讓PC直接暴露在Internet上，就好比離家時(shí)不鎖房門，最后的結(jié)果是有人有意或無意地闖入您的房間，將金銀珠寶一掃而光。怎樣才能保障系統(tǒng)的安全呢？安裝防火墻軟件算是最常采用的措施了吧，而通常作為補(bǔ)充手段，安裝基于硬件的防火墻也是常用的措施。

　　而即便您是一位經(jīng)驗(yàn)豐富的老手，配置防火墻也并不是件輕松的活兒。如果您曾經(jīng)放棄了安裝防火墻的念頭，或者不能確定防火墻是否對系統(tǒng)進(jìn)行了全面的保護(hù)，沒關(guān)系，今天我們將為您解析個(gè)中奧妙。

　　翻開韋氏大詞典(Merriam-Webster)，“Firewall”的本來含義是: 一堵用來阻擋火情蔓延的墻。在信息技術(shù)領(lǐng)域，防火墻是用來防止計(jì)算機(jī)受到來自Internet有害入侵的。與火災(zāi)不同，來自網(wǎng)絡(luò)的威脅不是僅僅影響那些臨近的計(jì)算機(jī)，如果某人利用了您的IP地址，以及TCP或UDP端口，無論距離多遠(yuǎn)，您的系統(tǒng)都會(huì)被擊中。 　

　　無論何時(shí)，只要您使用了瀏覽器、E-mail，或者從Internet站點(diǎn)、遠(yuǎn)端服務(wù)器下載文件，數(shù)據(jù)都是通過系統(tǒng)中的一個(gè)或多個(gè)端口進(jìn)行傳遞的。而那些電腦黑客，無論是窺探系統(tǒng)的天才少年，老謀深算的間諜程序，還是Windows XP信使服務(wù)彈出的垃圾信息，其攻擊策略都相同——即發(fā)現(xiàn)一個(gè)能夠進(jìn)入系統(tǒng)的開放端口，或者欺騙您打開一個(gè)這樣的端口。

　　防火墻可以監(jiān)視數(shù)以千計(jì)的端口——無論是撥號連接的還是使用寬帶網(wǎng)絡(luò)——它都可以阻止那些未授權(quán)的訪問請求。基于硬件的防火墻通常集成在路由器和網(wǎng)關(guān)產(chǎn)品中，它們處于PC和Cable或DSL Modem之間。而軟件防火墻則運(yùn)行在PC之上。

　　對于硬件防火墻來說，它們更擅長于保護(hù)那些通過寬帶連接的PC網(wǎng)絡(luò)。更重要的是，它們不僅兼具路由功能，還充當(dāng)了一個(gè)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換，Net Address Translation)服務(wù)器，可以向外來的訪問者隱藏局域網(wǎng)中計(jì)算機(jī)的IP地址。

　　僅僅出于這個(gè)原因，硬件防火墻就足以成為寬帶用戶的明智選擇，即便是您擁有的只有一臺(tái)PC而已。這時(shí)您不妨購買像Linksys VEFSR41或D-Link DI-704P的4端口路由器，它們的價(jià)格不高，大約在300～400元。有的產(chǎn)品還內(nèi)置了無線接入模塊，價(jià)格上可能會(huì)稍貴一些，您可以在相關(guān)的網(wǎng)站上查詢詳細(xì)的信息。

　　防火墻的選配策略

　　硬件防火墻具有高度的可配置性： 它能夠阻止指定端口外所有的數(shù)據(jù)進(jìn)出。因此，規(guī)劃和配置硬件防火墻需要做大量的工作。相反，軟件防火墻運(yùn)行在您的PC之上，相對來說比較容易設(shè)置和維護(hù)。除了阻擋通過開放端口的非法訪問外，軟件防火墻還可以阻止惡意程序向遠(yuǎn)端服務(wù)器發(fā)送數(shù)據(jù)(就像那些天才少年編寫的木馬程序、間諜軟件以及后門軟件等)。

　　如果您通過撥號方式連接到Internet，那么外置的硬件防火墻就不見得是您的最好選擇，軟件防火墻在這方面的優(yōu)勢則十分明顯。對于Windows XP用戶來說，如果單單通過系統(tǒng)內(nèi)集成的ICF(Internet Connection Firewall，Internet連接防火墻)來保護(hù)PC是比較冒險(xiǎn)的。　　

　　ICF的啟用方法是，選擇“開始”*“控制面板”*“網(wǎng)絡(luò)連接”，右鍵點(diǎn)擊需要保護(hù)的Internet連接，在快捷菜單中選擇“屬性”選項(xiàng)，進(jìn)入“高級”選項(xiàng)卡，選中“通過限制或者阻止來自Internet的對此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選項(xiàng)，點(diǎn)擊“確定”按鈕即可(如圖1所示)。 　　

　　雖然這樣多少會(huì)減輕些系統(tǒng)安全方面的壓力，但這樣是遠(yuǎn)遠(yuǎn)不夠的。按照上面的方法設(shè)定后，比沒有防火墻安全了許多，但是與其他的專業(yè)軟件防火墻相比，Windows XP內(nèi)置的防火墻只能對進(jìn)入連接進(jìn)行監(jiān)視。因此，像Back Orifice、NetBus或其他后門程序就會(huì)有機(jī)可乘，ICF對于這種類型的非法訪問是無能為力的。

　　免費(fèi)的PC防火墻

　　下面，為您介紹4種安裝在PC上的免費(fèi)防火墻軟件，分別是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。雖然它們的某些功能特性略有不同，但都為PC帶來了全面的安全保障（關(guān)于這4款產(chǎn)品的詳細(xì)情況請參見色塊內(nèi)文《4款完全免費(fèi)的防火墻》）。

　　軟件防火墻的安裝比較簡單，但是它需要有一個(gè)短暫的調(diào)試時(shí)間。在此期間，防火墻軟件將會(huì)偵測那些可能會(huì)連接到遠(yuǎn)程服務(wù)器的應(yīng)用程序，比如瀏覽器、Email、網(wǎng)絡(luò)以及其他的應(yīng)用程序。

　　在某一程序第一次試圖連接到遠(yuǎn)程服務(wù)器時(shí)，這4款防火墻軟件都會(huì)自動(dòng)彈出一個(gè)提示對話框，您可以通過點(diǎn)擊“是”或“否”按鈕來設(shè)定是否允許該連接繼續(xù)進(jìn)行。而大多數(shù)防火墻軟件還會(huì)提供一個(gè)可選項(xiàng)，可以允許用戶將設(shè)定的選項(xiàng)定義為永久有效，加入到防火墻規(guī)則之中(如圖2所示)。按照前面的方法正常使用1～2天后，您的防火墻規(guī)則就已經(jīng)比較完善了，這時(shí)如果不再安裝或升級新的應(yīng)用程序，您甚至不會(huì)感到防火墻的存在。

　　對防火墻警告恰當(dāng)?shù)奶幚矸椒ê陀行У囊?guī)則創(chuàng)建策略是：要明確地了解哪個(gè)程序是安全的，而哪個(gè)是不安全的。大多數(shù)情況下，您可以通過程序的名稱來進(jìn)行判斷——像Outlook、Internet Explorer或Netscape等。但是，也有一些程序沒有采用常用的名稱，比如大多數(shù)Windows XP網(wǎng)絡(luò)特性都由一個(gè)名為svchost.exe的程序提供后臺(tái)支持，但乍一看來，我們很難猜出它是做什么用的。相反，很多間諜軟件或者其他的惡意程序?yàn)榱俗屪陨砀影踩鶗?huì)給自己起一個(gè)比較常用的名字，例如“clever screensaver”，如果您誤以為它是一個(gè)屏幕保護(hù)程序而允許它進(jìn)行網(wǎng)絡(luò)訪問，那么它的欺騙目的就達(dá)到了。那么，作為防火墻的操作人員我們應(yīng)該怎樣做呢？在此需要提醒您的是，定制嚴(yán)謹(jǐn)?shù)姆阑饓σ?guī)則是最重要的。切記首先禁止一切不確定的應(yīng)用程序訪問Internet，因?yàn)樵诖酥螅€有很多機(jī)會(huì)去修訂這些規(guī)則。

　　其次，如果您無法斷定某個(gè)程序是否安全，那么請選擇一款能夠提供更多信息的防火墻吧！除了程序名之外，Kerio和Sygate并不能提供被監(jiān)測程序的更多線索，反之卻提供了很多防火墻之外的功能。因此，他們似乎更適合那些專業(yè)用戶，對于新手來說，更多的程序信息是十分必要的。

　　ZoneAlarm就提供了很多被檢測程序的相關(guān)信息(如圖3所示)，并包含了一個(gè)嵌入在提示對話框中的鏈接按鈕，通過它您可以到Zone Lab公司的網(wǎng)站了解關(guān)于該程序的詳細(xì)描述信息。ZoneAlarm同時(shí)也提供了一個(gè)預(yù)配置文件，在缺省狀態(tài)下允許IE和Windows XP中svchost.exe程序訪問Internet，以便最小化用戶需要設(shè)定的訪問程序集

　　Outpost給出的彈出對話框在默認(rèn)狀態(tài)下會(huì)創(chuàng)建永久規(guī)則，不過您也可以通過點(diǎn)擊“Allow Once”或“Block Once”按鈕去改變它們。另外，盡管Outpost提供了很多花哨的功能，例如阻止IE的彈出窗口、郵件附件保護(hù)等，但是它提供的程序信息并不比Kerio和Sygate多多少。

　　調(diào)整過濾機(jī)制

　　在完成了防火墻的基本配置后，您可能還希望改變、刪除或者調(diào)整這些規(guī)則。這4款防火墻軟件都可以對規(guī)則列表和已知程序進(jìn)行管理和維護(hù)。

　　Kerio: 右鍵單擊該程序在系統(tǒng)托盤中的圖標(biāo)，選擇“Administration”*“Firewall” * “Advanced”。在已知程序的列表當(dāng)中，選擇需要修改的程序過濾規(guī)則，點(diǎn)擊“Edit”按鈕打開“Filter rule”(過濾規(guī)則)對話框。為了切換到程序的缺省狀態(tài)，選擇對話框下方的“Permit”(允許)或者“Deny”(禁止)按鈕即可。其他的選項(xiàng)可以用來限制遠(yuǎn)程服務(wù)器的IP地址和該程序所使用的端口號。如果有些規(guī)則的設(shè)定不太恰當(dāng)，不妨在此進(jìn)行修改，最后點(diǎn)擊“OK”保存修改即可。　　

　　Outpost: 右擊系統(tǒng)托盤中的“Outpost”圖標(biāo)，選擇“Options”*“Application”，在阻止、部分允許和完全信任的程序列表中選擇一個(gè)程序，單擊“Edit”按鈕，通過“Always block this app”(總是阻止這個(gè)程序)或者“Always trust this app”(總是信任這個(gè)程序)選項(xiàng)來調(diào)整防火墻的規(guī)則列表。最好的解決辦法是: 將一個(gè)完全信任程序移動(dòng)到部分阻止列表中(例如，單擊“Edit”按鈕，并依次選擇“choosing Create rules using preset”*“Browser”); 這時(shí)該程序就被賦予了訪問Internet的權(quán)利，但它是在一定的規(guī)則約束下工作的。瀏覽器的相關(guān)規(guī)則集(Outpost還可以將這些規(guī)則應(yīng)用到Email、即時(shí)消息及其他程序中)對那些Web瀏覽器較少調(diào)用的TCP或UDP端口進(jìn)行了限定，并且將可能來自Web或HTML電子郵件的危害減至最低。

　　Sygate: 為了修改防火墻規(guī)則，您需要右擊系統(tǒng)托盤中的“Sygate”圖標(biāo)，并選擇“Applications”選項(xiàng)。在已知程序列表中，右鍵單擊需要修改的程序名稱，選擇“Allow”或“Block”選項(xiàng)即可。您也可以選擇“Ask”選項(xiàng)，這樣Sygate會(huì)在該程序每次訪問Internet時(shí)都詢問您的意見。

　　ZoneAlarm: 為了修改程序的許可狀態(tài)，右鍵單擊ZoneAlarm系統(tǒng)托盤圖標(biāo)，選擇“Restore ZoneAlarm Control Center” (恢復(fù)到ZoneAlarm控制中心)選項(xiàng)。在控制中心左側(cè)窗格中選擇“Program Control”選項(xiàng)，并進(jìn)入“Programs”選項(xiàng)卡。在此您可以對每個(gè)應(yīng)用程序的狀態(tài)進(jìn)行設(shè)定，具體包括4個(gè)狀態(tài)選項(xiàng): 在Internet和受信任這兩個(gè)區(qū)域中，可以分別定義該程序?yàn)?ldquo;允許訪問遠(yuǎn)程服務(wù)器”或者“自行充當(dāng)服務(wù)器”狀態(tài)。“√”表示允許訪問，“×”表示阻止訪問，“？”則表示讓ZoneAlarm在該程序每次訪問網(wǎng)絡(luò)時(shí)進(jìn)行詢問; 最后，在彈出的菜單中選定一個(gè)新的缺省動(dòng)作即可。