以下的文章主要向大家描述的是網(wǎng)絡(luò)防火墻的設(shè)置的小技巧，如今網(wǎng)絡(luò)防火墻已經(jīng)成為了各位網(wǎng)友上網(wǎng)，但是又有對(duì)少人能讓他的網(wǎng)絡(luò)防火墻真正發(fā)揮他的作用呢？許多人對(duì)于網(wǎng)絡(luò)防火墻的功能不加以設(shè)置，對(duì)網(wǎng)絡(luò)防火墻的規(guī)則不加以設(shè)置——這樣，網(wǎng)絡(luò)防火墻作用就會(huì)大大減弱……

網(wǎng)絡(luò)防火墻的默認(rèn)設(shè)置一般都只能是普遍的設(shè)置，也就是說這樣的設(shè)置要大致適合成千上百用戶。試問，這樣的設(shè)置就一定會(huì)100%適合你嗎？肯定不可能。下面，我就以我自己實(shí)踐的經(jīng)驗(yàn)，談?wù)勎易约旱目捶ā?/p>

功能設(shè)置篇

功能設(shè)置屬于外部設(shè)置。為什么這樣說呢？主要因?yàn)?，這些設(shè)置不會(huì)改變規(guī)則中要求攔截和放行對(duì)象。

對(duì)于我這個(gè)經(jīng)常上網(wǎng)的寬帶用戶來說，隨機(jī)啟動(dòng)是絕對(duì)不可少的。如果是撥號(hào)用戶或不常上網(wǎng)的用戶來說，防火墻的啟動(dòng)有兩種方案：

方案一：上網(wǎng)前手動(dòng)開啟防火墻(一般用戶)

方案二：用一個(gè)文件使防火墻和網(wǎng)絡(luò)連接一起啟動(dòng)(高級(jí)用戶)

通常，網(wǎng)絡(luò)防火墻都會(huì)有一個(gè)安全等級(jí)選項(xiàng)。對(duì)于這個(gè)選擇，絕對(duì)不可以隨便選。因?yàn)椋胁簧儆脩艟褪且驗(yàn)椴桓鶕?jù)實(shí)際情況選擇，而導(dǎo)致無法使用某些網(wǎng)絡(luò)資源或被黑客有機(jī)可乘。

像我這樣的固定ip的技術(shù)性局域網(wǎng)用戶來說，我認(rèn)為設(shè)置為中等即可。因?yàn)?，我們不像某些用戶那樣可以隨意改變自己的ip，所以我們的防御必須比動(dòng)態(tài)ip用戶要高一些。

但是，是不是越高越好呢？不是。某些用戶，因?yàn)椴磺袑?shí)際的把安全等級(jí)設(shè)置為高級(jí)，而又不會(huì)在規(guī)則中設(shè)置相應(yīng)網(wǎng)絡(luò)規(guī)則，而導(dǎo)致無法使用某些網(wǎng)絡(luò)資源，如在線直播等。

因此，我建議一般用戶將規(guī)則設(shè)置為中低即可。

至于其他報(bào)警設(shè)置等，我也不想多說了。但是，我還是要提醒一句，攔截一定要記錄在日志里。這樣才以便我們復(fù)查。

規(guī)則設(shè)置篇

ICMP IGMP炸彈都讓一些用戶感到心驚膽戰(zhàn)。所以，某些用戶索性禁止所有ICMP和IGMP。

這樣，顯然是不大好的設(shè)置。為什么呢？因?yàn)镮CMP IGMP固然被人利用來做炸彈，但是總不能“寧可殺錯(cuò)一萬，不能放走一個(gè)”的全部攔截。且不說別的，就說因?yàn)槿繑r截ICMP IGMP所耗費(fèi)的系統(tǒng)資源就數(shù)不勝數(shù)……

我建議，攔截的只需是ICMP的1型(即echo requset)就已經(jīng)足夠了。為什么呢？攔截ICMP的1型主要是為了防黑客用ping命令查詢你是否在線，所以此類ICMP必須攔截。

如果你還是擔(dān)心ICMP IGMP炸彈，不妨去微軟那打個(gè)補(bǔ)丁。

網(wǎng)絡(luò)防火墻的一大功能就是防木馬和防黑客，所以自己設(shè)置規(guī)則攔截木馬和阻截黑客是必要的。

你也許會(huì)說，網(wǎng)絡(luò)防火墻不是有默認(rèn)的規(guī)則嗎？的確，有。但是，這只是最常見的木馬和漏洞。對(duì)于新的危害大的木馬和漏洞，恐怕原先的規(guī)則就不能勝任他的任務(wù)了。

那么，我們?cè)鯓釉O(shè)置規(guī)則呢？

首先，我們必須利用反病毒廠家網(wǎng)站提供的信息。因?yàn)?，那里詳?xì)記載了許多病毒、木馬的分析結(jié)果和漏洞的資料。我認(rèn)為哪怕你有分析木馬源程序和找出漏洞的能力，也沒必要任何事情都親力親為，因?yàn)槟抉R和漏洞是在太多了，全部代碼都自己分析，根本是不切實(shí)際的。

然后，就設(shè)置自己的防火墻。由于不同廠家網(wǎng)絡(luò)防火墻設(shè)置規(guī)則上有所不同，所以本文不可能詳細(xì)講解。

當(dāng)然，這需要一定專業(yè)知識(shí)。對(duì)于一般用戶來說，恐怕就有點(diǎn)困難了。怎么辦？不怕，可以借用別人的成果。例如，去論壇請(qǐng)教高手或直接發(fā)郵件詢問高手即可解決。

還應(yīng)該提醒大家的是防火墻規(guī)則不要重復(fù)，更不要矛盾。重復(fù)的規(guī)則浪費(fèi)系統(tǒng)資源;矛盾的規(guī)則讓防火墻左右為難，最終讓別人有機(jī)可乘……

網(wǎng)絡(luò)防火墻設(shè)置是一門永遠(yuǎn)也講不完的學(xué)問，有興趣你也可以去研究研究。

【編輯推薦】

1. Linux網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)并不難！
2. 常用的網(wǎng)絡(luò)防火墻有哪些款？
3. 提高管理與維護(hù)水平 企業(yè)網(wǎng)絡(luò)防火墻管理經(jīng)驗(yàn)談
4. 攻防技術(shù) 網(wǎng)絡(luò)防火墻防范溢出策略解析
5. 網(wǎng)絡(luò)防火墻：全方位維護(hù)網(wǎng)絡(luò)安全不馬虎