网络防火墙的设置技巧

【 tulaoshi.com - 防火墙的作用 】

　　如今网络防火墙已经成为了各位网友上网，但是又有对少人能让他的网络防火墙真正发挥他的作用呢？

　　许多人对于网络防火墙的功能不加以设置，对网络防火墙的规则不加以设置——这样，网络防火墙作用就会大大减弱……

　　网络防火墙的默认设置一般都只能是普遍的设置，也就是说这样的设置要大致适合成千上百用户。试问，这样的设置就一定会100%适合你吗？肯定不可能。下面，我就以我自己实践的经验，谈谈我自己的看法。

　　功能设置篇

　　功能设置属于外部设置。为什么这样说呢？主要因为，这些设置不会改变规则中要求拦截和放行对象。

　　对于我这个经常上网的宽带用户来说，随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说，防火墙的启动有两种方案：

　　方案一：上网前手动开启防火墙（一般用户）

　　方案二：用一个文件使防火墙和网络连接一起启动（高级用户）

　　通常，网络防火墙都会有一个安全等级选项。对于这个选择，绝对不可以随便选。因为，有不少用户就是因为不根据实际情况选择，而导致无法使用某些网络资源或被黑客有机可乘。

　　像我这样的固定ip的技术性局域网用户来说，我认为设置为中等即可。因为，我们不像某些用户那样可以随意改变自己的ip，所以我们的防御必须比动态ip用户要高一些。

　　但是，是不是越高越好呢？不是。某些用户，因为不切实际的把安全等级设置为高级，而又不会在规则中设置相应网络规则，而导致无法使用某些网络资源，如在线直播等。

　　因此，我建议一般用户将规则设置为中低即可。

　　至于其他报警设置等，我也不想多说了。但是，我还是要提醒一句，拦截一定要记录在日志里。这样才以便我们复查。

　　规则设置篇

　　ICMP IGMP炸弹都让一些用户感到心惊胆战。所以，某些用户索性禁止所有ICMP和IGMP。

　　这样，显然是不大好的设置。为什么呢？因为ICMP IGMP固然被人利用来做炸弹，但是总不能“宁可杀错一万，不能放走一个”的全部拦截。且不说别的，就说因为全部拦截ICMP IGMP所耗费的系统资源就数不胜数……

　　我建议，拦截的只需是ICMP的1型（即echo requset）就已经足够了。为什么呢？拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线，所以此类ICMP必须拦截。

　　如果你还是担心ICMP IGMP炸弹，不妨去微软那打个补丁。

　　网络防火墙的一大功能就是防木马和防黑客，所以自己设置规则拦截木马和阻截黑客是必要的。

　　你也许会说，网络防火墙不是有默认的规则吗？的确，有。但是，这只是最常见的木马和漏洞。对于新的危害大的木马和漏洞，恐怕原先的规则就不能胜任他的任务了。

　　那么，我们怎样设置规则呢？

　　首先，我们必须利用反病毒厂家网站提供的信息。因为，那里详细记载了许多病毒、木马的分析结果和漏洞的资料。我认为哪怕你有分析木马源程序和找出漏洞的能力，也没必要任何事情都亲力亲为，因为木马和漏洞是在太多了，全部代码都自己分析，根本是不切实际的。

　　然后，就设置自己的防火墙。由于不同厂家网络防火墙设置规则上有所不同，所以本文不可能详细讲解。

　　当然，这需要一定专业知识。对于一般用户来说，恐怕就有点困难了。怎么办？不怕，可以借用别人的成果。例如，去论坛请教高手或直接发邮件询问高手即可解决。

　　还应该提醒大家的是防火墙规则不要重复，更不要矛盾。重复的规则浪费系统资源；矛盾的规则让防火墙左右为难，最终让别人有机可乘……

　　网络防火墙设置是一门永远也讲不完的学问，有兴趣你也可以去研究研究。