软件防火墙

9.2.2　软件防火墙

所谓软件防火墙，指的是防火墙的功能通过一个软件系统来完成。目前有很多软件防火墙，如微软的ISA SERVER、诺顿防火墙、瑞星防火墙、天网防火墙等等，在此以瑞星个人防火墙2004为例，介绍软件防火墙的设置方法。

一、瑞星个人防火墙的安装

瑞星个人防火墙的安装非常简单，只需选择默认选项即可。

二、瑞星个人防火墙的设置

任何上层应用程序要进行数据传输，必须依靠下层的传输层协议进行传输，传输层的主要协议有TCP和UDP协议。如HTTP和FTP应用采用TCP协议传输，而DNS等采用UDP协议进行传输。同时，传输层协议可以与多个应用程序进行通信，为了区别不同的应用程序，采用端口号来进行区别。端口就像门一样，门开着，数据可以通过；门关着，则数据不能通过。所以只要将TCP或UDP协议的某个端口关闭，则使用TCP或UDP协议的该端口的应用程序就不能进行数据传输了。这就是现在绝大多数防火墙的工作原理。瑞星个人防火墙的工作原理也不例外。接下来，根据以上理论知识，我们来进行瑞星个人防火墙的设置。

启动瑞星防火墙主界面，如图9-8所示。

图9-8　瑞星个人防火墙的主界面

在此我们从网络技术的角度给大家介绍瑞星个人软件防火墙的高级设置功能（而默认安装的是一般安全级别），所以将瑞星防火墙的安全级别设为最高安全级别。其设置方法是：在图9-8中单击“选项”中的“设置”选项，出现如图9-9所示界面。在图9-9 中，选中“最高安全级别”选项，按“确定”按钮后，则将瑞星防火墙的安全级别设置为高级（即只有符合相应安全策略的包能通过防火墙，其他任何数据均不得通过防火墙）。为了保证计算机的最大安全性，可以将瑞星个人防火墙中的默认安全策略全部删除，这样，在没有安全策略的情况下，任何数据包均不能通过计算机。删除所有的系统策略的方法是：在图9-8中，选择“选项”菜单中的“规则设置”选项，出现如图9-10所示界面。在图9-10中，选择所有的规则，按“Del”键，便可删除所有的规则。当删除了所有规则后，计算机便不能访问网络，同时网络上的计算机也不能访问该计算机，这样，该计算机便有最大的安全性，任何数据包都将被过滤掉。

图9-9　设置最高安全级别

图9-10　选中所有策略，按Del键删除所有策略

当然，病毒和恶意攻击也被过滤掉，但这样的计算机连入网络是没有实际价值的。所以接下来我们给大家讲述用户的一些高级设置。

假设用户现在仅能访问网页，而其他内容均不得访问，其设置方法为：

分析：要访问网页，要用到HTTP协议，而HTTP协议依靠下层的TCP协议的80端口进行数据传输，访问网页的数据传输方向是“接收”。所以第一步就是要在规则中添加一条允许TCP协议的80端口接收数据的规则。但大家一定要注意，在访问网页过程中还涉及另外一个过程，就是域名解析。由于所有规则均已删除，域名解析的数据包不能通过防火墙，所以还必须添加另外一个规则：允许UDP协议的53端口接收DNS服务器发过来的域名解析数据包。

设置过程：

1．添加规则一：允许UDP协议的53端口接收数据。

在图9-11中选择“规则”菜单中的“添加”选项后，便会出现如图9-12所示界面。在图9-12中依图示填入相应内容，便建立了“允许UDP协议的53端口接收数据”的规则。

图9-11　添加策略

图9-12　设置允许域名解析的策略

2．添加规则二：允许TCP协议的80端口接收数据。依图9-13所示填入相应内容即可。

通过以上两步后，瑞星个人防火墙的规则显示如图9-14所示，其中包括我们刚才所建立的两条规则。这时，大家可以测试一下，是否可以访问网页。除了能访问网页外，发邮件、聊QQ、打游戏、下载软件等均无法进行。这样便最大限度地保护了计算机不受病毒感染和非法攻击。当然，需要什么规则，必须手工设置，这样显得很麻烦，但却得到了较高的网络安全性能。

请大家查找资料，添加允许访问腾讯QQ的规则（提示：腾讯QQ服务器采用UDP协议的8000端口发送数据，而客户端采用UDP协议的4000端口接收数据）。

图9-13　添加允许HTTP协议接收数据的策略

图9-14　添加了两个策略后的界面