防火墻安裝終極攻略
防火墻安裝終極攻略
讓PC直接暴露在Internet上,就好比離家時(shí)不鎖房門(mén),最后的結(jié)果是有人有意或無(wú)意地闖入您的房間,將金銀珠寶一掃而光。怎樣才能保障系統(tǒng)的安全呢?安裝防火墻軟件算是最常采用的措施了吧,而通常作為補(bǔ)充手段,安裝基于硬件的防火墻也是常用的措施。
而即便您是一位經(jīng)驗(yàn)豐富的老手,配置防火墻也并不是件輕松的活兒。如果您曾經(jīng)放棄了安裝防火墻的念頭,或者不能確定防火墻是否對(duì)系統(tǒng)進(jìn)行了全面的保護(hù),沒(méi)關(guān)系,今天我們將為您解析個(gè)中奧妙。
翻開(kāi)韋氏大詞典(Merriam-Webster),“Firewall”的本來(lái)含義是: 一堵用來(lái)阻擋火情蔓延的墻。在信息技術(shù)領(lǐng)域,防火墻是用來(lái)防止計(jì)算機(jī)受到來(lái)自Internet有害入侵的。與火災(zāi)不同,來(lái)自網(wǎng)絡(luò)的威脅不是僅僅影響那些臨近的計(jì)算機(jī),如果某人利用了您的IP地址,以及TCP或UDP端口,無(wú)論距離多遠(yuǎn),您的系統(tǒng)都會(huì)被擊中。
無(wú)論何時(shí),只要您使用了瀏覽器、E-mail,或者從Internet站點(diǎn)、遠(yuǎn)端服務(wù)器下載文件,數(shù)據(jù)都是通過(guò)系統(tǒng)中的一個(gè)或多個(gè)端口進(jìn)行傳遞的。而那些電腦黑客,無(wú)論是窺探系統(tǒng)的天才少年,老謀深算的間諜程序,還是Windows XP信使服務(wù)彈出的垃圾信息,其攻擊策略都相同——即發(fā)現(xiàn)一個(gè)能夠進(jìn)入系統(tǒng)的開(kāi)放端口,或者欺騙您打開(kāi)一個(gè)這樣的端口。
防火墻可以監(jiān)視數(shù)以千計(jì)的端口——無(wú)論是撥號(hào)連接的還是使用寬帶網(wǎng)絡(luò)——它都可以阻止那些未授權(quán)的訪(fǎng)問(wèn)請(qǐng)求?;谟布姆阑饓νǔ<稍诼酚善骱途W(wǎng)關(guān)產(chǎn)品中,它們處于PC和Cable或DSL Modem之間。而軟件防火墻則運(yùn)行在PC之上。
對(duì)于硬件防火墻來(lái)說(shuō),它們更擅長(zhǎng)于保護(hù)那些通過(guò)寬帶連接的PC網(wǎng)絡(luò)。更重要的是,它們不僅兼具路由功能,還充當(dāng)了一個(gè)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換,Net Address Translation)服務(wù)器,可以向外來(lái)的訪(fǎng)問(wèn)者隱藏局域網(wǎng)中計(jì)算機(jī)的IP地址。
僅僅出于這個(gè)原因,硬件防火墻就足以成為寬帶用戶(hù)的明智選擇,即便是您擁有的只有一臺(tái)PC而已。這時(shí)您不妨購(gòu)買(mǎi)像Linksys VEFSR41或D-Link DI-704P的4端口路由器,它們的價(jià)格不高,大約在300~400元。有的產(chǎn)品還內(nèi)置了無(wú)線(xiàn)接入模塊,價(jià)格上可能會(huì)稍貴一些,您可以在相關(guān)的網(wǎng)站上查詢(xún)?cè)敿?xì)的信息。
防火墻的選配策略
硬件防火墻具有高度的可配置性: 它能夠阻止指定端口外所有的數(shù)據(jù)進(jìn)出。因此,規(guī)劃和配置硬件防火墻需要做大量的工作。相反,軟件防火墻運(yùn)行在您的PC之上,相對(duì)來(lái)說(shuō)比較容易設(shè)置和維護(hù)。除了阻擋通過(guò)開(kāi)放端口的非法訪(fǎng)問(wèn)外,軟件防火墻還可以阻止惡意程序向遠(yuǎn)端服務(wù)器發(fā)送數(shù)據(jù)(就像那些天才少年編寫(xiě)的木馬程序、間諜軟件以及后門(mén)軟件等)。
如果您通過(guò)撥號(hào)方式連接到Internet,那么外置的硬件防火墻就不見(jiàn)得是您的最好選擇,軟件防火墻在這方面的優(yōu)勢(shì)則十分明顯。對(duì)于Windows XP用戶(hù)來(lái)說(shuō),如果單單通過(guò)系統(tǒng)內(nèi)集成的ICF(Internet Connection Firewall,Internet連接防火墻)來(lái)保護(hù)PC是比較冒險(xiǎn)的。
ICF的啟用方法是,選擇“開(kāi)始”*“控制面板”*“網(wǎng)絡(luò)連接”,右鍵點(diǎn)擊需要保護(hù)的Internet連接,在快捷菜單中選擇“屬性”選項(xiàng),進(jìn)入“高級(jí)”選項(xiàng)卡,選中“通過(guò)限制或者阻止來(lái)自Internet的對(duì)此計(jì)算機(jī)的訪(fǎng)問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選項(xiàng),點(diǎn)擊“確定”按鈕即可。
雖然這樣多少會(huì)減輕些系統(tǒng)安全方面的壓力,但這樣是遠(yuǎn)遠(yuǎn)不夠的。按照上面的方法設(shè)定后,比沒(méi)有防火墻安全了許多,但是與其他的專(zhuān)業(yè)軟件防火墻相比,Windows XP內(nèi)置的防火墻只能對(duì)進(jìn)入連接進(jìn)行監(jiān)視。因此,像Back Orifice、NetBus或其他后門(mén)程序就會(huì)有機(jī)可乘,ICF對(duì)于這種類(lèi)型的非法訪(fǎng)問(wèn)是無(wú)能為力的。
免費(fèi)的PC防火墻
下面,為您介紹4種安裝在PC上的免費(fèi)防火墻軟件,分別是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。雖然它們的某些功能特性略有不同,但都為PC帶來(lái)了全面的安全保障(關(guān)于這4款產(chǎn)品的詳細(xì)情況請(qǐng)參見(jiàn)色塊內(nèi)文《4款完全免費(fèi)的防火墻》)。
軟件防火墻的安裝比較簡(jiǎn)單,但是它需要有一個(gè)短暫的調(diào)試時(shí)間。在此期間,防火墻軟件將會(huì)偵測(cè)那些可能會(huì)連接到遠(yuǎn)程服務(wù)器的應(yīng)用程序,比如瀏覽器、Email、網(wǎng)絡(luò)以及其他的應(yīng)用程序。
在某一程序第一次試圖連接到遠(yuǎn)程服務(wù)器時(shí),這4款防火墻軟件都會(huì)自動(dòng)彈出一個(gè)提示對(duì)話(huà)框,您可以通過(guò)點(diǎn)擊“是”或“否”按鈕來(lái)設(shè)定是否允許該連接繼續(xù)進(jìn)行。而大多數(shù)防火墻軟件還會(huì)提供一個(gè)可選項(xiàng),可以允許用戶(hù)將設(shè)定的選項(xiàng)定義為永久有效,加入到防火墻規(guī)則之中(如圖2所示)。按照前面的方法正常使用1~2天后,您的防火墻規(guī)則就已經(jīng)比較完善了,這時(shí)如果不再安裝或升級(jí)新的應(yīng)用程序,您甚至不會(huì)感到防火墻的存在。
對(duì)防火墻警告恰當(dāng)?shù)奶幚矸椒ê陀行У囊?guī)則創(chuàng)建策略是:要明確地了解哪個(gè)程序是安全的,而哪個(gè)是不安全的。大多數(shù)情況下,您可以通過(guò)程序的名稱(chēng)來(lái)進(jìn)行判斷——像Outlook、Internet Explorer或Netscape等。但是,也有一些程序沒(méi)有采用常用的名稱(chēng),比如大多數(shù)Windows XP網(wǎng)絡(luò)特性都由一個(gè)名為svchost.exe的程序提供后臺(tái)支持,但乍一看來(lái),我們很難猜出它是做什么用的。相反,很多間諜軟件或者其他的惡意程序?yàn)榱俗屪陨砀影踩?,往往?huì)給自己起一個(gè)比較常用的名字,例如“clever screensaver”,如果您誤以為它是一個(gè)屏幕保護(hù)程序而允許它進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn),那么它的欺騙目的就達(dá)到了。那么,作為防火墻的操作人員我們應(yīng)該怎樣做呢?在此需要提醒您的是,定制嚴(yán)謹(jǐn)?shù)姆阑饓σ?guī)則是最重要的。切記首先禁止一切不確定的應(yīng)用程序訪(fǎng)問(wèn)Internet,因?yàn)樵诖酥?,您還有很多機(jī)會(huì)去修訂這些規(guī)則。
其次,如果您無(wú)法斷定某個(gè)程序是否安全,那么請(qǐng)選擇一款能夠提供更多信息的防火墻吧!除了程序名之外,Kerio和Sygate并不能提供被監(jiān)測(cè)程序的更多線(xiàn)索,反之卻提供了很多防火墻之外的功能。因此,他們似乎更適合那些專(zhuān)業(yè)用戶(hù),對(duì)于新手來(lái)說(shuō),更多的程序信息是十分必要的。
ZoneAlarm就提供了很多被檢測(cè)程序的相關(guān)信息(如圖3所示),并包含了一個(gè)嵌入在提示對(duì)話(huà)框中的鏈接按鈕,通過(guò)它您可以到Zone Lab公司的網(wǎng)站了解關(guān)于該程序的詳細(xì)描述信息。ZoneAlarm同時(shí)也提供了一個(gè)預(yù)配置文件,在缺省狀態(tài)下允許IE和Windows XP中svchost.exe程序訪(fǎng)問(wèn)Internet,以便最小化用戶(hù)需要設(shè)定的訪(fǎng)問(wèn)程序集。
Outpost給出的彈出對(duì)話(huà)框在默認(rèn)狀態(tài)下會(huì)創(chuàng)建永久規(guī)則,不過(guò)您也可以通過(guò)點(diǎn)擊“Allow Once”或“Block Once”按鈕去改變它們。另外,盡管Outpost提供了很多花哨的功能,例如阻止IE的彈出窗口、郵件附件保護(hù)等,但是它提供的程序信息并不比Kerio和Sygate多多少。
調(diào)整過(guò)濾機(jī)制
在完成了防火墻的基本配置后,您可能還希望改變、刪除或者調(diào)整這些規(guī)則。這4款防火墻軟件都可以對(duì)規(guī)則列表和已知程序進(jìn)行管理和維護(hù)。
Kerio: 右鍵單擊該程序在系統(tǒng)托盤(pán)中的圖標(biāo),選擇“Administration”*“Firewall” * “Advanced”。在已知程序的列表當(dāng)中,選擇需要修改的程序過(guò)濾規(guī)則,點(diǎn)擊“Edit”按鈕打開(kāi)“Filter rule”(過(guò)濾規(guī)則)對(duì)話(huà)框。為了切換到程序的缺省狀態(tài),選擇對(duì)話(huà)框下方的“Permit”(允許)或者“Deny”(禁止)按鈕即可。其他的選項(xiàng)可以用來(lái)限制遠(yuǎn)程服務(wù)器的IP地址和該程序所使用的端口號(hào)。如果有些規(guī)則的設(shè)定不太恰當(dāng),不妨在此進(jìn)行修改,最后點(diǎn)擊“OK”保存修改即可。
Outpost: 右擊系統(tǒng)托盤(pán)中的“Outpost”圖標(biāo),選擇“Options”*“Application”,在阻止、部分允許和完全信任的程序列表中選擇一個(gè)程序,單擊“Edit”按鈕,通過(guò)“Always block this app”(總是阻止這個(gè)程序)或者“Always trust this app”(總是信任這個(gè)程序)選項(xiàng)來(lái)調(diào)整防火墻的規(guī)則列表。最好的解決辦法是: 將一個(gè)完全信任程序移動(dòng)到部分阻止列表中(例如,單擊“Edit”按鈕,并依次選擇“choosing Create rules using preset”*“Browser”); 這時(shí)該程序就被賦予了訪(fǎng)問(wèn)Internet的權(quán)利,但它是在一定的規(guī)則約束下工作的。瀏覽器的相關(guān)規(guī)則集(Outpost還可以將這些規(guī)則應(yīng)用到Email、即時(shí)消息及其他程序中)對(duì)那些Web瀏覽器較少調(diào)用的TCP或UDP端口進(jìn)行了限定,并且將可能來(lái)自Web或HTML電子郵件的危害減至最低。
Sygate: 為了修改防火墻規(guī)則,您需要右擊系統(tǒng)托盤(pán)中的“Sygate”圖標(biāo),并選擇“Applications”選項(xiàng)。在已知程序列表中,右鍵單擊需要修改的程序名稱(chēng),選擇“Allow”或“Block”選項(xiàng)即可。您也可以選擇“Ask”選項(xiàng),這樣Sygate會(huì)在該程序每次訪(fǎng)問(wèn)Internet時(shí)都詢(xún)問(wèn)您的意見(jiàn)。
ZoneAlarm: 為了修改程序的許可狀態(tài),右鍵單擊ZoneAlarm系統(tǒng)托盤(pán)圖標(biāo),選擇“Restore ZoneAlarm Control Center” (恢復(fù)到ZoneAlarm控制中心)選項(xiàng)。在控制中心左側(cè)窗格中選擇“Program Control”選項(xiàng),并進(jìn)入“Programs”選項(xiàng)卡。在此您可以對(duì)每個(gè)應(yīng)用程序的狀態(tài)進(jìn)行設(shè)定,具體包括4個(gè)狀態(tài)選項(xiàng): 在Internet和受信任這兩個(gè)區(qū)域中,可以分別定義該程序?yàn)?ldquo;允許訪(fǎng)問(wèn)遠(yuǎn)程服務(wù)器”或者“自行充當(dāng)服務(wù)器”狀態(tài)。“√”表示允許訪(fǎng)問(wèn),“×”表示阻止訪(fǎng)問(wèn),“?”則表示讓ZoneAlarm在該程序每次訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)進(jìn)行詢(xún)問(wèn); 最后,在彈出的菜單中選定一個(gè)新的缺省動(dòng)作即可。