Internet与生俱来的两面性

Internet与生俱来的两面性使其很容易被那些企图控制您的计算机、查看您的财务数据或删除您的个人文件的不法之徒加以利用。这些入侵者可能并非针对您个人而来。他们所实施的攻击通常是由自动运行的攻击工具所发起。通过宽带方式连接到Internet上的每个用户一天之内都会多次被置于监控状态。当我回到家中时，总是习惯于通过线缆调制解调器保持在线状态，几乎每天，我都会遭到二十多次来自Internet的非法攻击。

尽管如此，您也不必对Internet感到惊恐万分。就像您需要锁上家中的前门一样，对您的PC采取保护措施同样非常重要。为防止来自网络黑客的恶意攻击，对您的PC、家庭网络或小型企业网络环境实施保护的最有效措施便是使用防火墙。即便您本人并非计算机安全专家，应用在计算机上的防火墙产品也能为您提供良好的安全保障。

何为防火墙？

防火墙是一种专门用于防止来自Internet或所处网络环境中的非法访问的安全系统。防火墙的基本工作原理是对多种类型的恶意网络通信内容进行筛选。此外，防火墙还可以防止您的计算机在您本人不知情的情况下被他人利用并参与针对其它计算机的攻击。防火墙产品可以通过软件、硬件或二者相结合的方式加以实现，这篇专栏文章将帮助您正确选择适合自身网络环境的防火墙产品。

硬件防火墙产品通过守护Internet连接并过滤所有未经您明确允许的请求信息的方式对您的计算机和家庭网络进行保护。软件防火墙产品则直接安装在您的计算机上，并在请求信息到达您的计算机后对其进行过滤。

硬件防火墙

为获取最大限度的安全保护，对于那些需要对网络环境加以保护的家庭用户而言，最为可靠的方式便是购买一台具备防火墙功能的路由器。此类路由器设备所扮演的角色远远超出了单纯的防火墙--它们可以对多台计算机实施网络互连，允许这些计算机共享单一Internet连接，甚至对无线网络互连方式提供支持。如果您拥有多台计算机并且使用始终处于在线状态的宽带连接，那么，路由器/防火墙设备将为您的家庭网络带来巨大便利，并且能够将所有计算机连接到Internet上。如果您需要将笔记本电脑从家庭环境带入到工作环境中，那么，防火墙甚至会成为实现企业安全策略的必要设备。

通常情况下，路由器是一台独立于线缆调制解调器或DSL调制解调器的单独设备--需要注意的是，大多数线缆调制解调器和DSL调制解调器无法为您的家庭网络提供任何保护。如果您并未针对安全特性支付任何额外费用，那么，您可能无法获得任何保护措施。如果您对调制解调器的安全特性不甚了解，请向您的Internet服务提供商（ISP）进行咨询，以了解您所使用的调制解调器能够提供何种保护级别。

与使用个人防火墙软件产品相比，使用具备防火墙功能的路由器设备具有多项优势。软件防火墙产品同一时刻只能对一台计算机进行保护，而为家庭网络中的所有计算机设置软件防火墙则是一项非常繁琐的工作。软件防火墙产品根本无法为连接到网络中的其它设备（诸如游戏系统或个人电视接收器）提供保护。此外，如果您在计算机上使用多种操作系统或对某种操作系统的测试版本进行评估，那么，您很容易忽略针对所有操作系统安装软件防火墙。

如果您决定使用硬件防火墙，请选择一种拥有足够端口数量、允许您直接连接所有计算机及其它网络设备的产品。如图1所示，在网络中连接一台防火墙设备就像在电话线上接入一台电话应答机一样简单。您只需拔下用以连接线缆/DSL调制解调器和PC的以太网接头，并将其插入到防火墙设备上。之后，依次将您的计算机及其它网络设备连接到防火墙设备上即可。硬件防火墙的配置工作并不像连接方式这样简单--我们将在稍后部分中进行讨论。

图1

以下是几种当前市场上比较流行的硬件防火墙产品：Linksys Routers、Netgear Routers和SMC Routers。软件防火墙

与硬件防火墙相比，软件防火墙通常具备较低的价格并且更加便于配置。Windows XP中免费为您提供了一种称为Internet连接防火墙（ICF）的防火墙软件。软件防火墙产品无需对当前电缆连接方式进行任何改动。基于您所选择的产品类型，软件防火墙能够为您提供路由器防火墙所无法实现的功能特性，例如保护您的计算机免受间谍软件（某些用以针对您的Web浏览习惯进行攻击的免费软件中所包含的组件）监视和特洛伊木马程序（一种表面上伪装完成某项工作，背地里却执行某种恶意操作--如盗取密码信息--的计算机程序）攻击。如果您通过笔记本电脑实现移动办公，那么，软件防火墙将成为您的必备产品--您需要随时随处确保Internet连接安全性，而硬件防火墙只能在家庭环境中为您提供保护。

既然Windows XP中已经免费提供了ICF，您为何还要单独购买第三方防火墙软件产品呢？ICF是为提供基本入侵防御功能而设计的，其中并不包含第三方防火墙应用程序所具备的高级功能特性。大多数第三方防火墙产品能够使您免受由那些侵犯个人隐私或允许网络黑客冒用他人计算机的软件所发起的攻击，而ICF则无法提供此类特性。此外，第三方防火墙程序可以在使用早期版本Windows操作系统的计算机上进行安装。需要注意的是，防火墙软件无法替代反病毒软件。您应当同时使用这两种类型的软件产品。

目前市场上比较流行的软件防火墙产品包括ZoneAlarm、Tiny Personal Firewall、Agnitum Outpost Firewall、Kerio Personal Firewall以及由Internet安全系统公司所开发的BlackIce PC Protection。大多数个人防火墙软件产品提供免费或试用版本，因此，您无需支付任何费用便可下载相应软件包并确定其是否比ICF更能满足您的需求。

如何在硬件防火墙与软件防火墙之间进行选择？

正如您不会在停放汽车后将钥匙留在点火开关上一样，您不应在缺少个人防火墙保护的情况下与Internet 建立连接。无论使用何种类型的计算机或网络，总有一款防火墙产品能够满足您的需求。

如果您拥有一台独立的计算机或通过拨号方式与Internet建立连接，那么，软件防火墙将是您的理想选择。此时，您可以使用Windows XP中所包含的Internet连接防火墙。尽管硬件防火墙的配置方式比较复杂，然而，一旦设置完毕后，它将自动完成网络保护任务。通过与ICF或第三方防火墙软件产品结合使用的方式，硬件防火墙可以为您的网络提供最大安全性。

无论做出何种选择，当您在防火墙的保护之下安全工作时，您都将更加轻松惬意的享受Internet所带来的便利。