殺毒軟體防火牆，一個不能少！

　我們為什麼需要防火牆？

　　很多網路初級用戶認為，只要裝了殺毒軟體，系統就絕對安全了，這種想法是很危險的！在現今的網路安全環境下，木馬、病毒肆虐，黑客攻擊頻繁，而各種流氓軟軟體、間諜軟體也行風作浪。怎樣才能讓我們的系統保全於如此險惡的網路環境呢？光靠殺毒軟體足以保證我們的系統安全嗎？下面我就從影響系統安全的幾個方面來剖析防火牆的重要性。

　　現在的網路安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟體的竊密。殺毒軟體發展了十幾年，依然是停留在被動殺毒的層面（當主動防禦這個概念出現以後，國內一些殺毒廠商紛紛標榜已經實現主動防禦，實際上無非是炒作一些概念賺取眼球，這點急功近利的心理也是導致他們停滯不前的原因之一），國外的調查表明，當今全球殺毒軟體對80%的病毒無法起到識別作用（參考：http://column.chinabyte.com/388/ ... �被動的方式。

　　病毒和木馬的製造者們抓住了殺毒軟體的這個致命弱點，不停地開發新的變種，代碼特徵的頻繁改變讓被動的殺毒軟體無所適從。從全球範圍內來看，能造成較大損失的病毒、木馬大部分都是新出現的，或者是各類變種。由於這些病毒木馬的特徵並沒有被殺毒軟體掌握，因此殺毒軟體對它們是既不能報警，也無法剿殺，甚至導致一些殺毒軟體本身都被病毒殺死而無法啟動！

　　難道我們就只有任病毒木馬宰割的份了嗎？

　　當然不！高手豈能向幾個病毒木馬低頭！雖然殺毒軟體只能幹瞪眼，可是我們還有嚴守大門的防火牆呢！

　　防火牆為什麼就能擋住病毒木馬甚至是最新的變種呢？這就要從防火牆的防禦機制說起了。防火牆是根據連接網路的數據包來進行監控的，也就是說，防火牆就相當於一個嚴格的門衛，掌管系統的各扇門（埠），它負責對進出的所有人（應用程序所發出的數據包）進行身份核實，每個人都需要得到最高長官的許可才可以出入，而這個最高長官，就是你自己了。每當有不明的程序想要進入系統，或者連出網路，防火牆都會在第一時間攔截，並檢查身份，如果是經過你許可放行的（比如在應用規則設置中你允許了某一個程序連接網路），防火牆會放行該程序所發出的所有數據包，如果檢測到這個程序並沒有被許可放行，則自動彈出提示是否允許這個程序通行，這時候就需要你這個「最高統帥」做出判斷了。一般來說，自己沒有運行或者不太了解的程序，我們一律禁止通行，並通過搜索引擎或者防火牆的提示確認該軟體的性質。

　　寫到這裡，大家估計對殺毒軟體和防火牆的區別有一定了解了。舉個直觀的例子：你的系統就好比一座城堡，你是這個城堡的最高統帥，殺毒軟體和防火牆是負責安全的警衛，各有分工。殺毒軟體負責對進入城堡的人進行鑒別，如果發現可疑的人物就抓起來（當然，抓錯的幾率很大，不然就沒有這麼多誤殺誤報事件了）；而防火牆則是門衛，對每一個進出城堡的人都進行檢查，一旦發現沒有出入證的人就向最高統帥確認。因此，任何木馬或者間諜軟體，或許可能在殺毒軟體的眼皮底下偷偷記錄你的帳號密碼，可是由於防火牆把城門守得滴水不漏，阻止了所有木馬或間諜軟體發出去的信息，從而保護了你的系統安全。

　　另外，防火牆還有一個優點，就是可以防禦黑客對系統的攻擊，這是殺毒軟體無法做到的，因為黑客的操作不具有任何特徵碼，殺毒軟體自然無法識別，而防火牆則可以把你系統的每個埠都隱藏起來，黑客掃描你的IP的時候，不返回任何數據包，這樣黑客就無法發現你這個系統的存在，從而使對方無法攻擊你。

　　我們需要什麼樣的防火牆？

　　本人從98年開始上網，到現在已經有8個年頭了，總結八年的上網歷程，朋友給我一個很經典的評價：你其實在進行另一場的8年抗戰。對於這個評價，我覺得很貼切。我是一個網路安全愛好者，從菜鳥到中鳥（還不敢自稱老鳥，嘿嘿~~）從混客到紅客，一步步走到現在，黑了無數系統，也被無數高手黑過。我第一次接觸防火牆是在1999年，那時候國內幾乎還沒有防火牆這個概念，當時天網防火牆推出第一個軟體防火牆，出於好奇，就裝來嘗試一下。不可否認，天網防火牆1.0版本完全無法和今天的天網3.0相比，很多功能都沒有，只有最基本的防禦功能。但是在99年，國內無論是黑客還是網民，幾乎都還處於起步階段，一個很菜的黑客可以通過網上的工具隨便黑掉N台伺服器，而一個最基本的防護軟體也可以阻止N多所謂的「黑客」。就這樣，硬是憑著當時國內唯一的防火牆軟體，頂住了2000年那場中美黑客大戰（後來才知道，黑客大戰期間，中央電視台和人民日報的網站被國外黑客列為「必須攻破的網站」，攻擊高峰期3分鐘都有一次，卻因有天網的硬體防火牆守護著，兩個重點網站一直安然無恙）。

　　隨著時間的推移，我開始研究國外的防火牆，用過LOCKDOWN、ZA、OP、LNS等防火牆，總的來說，國外防火牆發展較早，因此有些地方比較完善，但是對於國內用戶來說，存在三個必須跨越的障礙：一是國內硬體水平落後於國外，因此我們在使用國外防火牆的時候總會覺得系統有點力不從心；二是大部分國外防火牆缺少中文版本，而打那些漢化補丁，又影響了軟體的穩定性；三是國外軟體的設置習慣都是根據外國人的習慣作為藍本的，以至於國內用戶用起來很不順手。在仔細的權衡下，我最終又回歸到了天網防火牆的用戶群中，這時候，天網已經是2.6的版本號了。

　　總結一下使用防火牆需要注意的幾點：

　　1、防火牆就像看門狗，如果你沒錢裝防盜門（硬體防火牆），那麼養個狗是不錯的選擇：）
　　2、狗多了並不是好事，兩個狗一起會經常打架，所以不要裝多個防火牆，除非你想系統衝突導致崩潰。
　　3、食量很大的狗不是普通人就能養的起的，因此建議裝個節省資源的防火牆，除非你的內存實在大得可以當硬碟：）
　　4、一條靈敏的狗勝過N條蹩腳的狗，如果防火牆的處理速度不夠快，當通過系統的數據包很多的時候，就要嚴重影響系統效率了，甚至徹底死機。
　　5、養一條不聽話的藏獒還不如養一條容易駕馭的家犬，防火牆也是一樣，易用性決定你是否能輕易駕馭它。

　　綜合以上五點原則，推薦大家使用天網防火牆。當然，如果你要問我天網防火牆是不是最好的防火牆，我可以明確告訴你這個世界上沒有最好的防火牆，只有適合自己的，才是最好的！試著使用它，也許你就能找到你心目中最好的防火牆：）

只有適合自己的，才是最好的！