讓PC直接暴露在Internet上，就好比離家時不鎖房門，最后的結果是有人有意或無意地闖入您的房間，將金銀珠寶一掃而光。怎樣才能保障系統(tǒng)的安全呢？安裝防火墻軟件算是最常采用的措施了吧，而通常作為補充手段，安裝基于硬件的防火墻也是常用的措施。

　　而即便您是一位經(jīng)驗豐富的老手，配置防火墻也并不是件輕松的活兒。如果您曾經(jīng)放棄了安裝防火墻的念頭，或者不能確定防火墻是否對系統(tǒng)進行了全面的保護，沒關系，今天我們將為您解析個中奧妙。

　　翻開韋氏大詞典(Merriam-Webster)，“Firewall”的本來含義是: 一堵用來阻擋火情蔓延的墻。在信息技術領域，防火墻是用來防止計算機受到來自Internet有害入侵的。與火災不同，來自網(wǎng)絡的威脅不是僅僅影響那些臨近的計算機，如果某人利用了您的IP地址，以及TCP或UDP端口，無論距離多遠，您的系統(tǒng)都會被擊中。 　

　　無論何時，只要您使用了瀏覽器、E-mail，或者從Internet站點、遠端服務器下載文件，數(shù)據(jù)都是通過系統(tǒng)中的一個或多個端口進行傳遞的。而那些電腦黑客，無論是窺探系統(tǒng)的天才少年，老謀深算的間諜程序，還是Windows XP信使服務彈出的垃圾信息，其攻擊策略都相同——即發(fā)現(xiàn)一個能夠進入系統(tǒng)的開放端口，或者欺騙您打開一個這樣的端口。

　　防火墻可以監(jiān)視數(shù)以千計的端口——無論是撥號連接的還是使用寬帶網(wǎng)絡——它都可以阻止那些未授權的訪問請求。基于硬件的防火墻通常集成在路由器和網(wǎng)關產(chǎn)品中，它們處于PC和Cable或DSL Modem之間。而軟件防火墻則運行在PC之上。

　　對于硬件防火墻來說，它們更擅長于保護那些通過寬帶連接的PC網(wǎng)絡。更重要的是，它們不僅兼具路由功能，還充當了一個NAT(網(wǎng)絡地址轉換，Net Address Translation)服務器，可以向外來的訪問者隱藏局域網(wǎng)中計算機的IP地址。

　　僅僅出于這個原因，硬件防火墻就足以成為寬帶用戶的明智選擇，即便是您擁有的只有一臺PC而已。這時您不妨購買像Linksys VEFSR41或D-Link DI-704P的4端口路由器，它們的價格不高，大約在300～400元。有的產(chǎn)品還內(nèi)置了無線接入模塊，價格上可能會稍貴一些，您可以在相關的網(wǎng)站上查詢詳細的信息。

　　防火墻的選配策略

　　硬件防火墻具有高度的可配置性： 它能夠阻止指定端口外所有的數(shù)據(jù)進出。因此，規(guī)劃和配置硬件防火墻需要做大量的工作。相反，軟件防火墻運行在您的PC之上，相對來說比較容易設置和維護。除了阻擋通過開放端口的非法訪問外，軟件防火墻還可以阻止惡意程序向遠端服務器發(fā)送數(shù)據(jù)(就像那些天才少年編寫的木馬程序、間諜軟件以及后門軟件等)。

　　如果您通過撥號方式連接到Internet，那么外置的硬件防火墻就不見得是您的最好選擇，軟件防火墻在這方面的優(yōu)勢則十分明顯。對于Windows XP用戶來說，如果單單通過系統(tǒng)內(nèi)集成的ICF(Internet Connection Firewall，Internet連接防火墻)來保護PC是比較冒險的。　　

　　ICF的啟用方法是，選擇“開始”*“控制面板”*“網(wǎng)絡連接”，右鍵點擊需要保護的Internet連接，在快捷菜單中選擇“屬性”選項，進入“高級”選項卡，選中“通過限制或者阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡”復選項，點擊“確定”按鈕即可(如圖1所示)。 　　

　　雖然這樣多少會減輕些系統(tǒng)安全方面的壓力，但這樣是遠遠不夠的。按照上面的方法設定后，比沒有防火墻安全了許多，但是與其他的專業(yè)軟件防火墻相比，Windows XP內(nèi)置的防火墻只能對進入連接進行監(jiān)視。因此，像Back Orifice、NetBus或其他后門程序就會有機可乘，ICF對于這種類型的非法訪問是無能為力的。

　　免費的PC防火墻

　　下面，為您介紹4種安裝在PC上的免費防火墻軟件，分別是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。雖然它們的某些功能特性略有不同，但都為PC帶來了全面的安全保障（關于這4款產(chǎn)品的詳細情況請參見色塊內(nèi)文《4款完全免費的防火墻》）。

　　軟件防火墻的安裝比較簡單，但是它需要有一個短暫的調(diào)試時間。在此期間，防火墻軟件將會偵測那些可能會連接到遠程服務器的應用程序，比如瀏覽器、Email、網(wǎng)絡以及其他的應用程序。

　　在某一程序第一次試圖連接到遠程服務器時，這4款防火墻軟件都會自動彈出一個提示對話框，您可以通過點擊“是”或“否”按鈕來設定是否允許該連接繼續(xù)進行。而大多數(shù)防火墻軟件還會提供一個可選項，可以允許用戶將設定的選項定義為永久有效，加入到防火墻規(guī)則之中(如圖2所示)。按照前面的方法正常使用1～2天后，您的防火墻規(guī)則就已經(jīng)比較完善了，這時如果不再安裝或升級新的應用程序，您甚至不會感到防火墻的存在。

　　對防火墻警告恰當?shù)奶幚矸椒ê陀行У囊?guī)則創(chuàng)建策略是：要明確地了解哪個程序是安全的，而哪個是不安全的。大多數(shù)情況下，您可以通過程序的名稱來進行判斷——像Outlook、Internet Explorer或Netscape等。但是，也有一些程序沒有采用常用的名稱，比如大多數(shù)Windows XP網(wǎng)絡特性都由一個名為svchost.exe的程序提供后臺支持，但乍一看來，我們很難猜出它是做什么用的。相反，很多間諜軟件或者其他的惡意程序為了讓自身更加安全，往往會給自己起一個比較常用的名字，例如“clever screensaver”，如果您誤以為它是一個屏幕保護程序而允許它進行網(wǎng)絡訪問，那么它的欺騙目的就達到了。那么，作為防火墻的操作人員我們應該怎樣做呢？在此需要提醒您的是，定制嚴謹?shù)姆阑饓σ?guī)則是最重要的。切記首先禁止一切不確定的應用程序訪問Internet，因為在此之后，您還有很多機會去修訂這些規(guī)則。

　　其次，如果您無法斷定某個程序是否安全，那么請選擇一款能夠提供更多信息的防火墻吧！除了程序名之外，Kerio和Sygate并不能提供被監(jiān)測程序的更多線索，反之卻提供了很多防火墻之外的功能。因此，他們似乎更適合那些專業(yè)用戶，對于新手來說，更多的程序信息是十分必要的。

　　ZoneAlarm就提供了很多被檢測程序的相關信息(如圖3所示)，并包含了一個嵌入在提示對話框中的鏈接按鈕，通過它您可以到Zone Lab公司的網(wǎng)站了解關于該程序的詳細描述信息。ZoneAlarm同時也提供了一個預配置文件，在缺省狀態(tài)下允許IE和Windows XP中svchost.exe程序訪問Internet，以便最小化用戶需要設定的訪問程序集

　　Outpost給出的彈出對話框在默認狀態(tài)下會創(chuàng)建永久規(guī)則，不過您也可以通過點擊“Allow Once”或“Block Once”按鈕去改變它們。另外，盡管Outpost提供了很多花哨的功能，例如阻止IE的彈出窗口、郵件附件保護等，但是它提供的程序信息并不比Kerio和Sygate多多少。

　　調(diào)整過濾機制

　　在完成了防火墻的基本配置后，您可能還希望改變、刪除或者調(diào)整這些規(guī)則。這4款防火墻軟件都可以對規(guī)則列表和已知程序進行管理和維護。

　　Kerio: 右鍵單擊該程序在系統(tǒng)托盤中的圖標，選擇“Administration”*“Firewall” * “Advanced”。在已知程序的列表當中，選擇需要修改的程序過濾規(guī)則，點擊“Edit”按鈕打開“Filter rule”(過濾規(guī)則)對話框。為了切換到程序的缺省狀態(tài)，選擇對話框下方的“Permit”(允許)或者“Deny”(禁止)按鈕即可。其他的選項可以用來限制遠程服務器的IP地址和該程序所使用的端口號。如果有些規(guī)則的設定不太恰當，不妨在此進行修改，最后點擊“OK”保存修改即可。　　

　　Outpost: 右擊系統(tǒng)托盤中的“Outpost”圖標，選擇“Options”*“Application”，在阻止、部分允許和完全信任的程序列表中選擇一個程序，單擊“Edit”按鈕，通過“Always block this app”(總是阻止這個程序)或者“Always trust this app”(總是信任這個程序)選項來調(diào)整防火墻的規(guī)則列表。最好的解決辦法是: 將一個完全信任程序移動到部分阻止列表中(例如，單擊“Edit”按鈕，并依次選擇“choosing Create rules using preset”*“Browser”); 這時該程序就被賦予了訪問Internet的權利，但它是在一定的規(guī)則約束下工作的。瀏覽器的相關規(guī)則集(Outpost還可以將這些規(guī)則應用到Email、即時消息及其他程序中)對那些Web瀏覽器較少調(diào)用的TCP或UDP端口進行了限定，并且將可能來自Web或HTML電子郵件的危害減至最低。

　　Sygate: 為了修改防火墻規(guī)則，您需要右擊系統(tǒng)托盤中的“Sygate”圖標，并選擇“Applications”選項。在已知程序列表中，右鍵單擊需要修改的程序名稱，選擇“Allow”或“Block”選項即可。您也可以選擇“Ask”選項，這樣Sygate會在該程序每次訪問Internet時都詢問您的意見。

　　ZoneAlarm: 為了修改程序的許可狀態(tài)，右鍵單擊ZoneAlarm系統(tǒng)托盤圖標，選擇“Restore ZoneAlarm Control Center” (恢復到ZoneAlarm控制中心)選項。在控制中心左側窗格中選擇“Program Control”選項，并進入“Programs”選項卡。在此您可以對每個應用程序的狀態(tài)進行設定，具體包括4個狀態(tài)選項: 在Internet和受信任這兩個區(qū)域中，可以分別定義該程序為“允許訪問遠程服務器”或者“自行充當服務器”狀態(tài)。“√”表示允許訪問，“×”表示阻止訪問，“？”則表示讓ZoneAlarm在該程序每次訪問網(wǎng)絡時進行詢問; 最后，在彈出的菜單中選定一個新的缺省動作即可。