第六次实验 Filter防火墙

实验步骤一

使本机不能访问所有网站

      本任务将通过对Windows防火墙进行配置，实现本机不能访问所有网站。实验步骤如下：

步骤一：未设置防火墙时，测试本机可访问网站。

      登录到实验机后，打开浏览器，在浏览器里面输入某个网站地址。本例以http://tools.hetianlab.com，如图

 

 

步骤二：进入windows防火墙的高级设置页面。

      通过点击：开始-->控制面板-->系统和安全-->Windows 防火墙，出现“Windows防火墙”页面：

 

   点击“高级设置”，出现“高级安全Windows防火墙”设置页面：

 

 

实验步骤二

设置出口规则为“阻止对80端口的TCP连接”（即禁止访问Web服务器）。分为如下若干小步骤：

1）右键出站规则-->新建规则：

2）首先是“规则类型”配置，选择“端口”，并点击“下一步”。如下图：

 

 

 3）在“协议和端口”配置界面，选择“TCP”，选择“特定远程端口”，输入“80”，点“下一步”。见下图：

 

 4）在“操作”界面，选择“阻止连接”，点“下一步”。

 

 5）在“名称”界面，为该规则指定一个名称和描述。

 

 

6）点击“完成”后，规则创建完毕。

  步骤四、测试。

      打开浏览器，输入刚才测试的网站，已无法访问。

 

 

 实验步骤三

使本机不能访问指定网站

 

      本任务将通过对windows防火墙进行规则设置，使本机不能访问指定网站，我们以http://tools.hetianlab.com为例。

      在实验之前，把任务一所新建的出口规则删除，此时在浏览器下可以访问http://tools.hetianlab.com。

 

步骤一、设置出口规则为“阻止对http://tools.hetianlab.com的80端口的TCP连接”（即禁止访问http://tools.hetianlab.com网站）。分为如下若干小步骤：

1）新建规则（出站规则），规则类型选“自定义”，点“下一步”。

 

 

 

2）在“程序”配置界面，选“所有程序”，点“下一步”。

3）在“协议和端口”界面，选“TCP”，选择“特定远程端口”，输入“80”，点“下一步”。

 

 

 4）在“作用域”界面，点击“添加”，将弹出“IP地址”对话框，输入网址的IP地址，获取IP的方法为CMD 里ping tools.hetianlab.com，点击“确定”，回到“作用域”后，点击“下一步”。见下图：

 

 

 

5）在“操作”界面，选择“阻止连接”，点“下一步”。

6）在“名称”界面，为本次规则取个名字。

      点击“完成”后，规则创建完毕。

步骤二：测试

      打开浏览器，此时已经无法访问http://tools.hetianlab.com。但可ping通。截图中返回了IP地址说明是通的，请求超时只是网站为了安全而设置的禁ping策略。

 

 

 

思考

1分析白名单策略与黑名单，哪个策略更严谨？

两者的安全本质差距在于黑名单通过实施策略从而启动措施，而白名单是通过实施策略阻止措施。但是这是假设策略有效时，如果策略无效，会导致措施无法保证安全，而白名单会使得措施继续保证安全，这是由两者策略和措施的关系的有无的本质差别造成的.因此白名单可靠性远高于黑名单。

2在某一公共场合，只想让用户访问WEB，除此外如QQ、迅雷之类的都不能用，防火墙应该如何设置？

设置防火墙只允许web端口访问