電腦防火牆一般安裝在哪裡？

　　電腦防火牆一般安裝在哪裡?

　　防火牆安裝後的位置：雙擊打開“我的電腦”→控制面板→安全中心——Windows 防火牆(如下圖1、2、3)

　　(圖1)

　　(圖2)

　　(圖3)

　　一般情況下從防火牆的軟、硬件形式來分，防火牆可以分為軟件防火牆、硬件防火牆以及芯片級防火牆。

　　第一種：軟件防火牆

　　軟件防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網絡的網關。俗稱“個人防火牆”。 軟件防火牆就像其它的軟件產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網絡版軟件防火牆最出名的莫過於Checkpoint。使用 這類防火牆，需要網管對所工作的操作系統平台比較熟悉。

　　第二種：硬件防火牆

　　這裡說的硬件防火牆是指“所謂的硬件防火牆”。之所以加上"所謂"二字是針對芯片級防火牆說的了。它們最大的差別在於是否基於專用的硬件平台。 目前市場上大多數防火牆都是這種所謂的硬件防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些 經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由於此類防火牆采用的依然是別人的內核，因此依然會受到OS(操作系統)本身的安全性影響。

　　傳統硬件防火牆一般至少應具備三個端口，分別接內網，外網和DMZ區(非軍事化區)，現在一些新的硬件防火牆往往擴展了端口，常見四端口防火牆一般將第四個端口做為配置口、管理端口。很多防火牆還可以進一步擴展端口數目。

　　第三種：芯片級防火牆

　　芯片級防火牆基於專門的硬件平台，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火 牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少，不過價格相 對比較高昂。

　　防火牆的基本功能

　　防火牆系統可以說是網絡的第一道防線，因此一個企業在決定使用防火牆保護內部網絡的安全時，它首先需要了解一個防火牆系統應具備的基本功能，這是用戶選擇防火牆產品的依據和前提。一個成功的防火牆產品應該具有下述基本功能：

　　防火牆的設計策略應遵循安全防范的基本原則——“除非明確允許，否則就禁止”; 防火牆本身支持安全策略，而不是添加上去的;如果組織機構的安全策略發生改變，可以加入新的服務;有先進的認證手段或有掛鉤程序，可以安裝先進的認證方 法;如果需要，可以運用過濾技術允許和禁止服務;可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火牆上;擁有界面友 好、易於編程的IP過濾語言，並可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的 ACK位、出站和入站網絡接口等。

　　如果用戶需要NNTP(網絡消息傳輸協議)、XWindow、HTTP和Gopher等服務，防火牆應該包含相應的代理服務程序。防火牆也應具 有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，並可以集中處理整個站點的電子郵件。防火牆應允許公眾對站點的訪問，應把信息服務器和其 他內部服務器分開。

　　防火牆應該能夠集中和過濾撥入訪問，並可以記錄網絡流量和可疑的活動。此外，為了使日志具有可讀性，防火牆應具有精簡日志的能力。雖然沒有必要 讓防火牆的操作系統和公司內部使用的操作系統一樣，但在防火牆上運行一個管理員熟悉的操作系統會使管理變得簡單。防火牆的強度和正確性應該可被驗證，設計 盡量簡單，以便管理員理解和維護。防火牆和相應的操作系統應該用補丁程序進行升級且升級必須定期進行。

　　正像前面提到的那樣，Internet每時每刻都在發生著變化，新的易攻擊點隨時可能會產生。當新的危險出現時，新的服務和升級工作可能會對防火牆的安裝產生潛在的阻力，因此防火牆的可適應性是很重要的。