在Web上进行冲浪感觉上与观看电视、收听广播或阅读杂志非常类似。它们之间的区别在于您本人将融入到Internet中,可以向使用周围其它计算机那样从您所访问的Web站点获取信息。
Internet与生俱来的两面性使其很容易被那些企图控制您的计算机、查看您的财务数据或删除您的个人文件的不法之徒加以利用。这些入侵者可能并非针对您个人而来。他们所实施的攻击通常是由自动运行的攻击工具所发起。通过宽带方式连接到Internet上的每个用户一天之内都会多次被置于监控状态。当我回到家中时,总是习惯于通过线缆调制解调器保持在线状态,几乎每天,我都会遭到二十多次来自Internet的非法攻击。
尽管如此,您也不必对Internet感到惊恐万分。就像您需要锁上家中的前门一样,对您的PC采取保护措施同样非常重要。为防止来自网络黑客的恶意攻击,对您的PC、家庭网络或小型企业网络环境实施保护的最有效措施便是使用防火墙。即便您本人并非计算机安全专家,应用在计算机上的防火墙产品也能为您提供良好的安全保障。
硬件防火墙产品通过守护Internet连接并过滤所有未经您明确允许的请求信息的方式对您的计算机和家庭网络进行保护。软件防火墙产品则直接安装在您的计算机上,并在请求信息到达您的计算机后对其进行过滤。
通常情况下,路由器是一台独立于线缆调制解调器或DSL调制解调器的单独设备--需要注意的是,大多数线缆调制解调器和DSL调制解调器无法为您的家庭网络提供任何保护。如果您并未针对安全特性支付任何额外费用,那么,您可能无法获得任何保护措施。如果您对调制解调器的安全特性不甚了解,请向您的Internet服务提供商(ISP)进行咨询,以了解您所使用的调制解调器能够提供何种保护级别。
与使用个人防火墙软件产品相比,使用具备防火墙功能的路由器设备具有多项优势。软件防火墙产品同一时刻只能对一台计算机进行保护,而为家庭网络中的所有计算机设置软件防火墙则是一项非常繁琐的工作。软件防火墙产品根本无法为连接到网络中的其它设备(诸如游戏系统或个人电视接收器)提供保护。此外,如果您在计算机上使用多种操作系统或对某种操作系统的测试版本进行评估,那么,您很容易忽略针对所有操作系统安装软件防火墙。
如果您决定使用硬件防火墙,请选择一种拥有足够端口数量、允许您直接连接所有计算机及其它网络设备的产品。如图1所示,在网络中连接一台防火墙设备就像在电话线上接入一台电话应答机一样简单。您只需拔下用以连接线缆/DSL调制解调器和PC的以太网接头,并将其插入到防火墙设备上。之后,依次将您的计算机及其它网络设备连接到防火墙设备上即可。硬件防火墙的配置工作并不像连接方式这样简单--我们将在稍后部分中进行讨论。
图1
以下是几种当前市场上比较流行的硬件防火墙产品: Linksys Routers 、 Netgear Routers 和 SMC Routers 。
既然Windows XP中已经免费提供了ICF,您为何还要单独购买第三方防火墙软件产品呢?ICF是为提供基本入侵防御功能而设计的,其中并不包含第三方防火墙应用程序所具备的高级功能特性。大多数第三方防火墙产品能够使您免受由那些侵犯个人隐私或允许网络黑客冒用他人计算机的软件所发起的攻击,而ICF则无法提供此类特性。此外,第三方防火墙程序可以在使用早期版本Windows操作系统的计算机上进行安装。需要注意的是,防火墙软件无法替代反病毒软件。您应当同时使用这两种类型的软件产品。
目前市场上比较流行的软件防火墙产品包括 ZoneAlarm 、 Tiny Personal Firewall 、 Agnitum Outpost Firewall 、 Kerio Personal Firewall 以及由Internet安全系统公司所开发的 BlackIce PC Protection 。大多数个人防火墙软件产品提供免费或试用版本,因此,您无需支付任何费用便可下载相应软件包并确定其是否比ICF更能满足您的需求。
ICF是一种免费产品,它可以针对Internet上的大多数不良内容为您的计算机提供保护。如果您拥有多台运行Windows XP的计算机,那么,您应当针对所有具备Internet连接能力的计算机启用ICF。此外,需要注意的是,ICF是以连接为单位进行配置的。这就意味着如果您可以通过多种方式从计算机上访问Internet(例如,在某些情况下使用调制解调器,而在其它情况下使用DSL),那么,您就必须针对每种连接方式独立配置ICF。
如果您的网络通过Internet连接共享(ICS)特性为多台计算机提供Internet访问能力,那么,您应当在共享Internet连接基础上使用ICF。您不必为并非直接连接到Internet的网络连接启用防火墙特性。结合使用Internet连接共享与ICF将为您提供显著的安全优势,其中包括:
然而,ICS与ICF的工作机制是相互独立的。如需获取更多关于Internet连接共享特性的信息,请参阅Expert Zone专栏作家Sharon Crawford所撰写的专栏文章: Internet连接共享 。
如需获取更多关于ICF的信息,请参阅Expert Zone专栏作家Barb Bowman所撰写的专栏文章 时刻保持警惕 ,并阅读或查看Support WebCast站点于2002年5月7日发表的题为 Microsoft Windows:Internet连接防火墙 的文章。
其它可能需要采用特定防火墙配置的应用程序包括Webcams、端到端文件共享软件、多用户联机游戏以及即时消息应用程序。(如需了解如何通过ICF为Windows Messenger文件传输功能提供支持,请参阅Barb Bowman所撰写的专栏文章: 时刻保持警惕 。)
绝大多数应用程序已被设计为能够在路由器与软件防火墙环境中良好运行,但为使某些应用程序能够实现正常通信,您可能仍需对防火墙进行相应的配置工作。值得庆幸的是,防火墙是一种非常常见的产品,所有需要使用防火墙的应用程序中均包含有关如何对防火墙进行配置的信息。
与硬件防火墙相比,软件防火墙的配置方式要简单得多,并且通常包含用以引导您完成配置工作的向导程序。许多第三方软件防火墙将在应用程序首次尝试访问Internet(无论使用面向内部还是面向外部的连接)时自动向您发出提示信息。您甚至可以通知诸如Microsoft Word之类的应用程序您无法获知已经访问过的Internet内容。
当针对某种应用程序配置防火墙时,您需要了解诸如“端口号”、“TCP端口”或“UDP端口”之类的专业术语。端口号是应用程序标注自身Internet通信内容所采用的方式,同时也是防火墙决定是否允许进行通信的主要依据。应用程序所提供的相关文档将说明需要打开哪些端口,而防火墙使用手册则提供了开启端口所应遵循的操作步骤。
图2显示了Windows XP Internet连接防火墙的配置屏幕。
图2
图3显示了第三方防火墙应用程序ZoneAlarm Pro的配置屏幕。
图3
在上述两个示例中,我正在Windows XP中启用使用3389号TCP端口的 远程桌面 特性。Windows XP Professional中所提供的远程桌面特性允许您从另一台基于Windows的计算机上访问指定计算机上的程序、资源及附件。如果远程桌面特性所涉及的计算机上启用了ICF,或者通信一方或双方处于第三方防火墙产品的保护之下,那么,您会在使用过程中遇到问题。除非开启3389端口以允许远程桌面功能进行通信,否则,您将无法建立所需连接。如需获取更多关于远程桌面特性的信息,请参阅 关注远程桌面与Windows XP 以及 知识库文章:如何在Internet连接防火墙中手工开启通信端口 。
如果您拥有一台独立的计算机或通过拨号方式与Internet建立连接,那么,软件防火墙将是您的理想选择。此时,您可以使用Windows XP中所包含的Internet连接防火墙。尽管硬件防火墙的配置方式比较复杂,然而,一旦设置完毕后,它将自动完成网络保护任务。通过与ICF或第三方防火墙软件产品结合使用的方式,硬件防火墙可以为您的网络提供最大安全性。
无论做出何种选择,当您在防火墙的保护之下安全工作时,您都将更加轻松惬意的享受Internet所带来的便利。
您是否掌握能够在保持Internet连接情况下确保Windows XP安全性的其它方法呢?如果是这样的话,请不吝赐教。如果您希望在今后的专栏文章中就某种安全性专题进行探讨,请通过电子邮件方式( tony@northrup.org )与我取得联系。
Expert Zone专栏作家Tony Northrup是一名Internet技术工程师、充满激情的摄影师以及众多有关Windows与Internet技术使用方法书籍与文章的作者。他的著作将帮助用户安全的使用Internet进行通信、共享与学习。