如今網(wǎng)絡(luò)防火墻已經(jīng)成為了各位網(wǎng)友上網(wǎng),但是又有對少人能讓他的網(wǎng)絡(luò)防火墻真正發(fā)揮他的作用呢?
許多人對于網(wǎng)絡(luò)防火墻的功能不加以設(shè)置,對網(wǎng)絡(luò)防火墻的規(guī)則不加以設(shè)置――這樣,網(wǎng)絡(luò)防火墻作用就會大大減弱……
網(wǎng)絡(luò)防火墻的默認設(shè)置一般都只能是普遍的設(shè)置,也就是說這樣的設(shè)置要大致適合成千上百用戶。試問,這樣的設(shè)置就一定會100%適合你嗎?肯定不可能。下面,我就以我自己實踐的經(jīng)驗,談?wù)勎易约旱目捶ā?/P>
功能設(shè)置篇
功能設(shè)置屬于外部設(shè)置。為什么這樣說呢?主要因為,這些設(shè)置不會改變規(guī)則中要求攔截和放行對象。
對于我這個經(jīng)常上網(wǎng)的寬帶用戶來說,隨機啟動是絕對不可少的。如果是撥號用戶或不常上網(wǎng)的用戶來說,防火墻的啟動有兩種方案:
方案一:上網(wǎng)前手動開啟防火墻(一般用戶)
方案二:用一個文件使防火墻和網(wǎng)絡(luò)連接一起啟動(高級用戶)
通常,網(wǎng)絡(luò)防火墻都會有一個安全等級選項。對于這個選擇,絕對不可以隨便選。因為,有不少用戶就是因為不根據(jù)實際情況選擇,而導(dǎo)致無法使用某些網(wǎng)絡(luò)資源或被黑客有機可乘。
像我這樣的固定ip的技術(shù)性局域網(wǎng)用戶來說,我認為設(shè)置為中等即可。因為,我們不像某些用戶那樣可以隨意改變自己的ip,所以我們的防御必須比動態(tài)ip用戶要高一些。
但是,是不是越高越好呢?不是。某些用戶,因為不切實際的把安全等級設(shè)置為高級,而又不會在規(guī)則中設(shè)置相應(yīng)網(wǎng)絡(luò)規(guī)則,而導(dǎo)致無法使用某些網(wǎng)絡(luò)資源,如在線直播等。
因此,我建議一般用戶將規(guī)則設(shè)置為中低即可。
至于其他報警設(shè)置等,我也不想多說了。但是,我還是要提醒一句,攔截一定要記錄在日志里。這樣才以便我們復(fù)查。
規(guī)則設(shè)置篇
ICMP IGMP炸彈都讓一些用戶感到心驚膽戰(zhàn)。所以,某些用戶索性禁止所有ICMP和IGMP。
這樣,顯然是不大好的設(shè)置。為什么呢?因為ICMP IGMP固然被人利用來做炸彈,但是總不能“寧可殺錯一萬,不能放走一個”的全部攔截。且不說別的,就說因為全部攔截ICMP IGMP所耗費的系統(tǒng)資源就數(shù)不勝數(shù)……
我建議,攔截的只需是ICMP的1型(即echo requset)就已經(jīng)足夠了。為什么呢?攔截ICMP的1型主要是為了防黑客用ping命令查詢你是否在線,所以此類ICMP必須攔截。
如果你還是擔(dān)心ICMP IGMP炸彈,不妨去微軟那打個補丁。
網(wǎng)絡(luò)防火墻的一大功能就是防木馬和防黑客,所以自己設(shè)置規(guī)則攔截木馬和阻截黑客是必要的。
你也許會說,網(wǎng)絡(luò)防火墻不是有默認的規(guī)則嗎?的確,有。但是,這只是最常見的木馬和漏洞。對于新的危害大的木馬和漏洞,恐怕原先的規(guī)則就不能勝任他的任務(wù)了。
那么,我們怎樣設(shè)置規(guī)則呢?
首先,我們必須利用反病毒廠家網(wǎng)站提供的信息。因為,那里詳細記載了許多病毒、木馬的分析結(jié)果和漏洞的資料。我認為哪怕你有分析木馬源程序和找出漏洞的能力,也沒必要任何事情都親力親為,因為木馬和漏洞是在太多了,全部代碼都自己分析,根本是不切實際的。
然后,就設(shè)置自己的防火墻。由于不同廠家網(wǎng)絡(luò)防火墻設(shè)置規(guī)則上有所不同,所以本文不可能詳細講解。
當(dāng)然,這需要一定專業(yè)知識。對于一般用戶來說,恐怕就有點困難了。怎么辦?不怕,可以借用別人的成果。例如,去論壇請教高手或直接發(fā)郵件詢問高手即可解決。
還應(yīng)該提醒大家的是防火墻規(guī)則不要重復(fù),更不要矛盾。重復(fù)的規(guī)則浪費系統(tǒng)資源;矛盾的規(guī)則讓防火墻左右為難,最終讓別人有機可乘……
網(wǎng)絡(luò)防火墻設(shè)置是一門永遠也講不完的學(xué)問,有興趣你也可以去研究研究。
新聞熱點
疑難解答
