在某些方面，保障你的計(jì)算機(jī)的安全性是一項(xiàng)專職工作。在你考慮無(wú)線安全性時(shí)，這個(gè)問(wèn)題就更加復(fù)雜。

　　對(duì)那些出門在外的使用無(wú)線網(wǎng)絡(luò)的旅行者來(lái)說(shuō)，不管他們是在一個(gè)咖啡屋里使用無(wú)線訪問(wèn)點(diǎn)，還是在一個(gè)飛機(jī)場(chǎng)，還是在其度過(guò)夜間時(shí)光的一個(gè)旅館里，一個(gè)值得關(guān)心的重要問(wèn)題是他們絕對(duì)不知道所使用網(wǎng)絡(luò)的安全性，除非他們知道它根本并不安全。例如對(duì)于一個(gè)咖啡店的網(wǎng)絡(luò)來(lái)說(shuō)，這就是真實(shí)情況：因?yàn)樗鼈円獙?duì)每一個(gè)人開放，你不能完全相信它們。如果它們并不對(duì)任何人開放，它們也就一文不值了。

　　在你在一個(gè)公共的無(wú)線訪問(wèn)點(diǎn)上使用一臺(tái)筆記本電腦時(shí)，解決安全問(wèn)題的唯一健全方法在于，你通過(guò)其網(wǎng)絡(luò)訪問(wèn)資源時(shí)，注意選擇內(nèi)容以及訪問(wèn)這些資源的方式。在很大程度上，這意味著你要避免登錄到你的銀行的Web站點(diǎn)等操作，不能在線購(gòu)物，也不要通過(guò)這種網(wǎng)絡(luò)發(fā)送敏感的數(shù)據(jù)。即使這個(gè)被懷疑的Web站點(diǎn)使用了登錄會(huì)話的加密，那也不能表明你不會(huì)受到某種中間人的攻擊，或者受到某種你不能控制的其它欺騙的攻擊。

　　不過(guò)，還是有一些方法可以保護(hù)你，這樣你就可訪問(wèn)那種要求通過(guò)網(wǎng)絡(luò)多次傳送敏感數(shù)據(jù)的資源。其中一種方法是使用一個(gè)安全的透明代理服務(wù)。任何種類的Web代理服務(wù)對(duì)于一般用戶的安裝和配置都是很困難的，不過(guò)如果你僅需要一個(gè)到達(dá)透明代理的加密連接而不需要其它措施，并且你使用了恰當(dāng)?shù)墓ぞ撸琖eb代理服務(wù)實(shí)現(xiàn)起來(lái)卻又相對(duì)簡(jiǎn)單。幸運(yùn)的是，這種“恰當(dāng)?shù)墓ぞ?rdquo;是很容易得到的。

　　下面的例子中，我們假定你正將家中一個(gè)Linux、BSD Unix、或商業(yè)類UNIX系統(tǒng)用作代理服務(wù)器。我們還假定你在家里擁有一個(gè)連續(xù)的互聯(lián)網(wǎng)連接，如通過(guò)一個(gè)典型的DSL連接實(shí)現(xiàn)的Internet連接。

　　服務(wù)器訪問(wèn)

　　設(shè)置訪問(wèn)你的透明代理的第一步是配置家庭網(wǎng)絡(luò)的防火墻，使其可以將一個(gè)SSH端口轉(zhuǎn)到你要用作透明代理的計(jì)算機(jī)上。你在家用計(jì)算機(jī)上擁有一個(gè)防火墻來(lái)提供安全的訪問(wèn)，對(duì)吧？如果你還沒有的話，那么筆者建議你先別讀本文了，先去改正這個(gè)問(wèn)題吧。在無(wú)防火墻的情況下直接連接到互聯(lián)網(wǎng)絕對(duì)是一個(gè)很糟糕的不安全做法。

　　配置防火墻實(shí)現(xiàn)端口轉(zhuǎn)發(fā)的過(guò)程在防火墻上的實(shí)現(xiàn)可以說(shuō)是千差萬(wàn)別。你可以購(gòu)買到的多數(shù)消費(fèi)者級(jí)別的路由器/防火墻設(shè)備提供了端口轉(zhuǎn)發(fā)的功能，用戶可以輕松搞定。如果你在某種老的硬件上運(yùn)行著自己的基于Linux或BSD Unix的防火墻，你可能需要知道自己如何完成設(shè)置。

　　我們假定你已經(jīng)配置了面向互聯(lián)網(wǎng)的防火墻，用以在端口2200上接收SSH連接，并將這些連接轉(zhuǎn)到你的內(nèi)部網(wǎng)絡(luò)上一個(gè)類Unix系統(tǒng)的22號(hào)端口上。你最好不要將防火墻用作代理服務(wù)器，雖然這是可能的，甚至實(shí)現(xiàn)起來(lái)很簡(jiǎn)單。你一要確信自己在代理服務(wù)器上保障SSH的安全性，可以安全地對(duì)付常見的強(qiáng)力口令攻擊。

　　你還必須保障你的服務(wù)器通過(guò)防火墻以HTTP方式訪問(wèn)互聯(lián)網(wǎng)。

　　最后，為了從某個(gè)外部網(wǎng)絡(luò)連接到你的家用網(wǎng)絡(luò)，你必須知道可以使用的IP地址。這可能需慎重對(duì)待。對(duì)于那些分配一個(gè)相對(duì)穩(wěn)定IP地址的服務(wù)供應(yīng)商來(lái)說(shuō)，你必須找出這個(gè)IP地址是什么，并確保不要丟失它。你可以將其保存到筆記本電腦中的一個(gè)文本文件中。

　　如果你的ISP經(jīng)常更改你的IP地址，你可能需要采取更為嚴(yán)格的措施。現(xiàn)在有許多服務(wù)可以將DNS域名解析為動(dòng)態(tài)的IP地址，例如，你可以在一個(gè)家中的Web服務(wù)器上指向一個(gè)域名，即使你的IP地址經(jīng)常改變。這是解決這個(gè)問(wèn)題的一個(gè)可能方案，也有可能是最簡(jiǎn)單的方案。在IP地址改變時(shí)，這些服務(wù)的一個(gè)客戶端需要安裝到家中的一臺(tái)電腦上，目的是通知服務(wù)的DNS服務(wù)器。

#p#副標(biāo)題#e#

　　加密的代理連接

　　使用一個(gè)到達(dá)家中Web代理加密連接過(guò)程的其余步驟是在客戶機(jī)上的完成的，有可能就是在你的筆記本電腦上，在這樣的機(jī)器上安裝一個(gè)一般的類似于Unix操作系統(tǒng)（如Debian GNU/Linux 或 FreeBSD）并不是難事。我們將假定你目前正使用這樣的一個(gè)操作系統(tǒng)。

　　如果你正使用一種動(dòng)態(tài)的DNS解析服務(wù)，你可能需要將下面例子中的IP地址用使正使用的域名來(lái)替換之。在此例中，為了方便起見，我們假定你使用的是靜態(tài)的IP地址25.10.101.250。創(chuàng)建你的加密的代理連接需要輸入類似于下面的一個(gè)命令

　　 $ ssh -D 8080 -p 2200 username@25.10.101.250

　　“username”部分應(yīng)當(dāng)用代理服務(wù)器上的一個(gè)普通的用戶賬戶名稱來(lái)替換之。這個(gè)命令在端口8080上創(chuàng)建了一個(gè)本地的透明代理，它可以將所收到的所有通信轉(zhuǎn)發(fā)到25.10.101.250的2200端口上。

　　你需要做的最后一件可以使一切正常運(yùn)行的事情就是告訴你的Web瀏覽器應(yīng)用程序?qū)λ械倪B接要使用本地系統(tǒng)上的8080端口。例如，在Firefox中，你可以打開“選項(xiàng)”對(duì)話框，單擊“高級(jí)”選項(xiàng)卡，再單擊其下的“網(wǎng)絡(luò)”選項(xiàng)卡，單擊“連接””標(biāo)簽框右側(cè)的“設(shè)置”按鈕，如圖：