Ⅰ 防火牆該如何設置
防火牆的設置具體步驟如下:以win8為例;
1、在開始界面下點擊【桌面】或【Win+D】快捷鍵或單獨按【Win】顯示桌面。
Ⅱ 防火牆如何設置
防火牆有軟體的也有硬體的,當然了,其實硬體仍然是按照軟體的邏輯進行工作的,所以也並非所有的硬防就一定比軟防好,防火牆的作用是用來檢查網路或Internet的交互信息,並根據一定的規則設置阻止或許可這些信息包通過,從而實現保護計算機的目的,
Windows 7防火牆的常規設置方法還算比較簡單,依次打開「計算機」——「控制面板」——「Windows防火牆」,
上圖中,啟用的是工作網路,家庭網路和工作網路同屬於私有網路,或者叫專用網路,圖下面還有個公用網路,實際上Windows 7已經支持對不同網路類型進行獨立配置,而不會互相影響,這是windows 7的一個改進點。圖2中除了右側是兩個幫助連接,全部設置都在左側,如果需要設置網路連接,可以點擊左側下面的網路和共享中心,另外如果對家庭網路、工作網路和公用網路有疑問也可參考一下。
下面來看一下Windows 7防火牆的幾個常規設置方法:
一、打開和關閉Windows防火牆
點擊圖2左側的打開和關閉Windows防火牆(另外點擊更改通知設置也會到這個界面),
可以看出,私有網路和公用網路的配置是完全分開的,在啟用Windows防火牆里還有兩個選項:
1、「阻止所有傳入連接,包括位於允許程序列表中的程序」,這個默認即可,否則可能會影響允許程序列表裡的一些程序使用。
2、「Windows防火牆阻止新程序時通知我」這一項對於個人日常使用肯定需要選中的,方便自己隨時作出判斷響應。
如果需要關閉,只需要選擇對應網路類型里的「關閉Windows防火牆(不推薦)」這一項,然後點擊確定即可。
二、還原默認設置
如果自己的防火牆配置的有點混亂,可以使用圖2左側的「還原默認設置」一項,還原時,Windows 7會刪除所有的網路防火牆配置項目,恢復到初始狀態,比如,如果關閉了防火牆則會自動開啟,如果設置了允許程序列表,則會全部刪除掉添加的規則。
三、允許程序規則配置
點擊圖2中上側的「允許程序或功能通過Windows防火牆」,
大家看到這個配置圖會很熟悉,就是設置允許程序列表或基本服務,跟早期的Windows XP很類似,不過還是有些功能變化:
1、常規配置沒有埠配置,所以也不再需要手動指定埠TCP、UDP協議了,因為對於很多用戶根本不知道這兩個東西是什麼,這些配置都已轉到高級配置里,對於普通用戶一般只是用到增加應用程序許可規則。
2、應用程序的許可規則可以區分網路類型,並支持獨立配置,互不影響,這對於雙網卡的用戶就很有作用。
不過,我們在第一次設置時可能需要點一下右側的更改設置按鈕後才可操作(要管理員許可權)。比如,上文選擇了,允許文件和列印機共享,並且只對家庭或工作網路有效(見圖右側)。如果需要了解某個功能的具體內容,可以在點選該項之後,點擊下面的詳細信息即可查看。
如果是添加自己的應用程序許可規則,可以通過下面的「允許允許另一程序」按鈕進行添加,方法跟早期防火牆設置類似,
選擇將要添加的程序名稱(如果列表裡沒有就點擊「瀏覽」按鈕找到該應用程序,再點擊」打開「),下面的網路位置類型還是私有網路和公用網路兩個選項,不用管,我們可以回到上一界面再設置修改,添加後
添加後如果需要刪除(比如原程序已經卸載了等),則只需要在上圖中點選對應的程序項,再點擊下面的「刪除」按鈕即可,當然系統的服務項目是無法刪除的,只能禁用。
Ⅲ 怎麼調整防火牆設置
調整防火牆設置,具體操作如下(以win7系統為例):
1、在最左下角【開始】菜單點擊【控制面板】;
Ⅳ 防火牆如何配置路由
控製版面~網路~屬性~~裡面TCP協定 屬性~ 設置
Ⅳ 如何配置防火牆
1、nameif
設置介面名稱,並指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡介面關閉,否則為激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置網路介面的IP地址
4、global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網介面名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmarkglobal_mask]:表示全局ip地址的網路掩碼。
5、nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
6、route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
7、static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL
訪問控制列表的命令與couit命令類似
10、偵聽命令fixup
作用是啟用或禁止一個服務或協議,
通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet
當從外部介面要telnet到PIX防火牆時,telnet數據流需要用vpn隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
12、顯示命令:
showinterface;查看埠狀態。
showstatic;查看靜態地址映射。
showip;查看介面ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
13、DHCP服務
PIX具有DHCP服務功能。
Ⅵ 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
Ⅶ 怎樣設置電腦的防火牆
1、點擊電腦上的開始按鈕
2、然後選擇 控制面板 需找防火牆設置選向
Ⅷ 防火牆如何配置規則
一般原則是放行從內向外的通信,而拒絕別人主動訪問你的數據包。
Ⅸ 防火牆怎麼配置
在使用防火牆之前,需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例,說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸,我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC,使用串口連接工具即可。從串口登陸到防火牆之後,可以配置用戶,密碼,登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口,一般默認配置了IP,如192.168.0.1/24。我們在對端PC上配置同網段的IP,如192.168.0.10/24,我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後,默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖,interface GigabitEthernet 0/0/0進入介面視圖,diagnose進入診斷視圖,security-policy進入安全策略視圖,firewall zone trust進入trust安全區域視圖,aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務:
telnet server enable
3. FTP配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務:
sftp server enable
配置Password認證方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務:
web-manager enable
配置完Web之後,其他配置就可以登陸到Web頁面進行可視化配置了。
Ⅹ 防火牆要怎麼設置
目前已經發布的windows xp service pack 2(sp2)包括了windows防火牆,即以前所稱的internet連接防火牆(icf)。windows防火牆是一個基於主機的狀態防火牆,它丟棄所有未請求的傳入流量,即那些既沒有對應於為響應計算機的某個請求而發送的流量(請求的流量),也沒有對應於已指定為允許的未請求的流量(異常流量)。windows防火牆提供某種程度的保護,避免那些依賴未請求的傳入流量來攻擊網路上的計算機的惡意用戶和程序。
在windows xp sp2中,windows防火牆有了許多新增特性,其中包括:
默認對計算機的所有連接啟用、應用於所有連接的全新的全局配置選項、用於全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網路限制、異常流量可以通過應用程序文件名指定對internet協議第6版(ipv6)的內建支持
採用netsh和組策略的新增配置選項
本文將詳細描述用於手動配置全新的windows防火牆的對話框集。與windows xp(sp2之前的版本)中的icf不同,這些配置對話框可同時配置ipv4和ipv6流量。
windows xp(sp2之前的版本)中的icf設置包含單個復選框(在連接屬性的「高級」選項卡上「通過限制或阻止來自internet對此計算機的訪問來保護我的計算機和網路」復選框)和一個「設置」按鈕,您可以使用該按鈕來配置流量、日誌設置和允許的icmp流量。
在windows xp sp2中,連接屬性的「高級」選項卡上的復選框被替換成了一個「設置」按鈕,您可以使用該按鈕來配置常規設置、程序和服務的許可權、指定於連接的設置、日誌設置和允許的icmp流量。
「設置」按鈕將運行全新的windows防火牆控制面板程序(可在「網路和internet連接與安全中心」類別中找到)。
新的windows防火牆對話框包含以下選項卡:
「常規」 「異常」 「高級」 「常規」選項卡
在「常規」選項卡上,您可以選擇以下選項:
「啟用(推薦)」
選擇這個選項來對「高級」選項卡上選擇的所有網路連接啟用windows防火牆。
windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在「異常」選項卡上進行配置。
「不允許異常流量」
單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。「異常」選項卡上的設置將被忽略,所有的連接都將受到保護,而不管「高級」選項卡上的設置如何。
「禁用」
選擇這個選項來禁用windows防火牆。不推薦這樣做,特別是對於可通過internet直接訪問的網路連接。
注意對於運行windows xp sp2的計算機的所有連接和新創建的連接,windows防火牆的默認設置是「啟用(推薦)」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下,您必須識別出那些已不再運作的程序,將它們或它們的流量添加為異常流量。許多程序,比如internet瀏覽器和電子郵件客戶端(如:outlook express),不依賴未請求的傳入流量,因而能夠在啟用windows防火牆的情況下正確地運作。
如果您在使用組策略配置運行windows xp sp2的計算機的windows防火牆,您所配置的組策略設置可能不允許進行本地配置。在這樣的情況下,「常規」選項卡和其他選項卡上的選項可能是灰色的,而無法選擇,甚至本地管理員也無法進行選擇。
基於組策略的windows防火牆設置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網路時所應用的windows防火牆設置)和標准配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網路時所應用的windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的windows防火牆設置。要查看當前未應用的配置文件的設置,可使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置,可使用netsh firewall set命令。
「異常」選項卡
在「異常」選項卡上,您可以啟用或禁用某個現有的程序或服務,或者維護用於定義異常流量的程序或服務的列表。當選中「常規」選項卡上的「不允許異常流量」選項時,異常流量將被拒絕。
對於windows xp(sp2之前的版本),您只能根據傳輸控制協議(tcp)或用戶數據報協議(udp)埠來定義異常流量。對於windows xp sp2,您可以根據tcp和udp埠或者程序或服務的文件名來定義異常流量。在程序或服務的tcp或udp埠未知或需要在程序或服務啟動時動態確定的情況下,這種配置靈活性使得配置異常流量更加容易。
已有一組預先配置的程序和服務,其中包括:
文件和列印共享、遠程助手(默認啟用)、遠程桌面、upnp框架,這些預定義的程序和服務不可刪除。
如果組策略允許,您還可以通過單擊「添加程序」,創建基於指定的程序名稱的附加異常流量,以及通過單擊「添加埠」,創建基於指定的tcp或udp埠的異常流量。
當您單擊「添加程序」時,將彈出「添加程序」對話框,您可以在其上選擇一個程序或瀏覽某個程序的文件名。
當您單擊「添加埠」時,將彈出「添加埠」對話框,您可以在其中配置一個tcp或udp埠。
全新的windows防火牆的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發起異常流量的網段。在定義程序或埠的范圍時,您有兩種選擇:
「任何計算機」
允許異常流量來自任何ip地址。
「僅只是我的網路(子網)」
僅允許異常流量來自如下ip地址,即它與接收該流量的網路連接所連接到的本地網段(子網)相匹配。例如,如果該網路連接的ip地址被配置為 192.168.0.99,子網掩碼為255.255.0.0,那麼異常流量僅允許來自192.168.0.1到192.168.255.254范圍內的 ip地址。
當您希望允許本地家庭網路上全都連接到相同子網上的計算機以訪問某個程序或服務,但是又不希望允許潛在的惡意internet用戶進行訪問,那麼「僅只是我的網路(子網)」設定的地址范圍很有用。
一旦添加了某個程序或埠,它在「程序和服務」列表中就被默認禁用。
在「異常」選項卡上啟用的所有程序或服務對「高級」選項卡上選擇的所有連接都處於啟用狀態。
「高級」選項卡
「高級」選項卡包含以下選項:
網路連接設置、安全日誌、icmp、默認設置
「網路連接設置」
在「網路連接設置」中,您可以:
1、指定要在其上啟用windows防火牆的介面集。要啟用windows防火牆,請選中網路連接名稱後面的復選框。要禁用windows防火牆,則清除該復選框。默認情況下,所有網路連接都啟用了windows防火牆。如果某個網路連接沒有出現在這個列表中,那麼它就不是一個標準的網路連接。這樣的例子包括internet服務提供商(isp)提供的自定義撥號程序。
2、通過單擊網路連接名稱,然後單擊「設置」,配置單獨的網路連接的高級配置。
如果清除「網路連接設置」中的所有復選框,那麼windows防火牆就不會保護您的計算機,而不管您是否在「常規」選項卡上選中了「啟用(推薦)」。如果您在「常規」選項卡上選中了「不允許異常流量」,那麼「網路連接設置」中的設置將被忽略,這種情況下所有介面都將受到保護。
當您單擊「設置」時,將彈出「高級設置」對話框。
在「高級設置」對話框上,您可以在「服務」選項卡中配置特定的服務(僅根據tcp或udp埠來配置),或者在「icmp」選項卡中啟用特定類型的icmp流量。
這兩個選項卡等價於windows xp(sp2之前的版本)中的icf配置的設置選項卡。
「安全日誌」
在「安全日誌」中,請單擊「設置」,以便在「日誌設置」對話框中指定windows防火牆日誌的配置,
在「日誌設置」對話框中,您可以配置是否要記錄丟棄的數據包或成功的連接,以及指定日誌文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。
「icmp」
在「icmp」中,請單擊「設置」以便在「icmp」對話框中指定允許的icmp流量類型,
在「icmp」對話框中,您可以啟用和禁用windows防火牆允許在「高級」選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用於診斷、報告錯誤情況和配置。默認情況下,該列表中不允許任何icmp消息。
診斷連接問題的一個常用步驟是使用ping工具檢驗您嘗試連接到的計算機地址。在檢驗時,您可以發送一條icmp echo消息,然後獲得一條icmp echo reply消息作為響應。默認情況下,windows防火牆不允許傳入icmp echo消息,因此該計算機無法發回一條icmp echo reply消息作為響應。為了配置windows防火牆允許傳入的icmp echo消息,您必須啟用「允許傳入的echo請求」設置。
「默認設置」
單擊「還原默認設置」,將windows防火牆重設回它的初始安裝狀態。
當您單擊「還原默認設置」時,系統會在windows防火牆設置改變之前提示您核實自己的決定。 bbbbb