1 使本机不能访问所有网站
1、未设置防火墙时,测试本机可访问网站
登录到实验机后,打开浏览器,在浏览器里面输入某个网站地址。如:http://tools.hetianlab.com
2 进入windows防火墙的高级设置页面
开始-->控制面板-->系统和安全-->Windows 防火墙,出现“Windows防火墙”页面,之后点击高级设置
说明:
1)在高级安全Windows防火墙中,是支持双向保护的,也就是说它将防火墙的规则分为两个部分,分别是入站规则和出站规则。入站就是外网访问本机,出站就是本机访问外网。高级安全Windows防火墙默认是对内阻止,对外开放。
2)用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接;可以使用预先设置的规则,也可以创建自定义规则。“新建规则向导”则可以帮用户逐步完成创建规则的步骤。
3)用户可以将规则应用于一组程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接,或者允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据的安全性;可以为入站和出站流量配置源IP地址及目的地IP地址,同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。
4)Web服务器的缺省端口是80。
2 禁止访问Web服务器
继续对上面的操作,设置出口规则为“阻止对80端口的TCP连接”(即禁止访问Web服务器)。分为如下几个小步骤
1 右键出站规则-->新建规则
2)首先是“规则类型”配置,选择“端口”,并点击“下一步”
3 在“协议和端口”配置界面,选择“TCP”,选择“特定远程端口”,输入“80”,点“下一步”
4 在“操作”界面,选择“阻止连接”,点“下一步”
5 在“名称”界面,为该规则指定一个名称和描述
6 点击“完成”后,规则创建完毕
之后在继续打开浏览器进行测试,输入刚刚打开的网址
可以看到我们已经访问不了了
3 使本机不能访问指定网站
通过对windows防火墙进行规则设置,使本机不能访问指定网站,我们以http://tools.hetianlab.com为例。
在实验之前,记得把之前所新建的出口规则删除,不然是没法访问网站的。
要设置出口规则为“阻止对http://tools.hetianlab.com的80端口的TCP连接”(即禁止访问http://tools.hetianlab.com网站)有如下几个步骤
1 新建规则(出站规则),规则类型选“自定义”,点“下一步”
2 在“程序”配置界面,选“所有程序”,点“下一步”
3 在“协议和端口”界面,选“TCP”,选择“特定远程端口”,输入“80”,点“下一步”
4 在“作用域”界面,点击“添加”,将弹出“IP地址”对话框,输入网址的IP地址,获取IP的方法为CMD 里ping tools.hetianlab.com,点击“确定”,回到“作用域”后,点击“下一步”
5 在“操作”界面,选择“阻止连接”,点“下一步”
6 在“名称”界面,为本次规则取个名字
7 最后再次打开相同的网站,进行测试
分析与思考
1)分析白名单策略与黑名单,哪个策略更严谨?
黑名单是设置不能通过的用户,黑名单以外的用户都能通过
白名单是设置能通过的用户,白名单以外的用户都不能通过
一般情况下白名单比黑名单限制的用户要更多一些
有很多软件都应都用了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则,感觉白名单更安全。
2)在某一公共场合,只想让用户访问WEB,除此外如QQ、迅雷之类的都不能用,防火墙应该如何设置?
先设置所有出站规则,不允许任何端口连接,再设置一个新的规则,允许特定端口80,连接
浙公网安备 33010602011771号