5分钟安全顾问 - 针对家庭办公室用户的简单防火墙安装
以前,防火墻只用于大型企業(yè)網(wǎng)絡(luò)——而且,Internet連接也只用于大型網(wǎng)絡(luò)。現(xiàn)在情況發(fā)生了變化,高速、始終聯(lián)機(jī)的Internet連接 越來越常見,因此對(duì)于連接計(jì)算機(jī)的攻擊也越來越多。防火墻能夠屏蔽多種類型的惡意流量,從而幫助您防御這些攻擊。另外,防火墻還有助于避免您的計(jì)算機(jī)在您未知的情況下參與攻擊其他計(jì)算機(jī)。一個(gè)好消息,客戶級(jí)的防火墻能夠提供出色的安全性,并且不需要您是一個(gè)計(jì)算機(jī)安全性專家。實(shí)際上,Windows XP在操作系統(tǒng)中就包括了一個(gè)強(qiáng)健的防火墻(Internet連接防火墻),而設(shè)置這個(gè)防火墻只需一個(gè)單擊操作。
為什么我需要一個(gè)防火墻?
在我們具體討論為什么防火墻對(duì)于家庭安全性很重要之前,我們需要了解一些Internet通訊的背景。從很多方面來看,Internet都可以類比于電話系統(tǒng)。與使用電話進(jìn)行通訊不同的是,在Internet上我們通過計(jì)算機(jī)進(jìn)行通訊。每次您給其他人打電話時(shí),您都撥打一個(gè)特定的電話號(hào)碼;類似的是,每次您與其他計(jì)算機(jī)進(jìn)行通訊時(shí),您使用IP地址。每個(gè)通過Internet的通訊都必須附有一個(gè)IP地址。否則,接收計(jì)算機(jī)將不知道向何處發(fā)送它的回復(fù)。當(dāng)然,計(jì)算機(jī)和電話之間仍存在著許多差別。其中一個(gè)非常重要的差異是,在默認(rèn)情況下計(jì)算機(jī)總是會(huì)對(duì)呼叫做出應(yīng)答,不論是是否希望它去這樣做。例如,如果您接到一個(gè)來自"Hackers-R-Us(黑客呼叫我們)"的電話,您也許會(huì)讓電話一直響著而不去接它。但在默認(rèn)情況下,您的計(jì)算機(jī)沒有選擇——它必須對(duì)呼叫做出應(yīng)答。
?
圖1:在默認(rèn)情況下,當(dāng)您的計(jì)算機(jī)處于連接狀態(tài)時(shí),它必須偵聽來自Internet其他人的通訊,并對(duì)其接受到的通訊做出響應(yīng)
?
在使用調(diào)制解調(diào)器和通過撥號(hào)進(jìn)行連接時(shí),這還不是一個(gè)嚴(yán)重的問題。您的計(jì)算機(jī)通常只連接很短的一段時(shí)間。而且由于大部分撥號(hào)服務(wù)提供商的工作方式,決定了您的計(jì)算機(jī)在每次撥號(hào)時(shí)都會(huì)獲得不同的IP地址。這使得惡意攻擊者很難進(jìn)入您的計(jì)算機(jī)系統(tǒng),當(dāng)然也不是不可能的。但是,如果您擁有寬帶連接(例如DSL或電纜調(diào)制解調(diào)器),那么您的計(jì)算機(jī)將每時(shí)每刻都連接在Internet上。
?
圖2:一個(gè)無保護(hù)的家庭網(wǎng)絡(luò)。世界上的任何計(jì)算機(jī)都可以通過IP地址來與這臺(tái)計(jì)算機(jī)進(jìn)行通訊。
查看大圖。
?
防火墻能為我做些什么?如果有人在家里能夠幫助您過濾您的電話,情況會(huì)怎么樣呢?您可以告訴他完全不要理會(huì)除了來自可信任來源的其他電話。或者,您可以告訴他阻止來自指定來源的電話,或者來自家庭中某人的電話。在計(jì)算機(jī)網(wǎng)絡(luò)中就有這樣一個(gè)東西;它被稱為防火墻。
著名的專業(yè)術(shù)語詞典 對(duì)防火墻有一個(gè)很好的解釋:“一個(gè)具有特殊安全防范措施的專用網(wǎng)關(guān)機(jī)器,用于為網(wǎng)絡(luò)連接和撥入線路外提供服務(wù)。”防火墻有兩個(gè)有用的用途:它們過濾哪些來自外部世界的流量可以進(jìn)入您的網(wǎng)絡(luò);它們還控制您的網(wǎng)絡(luò)中哪些計(jì)算機(jī)可以發(fā)送流量到外部世界。?
?
硬件和軟件
設(shè)置防火墻的第一步十分簡(jiǎn)單:確定最符合您需求的硬件和軟件解決方案。防火墻產(chǎn)品有著很多不同的形式,從免費(fèi)可用的計(jì)算機(jī)軟件到防篡改的工業(yè)設(shè)備。無論您是否購買一個(gè)認(rèn)證的防火墻,也無論您購買了何種類型的防火墻,所有的防火墻都提供相同的基本特性:控制入站和出站流量。
在做出選擇前,您應(yīng)該首先回答下面的問題:
| 1. | 我是否正在運(yùn)行Windows XP? 如果是,那么您已經(jīng)擁有了一個(gè)內(nèi)置的防火墻——Internet連接防火墻(ICF),因此您可能不再需要購買其他附件。 |
| 2. | 我是否希望在多臺(tái)計(jì)算機(jī)之間共享我的Internet連接? 如果是,那么您一定已經(jīng)(或者將要)將您的計(jì)算機(jī)建成網(wǎng)絡(luò)了。在這種情況下,您可以使用 Windows 的Internet連接共享(ICS) 特性來共享這個(gè)連接。(如果您需要了解如何在Windows 2000中啟用ICS,請(qǐng)參閱分步操作指南。) |
| 3. | 我是否希望能夠共享我的連接,而不將某個(gè)計(jì)算機(jī)設(shè)為防火墻? 也許您希望共享您的Internet連接,但是您不想使用一臺(tái)特定的計(jì)算機(jī)作為網(wǎng)關(guān)——ICS只在運(yùn)行它的計(jì)算機(jī)開機(jī)并處于網(wǎng)絡(luò)中時(shí)才起作用。作為替代,您可以購買一個(gè)便宜的設(shè)備作為共享連接的網(wǎng)關(guān)——這些被稱為“Internet訪問路由器”或“家用網(wǎng)關(guān)”的設(shè)備幾乎都包括防火墻功能。 |
為了實(shí)現(xiàn)最大的安全性,您可以安裝一個(gè)硬件防火墻來保護(hù)您的家庭辦公室網(wǎng)絡(luò),然后將它與ICF或其他軟件防火墻進(jìn)行結(jié)合。軟件防火墻可以在每個(gè)單獨(dú)的計(jì)算機(jī)上進(jìn)行配置,因此如果需要,網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)可以擁有不同的網(wǎng)絡(luò)權(quán)限。另外,軟件防火墻在被保護(hù)的計(jì)算機(jī)違規(guī)發(fā)送數(shù)據(jù)時(shí),可以向您發(fā)出警報(bào)。通常,硬件防火墻非常靈活,而且功能強(qiáng)大;在您完成硬件防火墻的設(shè)置后,您可以不必再去管它,讓它靜靜地保護(hù)您。當(dāng)然,設(shè)置硬件防火墻可能會(huì)是一次困難的體驗(yàn)!兩種類型防火墻的結(jié)合能夠?yàn)槟峁┍葐为?dú)某種防火墻更出色的安全性。
?
設(shè)置ICF
Windows XP的Internet連接防火墻是在每個(gè)連接上配置的。這意味著如果在您的計(jì)算機(jī)上有多個(gè)訪問Internet的途徑(例如,有些時(shí)候使用調(diào)制解調(diào)器,其他時(shí)候使用DSL),那么您將需要為每個(gè)連接單獨(dú)地配置ICF。如果您正在使用寬帶連接,那么您將在“網(wǎng)絡(luò)連接”小程序中擁有一個(gè)它的圖標(biāo)(可能被標(biāo)記為“局域網(wǎng)連接”,也許還有數(shù)字接在后面)。下面是如何啟用ICF的方法:
| 1. | 導(dǎo)航到“開始”菜單,打開控制面板。 |
| 2. | 找到并打開網(wǎng)絡(luò)連接applet。 |
| 3. | 在任何您希望啟用ICF的連接上點(diǎn)擊右鍵,然后選擇屬性。 |
| 4. | 進(jìn)入“高級(jí)”選項(xiàng)卡,選中復(fù)選框來保護(hù)您的計(jì)算機(jī)(如果您需要進(jìn)一步的幫助,本文附帶有演示該過程的視頻錄像!!) |
圖3:指定網(wǎng)絡(luò)連接的高級(jí)設(shè)置屬性選項(xiàng)卡。
查看大圖。
?
這就是所有需要執(zhí)行的工作。現(xiàn)在,ICF 已經(jīng)啟用并在您的系統(tǒng)中運(yùn)行了。但是,請(qǐng)稍等!如果您由于某些原因希望允許其他計(jì)算機(jī)連接到您的計(jì)算機(jī)時(shí),情況會(huì)怎么樣呢?例如,您可能正在運(yùn)行一個(gè)Web服務(wù)器,希望家庭網(wǎng)絡(luò)以外的用戶能夠進(jìn)行瀏覽。ICF 允許您這樣做。只需要在網(wǎng)絡(luò)連接高級(jí)屬性選項(xiàng)卡中點(diǎn)擊設(shè)置按鈕(參見圖3)。 您可以從一個(gè)多種常用服務(wù)中進(jìn)行選擇,用于暴露給外部世界。請(qǐng)注意:如果您選擇這樣做,那么您將需要保持所暴露服務(wù)的最新安全性更新和補(bǔ)丁,否則您的計(jì)算機(jī)可能很容易受到攻擊。
行動(dòng) 如果您正在運(yùn)行Windows XP,請(qǐng)?jiān)谥鱅nternet連接中啟用ICF。然后,您可以跟以往一樣的使用Internet——請(qǐng)注意,ICF并不會(huì)干擾您使用Internet,即使它正在靜靜地保護(hù)著您。您還可以了解有關(guān) ICF 如何工作的更多細(xì)節(jié)信息。
?
其他防火墻
如果您現(xiàn)在沒有使用 Windows XP,或者您希望根據(jù)您的需要更好地控制(和了解)防火墻的工作,那么您可能需要購買單獨(dú)的個(gè)人防火墻軟件。有很多優(yōu)秀產(chǎn)品可以用來增強(qiáng)您計(jì)算機(jī)的安全性。例如,Zone Labs 的 Zone Alarm 不僅能夠過濾傳入連接,而且能夠過濾傳出連接。這意味著您可以指定計(jì)算機(jī)中的哪些程序可以通過Internet進(jìn)行通訊,哪些應(yīng)該被阻止這樣做。
?
設(shè)置家用網(wǎng)關(guān)
如果您擁有或計(jì)劃設(shè)置一個(gè)家庭網(wǎng)絡(luò),那么您將需要?jiǎng)?chuàng)建一個(gè)從防火墻到網(wǎng)絡(luò)其他部分的網(wǎng)關(guān)。如果您要在一臺(tái)特定的計(jì)算機(jī)上實(shí)施軟件防火墻,那么就意味著您需要在這臺(tái)機(jī)器上至少部署兩塊網(wǎng)卡。其中一塊網(wǎng)卡連接到公共接口(例如DSL或電纜調(diào)制解調(diào)器),而另一塊網(wǎng)卡連接到您的內(nèi)部網(wǎng)絡(luò)。然后,您需要配置這臺(tái)計(jì)算機(jī)來允許網(wǎng)絡(luò)的兩端進(jìn)行通訊。在Windows 2000和Windows XP中,ICS 都允許您這樣做。
但是,如果需要這么做,很多家庭用戶都決定購買專用的家用網(wǎng)關(guān)。這些設(shè)備直接插入到DSL路由器或電纜調(diào)制解調(diào)器中,提供防火墻和網(wǎng)絡(luò)集線器的功能。
?
圖4:具有家用網(wǎng)關(guān)的全功能家庭網(wǎng)絡(luò)。
查看大圖。
?
在與 ISP 進(jìn)行聯(lián)系時(shí),家用網(wǎng)關(guān)應(yīng)該被配置為取代運(yùn)行 ICS 計(jì)算機(jī)的角色。例如,如果您擁有靜態(tài)IP地址,那么您應(yīng)該將這個(gè)IP地址分配給網(wǎng)關(guān),而不是您的計(jì)算機(jī)。您可以將一個(gè)新的IP地址分配給您的計(jì)算機(jī),或者在更多情況下命令計(jì)算機(jī)向網(wǎng)關(guān)請(qǐng)求IP地址。與ICF一樣,網(wǎng)關(guān)通常能夠阻止或過濾指定的流量。例如,如果家庭Web站點(diǎn)在位于地下室的計(jì)算機(jī)中運(yùn)行,那么這個(gè)家用網(wǎng)關(guān)能夠無縫地將所有Web站點(diǎn)(HTTP)請(qǐng)求定向到地下室的計(jì)算機(jī)。
?
安全性有勝于無…
在這里提供了所有選擇中,唯一您可能出錯(cuò)的就是不選擇任何一種防火墻。不要認(rèn)為沒有人會(huì)攻擊您,隨著自動(dòng)攻擊工具的發(fā)展,您和每臺(tái)在Internet中的計(jì)算機(jī)一樣都處于被攻擊的風(fēng)險(xiǎn)中。不幸的是,存在一種強(qiáng)大的亞文化,人們往往錯(cuò)誤地認(rèn)為自己已經(jīng)十分了解網(wǎng)絡(luò)和計(jì)算機(jī)安全性如何對(duì)付數(shù)字入侵。而由于始終聯(lián)機(jī)連接的普及和容易使用,家用網(wǎng)絡(luò)將成為最容易的目標(biāo)。通過一些簡(jiǎn)單的防范措施,您將能夠保護(hù)您自己和您的數(shù)據(jù)。
轉(zhuǎn)載于:https://www.cnblogs.com/junzhongxu/archive/2008/07/09/1238660.html
總結(jié)
以上是生活随笔為你收集整理的5分钟安全顾问 - 针对家庭办公室用户的简单防火墙安装的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 关于Configuration.Conf
- 下一篇: 记忆中的坦克帽