让PC直接暴露在Internet上,就好比离家时不锁房门,最后的结果是有人有意或无意地闯入您的房间,将金银珠宝一扫而光。怎样才能保障系统的安全呢?安装防火墙软件算是最常采用的措施了吧,而通常作为补充手段,安装基于硬件的防火墙也是常用的措施。
而即便您是一位经验丰富的老手,配置防火墙也并不是件轻松的活儿。如果您曾经放弃了安装防火墙的念头,或者不能确定防火墙是否对系统进行了全面的保护,没关系,今天我们将为您解析个中奥妙。
翻开韦氏大词典(Merriam-We ter),“Firewall”的本来含义是: 一堵用来阻挡火情蔓延的墙。在信息技术领域,防火墙是用来防止计算机受到来自Internet有害入侵的。与火灾不同,来自网络的威胁不是仅仅影响那些临近的计算机,如果某人利用了您的IP地址,以及TCP或UDP端口,无论距离多远,您的系统都会被击中。
无论何时,只要您使用了浏览器、E-mail,或者从Internet站点、远端服务器下载文件,数据都是通过系统中的一个或多个端口进行传递的。而那些电脑黑客,无论是窥探系统的天才少年,老谋深算的间谍程序,还是Windows XP信使服务弹出的垃圾信息,其攻击策略都相同——即发现一个能够进入系统的开放端口,或者欺骗您打开一个这样的端口。
防火墙可以监视数以千计的端口——无论是拨号连接的还是使用宽带网络——它都可以阻止那些未授权的访问请求。基于硬件的防火墙通常集成在路由器和网关产品中,它们处于PC和Cable或DSL Modem之间。而软件防火墙则运行在PC之上。
对于硬件防火墙来说,它们更擅长于保护那些通过宽带连接的PC网络。更重要的是,它们不仅兼具路由功能,还充当了一个NAT(网络地址转换,Net Addre Tra lation)服务器,可以向外来的访问者隐藏局域网中计算机的IP地址。
仅仅出于这个原因,硬件防火墙就足以成为宽带用户的明智选择,即便是您拥有的只有一台PC而已。这时您不妨购买像Linksys VEFSR41或D-Link DI-704P的4端口路由器,它们的价格不高,大约在300~400元。有的产品还内置了无线接入模块,价格上可能会稍贵一些,您可以在相关的网站上查询详细的信息。
防火墙的选配策略 硬件防火墙具有高度的可配置性: 它能够阻止指定端口外所有的数据进出。因此,规划和配置硬件防火墙需要做大量的工作。相反,软件防火墙运行在您的PC之上,相对来说比较容易设置和维护。除了阻挡通过开放端口的非法访问外,软件防火墙还可以阻止恶意程序向远端服务器发送数据(就像那些天才少年编写的木马程序、间谍软件以及后门软件等)。
如果您通过拨号方式连接到Internet,那么外置的硬件防火墙就不见得是您的最好选择,软件防火墙在这方面的优势则十分明显。对于Windows XP用户来说,如果单单通过系统内集成的ICF(Internet Co ection Firewall,Internet连接防火墙)来保护PC是比较冒险的。
ICF的启用方法是,选择“开始”*“控制面板”*“网络连接”,右键点击需要保护的Internet连接,在快捷菜单中选择“属性”选项,进入“高级”选项卡,选中“通过限制或者阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选项,点击“确定”按钮即可(如图1所示)。
虽然这样多少会减轻些系统安全方面的压力,但这样是远远不够的。按照上面的方法设定后,比没有防火墙安全了许多,但是与其他的专业软件防火墙相比,Windows XP内置的防火墙只能对进入连接进行监视。因此,像Back Orifice、NetBus或其他后门程序就会有机可乘,ICF对于这种类型的非法访问是无能为力的。
待续... 本文来自