防火墻安裝終極攻略
防火墻安裝終極攻略
讓PC直接暴露在Internet上,就好比離家時不鎖房門,最后的結(jié)果是有人有意或無意地闖入您的房間,將金銀珠寶一掃而光。怎樣才能保障系統(tǒng)的安全呢?安裝防火墻軟件算是最常采用的措施了吧,而通常作為補(bǔ)充手段,安裝基于硬件的防火墻也是常用的措施。
而即便您是一位經(jīng)驗(yàn)豐富的老手,配置防火墻也并不是件輕松的活兒。如果您曾經(jīng)放棄了安裝防火墻的念頭,或者不能確定防火墻是否對系統(tǒng)進(jìn)行了全面的保護(hù),沒關(guān)系,今天我們將為您解析個中奧妙。
翻開韋氏大詞典(Merriam-Webster),“Firewall”的本來含義是: 一堵用來阻擋火情蔓延的墻。在信息技術(shù)領(lǐng)域,防火墻是用來防止計算機(jī)受到來自Internet有害入侵的。與火災(zāi)不同,來自網(wǎng)絡(luò)的威脅不是僅僅影響那些臨近的計算機(jī),如果某人利用了您的IP地址,以及TCP或UDP端口,無論距離多遠(yuǎn),您的系統(tǒng)都會被擊中。
無論何時,只要您使用了瀏覽器、E-mail,或者從Internet站點(diǎn)、遠(yuǎn)端服務(wù)器下載文件,數(shù)據(jù)都是通過系統(tǒng)中的一個或多個端口進(jìn)行傳遞的。而那些電腦黑客,無論是窺探系統(tǒng)的天才少年,老謀深算的間諜程序,還是Windows XP信使服務(wù)彈出的垃圾信息,其攻擊策略都相同——即發(fā)現(xiàn)一個能夠進(jìn)入系統(tǒng)的開放端口,或者欺騙您打開一個這樣的端口。
防火墻可以監(jiān)視數(shù)以千計的端口——無論是撥號連接的還是使用寬帶網(wǎng)絡(luò)——它都可以阻止那些未授權(quán)的訪問請求?;谟布姆阑饓νǔ<稍诼酚善骱途W(wǎng)關(guān)產(chǎn)品中,它們處于PC和Cable或DSL Modem之間。而軟件防火墻則運(yùn)行在PC之上。
對于硬件防火墻來說,它們更擅長于保護(hù)那些通過寬帶連接的PC網(wǎng)絡(luò)。更重要的是,它們不僅兼具路由功能,還充當(dāng)了一個NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換,Net Address Translation)服務(wù)器,可以向外來的訪問者隱藏局域網(wǎng)中計算機(jī)的IP地址。
僅僅出于這個原因,硬件防火墻就足以成為寬帶用戶的明智選擇,即便是您擁有的只有一臺PC而已。這時您不妨購買像Linksys VEFSR41或D-Link DI-704P的4端口路由器,它們的價格不高,大約在300~400元。有的產(chǎn)品還內(nèi)置了無線接入模塊,價格上可能會稍貴一些,您可以在相關(guān)的網(wǎng)站上查詢詳細(xì)的信息。
防火墻的選配策略
硬件防火墻具有高度的可配置性: 它能夠阻止指定端口外所有的數(shù)據(jù)進(jìn)出。因此,規(guī)劃和配置硬件防火墻需要做大量的工作。相反,軟件防火墻運(yùn)行在您的PC之上,相對來說比較容易設(shè)置和維護(hù)。除了阻擋通過開放端口的非法訪問外,軟件防火墻還可以阻止惡意程序向遠(yuǎn)端服務(wù)器發(fā)送數(shù)據(jù)(就像那些天才少年編寫的木馬程序、間諜軟件以及后門軟件等)。
如果您通過撥號方式連接到Internet,那么外置的硬件防火墻就不見得是您的最好選擇,軟件防火墻在這方面的優(yōu)勢則十分明顯。對于Windows XP用戶來說,如果單單通過系統(tǒng)內(nèi)集成的ICF(Internet Connection Firewall,Internet連接防火墻)來保護(hù)PC是比較冒險的。
ICF的啟用方法是,選擇“開始”*“控制面板”*“網(wǎng)絡(luò)連接”,右鍵點(diǎn)擊需要保護(hù)的Internet連接,在快捷菜單中選擇“屬性”選項(xiàng),進(jìn)入“高級”選項(xiàng)卡,選中“通過限制或者阻止來自Internet的對此計算機(jī)的訪問來保護(hù)我的計算機(jī)和網(wǎng)絡(luò)”復(fù)選項(xiàng),點(diǎn)擊“確定”按鈕即可。
雖然這樣多少會減輕些系統(tǒng)安全方面的壓力,但這樣是遠(yuǎn)遠(yuǎn)不夠的。按照上面的方法設(shè)定后,比沒有防火墻安全了許多,但是與其他的專業(yè)軟件防火墻相比,Windows XP內(nèi)置的防火墻只能對進(jìn)入連接進(jìn)行監(jiān)視。因此,像Back Orifice、NetBus或其他后門程序就會有機(jī)可乘,ICF對于這種類型的非法訪問是無能為力的。
免費(fèi)的PC防火墻
下面,為您介紹4種安裝在PC上的免費(fèi)防火墻軟件,分別是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。雖然它們的某些功能特性略有不同,但都為PC帶來了全面的安全保障(關(guān)于這4款產(chǎn)品的詳細(xì)情況請參見色塊內(nèi)文《4款完全免費(fèi)的防火墻》)。
軟件防火墻的安裝比較簡單,但是它需要有一個短暫的調(diào)試時間。在此期間,防火墻軟件將會偵測那些可能會連接到遠(yuǎn)程服務(wù)器的應(yīng)用程序,比如瀏覽器、Email、網(wǎng)絡(luò)以及其他的應(yīng)用程序。
在某一程序第一次試圖連接到遠(yuǎn)程服務(wù)器時,這4款防火墻軟件都會自動彈出一個提示對話框,您可以通過點(diǎn)擊“是”或“否”按鈕來設(shè)定是否允許該連接繼續(xù)進(jìn)行。而大多數(shù)防火墻軟件還會提供一個可選項(xiàng),可以允許用戶將設(shè)定的選項(xiàng)定義為永久有效,加入到防火墻規(guī)則之中(如圖2所示)。按照前面的方法正常使用1~2天后,您的防火墻規(guī)則就已經(jīng)比較完善了,這時如果不再安裝或升級新的應(yīng)用程序,您甚至不會感到防火墻的存在。
對防火墻警告恰當(dāng)?shù)奶幚矸椒ê陀行У囊?guī)則創(chuàng)建策略是:要明確地了解哪個程序是安全的,而哪個是不安全的。大多數(shù)情況下,您可以通過程序的名稱來進(jìn)行判斷——像Outlook、Internet Explorer或Netscape等。但是,也有一些程序沒有采用常用的名稱,比如大多數(shù)Windows XP網(wǎng)絡(luò)特性都由一個名為svchost.exe的程序提供后臺支持,但乍一看來,我們很難猜出它是做什么用的。相反,很多間諜軟件或者其他的惡意程序?yàn)榱俗屪陨砀影踩?,往往會給自己起一個比較常用的名字,例如“clever screensaver”,如果您誤以為它是一個屏幕保護(hù)程序而允許它進(jìn)行網(wǎng)絡(luò)訪問,那么它的欺騙目的就達(dá)到了。那么,作為防火墻的操作人員我們應(yīng)該怎樣做呢?在此需要提醒您的是,定制嚴(yán)謹(jǐn)?shù)姆阑饓σ?guī)則是最重要的。切記首先禁止一切不確定的應(yīng)用程序訪問Internet,因?yàn)樵诖酥?,您還有很多機(jī)會去修訂這些規(guī)則。
其次,如果您無法斷定某個程序是否安全,那么請選擇一款能夠提供更多信息的防火墻吧!除了程序名之外,Kerio和Sygate并不能提供被監(jiān)測程序的更多線索,反之卻提供了很多防火墻之外的功能。因此,他們似乎更適合那些專業(yè)用戶,對于新手來說,更多的程序信息是十分必要的。
ZoneAlarm就提供了很多被檢測程序的相關(guān)信息(如圖3所示),并包含了一個嵌入在提示對話框中的鏈接按鈕,通過它您可以到Zone Lab公司的網(wǎng)站了解關(guān)于該程序的詳細(xì)描述信息。ZoneAlarm同時也提供了一個預(yù)配置文件,在缺省狀態(tài)下允許IE和Windows XP中svchost.exe程序訪問Internet,以便最小化用戶需要設(shè)定的訪問程序集。
Outpost給出的彈出對話框在默認(rèn)狀態(tài)下會創(chuàng)建永久規(guī)則,不過您也可以通過點(diǎn)擊“Allow Once”或“Block Once”按鈕去改變它們。另外,盡管Outpost提供了很多花哨的功能,例如阻止IE的彈出窗口、郵件附件保護(hù)等,但是它提供的程序信息并不比Kerio和Sygate多多少。
調(diào)整過濾機(jī)制
在完成了防火墻的基本配置后,您可能還希望改變、刪除或者調(diào)整這些規(guī)則。這4款防火墻軟件都可以對規(guī)則列表和已知程序進(jìn)行管理和維護(hù)。
Kerio: 右鍵單擊該程序在系統(tǒng)托盤中的圖標(biāo),選擇“Administration”*“Firewall” * “Advanced”。在已知程序的列表當(dāng)中,選擇需要修改的程序過濾規(guī)則,點(diǎn)擊“Edit”按鈕打開“Filter rule”(過濾規(guī)則)對話框。為了切換到程序的缺省狀態(tài),選擇對話框下方的“Permit”(允許)或者“Deny”(禁止)按鈕即可。其他的選項(xiàng)可以用來限制遠(yuǎn)程服務(wù)器的IP地址和該程序所使用的端口號。如果有些規(guī)則的設(shè)定不太恰當(dāng),不妨在此進(jìn)行修改,最后點(diǎn)擊“OK”保存修改即可。
Outpost: 右擊系統(tǒng)托盤中的“Outpost”圖標(biāo),選擇“Options”*“Application”,在阻止、部分允許和完全信任的程序列表中選擇一個程序,單擊“Edit”按鈕,通過“Always block this app”(總是阻止這個程序)或者“Always trust this app”(總是信任這個程序)選項(xiàng)來調(diào)整防火墻的規(guī)則列表。最好的解決辦法是: 將一個完全信任程序移動到部分阻止列表中(例如,單擊“Edit”按鈕,并依次選擇“choosing Create rules using preset”*“Browser”); 這時該程序就被賦予了訪問Internet的權(quán)利,但它是在一定的規(guī)則約束下工作的。瀏覽器的相關(guān)規(guī)則集(Outpost還可以將這些規(guī)則應(yīng)用到Email、即時消息及其他程序中)對那些Web瀏覽器較少調(diào)用的TCP或UDP端口進(jìn)行了限定,并且將可能來自Web或HTML電子郵件的危害減至最低。
Sygate: 為了修改防火墻規(guī)則,您需要右擊系統(tǒng)托盤中的“Sygate”圖標(biāo),并選擇“Applications”選項(xiàng)。在已知程序列表中,右鍵單擊需要修改的程序名稱,選擇“Allow”或“Block”選項(xiàng)即可。您也可以選擇“Ask”選項(xiàng),這樣Sygate會在該程序每次訪問Internet時都詢問您的意見。
ZoneAlarm: 為了修改程序的許可狀態(tài),右鍵單擊ZoneAlarm系統(tǒng)托盤圖標(biāo),選擇“Restore ZoneAlarm Control Center” (恢復(fù)到ZoneAlarm控制中心)選項(xiàng)。在控制中心左側(cè)窗格中選擇“Program Control”選項(xiàng),并進(jìn)入“Programs”選項(xiàng)卡。在此您可以對每個應(yīng)用程序的狀態(tài)進(jìn)行設(shè)定,具體包括4個狀態(tài)選項(xiàng): 在Internet和受信任這兩個區(qū)域中,可以分別定義該程序?yàn)?ldquo;允許訪問遠(yuǎn)程服務(wù)器”或者“自行充當(dāng)服務(wù)器”狀態(tài)。“√”表示允許訪問,“×”表示阻止訪問,“?”則表示讓ZoneAlarm在該程序每次訪問網(wǎng)絡(luò)時進(jìn)行詢問; 最后,在彈出的菜單中選定一個新的缺省動作即可。