Windows下包过滤防火墙的配置

实验8 Windows下包过滤防火墙的配置

1 实验目的

1、通过对防火墙的安装和配置，学习Windows下防火墙的安装使用方法。

2、通过对防火墙规则的制定，加深对包过滤网络防火墙原理的理解。

2 实验环境

1、VMware中Windows XP系统。

2、天网防火墙软件。

3 实验原理

防火墙包过滤规则的制定是防火墙应用的关键。网络的数据包能否通过防火墙都是由防火墙的包过滤规则所决定的，当数据包到达防火墙时，防火墙会根据每一条过滤规则对数据包进行检查，只有满足所有的过滤条件的数据包才能自由进出网络。

4 实验任务

自定义以下5条规则：

1、只允许某特定的主机（如192.168.1.x）用ping命令探测我的主机；

2、BT使用的端口为6881－6889端口这9个端口，请设置主机开放这9个端口（提示：BT使用的是TCP协议）；

3、禁止局域网内所有人访问我的默认共享；

4、只允许局域网某特定的主机访问我的默认共享；

5、主机开放web服务和FTP服务，请设置并验证之。

5 实验步骤

1、采用默认方式安装天网防火墙的试用版，完成后需要重新启动。试用版对设置有限制。

2、浏览防火墙的各个模块画面，如“应用程序规则”画面（图1），“IP规则管理设置”画面（图2），“当前系统中所有应用程序网络使用状况”（图3），日志画面等。

3、浏览系统默认的IP规则（如图2）。

4、定义允许某个特定主机可以ping我的主机。默认情况下，安装好防火墙之后，是不允许别的主机ping本机的，如图4所示，会出现提示，有外部主机正在ping本机。点击增加规则后就会出现图5所示界面，包括：

（1）新建IP规则的名称和说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。

图1 应用程序规则设置画面

图2 IP规则设置画面

（2）数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。

（3）对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。

（4）数据包协议类型，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等。

图3 当前应用程序的网络状态

图4 ping探测在防火墙上的提示

图5 增加IP规则

（5）当满足上面条件时，这个比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录等。

（6）如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完

成了新的IP规则的建立，并立即发挥作用。

图6 ping测试图

（7）设置只有某台主机可以ping，并在防火墙上进行测试，如图6所示。

图7 开放BT端口设置示例图

5、设置BT开放的端口，完成后的画面如图7所示。设置TCP时，TCP有6个标志位，分别是：URG、ACK、PSH、RST、SYN、FIN。常用的有ACK：确认标志，提示远端系统已经成功接收所有数据；SYN：同步标志，该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号；FIN：结束标志，带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。RST：复位标志。

6、设置禁止局域网内所有人访问我的共享资源。完成后自己验证。

7、允许局域网内某特定主机访问我的共享资源。完成后自己验证。

8、设置主机开放web服务和FTP服务，参考图如图8和图9所示。完成后在XP主机上进行服务器功能测试。

图8 主机开放web服务

图9 主机开放FTP服务

6 实验总结

包过滤规则的工作程序有哪些？制定包过滤规则应注意哪些事项？