让
服务器直接暴露在Internet上,就好比离家时不锁房门,最后的结果是有人有意或无意地闯入您的房间,将金银珠宝一扫而光。怎样才能保障系统的安全呢?安装防火墙软件算是最常采用的措施了吧,
而通常作为补充手段,安装基于硬件的防火墙也是常用的措施。
而即便您是一位经验丰富的老手,配置防火墙也并不是件轻松的活儿。如果您曾经放弃了安装防火墙的念头,或者不能确定防火墙是否对系统进行了全面的保护,没关系,今天我们将为您解析个中奥妙。
翻开韦氏大词典(Merriam-Webster),“Firewall”的本来含义是: 一堵用来阻挡火情蔓延的墙。在信息技术领域,防火墙是用来防止计算机受到来自Internet有害入侵的。与火灾不同,来自网络的威胁不是仅仅影响那些临近的计算机,如果某人利用了您的IP地址,以及TCP或UDP端口,无论距离多远,您的系统都会被击中。
无论何时,只要您使用了
浏览器、E-mail,或者从Internet站点、远端服务器下载文件,数据都是通过系统中的一个或多个端口进行传递的。而那些电脑黑客,无论是窥探系统的天才少年,老谋深算的间谍程序,还是
Windows XP信使服务弹出的垃圾信息,其攻击策略都相同——即发现一个能够进入系统的开放端口,或者欺骗您打开一个这样的端口。
防火墙可以监视数以千计的端口——无论是拨号连接的还是使用宽带网络——它都可以阻止那些未授权的访问请求。基于硬件的防火墙通常集成在
路由器和网关产品中,它们处于
PC和
Cable或DSL Modem之间。而软件防火墙则运行在PC之上。
对于硬件防火墙来说,它们更擅长于保护那些通过宽带连接的PC网络。更重要的是,它们不仅兼具路由功能,还充当了一个NAT(网络地址转换,Net A
ddress Translation)服务器,可以向外来的访问者隐藏局域网中计算机的IP地址。
仅仅出于这个原因,硬件防火墙就足以成为宽带用户的明智选择,即便是您拥有的只有一台PC而已。这时您不妨购买像 Linksys VEFSR41或D-Link DI-704P的4端口路由器,它们的价格不高,大约在300~400元。有的产品还内置了无线接入模块,价格上可能会稍贵一些,您可以在相关的网站上查询详细的信息。
防火墙的选配策略
硬件防火墙具有高度的可配置性:它能够阻止指定端口外所有的数据进出。因此,规划和配置硬件防火墙需要做大量的工作。相反,软件防火墙运行在您的PC之上,相对来说比较容易设置和维护。除了阻挡通过开放端口的非法访问外,软件防火墙还可以阻止恶意程序向远端服务器发送数据(就像那些天才少年编写的木马程序、
间谍软件以及后门软件等)。
如果您通过拨号方式连接到Internet,那么外置的硬件防火墙就不见得是您的最好选择,软件防火墙在这方面的优势则十分明显。对于Windows XP用户来说,如果单单通过系统内集成的ICF(Internet Connection Firewall,Internet连接防火墙)来保护PC是比较冒险的。
ICF的启用方法是,选择“开始”*“控制面板”*“网络连接”,右键点击需要保护的Internet连接,在快捷菜单中选择“属性”选项,进入“高级”选项卡,选中“通过限制或者阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选项,点击 “确定”按钮即可(如图1所示)。
虽然这样多少会减轻些系统安全方面的压力,但这样是远远不够的。按照上面的方法设定后,比没有防火墙安全了许多,但是与其他的专业软件防火墙相比,Windows XP内置的防火墙只能对进入连接进行监视。因此,像Back Orifice、NetBus或其他后门程序就会有机可乘,ICF对于这种类型的非法访问是无能为力的。
免费的PC防火墙
下面,为您介绍4种安装在PC上的免费防火墙软件,分别是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。虽然它们的某些功能特性略有不同,但都为PC带来了全面的安全保障。
软件防火墙的安装比较简单,但是它需要有一个短暂的调试时间。在此期间,防火墙软件将会侦测那些可能会连接到远程服务器的应用程序,比如浏览器、Email、网络以及其他的应用程序。
在某一程序第一次试图连接到远程服务器时,这4款防火墙软件都会自动弹出一个提示对话框,您可以通过点击“是”或 “否”按钮来设定是否允许该连接继续进行。而大多数防火墙软件还会提供一个可选项,可以允许用户将设定的选项定义为永久有效,加入到防火墙规则之中(如图 2所示)。按照前面的方法正常使用1~2天后,您的防火墙规则就已经比较完善了,这时如果不再安装或升级新的应用程序,您甚至不会感到防火墙的存在。
对防火墙警告恰当的处理方法和有效的规则创建策略是:要明确地了解哪个程序是安全的,而哪个是不安全的。大多数情况下,您可以通过程序的名称来进行判断——像Outlook、Internet Explorer或Netsc
ape 等。但是,也有一些程序没有采用常用的名称,比如大多数Windows XP网络特性都由一个名为svchost.exe的程序提供后台支持,但乍一看来,我们很难猜出它是做什么用的。相反,很多间谍软件或者其他的恶意程序为了让自身更加安全,往往会给自己起一个比较常用的名字,例如“clever screensaver”,如果您误以为它是一个屏幕保护程序而允许它进行网络访问,那么它的欺骗目的就达到了。那么,作为防火墙的操作人员我们应该怎样做呢?在此需要提醒您的是,定制严谨的防火墙规则是最重要的。切记首先禁止一切不确定的应用程序访问Internet,因为在此之后,您还有很多机会去修订这些规则。
其次,如果您无法断定某个程序是否安全,那么请选择一款能够提供更多信息的防火墙吧!除了程序名之外,Kerio和Sygate并不能提供被监测程序的更多线索,反之却提供了很多防火墙之外的功能。因此,他们似乎更适合那些专业用户,对于新手来说,更多的程序信息是十分必要的。
ZoneAlarm就提供了很多被检测程序的相关信息(如图3所示),并包含了一个嵌入在提示对话框中的链接按钮,通过它您可以到Zone Lab公司的网站了解关于该程序的详细描述信息。ZoneAlarm同时也提供了一个预配置文件,在缺省状态下允许
IE和Windows XP中svchost.exe程序访问Internet,以便最小化用户需要设定的访问程序集
Outpost给出的弹出对话框在默认状态下会创建永久规则,不过您也可以通过点击“Allow Once”或“Block Once”按钮去改变它们。另外,尽管Outpost提供了很多花哨的功能,例如阻止IE的弹出窗口、邮件附件保护等,但是它提供的程序信息并不比 Kerio和Sygate多多少。
调整过滤机制
在完成了防火墙的基本配置后,您可能还希望改变、删除或者调整这些规则。这4款防火墙软件都可以对规则列表和已知程序进行管理和维护。
Kerio: 右键单击该程序在系统托盘中的图标,选择“Administration”*“Firewall” * “Advanced”。在已知程序的列表当中,选择需要修改的程序过滤规则,点击“Edit”按钮打开“Filter rule”(过滤规则)对话框。为了切换到程序的缺省状态,选择对话框下方的“Permit”(允许)或者“Deny”(禁止)按钮即可。其他的选项可以用来限制远程服务器的IP地址和该程序所使用的端口号。如果有些规则的设定不太恰当,不妨在此进行修改,最后点击“OK”保存修改即可。
Outpost: 右击系统托盘中的“Outpost”图标,选择“Options”*“Application”,在阻止、部分允许和完全信任的程序列表中选择一个程序,单击“Edit”按钮,通过“Always block this app”(总是阻止这个程序)或者“Always trust this app”(总是信任这个程序)选项来调整防火墙的规则列表。最好的解决办法是: 将一个完全信任程序移动到部分阻止列表中(例如,单击“Edit”按钮,并依次选择“choosing Create rules using preset”*“Browser”); 这时该程序就被赋予了访问Internet的权利,但它是在一定的规则约束下工作的。浏览器的相关规则集(Outpost还可以将这些规则应用到 Email、即时消息及其他程序中)对那些Web浏览器较少调用的TCP或UDP端口进行了限定,并且将可能来自Web或HTML电子邮件的危害减至最低。
Sygate: 为了修改防火墙规则,您需要右击系统托盘中的“Sygate”图标,并选择“Applications”选项。在已知程序列表中,右键单击需要修改的程序名称,选择“Allow”或“Block”选项即可。您也可以选择“Ask”选项,这样Sygate会在该程序每次访问Internet时都询问您的意见。
ZoneAlarm: 为了修改程序的许可状态,右键单击ZoneAlarm系统托盘图标,选择“Restore ZoneAlarm Control Center” (恢复到ZoneAlarm控制中心)选项。在控制中心左侧窗格中选择“
Program Control”选项,并进入“Programs”选项卡。在此您可以对每个应用程序的状态进行设定,具体包括4个状态选项: 在Internet和受信任这两个区域中,可以分别定义该程序为“允许访问远程服务器”或者“自行充当服务器”状态。“√”表示允许访问,“×”表示阻止访问,“?”则表示让ZoneAlarm在该程序每次访问网络时进行询问; 最后,在弹出的菜单中选定一个新的缺省动作即可。