防火墙的安装注意事项

23977201

5]1. 防火墙实现了你的安全政策

　　
　　防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保 护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略---写成书面的并且被大家所接受。
　　2. 一个防火墙在许多时候并不是一个单一的设备
　　除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序，你同样得配置其他机器（例如你的网络服务器）来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。
　　3. 防火墙并不是现成的随时获得的产品
　　选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。
　　4. 防火墙并不会解决你所有的问题
　　并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免首所有那些它能检测到的攻击。
　　5. 使用默认的策略
　　正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。
　　6. 有条件的妥协，而不是轻易的
　　人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。
　　7. 使用分层手段
　　并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。
　　8. 只安装你所需要的
　　防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。
　　9. 使用可以获得的所有资源
　　不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源：例如厂商信息，我们所编写的书，邮件组，和网站。
　　10. 只相信你能确定的
　　不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。
　　11. 不断的重新评价决定
　　你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。
　　12. 要对失败有心理准备
　　做好最坏的心理准备。机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。
[编辑本段]
防火墙排名：　　第一名 ZoneAlarm Pro （Zone Labs公司出品的网络防火墙）
　　ZoneAlarm Pro 是一款优秀的网络防火墙软件，使用很简单，界面易于浏览，具有很强的反探测和预防网络入侵的工具。只要在安装时填入你的资料，安装完后重新开机，ZoneAlarm 就会自动启动，帮您执行任务。其主要功能模块包括：
　　◆获奖的防火墙，可以定义信任和不信任的网络和区域，定制高级防火墙规则。
　　◆应用程序控制，控制应用程序是否可以访问网络，提供服务和发送邮件。
　　◆反间谍，保护您的计算机免于间谍软件的危害。（lrj6.x 版新增）
　　◆反病毒软件监控，监控您的计算机是否安装了反病毒软件及是否为最新的病毒定义。
　　◆邮件保护，保护计算机免受邮件恶意代码和病毒的威胁。
　　◆隐私保护，可以控制 Cookies，过滤广告，防止恶意的活动代码的威胁。
　　◆ID锁，保护敏感数据和隐私数据不被窃取和发送。
　　◆警报和日志，记录系统安全活动日志并提示安全状态。
　　第二名 Outpost Firewall Pro 防火墙
　　Agnitum 公司是一家高质素的保安软体开发商，其 Outpost Firewall PRO 及 Outpost Office Firewall 可以为个人电脑及办公室网路提供必须的 Internet 网路保护 ， Agnitum Outpost Firewall是一款短小精悍的网络防火墙软体， 它的功能是同类 PC 软体中最强的。 Outpost Firewall 是一个整合多种防火墙功能的产品，功能包括广告和图片过滤、 内容过滤、 电子邮件附件过滤等， 能够预防来自 Internet 的网络攻击、 浏览器攻击、 后门程式、 窃密软体、广告软体和其他的网络威胁。 该软体不需配置就可使用， 这对於许多新手来说， 更简单易用。 对於一般用户而言， Outpost Firewall所加入的内容感应提示， 在输入资料时更能获得理想的保护效果， 因为很多时防火墙失效是因为用户设定不当， 当您设定 Outpost Firewall 时， Smart Advisor 功能会对新程式及数据交换发出提问， 及教您如何设定防火墙规则，正确的回答问题可给您最好的保护。
　　具有反间谍软体功能 ，配合其自行开发的反木马程式 Tauscan软体模组，令黑客无从入手。 面对身份盗窃的威胁，Outpost Firewall 加入 ID封锁功能，利用拦截及例外清单配合字串过滤，有关重要的身份数据及敏感资料，例如信用卡数字、登入资料及密码、hpwsj人名及地址等资料，将不会通过即时通讯软体、电子邮件等外泄给黑客 ，有关设定也很方便。另外任何假冒的通讯请求及未经授权的无线网路连接请求也会被拒绝，盗用宽频网路的问题可得以解决。
　　在扫描速度方面， Outpost Firewall 较 Norton 或 ZoneAlarm 等防火墙更佳。
　　第三名 Norton Personal Firewall
　　中文简称诺顿个人防火墙
　　，大名鼎鼎的symantec公司出品，是一款智能型防火墙，可确保电脑的安全，提供多层防御机制，可自动<拦截入侵行为，可以控制所有传入和传出的联网通信，避免黑客和隐私威胁，保护个人资讯安全。不仅是功能完备的防火墙，更提供入侵防护与隐私权控管的功能。诺顿个人防火墙结合了这些功能，使用简单，安装后立即拥有强大的防护能力。
　　Norton Personal Firewall 2006 是Norton Internet Security 2006 组件。安装前请仔细阅读说明。
　　第四名 Norman Personal Firewall
　　一款优秀的个人防火墙，有针对电邮系统及新闻组的防毒功能，检查电邮附件时若发现电邮软件有异动，就会即时禁止，对公司网络环境中最易被入侵的电邮伺服器提供更大的保护。更新快人一步 ,特快扫描引擎 .SSB扫描功能
　　,管理设定容易，通过控制网络连接、Active-Xs、Java-VB-Scripts、Java
　　Applets、cookies、共享等来控制安全，可以IP过滤，防止特洛伊木马入侵
　　第五名 SurfSecret Personal Firewall
　　一款功能超强的网络安全工具，提供三个级别保护
　　* 紧急防护上锁功能。
　　* 自订上锁条件 - 屏幕保护程序启动时，或者定时上锁。
　　* 过滤器设定精灵 - 可以指定允许哪些 IP 透过哪个 Port 联机到您的计算机。
　　* 支持 IP 地址范围、IP 地址屏蔽。
　　* 可以在封包被阻挡后发出提示，并且自动计次。
　　* 纪录最后10个联机到本机的 IP.lrj
　　第六名 McAfee Personal Firewall Plus （卖咖啡）
　　McAfee公司的一个出色的个人防火墙软件，是基于ConSeal Private Desktop, Signal 9 Solutions的获得的国际认证个人防火墙软件包。它可以保护你免受来自Internet的黑客和木马程序等攻击。它的特色是：保护个人信息、即时报警、详细事件记录、阻塞特定的互联网系统、多层安全、24小时自动更新，还有就是整合了hackerwatch.com的资源，使得你能查看详细的攻击信息。
　　该软件在首次安装完成后将自动弹出注册界面，您可以立刻注册或在以后手动更新时注册。您只需使用有效邮箱和密码(无需邮箱真实密码)来创建升级账号，该软件系统将根据您的注册账号进行自动或手动升级，并且不定期的使用该账号对您的软件重新校验。
　　您可以随时通过点击托盘处的“更新”来手动更新软件，在出现的页面输入框中输入您的账号，系统将自动启动升级！
　　第七名 BullGuard
　　反病毒和木马的工具!他可以全面保护你的电脑免受病毒的危害!不论病毒是通过Email,浏览器,或者是像KaZaA这样的P2P软件和聊天工具,他都可以全面拦截！
　　第八名 Sygate Personal Firewall Pro
　　就是以前的Sybergen Secure Desktop，程序功能强大，可以自由调节安全级别，从全无到最高，适合于那些网络中的单机用户来防止入侵者非法进入系统。作为一个基于主机的解决方案，该软件提供了多层保护的防火墙安全环境，可以有效地防止入侵者和黑客的侵袭。与真正的防火墙不同的是，Sygate Personal Firewall能够从系统内部进行保护，并且可以在后台不间断地运行。另外，该软件还提供有安全访问和访问监视功能，并可向你提供所有用户的活动报告，当检测到入侵和不当的使用后，能够立即发出警报。
　　第九名 Injoy Firewall
　　是一款国内很少人知道的强力防火墙，界面帅气专业，拥有一些家用防火墙程序软件所没有的增强服务器的功能，如远程监控桌面条和入侵保护。防火墙保护性能优良，国内网站少有下载。
　　第十名 BlackICE PC Protection
　　ISS安全公司出品的一款著名的入侵检测系统，拥有强大的检测，分析以及防护功能，系统资源占用率极少，而且很容易使用，可以侦察出谁在扫你的端口，在它们进攻我们的电脑之前拦截，保护我们的电脑不受欺害，可以收集入欺者的IP地址、计算机名-网络系统地址、硬件地址-MAC地址，有日志供我们查看！作为个人网络防火墙来说，绝对是你的首选！
　　BlackICE PC
　　Protection是一款强大的防止非法入侵及防火墙工具。该软件通过分析进出电脑的信号，并用该信号建立随机的防火墙以保护电脑。它可以防止大多数类型的非法入侵，并可以按照需要自定义相关设置等。lrj ,BlackICE PC Protection的3.6版包括新的整合协议分析模块9(PAM),支持程序级协议分析和7层协议侦测技术，还提高了APM的可用性和修复错误，该版本软件更易于使用.
　　通过COM口连接设置安易防火墙
　　一、连接防火墙和PC
　　首先，需要先把PC和安易防火墙连接在一起，这样才能进行管理。安易防火墙都附带一条串口电缆，供网管员进行本地管理。先把串口电缆的一端插在防火墙的COM口上，串口线的另一端插在普通PC的串口上，此时要记住电缆插在COM1还是COM2口上，以后设置会用得着。
　　二、设置“超级终端”
　　连接好后，接通交换机和电脑电源并开机。Windows 98/Me/2000都提供“超级终端”服务，如果没有可以在“添加/删除程序”中的“通讯”组内添加。你也可以使用其他符合VTY100标准的终端模拟程序。
　　使用WINDOWS Hypertrm
　　在第一次运行“超级终端”时，系统默认为通过Modem连接，会要求用户输入连接的区号，随便输入一个即可。如果你的电脑中没有安装Modem，则会提示“在连接之前必须安装调制解调器，现在就安装吗？”，这里点击[否]按钮。
　　程序运行之后会提示你建立一个新的连接名称，我们在这里输入“Ezsafe”。点击[确定]按钮后，会出现一个窗口，要求用户选择连接时使用哪一个端口。这里一定要注意，应该选择你连接的PC串口的序号。如果不太清楚，可以用“Com1”和“com2”分别试试。
　　串口号后，点击[确定]按钮，会出现一个COM口属性的窗口，里面有波特率、数据位、奇偶检、停止位、流量控制等参数设置。这么多参数，如何设置呢？其实不要紧，只要点击一下[还原默认值]按钮，就会调用最保守的参数设置。不必再花费时间研究这些参数。再把波特率调整到9600或者38400登陆界面