以下的文章主要向大家講述的是正確配置防火墻服務(wù)的實際操作，除了應(yīng)用層網(wǎng)關(guān)防火墻外，其余的防火墻都需要使用端口、協(xié)議以及IP地址或計算機名來控制數(shù)據(jù)的傳輸。

配置Windows XP防火墻

除了應(yīng)用層網(wǎng)關(guān)防火墻外，其余的防火墻都需要使用端口、協(xié)議以及IP地址或計算機名來控制數(shù)據(jù)的傳輸。這是最重要的一點。一旦你頭腦中樹立了端口的概念，能夠在需要控制數(shù)據(jù)出入時想到去打開或關(guān)閉某些端口，那你就能比較輕松的完成對一些大眾化防火墻軟件的配置了。

我們在此將要配置的防火墻，以及大多數(shù)店里出售的防火墻軟件，其默認配置都是將所有的數(shù)據(jù)接收端口關(guān)閉。所以，如果你想要讓一臺Internet上的計算機訪問你所在網(wǎng)絡(luò)內(nèi)的某些部分，你就必須對默認配置加以修改。同時，也需要對應(yīng)用程序進行檢查，以確定它們各自將使用哪些端口。所有的軟件廠商都會在自己的軟件中加上這些信息的。

現(xiàn)在我們就來對兩種最普遍的防火墻進行配置。主要角色：Windows XP操作系統(tǒng)內(nèi)帶的防火墻程序及一臺普通的cable/DSL路由器。

配置WindowsXP防火墻：這是很簡單的工作，我們就從簡單的開始吧。

首先需要激活防火墻。以英文版XP為例，進入“start/control panel/network and Internet connections/network connections” ，然后右鍵單擊你的Internet連接，選擇“properties”

進入屬性頁后選擇“advanced”標(biāo)簽，然后點擊“Internet Connection Firewall”。

需要停下來說幾句。如果你還記得上文有關(guān)Windows XP防火墻的定義，你就應(yīng)該明白，剛才你所做的其實就是使一個包過濾和鏈路級網(wǎng)關(guān)的合成體開始工作?，F(xiàn)在你的計算機將會記錄下那些意圖訪問 Internet的本地程序，以便在對傳入數(shù)據(jù)檢查時作為參照。未被請求的數(shù)據(jù)包都會被防火墻拒之門外。

如果你也選擇開啟Internet連接共享，防火墻便也會受理那些來自與你同網(wǎng)的計算機的請求，就像網(wǎng)關(guān)一樣。XP的防火墻能夠有效的阻隔外界未經(jīng)授權(quán)的數(shù)據(jù)。

配置防火墻服務(wù)

XP的防火墻無法對你發(fā)送的數(shù)據(jù)進行過濾，這是其主要的不足之處。這也是危險隱患。因為你的計算機很有可能在你不知情的情況下被安置了特洛伊木馬程序，木馬程序回將你的個人信息發(fā)送至外網(wǎng)的預(yù)設(shè)地點。不對傳出數(shù)據(jù)進行過濾，意味著對木馬程序敞開大門。鑒于這個原因，你更需要保正經(jīng)常更新殺毒軟件了。

如果你想允許外網(wǎng)訪問內(nèi)網(wǎng)內(nèi)計算機上的程序，比如網(wǎng)頁或者FTP服務(wù)器，你必須在防火墻的設(shè)定欄里進行配置。

進入Internet連接屬性的高級標(biāo)簽，單擊對話框底部的“settings”按鈕。

屏幕上的每個列表選項都代表了一個操作系統(tǒng)的預(yù)置服務(wù)，你可以設(shè)定允許某個服務(wù)能從特定的端口能被外網(wǎng)的其它計算機訪問到。比如，選中“Web Server(HTTP)”列表項目，然后單擊“edit”按鈕。

可以看到，彈出的對話框列出了對該服務(wù)的描述，這有利于操作的便利性。“name or IP address of the computer hosting this service on your network”——建立此服務(wù)的主機名或IP地址——這個文本框里需要填寫你希望能夠被外網(wǎng)訪問的內(nèi)網(wǎng)計算機的名字或IP地址。

“The External Port #”(外部端口號)用于指定該內(nèi)網(wǎng)HTTP服務(wù)向外網(wǎng)開放的端口號。

“The Internal Port #”(內(nèi)部端口號)用于指定內(nèi)網(wǎng)計算機訪問問此服務(wù)的端口。倘若該HTTP服務(wù)運行在某臺內(nèi)網(wǎng)計算機而非網(wǎng)關(guān)上時，就需要填入運行服務(wù)的內(nèi)網(wǎng)計算機的服務(wù)端口 。這個步驟叫做端口映射。利用端口映射可以實現(xiàn)從Internet到局域網(wǎng)內(nèi)部機器的特定端口服務(wù)的訪問。

輕松創(chuàng)建你自己的服務(wù)

要創(chuàng)建自己的服務(wù)，你只需要搞清楚所要向外網(wǎng)開放的服務(wù)用的是哪個端口，并且還要知道它是遵循TCP還是UDP協(xié)議。如果圖個省事，在端口映射時讓外部端口號與內(nèi)部端口號保持一致就可以了。XP防火墻對于某些Microsoft應(yīng)用程序能夠自主的進行配置而無需手動干預(yù)，例如MSN Messenger。

建立家用的cable/DSL路由防火墻

由于目前市場上只有家用路由器的防火墻類別很多，它們使用的接口也不同，本文無法面面俱到，因而這部分的指導(dǎo)說明要比XP防火墻那部分的篇幅小的多。筆者用的是SMC Barricade 4 port wired/wireless route。記住一點，家用路由器中的防火墻默認是處于打開狀態(tài)，因此如果你不需要作任何自定義的設(shè)置，那只要將路由器直接連接好就可以了。

首先，需要登錄到路由器管理界面。一般情況下可在web瀏覽器內(nèi)輸入路由器的IP地址便可完成登錄。如果有任何疑難，可以參照手冊。

幾乎所有的家用路由器都使用NAT(Network Address Translation)作為其防火策略。NAT是鏈路級網(wǎng)關(guān)的諸多功能與包過濾防火墻的有機合成。

你將又有許多不同級別的功能，以此滿足不同安全模式的需要。所有的路由防火墻在缺省條件下都會阻隔外部非法數(shù)據(jù)，它們也可以進行某些特定端口的映射以讓外網(wǎng)能夠訪問內(nèi)網(wǎng)某個特定的應(yīng)用程序。

有一些應(yīng)用程序需要同時使用多個端口，這種情況下NAT防火墻就束手無策了。為了能應(yīng)付這類情況，一些路由器和防火墻加入了新功能，它們能夠創(chuàng)建特殊的意外程序處理過程，該過程會定義一個“觸發(fā)式端口”(trigger port)，意外程序處理過程會對觸發(fā)端口進行初始化工作，當(dāng)有程序使用到該觸發(fā)端口時，該程序所需的其它端口也將被開啟，允許外界的訪問。

以上的相關(guān)內(nèi)容就是對配置防火墻服務(wù)的介紹，望你能有所收獲。

【編輯推薦】

1. 如何為webmail系統(tǒng)部署配置防火墻端口
2. 合理配置防火墻 網(wǎng)絡(luò)安全的重要因素
3. 配置防火墻的CBAC