由于数据包方向默认是“接收或发送”，因此并不需要修改。选择“对方IP地址”下拉列表中的“局域网的网络地址”选项。设置完成效果图如图1-13所示，单击“确定”。

注意：在默认情况下，“UDP数据包监视”、“TCP数据包监视”等规则并没有开启，所以，他们的名称以灰色来显示。只有当选中该规则时，才能看清该规则的名称，如图1-14所示。

没有启用的规则只有在选中的状态下才能看见

图1-14 没有启用的规则

（7）设置TCP数据包监视的操作步骤同设置UDP数据包监视一致，此处不再累赘。设置完成效果图如图1-15所示，单击“确定”。

图1-15 设置完成的“修改IP规则”对话框 （8）在“IP规则管理”面板中，单击

10

图标即可打开“导出

IP规则”对话框，如图1-16所示。由于只需导出刚才设置的3条IP规则，所以，在该对话框中选中3条规则所对应的选项。单击“浏览”按钮，将路径定位到桌面后单击“确定”，将IP规则以默认文件名导出至桌面。

图1-16 “导出IP规则”对话框

1.1.4 对天网防火墙进行系统设置

例4：为天网防火墙设置管理员密码，密码为：P@ssw0rd，并且，设置应用程序对网络的访问需加审核。

操作步骤如下。

（1）双击系统托盘区“天网防火墙”图标，打开“天网防火墙个人版”窗口。

（2）单击“天网防火墙个人版”窗口左上角的“系统设置”按钮，打开“系统设置”面板，如图1-17所示。

11

“系统设置”按钮

在没有设置管理员密码的情况下，该选项为不可操作。

图1-17 “系统设置”面板 图1-18 系

统设置面板“管理权限设置”选项卡

（3）单击“管理权限设置”选项卡，如图1-18所示。在此，可以对管理员密码和应用程序权限进行设置。

注意：在没有设置管理员密码之前，“在允许某应用程序访问网络时，不需要输入密码”选项为不可操作。

（4）单击“设置密码”按钮，弹出“天网防火墙个人版密码保护”对话框。分别在“输入新的密码：”和“再次输入密码：”输入框中2次输入“P@ssw0rd”，单击“确定”。此时，“在允许某应用程序访问网络时，不需要输入密码”选项将变为可用，并自动启用。根据题意，将其置为非启用状态。设置完成效果图如图1-19所示，单击

12

“确定”。

图1-19 成功设置管理员密码并开启“应用程序对网络的访问需加

审核”功能

注意：当应用程序首次访问网络时，系统会提示类似图1-20所示的对话框，询问用户是否允许该应用程序访问网络。

如果开启“应用程序对网络的访问需加审核”功能，则单击“允许”按钮后，将弹出如图1-21所示的“天网防火墙个人版密码保护”对话框，要求用户输入正确的密码后才能继续操作，提高了系统的安全性。

13

图1-20 “天网防火墙警告信息”对话框 图1-21 “天网防火墙个人版密码保护”对话框 1.1.5 天网防火墙日志管理

例5：对天网防火墙日志功能进行设置，使其自动保存日志纪录，日志存放路径为：桌面，并且设置日志最大容量为20M。

操作步骤如下。

（1）双击系统托盘区“天网防火墙”图标，打开“天网防火墙个人版”窗口。

（2）单击“天网防火墙个人版”窗口左上角的“系统设置”按钮，打开“系统设置”面板。

（3）单击“日志管理”选项卡，如图1-22所示。由于日志的记录将耗费一定的系统资源，所以，在默认情况下，自动保存日志功能并没有开启。

图1-22 系统设置对话框“日志管理”选项卡 图1-23 设置完成的“日志管理”选项卡

14

（4）选中“自动保存日志”选项。单击“浏览”按钮，将保存路径定位到桌面，单击“确定”。向右拉动“日志大小”滑动块，将日志容量更改为20M，设置完成效果图如图1-23所示。 1.1.6 入侵检测设置

例6：设置天网防火墙，使之在检测到入侵后，无需提示自动静默入侵主机的网络包。并且，设置静默时间为10分钟。

操作步骤如下。

（1）双击系统托盘区“天网防火墙”图标，打开“天网防火墙个人版”窗口。

（2）单击“天网防火墙个人版”窗口左上角的“系统设置”按钮，打开“系统设置”面板。

（3）单击“入侵检测设置”选项卡，如图1-24所示。

图1-24 系统设置“入侵检测设置”选项卡 图1-25 设置完成的“入侵检测设置”选项卡

（4）入侵检测功能默认情况下为开启状态。选中“检测到入侵后，

15

无需提示自动静默入侵主机的网络包”选项。并将默认静默时间设置为10分钟，设置完成效果图如图1-25所示，单击“确定”。 1.2 Windows防火墙

Windows Server 2003提供的防火墙称为Internet连接防火墙（ICF），允许安全的网络通信通过他进入网络，同时拒绝不安全的通信，使内部网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

Windows Server 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。 1.2.1 开启Windows内置防火墙

对于新安装的Windows Server 2003 Enterprise Edition操作系统来说，Windows内置防火墙服务默认是关闭的。此时，单击“开始”菜单→“控制面板”→“Windows防火墙”，系统会弹出如图1-26所示的对话框，提示用户由于Windows防火墙/Internet连接共享（ICS）服务没有运行，Windows防火墙无法运行，并询问用户是否开启ICS服务。

图1-26 询问用户是否启动Windows内置防火墙服务 选择“是”，系统将开启ICS服务，并弹出“Windows防火墙”

16

对话框，如图1-27所示。

图1-27 “Windows防火墙”对话框

在“Windows防火墙”对话框中，可以看到默认情况下防火墙是关闭的。选择“启用”，并单击“确定”，开启Windows内置防火墙。 1.2.2. 设置Windows内置防火墙

单击“开始”菜单→“控制面板”→“Windows防火墙”，打开“Windows防火墙”对话框。选择“例外”选项卡，如图1-28所示。

17

图1-28 Windows防火墙对话框“例外”选项卡 当Internet或网络上的计算机尝试连接到本地计算机时，这种尝试称为“未经请求的请求”。当本地计算机收到“未经请求的请求”时，Windows防火墙会阻止该连接。如果在本地计算机上运行的程序，如即时聊天程序QQ，需要从Internet或网络接收信息，防火墙会弹出如图1-29所示的“Windows安全警报”对话框，询问用户是否阻止该程序的部分功能。如果选择解除阻止，那么，Windows防火墙将为该程序创建一个“例外”，保存于“例外”选项卡中。当该程序日后从网络接收信息时，防火墙就不再提示用户“Windows安全警报”。

图1-29 “Windows安全警报”对话框

在“Windows防火墙”对话框中选择“高级”选项卡，如图1-30所示。在“网络连接设置”框中，计算机上的每个本地网络连接都以一个选项来表示。图1-30所示的“网络连接设置”框有三个选项，表示本服务器一共有三个网络连接。Windows内置防火墙支持对每个网络连接进行设置，互不干扰。选中的网络连接即表示对此连接开启Windows内置防火墙，如图1-30所示，“本地连接”被选中，表示一切网络连接经过“本地连接”进入内网前都要被Windows内置防火墙过滤。选中“本地连接”，单击“网络连接设置”框中的“设

18

置”按钮。

图1-30 Windows防火墙“高级”选项卡

在弹出的“高级设置”对话框中，可以选择一些特定的服务，如图1-31所示。从严格意义上来说，允许用户通过网络访问计算机上的特定服务即是允许用户通过网络访问计算机上特定服务所使用的端口。如果在“高级设置”对话框中选中“FTP服务器”选项，并单击“确定”，用户就可以通过网络访问此计算机上的FTP服务，也就是此计算机向网络开放FTP服务所使用的21端口，用户可以通过21端口来访问FTP服务。注意，默认情况下，未选中任何服务，这称为默认拒绝姿态。

19

图1-31 “高级设置”对话框

在“高级设置”对话框中，选中“远程桌面”服务，单击“编辑”按钮，将弹出“服务设置”对话框，如图1-32所示。由于“远程桌面”是系统内置的特殊服务，所以服务名称和服务所使用的端口号都不允许更改，在“在您的网络上主持此服务的计算机的名称或IP地址”输入框中输入本机的机器名或者本机的IP地址，两次单击“确定”，用户即可通过33端口，通过网络，不经本机防火墙阻扰，访问本机的“远程桌面”服务。

图1-32 “服务设置”对话框

20

除了能选择是否开放Windows内置服务所使用的特定端口之外，还可以新增服务，并允许自定义此服务所使用的端口，以供特殊需求。当然，这是十分危险的，多开端口意味着多一份被攻击的危险。

21