3.3.1防火墙.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,CONTENTS,防火墙设备,网络安全设备,防火墙概述,Part 1,防火墙的类型,Part 2,防火墙的体系结构,Part 3,防火墙配置,Part 4,防火墙产品介绍,Part 5,3.3.1,目录,1,古时候，建造和使用木质结构的房屋，为了在火灾发生时，防止火势蔓延，人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障，这种防护构筑物被称之为防火墙。在今天的网络世界里，人们借用了防火墙这个概念，把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层，并迫使所有的连接和访问都通过这一保护层，以便接受检查。只有被授权信息流才能通过保护层，进入内部网，从而保护内部网免受非法入侵。,防火墙的概念,1,防火墙的发展简史,2,防火墙的功能,3,防火墙的安全性设计,4,防火墙概述,6.1,一、防火墙的概念,防火墙（,Firewall,）,是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。,从,实现方式,上看，防火墙可以分为,硬件防火墙,和,软件防火墙,两类：,硬件防火墙是通过硬件和软件的结合来达到隔离内、外部网络的目的；,软件防火墙是通过纯软件的方式来实现的。,防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界；,构成防火墙系统的两个基本部件是,包过滤路由器,和,应用级网关,；,最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；,由于组合方式有多种，因此防火墙系统的结构也有多种形式。,相关概念,1,、外部网络（非受信网络）：防火墙外部网络，一般为,Internet,；,2,、内部网络（受信网络）：防火墙内的网络,3,、非军事化区（,DMZ,）：为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，,Internet,和,DMZ,。,4,、吞度量：是指路由器的包转发能力，分为端口吞吐量和整机吞吐量，端口吞吐量是指路由器的具体一个端口的包转发能力，整机吞吐量是指路由器整机的包转发能力。,5,、最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。,6,、堡垒主机：是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是,Internet,。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然,7,、包过滤：它通过检查单个数据包的地址、协议、端口等信息来决定是否允许此数据包通过的技术。,8,、代理服务器（,Proxy Server,）：代理网络用户去取得网络信息。形象的说,它是网络信息的中转站。,9,、状态检测技术：状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。,先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态。,10,、虚拟专用网：,(Virtual Private Network,，简称,VPN,),指的是在公用网络上建立专用网络的技术。整个,VPN,网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如,Internet,、,ATM(,异步传输模式,、,Frame Relay(,帧中继,),等之上的逻辑网络，用户数据在逻辑链路中传输。,VPN,是指采用,“,隧道,”,技术以及加密、身份认证等方法在公共网络,(,一般是,Internet),上构建专用网络的技术，数据通过安全的,加密管道,在公众网络中传播。整个,VPN,网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，,而是架构在公用网络服务商所提供的网络平台,(,如,Internet,ATM,Frame,Relay,等,),之上的逻辑网络，用户数据在逻辑链路中传输。,当需要时，,VPN,从公用网中独占一部分带宽，作为私有网络使用；当,VPN,通讯结束后，这部分带宽就被释放出来还给公用网。,“,虚拟,”,的概念是相对传统私用网络搭建方式而言的，,VPN,不需要建设远程连接，而是通过服务提供商提供的公用网来实现广域连接。,通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户业务的不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的业务上，而不是网络上。,虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。特别是对那种具有多个子公司，而且子公司物理上分布在多个不同地方的大企业，在企业内部，使用,VPN,作为员工协同工作的解决方案即可以保证安全性，又可以减少企业网络花费。,VPN,分类,根据,VPN,所起的作用，可以将,VPN,分为三类：,VPDN,、,Intranet VPN,和,Extranet VPN,。,1,、,VPDN(Virtual Private Dial Network),VPDN,也被称为远程访问虚拟专用网,(Access VPN),，它是指远程移动的雇员通过,VPN,访问企业内部网的方式。实现过程如下：用户拨号网络服务提供商的网络访问服务器,NAS(Network Access Server),，发出,PPP,连接请求，,NAS,收到呼叫后，在用户和,NAS,之间建立,PPP,链路，然后，,NAS,对用户进行身份验证，确定是合法用户，就启动,VPDN,功能，与公司总部内部连接，访问其内部资源。,如果企业内部人员移动或有远程办公需要，或者商家要提供,B2C,的安全访问服务，就可以考虑使用远程访问虚拟专用网。,2,、,Intranet VPN,Intranet VPN,也被称为内部网虚拟专用网，它是指企业远程分支与公司总部之间的,VPN,网。通过,Internet,公共网络将公司在各地分支机构的,LAN,连到公司总部的,LAN,，以便公司内部的资源共享、文件传递等，可节省,DDN,等专线所带来的高额费用。,如果要进行企业内部各分支机构的互联，使用,IntranetVPN,是很好的方式。,3,、,Extranet VPN,Extranet VPN,也被称为外联网虚拟专用网，它是指企业与合作伙伴、客户、供应商之间的,VPN,网。由于不同公司网络环境的差异性，,Extranet VPN,必须能兼容不同的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置特定的访问控制表,ACL(Access Control List),，根据访问者的身份、网络地址等参数来确定他所相应的访问权限，开放部分资源而非全部资源给外联网的用户。,如果是提供,B2B,之间的安全访问服务，则可以考虑,ExtranetVPN,。,11,、漏洞：系统中的安全缺陷。漏洞可以导致入侵者获取信息并导致不正确的访问。在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。,12,、数据驱动攻击（,data driven attack,）：是通过向某个活动的服务发送数据，以产生非预期结果来进行的攻击。从攻击者看来结果是所希望的，因为它们给出了访问目标系统的许可权。从编程人员看来，那是他们的程序收到了未曾料到的将导致非预期结果的输入数据。数据驱动攻击分为缓冲区溢出攻击（,buffer overflow attack,）和输入验证攻击（,input validation attack,）。,13,、,IP,地址欺骗：是指行动产生的,IP,数据包伪造的源,IP,地址，以便冒充其他系统或保护发件人的身分。欺骗也可以是指伪造或使用伪造的标题就以电子邮件或网络新闻,-,再次,-,保护发件人的身分和误导接收器或网络，以原产地和有效性发送数据。,14,、重定向：就是通过各种的方法将各种网络请求重新定个方向转到其它位置。如：网页中的重定向、域名的重定向、路由选择的变化也是对数据报文经由路径的一种重定向。时常会遇到需要网页重定向的情况：像网站调整，如改变网页目录结构，网页被移到一个新地址，再或者，网页扩展名改变，如因应用需要把,.php,改成,.Html,或,.shtml,，在这种情况下，如果不做重定向，则用户收藏夹或搜索引擎数据库中旧地址只能让访问客户还会得到一个页面错误信息，访问流量白白丧失；再如某些注册了多个域名的网站，也需要通过重定向让访问这些域名的用户自动跳转到主站点等。,15,、网络地址转换,(NAT,Network Address Translation),：完成局域网节点地址与,IP,地址之间转换的一项因特网工程任务组,(IETF),标准。是,属接入广域网,(WAN),技术,是一种将私有,(,保留,),地址转化为合法,IP,地址的转换技术,它被广泛应用于各种类型,Internet,接入方式和各种类型的网络中。,NAT,不仅完美地解决了,lP,地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。,二、,防火墙的发展简史,防火墙,发展史,2.,第二代防火墙,用户化的防火墙,3.,第三代防火墙,建立在通用操作系统上的防火墙,4.,第四代防火墙,具有安全操作系统的防火墙,1.,第一代防火墙,基于路由器的防火墙,三、防火墙的功能,先进的防火墙产品将网关与安全系统合二为一，具有以下功能。,1.,包过滤,2.,远程管理,3.NAT,技术,4.,代理,5.MAC,与,IP,地址的绑定,6.,流量控制（带宽管理）和统计分析、流量计费,7.VPN,8.URL,级信息过滤,9.,其他特殊功能,四、,防火墙的安全性设计,1.,用户认证,2.,域名服务,3.,邮件处理,4.IP,层的安全性,5.,防火墙的,IP,安全性,防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。,数据包过滤型防火墙,1,应用级网关型防火墙,2,防火墙的类型,6.2,代理服务型防火墙,3,复合型防火墙,4,一、数据包过滤型防火墙,数据包过滤,(Packet Filtering),技术,在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表,(Access Control Table),。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。,优点：,数据包过滤防火墙逻辑简单，价格便宜，易于,安装和使用，网络性能和透明性好,缺点：,一是非法访问一旦突破防火墙，即可对主机上,的软件和配置漏洞进行攻击；,二是数据包的源地址、目的地址以及,IP,的端口号,都在数据包的头部，很有可能被窃听或假冒。,包过滤技术特点,优点,工作在网络层和传输层,只对数据包的,IP,地址、,TCP/UDP,协议和端口进行分析，处理速度快、易于配置,缺点,不能防范黑客攻击,IP,地址欺骗,不支持应用层协议,不能处理新的安全威胁,不支持状态检测,方向：状态检测防火墙,（,1,）包过滤路由器,包过滤路由器的结构,包过滤的工作流程,关键：制定包过滤规则,包过滤路由器作为防火墙的结构,假设网络安全策略规定,：,内部网络的,E-mail,服务器（,IP,地址为,192.1.6.2,，,TCP,端口号为,25,）可以接收来自外部网络用户的所有电子邮件；,允许内部网络用户传送到与外部电子邮件服务器的电子邮件；,拒绝所有与外部网络中名字为,TESTHOST,主机的连接。,包过滤规则表,包过滤在网络层、传输层对进出内部网络的数据包进行监控，但是网络用户对网络资源和服务的访问发生在应用层，必须在应用层对用户身份认证和访问操作分类检查和过滤，这个功能是由应用级网关完成的。,二、应用级网关型防火墙,应用级网关,(Application Level Gateways),在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。,数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。,应用代理防火墙,应用代理防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的,TCP,连接，应用层的协议会话过程必须符合代理的安全策略要求。,应用代理防火墙的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。,缺点也非常突出，主要有：,难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。,处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个,Web,访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的,Web,服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常,Web,访问不能及时得到响应。,总之，应用代理防火墙不能支持大规模的并发连接，在对速度敏感的行业使用这类防火墙时简直是灾难。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。,在,IT,领域中，新应用、新技术、新协议层出不穷，代理防火墙很难适应这种局面。因此，在一些重要的领域和行业的核心业务应用中，代理防火墙正被逐渐疏远。,但是，自适应代理技术的出现让应用代理防火墙技术出现了新的转机，它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了,10,倍。,三、代理服务型防火墙,代理服务,(Proxy Service),也称链路级网关或,TCP,通道,(Circuit Level Gateways or TCP Tunnels),，它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。,四、,状态检测防火墙,Internet,上传输的数据都必须遵循,TCP/IP,协议，根据,TCP,协议，每个可靠连接的建立需要经过,“,客户端同步请求,”,、,“,服务器应答,”,、,“,客户端再应答,”,三个阶段，常用到的,Web,浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。,状态检测防火墙摒弃了包过滤防火墙仅考查数据包的,IP,地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。,网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。,应用级网关,双归属主机可以用于网络安全与网络服务的代理,在应用层过滤进出内部网络特定服务的用户请求与响应,应用代理,应用级网关：在应用层“转发”合法的应用请求,应用代理：隔离了用户主机与被访问服务器之间的数据包交换通道,1,、代理服务器的工作机制,代理服务器的使用,A,B,C,2,、代理服务器存在的理由,（,1,）局域局内没有与外网相连的机器通过内网的代理服务器连接到外网,（,2,）为了获得更大的速度，通过频宽较大的,proxy,与目标主机连接,（,3,）同一地区未互联的不同网络通过代理建立连接,（,4,）可以免费访问因特网,3,、谁架设了代理服务器,（,1,）是大型机关、企业事业、教育机构,（,2,）,ISP,是,Internet Service Provider,的简称，即因特网服务提供商，能提供拨号上网服务、网上浏览、下载文件、收发电子邮件等服务。,4,、局域网连接共享实现代理,(,配置最简单,),218.94.26.219,255.255.255.0,218.94.26.1,202.102.3.141,192.168.0.1,255.255.255.0,202.102.3.141,192.168.0.2,255.255.255.0,192.168.0.1,202.102.3.141,WinRoute,共享代理上网详解（,网上有更详细的帮助文件,）,主要功能,1,、,DNS,缓存和转发,DNS,域名查询信息,2,、可以端口映射实现反向代理功能，让外部访问受,NAT,保护的,内部网络所提供的一些功能,3,、它具有路由器的寻径功能，让局域网里的多台计算机使用同一个,IP,地址访问因特网，还能自动保护内部网络不受到外部的攻击,4,、该软件支持基于,IP,地址的过滤和限制，提供限制可访问的,URL,的安全功能,、利用该软件提供的,DHCP,服务器功能，可以动态分配局域网上的计算机的,TCP/IP,地址。,、为保证安全，用户可以通过该软件定义一个过滤规则，对经过代理服务器的数据信息进行过滤,、它能提供代理服务器功能，并且可以设置缓存这样就可以大幅度提高游览的速度。,(,这个功能是非常有用的,),、它还可以作为电子邮件服务器来使用，利用它来接受和发送电子邮件。（基本不用）,双重宿主主机体系结构,1,被屏蔽主机体系结构,2,防火墙的体系结构,.,被屏蔽子网体系结构,3,双重宿主主机体系结构,双重宿主主机体系结构,围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当外部网络和内部网络之间的路由器，所以它能够使内部网络和外部网络的数据包直接路由通过。,被屏蔽主机体系结构,被屏蔽主机体系结构防火墙,使用一个路由器把内部网络和外部网络隔离开，在这种体系结构中，主要的安全由数据包过滤提供。,被屏蔽子网体系结构,被屏蔽子网体系结构,将额外的安全层添加到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络,(,通常是,Internet),隔离开。,周边网络是一个被隔离的独立子网，充当了内部网络和外部网络的缓冲区，在内部网络与外部网络之间形成了一个“隔离带”。这就构成一个所谓的,“,非军事区”,(DeMilitarized Zone,，,DMZ),，,DMZ,是周边网络，是防火墙的重要概念，在实际应用中经常用到。,防火墙将极大地增强内部网和,Web,站点的安全。根据不同的需要，防火墙在网中的配置有很多方式。根据防火墙所在位置的不同，可以分为：服务器置于防火墙之内、服务器置于防火墙之外、服务器置于防火墙之上。,Web服务器置于防火墙之内,1,Web服务器置于防火墙之外,2,Web服务器置于防火墙之上,3,Microsoft ISA Server企业级,防火墙配置实例,4,防 火 墙 配 置,Web,服务器置于防火墙之内,优点：,将,Web,服务器装在防火墙内的好处是它得到了,安全保护，不容易被黑客闯入。,缺点：,这种配置却使得,Web,服务器不容易被外界所用。,Web,服务器置于防火墙之外,为保证内部网络的安全，将,Web,服务器完全置于防火墙之外是比较合适的。在这种模式中，,Web,服务器不受保护，但内部网则处于保护之下。,Web,服务器置于防火墙之上,优点：,在防火墙机器上运行,Web,服务器，可以增强,Web,站点的安全性。,缺点：,一旦服务器出了问题，整个组织和,Web,站点就,全部处于危险之中。,ISA Server,企业级防火墙配置实例,Microsoft ISA Server,企业级防火墙是全球最大的软件公司微软公司最新发布的防火墙产品。最新的产品是,2004,年推出的,ISA Server 2004,。作为,Microsoft Windows Server System,的成员之一，,ISA Server 2004,企业级防火墙是一个安全、易于使用且经济高效的解决方案，可帮助,IT,专业人员抵御不断涌现的新安全威胁。,WinRoute,包过滤防火墙配置,WinRoute,目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是,WinRoute4.1,，安装文件如图所示。,以管理员身份安装该软件，安装完毕后，启动,“,WinRoute Administration,”,，,WinRoute,的管理界面如图所示。,默认情况下，该密码为空。点击按钮,“,OK,”,，进入系统管理。当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看,“,Ethernet,”,的属性，将两个复选框全部选中，如图所示。,利用,WinRoute,创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用,“,Ping,”,指令探测。选择菜单项,“,Packet Filter,”,，如图所示。,在包过滤对话框中可以看出目前主机还没有任何的包规则，如图所示。,数据包过滤器配置举例，如下的配置将强制除,10.10.10.3,之外的所有局域网计算机必须通过代理对外界的,WEB,服务器进行访问,10.10.10.3,可直接对外进行访问,202.119.249.16,可直接对外进行访问,所有的计算机不允许对外界的,80,端口（即,WEB,）进行访问,选择对内的网卡进行配置,选中图网卡图标，单击按钮,“,添加,”,。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图所示。,因为,“,Ping,”,指令用的协议是,ICMP,，所以这里要对,ICMP,协议设置过滤规则。在协议下拉列表中选择,“,ICMP,”,，如图所示。,在,“,ICMP Type,”,栏目中，将复选框全部选中。在,“,Action,”,栏目中，选择单选框,“,Drop,”,。在,“,Log Packet,”,栏目中选中,“,Log into Window,”,，创建完毕后点击按钮,“,OK,”,，一条规则就创建完毕，如图所示。,为了使设置的规则生效，点击按钮,“,应用,”,，如图所示。,设置完毕，该主机就不再响应外界的,“,Ping,”,指令了，使用指令,“,Ping,”,来探测主机，将收不到回应，如图所示。,虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏,“,View,”,下的菜单项,“,LogsSecurity Logs,”,，察看日志纪录如图所示。,例,1,用,WinRoute,禁用,FTP,访问,FTP,服务用,TCP,协议，,FTP,占用,TCP,的,21,端口，主机的,IP,地址是,“,172.18.25.109,”,，首先创建规则如表所示。,组序号,动作,源,IP,目的,IP,源端口,目的端口,协议类型,1,禁止,*,172.18.25.109,*,21,TCP,利用,WinRoute,建立访问规则，如图所示。,设置访问规则以后，再访问主机,“,172.18.25.109,”,的,FTP,服务，将遭到拒绝，如图所示。,访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。,例,2,用,WinRoute,禁用,HTTP,访问,HTTP,服务用,TCP,协议，占用,TCP,协议的,80,端口，主机的,IP,地址是,“,172.18.25.109,”,，首先创建规则如表所示。,组序号,动作,源,IP,目的,IP,源端口,目的端口,协议类型,1,禁止,*,172.18.25.109,*,80,TCP,利用,WinRoute,建立访问规则，如图,9-18,所示。,打开本地的,IE,连接远程主机的,HTTP,服务，将遭到拒绝，如图所示。,访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。,