利用配置防火墙

7.4.1　利用WinRoute配置防火墙

WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1。

1.用WinRoute创建包过滤规则

以管理员身份安装该软件，安装完毕后，启动“WinRoute Administration”，WinRoute的管理界面如图7-18所示。

图7-18

默认情况下，该密码为空。点击按钮“OK”，进入系统管理。当系统安装完毕以后，该主机将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中，如图7-19所示。

图7-19

利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”，如图7-20所示。

图7-20

在包过滤对话框中可以看出目前主机还没有任何的包规则，如图7-21所示。

图7-21

选中图中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图7-22所示。

图7-22

因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”，如图7-23所示。

图7-23

在“ICMP Type”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”，创建完毕后点击按钮“OK”，一条规则就创建完毕，如图7-24所示。

图7-24

如图7-25所示，为了使设置的规则生效，点击按钮“应用”。

图7-25

设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应，如图7-26所示。

图7-26

虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“Logs＞Security Logs”，察看日志纪录如图7-27所示。

图7-27

2.用WinRoute禁用FTP访问

要点：（1）FTP服务用TCP协议；

（2）FTP占用TCP的21端口；

（3）主机的IP地址是“172.18.^＊.^＊”；

（4）创建规则如表7-2所示。

表7-2

如图7-28利用WinRoute建立访问规则。

图7-28

设置访问规则以后，若再访问主机“172.18.^＊.^＊”的FTP服务，将遭到拒绝，如图7-29所示。

图7-29

访问违反了访问规则，会在主机的安全日志中记录下来，如图7-30所示。

图7-30

同理可创建禁用HTTP访问，这里不再详述。