以前，防火墻只用于大型企業網絡——而且，Internet連接也只用于大型網絡。現在情況發生了變化，高速、始終聯機的Internet連接 越來越常見，因此對于連接計算機的攻擊也越來越多。防火墻能夠屏蔽多種類型的惡意流量，從而幫助您防御這些攻擊。另外，防火墻還有助于避免您的計算機在您未知的情況下參與攻擊其他計算機。一個好消息，客戶級的防火墻能夠提供出色的安全性，并且不需要您是一個計算機安全性專家。實際上，Windows XP在操作系統中就包括了一個強健的防火墻（Internet連接防火墻），而設置這個防火墻只需一個單擊操作。

為什么我需要一個防火墻？

在我們具體討論為什么防火墻對于家庭安全性很重要之前，我們需要了解一些Internet通訊的背景。從很多方面來看，Internet都可以類比于電話系統。與使用電話進行通訊不同的是，在Internet上我們通過計算機進行通訊。每次您給其他人打電話時，您都撥打一個特定的電話號碼；類似的是，每次您與其他計算機進行通訊時，您使用IP地址。每個通過Internet的通訊都必須附有一個IP地址。否則，接收計算機將不知道向何處發送它的回復。當然，計算機和電話之間仍存在著許多差別。其中一個非常重要的差異是，在默認情況下計算機總是會對呼叫做出應答，不論是是否希望它去這樣做。例如，如果您接到一個來自"Hackers-R-Us（黑客呼叫我們）"的電話，您也許會讓電話一直響著而不去接它。但在默認情況下，您的計算機沒有選擇——它必須對呼叫做出應答。

?

圖1：在默認情況下，當您的計算機處于連接狀態時，它必須偵聽來自Internet其他人的通訊，并對其接受到的通訊做出響應

?

在使用調制解調器和通過撥號進行連接時，這還不是一個嚴重的問題。您的計算機通常只連接很短的一段時間。而且由于大部分撥號服務提供商的工作方式，決定了您的計算機在每次撥號時都會獲得不同的IP地址。這使得惡意攻擊者很難進入您的計算機系統，當然也不是不可能的。但是，如果您擁有寬帶連接（例如DSL或電纜調制解調器），那么您的計算機將每時每刻都連接在Internet上。

?

圖2：一個無保護的家庭網絡。世界上的任何計算機都可以通過IP地址來與這臺計算機進行通訊。
查看大圖。

?

防火墻能為我做些什么?

如果有人在家里能夠幫助您過濾您的電話，情況會怎么樣呢？您可以告訴他完全不要理會除了來自可信任來源的其他電話。或者，您可以告訴他阻止來自指定來源的電話，或者來自家庭中某人的電話。在計算機網絡中就有這樣一個東西；它被稱為防火墻。

著名的專業術語詞典 對防火墻有一個很好的解釋：“一個具有特殊安全防范措施的專用網關機器，用于為網絡連接和撥入線路外提供服務。”防火墻有兩個有用的用途：它們過濾哪些來自外部世界的流量可以進入您的網絡；它們還控制您的網絡中哪些計算機可以發送流量到外部世界。?

?

硬件和軟件

設置防火墻的第一步十分簡單：確定最符合您需求的硬件和軟件解決方案。防火墻產品有著很多不同的形式，從免費可用的計算機軟件到防篡改的工業設備。無論您是否購買一個認證的防火墻，也無論您購買了何種類型的防火墻，所有的防火墻都提供相同的基本特性：控制入站和出站流量。

在做出選擇前，您應該首先回答下面的問題：

1.	我是否正在運行Windows XP? 如果是，那么您已經擁有了一個內置的防火墻——Internet連接防火墻(ICF)，因此您可能不再需要購買其他附件。
2.	我是否希望在多臺計算機之間共享我的Internet連接? 如果是，那么您一定已經（或者將要）將您的計算機建成網絡了。在這種情況下，您可以使用 Windows 的Internet連接共享(ICS) 特性來共享這個連接。（如果您需要了解如何在Windows 2000中啟用ICS，請參閱分步操作指南。）
3.	我是否希望能夠共享我的連接，而不將某個計算機設為防火墻? 也許您希望共享您的Internet連接，但是您不想使用一臺特定的計算機作為網關——ICS只在運行它的計算機開機并處于網絡中時才起作用。作為替代，您可以購買一個便宜的設備作為共享連接的網關——這些被稱為“Internet訪問路由器”或“家用網關”的設備幾乎都包括防火墻功能。

為了實現最大的安全性，您可以安裝一個硬件防火墻來保護您的家庭辦公室網絡，然后將它與ICF或其他軟件防火墻進行結合。軟件防火墻可以在每個單獨的計算機上進行配置，因此如果需要，網絡中每臺計算機可以擁有不同的網絡權限。另外，軟件防火墻在被保護的計算機違規發送數據時，可以向您發出警報。通常，硬件防火墻非常靈活，而且功能強大；在您完成硬件防火墻的設置后，您可以不必再去管它，讓它靜靜地保護您。當然，設置硬件防火墻可能會是一次困難的體驗!兩種類型防火墻的結合能夠為您提供比單獨某種防火墻更出色的安全性。

?

設置ICF

Windows XP的Internet連接防火墻是在每個連接上配置的。這意味著如果在您的計算機上有多個訪問Internet的途徑（例如，有些時候使用調制解調器，其他時候使用DSL），那么您將需要為每個連接單獨地配置ICF。如果您正在使用寬帶連接，那么您將在“網絡連接”小程序中擁有一個它的圖標（可能被標記為“局域網連接”，也許還有數字接在后面）。下面是如何啟用ICF的方法：

1.	導航到“開始”菜單，打開控制面板。
2.	找到并打開網絡連接applet。
3.	在任何您希望啟用ICF的連接上點擊右鍵，然后選擇屬性。
4.	進入“高級”選項卡，選中復選框來保護您的計算機(如果您需要進一步的幫助，本文附帶有演示該過程的視頻錄像!!)

圖3：指定網絡連接的高級設置屬性選項卡。
查看大圖。

?

這就是所有需要執行的工作。現在，ICF 已經啟用并在您的系統中運行了。但是，請稍等!如果您由于某些原因希望允許其他計算機連接到您的計算機時，情況會怎么樣呢？例如，您可能正在運行一個Web服務器，希望家庭網絡以外的用戶能夠進行瀏覽。ICF 允許您這樣做。只需要在網絡連接高級屬性選項卡中點擊設置按鈕（參見圖3）。 您可以從一個多種常用服務中進行選擇，用于暴露給外部世界。請注意：如果您選擇這樣做，那么您將需要保持所暴露服務的最新安全性更新和補丁，否則您的計算機可能很容易受到攻擊。

行動 如果您正在運行Windows XP，請在主Internet連接中啟用ICF。然后，您可以跟以往一樣的使用Internet——請注意，ICF并不會干擾您使用Internet，即使它正在靜靜地保護著您。您還可以了解有關 ICF 如何工作的更多細節信息。

?

其他防火墻

如果您現在沒有使用 Windows XP，或者您希望根據您的需要更好地控制（和了解）防火墻的工作，那么您可能需要購買單獨的個人防火墻軟件。有很多優秀產品可以用來增強您計算機的安全性。例如，Zone Labs 的 Zone Alarm 不僅能夠過濾傳入連接，而且能夠過濾傳出連接。這意味著您可以指定計算機中的哪些程序可以通過Internet進行通訊，哪些應該被阻止這樣做。

?

設置家用網關

如果您擁有或計劃設置一個家庭網絡，那么您將需要創建一個從防火墻到網絡其他部分的網關。如果您要在一臺特定的計算機上實施軟件防火墻，那么就意味著您需要在這臺機器上至少部署兩塊網卡。其中一塊網卡連接到公共接口（例如DSL或電纜調制解調器），而另一塊網卡連接到您的內部網絡。然后，您需要配置這臺計算機來允許網絡的兩端進行通訊。在Windows 2000和Windows XP中，ICS 都允許您這樣做。

但是，如果需要這么做，很多家庭用戶都決定購買專用的家用網關。這些設備直接插入到DSL路由器或電纜調制解調器中，提供防火墻和網絡集線器的功能。

?

圖4：具有家用網關的全功能家庭網絡。
查看大圖。

?

在與 ISP 進行聯系時，家用網關應該被配置為取代運行 ICS 計算機的角色。例如，如果您擁有靜態IP地址，那么您應該將這個IP地址分配給網關，而不是您的計算機。您可以將一個新的IP地址分配給您的計算機，或者在更多情況下命令計算機向網關請求IP地址。與ICF一樣，網關通常能夠阻止或過濾指定的流量。例如，如果家庭Web站點在位于地下室的計算機中運行，那么這個家用網關能夠無縫地將所有Web站點（HTTP）請求定向到地下室的計算機。

?

安全性有勝于無…

在這里提供了所有選擇中，唯一您可能出錯的就是不選擇任何一種防火墻。不要認為沒有人會攻擊您，隨著自動攻擊工具的發展，您和每臺在Internet中的計算機一樣都處于被攻擊的風險中。不幸的是，存在一種強大的亞文化，人們往往錯誤地認為自己已經十分了解網絡和計算機安全性如何對付數字入侵。而由于始終聯機連接的普及和容易使用，家用網絡將成為最容易的目標。通過一些簡單的防范措施，您將能夠保護您自己和您的數據。

轉載于:https://www.cnblogs.com/junzhongxu/archive/2008/07/09/1238660.html

總結

以上是生活随笔為你收集整理的5分钟安全顾问 - 针对家庭办公室用户的简单防火墙安装的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。