4)启动防火墙
最后系统会提示你配置结束。按“保存”按钮退出向导后防火墙启动。如下图。
 |
| 按“保存”按钮退出向导后防火墙启动 |
5)配置ICMP包过虑
如下图。
|
| 配置ICMP包过滤 |
ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。如果你选择容许ICMP包过滤,这里简单介绍一下各选项的作用,见下表。
ICMP协议内容简介
|
类型 |
名称 |
作用 |
|
0 |
回波应答(Echo Reply) |
用于探测和DoS |
|
3 |
不能到达目的地(Destination unreachable) |
提高性能,用于探测 |
|
4 |
源结束(Source Quench) |
提高性能 |
|
5 |
重定向(Redirect) |
提高本地性能,本地DoS |
|
8 |
回波(Echo) |
用于探测和DoS |
|
9 |
路由器公告(Router dvertisement) |
仅用于本地 |
|
10 |
路由器选择(Router Selection) |
仅用于本地 |
|
11 |
超时(Time Exceeded) |
用于路由跟踪和探测 |
|
12 |
参数问题(Parameter Problem) |
报告数据包包头错误,用于探测 |
|
13 |
时间戳(Timestamp) |
用于探测 |
|
14 |
时间戳应答(Timestamp Reply) |
可用于探测 |
|
15 |
信息请求(Information Request) |
废弃 |
|
16 |
信息应答(Information Reply) |
废弃 |
|
17 |
地址掩码请求(Address Mask Request) |
用于本地探测 |
|
18 |
地址掩码应答(Address Mask Reply) |
仅用于探测路由器的应答 |
|
30 |
路由跟踪(Traceroute) |
可以替代路由跟踪命令 |
有严重危害的ICMP类型
除Ping以外,其他类型的ICMP也可以用于扫描网络。ICMP的时间戳(Timestamp,类型13) 会产生一个时间戳应答(Timestamp Reply,类型14),但是只有在Unix系统中才出现这种情况,微软的IP堆栈中没有此项功能。因此,根据对时间戳请求的应答,不仅可以知道目的系统的主机是激活的,而且还能知道目的主机是否采用了微软的操作系统。
一些安全意识强的组织往往会在防火墙配置中全面过滤入站的ICMP消息,这种情况下ICMP 探测就会失效;然而,大多数网络配置都不会对ICMP 消息进行全面过滤,这是因为网络管理员经常要使用ICMP 消息来解决网络的一些故障。ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络,或者不需要防止端口扫描的网络,可以不考虑有关ICMP的问题。然而,对于安全性至关重要的网络,则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标选择“接受”。下图是 Firestarter 防火墙工作界面。
|
| Firestarter 防火墙工作界面 |
