雖然這樣多少會減輕些系統安全方面的壓力,但這樣是遠遠不夠的。按照上面的方法設定后,比沒有防火墻安全了許多,但是與其他的專業軟件防火墻相比,Windows XP內置的防火墻只能對進入連接進行監視。因此,像Back Orifice、NetBus或其他后門程序就會有機可乘,ICF對于這種類型的非法訪問是無能為力的。
免費的PC防火墻
下面,為您介紹4種安裝在PC上的免費防火墻軟件,分別是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。雖然它們的某些功能特性略有不同,但都為PC帶來了全面的安全保障(關于這4款產品的詳細情況請參見色塊內文《4款完全免費的防火墻》)。
軟件防火墻的安裝比較簡單,但是它需要有一個短暫的調試時間。在此期間,防火墻軟件將會偵測那些可能會連接到遠程服務器的應用程序,比如瀏覽器、Email、網絡以及其他的應用程序。
在某一程序第一次試圖連接到遠程服務器時,這4款防火墻軟件都會自動彈出一個提示對話框,您可以通過點擊“是”或“否”按鈕來設定是否允許該連接繼續進行。而大多數防火墻軟件還會提供一個可選項,可以允許用戶將設定的選項定義為永久有效,加入到防火墻規則之中(如圖2所示)。按照前面的方法正常使用1~2天后,您的防火墻規則就已經比較完善了,這時如果不再安裝或升級新的應用程序,您甚至不會感到防火墻的存在。
對防火墻警告恰當的處理方法和有效的規則創建策略是:要明確地了解哪個程序是安全的,而哪個是不安全的。大多數情況下,您可以通過程序的名稱來進行判斷——像Outlook、Internet Explorer或Netscape等。但是,也有一些程序沒有采用常用的名稱,比如大多數Windows XP網絡特性都由一個名為svchost.exe的程序提供后臺支持,但乍一看來,我們很難猜出它是做什么用的。相反,很多間諜軟件或者其他的惡意程序為了讓自身更加安全,往往會給自己起一個比較常用的名字,例如“clever screensaver”,如果您誤以為它是一個屏幕保護程序而允許它進行網絡訪問,那么它的欺騙目的就達到了。那么,作為防火墻的操作人員我們應該怎樣做呢?在此需要提醒您的是,定制嚴謹的防火墻規則是最重要的。切記首先禁止一切不確定的應用程序訪問Internet,因為在此之后,您還有很多機會去修訂這些規則。
其次,如果您無法斷定某個程序是否安全,那么請選擇一款能夠提供更多信息的防火墻吧!除了程序名之外,Kerio和Sygate并不能提供被監測程序的更多線索,反之卻提供了很多防火墻之外的功能。因此,他們似乎更適合那些專業用戶,對于新手來說,更多的程序信息是十分必要的。
ZoneAlarm就提供了很多被檢測程序的相關信息(如圖3所示),并包含了一個嵌入在提示對話框中的鏈接按鈕,通過它您可以到Zone Lab公司的網站了解關于該程序的詳細描述信息。ZoneAlarm同時也提供了一個預配置文件,在缺省狀態下允許IE和Windows XP中svchost.exe程序訪問Internet,以便最小化用戶需要設定的訪問程序集
Outpost給出的彈出對話框在默認狀態下會創建永久規則,不過您也可以通過點擊“Allow Once”或“Block Once”按鈕去改變它們。另外,盡管Outpost提供了很多花哨的功能,例如阻止IE的彈出窗口、郵件附件保護等,但是它提供的程序信息并不比Kerio和Sygate多多少。
