任務(wù)8.2　防火墻的應(yīng)用

1.實訓(xùn)目的

通過本次實訓(xùn)，讓學(xué)生掌握瑞星防火墻軟件的設(shè)置及使用，保護計算機系統(tǒng)免受網(wǎng)絡(luò)攻擊，在網(wǎng)絡(luò)與計算機之間建立一道堅固的屏障。

2.實訓(xùn)內(nèi)容

（1）瑞星防火墻的配置

（2）對“Ping”命令傳輸數(shù)據(jù)包的過濾

（3）關(guān)閉網(wǎng)絡(luò)端口

3.操作步驟

（1）瑞星防火墻的配置

根據(jù)計算機的保護級別要求設(shè)置瑞星防火墻的安全級別。安全級別越高，訪問網(wǎng)絡(luò)受到的限制越大。拖動防護級別滑動條到相應(yīng)的位置，設(shè)置安全級別。

關(guān)于防火墻安全級別的定義及規(guī)則。

低級：系統(tǒng)在信任的網(wǎng)絡(luò)中，除非規(guī)則禁止的，否則全部放過。

中級：系統(tǒng)在局域網(wǎng)中，默認(rèn)允許共享，但是禁止一些較危險的端口。

高級：系統(tǒng)直接連接互聯(lián)網(wǎng)，除非規(guī)則放行，否則全部攔截。

一般來說沒有特殊要求，用戶將防火墻安裝后啟用即可，但是要想實現(xiàn)一些特殊操作或關(guān)閉系統(tǒng)特殊端口，需要用戶自行配置防火墻。單擊“設(shè)置”，進入防火墻的配置界面，如圖8-20所示。

圖8-20　防火墻設(shè)置界面

（2）對“Ping”命令傳輸數(shù)據(jù)包的過濾

進行“ping”命令過濾前，需了解在局域網(wǎng)中兩臺的計算機“ping”操作。計算機A通過Ping命令到計算機B，并返回數(shù)據(jù)包報告；配置計算機B防火墻，計算機A通過Ping命令到計算機B，但不能返回數(shù)據(jù)包報告。實驗的網(wǎng)絡(luò)拓?fù)鋱D如圖8-21所示。

圖8-21　網(wǎng)絡(luò)拓?fù)鋱D

下邊開始對“Ping”命令傳輸數(shù)據(jù)包的過濾實際操作，實際操作需要在計算機A、B上分別操作，操作步驟如下：

① 在計算機A上單擊菜單“開始”——“運行”命令，在打開的對話框中輸入命令“cmd”，單擊“確定”按鈕后即進入命令行窗口。在“命令提示符”窗口中輸入“ping 192.168.41.141”（假定此為計算機B的IP地址），按“Enter”鍵，可以發(fā)現(xiàn)“ping”對方電腦，數(shù)據(jù)交換順暢，如圖8-22所示。

圖8-22 “命令提示符”窗口（返回）

②在計算機B上運行瑞星防火墻，單擊“設(shè)置”，單擊“網(wǎng)絡(luò)防護”——“IP規(guī)則設(shè)置”，如圖8-23所示。

圖8-23　設(shè)置IP規(guī)則

③單擊“增加”按鈕，增加規(guī)則。填寫規(guī)則名稱、規(guī)則啟用條件和處罰規(guī)則后的處理方式，如圖8-24所示。

圖8-24　增加IP規(guī)則

④設(shè)置通信的本地與遠(yuǎn)程的電腦地址，可以指定固定的IP地址，也可以設(shè)置地址范圍，如圖8-25所示。

圖8-25　設(shè)置本地與遠(yuǎn)程的電腦地址

⑤設(shè)置協(xié)議名稱，單擊“下一步”，完成設(shè)置，如圖8-26所示。

圖8-26　設(shè)置協(xié)議名稱

⑥在電腦上單擊菜單“開始”——“運行”命令，在打開的對話框中輸入命令“cmd”，單擊“確定”按鈕后即進入命令行窗口，輸入“ping 192.168.41.141”，按Enter鍵，顯示ping命令連接數(shù)據(jù)不通，如圖8-27所示。

（3）關(guān)閉網(wǎng)絡(luò)端口

端口是計算機與外界通訊的“窗口”，各類數(shù)據(jù)包都會在封裝的時候添加端口的信息，以便在數(shù)據(jù)包接受后拆包識別。計算機病毒和木馬等常常利用端口信息傳播，應(yīng)該把一些危險而又不常用的端口關(guān)閉或是封鎖，以保證信息安全。

圖8-27 “命令提示符”窗口（攔截）

①在計算機B中運行瑞星防火墻，單擊“設(shè)置”，單擊“網(wǎng)絡(luò)防護”——“IP規(guī)則設(shè)置”，相關(guān)設(shè)置中“端口開關(guān)”就是要用到的關(guān)閉端口功能，如圖8-28所示。

圖8-28　設(shè)置網(wǎng)絡(luò)端口

②單擊“設(shè)置”按鈕后，進入到端口設(shè)置窗口，可以定制多個端口或是端口范圍，設(shè)定允許該端口通信或是禁止通信，本實驗是關(guān)閉網(wǎng)絡(luò)端口“139”，如圖8-29所示。

③單擊“確定”，圖8-30是設(shè)置好的效果圖。

④計算機A。打開百度網(wǎng)站，輸入“Scan Port端口掃描工具”，下載軟件。這個軟件是免安裝免費軟件，文件解壓縮后，單擊圖標(biāo)“Scan Port”，運行軟件，填寫需要搜索電腦的IP地址“192.168.41.141”，設(shè)置搜索的端口號，單擊“掃描”按鈕，掃描結(jié)果如圖8-31所示，結(jié)果中網(wǎng)絡(luò)端口沒有顯示出來，表示計算機B的網(wǎng)絡(luò)端口139已經(jīng)關(guān)閉。

圖8-29　封閉網(wǎng)絡(luò)端口139

圖8-30　網(wǎng)絡(luò)端口設(shè)置效果圖

圖8-31　網(wǎng)絡(luò)端口掃描結(jié)果