针对家庭办公室用户的简单防火墙安装

http://www.sina.com.cn 2004年11月08日 10:59 新浪科技

　　文/Microsoft China

　　以前，防火墙只用于大型企业网络——而且，Internet连接也只用于大型网络。现在情况发生了变化，高速、始终联机的Internet连接越来越常见，因此对于连接计算机的攻击也越来越多。防火墙能够屏蔽多种类型的恶意流量，从而帮助您防御这些攻击。另外，防火墙还有助于避免您的计算机在您未知的情况下参与攻击其他计算机。一个好消息，客户级的防火墙能够提供出色的安全性，并且不需要您是一个计算机安全性专家。实际上，Windows XP在操作系统中就包括了一个强健的防火墙(Internet连接防火墙)，而设置这个防火墙只需一

<SCRIPT LANGUAGE="JavaScript1.1" SRC="http://122.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|Tech|techpip&db=sina&local=yes&js=on"></SCRIPT> <NOSCRIPT><A HREF="http://122.adsina.allyes.com/main/adfclick?user=AFP6_for_SINA|Tech|techpip&db=sina"><IMG SRC="http://122.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|Tech|techpip&db=sina" WIDTH=360 HEIGHT=300 BORDER=0></a></NOSCRIPT>

个单击操作。

　　为什么我需要一个防火墙？

　　在我们具体讨论为什么防火墙对于家庭安全性很重要之前，我们需要了解一些Internet通讯的背景。从很多方面来看，Internet都可以类比于电话系统。与使用电话进行通讯不同的是，在Internet上我们通过计算机进行通讯。每次您给其他人打电话时，您都拨打一个特定的电话号码；类似的是，每次您与其他计算机进行通讯时，您使用IP地址。每个通过Internet的通讯都必须附有一个IP地址。否则，接收计算机将不知道向何处发送它的回复。当然，计算机和电话之间仍存在着许多差别。其中一个非常重要的差异是，在默认情况下计算机总是会对呼叫做出应答，不论是是否希望它去这样做。例如，如果您接到一个来自"Hackers-R-Us（黑客呼叫我们）"的电话，您也许会让电话一直响着而不去接它。但在默认情况下，您的计算机没有选择——它必须对呼叫做出应答。

图1：在默认情况下，当您的计算机处于连接状态时，
它必须侦听来自Internet其他人的通讯，并对其接受到的通讯做出响应

在使用调制解调器和通过拨号进行连接时，这还不是一个严重的问题。您的计算机通常只连接很短的一段时间。而且由于大部分拨号服务提供商的工作方式，决定了您的计算机在每次拨号时都会获得不同的IP地址。这使得恶意攻击者很难进入您的计算机系统，当然也不是不可能的。但是，如果您拥有宽带连接（例如DSL或电缆调制解调器），那么您的计算机将每时每刻都连接在Internet上。

图2：一个无保护的家庭网络。世界上的任何计算机都可以通过IP地址
来与这台计算机进行通讯。

　　防火墙能为我做些什么?

如果有人在家里能够帮助您过滤您的电话，情况会怎么样呢？您可以告诉他完全不要理会除了来自可信任来源的其他电话。或者，您可以告诉他阻止来自指定来源的电话，或者来自家庭中某人的电话。在计算机网络中就有这样一个东西；它被称为防火墙。

著名的专业术语词典对防火墙有一个很好的解释：“一个具有特殊安全防范措施的专用网关机器，用于为网络连接和拨入线路外提供服务。”防火墙有两个有用的用途：它们过滤哪些来自外部世界的流量可以进入您的网络；它们还控制您的网络中哪些计算机可以发送流量到外部世界。

　　硬件和软件

　　设置防火墙的第一步十分简单：确定最符合您需求的硬件和软件解决方案。防火墙产品有着很多不同的形式，从免费可用的计算机软件到防篡改的工业设备。无论您是否购买一个认证的防火墙，也无论您购买了何种类型的防火墙，所有的防火墙都提供相同的基本特性：控制入站和出站流量。

　　在做出选择前，您应该首先回答下面的问题：

1.

我是否正在运行Windows XP? 如果是，那么您已经拥有了一个内置的防火墙——Internet连接防火墙(ICF)，因此您可能不再需要购买其他附件。

2.

我是否希望在多台计算机之间共享我的Internet连接? 如果是，那么您一定已经（或者将要）将您的计算机建成网络了。在这种情况下，您可以使用 Windows 的Internet连接共享(ICS) 特性来共享这个连接。

3.

我是否希望能够共享我的连接，而不将某个计算机设为防火墙? 也许您希望共享您的Internet连接，但是您不想使用一台特定的计算机作为网关——ICS只在运行它的计算机开机并处于网络中时才起作用。作为替代，您可以购买一个便宜的设备作为共享连接的网关——这些被称为“Internet访问路由器”或“家用网关”的设备几乎都包括防火墙功能。

　　为了实现最大的安全性，您可以安装一个硬件防火墙来保护您的家庭办公室网络，然后将它与ICF或其他软件防火墙进行结合。软件防火墙可以在每个单独的计算机上进行配置，因此如果需要，网络中每台计算机可以拥有不同的网络权限。另外，软件防火墙在被保护的计算机违规发送数据时，可以向您发出警报。通常，硬件防火墙非常灵活，而且功能强大；在您完成硬件防火墙的设置后，您可以不必再去管它，让它静静地保护您。当然，设置硬件防火墙可能会是一次困难的体验!两种类型防火墙的结合能够为您提供比单独某种防火墙更出色的安全性。

　　设置ICF

　　Windows XP的Internet连接防火墙是在每个连接上配置的。这意味着如果在您的计算机上有多个访问Internet的途径（例如，有些时候使用调制解调器，其他时候使用DSL），那么您将需要为每个连接单独地配置ICF。如果您正在使用宽带连接，那么您将在“网络连接”小程序中拥有一个它的图标（可能被标记为“局域网连接”，也许还有数字接在后面）。下面是如何启用ICF的方法：

　　1.

导航到“开始”菜单，打开控制面板。

2.

找到并打开网络连接applet。

3.

在任何您希望启用ICF的连接上点击右键，然后选择属性。

4.

进入“高级”选项卡，选中复选框来保护您的计算机

图3：指定网络连接的高级设置属性选项卡。

　　这就是所有需要执行的工作。现在，ICF 已经启用并在您的系统中运行了。但是，请稍等!如果您由于某些原因希望允许其他计算机连接到您的计算机时，情况会怎么样呢？例如，您可能正在运行一个Web服务器，希望家庭网络以外的用户能够进行浏览。ICF 允许您这样做。只需要在网络连接高级属性选项卡中点击设置按钮（参见图3）。您可以从一个多种常用服务中进行选择，用于暴露给外部世界。请注意：如果您选择这样做，那么您将需要保持所暴露服务的最新安全性更新和补丁，否则您的计算机可能很容易受到攻击。

　　行动如果您正在运行Windows XP，请在主Internet连接中启用ICF。然后，您可以跟以往一样的使用Internet——请注意，ICF并不会干扰您使用Internet，即使它正在静静地保护着您。

　　其他防火墙

　　如果您现在没有使用 Windows XP，或者您希望根据您的需要更好地控制（和了解）防火墙的工作，那么您可能需要购买单独的个人防火墙软件。有很多优秀产品可以用来增强您计算机的安全性。例如，Zone Labs 的 Zone Alarm 不仅能够过滤传入连接，而且能够过滤传出连接。这意味着您可以指定计算机中的哪些程序可以通过Internet进行通讯，哪些应该被阻止这样做。

　　设置家用网关

　　如果您拥有或计划设置一个家庭网络，那么您将需要创建一个从防火墙到网络其他部分的网关。如果您要在一台特定的计算机上实施软件防火墙，那么就意味着您需要在这台机器上至少部署两块网卡。其中一块网卡连接到公共接口（例如DSL或电缆调制解调器），而另一块网卡连接到您的内部网络。然后，您需要配置这台计算机来允许网络的两端进行通讯。在Windows 2000和Windows XP中，ICS 都允许您这样做。

　　但是，如果需要这么做，很多家庭用户都决定购买专用的家用网关。这些设备直接插入到DSL路由器或电缆调制解调器中，提供防火墙和网络集线器的功能。

图4：具有家用网关的全功能家庭网络。

　　在与 ISP 进行联系时，家用网关应该被配置为取代运行 ICS 计算机的角色。例如，如果您拥有静态IP地址，那么您应该将这个IP地址分配给网关，而不是您的计算机。您可以将一个新的IP地址分配给您的计算机，或者在更多情况下命令计算机向网关请求IP地址。与ICF一样，网关通常能够阻止或过滤指定的流量。例如，如果家庭Web站点在位于地下室的计算机中运行，那么这个家用网关能够无缝地将所有Web站点（HTTP）请求定向到地下室的计算机。

　　安全性有胜于无…

　　在这里提供了所有选择中，唯一您可能出错的就是不选择任何一种防火墙。不要认为没有人会攻击您，随着自动攻击工具的发展，您和每台在Internet中的计算机一样都处于被攻击的风险中。不幸的是，存在一种强大的亚文化，人们往往错误地认为自己已经十分了解网络和计算机安全性如何对付数字入侵。而由于始终联机连接的普及和容易使用，家用网络将成为最容易的目标。通过一些简单的防范措施，您将能够保护您自己和您的数据。

　　点击此处查询全部防火墙新闻