讓PC直接暴露在Internet上,就好比離家時不鎖房門,最後的結果是有人有意或無意地闖入您的房間,將金銀珠寶一掃而光。怎樣才能保障系統的安全呢?安裝防火牆軟件算是最常采用的措施了吧,而通常作為補充手段,安裝基於硬件的防火牆也是常用的措施。
而即便您是一位經驗豐富的老手,配置防火牆也並不是件輕松的活兒。如果您曾經放棄了安裝防火牆的念頭,或者不能確定防火牆是否對系統進行了全面的保護,沒關系,今天我們將為您解析個中奧妙。
翻開韋氏大詞典(Merriam-Webster),“Firewall”的本來含義是: 一堵用來阻擋火情蔓延的牆。在信息技術領域,防火牆是用來防止計算機受到來自Internet有害入侵的。與火災不同,來自網絡的威脅不是僅僅影響那些臨近的計算機,如果某人利用了您的IP地址,以及TCP或UDP端口,無論距離多遠,您的系統都會被擊中。
無論何時,只要您使用了浏覽器、E-mail,或者從Internet站點、遠端服務器下載文件,數據都是通過系統中的一個或多個端口進行傳遞的。而那些計算機黑客,無論是窺探系統的天才少年,老謀深算的間諜程序,還是Windows XP信使服務彈出的垃圾信息,其攻擊策略都相同——即發現一個能夠進入系統的開放端口,或者欺騙您打開一個這樣的端口。
.
防火牆可以監視數以千計的端口——無論是撥號連接的還是使用寬帶網絡——它都可以阻止那些未授權的訪問請求。基於硬件的防火牆通常集成在路由器和網關產品中,它們處於PC和Cable或DSL Modem之間。而軟件防火牆則運行在PC之上。
對於硬件防火牆來說,它們更擅長於保護那些通過寬帶連接的PC網絡。更重要的是,它們不僅兼具路由功能,還充當了一個NAT(網絡地址轉換,Net Address Translation)服務器,可以向外來的訪問者隱藏局域網中計算機的IP地址。
僅僅出於這個原因,硬件防火牆就足以成為寬帶用戶的明智選擇,即便是您擁有的只有一台PC而已。這時您不妨購買像Linksys VEFSR41或D-Link DI-704P的4端口路由器,它們的價格不高,大約在300~400元。有的產品還內置了無線接入模塊,價格上可能會稍貴一些,您可以在相關的網站上查詢詳細的信息。
防火牆的選配策略
硬件防火牆具有高度的可配置性: 它能夠阻止指定端口外所有的數據進出。因此,規劃和配置硬件防火牆需要做大量的工作。相反,軟件防火牆運行在您的PC之上,相對來說比較容易設置和維護。除了阻擋通過開放端口的非法訪問外,軟件防火牆還可以阻止惡意程序向遠端服務器發送數據(就像那些天才少年編寫的木馬程序、間諜軟件以及後門軟件等)。 如果您通過撥號方式連接到Internet,那麼外置的硬件防火牆就不見得是您的最好選擇,軟件防火牆在這方面的優勢則十分明顯。對於Windows XP用戶來說,如果單單通過系統內集成的ICF(Internet Connection Firewall,Internet連接防火牆)來保護PC是比較冒險的。
. ICF的啟用方法是,選擇“開始”*“控制面板”*“網絡連接”,右鍵點擊需要保護的Internet連接,在快捷菜單中選擇“屬性”選項,進入“高級”選項卡,選中“通過限制或者阻止來自Internet的對此計算機的訪問來保護我的計算機和網絡”復選項,點擊“確定”按鈕即可(如圖1所示)。 .
.
.
雖然這樣多少會減輕些系統安全方面的壓力,但這樣是遠遠不夠的。按照上面的方法設定後,比沒有防火牆安全了許多,但是與其他的專業軟件防火牆相比,Windows XP內置的防火牆只能對進入連接進行監視。因此,像Back Orifice、NetBus或其他後門程序就會有機可乘,ICF對於這種類型的非法訪問是無能為力的。 .
.