工作任务 问题探究 知识拓展 检查评价 学习目标配置个人 防火墙 实践操作 学习目标1. 知识目标2. 能力目标学习目标返回 下页 上页学习目标1. 知识目标了解防火墙的基本概念1了解防火墙的运行机制2了解防火墙的功能和作用3了解防火墙的配置环境和原则4了解防火墙的特点5；返回 下页 上页学习目标2. 能力目标安装天网防火墙1设置天网防火墙口令2配置应用程序访问规则3配置安全选项4配置IP策略5设置管理权限6管理日志7返回 下页 上页工作任务 工作任务2. 工作任务背景4. 条件准备1. 工作名称3. 工作任务分析返回 下页 上页任务背景：学生会只有一台公用计算机，学校为学生 会配备该计算机的目的是让学生会干部能够从校园网 内获取校内外最新的一些消息，同时也为学生会日常 管理提供方便。然而，学生会毕竟是一个学生聚集的场所，在此 计算机也就变成了部分学生和学生干部上网、聊天、 游戏的工具。甚至有的学生在学校上班期间下载电影 ，严重影响了正常网络访问的速度，危及到学校的正 常网络应用程序的安全和性能。部分学生的不负责任的行为，也导致该计算机病 毒、木马、恶意软件泛滥，为学校的正常办公构成严 重的安全隐患。工作任务 任务名称：安装配置天网防火墙任务名称与背景返回 下页 上页学生会计算机的日常工作包括2项，一个是日常办公软件 的应用，即一些通知、活动、安排、消息等的编辑排版和 处理；二是从校内外网站获取一些新闻、消息、通知等。 该计算机为公用办公用计算机，不应该成为个别人的娱乐 工具。为了杜绝一些非正常的应用软件和网络访问，我们 需要为该计算机安装带有口令保护的个人防火墙。 有了防火墙软件，就可以有目的的允许和禁止网络信息的 进出，从而实现该计算机对网络访问的控制。防火墙有软 件防火墙，也有硬件防火墙。对于个人计算机或网络工作 站来说，软件防火墙就足够了。对于软件防火墙，目前有 很多成熟的产品，如天网防火墙、江民黑客防火墙、 McAfee Desktop Firewall、瑞星个人防火墙等。任务分析 任务分析工作任务 返回 下页 上页其中天网防火墙是应用比较广泛的、功能比较强 大的、性能良好的一款软件防火墙。使用天网防火墙 ，我们可以对应用程序、ip地址、端口进行筛选和过 滤，有目的的控制网络信息的进出。 工作任务 任务分析与条件准备条件准备对于学生会的计算机，我们准备了最新版的天网防 火墙个人版Athena 2006 3.0。 天网防火墙（SkyNet-FireWall）由广州众达天网技术 有限公司制作，包括个人版、企业版等。根据需要，张 老师的计算机选用天网防火墙个人版，它可以根据系统 管理者设定的安全规则把守网络，提供强大的访问控制 、应用选通、信息过滤等功能。它可以抵挡网络入侵和 攻击，防止信息泄露，并可与天网安全返回 下页 上页工作任务 条件准备实验室的网站相配合，根据可疑的攻击信息，来找到攻 击者。在新版本中采用了3.0的数据包过滤引擎，并增 加了专门的安全规则管理模块，让用户可以随意导入导 出安全规则。返回 下页 上页2. 配置安全策略1. 安装天网防火墙个人版实践操作 学习目标返回 下页 上页1. 安装天网防火墙个人版将天网防火墙光盘放 入光驱，找到天网防火 墙所在光驱的盘符，打 开并找到文件Setup.exe ，双击该文件执行安装 操作，弹出安装程序的 欢迎对话框，如图所示 。浏览“天网防火墙个人 版最终用户许可协议”， 选中“我接受此协议”， 单击“下一步”按钮，进 入安装程序的选择安装 的目标文件夹对话框。 实践操作 第一步第一步 返回 下页 上页1. 安装天网防火墙个人版在选择安装的目标文件夹对话框中，查看目标文件 夹是否为要安装的位置，如果需要更改目标文件安装 位置，单击“浏览”按钮，选择合适的天网防火墙安 装位置。在此，我们使用默认的目标文件夹。单击“ 下一步”按钮，弹出安装程序的选择程序管理器程序 组对话框。 在选择程序管理器程序组对话框中，可以更改天网 防火墙安装完成后在“开始”菜单中程序组的名称。 在此我们不做更改而使用默认的程序组名称“天网防 火墙个人版”。单击下一步，进入开始安装对话框。 直接单击“下一步”，弹出正在安装对话框，如图所 示。安装完成后进入天网防火墙设置对话框。 实践操作 返回 下页 上页1. 安装天网防火墙个人版实践操作 返回 下页 上页1. 安装天网防火墙个人版实践操作 返回 下页 上页第二步第二步在天网防火墙设置向 导的安全级别设置对话框 中，我们可以选择使用由 天网防火墙预先配置好的3 个安全方案：低、中、高 。一般情况下，我们使用 方案“中”就可以满足需 要了。选择完安全级别后，单击“下一步”直到向导设置完成 。重新启动计算机后，天网防火墙自动执行并开始保护计 算机的安全。天网防个人防火墙启动后，任务栏显示图标 。2. 配置安全策略对于天网防火墙的使用，可以不修改默认配置而直 接使用。但是，学生会的计算机在校园网内部，需要做 一些特定的配置来适应校园网的环境。 天网防火墙的管理界面如图所示，在管理界面，我 们可以设置应用程序规则、IP规则、系统设置，也可以 查看当前应用程序网络使用情况、日志，还可以做在线 升级。实践操作 返回 下页 上页 2. 配置安全策略系统 设置实践操作 返回 下页 上页 在防火墙 的控制面板中 点击“系统设 置”按钮 即可 展开防火墙系 统设置面板， 如图所示。 2. 配置安全策略在系统设置界面中，包括基本设置、管理权限 设置、在线升级设置、日志管理和入侵检测设置等。 首先，在基本设置页面中，选中“开机后自动启动 防火墙”，让防火墙开机自动运行，以保证系统始终 处于监视状态。其次，“刷新”或输入局域网地址，使 配置的局域网地址确保是本机地址。 其次，在管理权限设置中，设置管理员密码，以保 护天网防火墙本身，并且不选中，以防止除管理员外 其他人随意添加应用程序访问网络权限。 第三，在在线升级设置中，选中“有新的升级包就 提示”选项，以保证能够即时升级到最新的天网防火 墙版本。 第四，在入侵检测设置中，选中“启动入侵检测功 能”，用来检测并阻止非法入侵和破坏。 实践操作 返回 下页 上页 2. 配置安全策略设置完成后，单击“确定”按钮，保存并退出系统设 置，返回到管理主界面。实践操作 返回 下页 上页 应用程序规则 天网防火墙可以对应用程序数据传输封包进行底层分 析拦截。通过天网防火墙可以控制应用程序发送和接 收数据传输包的类型、通讯端口，并且决定拦截还是 通过。 基于应用程序规则，我们可以随意控制应用程序访问 网络的权限，比如允许一般应用程序正常访问网络， 而禁止网络游戏、BT下载工具、QQ即时聊天工具等 访问网络。 2. 配置安全策略首先，在天网防火墙 运行的情况下，任何应用 程序只要有通讯传输数据 包发送和接收动作，都会 被天网防火墙先截获分析 ，并弹出窗口，询问是“ 允许”还是“禁止”，让用 户可以根据需要来决定是 否允许应用程序访问网络 。如图所示，Kingsoft PowerWord（金山词霸 ）在安装完天网防火墙后 第一次启动时，被天网防 火墙拦截并询问是否允许 PowerWord访问网络。 实践操作 返回 下页 上页 2. 配置安全策略如果执行“允许”，Kingsoft PowerWord将可以访 问网络，但必须提供管理员密码，否则禁止该应用程 序访问网络。在执行“允许”或“禁止”操作时，如果不 选中“该程序以后按照这次的操作运行”，那么天网防 火墙个人版在以后会继续截获该应用程序的数据传输 数据包，并且弹出警告窗口；如果选中“该程序以后 按照这次的操作运行”选项，该应用程序将自动加入 到“应用程序访问网络权限设置”表中。 实践操作 返回 下页 上页 管理员也可以通过“应用程序规则”来管理更为详尽 的数据传输封包过滤方式。如图所示。 2. 配置安全策略实践操作 返回 下页 上页 2. 配置安全策略对于每一个请求访问网络的应用程序来说，都 可以设置非常具体的网络访问细则。PowerWord在 被允许访问网络后，在该列表中显示“”，即为“允许 访问网络”，如图所示。 实践操作 返回 下页 上页 2. 配置安全策略单击 PowerWord应用程序 的“选项”按钮,可以对 PowerWord访问网络 进行更为详细的设置 。实践操作 返回 下页 上页 管理员可以设 置更为详细的包括协 议、端口等访问网络 访问参数。 如图所示。 2. 配置安全策略 IP规则管理 实践操作 返回 下页 上页 IP规则是针对整个 系统的网络层数据包 监控而设置的。利用 自定义IP规则，管理 员可针对具体的网络 状态，设置自己的IP 安全规则，使防御手 段更周到、更实用。 单击“IP规则管理”工 具栏按钮 或者在“安 全级别”中单击“自定 义”安全级别进入IP 规则设置界面。如图 所示。 2. 配置安全策略天网防火墙在安装完成后已经默认设置了相当好的 缺省规则，一般不需要做IP规则修改，就可以直接使 用。 对于缺省的规则各项的具体意义，这里只介绍其中 比较重要的几项： 防御ICMP攻击：选择时，即别人无法用PING的方 法来确定您的存在。但不影响您去PING别人。因为 ICMP协议现在也被用来作为蓝屏攻击的一种方法， 而且该协议对于普通用户来说，是很少使用到的。 防御IGMP攻击：IGMP是用于组播的一种协议，对 于MS Windows的用户是没有什么用途的，但现在也 被用来作为蓝屏攻击的一种方法，建议选择此设置， 不会对用户造成影响。 实践操作 返回 下页 上页 2. 配置安全策略TCP数据包监视：通过这条规则，可以监视机器与 外部之间的所有TCP连接请求。注意，这只是一个监视 规则，开启后会产生大量的日志，该规则是给熟悉 TCP/IP协议网络的人使用的，如果不熟悉网络，请不 要开启。这条规则一定要是TCP协议规则的第一条。 禁止互联网上的机器使用我的共享资源：开启该规 则后，别人就不能访问该计算机的共享资源，包括获取 该计算机的机器名称。 禁止所有人连接低端端口：防止所有的机器和自己 的低端端口连接。由于低端端口是TCP/IP协议的各种 标准端口，几乎所有的Internet服务都是在这些端口上 工作的，所以这是一条非常严厉的规则，有可能会影响 使用某些软件。如果需要向外面公开特定的端口，请在 本规则之前添加使该特定端口数据包可通行的规则。实践操作 返回 下页 上页 2. 配置安全策略允许已经授权程序打开的端口：某些程序，如ICQ， 视频电话等软件，都会开放一些端口，这样，你的同伴 才可以连接到你的机器上。本规则可以保证这些软件可 以正常工作。 禁止所有人连接：防止所有的机器和自己连接。这是 一条非常严厉的规则，有可能会影响某些软件的使用。 如果需要向外面公开的特定端口，请在本规则之前添加 使该特定端口数据包可通行的规则。该规则通常放在最 后。 UDP数据包监视：通过这条规则，可以监视机器与外 部之间的所有UDP包的发送和接受过程。注意，这只是 一个监视规则，开启后可能会产生大量的日志，平常请 不要打开。这条规则是给熟悉TCP/IP协议网络的人使用 ，如果不熟悉网络，请不要开启。这条规则一定要是 UDP协议规则的第一条。 实践操作 返回 下页 上页 2. 配置安全策略允许DNS（域名解析）：允许域名解析。注意，如 果要拒绝接收UDP包，就一定要开启该规则，否则会 无法访问互联网上的资源。此外，还设置了多条安全规则，主要针对现时 一些用户对网络服务端口的开放和木马端口的拦截。 其实安全规则的设置是系统最重要、也是最复杂的地 方。如果用户不太熟悉IP规则，最好不要调整它，而 可以直接使用缺省的规则。但是，如果用户非常熟悉 IP规则，就可以非常灵活地设计适合自己使用的规则 。建立规则时，防火墙的规则检查顺序与列表 顺序是一致的；在局域网中，只想对局域网开放某些 端口或协议（但对互联网关闭）时，可对局域网的规 则采用允