幫你成為個人軟“牆”設置高手

曾幾何時，殺毒策套件中防火牆已經成為標配。原因很簡單，信息安全威脅早已過了單純的病毒年代，網絡終端設備只能借助防火牆才能抵御ARP攻擊、蠕蟲病毒等安全威脅。

雖然許多人已經使用了終端防火牆，但防護的效果差強人意。究其原因，只安裝卻不能真正使用是問題所在——很多用戶對終端防火牆的規則不加以設置，其結果可想而知，終端防火牆無疑成為了“聾子的耳朵”——擺設。

終端防火牆的默認設置一般都只能是普遍的設置，也就是說這樣的設置要大致適合成千上百用戶。試問，這樣的設置就一定會100%適合你嗎？肯定不可能。下面，根據達人的實踐經驗，給眾多網友些實際建議……

設置規則不能一堵了之

ICMP IGMP炸彈都讓一些用戶感到心驚膽戰。所以，某些用戶索性禁止所有ICMP和IGMP.

這樣，顯然是不大好的設置。為什麼呢？因為ICMP IGMP固然被人利用來做炸彈，但是總不能“寧可殺錯一萬，不能放走一個”的全部攔截。且不說別的，就說因為全部攔截ICMP IGMP所耗費的系統資源就數不勝數……

我建議，攔截的只需是ICMP的1型（即echo requset）就已經足夠了。為什麼呢？攔截ICMP的1型主要是為了防黑客用ping命令查詢你是否在線，所以此類ICMP必須攔截。

如果你還是擔心ICMP IGMP炸彈，不妨去微軟那打個補丁。

終端防火牆的一大功能就是防木馬和防黑客，所以自己設置規則攔截木馬和阻截黑客是必要的。

你也許會說，終端防火牆不是有默認的規則嗎？的確，有。但是，這只是最常見的木馬和漏洞。對於新的危害大的木馬和漏洞，恐怕原先的規則就不能勝任他的任務了。

那麼，我們怎樣設置規則呢？

首先，我們必須利用反病毒廠家網站提供的信息。因為，那裡詳細記載了許多病毒、木馬的分析結果和漏洞的資料。我認為哪怕你有分析木馬源程序和找出漏洞的能力，也沒必要任何事情都親力親為，因為木馬和漏洞是在太多了，全部代碼都自己分析，根本是不切實際的。

然後，就設置自己的防火牆。由於不同廠家終端防火牆設置規則上有所不同，所以本文不可能詳細講解。

當然，這需要一定專業知識。對於一般用戶來說，恐怕就有點困難了。怎麼辦？不怕，可以借用別人的成果。例如，去論壇請教高手或直接發郵件詢問高手即可解決。

還應該提醒大家的是防火牆規則不要重復，更不要矛盾。重復的規則浪費系統資源；矛盾的規則讓防火牆左右為難，最終讓別人有機可乘……

功能設置屬於外部設置。為什麼這樣說呢？主要因為，這些設置不會改變規則中要求攔截和放行對象。

對於經常上網的寬帶用戶來說，隨機啟動是絕對不可少的。如果是撥號用戶或不常上網的用戶來說，防火牆的啟動有兩種方案：

方案一：上網前手動開啟防火牆（一般用戶）

方案二：用一個文件使防火牆和網絡連接一起啟動（高級用戶）

通常，終端防火牆都會有一個安全等級選項。對於這個選擇，絕對不可以隨便選。因為，有不少用戶就是因為不根據實際情況選擇，而導致無法使用某些網絡資源或被黑客有機可乘。

像我這樣的固定ip的技術性局域網用戶來說，我認為設置為中等即可。因為，我們不像某些用戶那樣可以隨意改變自己的ip，所以我們的防御必須比動態ip用戶要高一些。

但是，是不是越高越好呢？不是。某些用戶，因為不切實際的把安全等級設置為高級，而又不會在規則中設置相應網絡規則，而導致無法使用某些網絡資源，如在線直播等。

因此，我建議一般用戶將規則設置為中低即可。

至於其他報警設置等，我也不想多說了。但是，我還是要提醒一句，攔截一定要記錄在日志裡。這樣才以便我們復查。

終端防火牆設置是一門永遠也講不完的學問，有興趣你也可以去研究研究。