据美国联邦调查局计算机安全学会一项调查，在过去的一年中，全美国64%的公司中的计算机系统，都曾经遭受来自网络的攻击，引起的财政损失数额巨大。在Internet高速发展的今天，网络已经成为大部分公司日常业务。如果情况还不能够得到改善，因受攻击而引起财政损失的情况会无法杜绝。对于个人用户来说，网络安全也同样重要。但是，由于种种原因，防火墙这类计算机网络的安全防护系统，在很长一段时间内只用于网络安全需求较高的商业环境，如大型计算机网络等。个人用户与小企业用户的网络安全并没有得到重视。现有计算机技术资料中，有关防火墙的介绍，大多局限在应用于大型计算机网络和商业系统上的防火墙产品上。目前，虽然很多个人计算机用户都开始为自己的计算机安装防火墙软件，瑞星、金山等国内知名的软件公司也开始进入个人防火墙市场，但因为用户缺少必要的网络知识，防火墙的安全防护作用往往不能得到真正地发挥。本文将从防火墙的基本原理及对现有个人防火墙的介绍入手，帮助个人计算机用户正确地选择和使用个人防火墙。

什么是防火墙？

以“防火墙”这个来自建筑行业的名称，来命名计算机网络的安全防护系统，显得非常恰当，因为两者之间有许多相似之处。首先，从建筑学来说，防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造，并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上。如开门窗时，必须用非燃烧体的防火门窗，以切断一切燃烧体。而在计算机系统上，防火墙本身需要具有较高的抗攻击能力，应设置于系统和网络协议的底层，访问与被访问的端口必须设置严格的访问规则，以切断一切规则以外的网络连接。其次，在建筑学上，建筑物的防火安全性，是由各相关专业和相应设备共同保证的。而在计算机系统上，防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上，原有的材料和布置的变化，将使防火墙失去作用，随着时间的推移，一些经过阻燃处理的材料，其阻燃性也逐步丧失。在计算机系统上也是如此，计算机系统网络的变化，系统软硬件环境的变化，也将使防火墙失去作用，而随着时间的推移，防火墙原有的安全防护技术开始落后，防护功能也就慢慢地减弱了。

当前流行的防火墙技术

除了对网络进行管理，设定访问与被访问规则，切断被禁止的访问以外，计算机系统上防火墙还需要分析过滤进出的数据包，监测并记录通过防火墙的信息内容和活动，并且对来自网络的攻击行为进行检测和报警。这些都是防火墙的基本功能，不论是物理性的防火墙硬件还是防火墙软件，都需要具备这五项基本功能。要想实现这些功能，先要对防火墙技术有所了解。当前流行的防火墙技术主要有以下三种：

过滤型

过滤型防火墙技术使用一种简单、有效的安全控制技术，通过对所有进出计算机系统的数据包进行检查，获得数据包头的内容，了解数据包的发送地址、目标地址、使用协议、TCP或者UDP的端口等信息，再将检查到的内容与用户设置的规则相比较，根据规则的匹配结果决定是否允许数据包的进出。该技术最大的优点是对用户透明，效率也很高。但也有几个严重的缺点，例如管理复杂，没有足够的记录与报警机制，无法对连接进行全面控制，对拒绝服务攻击、缓冲区溢出攻击等高层次的攻击手段无能为力。只限于对发送地址、目标地址和端口的进行初步的安全控制。

检测型

检测型防火墙技术与过滤型相类似，可谓是过滤型的加强版，又称为动态过滤型技术。该技术增加了控制连接的能力，通过状态检测，当有新建的连接时，会要求与预先设置的规则相匹配，如果满足要求，就允许连接，并在内存中记录下该连接的信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种技术的性能和安全性都比较高，当遇到需要打开新的端口时，可以通过检测应用程序的信息与安全规则，动态地打开端口，并在传输结束时自动关闭端口。如果结合用户认证方式，能够提供应用级的安全认证手段，安全控制力度更为细致。

代理型

代理型防火墙技术的关键，是用一个网关形式的代理服务，进行连线动作拦截。代理服务位于内部网络的用户和Internet之间，由它来处理两端间的连线方式，将用户对互联网络的服务请求，依据己制定的安全规则向外提交。而且，对于用户的网络服务请求，代理服务器并非全部提交给互联网上真正的服务器。因为服务器能依据安全规则和用户的请求，判断是否代理执行该请求，有些请求可能会被否决。这种控制机制可以有效地控制整个连线的动作，不会被客户或服务器端欺骗，在管理上也不会像过滤型防火墙技术那么复杂。而对于用户而言，代理服务器是透明，感觉与外部网络连接是直接的。由于完全阻断了内部网络与外部网络的直接联系，所以代理型防火墙技术相对比较安全。但处理效率比较差、无法直接支持新的应用是它的缺点。

如何选择个人防火墙

每种防火墙技术都存在各自的优缺点。实际上，市场上大部分防火墙都不仅仅使用上面的几种技术，它们还能提供许多新的功能技术，来提高防火墙的安全防护功能。例如通过将检测与拦截已知入侵手法的入侵检测功能，与用户设置安全策略集成，可以大大地提高防火墙的安全性能。即使安全策略允许所有通信流量传输，入侵检测功能也可检测和拦截极具攻击性的行为和企图。通过检测已知特洛伊木马运行特征与使用端口，防火墙可以实现特洛伊木马拦截功能，防止特洛伊木马从内部影响防火墙的安全性能。总的来说，使用不同技术的防火墙都有其适用的环境。要注意，最佳的企业级防火墙并不一定适用于个人计算机用户，用户必须根据自己的需求来进行选择。如大型企业一般使用采取过滤型技术的路由器之类硬件设备，作为大型计算机网络的第一道防线，这对个人计算机用户明显不适用。而企业网络选用的防火墙，一般集成多种防火墙技术，并利用代理型防火墙技术对用户进行控制。这是因为除了安全以外，用户的控制也是企业级防火墙的着眼点，而对个人计算机用户来说，明显没有这个必要。

在线安全检测。

要选择一个合适的个人防火墙，除了考虑防火墙是否提供足够的安全防护性能外，防火墙自身的稳定性，运行时系统资源使用的程度，防火墙的设置与管理是否方便、人机界面是否良好，是否具有可扩展可升级性等，都应该列入考虑的范围。在设置管理方面，提供多种预先设置的安全策略，让用户选择安全级别的个人防火墙比较适用于初级用户，而通过对计算机系统上的应用程序逐一指定网络使用规则，或需要自定义计算机系统网络安全策略的防火墙比较适用于中高级用户。由于国内计算机系统感染特洛伊木马的问题非常严重，使用扫描器搜索有安全漏洞的计算机的人也非常多，选用有检测特洛伊木马和入侵检测功能的防火墙较佳。另外防火墙升级性也很重要，特别是对于有检测特洛伊木马和入侵检测功能的防火墙更是如此。因为这类功能，都是通过对已知木马特征或入侵手法进行检测的，需要您不断更新相关的资料库，才能够起到防护作用。

个人防火墙介绍

现今流行的个人防火墙软件大约有20种，功能各异，使用的安全防护手段也不同，下面笔者选择了几款向大家介绍。

天网个人防火墙

天网个人防火墙在国内很受用户欢迎。其个人版最近已经上市。用户也可以到http://sky.net.cn免费下载测试版。该网站提供安全检测服务，免费为用户检测计算机系统的安全情况，并做出相应的指导。提供的帮助文件与在线使用手册内容丰富。软件提供多种预先设置的安全策略，用户可以自行选择安全级别，也支持用户自定义应用程序的安全规则、系统的安全策略，或自行对内部网络指定另外的安全策略。软件运行时占用的系统资源较少，提供特洛伊木马和入侵检测功能。但软件的可升级性较差，稳定性也一般。

蓝盾防火墙个人版

蓝盾曾在2001年中美网络攻击事件中扬名，当时有网站报称使用该品牌的网站防火墙后，未受黑客攻击。“蓝盾防火墙个人版”使用智能防御系统，可以有效地拦截各种探测、攻击手段，支持用户自定义安全规则，具有强大的反追踪功能。当受到攻击和探测时，能追踪攻击方计算机名、用户名、MAC IP地址等。但软件的使用界面一般，设置与管理功能较少，不具备扩展性与升级能力，帮助文件和使用手册也不够详细。

金山网镖

金山网镖是金山公司的个人防火墙产品，主要基于安全规则，通过高、中、低三种安全级别的设定，达到不同程度地保护用户安全的目的，能够通过对已知端口的检查，防御特洛伊木马。软件占用的资源少，稳定性较高，但功能简单，设置与管理功能明显不足，扩展与升级性一般。

设置安全规则。

瑞星个人防火墙

“瑞星个人防火墙”是瑞星公司的个人防火墙产品。软件基于规则设置，具备防御特洛伊木马和入侵检测功能。在受到攻击时，系统会自动切断攻击连接，发出报警声音并用闪烁图标提示用户。软件占用的资源较少，但稳定性较差。使用界面一般，警报与帮助文件、使用手册比较简单。

诺顿个人防火墙

“诺顿个人防火墙”是“诺顿互连网特警”的一个部分，它曾在国外的评比中获得最佳个人安全防护系统的荣誉。该软件性能稳定，提供自动识别程序，帮助用户设置计算机系统上应用程序的安全规则，允许用户为不同的网络区域指定安全策略，方便的在线升级功能，可以使诺顿个人防火墙更好地检测特洛伊木马和黑客入侵。软件的设置与管理方便，警报与帮助文件以及使用手册内容详细。一旦受到某个IP地址的攻击，会在30分钟内自动禁止所有来自该地址的连接请求，使对方无法试图使用其他方式攻击。但软件占用的系统资源较大，而且由于需要对应用程序逐一指定安全规则，容易对用户造成困扰。

截获特洛伊木马。

Lockdown

“Lockdown”早期主要用于防止特洛伊木马连接到网络上，通过用户逐一指定需要使用Internet的程序来定义安全规则实现。现已经发展为支持网络安全保护，监视Web、Cookie情况等众多安全防护功能的系统。软件性能稳定，有多个扩展的功能，支持用户监视计算机系统上打开的端口，监视网络连接的情况等。它可以在线升级，支持查杀计算机系统上的特洛伊木马文件。可以自动为用户设置部分常用应用程序的安全规则，管理上也分为简单和高级两种方式。但软件的界面让人感觉混乱。

CheckIt

CheckIt是一个专业防火墙，基于规则定义，通过应用程序安全规则与计算机系统安全策略、端口防护、信任IP防护和协议防护等多种方式，保护计算机网络的安全。该软件性能高、功能多，可以通过电子邮件向用户发送安全警报，可以查看计算机系统上所运行的服务。软件的网站提供一个系统测试服务，可以从多方面测试计算机系统的安全情况。软件的稳定性强，占用的系统资源也不多，但应用程序的安全规则定义起来比较麻烦，不支持自动识别功能，软件使用界面的友好性也较差。

BlackICE Defender

“BlackICE Defender”是国外有名的防火墙，软件使用智能防御系统，集成有非常强大的入侵检测和分析引擎，可以识别多种入侵技巧。通过监测网络端口和TCP/IP协议，可以拦截可疑的网络入侵。该软件的稳定强，警报的灵敏度和准确率非常高，系统资源占用率极少，支持在线更新。由于使用智能防御系统，用户设置与管理的功能较少。但不具备应用程序安全规则等安全防护手段。

个人防火墙的使用

一般情况下，用户应该选择智能化程度较高，能够自动识别可信任的网络应用程序，能够更新特洛伊木马和入侵检测功能资料库的防火墙，以避免频繁地设置安全规则，处理安全警报。另外在选择一个合适的个人防火墙以后，一般需要进行设置，才能够起到安全防保作用。这需要用户具备一定的网络知识，如TCP/IP协议的基础知识等。只有在对各种协议所提供的服务有一定了解之后，才能判断出应用程序或网络连接请求的危险程度，从而正确处理，正确设置安全规则。要知道，即使您使用的是智能化较高、支持自动识别应用程序或智能防御系统的防火墙，也避免不了自定义安全规则的工作。另外用户还需要了解一些黑客知识，如各种常见的攻击手段和名词，才能够正确的理解警报信息所报告的事件。而且，在处理安全警报时要有足够的耐心，仔细查看有关的事件内容，做出正确的判断。如果不加以了解，就允许应用程序访问网络或允许他人访问，也就失去了安装防火墙的意义。

为了使您的计算机网络系统足够安全，在使用装防火墙时，还需要配合病毒防护软件，以保护自己的计算机系统，不受到类似恶意修改注册表之类防火墙较难发现的攻击。另外还可以阻止蠕虫之类的网络病毒入侵。

经常阅读分析日志文件也是保证网络安全的重要方面。通过检查日志文件，可以确定是否有人在探测您，或使用一定规则的扫描器，在您的计算机系统上寻找安全漏洞。然后再决定是否则需要采用更严格的防火墙安全规则，以便过滤或是追踪这些探测行为，并采取相应的行动。