浅析计算机网络防火墙的设置

摘要：随着计算机网络技术的广泛普及，作为计算机网络安全保护手段之一的网络防火墙至关重要。本文就计算机网络防火墙的设置谈几点粗浅看法。

Abstract: With the widespread popularity of computer network technology, as one of the protection means of computer network security, firewall becomes more important. The paper discussed several points on the setting of computer network firewall.

关键词：计算机；网络；防火墙；设置

Key words: computer; network; firewall; setting

中图分类号：TP39 文献标识码：A文章编号：1006-4311（2011）03-0186-01

0引言

随着计算机网络技术的广泛普及，作为计算机网络安全保护手段之一的网络防火墙至关重要。网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。本文就计算机网络防火墙的设置谈几点粗浅看法。

1计算机网络防火墙的设置

1.1 系统设置系统设置有启动、规则设定、应用程序权限、局域网地址设定、其他设置几个方面。启动项是设定开机后自动启动防火墙。在默认情况下不启动，我们一般选择自动启动。这也是安装防火墙的目的。规则设定是设置向导，可以分别设置安全级别、局域网信息设置、常用应用程序设置。局域网地址设定和其他设置用户可以根据网络环境自由设置。

1.2 安全级别设置最新版的防火墙的安全级别分为高、中、低、自定义四类。把鼠标置于某个级别上时，可从注释对话框中查看详细说明。低安全级别情况下，完全信任局域网，允许局域网中的机器访问自己提供的各种服务，但禁止互联网上的机器访问这些服务。中安全级别下，局域网中的机器只可以访问共享服务，但不允许访问其它服务，也不允许互联网中的机器访问这些服务，同时运行动态规则管理。高安全级别下系统屏蔽掉所有向外的端口，局域网和互联网中的机器都不能访问自己提供的网络共享服务，网络中的任何机器都不能查找到该机器的存在。自定义级别适合了解TCP/IP协议的用户，可以设置IP规则，而如果规则设置不正确，可能会导致不能访问网络。对普通个人用户，一般推荐将安全级别设置为中级。这样可以在已经存在一定规则的情况下，对网络进行动态的管理。

1.3 应用程序访问网络权限设置当有新的应用程序访问网络时，防火墙会弹出警告对话框，询问是否允许访问网络，对用户不熟悉的程序，都可以设为禁止访问网络。在设置的高级选项中，还可以设置该应用程序是通过TCP还是UDP协议访问网络，及TCP协议可以访问的端口，当不符合条件时，程序将询问用户或禁止操作。对已经允许访问网络的程序，下一次访问网络时，按缺省规则管理。

1.4 自定义IP规则设置在选择中级安全级别时，进行自定义IP规则的设置是很必要的。在这一项设置中，可以自行添加、编辑、删除IP规则，对防御入侵可以起到很好的效果，也是本文要介绍的重点。对于对IP规则不甚精通，并且也不想去了解这方面内容的用户，可以通过下载安全规则库，将其导入到程序中，也可以起到一定的防御木马程序、抵御入侵的效果，缺点是对于最新的木马和攻击方法，需要重新进行规则库的下载。IP规则的设置分为规则名称的设定，规则的说明，数据包方向，对方IP地址，对于该规则IP、TCP、UDP、ICMP、IGMP协议需要做出的设置，当满足上述条件时，对数据包的处理方式，对数据包是否进行记录等。如果IP规则设置不当，防火墙的警告标志就会闪个不停，而如果正确的设置了IP规则，则既可以起到保护电脑安全的作用，又可以不必时时去关注警告信息。在防火墙的默认设置中有两项防御ICMP和IGMP攻击，这两种攻击形式一般情况下只对Win 98系统起作用，而对Win XP的用户攻击无效，因此可以允许这两种数据包通过，或者拦截而不警告。用Ping命令探测计算机是否在线是黑客经常使用的方式，因此要防止别人用Ping探测。对于家庭上网的个人用户，对允许局域网内的机器使用共享资源和允许局域网内的机器进行连接和传输一定要禁止，因为在国内IP地址缺乏的情况下，很多用户是在一个局域网下上网，而在同一个局域网内可能存在很多想一试身手的黑客。139端口是经常被黑客利用Windows 系统的IPC漏洞进行攻击的端口，用户可以对通过这个端口传输的数据进行监听或拦截，规则是名称可定为139端口监听，外来地址设为任何地址，在TCP协议的本地端口可填写从139到139，通行方式可以是通行并记录，也可以是拦截，这样就可以对这个端口的TCP数据进行操作。445端口的数据操作类似。如果用户知道某个木马或病毒的工作端口，就可以通过设置IP规则封闭这个端口。方法是增加IP规则，在TCP或UDP协议中，将本地端口设为从该端口到该端口，对符合该规则的数据进行拦截，就可以起到防范该木马的效果。

2防火墙设置操作实例

Kaspersky Anti-Hacker 是卡巴斯基公司出品的一款非常优秀的网络安全防火墙。它能保证你的电脑不被黑客入侵和攻击，全方位保护你的数据安全。

2.1 应用程序规则Kaspersky Anti-Hacker防火墙的应用级规则是一个重要功能，通过实施应用及过滤，可以让你决定哪些应用程序可以访问网络。当Kaspersky Anti-Hacker成功安装后，会自动把一些安全的有网络请求的程序，添加到程序规则列表中，并且根据每个程序的情况添加适当规则，如果对选中的程序比较了解，还可以自定义规则，为程序规定的访问的协议和端口，这对防范木马程序是非常有用。

2.2 包过滤规则Kaspersky Anti-Hacker提供包过滤规则，主要是针对电脑系统中的各种应用服务和黑客攻击来制定的，点击“服务/包过滤规则”菜单，打开包过滤规则窗口。双击可以进行编辑，这些规则把服务细化到通过固定端口和协议来访问网络。

2.3 网络防火墙的应用Kaspersky Anti-Hacker防火墙可以阻止10种各类攻击，入侵检测系统默认是启动的。打开“服务/设置”菜单，切换到“入侵检测系统”标签，可以调整每项的具体参数的设置，以扫描TCP端口为例，默认是当扫描到15个端口和5秒钟就认为遭到TCP端口扫描攻击，开始对攻击的IP进行60分的通讯拦截。上网时当遭到黑客攻击时，防火墙的程序主窗口会自动弹出，并在窗口级别的下方显示出攻击的类型和端口。这时你可以根据情况禁用攻击者的远程IP地址与你的电脑之间的通讯，并且在包过滤规则中添加上禁止该IP 地址通讯的规则，这样以后就再不会遭到来自该地址的攻击了。

参考文献：

[1]周立.计算机防火墙技术原理分析及应用展望[J].硅谷，2008，10.

[2]陈秀岩.计算机防火墙技术[J].电视工程，2001，2.