网络防火墙的设置
如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢?
许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置——这样,网络防火墙作用就会大大减弱……
网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户。试问,这样的设置就一定会100%适合你吗?肯定不可能。下面,我就以我自己实践的经验,谈谈我自己的看法。
功能设置篇
功能设置属于外部设置。为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象。
对于我这个经常上网的宽带用户来说,随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说,防火墙的启动有两种方案:
方案一:上网前手动开启防火墙(一般用户)
方案二:用一个文件使防火墙和网络连接一起启动(高级用户)
通常,网络防火墙都会有一个安全等级选项。对于这个选择,绝对不可以随便选。因为,有不少用户就是因为不根据实际情况选择,而导致无法使用某些网络资源或被黑客有机可乘。
像我这样的固定ip的技术性局域网用户来说,我认为设置为中等即可。因为,我们不像某些用户那样可以随意改变自己的ip,所以我们的防御必须比动态ip用户要高一些。
但是,是不是越高越好呢?不是。某些用户,因为不切实际的把安全等级设置为高级,而又不会在规则中设置相应网络规则,而导致无法使用某些网络资源,如在线直播等。
因此,我建议一般用户将规则设置为中低即可。
至于其他报警设置等,我也不想多说了。但是,我还是要提醒一句,拦截一定要记录在日志里。这样才以便我们复查。
规则设置篇
ICMP IGMP炸弹都让一些用户感到心惊胆战。所以,某些用户索性禁止所有ICMP和IGMP。
这样,显然是不大好的设置。为什么呢?因为ICMP IGMP固然被人利用来做炸弹,但是总不能“宁可杀错一万,不能放走一个”的全部拦截。且不说别的,就说因为全部拦截ICMP IGMP所耗费的系统资源就数不胜数……
我建议,拦截的只需是ICMP的1型(即echo requset)就已经足够了。为什么呢?拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线,所以此类ICMP必须拦截。
如果你还是担心ICMP IGMP炸弹,不妨去微软那打个补丁。
网络防火墙的一大功能就是防木马和防黑客,所以自己设置规则拦截木马和阻截黑客是必要的。
你也许会说,网络防火墙不是有默认的规则吗?的确,有。但是,这只是最常见的木马和漏洞。对于新的危害大的木马和漏洞,恐怕原先的规则就不能胜任他的任务了。
那么,我们怎样设置规则呢?
首先,我们必须利用反病毒厂家网站提供的信息。因为,那里详细记载了许多病毒、木马的分析结果和漏洞的资料。我认为哪怕你有分析木马源程序和找出漏洞的能力,也没必要任何事情都亲力亲为,因为木马和漏洞是在太多了,全部代码都自己分析,根本是不切实际的。
然后,就设置自己的防火墙。由于不同厂家网络防火墙设置规则上有所不同,所以本文不可能详细讲解。
当然,这需要一定专业知识。对于一般用户来说,恐怕就有点困难了。怎么办?不怕,可以借用别人的成果。例如,去论坛请教高手或直接发邮件询问高手即可解决。
还应该提醒大家的是防火墙规则不要重复,更不要矛盾。重复的规则浪费系统资源;矛盾的规则让防火墙左右为难,最终让别人有机可乘……
网络防火墙设置是一门永远也讲不完的学问,有兴趣你也可以去研究研究。
相关推荐
-
网络防火墙的设置技巧
如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢? 许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置--这样,网络防火墙作用就会大大减弱-- 网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户.试问,这样的设置就一定会100%适合你吗?肯定不可能.下面,我就以我自己实践的经验,谈谈我自己的看法. 功能设置篇 功能设置属于外部设置.为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象. 对于我
-
网络防火墙的设置
如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢? 许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置--这样,网络防火墙作用就会大大减弱-- 网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户.试问,这样的设置就一定会100%适合你吗?肯定不可能.下面,我就以我自己实践的经验,谈谈我自己的看法. 功能设置篇 功能设置属于外部设置.为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象. 对于我
-
六大主流防火墙正确设置技巧
诺顿个人防火墙 在软件的主界面左侧点击"Internet区域控制"选项,在右侧窗口进入"信任区域"选项卡,点击"添加"按钮,打开"指定计算机"对话 框.在该对话框中选择"使用范围",然后在下面输入允许访问的起始地址和结束地址即可. 例如,果冻办公室的IP地址范围是172.22.1.2-172.22.1.253,现在只要将起止IP地址输入,点击"确定"按钮使设置生效之后,在这个区 段内的所
-
网络防火墙 ZoneAlarm 7.0.337.000 Pro 附注册器下载
ZoneAlarm 专业的网络防火墙,使用很简单,你只要在安装时填入你的资料,安装完后重新开机,ZoneAlarm 就会自动启动,帮你执行任务.你可以自由设置所有程序是否允许连接Internet,利用此种方法来防治一些来路不明的软件偷偷上网.最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻.你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间,这么好用的软件你一定要亲自使用才能感觉到它的威力. 最新更新:New and improved Zon
-
ADSL Modem防火墙的设置方法
很多ADSL Modem都集成了防火墙功能,能够保护用户系统不受拒绝服务(DoS)攻击和来自局域网内的一些恶意攻击.并可设定对攻击进行监控,一旦发现问题时也能以E-mail的形式通知用户.如果你所在的局域网是通过ADSL Modem共享上网的,开启它的防火墙是一个不错的选择,虽说它的功能没有专业防火墙强大,但这毕竟是一顿"免费的午餐". 下面以一款采用Globespan芯片的ADSL Modem为例,来详细说明怎样配置和管理ADSL Modem内置防火墙. 一.防火墙的设置 进入ADS
-
IOS 网络请求中设置cookie
IOS 网络请求中设置cookie 1. ASIHTTPRequest ASIHTTPRequest 是一款极其强劲的 HTTP 访问开源项目.让简单的 API 完成复杂的功能,如:异步请求,队列请求,GZIP 压缩,缓存,断点续传,进度跟踪,上传文件,HTTP 认证. cookie的支持 如果 Cookie 存在的话,会把这些信息放在 NSHTTPCookieStorage 容器中共享,并供下次使用.你可以用 [ ASIHTTPRequest setSessionCookies:nil ] ;
-
Cisco网络防火墙配置方法
由于网络防火墙默认禁止所有的通信,因为,只有对其进行适当配置后,才能实现正常的网络通信. 1.进入全局配置模式 ciscoasa# configure terminal 2.选择欲作为网络防火墙外部接口的网络接口 ciscoasa(config)# interface interface-id 3.为该接口指定IP地址和网掩码 ciscoasa(config-if)# 4.将该接口指定IP地址和网掩码 ciscoasa(config-if)# nameif outside INFO:Securi
-
FTP服务器的防火墙通用设置规则介绍
此FTP服务器的防火墙通用设置规则适用于Windows(包括服务器版和桌面版).Linux服务器以及可能的其他操作系统. 在配置好FTP服务器后将发起FTP服务的程序(如Windows的svchost.exe或FileZilla server.exe)而不仅仅是端口允许通过防火墙,程序(此处特指Windows的svchost.exe)不用带参数. svchost.exe这个例外,必须通过控制面板中的 " 允许程序通过 Windows 防火墙通信" ,使得 "Windows 服
-
CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法
CentOS在7.0之前貌似都是用的iptables为防火墙的,在7.0以后都是firewall,其实我也不知道为嘛,但是大部分人都是用iptables,so我也用它了. 下面通过本文给大家分享CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法,具体内容详情如下所示: 操作系统环境:CentOS Linux release 7.0.1406(Core) 64位 CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙步骤. 1.关闭firew
-
Win2003 自带防火墙的设置图文教程
"冲击波"等蠕虫病毒特征之一就是利用有漏洞的操作系统进行端口攻击,因此防范此类病毒的简单方法就是屏蔽不必要的端口,防火墙软件都有此功能,其实对于采用Windows2003或者WindowsXP的用户来说,不需要安装任何其他软件,因为可以利用系统自带的"Internet连接防火墙"来防范黑客的攻击. "冲击波"等蠕虫病毒特征之一就是利用有漏洞的操作系统进行端口攻击,因此防范此类病毒的简单方法就是屏蔽不必要的端口,防火墙软件都有此功能,其实对于采用W