防火牆如何配置安全策略
1. 防火牆怎麼弄
依次單擊開始;控制面板,然後在控制面板經典視圖中雙擊Windows防火牆一項,即可打開Windows防火牆控制台。此外,還可以在SP2新增加的安全中心界面下,點擊Windows防火牆打開防火牆控制台 。
1.常規選項卡
在Windows防火牆控制台常規選項卡中有兩個主選項:啟用(推薦)和關閉(不推薦),一個子選項不允許例外。如果選擇了不允許例 外,Windows防火牆將攔截所有的連接用戶計算機的網路請求,包括在例外選項卡列表中的應用程序和系統服務。另外,防火牆也將攔截文件和列印機共享, 還有網路設備的偵測。使用不允許例外選項的Windows防火牆簡直就完全閉關了,比較適用於高危環境,如餐館、賓館和機場等場所連接到公共網路 上的個人計算機。
2.例外選項卡
某些程序需要對外通訊,就可以把它們添加到例外選項卡中,這里的程序將被特許可以提供連接服務,即可以監聽和接受來自網路上的連接。
在例外選項卡界面下方有兩個添加按鈕,分別是:添加程序和添加埠,可以根據具體的情況手工添加例外項。如果不清楚某個應用程序是 通過哪個埠與外界通信,或者不知道它是基於UDP還是TCP的,可以通過添加程序來添加例外項。例如要允許Windows Messenger通信,則點擊添加程序按鈕,選擇應用程序C:Program Files MessengerMessengermsmsgs.exe,然後點擊確定把它加入列表。
如果對埠號以及TCP/UDP比較熟悉,則可以採用後一種方式,即指定埠號的添加方式。對於每一個例外項,可以通過更改范圍指定其作用 域。對於家用和小型辦公室應用網路,推薦設置作用域為可能的本地網路。當然,也可以自定義作用域中的IP范圍,這樣只有來自特定的IP地址范圍的網路請求 才能被接受。
3.高級選項卡
在高級選項卡中包含了網路連接設置、安全記錄、ICMP設置和還原默認設置四組選項,可以根據實際情況進行配置。
◆網路連接設置
這里可以選擇Windows防火牆應用到哪些連接上,當然也可以對某個連接進行單獨的配置,這樣可以使防火牆應用更靈活。
◆安全記錄
新版Windows防火牆的日誌記錄與ICF大同小異,日誌選項裡面的設置可以記錄防火牆的跟蹤記錄,包括丟棄和成功的所有事項。在日誌文件選 項里,可以更改記錄文件存放的位置,還可以手工指定日誌文件的大小。系統默認的選項是不記錄任何攔截或成功的事項,而記錄文件的大小默認為4MB。
◆ICMP設置
Internet控制消息協議(ICMP)允許網路上的計算機共享錯誤和狀態信息。在ICMP設置對話框中選定某一項時,界面下方會顯示出相應的描述信息,可以根據需要進行配置。在預設狀態下,所有的ICMP都沒有打開。
◆默認設置
如果要將所有Windows防火牆設置恢復為默認狀態,可以單擊右側的還原為默認值按鈕。
2. win10防火牆該怎麼設置
1.依次選擇<開始菜單>-<控制面板>-<系統與安全>,然後選擇右方的windows防火牆進入配置。
3. Windows安全設置策略及防火牆如何設置
方法/步驟
打開「控制面板」
Win7中在「開始」中點擊「控制面板」,如圖即可打開。
打開第一項「系統和安全」,點擊「檢查防火牆狀態」彈出了防火牆的位置界面,即防火牆所處的網路,是公共網路還是家庭辦公室網路。很顯然,公共網路的安全系數較低,然後防火牆的許可權相應的就越大。
在本頁的左側,是防火牆的一些基本設置,
更改通知設置、防火牆開關、還原默認設置和高級設置。
點擊打開或者關閉防火牆之後,出現防火牆的開關界面。不論在家庭網路還是在公共網路,windows系統都是建議打開防火牆的。雖然打開防火牆之後會降低中招的風險,但也會阻止一些你想要運行的程序。比如宿舍的兄弟想在一起聯機玩個游戲,卻不能連接區域網,有可能就是被防火牆阻止的。
如果防火牆導致數據不能互通的時候,可以打開高級設置。點擊高級設置,彈出「高級安全」對話框。
點擊「入站規則」可以查看通過windows防火牆的程序規則,通過這個程序規則,可以增加或者刪除你想開放或者阻止的程序。同時,有些規則是沒有必要的,可以點擊右邊的刪除鍵刪掉規則。
新建規則在此不在贅述,想要學習的童鞋可以私下來問我。
4. 如何利用防火牆技術來保證網路的安全性
防火牆,顧名思義,就是起到抵擋和防禦外來侵犯的這樣一個作用,相當於古時候的「盾牌」。大多數電腦用戶都對電腦防火牆有一定的認識,但也只是一知半解,機友們都了解防火牆能夠有效地保護我們電腦的安全,能夠防止電腦黑客對於電腦的入侵,對於我們的電腦有著重要的保護作用,但是對於它的具體作用許多朋友並不是很了解,今天重點來給大家說說防火牆的作用吧。
電腦防火牆作用:
一、首先自然是撐起網路的保護傘。防火牆都會制定自己的規則,凡是符合規則的一律放行,不符合規則的一律禁止,當然這些規則可以由網路管理員來自己制定,但是某些防火牆或許只能使用內置規則。
二、接下來就是強化網路安全策略,本來網路安全問題是由各個安全軟體獨立處理,而防火牆可以有效的把所有安全軟體配置在防火牆上,以防火牆為中心統一調用。防火牆的集中安全管理更經濟,更安全。
三、防火牆還能有效地記錄Internet上的活動,如果訪問經過防火牆的話,它就能一五一十的記錄下來,形成日誌供用戶查看。當有可疑情況發生的時候,防火牆會自動的發出適當的警報,並且提供詳細的信息供用戶查詢。通過這些信息,我們可以有效的掌握目前的網路是否安全,是否需要進一步的配置確保萬無一失。
四、防火牆可以限制暴露用戶點。防火牆可以把網路隔成一個個網段,每個網段之間是相互獨立互不幹擾的,當一個網段出現問題的時候不會波及其他的網段,這樣可以有效的防止因為一個網段問題波及整個網路的安全。
五、防火牆還有一個重要的功能就是防止信息外泄,隱私應該是每個上網用戶最關心的問題,現在正是隱私泄露的敏感時期,因此更受到用戶的關心,而防火牆可以阻塞有關內部網路中的DNS信息,使本機的域名和IP地址不會被外界所了解,能有效的阻止信息外泄。
六、當然防火牆的作用不止於安全范圍,它還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網路)。很多防火牆都含有VPN功能
5. 兩個主機互相訪問,防火牆上如何制定策略
兩台電腦區域網內互相訪問的設置技巧/步驟:
一、兩台電腦如何共享文件:通過路由器來實現的設置
WINDOWS XP在區域網里使用網上鄰居,進行電腦間的互訪、共享文件傳輸和列印機共享的技巧(其它系統類似)(全部要共享的電腦都要進行設置)
1、開通GUEST賬號
(控制面板→用戶賬號→啟用來賓賬戶GUEST)
2、設置在同一個工作組
(右擊我的電腦→屬性→計算機名→更改→工作組(需要重啟))
3、安裝網路「服務」協議
(控制面板→網路連接→右擊「本地連接」→屬性→常規→直接點擊「安裝」→服務)
4、運行一次「設置家庭和小型辦公網路」
(控制面板→網路安裝向導;或網上鄰居→設置家庭和小型辦公網路)--啟用共享文件
5、共享要共享的文件或文件夾
(右擊要共享文件夾,選「共享與安全」→勾選「在網路上共享這文件夾」;或者把要共享的文件,復制到共享文檔里去)
二、兩台電腦如何共享文件:通過網線連接的設置
打開「網上鄰居」,選擇「設置家庭或小型辦公室網路」,兩個下一步之後是「選擇連接技巧」,在這里選擇中間項。下一步到「給這台計算機提供描述和名稱」,這里可以不填,下一步。到「命名您的網路」處輸入 WORKGROUP 工作組名。下一步到「文件和列印機共享」處,在「你想做什麼?」處選擇第一項,啟用文件共享和列印機共享。再下一步,等待建立,一會兒彈出「快完成了。。。」時,選擇最後一項,完成該向導。下一步,完成。
兩台電腦都同樣建立這樣一個網路後,雙擊「網上鄰居」,「查看工作組計算機」,找到另一台計算機,就可以建立共享文件了。
三、兩台電腦如何共享文件:在區域網中的設置技巧/步驟詳解
兩台電腦共享文件的條件:配置IP地址和電腦在區域網內可以連通、關閉防火牆、更改「本地策略」、共享需要訪問的文件夾
1.配置IP地址
首先在「電腦A」上配置IP地址,單擊「開始菜單」--「運行」,輸入「conrtol」打開控制面板,找到「網路連接」打開,右鍵單機「本地連接」--「屬性」,雙擊「Internet協議(TCP/IP)」,選擇「使用下面IP地址」,在「ip地址」和「子網掩碼」分別輸入「192.168.1.55」和「255.255.255.0」確定,
在「電腦B」上重復2-8步,「ip地址」和「子網掩碼」改成「192.168.1.66」和「255.255.255.0」「確定」,
2.關閉防火牆
輸入「conrtol」打開控制面板,找到「Windows防火牆」「關閉」,單機「確定」
3.更改「本地策略」
「開始」--「運行」輸入「gpedit.msc」「確定」,展開「Windows設置」--「本地策略」--「安全選項」,「帳戶: 使用空白密碼的本地帳戶只允許進行控制台登錄雙擊「,雙擊改為「已停用」並確,
4.共享需要訪問的文件夾
右鍵「文件」--「屬性」,選擇「共享」--「共享此文件夾」單機「確定」訪問文件,最後在「電腦A」上訪問「電腦B」,在電腦A上打開「開始菜單」--「運行」輸入「//192.168.1.2/test」「確定」,
四、兩台電腦如何共享文件的注意事項:
兩台電腦都要配置IP地址,就是第一大步
要共享哪一個電腦就在那個電腦上操作第2-4大步
用完後要把「帳戶: 使用空白密碼的本地帳戶只允許進行控制台登錄」還原為「已停用」,如果開啟的,可能會不安全
兩台電腦如何共享文件以上就是在不同的條件下電腦共享文件的技巧。根據自己現有的條件進行操作即可。
6. 如何設置防火牆的安全策略。保證內網和外網的訪問更有安全性.
在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術.可以防止外網的黑客入侵你內部的網路。但是對於內網的防範他是無效的。你比如說內網的最常見的arp問題,內網也有ddos問題,ip碎片等或者網卡發出了錯誤的數據包也會直接影響交換網路造成內部網路通信癱瘓。對於交換網路的安全來講就得需要免疫網路了。免疫網路是企業信息網路的一種安全形式。「免疫」是生物醫學的名詞,它指的是人體所具有的「生理防禦、自身穩定與免疫監視」的特定功能。 就像我們耳熟能詳的電腦病毒一樣,在電腦行業,「病毒」就是對醫學名詞形象的借用。同樣,「免疫」也被借用於說明計算機網路的一種能力和作用。免疫就是讓企業的內部網路也像人體一樣具備「防禦、穩定、監視」的功能。這樣的網路就稱之為免疫網路。 免疫網路的主要理念是自主防禦和管理,它通過源頭抑制、群防群控、全網聯動使網路內每一個節點都具有安全功能,在面臨攻擊時調動各種安全資源進行應對。 它具有安全和網路功能融合、全網設備聯動、可信接入、深度防禦和控制、精細帶寬管理、業務感知、全網監測評估等主要特徵。 它與防火牆、入侵檢測系統、防病毒等「老三樣」組成的安全網路相比,突破了被動防禦、邊界防護的局限,著重從內網的角度解決攻擊問題,應對目前網路攻擊復雜性、多樣性、更多從內網發起的趨勢,更有效地解決網路威脅。 同時,安全和管理密不可分。免疫網路對基於可信身份的帶寬管理、業務感知和控制,以及對全網安全問題和工作效能的監測、分析、統計、評估,保證了企業網路的可管可控,大大提高了通信效率和可靠性。
7. 防火牆配置策略
pix515防火牆配置策略實例
#轉換特權用戶
pixfirewall>ena
pixfirewall#
#進入全局配置模式
pixfirewall# conf t
#激活內外埠
interface ethernet0 auto
interface ethernet1 auto
#下面兩句配置內外埠的安全級別
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火牆的用戶信息
enable password pix515
hostname pix515
domain-name domain
#下面幾句配置內外網卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside 公網IP 公網IP子網掩碼
global (outside) 1 interface
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面兩句將定義轉發公網IP的ssh和www服務到192.168.4.2
static (inside,outside) tcp 公網IP www 192.168.4.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 公網IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面兩句將定義外部允許訪問內部主機的服務
conit permit tcp host 公網IP eq www any
conit permit tcp host 公網IP eq ssh 信任IP 255.255.255.255
#允許內部伺服器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面這句允許ping
conit permit icmp any any
#下面這句路由網關
route outside 0.0.0.0 0.0.0.0 公網IP網關 1
#保存配置
write memory
8. 我現在要配置防火牆安全策略,但是我不是很清楚這些指令代表什麼,請知道的朋友用專業語言告訴我一下謝謝
樓主,你好~
看CLI命令,華為的防火牆,USG系列吧?
解釋如下。
security-policy 定義安全策略
rule name ospf1 創建一個叫 ospf1的策略
source-zone local 源區域---防火牆
destination-zone trust 目的區域---trust信任區
destination-zone untrust 目的區域---untrust非信區域
action permit 動作是 允許放行
rule name ospf2 創建一個叫 ospf2的策略
source-zone trust 源區域---trust信任區
source-zone untrust 源區域---untrust非信任區
destination-zone local 目的區域----防火牆
action permit 動作是 允許放行
不過樓主,你這action動作全部是permit any any
一把梭啊??
嚴格意義上來說,生產網環境下 您如果permit any to any
可能馬上就會下崗。
防火牆到底是幹嘛的,您要仔細想想,配置是其次。
9. win10防火牆怎麼設置安全設置
工具:win10系統電腦一台
步驟:
1、打開win10系統電腦,點擊開始,點控制面板。
10. 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。