一.Kaspersky(卡巴斯基)防火墙（Kaspersky Anti-Hacker）
1.设置简单，和Kaspersky(卡巴斯基)杀毒软件一起使用没有冲突，与ZoneAlarm Pro version:5.5.094.000运行也可以，没见死机。
2.内存占用小，刚启动时6M左右，最小时1M不到。
3.可以查看正在打开的端口，正在连接网络的应用程序及连接地址、端口。
4.可以为每个程序定义规则（阻止、允许）及安全类型（浏览、文件传送、信息发送等等）。发现有程序连接时会提示，并允许选择自定义。
5.可以定义包过滤规则。默认已经定义一些。不过自定义的包过滤规则有点简单。在一条规则定义几个端口时不太方便（只能选单个或区间）。
6.本地连接的时候没有提示。比如通过代理软件上网，浏览器再通过代理软件连接的时候不会对浏览器连接网络进行提示。
二、ZoneAlarm Pro 5.5.094
1.资源占用较大，两个进程，zlclient.exe占用4M左右， vsmon.exe占用9M左右。启动还算快。和Kaspersky(卡巴斯基)杀毒软件共处相安无事，和Norton防病毒软件一起工作正常。和Sygate Personal Firewall可能有冲突。
2.默认设置还算简单，按默认设置即可阻止很多可疑连接。
3.功能强大，广告过滤，邮件过滤都不错。可对每一程序设置连接规则。
4、防火墙的专家设置项可以完成难度比较大的规则设置，设置规则还算简单，根据参考可以自定义完成。
5、升级到6.0后资源占用变得很大，启动响应比较慢。
6、对于网关的ARP保护并没有效果，同局域网机器可以使用ARP欺骗进行攻击致使无法上网。使用专家项设置IP和MAC绑定也无效果。经查ZoneAlarm 存在一个安全问题，允许未授权用户在本地局域网安全设置下连接到该防火墙保护的主机。

三、F-Secure Distributed Firewall 5.5
与天网发生冲突，安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。最后没有使用就删除了，可惜。

四、Outpost Firewall pro 2.7.492.416
1、与天网发生冲突，安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。删除sknfw.sys后再重新安装则没有出现这个问题。
2、与ZoneAlarm Pro有冲突，可以同时安装两个，不过只能运行其中一个，不然出现死机。与McAfee.VirusScan.Enterprise.v80共处没有出现什么冲突。
3、启动后只有一个进程outpost.exe，Outpost占用内存极小，刚启动时20M左右，最小化正常后只有2M左右。
4、功能强大，设置复杂。不过按其默认设置基本上可以满足上网要求。
5、可以查看正在连接网络的应用程序、连接IP、端口，系统正在打开的端口。已经发送和接收的TCP，UDP数据流量。阻止的各项统计。
6、支持插件，默认安装了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用较多的是active content（包括pop-up windows,activeX controls,javascri pts,vbscri pts,cookies等的过滤设置）和ads（广告过滤，关键字列表设置）。
7、ads（广告过滤）功能不错，基本上可以过滤大部分广告图片，页面清爽不少，不过误杀还是比较多。
8、防火墙设置包括LAN设置，ICMP设置和全局RULES设置，应用程序设置。前几天设置基本上按默认设置已经满足需要，应用程序的设置已经自带了一些默认的规则（包括浏览器、ICQ、FTP等规则），可以参考这些规则进行更改。还可以对应用程序组件进行控制。
9、发现运行Robocop.exe的时候竟然没有进行拦截，看来网络执法官是有点霸道。不知道outpost为何默认就让Robocop.exe通过免检。或者是我哪里设置不对，还没找到原因。
10、发现如果边上网听歌边浏览的时候听歌时竟然有点卡，原来是下载广告过滤包后列表KEYWORD太多的缘故，使用默认的则没有出现这个问题。
五、blackice 3.6 col
1、与Outpost Firewall pro同时运行没有发生冲突，与与McAfee.VirusScan.Enterprise.v80配合还不错，没有冲突。安装后不用重新启动。
2、设置简单，基本上没有过多设置，安装后会扫描所有程序加入已知程序列表，可在列表中设置阻挡。不过修改不方便，不能从列表中删除。以后对于未知程序运行会提示。
3、占用内存比较大，运行后三个进程：blackice.exe（主程序）大概占5M左右，app.exe（应用程序保护） 大概占3M左右，blackd.exe（防火墙引擎）大概占10M左右。发现如果没有停止防火墙而退出主程序，防火墙引擎和程序保护进程并没有退出。
4、防火墙规则设置比较简单，可以通过设置IP，Port，Type来进行过滤。
5、觉得功能没有ZoneAlarm Pro强，自定义控制不是很多。对于程序访问网络的控制项少。占用资源比较多。
六、look ’n’ stop 2.05p2
1、占用内存很小，见过的占用内存最小的防火墙，启动后一个进程looknstop.exe，最小后正常后只有1M左右。可以监视正在连接的IP，Port。不过如果进行配置后甚至可以监视经过的每一个数据包（包括包发送接收的物理地址、包类型、协议、包长度、数据等）
2、基于数据包过滤，所以要正确配置必须对网络连接的数据包有一些了解。有世界第一的防火墙之称，不过从技术上看只是简单的数据包过滤，因此可以自由定义。定义好了确实是可以对通行的信息全面控制。总体上看配置比较难，有几个需要注意的地方如果配置不错则连不上网。
3、可以对ARP数据进行控制，这点应该比其它防火墙功能更为强大。因此通过设置和网关的ARP接收发送后可以屏蔽Robocop的攻击。这一功能确实强大，足以局域网内的ARP欺骗攻击。试过才知道它的强大。
4、有应用程序过滤，如果安装后存在程序连接网络的时候并没有出现提示窗口的问题，这是因为其驱动安装有错，如果出现此问题要安装其提供的patch。不过应用程序过滤的设置项不多，只能对连接的IP，Port进行过滤。对于数据包类型按网络过滤规则过滤。
5、支持插件功能。不过默认没有安装什么插件。也不支持广告过滤之类的功能。
6、与outpost同时运行没有发现冲突，和macafee配合也不错。
7、如果安装过天网，还是会与sknfw.sys存在冲突而安装后蓝屏无法启动。可见天网的作用，难道它就是为了让人不能装别的防火墙。进安全模式卸载后即可解决此问题（XP-SP2），XP－SP1可能还要自己删除sknfw.sys。
8、对中文支持还不是很好，应用程序过滤中应用程序的目录名最好是E

Outpost防火墙应用技巧攻略
常在河边走，哪有不湿鞋。经常上网的朋友大都有过被黑客、病毒攻击的经历，于是自己的一些诸如邮箱账号、QQ密码、论坛账号等重要数据就存在被窃取的危险。而在更多的情况下，则往往会发生系统不断重启、黑屏甚至系统瘫痪等现象。

　　为了防止这些恶意攻击，一款好用的防火墙自然必不可少，比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具，它便是“Outpost Firewall”。它除了能够预防来自Cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 Internet潜在的危险外，还可以利用插件去让功能得到进一步拓展，使该款产品更加超值。
下载地址:http://down1.tech.sina.com.cn/do ... 04-03-16/6789.shtml
　　一、Outpost Firewall的基本应用方法

将该防火墙安装后，软件会要求进行“自动配置个人防火墙规则”，一般选择“自动配置防火墙规则”即可；而在下一步的“网络配置”中，一般可以选择“使用自动配置规则”，当完成这些后，必须重新启动操作系统。

步骤1 重启系统后，它就开始发挥作用了，在启动过程中若某个程序需要连接网络，那么便会弹出有关为该程序创建规则的对话框。在该对话框中，我们可以从对话框的标题名称或者页面上的程序名称，了解到该程序到底为何种程序。

步骤2 如果该程序值得信任，用户也对它非常了解，那么只要点选“允许这个应用程序的所有动作”选项，就可以让该程序顺利通过防火墙的验证；若是用户得知该程序具有一定的危害性，那么不妨点选“挡截这个应用程序的所有动作”选项，这种该程序就不会再与网络发生连接关系。

步骤3 若是用户对该程序不甚了解，那么不妨单击“本次允许”或“本次挡截”按钮，去临时允许或拦截该程序的联网动作。当了解了该程序的具体属性及作用后，便可为其设置永久性的动作。当设置完成后，单击“确定”按钮即可。
　二、更改防火墙运行模式
之所以会弹出上述创建规则对话框，这是因为“Outpost Firewall”默认的运行模式是“规则向导模式”。如果你对频频弹出的创建规则对话框感到厌烦，那么不妨双击系统中的防火墙图标打开其主界面，依次打开主菜单“选项→运行模式”选项命令，在弹出的对话框中便可更改防火墙的运行模式。

其中单击“禁用模式”选项，便可让防火墙失去作用，当前系统便不会受到防火墙的任何防护；单击“允许大部分通讯模式”选项，那些没有被禁止的通讯都可允许出入本机系统；单击“禁止大部分通讯模式”选项，则可让所有没有被允许的通讯禁止出入本机系统；而单击“停止通讯模式”，就可以使本机与网络的连接完全断开。
　　三、为程序“量身定做”通讯方式
在选择防火墙的运行模式时，我们发现“允许的通讯”和“禁止的通讯”这些表述，那么到底在哪里才能设定这些“允许的通讯”和“禁止的通讯”呢？为了便于说明，我们以禁止和允许QQ应用程序进行通讯为例。
1、禁止QQ通讯
步骤1 在开启的主界面中，依次打开“选项→应用程序”选项命令，在出现的对话框中选中“禁止的应用程序”选项。
步骤2 单击“添加”按钮，在打开的窗口中选择QQ主程序，即可将QQ程序添加到“禁止的应用程序”中，然后单击“确定”按钮。此时若再次登录QQ，便会发现QQ已经无法登录了。

2、允许QQ通讯
步骤1 若打算让QQ登录成功“复活”，那么可在“禁止的应用程序”区域中选中QQ程序，而后单击“删除”按钮，就可以将QQ程序从“禁止的应用程序”移除。
步骤2 选中“部分允许的应用程序”选项，单击“添加”按钮，选择QQ主程序进行添加，在添加时会弹出一个规则对话框，只要单击“确定”按钮，便可将QQ程序添入其中。
当再次运行QQ程序时，便会弹出一个“为QQ.EXE创建规则”对话框。如果你只打算暂时运行QQ，那么可单击“本次允许”按钮，这样便可临时让QQ登录。当QQ成功登录后，我们会发现QQ的程序名称仍保留在“部分允许的应用程序”区域中。

如果在创建规则时，直接点选“允许这个应用程序的所有动作”选项，单击“确定”按钮，那么在“部分允许的应用程序”中就不会再发现QQ的主程序名称，此时它会被移至“信任的应用程序”区域中。
而用户若是需要一直应用某个程序去进行通讯，那么不妨选择“信任的应用程序”选项，单击“添加”按钮直接将该程序加入其中，这样便不会再弹出要求为该程序创建规则的对话框了。
以上是“Outpost Firewall”的基本应用方法，当学会这些方法后，新手朋友们就可以借助它为自己的电脑构筑一道防火墙了。
　　四、关闭危险的端口
如今网络上各种病毒层出不穷，特别是一些蠕虫病毒，当这些蠕虫成功入侵后，便会打开某些端口，继续侵入网络内其他主机，并对本机系统造成种种危害。而我们的应对之法便是将那些端口关闭，就可以杜绝病毒的入侵。在此以关闭“冲击波”病毒攻击的常用端口“135”为例。
步骤1 依次打开主界面“选项→系统”选项命令，在打开的页面中会看到“系统和应用程序全局规则”区域。

步骤2 在该区域中单击“设置”按钮，在跳出的“系统和应用程序全局规则”的对话框中单击“添加”按钮，此时又会出现“规则”对话框。
步骤3 在该对话框的“选择规则要处理的事件”区域中，分别勾选“当指定的协议是”和“当指定的方向是”前的复选框，此时会在“规则描述”区域中出现相应的规则。
Outpost防火墙的规则描述，类似Outlook
步骤4 单击“当协议是”后的“未定义”链接，由于我们打算关闭的135端口，所以可以在弹出的“选择协议”对话框中点选“TCP”；
单击“并且当方向是”后的“未定义”链接，由于病毒是从外入侵本机，所以可以“方向”对话框中点选“入站：从远程主机到你的计算机”，单击“确定”按钮完成设置。
步骤5 此时再次返回“规则”对话框，勾选“当指定的本地端口是”前的复选框，单击“规则描述”区域中“并且当本地端口是”后的“未定义”链接，此时会打开“选择本机端口”对话框。在该对话框中的输入框里输入打算关闭的端口号，比如“135”。若想添加其它端口号，只要在输入时用逗号将它们分隔开即可。
步骤6 在“选择规则要处理的事件”区域中，还可勾选“当指定的时间间隔是”选项，然后单击“规则描述”区域中“并且活动时间段是”后的“未定义”链接，在弹出的“规则有效时间”对话框中，可指定在某个时间段内才执行该项安全规则。
步骤7 在“规则”对话框的“选择规则要响应的操作”区域中，勾选“禁止”和“全状态检测”前的复选项，在“规则名称”一栏中输入自定义的名称，比如“关闭135”，最后单击“确定”按钮就可以了。
　五、通透了解网络通讯情况
如果用户想获悉自己的系统中进行了哪些通讯以及打开了哪些端口，在“Outpost Firewall”中同样可以非常方便地了解到相关信息。
在主界面的左侧列表中，单击“网络活动”选项，即可在下方展出当前正在通讯的程序。在程序中单击鼠标右键，便可在出现的右键菜单中为它设定相应的通讯规则，同时在右侧窗口中，则会显现出更为详尽的网络活动信息。而选中进行通讯的程序，还可以单独列出有关该程序的进程名称、远程地址、远程端口等更为详细的网络活动信息。

单击左侧列表中的“已打开的端口”选项，就会在其下方展开当前打开的端口号及协议，在右侧窗口中则可以列出包括进程名称、本地地址、本地端口和协议等详细的信息。双击进程名称，还可以列出该进行的开始时间及持续时间。
　六、强大的插件功能
在浏览网页、收发邮件时，可能会存在能对系统造成危害的某些脚本和附件，对此我们可以利用“Outpost Firewall”默认的插件去做好预防工作。
在程序主界面中，依次打开主菜单“选择→插件设置”选项，在出现的对话框中选择“Attachment Quarantine”和“Active Content”选项，然后单击“启动”按钮，就可以使过滤插件生效。这样便可有效防范某些脚本和附件的危害了。

“Outpost Firewall”所自带的插件共有六项，我们还可以对它们进行一系列设置去实现自己要求，比如为防止使用本机的用户去搜索那些不健康的网页，我们可以对搜索关键词进行过滤。
步骤1 在“Outpost Firewall”主界面中，单击左侧列表中的“插件”选项，在展开的下级菜单中选择“内容过滤”选项。在该选项上单击鼠标右键，选择右键菜单上的“属性”选项。

步骤2 在弹出的“内容属性”对话框中单击“过滤关键字”选项卡，勾选页面中的“过滤包含指定关键字的内容”，在文本框中输入打算过滤的关键字后，单击“添加”按钮，最后单击”“确定”按钮结束。
当此时再利用所禁止的关键字进行搜索时，便会出现“因为含有不受欢迎的内容，该页面禁止访问。”的提示。
除了以上所述之外，“Outpost Firewall”还有不少有用的功能，因篇幅所限，在此就不一一列举了，有兴趣的朋友不妨试用一番。

Look_’n’_Stop_V2.05_sp2，够专业，防护性能一流！（用过的都知道），且资源占用少！但是设置过于繁琐，软件界面古板保守！如使用网上下载的IP策略，则对此策略的安全性无法验证，谁知道有没有漏洞！而默认的策略则无法提供高要求
建议：对网络安全要求极高，电脑里有极重要的个人资料，或网络安全的发烧友外不建议使用！特别是初学者不适合使用
Outpost Firewall Pro2.7，防护性一流！对安全非常负责！兼顾了安全和设置的简便，界面亲切！资源占用较少！但对个别软件网络行为的支持较欠缺，网络安全和网络使用不可见的
建议：适合对网络安全要求极高，电脑里有极重要的个人资料，或网络安全的发烧友！防黑客性能极高！不建议要求充分发挥网络功能者使用（例如网游爱好者，BT发烧友等），适合大部分要求高安全的家庭网络用户！
ZoneAlarm Pro防火墙，防护性一流！设置极端方便，基本上安装后不需设置，但资源占用较大！遗憾是没有官方中文版，只有汉化版本！
建议：适合对网络安全要求较高，电脑里有较重要的个人资料，或网络设置要求简便，最好拿到就能用者！不建议电脑配置较低（128MB内存及以下者慎用）网络安全发烧友（主要是没有挑战性），可以说是一款老少咸宜的网络安全防护软件，推荐大部分用户使用！
冰盾抗DDOS防火墙标准防护版3.1，防护性较好！但冰盾设计的目的是作为网站服务器的防火墙，所以对家庭用户的防护性能一般，对资源的要求较低！只有英文和汉化版本，暂时我还没有发现官方中文版！
建议：配置较低，对网络安全要求一般，或对网络服务要求极高的家庭用户，和小型网站服务器适用！推荐低配置对安全要求一般用户使用！
Mcafee9.0防火墙和诺顿防火墙都属于安全套件，须与之杀毒软件配套方能发挥最大性能！
建议：使用两款杀毒软件的用户可选相应的防火墙配套使用，安全性较好！但McAfee比诺顿资源占用小，但防护性McAfee比诺顿较好！
天网防火墙、瑞星防火墙，国产防火墙中的佼佼者，界面友好方便，设置均非常方便！但对比国外防火墙在技术上还有所欠缺！适合配合卡巴斯基防御网络攻击工作
建议：对网络安全要求一般，防火墙设置要求简洁方便的网络初学者！不适合对网络要求较高或有重要的个人资料者！（特别提示：我和我同寝哥们曾不止一次的侵入校网中使用这两款防火墙的同学电脑，虽然其记录了我们的入侵，但均被突破！）
排名以下的软件防护性均一般，不推荐网络安全要求较高者使用，这些防火墙只能说防君子不能防小人，防菜鸟不能防高手！给使用者一个心理的安慰！当然我并不是吹嘘自己如何厉害哦篇幅有限我就不再做出评价！
以下排名的防火墙大家如有要求，我可以再对要求的防火墙做出个人评价！
以上评价纯属个人意见，如有错误希望大家不吝指教！但不要人身攻击哦！
应部分网友要求，现将余下的几款防火墙补充说明一下
Tiny Firewall Pro，防护性能一般，但操作性较差，每一个程序运行都要再经过他的询问批准，加大了使用者的工作负担，有点像一个耳背的老人，每一句话都要讲二次，岂不是让人很累！

网络安全卫士2005 5.2*版，界面美观，但是属于败絮其中型，完全无法做到防火墙的任务，只能算一个辅助工具！但就这样也比有的网友提出的“裸奔”强！
卡巴斯基反黑客、江民反黑墙，大家可能很奇怪，我为什么把他的排名放得这么靠后！其实卡巴斯基功能还是不错的，但使用过的人一定知道其实这可说是一个鸡肋产品！不知有多少人使用过卡巴斯基杀毒软件5.0227及以上版本，我是用过的，而且现在还一直在使用！它的功能中有一项“防御网络攻击”，其实已包括了反黑客现有的所有功能！试问一个杀毒软件的一项附属功能提取出来后还单独占用资源，是否合算！而且，杀软中这项功能是在不断升级中的，而防火墙是使用覆盖安装来实现升级的，所以可以说可操作性太差！而安全性方面，正如我前面评论江民反黑客的话，一个优秀的杀毒软件公司想在防火墙业打开一片天地是不容易的，也是要摸索前进走很远路的，其实细心的用户就会发现它们还是有自知之明的，反黑客，这只是防火墙的一个功能之一，虽然是最大的一个功能，但其也是防火墙这一产品的一部分而以，为什么不说是防火墙呢？因为他们也知道它离防火墙还有差距！这其实也跟ZoneAlarm想在希望在防火墙中整合杀毒软件一样，多元化的发展是以后商业的趋势，但作为我们用户、消费者，用就要用最好的，技术完备的，是不是，虽然有可能我们是不花钱的！呵呵
天霸防火墙 V6.0 个人版，没什么说的，唯一的优势是界面亲切，还是免费的！但这好比是Beta产品，正因为他是Beta才免费，但我们在网上可以找到更好的“正式版”，而且最重要的是我们也不花钱，这样他还有什么优势可言！呵呵，想想我们还真无赖，要用最好的，但就是不花钱！我都感到自己无耻！
熊猫防护专家，其是整合在杀软中的，我使用的是一个同寝的方正电脑随机配送的“方正熊猫入侵防护个人版2005”，说实话实在没什么可比性，当初要不是冲着“熊猫”这个可爱的名字我估计我都不会去试！但我很失望，因为它得杀软可以说处了速度一无是处，而防护也是表现一般，所以早早的被我淘汰出局！（这也是我是用最短的防护软件，历时七天）
金山网镖，没什么太多说的，外观设计华丽，设计思想严重落后，漏洞虽不能说百出，但也是“洞洞装”的完美代表!

一、防火墙的基本分类
1．包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。
本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被放行。
多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。
最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。
建立包过滤防火墙规则的例子如下：
l 对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。
l 在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许与Web连接使用相同端口的连接，所以它并不是十分安全。
l 丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，从而减少IP欺骗性的攻击。
l 丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能会绕过已有的安全程序。通过忽略源路由信息，防火墙可以减少这种方式的攻击。
2．状态/动态检测防火墙
状态/动态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
当包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息，则该包被认为是无状态的；它仅是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。
例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。
一个状态/动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接被关闭为止。只有未被请求的传入通信被截断。
如果在防火墙内正运行一台服务器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的技术。例如，可以将防火墙配置成只允许从特定端口进入的通信，只可传到特定服务器。如果正在运行Web服务器，防火墙只将80端口传入的通信发到指定的Web服务器。
状态/动态检测防火墙可提供的其他一些额外的服务有：
l 将某些类型的连接重定向到审核服务中去。例如，到专用Web服务器的连接，在Web服务器连接被允许之前，可能被发到SecutID服务器（用一次性口令来使用）。
l 拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。
跟踪连接状态的方式取决于包通过防火墙的类型：
l TCP包。当建立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包，允许响应及随后再两个系统之间的包，直到连接结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。
l UDP包。UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。
3．应用程序代理防火墙
应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。
另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。
例如，一个用户的Web浏览器可能在80端口，但也经常可能是在1080端口，连接到了内部网络的HTTP代理防火墙。防火墙然后会接受这个连接请求，并把它转到所请求的Web服务器。
这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。
代理防火墙通常支持的一些常见的应用程序有：
l HTTP
l HTTPS/SSL
l SMTP
l POP3
l IMAP
l NNTP
l TELNET
l FTP
l IRC
应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。
4．NAT
讨论到防火墙的主题，就一定要提到有一种路由器，尽管从技术上讲它根本不是防火墙。网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet上。
NAT经常用于小型办公室、家庭等网络，多个用户分享单一的IP地址，并为Internet连接提供一些安全机制。
当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再打开连接。一旦建立了连接，在内部计算机和Web站点之间来回流动的通信就都是透明的了。
当从公共网络传来一个未经请求的传入连接时，NAT有一套规则来决定如何处理它。如果没有事先定义好的规则，NAT只是简单的丢弃所有未经请求的传入连接，就像包过滤防火墙所做的那样。
可是，就像对包过滤防火墙一样，你可以将NAT配置为接受某些特定端口传来的传入连接，并将它们送到一个特定的主机地址。

5．个人防火墙
现在网络上流传着很多的个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。
一旦安装上个人防火墙，就可以把它设置成“学习模式”，这样的话，对遇到的每一种新的网络通信，个人防火墙都会提示用户一次，询问如何处理那种通信。然后个人防火墙便记住响应方式，并应用于以后遇到的相同那种网络通信。
例如，如果用户已经安装了一台个人Web服务器，个人防火墙可能将第一个传入的Web连接作上标志，并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等，个人防火墙然后把这条规则应用于所有传入的Web连接。
基本上，你可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口。不再是计算机的操作系统直接通过网卡进行通信，而是以操作系统通过和个人防火墙对话，仔细检查网络通信，然后再通过网卡通信。

二、各类防火墙的优缺点
1．包过滤防火墙
使用包过滤防火墙的优点包括：
l 防火墙对每条传入和传出网络的包实行低水平控制。
l 每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
l 防火墙可以识别和丢弃带欺骗性源IP地址的包。
l 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。
l 包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括：
l 配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。
l 为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。
l 可能还有其他方法绕过防火墙进入网络，例如拨入连接。但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。
2．状态/动态检测防火墙
状态/动态检测防火墙的优点有：
l 检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。
l 识别带有欺骗性源IP地址包的能力。
l 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。
l 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的FTP连接，允许返回的FTP包通过。
l 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。
l 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。
状态/动态检测防火墙的缺点：
状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。
3．应用程序代理防火墙
使用应用程序代理防火墙的优点有：
l 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。
l 通过限制某些协议的传出请求，来减少网络中不必要的服务。
l 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。
使用应用程序代理防火墙的缺点有：
l 必须在一定范围内定制用户的系统，这取决于所用的应用程序。
l 一些应用程序可能根本不支持代理连接。
4．NAT
使用NAT的优点有：
l 所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因，网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。
l 如果因为某种原因公共IP地址资源比较短缺的话，NAT可以使整个内部网络共享一个IP地址。
l 可以启用基本的包过滤防火墙安全机制，因为所有传入的包如果没有专门指定配置到NAT，那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。
使用NAT的缺点：
NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全，但它也是一些类似的局
限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接，就像它可以穿过包过滤防火墙一样的容易。
注意：现在有很多厂商开发的防火墙，特别是状态/动态检测防火墙，除了它们应该具有的功能之外也提供了NAT的功能。
5．个人防火墙
个人防火墙的优点有：
l 增加了保护级别，不需要额外的硬件资源。
l 个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。
l 个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网，可能一个硬件防火墙对于他来说实在是太昂贵了，或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息，比如IP地址之类的信息等。
个人防火墙的缺点：
个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住，真正的防火墙应当监视并控制两
个或更多的网络接口之间的通信。这样一来的话，个人防火墙本身可能会容易受到威胁，或者说是具有这样一个弱点，网络通信可以绕过防火墙的规则。
好了，在上面我们已经介绍了几类防火墙，并讨论了每种防火墙的优缺点。要记住，任何一种防火墙只是为网络通信或者是数据传输提供了更有保障的安全性，但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时，我们也要加固系统的安全性，提高自身的安全意识。这样一来，数据和通信以及Web站点就会更有安全保障。

个人防火墙专题
近几年，世界范围内的黑客活动越来越猖獗，网络安全问题也变得越来越严峻。普通的防病毒软件对付黑客攻击束手无策，不能有效地保护用户的电脑。在这种情况下，防火墙软件无疑是用户的最佳选择，它可以抵御外来的黑客攻击，保护网络安全，使用户的隐私不被泄漏出去。
防火墙作为网络安全的一种防护手段，已经得到了广泛的应用，它可以识别并屏蔽非法请求，有效地防止跨越权限的数据访问。它既可以是一个简单的过滤器，也可能是精心配置的网关，其原理是一样的，都是监测并过滤所有内部网络和外部网络之间的信息交换。以“防火墙”这个来自建筑行业的名称来命名电脑网络的安全防护系统，足以证明它对黑客具有足够的预防能力。
对于个人用户来说，选择防火墙软件并不能像选择服务器以及大型网络系统的防火墙那样，以安全防御能力为首要条件，而应该从安全防御能力、易用性、软件稳定性等许多方面来考虑。由于目前流行的个人防火墙软件产品的安全防御能力都不会太差，因此，我们更多应该侧重软件的功能和易用性，并根据自己的实际情况进行选择。

选择的标准
对网络通讯协议和通讯端口进行限制，阻断可能的入侵途径，是对防火墙软件功能的基本要求。但面对日益严峻的网络安全问题，这种安全防御方式明显是不足够的，我们需要防火墙有其他更灵活的安全技术，例如通过将入侵检测功能与用户设置的安全策略集成一体，可以提高防火墙的安全性能，即使安全策略允许所有通信传输，入侵检测功能仍具备检测和拦截具有攻击性的行为和企图。
另外，有许多附加功能对于个人用户的意义也很大，例如让程序经您许可之后才可运行的程序控制功能，根据程序的特征判断是否为特洛伊木马的功能，此外，还有对于个人用户网络安全影响重大的隐私保护功能。
除了安全防御能力以外，防火墙软件自身的稳定性，运行时系统资源占用的程度，设置与管理是否方便等也应该列入考虑的范围。软件功能多通常会影响软件的稳定性，同时占用系统的资源也将更多，设置和管理的难度也会相应提高。个人用户应以适用和够用为原则，目前盲目地迷信企业版等防火墙软件的现象非常普遍，但实际上，大型网络系统大多以数据包过滤型硬件设备作为第一道防线，因此企业版防火墙对个人用户并不适用。

什么是TCP/IP？
互联网使用TCP/IP协议传输数据，TCP/IP指互联网上使用的一组协议。其中TCP和IP是该协议的主要部分：TCP也就是传输控制协议，该协议负责将每个通信信息分割为多个包含收发电脑的IP地址以及通信信息的数据包，然后由IP负责将数据包路由至目的地，路由的过程是互联网上的路由器根据数据包中的目的地址，决定数据包应该转发到哪一个路由器。当数据包到达目标电脑后，TCP协议再将各个数据包重组为完整的通信信息，如果有数据包没有到达或者有所缺少，TCP会请求发送信息的电脑重新传输需要的数据包。

什么是端口？
这里所说的端口，不是电脑硬件的I/O端口，而是软件形式上的概念。一台拥有IP地址的主机可以提供许多服务，如Web服务、FTP服务、SMTP服务等，那么一台服务器是如何同时提供这些服务的呢？这就是因为各种服务采用不同的端口，例如WEB采用80端口，FTP采用21端口等。

个人防火墙软件
下面我们一起来看看国内外流行的个人防火墙软件，了解各种防火墙软件的功能以及优缺点，以便帮助您选择最符合自己需要的个人防火墙软件。但在进行选择时需要注意，每一种个人防火墙软件都有不同的版本，这些版本的功能各异，因此，在此专题中，我们将尽量选择面向个人用户的防火墙软件版本。
Norton Internet Security
对于个人用户来说，Norton Internet Security（诺顿网络安全特警）是一款简单、易用并且功能强大的防火墙软件。该软件安装非常简单，通过软件提供的设置向导和友好的提示信息，用户可以轻松完成防火墙软件的设置。与其他同类软件相比，Norton Internet Security能够识别的应用程序种类更多，而且具有更加友好的安全警报界面，还特意为用户提供了警报助手功能，从而能帮助用户进一步了解安全警报的含义，并为不具备专业知识的用户判断风险的大小，提供相应的处理建议。

Norton Internet Security 除了提供防火墙软件的普通功能以外，还提供隐私保护、个人信息保护、网站内容控制、站点广告过滤、邮件过滤、密码保护、病毒防治、父母控制等一系列的安全防护功能。灵活地应用这些功能，一般家庭用户可以构建出一个安全的电脑网络系统。这里暂且先不讨论病毒防治、父母控制等有点超越防火墙软件专题范围的内容，其中的隐私保护功能对于任何注重网络安全的个人用户来说，都具有很高的实用价值。另外，Norton Internet Security还提供个人信息保护功能，您可以自定义需要保护的个人信息内容，防火墙软件将检测所有网络通信数据，确保您不会被病毒或者木马等恶意程序将这些信息通过互联网传输出去，可以有效地保护用户的秘密信息。

该软件最大的问题在于占用系统资源较多，但对于一款具有更多安全防护功能的软件来说，比一般的个人防火墙占用更多的系统资源也是无可厚非的。因此，对于同时需要多种安全防护功能的用户来说，该软件是一个很好的选择；对于只需要基本防火墙功能的用户来说，可以考虑关闭其中部分的功能以节省系统资源。
BlackICE PC Protection
“BlackICE PC Protection”出自国外著名的安全系统公司Internet Security Systems，该公司的安全软件产品主要针对大型网络系统和服务器应用领域。此软件除了使用一般个人防火墙软件的端口检测等技术以外，还使用了应用层过滤技术，并集成了强大的入侵检测分析引擎，能够识别多种入侵手段，与WEB、FTP之类的服务器软件也可以很好地协同工作。但是，该软件缺少隐私保护等附加功能，也缺少设置向导的功能。同时，对入侵的检测依赖于检测分析引擎与安全数据库，用户需要经常更新，但遗憾的是，该软件不提供自动更新功能，需要通过手工下载来更新。

“BlackICE PC Protection”的功能十分强大，除了可以对共享资源和NetBIOS网络进行控制以外，还可以控制网络通讯和程序的运行，拦截可疑的网络入侵和有木马特征的应用程序。该软件稳定性强，警报的灵敏度和准确率也非常高，需要用户设置与管理的功能较少，并且事件报告非常详细，阅读报告的界面也非常友好，是一款适合大部分用户的个人防火墙软件产品。

在安装软件的过程中，您要选择是否启动程序安全控制功能，默认情况下，安装完毕后，“BlackICE PC Protection”要扫描电脑内的所有硬盘，花费大量的时间。如果您只想扫描其中的某个硬盘，可以将其中止，然后再指定要扫描的硬盘。另外，网上还能找到该软件的汉化包，这对于国内的用户无疑是个好消息，但在汉化以后，将无法通过添加删除程序功能卸载该软件。
Kerio Personal Firewall
Kerio防火墙软件有多种版本，不同版本之间有很大的差别，在此向您介绍适合个人使用的Kerio Personal Firewall。免费、小巧、占用系统资源小是Kerio Personal Firewall吸引用户之处。该软件的功能十分强大，具有较完善的防火墙功能，可对程序的通信进行控制，能够检测出特洛伊木马，以及用户不知情的情况下，通过互联网传输数据的恶意程序。另外，Kerio Personal Firewall还具备截断电脑上所有的网络通信的控制功能，保护软件设置的密码保护功能，以及通过互联网进行远程管理等许多非常细致的功能。此外，Kerio Personal Firewall还能够很好地支持局域网络和网关工作环境，在大部分家庭的个人电脑上表现良好。

该软件的易用性比较差，个人用户版本提供程序通信控制功能，却不支持自动为应用程序建立防火墙规则的功能，因此，用户需要亲自进行设置才能发挥功能。此外，该软件不提供设置向导，同时，大部分设置选项也缺乏具体的说明，软件的帮助文档与事件日志也比较简单，阅读起来也非常不便，如果用户没有较高的电脑和网络知识，通常无法充分发挥Kerio Personal Firewall的全部功能。

McAfee Personal Firewall
McAfee Personal Firewall 在普通防火墙功能方面比较完善，并且各项功能都相当出色。但由于McAfee公司同时也提供隐私保护和垃圾邮件过滤软件，因此除了防火墙软件的普通功能以外，McAfee Personal Firewall几乎没有任何附加功能。与其他防火墙软件不同的是，该软件的许多功能都依赖于网站的服务，当应用程序请求访问互联网，或查看应用程序的信息时，McAfee Personal Firewall都要访问特定网站来检测该程序，例如利用黑客观察组织网站(Hackerwatch.org)来获取详细信息 。

当每个新的应用程序初次访问互联网时，McAfee Personal Firewall会询问您是否信任该程序，如果信任，该程序才被允许访问互联网，否则，该程序的所有通信都会被拦截。这种作法可以让用户了解哪款程序正试图访问互联网，但用户也会被不断弹出的应用程序警报所困扰。McAfee Personal Firewall提供了安全设置助手和设置向导，易用性不错，并且软件的操作界面非常美观。但美中不足的是，许多设置选项的人机界面设计得都不太理想，在检测程序和报告安全警报时的提示信息也缺乏对用户有帮助的内容。如果您也同时使用McAFee公司的另外几款安全软件产品的话，那么McAfee Personal Firewall是一个不错的选择。

Sygate Personal Firewall Pro
Sygate Personal Firewall Pro功能强大，对应用程序访问互联网的反应比较敏感，并且可以自定义防火墙的检测功能，甚至还可以设置防火墙规则在特定的时间生效。该软件可以在检测到有入侵的危险时发送电子邮件警报。Sygate Personal Firewall Pro对网络通信的检测很严格，还能够防止MAC地址和IP地址欺骗。（关于MAC地址和IP地址欺骗问题，可以参考CHIP 2002年第5期的《TCP/IP缺陷与防火墙技术》）

对于大部分个人用户来说，上述功能多数都未必用得上，并且软件的易用性比较差，用户需要具备比较丰富的专业知识才能够用得好。该软件提供了应用程序通信控制功能，却没有提供自动创建防火墙规则的功能，用户需要处理所有应用程序访问互联网的请求。在应用程序试图访问互联网时，虽然给出了非常详细的信息，但却没有给用户任何的处理建议。另外，只要应用程序有一点改变，即使打了个补丁，该应用程序访问互联网时，也需要重新设置防火墙规则。该软件的功能与特点使它更适合在服务器上使用。

ZoneAlarm Pro
ZoneAlarm Pro算得上是一款非常优秀的个人防火墙软件，软件的界面十分精美，并且简单易用。其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵，同时还能够自动检测局域网络的设置，确保来自内部网络的通信不受影响。ZoneAlarm Pro还具备广告过滤、隐私保护等功能，帮您清除Cookie等可能泄露个人隐私的内容，阻挡来自ActiveX和Java脚本的攻击，检测您的电子邮件中是否含有蠕虫病毒，清除自动弹出的广告窗口等。

ZoneAlarm Pro在安装完毕后，会通过设置向导帮助用户设置防火墙软件，最新版本的ZoneAlarm Pro在保留原来简单易用的设置方式的同时，还添加了专家级设定方式，当应用程序试图访问互联网时会发出警报，您可以控制该程序是否允许访问互联网，并进一步设置该程序是否允许发送电子邮件等。该软件十分体贴用户，您可以通过安全级别的选择简单配置防火墙规则，也可以通过高级选项详细设置各项功能。除了没有中文版本以及缺少自动为应用程序创建防火墙规则的功能以外，ZoneAlarm Pro没有多少毛病可挑。
天网个人防火墙
“天网个人防火墙”是早期国内用户比较喜欢的一款个人防火墙软件，由于该软件可以免费下载测试使用，并且网站提供安全检测服务，为用户检测电脑系统的安全情况所提供的帮助文件与在线使用手册的内容也十分丰富，它曾经是大部分国内用户的首选产品。但目前，它的情况却不尽如人意，软件更新缓慢，只提供一些基本的功能。“天网个人防火墙”提供多种预先设置的安全级别，同时也支持用户自定义应用程序的安全规则与系统的安全策略，支持应用程序通信控制，同时具备自动识别功能，但绝大部分的应用程序无法自动识别，用户需要在程序第一次访问网络时配置防火墙规则。此外，它还提供特洛伊木马和入侵检测功能，可以通过厂商的安全数据库自动查找系统的漏洞。

“天网个人防火墙”占用系统资源较少，中文的界面和简单的操作对于新手来说，也比较容易上手。安装时软件还提供设置向导，提示用户选择个人防火墙的安全级别，并帮助局域网环境下的用户设置本地电脑的IP地址，以确保不影响内部网络通信。该软件提供自动更新功能，惟一需要用户经常处理的就是应用程序访问互联网的请求，如果您不想处理这些请求，还可以将应用程序通信控制功能设置为“允许所有通信”。因此，对于安全风险较低，并且希望很少管理个人防火墙软件的用户来说，可以考虑使用该软件。


金山网镖
“金山网镖”是金山公司的个人防火墙产品，主要基于安全规则，通过高、中、低三种安全级别的设定，达到不同程度的保护用户安全的目的。该软件提供了应用程序网络通信控制功能，但只能够选择允许或者禁止应用程序的通信，无法通过防火墙规则对应用程序进行限制，软件的设置与管理功能也不完善。

当然，“金山网镖”也有自己的特色：软件提供一个家长保护功能，可以自动屏蔽一些常见的不适合青少年浏览的网站。提供一个系统漏洞扫描程序，可以检测当前操作系统可能存在的安全漏洞隐患，为您指出问题所在，并且提供微软官方补丁程序下载地址。此外，“金山网镖”还增加了一个无线局域网监控功能，此功能可以自动检测系统是否接入无线局域网，并对无线网络进行保护。
防火墙的局限性

在此次个人防火墙软件专题中，我们为您介绍了当前流行的个人防火墙软件，基本上这些防火墙软件都能够提供不错的安全防御功能，它们之间的差别只在于所使用的技术和所提供的功能不同。网络安全问题变化莫测，构建一个安全的网络系统，防火墙是必不可少的，但防火墙并非万无一失的，首先，作为互联网通讯基础的TCP/IP协议，就存在着难以完全根除的安全缺陷，在最初设计时就缺乏对安全的考虑，导致其存在一系列安全缺陷，诸如缺乏加密认证机制、TCP序列号易被猜测、定时器以及连接建立过程中存在大量问题等。

除了无法消除TCP/IP协议的致命弱点以外，数据延迟也是防火墙面临的一个难题。防火墙采用的滤波技术使网络的性能降低，过于简单的检测将无法起到安全防御作用，而过于复杂的话，延迟问题又将使网络系统无法支持实时服务请求。此外，您还需要考虑互联网的便利性，过于苛刻的防火墙安全设置可以提供更好的安全性，但不可避免地会影响系统的便利性，在两者之间取得平衡并不是一件简单的事情。配置防火墙可以解决大多数的网络安全问题，但并不能作到一劳永逸。

个人防火墙的使用
要使用好个人防火墙，除了挑选一款合适的软件以外，用户通常还需要具备一定的网络知识，对有关TCP/IP协议的基础知识要有一定了解，这样才能正确地设置安全规则。如果您不具备这样的条件，那么选择一款智能化程度较高的个人防火墙软件，可以减少不少麻烦。在使用程序控制、通讯控制以及特洛伊木马和入侵检测功能时，应避免频繁地设置安全规则与处理安全警报。因此，您应该选择一款易用性较高的个人防火墙软件，例如提供设置向导，帮助和提示信息友好，软件提示的安全警告容易读懂等。
Norton Internet Security 2003
Norton Internet Security是此次专题中表现比较突出的一款产品，下面为您介绍一下Norton Internet Security的使用方法。
安装
Norton Internet Security 安装步骤非常简单，软件使用微软的安装程序Microsoft Installer进行安装，需要用户干涉的有以下几步：

1. 选择是否安装Norton Antivirus病毒防护软件；
2. 选择是否需要安装“父母控制”功能；
3. 选择是否需要选择特定的路径安装该软件；
4. 选择是否需要在安装完成后马上更新软件。
另外，在安装完成时安装程序将自动弹出一对话框要求用户注册，您可以按自己的实际情况进行选择。
运行
安装完成并重新启动电脑后，“安全设置助手”将自动运行。安全设置助手分为五个类别：家庭网络、程序扫描、隐私控制、密码保护、父母控制，各项功能都可以按照向导的提示逐一进行设置。如果您在局域网环境中使用，可以在“安全设置助手”的“家庭网络”选项中，单击“设置家庭网络”按钮，然后按照“家庭网络向导”的提示设置局域网信息，使局域网内部的通讯不需要受到防火墙的限制。另外，对于初涉网络的用户，建议在“程序扫描”设置向导中单击“自动扫描程序”，让防火墙自动搜索硬盘上的应用程序。扫描完成后，Norton Internet Security会列出所有可以自动配置防火墙的应用程序，您只需选中准备允许其访问互联网的应用程序名称前的复选框，然后单击“完成”按钮，防火墙就会自动为这些程序设置防火墙规则。

在“安全设置助手”向导设置完毕后，防火墙将开始运行，除了在系统状态栏显示一个Norton Internet Security的地球图标以外，还会在屏幕的一侧显示一个半球形的“警报跟踪器”。当Norton Internet Security检测到需要报告的事件时，“警报跟踪器”会自动弹出并显示相应的提示信息。另外，“警报跟踪器”上还有一个“广告垃圾箱”，如果您启用了“禁止广告”功能，在浏览网站时，可以将准备禁止的广告用鼠标拖到“广告垃圾箱”中，防火墙就会自动为您设置相应的过滤规则。

双击系统状态栏上Norton Internet Security的地球图标，可以打开软件的主界面，其首页显示着当前防火墙各项功能的状态。单击功能的名称，该软件将显示一个打开或者关闭该项功能的按钮，以及另外一个对该功能进行配置的按钮。主界面的上方是一个“禁止通信”按钮，它可以截断所有网络通信，对于开机即在线的宽带网用户来说，该功能在发生突发事件时会非常有帮助。“禁止通信”按钮旁边是“Live Update”按钮，Norton Internet Security会定时自动更新，但您也可以使用“Live Update”按钮手工在线更新软件以及安全数据库。
响应警报
Norton Internet Security在检测到多种事件时将发出警报，下面为您介绍有关安全事件警报的处理方法。首先，当应用程序初次尝试访问网络时，防火墙将会发出警报，该警报的处理方法非常简单，您只需要简单地从下拉菜单上选择“允许”、“禁止”即可实现控制。如果您了解该程序的安全性，可以选择下方的“总是使用该操作”复选框，让防火墙对该程序访问互联网的请求执行相同的操作。另外，您也可以选择“创建防火墙规则”，按照向导的提示设置程序使用网络通信的权限，例如程序是否影响系统接受来自外部的连接请求，允许通信的网络地址、网络协议、端口等等。如果防火墙能够识别该应用程序，下拉菜单中将比平常多出一项“自动配置防火墙规则”选项，只需要选择它并单击“确认”，即可为该应用程序创建防火墙规则。

如果您不清楚该应用程序是否安全，可以单击“警报助手”的链接查看详细信息。警报助手中包括警报类型、威胁级别、触发此警报的通信、警报类型的含义、如何减少收到的警报数目等信息。您可以根据事件的情况自行判断，或是根据防火墙的判断和建议选择处理的方法。

多数与网络通信有关的安全警报都会触发“自动禁止”功能，它将自动禁止触发警报的网络主机地址在30分钟内与您的电脑建立任何连接，这样可防止别人试用各种方式反复进行攻击。 在Norton Internet Security 的主界面上，单击“警报信息”即可查看和管理被禁止连接的网络IP地址，单击“攻击者详情”按钮，可以查看被禁止的IP地址的进一步信息，这样有助于用户识别攻击源。

设置防火墙禁用QQ、MSN和联众游戏

校园网的建立为教师、学生提供了广阔的学习空间，但不可避免的是也带来了一系列的问题：如有的学生迷恋网上游戏、有的教师在正常的工作时间内利用QQ聊天等。因此，按着学校要求，作为网管就要禁止内网用户使用QQ、联众等聊天和网游软件，现对我们在处理过程中发现的一些解决方法，进行一下总结，希望能供各位同事参考。
阻断ＱＱ的连接
新版QQ不仅仅通过UDP方式登录服务器，还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送UDP包。

sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253

在阻断8000端口的连接后，发现QQ还会通过UDP的8001和TCP的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用，所以可以基于端口来做阻断规则。
在用防火墙阻断以上端口的数据包后，发现QQ还会通过TCP的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的IP地址来做规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器：

218.17.217.106
219.133.40.95
219.133.40.97
219.133.40.157
219.133.40.177
219.133.40.73
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42

在针对这些IP作阻断规则后，QQ已基本无法登录。
在试验中还发现，QQ安装目录下的Config.db文件，其中记录了QQ服务器的地址，与我们上面找到的完全符合。
因此，在用防火墙阻止用户使用QQ上网时，除了阻止TCP和UDP的8000、8001端口外，还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP：

61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40.21/73/89/90/92/95/97/157/177/189（这个网段的服务器地址较多，可以考虑阻断整个网段）

虽然以上方法可以起到阻断QQ连接的作用，但如果腾讯增加新的QQ服务器，QQ也还是可以登录的。另外，用第三方的代理软件如NEC E-BORDER等，支持Anonymous的Socks5代理还是可能绕过去，登录使用QQ。
阻断ＭＳＮ的连接
MSN的连接在除使用常规的1863端口外，还会使用7001和80端口，因为这两个端口涉及到其他网络服务的应用，所以也只能采用阻断QQ连接的方法，通过阻断与MSN服务器的连接，来达到用户要求。
以下列举了在试验中找到的服务器IP：

64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254

经查询，这些服务器IP都是北美地区的。
同样，如微软添加新的MSN服务器或者用户使用代理，还是可以登录MSN。
阻断联众的连接
阻断联众的连接相对来说就比较容易啦。在客户端连接服务器时，首先会与服务器的2000端口建立连接（61.55.138.219：2000）。在连接建立后，会用到服务器的1007、2001、2002、3015端口。
在试验中，只阻断了2000端口的数据包，客户端就已经无法连接服务器了。