《防火墙 实验报告》由会员分享,可在线阅读,更多相关《防火墙 实验报告(13页珍藏版)》请在金锄头文库上搜索。
1、计算机安全实验报告实验题目: 天网防火墙 windows安全设置 专业/班级:计科一班学号: 姓名:李冲 指导教师:张小庆 一 天网防火墙技术1 实验题目简述个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。这些软件都能够独立运
2、行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。2.实验目标和意义实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。3.实验原理和实验设备3.1 实验原理随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同
3、时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。例如,防火墙可以限制TCP、UDP协议及TCP协议允许访问端口范围,
4、当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。3.1 实验设备Window 7天网个人防火墙2010版4.实验步骤4.1 实验步骤第一步:局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.3-1:局域网地址设置第二步:管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2. 3-2:管理权限设置第三步:入侵检测设置,开启此功能,当防火墙检
5、测到可疑的数据包时防火墙会弹出入侵检测提示窗口,并将远端主机IP显示于列表中。(如图3-2). 3-3:入侵检测第四步:安全级别设置,其中共有五个选项。如图3-4页面。3-4:安全级别设置低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。 中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务(如HTTP、FTP等)。局域网内部的机器只允许访问文件、打印机共享
6、服务。使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。 高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。 扩:基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则,可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。
7、适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。自定义:如果您了解各种网络协议,可以自己设置规则。注意,设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。第五步:IP规则,如图3-5的页面。3-5:IP规划IP规则是针对整个系统的网络层数据包监控而设置的,其中有几个重要的设置。防御ICMP攻击:选择时,即别人无法用PING的方法来确定用户的存在。但不影响用户去PING别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法,而且该协议对于普通用户来说,是很少使用到的。防御IGMP攻击:IGMP是用于组播的一种协议,对于MS Win
8、dows的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法。TCP数据包监视:通过这条规则,用户可以监视机器与外部之间的所有TCP连接请求。注意,这只是一个监视规则,开启后会产生大量的日志。禁止互联网上的机器使用我的共享资源:开启该规则后,别人就不能访问用户的共享资源,包括获取您的机器名称。 禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口,几乎所有的Internet服务都是在这些端口上工作的,所以这是一条非常严厉的规则,有可能会影响使用某些软件。允许已经授权程序打开的端口:某些程序,如ICQ,视频电话等软件,都会开放一些端口,
9、这样,才可以连接到您的机器上。本规则可以保证些软件可以正常工作。 4.2 重点和难点问题分析网络攻击在网上是一种常见的进攻手段,用来窃取个人信息。本实验的重点是学习如何利用个人防火墙有效地建立起相对安全的网络应用,以免恶意程序或木马的入侵。并且在实践中让我了解到,网络安全的重点并不是如何避免受到攻击,而是需要用户及时发现攻击并采取有效手段保护自己的网络安全,甚至对其反攻。5实验结果的评价本次实验,提高了自身网络的安全意识以及保护措施。在此次实验中,进行了设置应用程序权限、自定义IP规则设置以及利用IP规则防止常见病毒的设置,从而可以有效的防止上网账号被窃取等恶意现象。6实验总结本次实验让我了解
10、了个人防火墙配置的相关知识,了解了木马、病毒的入侵手段。学习到了IP规划设置。并且了解了防火墙的功能,它能够防止Internet上用户的攻击,阻断木马以及其他恶意程序的进攻。经过配置个人防火墙,让我的网络安全意识进一步得到加强。二 windows安全设置一实验目的:了解并掌握windows7的一些安全设置,是我们的电脑更加安全。二实验要求:了解并掌握window7的安全设置,熟练控制自己的电脑。三实验内容:经常遇到恶意软件的骚扰快使用安全管家UAC其他人的U盘可能有病毒用组策略让系统只认自己的U盘不想安装指定的软件组策略为你挡掉所有烦恼电脑中有极为重要的文件怕泄漏两种加密方式保证数据安全上网和
11、共享担心安全隐患Win7的网络安全组件很给力安全管家UAC重要程度:安全特性:未授权程序不能自动运行设置地点:开始菜单的搜索栏中输入“UAC”,得到设置位置“更改用户账户控制设置”在WinXP时 代,如果我们以管理员身份登录系统(这恰是很多用户的使用习惯),那么对系统的一切操作就拥有了管理员权限。这样你一旦安装了捆绑危险程序的软件,或者访 问包含恶意代码的网站,那么这些危险程序和恶意代码就可以以管理员身份运行,轻则造成系统瘫痪,重则造成个人隐私的泄露,很有可能又造成一个可怕的“XX门”事件。为了堵住这些安全隐患,微软在Win7中新增了UAC(用户账户控制)组件来避免这种情况的发生。在Win7中
12、UAC组件默认开启的,这样即使你以管理员身份(非Adminstrator账户,该账户在Win7中默认设置是“禁用”)登录系统,默认的仍然是“标准用户”权限,这样危险程序和恶意代码试图运行时,UAC就会自动对其拦截并弹出提示窗口,需要用户手动确认“是”才能够运行(如图1)。它就像大厦里的管家,严格对拜访者进行安全盘查,不仅对程序进行拦截而且提供详细的拦截信息,当我们在日常操作中遇到UAC拦截时,可以通过单击“显示详细信息”来了解更多运行细节。技巧:对UAC进行设置UAC组件对所有可能影响系统设置的操作都会进行拦截,如果你只是在进行正常的系统设置,不希望每次操作都弹出UAC提示。可以依次展开“控制
13、面板系统和安全更改用户账户控制”,然后在弹出的窗口,根据自己实际需要拖动滑块进行设置即可(如图2)。延伸阅读怎么判断UAC拦截提示为了便于用户对UAC的拦截有个直观的感觉,在Win7中会对不同类型的程序添加不同颜色的“盾牌”图标来表示。蓝色色条和对角黄线盾牌标识,表示是Windows自带组件比如命令提示符、注册表编辑器运行时出现,这些程序一般可以信任(但是要注意代码对系统组件的调用)。灰色的色条和带问号的盾牌,表示来源可靠(合法数字签名)的程序,相对也可以信任,可以通过单击提示框“显示有关此发布者证书的信息“按钮进一步确认是否安全。黄色感叹号图标,表示来源不可靠(没有合法数字签名)的程序,相对
14、来说风险很大,建议不要运行。职业保镖组策略保护重要程度:安全特性:防止U盘自动运行以及指定程序的安装设置地点:开始菜单的运行栏中输入“gpedit.msc”UAC只是负责对程序的盘查,程序的运行与否只要主人首肯即可畅通无阻的运行。平时我们遇到程序众多,难免会有漏网之鱼混进大厦,因此我们还要聘请职业保镖来对恶意程序进行拦截。Win7自带的组策略就是一群身手不凡保镖,下面我们以其中两位保镖为例,介绍组策略是如何保护Win7的!(1)移动设备选择性接受USB设备的即插即用和便于携带,很多朋友都是用它来交换数据。正是由于USB的便携性,它也成为病毒、木马常见传播媒体,同时也成为隐私数据外泄的便携通道。
15、如何既保证自己的USB设备在电脑上可以使用,又有效防止外来设备的插入?Win7的组策略即可做到。技巧:让电脑只识别自己的U盘首先插入自己的U盘,打开资源管理器后右击U盘选择“属性硬件选中当前U盘”,然后单击“属性”,在打开的窗口切换到“详细信息”标签,在设备“属性”下拉框中选择“硬件ID”,复制其中的值。启动设备管理器,展开“通用串行总线控制器 USB大容量存储设备”的硬件ID,同样复制其中的ID数值(如图3)。在开始菜单的“运行”中输入“gpedit.msc”启动组策略编辑器,依次展开“计算机配置管理模板系统设备安装设备安装限制”,将右侧的“禁止安装未由其他策略设置描述的设备”设置为“已启用”。接着再将“允许安装与下列设备ID相匹配的设备”设置为“已启用”,然后输入上述复制到的硬件ID,这样我们的电脑就只能识别自己的U盘了(如图4)。(2)不受欢迎程序批量拦截现在很多软件出于推广的目的捆绑在常见的装机软件中,新手在安装这些软件时一不小心就会被莫名其妙的安装了很多捆绑软件。对于Win
