以前，防火墻只用于大型企業(yè)網(wǎng)絡(luò)——而且，Internet連接也只用于大型網(wǎng)絡(luò)。現(xiàn)在情況發(fā)生了變化，高速、始終聯(lián)機(jī)的Internet連接 越來(lái)越常見(jiàn)，因此對(duì)于連接計(jì)算機(jī)的攻擊也越來(lái)越多。防火墻能夠屏蔽多種類型的惡意流量，從而幫助您防御這些攻擊。另外，防火墻還有助于避免您的計(jì)算機(jī)在您未知的情況下參與攻擊其他計(jì)算機(jī)。一個(gè)好消息，客戶級(jí)的防火墻能夠提供出色的安全性，并且不需要您是一個(gè)計(jì)算機(jī)安全性專家。實(shí)際上，Windows XP在操作系統(tǒng)中就包括了一個(gè)強(qiáng)健的防火墻（Internet連接防火墻），而設(shè)置這個(gè)防火墻只需一個(gè)單擊操作。

為什么我需要一個(gè)防火墻？

在我們具體討論為什么防火墻對(duì)于家庭安全性很重要之前，我們需要了解一些Internet通訊的背景。從很多方面來(lái)看，Internet都可以類比于電話系統(tǒng)。與使用電話進(jìn)行通訊不同的是，在Internet上我們通過(guò)計(jì)算機(jī)進(jìn)行通訊。每次您給其他人打電話時(shí)，您都撥打一個(gè)特定的電話號(hào)碼；類似的是，每次您與其他計(jì)算機(jī)進(jìn)行通訊時(shí)，您使用IP地址。每個(gè)通過(guò)Internet的通訊都必須附有一個(gè)IP地址。否則，接收計(jì)算機(jī)將不知道向何處發(fā)送它的回復(fù)。當(dāng)然，計(jì)算機(jī)和電話之間仍存在著許多差別。其中一個(gè)非常重要的差異是，在默認(rèn)情況下計(jì)算機(jī)總是會(huì)對(duì)呼叫做出應(yīng)答，不論是是否希望它去這樣做。例如，如果您接到一個(gè)來(lái)自"Hackers-R-Us（黑客呼叫我們）"的電話，您也許會(huì)讓電話一直響著而不去接它。但在默認(rèn)情況下，您的計(jì)算機(jī)沒(méi)有選擇——它必須對(duì)呼叫做出應(yīng)答。

?

圖1：在默認(rèn)情況下，當(dāng)您的計(jì)算機(jī)處于連接狀態(tài)時(shí)，它必須偵聽(tīng)來(lái)自Internet其他人的通訊，并對(duì)其接受到的通訊做出響應(yīng)

?

在使用調(diào)制解調(diào)器和通過(guò)撥號(hào)進(jìn)行連接時(shí)，這還不是一個(gè)嚴(yán)重的問(wèn)題。您的計(jì)算機(jī)通常只連接很短的一段時(shí)間。而且由于大部分撥號(hào)服務(wù)提供商的工作方式，決定了您的計(jì)算機(jī)在每次撥號(hào)時(shí)都會(huì)獲得不同的IP地址。這使得惡意攻擊者很難進(jìn)入您的計(jì)算機(jī)系統(tǒng)，當(dāng)然也不是不可能的。但是，如果您擁有寬帶連接（例如DSL或電纜調(diào)制解調(diào)器），那么您的計(jì)算機(jī)將每時(shí)每刻都連接在Internet上。

?

圖2：一個(gè)無(wú)保護(hù)的家庭網(wǎng)絡(luò)。世界上的任何計(jì)算機(jī)都可以通過(guò)IP地址來(lái)與這臺(tái)計(jì)算機(jī)進(jìn)行通訊。
查看大圖。

?

防火墻能為我做些什么?

如果有人在家里能夠幫助您過(guò)濾您的電話，情況會(huì)怎么樣呢？您可以告訴他完全不要理會(huì)除了來(lái)自可信任來(lái)源的其他電話。或者，您可以告訴他阻止來(lái)自指定來(lái)源的電話，或者來(lái)自家庭中某人的電話。在計(jì)算機(jī)網(wǎng)絡(luò)中就有這樣一個(gè)東西；它被稱為防火墻。

著名的專業(yè)術(shù)語(yǔ)詞典 對(duì)防火墻有一個(gè)很好的解釋：“一個(gè)具有特殊安全防范措施的專用網(wǎng)關(guān)機(jī)器，用于為網(wǎng)絡(luò)連接和撥入線路外提供服務(wù)。”防火墻有兩個(gè)有用的用途：它們過(guò)濾哪些來(lái)自外部世界的流量可以進(jìn)入您的網(wǎng)絡(luò)；它們還控制您的網(wǎng)絡(luò)中哪些計(jì)算機(jī)可以發(fā)送流量到外部世界。?

?

硬件和軟件

設(shè)置防火墻的第一步十分簡(jiǎn)單：確定最符合您需求的硬件和軟件解決方案。防火墻產(chǎn)品有著很多不同的形式，從免費(fèi)可用的計(jì)算機(jī)軟件到防篡改的工業(yè)設(shè)備。無(wú)論您是否購(gòu)買一個(gè)認(rèn)證的防火墻，也無(wú)論您購(gòu)買了何種類型的防火墻，所有的防火墻都提供相同的基本特性：控制入站和出站流量。

在做出選擇前，您應(yīng)該首先回答下面的問(wèn)題：

1.	我是否正在運(yùn)行Windows XP? 如果是，那么您已經(jīng)擁有了一個(gè)內(nèi)置的防火墻——Internet連接防火墻(ICF)，因此您可能不再需要購(gòu)買其他附件。
2.	我是否希望在多臺(tái)計(jì)算機(jī)之間共享我的Internet連接? 如果是，那么您一定已經(jīng)（或者將要）將您的計(jì)算機(jī)建成網(wǎng)絡(luò)了。在這種情況下，您可以使用 Windows 的Internet連接共享(ICS) 特性來(lái)共享這個(gè)連接。（如果您需要了解如何在Windows 2000中啟用ICS，請(qǐng)參閱分步操作指南。）
3.	我是否希望能夠共享我的連接，而不將某個(gè)計(jì)算機(jī)設(shè)為防火墻? 也許您希望共享您的Internet連接，但是您不想使用一臺(tái)特定的計(jì)算機(jī)作為網(wǎng)關(guān)——ICS只在運(yùn)行它的計(jì)算機(jī)開(kāi)機(jī)并處于網(wǎng)絡(luò)中時(shí)才起作用。作為替代，您可以購(gòu)買一個(gè)便宜的設(shè)備作為共享連接的網(wǎng)關(guān)——這些被稱為“Internet訪問(wèn)路由器”或“家用網(wǎng)關(guān)”的設(shè)備幾乎都包括防火墻功能。

為了實(shí)現(xiàn)最大的安全性，您可以安裝一個(gè)硬件防火墻來(lái)保護(hù)您的家庭辦公室網(wǎng)絡(luò)，然后將它與ICF或其他軟件防火墻進(jìn)行結(jié)合。軟件防火墻可以在每個(gè)單獨(dú)的計(jì)算機(jī)上進(jìn)行配置，因此如果需要，網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)可以擁有不同的網(wǎng)絡(luò)權(quán)限。另外，軟件防火墻在被保護(hù)的計(jì)算機(jī)違規(guī)發(fā)送數(shù)據(jù)時(shí)，可以向您發(fā)出警報(bào)。通常，硬件防火墻非常靈活，而且功能強(qiáng)大；在您完成硬件防火墻的設(shè)置后，您可以不必再去管它，讓它靜靜地保護(hù)您。當(dāng)然，設(shè)置硬件防火墻可能會(huì)是一次困難的體驗(yàn)!兩種類型防火墻的結(jié)合能夠?yàn)槟峁┍葐为?dú)某種防火墻更出色的安全性。

?

設(shè)置ICF

Windows XP的Internet連接防火墻是在每個(gè)連接上配置的。這意味著如果在您的計(jì)算機(jī)上有多個(gè)訪問(wèn)Internet的途徑（例如，有些時(shí)候使用調(diào)制解調(diào)器，其他時(shí)候使用DSL），那么您將需要為每個(gè)連接單獨(dú)地配置ICF。如果您正在使用寬帶連接，那么您將在“網(wǎng)絡(luò)連接”小程序中擁有一個(gè)它的圖標(biāo)（可能被標(biāo)記為“局域網(wǎng)連接”，也許還有數(shù)字接在后面）。下面是如何啟用ICF的方法：

1.	導(dǎo)航到“開(kāi)始”菜單，打開(kāi)控制面板。
2.	找到并打開(kāi)網(wǎng)絡(luò)連接applet。
3.	在任何您希望啟用ICF的連接上點(diǎn)擊右鍵，然后選擇屬性。
4.	進(jìn)入“高級(jí)”選項(xiàng)卡，選中復(fù)選框來(lái)保護(hù)您的計(jì)算機(jī)(如果您需要進(jìn)一步的幫助，本文附帶有演示該過(guò)程的視頻錄像!!)

圖3：指定網(wǎng)絡(luò)連接的高級(jí)設(shè)置屬性選項(xiàng)卡。
查看大圖。

?

這就是所有需要執(zhí)行的工作。現(xiàn)在，ICF 已經(jīng)啟用并在您的系統(tǒng)中運(yùn)行了。但是，請(qǐng)稍等!如果您由于某些原因希望允許其他計(jì)算機(jī)連接到您的計(jì)算機(jī)時(shí)，情況會(huì)怎么樣呢？例如，您可能正在運(yùn)行一個(gè)Web服務(wù)器，希望家庭網(wǎng)絡(luò)以外的用戶能夠進(jìn)行瀏覽。ICF 允許您這樣做。只需要在網(wǎng)絡(luò)連接高級(jí)屬性選項(xiàng)卡中點(diǎn)擊設(shè)置按鈕（參見(jiàn)圖3）。 您可以從一個(gè)多種常用服務(wù)中進(jìn)行選擇，用于暴露給外部世界。請(qǐng)注意：如果您選擇這樣做，那么您將需要保持所暴露服務(wù)的最新安全性更新和補(bǔ)丁，否則您的計(jì)算機(jī)可能很容易受到攻擊。

行動(dòng) 如果您正在運(yùn)行Windows XP，請(qǐng)?jiān)谥鱅nternet連接中啟用ICF。然后，您可以跟以往一樣的使用Internet——請(qǐng)注意，ICF并不會(huì)干擾您使用Internet，即使它正在靜靜地保護(hù)著您。您還可以了解有關(guān) ICF 如何工作的更多細(xì)節(jié)信息。

?

其他防火墻

如果您現(xiàn)在沒(méi)有使用 Windows XP，或者您希望根據(jù)您的需要更好地控制（和了解）防火墻的工作，那么您可能需要購(gòu)買單獨(dú)的個(gè)人防火墻軟件。有很多優(yōu)秀產(chǎn)品可以用來(lái)增強(qiáng)您計(jì)算機(jī)的安全性。例如，Zone Labs 的 Zone Alarm 不僅能夠過(guò)濾傳入連接，而且能夠過(guò)濾傳出連接。這意味著您可以指定計(jì)算機(jī)中的哪些程序可以通過(guò)Internet進(jìn)行通訊，哪些應(yīng)該被阻止這樣做。

?

設(shè)置家用網(wǎng)關(guān)

如果您擁有或計(jì)劃設(shè)置一個(gè)家庭網(wǎng)絡(luò)，那么您將需要?jiǎng)?chuàng)建一個(gè)從防火墻到網(wǎng)絡(luò)其他部分的網(wǎng)關(guān)。如果您要在一臺(tái)特定的計(jì)算機(jī)上實(shí)施軟件防火墻，那么就意味著您需要在這臺(tái)機(jī)器上至少部署兩塊網(wǎng)卡。其中一塊網(wǎng)卡連接到公共接口（例如DSL或電纜調(diào)制解調(diào)器），而另一塊網(wǎng)卡連接到您的內(nèi)部網(wǎng)絡(luò)。然后，您需要配置這臺(tái)計(jì)算機(jī)來(lái)允許網(wǎng)絡(luò)的兩端進(jìn)行通訊。在Windows 2000和Windows XP中，ICS 都允許您這樣做。

但是，如果需要這么做，很多家庭用戶都決定購(gòu)買專用的家用網(wǎng)關(guān)。這些設(shè)備直接插入到DSL路由器或電纜調(diào)制解調(diào)器中，提供防火墻和網(wǎng)絡(luò)集線器的功能。

?

圖4：具有家用網(wǎng)關(guān)的全功能家庭網(wǎng)絡(luò)。
查看大圖。

?

在與 ISP 進(jìn)行聯(lián)系時(shí)，家用網(wǎng)關(guān)應(yīng)該被配置為取代運(yùn)行 ICS 計(jì)算機(jī)的角色。例如，如果您擁有靜態(tài)IP地址，那么您應(yīng)該將這個(gè)IP地址分配給網(wǎng)關(guān)，而不是您的計(jì)算機(jī)。您可以將一個(gè)新的IP地址分配給您的計(jì)算機(jī)，或者在更多情況下命令計(jì)算機(jī)向網(wǎng)關(guān)請(qǐng)求IP地址。與ICF一樣，網(wǎng)關(guān)通常能夠阻止或過(guò)濾指定的流量。例如，如果家庭Web站點(diǎn)在位于地下室的計(jì)算機(jī)中運(yùn)行，那么這個(gè)家用網(wǎng)關(guān)能夠無(wú)縫地將所有Web站點(diǎn)（HTTP）請(qǐng)求定向到地下室的計(jì)算機(jī)。

?

安全性有勝于無(wú)…

在這里提供了所有選擇中，唯一您可能出錯(cuò)的就是不選擇任何一種防火墻。不要認(rèn)為沒(méi)有人會(huì)攻擊您，隨著自動(dòng)攻擊工具的發(fā)展，您和每臺(tái)在Internet中的計(jì)算機(jī)一樣都處于被攻擊的風(fēng)險(xiǎn)中。不幸的是，存在一種強(qiáng)大的亞文化，人們往往錯(cuò)誤地認(rèn)為自己已經(jīng)十分了解網(wǎng)絡(luò)和計(jì)算機(jī)安全性如何對(duì)付數(shù)字入侵。而由于始終聯(lián)機(jī)連接的普及和容易使用，家用網(wǎng)絡(luò)將成為最容易的目標(biāo)。通過(guò)一些簡(jiǎn)單的防范措施，您將能夠保護(hù)您自己和您的數(shù)據(jù)。

轉(zhuǎn)載于:https://www.cnblogs.com/junzhongxu/archive/2008/07/09/1238660.html

總結(jié)

以上是生活随笔為你收集整理的5分钟安全顾问 - 针对家庭办公室用户的简单防火墙安装的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。