防火墙实验报告 2

计算机安全实验报告

实验题目： 天网防火墙 windows安全设置 专业/班级： 计科一班

学 号：

姓 名： 李冲

指导教师：

一 天网防火墙技术 1 实验题目简述

个人防火墙是防止电脑中的信息被外部侵袭的一项技术，在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等，都能帮助用户的系统进行监控及管理，防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。

这些软件都能够独立运行于整个系统中或针对个别程序、项目，所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。

2.实验目标和意义

实验的目标是在于熟悉个人防火墙的配置与应用，以便更加保证个人电脑的网络安全，避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。

3.实验原理和实验设备

3.1 实验原理

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，

基于网络连接的安全问题也日益突出，因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

例如，防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围，当不符合条件时，程序将询问用户或禁止操作，这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则，监视和拦截恶意信息。与此通知，还可以利用IP规则封杀指定 TCP/UDP端口，有效地防御入侵，如139漏洞、震荡波等。

3.1 实验设备

Window 7

天网个人防火墙2010版

4.实验步骤

4.1 实验步骤

第一步：局域网地址设置，防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.

3-1：局域网地址设置

第二步：管理权限设置，它有效地防止未授权用户随意改动设置、退出防火墙等如图3-2.

3-2：管理权限设置

第三步：入侵检测设置，开启此功能，当防火墙检测到可疑的数据包时防火墙会弹出入侵检测提示窗口，并将远端主机IP显示于列表中。（如图3-2）.

3-3：入侵检测

第四步：安全级别设置，其中共有五个选项。如图3-4页面。

3-4：安全级别设置

低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照

设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。

中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务（如HTTP、FTP等）。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。

高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。

扩：基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。

自定义：如果您了解各种网络协议，可以自己设置规则。注意，设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。

第五步：IP规则，如图3-5的页面。

3-5：IP规划

IP规则是针对整个系统的网络层数据包监控而设置的，其中有几个重要的设置。

防御ICMP攻击：选择时，即别人无法用PING的方法来确定用户的存在。但不影响用户去PING别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。

防御IGMP攻击：IGMP是用于组播的一种协议，对于MS Windows的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法。

TCP数据包监视：通过这条规则，用户可以监视机器与外部之间的所有TCP连接请求。注意，这只是一个监视规则，开启后会产生大量的日志。

禁止互联网上的机器使用我的共享资源：开启该规则后，别人就不能访问用户的共享资源，包括获取您的机器名称。

禁止所有人连接低端端口：防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口，几乎所有的Internet服务都是在这些端口上工作的，所以这是一条非常严厉的规则，有可能会影响使用某些软件。

允许已经授权程序打开的端口：某些程序，如ICQ，视频电话等软件，都会开放一些端口，这样，才可以连接到您的机器上。本规则可以保证些软件可以正常工作。

4.2 重点和难点问题分析

网络攻击在网上是一种常见的进攻手段，用来窃取个人信息。本实验的重点是学习如何利用个人防火墙有效地建立起相对安全的网络应用，以免恶意程序或木马的入侵。并且在实践中让我了解到，网络安全的重点并不是如何避免受到攻击，而是需要用户及时发现攻击并采取有效手段保护自己的网络安全，

甚至对其反攻。

5实验结果的评价

本次实验，提高了自身网络的安全意识以及保护措施。在此次实验中，进行了设置应用程序权限、自定义IP规则设置以及利用IP规则防止常见病毒的设置，从而可以有效的防止上网账号被窃取等恶意现象。

6实验总结

本次实验让我了解了个人防火墙配置的相关知识，了解了木马、病毒的入侵手段。学习到了IP规划设置。并且了解了防火墙的功能，它能够防止Internet上用户的攻击，阻断木马以及其他恶意程序的进攻。经过配置个人防火墙，让我的网络安全意识进一步得到加强。

二 windows安全设置

一．实验目的：

了解并掌握windows7的一些安全设置，是我们的电脑更加安全。

二．实验要求：

了解并掌握window7的安全设置，熟练控制自己的电脑。

三．实验内容：

经常遇到恶意软件的骚扰——快使用安全管家UAC

其他人的U盘可能有病毒——用组策略让系统只认自己的U盘 不想安装指定的软件——组策略为你挡掉所有烦恼

电脑中有极为重要的文件怕泄漏——两种加密方式保证数据安全 上网和共享担心安全隐患——Win7的网络安全组件很给力

安全管家——UAC

重要程度：★★★★★

安全特性：未授权程序不能自动运行

设置地点：开始菜单的搜索栏中输入“UAC”，得到设置位置“更改用户账户控制设置”

在WinXP时 代，如果我们以管理员身份登录系统（这恰是很多用户的使用习惯），那么对系统的一切操作就拥有了管理员权限。这样你一旦安装了捆绑危险程序的软件，或者访 问包含恶意代码的网站，那么这些危险程序和恶意代码就可以以管理员身份运行，轻则造成系统瘫痪，重则造成个人隐私的泄露，很有可能又造成一个可怕的“XX门”事件。为了堵住这些安全隐患，微软在Win7中新增了UAC（用户账户控制）组件来避免这种情况的发生。

在Win7中UAC组件默认开启的，这样即使你以管理员身份（非Adminstrator账户，该账户在Win7中默认设置是“禁用”）登录系统，默认的仍然是“标准用户”权限，这样危险程序和恶意代码试图运行时，UAC就会自动对其拦截并弹出提示窗口，需要用户手动确认“是”才能够运行（如图1）。

它就像大厦里的管家，严格对拜访者进行安全盘查，不仅对程序进行拦截而且提供详细的拦截信息，当我们在日常操作中遇到UAC拦截时，可以通过单击“显示详细信息”来了解更多运行细节。

技巧：对UAC进行设置

UAC组件对所有可能影响系统设置的操作都会进行拦截，如果你只是在进行正常的系统设置，不希望每次操作都弹出UAC提示。可以依次展开“控制面板→

系统和安全→更改用户账户控制”，然后在弹出的窗口，根据自己实际需要拖动滑块进行设置即可（如图2）。

延伸阅读

怎么判断UAC拦截提示

为了便于用户对UAC的拦截有个直观的感觉，在Win7中会对不同类型的程序添加不同颜色的“盾牌”图标来表示。

蓝色色条和对角黄线盾牌标识，表示是Windows自带组件比如命令提

示符、注册表编辑器运行时出现，这些程序一般可以信任（但是要注意代码对系统组件的调用）。

灰色的色条和带问号的盾牌，表示来源可靠（合法数字签名）的程序，相对也可以信任，可以通过单击提示框“显示有关此发布者证书的信息“按钮进一步确认是否安全。

黄色感叹号图标，表示来源不可靠(没有合法数字签名)的程序，相对来说风险很大，建议不要运行。

职业保镖——组策略保护

重要程度：★★★★

安全特性：防止U盘自动运行以及指定程序的安装

设置地点：开始菜单的运行栏中输入“gpedit.msc”

UAC只是负责对程序的盘查，程序的运行与否只要主人首肯即可畅通无阻的运行。平时我们遇到程序众多，难免会有漏网之鱼混进大厦，因此我们还要聘请职业保镖来对恶意程序进行拦截。Win7自带的组策略就是一群身手不凡保镖，下面我们以其中两位保镖为例，介绍组策略是如何保护Win7的！

（1）移动设备选择性接受

USB设备的即插即用和便于携带，很多朋友都是用它来交换数据。正是由于USB的便携性，它也成为病毒、木马常见传播媒体，同时也成为隐私数据外泄的便携通道。如何既保证自己的USB设备在电脑上可以使用，又有效防止外来设备的插入？Win7的组策略即可做到。

技巧：让电脑只识别自己的U盘

首先插入自己的U盘，打开资源管理器后右击U盘选择“属性→硬件→选中当前U盘”，然后单击“属性”，在打开的窗口切换到“详细信息”标签，在设

备“属性”下拉框中选择“硬件ID”，复制其中的值。启动设备管理器，展开“通用串行总线控制器→ USB大容量存储设备”的硬件ID，同样复制其中的ID数值（如图3）。

在开始菜单的“运行”中输入“gpedit.msc”启动组策略编辑器，依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”，将右侧的“禁止安装未由其他策略设置描述的设备”设置为“已启用”。接着再将“允许安装与下列设备ID相匹配的设备”设置为“已启用”，然后输入上述复制到的硬件ID，这样我们的电脑就只能识别自己的U盘了（如图4）。

（2）不受欢迎程序批量拦截

现在很多软件出于推广的目的捆绑在常见的装机软件中，新手在安装这些软件时一不小心就会被莫名其妙的安装了很多捆绑软件。对于Win7用户，现在我们只要运用新增的“AppLocker”策略即可批量将某一公司软件全部拒之门外。

技巧：拒绝安装360系列软件

首先启动服务管理组件，找到其中的“Application Identity”服务并设为自动启动。接着同上启动组策略编辑器，依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker→可执行规则”，右击“可执行规则”选择“创建默认规则“。

创建默认规则后，继续右击“可执行规则”选择“创建新规则”，在打开的创建向导选择默认“Everyone”账户执行权限为“拒绝”，然后按照向导提示选

择“发布者“作为规则主要条件类型，接着导入360公司任一款软件如“360安全卫士在线安装程序”（需要先自行下载备用），其他选择默认设置完成规则的创建并重启（如图5）

对于同一家公司推出的软件，它的发布者一般都是一样的。我们建立上述规则后，以后只要是这家公司（需要软件签名一致，如果不同可以建立多个规则进行拦击）发布的软件，包括同一软件的后续版本，如果试图在本机运行时都会遭到AppLocker拦截而无法在本机安装。

扩展阅读：组策略中更多相关的安全策略：

关闭黑客入侵通道：黑客经常通过扫描工具侦测被攻击系统远程操作权限，从而通过远程操作来控制我们的电脑。现在只要依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”，然后双击右侧窗格的“网络访问：可远程访问的注册表路径”，打开组策略属性设置框，删除其中的所有注册表路径信息即可

禁止共享空密码：Win7允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有帐户名称。同上展开“安全选项”后，将右侧的“网络访问:不允许SAM账号和共享的匿名枚举”设置为“已启用”。

阻止黑客Ping：黑客经常通过Ping命令来扫描有漏洞的电脑，展开“计算机配置→Windows设置→安全设置→高级安全Windows防火墙→高级安全Windows防火墙→本地组策略对象→入站规则→新规则→自定义→所有程序→ICMPv4→阻止连接”，自定义IPSec 策略即可阻止黑客们Ping我们的电脑。

专业库管——数据加密

重要程度：★★★★

安全特性：未授权用户无法访问文件或磁盘

设置地点：选择文件或磁盘后，点击右键选择相应菜单

在我们的硬盘中，个人文件是其中最为重要的数据。如果这些数据没有加密，任何使用我们电脑的人都可以访问，显然极其容易造成数据的泄密。那如何保护好自己数据不泄密？Win7为我们提供两种加密服务。

1.基于文件的加密

Win7强制使用NTFS格式作为系统分区，对于保存在NTFS分区的文件，Win7提供EFS加密，EFS加密的文件其他账户是无法访问的，可以有效保护文件的安全。

技巧：使用EFS加密我的文档

如果自己的数据主要保存在“d:\Documents”下，现在只要打开上述目录后右击选择“属性”，然后单击“高级”按钮，在打开的窗口勾选“加密内容以保护数据”即可（如图6）。

在Win7中启用EFS加密的目录会以绿色字体标示，以后我们只要在自己电脑上设置一个专用账户供来宾使用，其他账户登录电脑后是无法访问EFS加密的文件的。但是注意的是一旦启用EFS加密，一定要及时备份密匙以备不时之需。

扩展阅读：使用“权限+EFS”双重保护数据

EFS加密/解密针对加密账户是透明的，也就是说如果其他人使用你的账户登录系统（比如很多朋友设置了Win7自动登录），那么EFS加密的文件是可以自由访问的。因此为了更好保护加密文件，我们还可以结合NTFS的权限来限制用户对特定文件的访问。

比如““d:\Documents\工 作文档”不希望任何用户的访问，只要右击该目录选择“属性”，切换到“安全”标签，接着单击“编辑”，把“组和用户”列表下的所有账户删除，这样就没有任 何账户可以访问该目录了。如果自己要访问该目录，则只要将当前账户添加到“组和用户”列表，并将读取权限设置为“完全控制”即可。

2.基于驱动器的加密——BitLocker加密

EFS加密只能针对目录设置，如果自己的文件都是保存在某一分区，那么还可以使用Win7新增的“BitLocker加密”。 BitLocker是基于系统底层的加密技术，启用加密时如果要访问加密内容则要求用户对其凭据进行身份验证来访问该信息。

技巧：加密保存重要数据的D盘

BitLocker加密分区操作很简单，比如需要加密分区D，打开资源管理器后右击D盘选择“启用BitLocker”，然后按照加密向导对D盘进行加密即可，普通用户可以将加密密匙保存在U盘，成功加密后驱动器图标会带上一个加密锁标记（如图7）。

完成BitLocker加密后只要重启，下次如果要访问加密分区，系统则会弹出BitLocker解密窗口，要求我们输入指定的密码才能访问该驱动器。而且启用BitLocker加密的硬盘挂接到其他电脑上也是无法法访问的，这样即使你的电脑送去维修也可以保护数据的安全（如图8）。

扩展阅读：EFS加密和BitLocker加密区别（表1）。

贴身护卫——网络安全组件

重要程度：★★★

安全特性：上网及共享更多的安全体验

设置地点：使用系统自带的IE以及设置共享时的安全选项

随着网络的普及，系统遭受的攻击越来越多来自网络：不小心访问挂马网站带来的木马，下载软件暗藏的病毒、黑客的网络攻击等。可以说我们遭受到安全威胁几乎90%来自于网络。因此Win7也大幅增强网络组件的安全防护性能。

1、越来越安全的IE

浏览器是我们遨游网络的必备工具，网络安全威胁也是大多通过浏览器引发的。为了保障用户浏览网络时更加安全，微软不仅频繁对IE进行升级（最新版已是IE9），而且通过各种安全组件加强IE安全性。这里我们以Win7集成的IE8对ActivX控件改进为例。

技巧：选择性的加载ActiveX控件

大家知道访问很多网站时都会被要求下载或者加载特定ActiveX控件，对于恶意网站来说更是通过ActiveX控件来危害访问者的电脑。IE8对ActiveX控件可以针对指定网站加载。

假设现在有个BUG的ActiveX控件，但是现在访问的是正规网站如新浪网，此时IE如果弹出是否加载ActiveX控件提示，由于是安全网站，我们只要点击上方加载提示，选择“仅当前页面加载”，这样浏览新浪页面时就会加载ActiveX控件而不影响浏览。如果访问的是恶意网站，试图加载有漏洞的ActiveX控件，我们只要选择“不加载”，这样恶意网站就无法利用ActiveX控件威胁我们的电脑了。

扩展阅读：IE9新增安全特性

增加了Smart Screen功能，能够屏蔽假冒网站的威胁（如用户名、密码和帐单数据），以及防止恶意软件侵入电脑。

跟踪保护功能：可以避免用户个人隐私被第三方网站跟踪记录,可定制访问以及禁止访问的第三方网站。

加载项性能顾问：加载项性能顾问会在加载项放缓浏览会话时通知用户。默认情况下，如果所有加载项的总加载时间超过0.2秒，用户就会收到通知，使用

户有机会作出明智的决定，使用有价值的加载项并选择禁用不太有用或影响性能的加载项。

2、更安全的网络共享

现在拥有小型网络的企业和家庭用户越来越多，网络共享安全始终是个极大安全隐患。在这方面Win7大幅提高网络互访和数据共享的安全性能。

技巧：安全共享的家庭组

Win7在首次接通网络时，Win7就会让用户选择网络设置，对于家庭用户可以按照向导建立安全家庭组，默认家庭组必须设置密码，而且Win7会自动生成复杂随机的多位密码。以后家庭组电脑的访问和加入就必须输入生成的随机密码（如图9）。

四．实验总结：

Win 7为用户提供了优秀的安全保障措施，只要我们用好这些安全功能，并不需要借助第三方软件，我们就能够享受到总统级的安全享受。当然了，我们想要系统更加安全，良好的电脑和网络使用习惯也非常重要，这将让安全威胁降到最低。