10个注意事项 助你挑选桌面防火墙

桌面的防火墙是你进行可靠安全部署的第一道防线。并且，实际上你也从不缺乏可选产品。在你决定何种技术才是你最需要的时候，这里有几个因素你应当多加留意：

颗粒度

有些时候，假定你已经拥有了最佳的解决方案是很容易的，因为解决方案恰恰就在你的面前。那就是使用操作系统的防火墙。在Windows中，Windows XP和Windows Vista的防火墙

都有极好的价格（免费），良好的综合，通过组策略进行的管理，以及很好的功能集合。尽管XP下的Windows防火墙缺乏同其他产品的颗粒度，但它对SOHO一族，以及对花费敏感的

环境来说，可能是最佳方案。

而Vista版本的Windows防火墙提供了更完备的功能，给于你更多微小的控制，比如通过配置防护外向的安全威胁。

与VPN连接的综合能力

某些产品允许远程用户使用的VPN客户端中集成了基本的防火墙功能。这样的一个产品可以在客户端成为你的防火墙。一个范例就是Check Point的VPN-1安全客户端（SecureClient

），它就是内部集成了防火墙元件，可以使用基于策略的防火墙配置规则。

好习惯
允许策略可以在本地进行管理，或者通过一个口令让其通过，这样用户就可以自己进行支持了——如果你希望这么做的话。尽管无法适用于所有的情况，但是可能常有一些临时的

企业需求，要求对特定客户临时禁用安全规则。可以思考一种方式，或者使用一个口令，或者使用远程方式，或者禁止一个口令以临时允许这样的一个连接。

防止用户修改的保护

确保你的防火墙有一种机制可以阻止用户想办法获取防火墙的配置。你可能会对那些水平一般用户们的发现大为惊讶，而这些都拜Google和Wikipedia所赐。当然，如果你的防火墙

策略不是太有拘束性的话，用户们对设法篡改防火墙配置的兴趣就会小得多。

好习惯
不要一次使用两个防火墙。一个常见的错误配置是使用一个商业防火墙，同一时间还使用操作系统自带的防火墙（可能是无意中造成）。切记，在Windows XP的案例中，如果你是

在使用一个商业产品来作为桌面防火墙，那么就要保证已经设置了组策略，以确保Windows的防火墙被禁用。

IPSec策略

为你的基础结构创建一个涵盖多个方面的安全策略听起来非常具有诱惑力，包括一个桌面防火墙，反病毒扫描，恶意软件/广告软件/间谍软件的阻挡，以及在客户端建立一个IPSec

策略的可能性（以及服务器和物理层面的安全策略）。一个IPSec策略，在活动目录域配置的Windows XP范例中，允许良好的管理以及对协议栈的详细配置。但是这样全不相同的系

统和配置可能会难于响应快速发作流行的攻击，也难于根据情况实施其他快速的修改以便对技术进行迅速的调整。

安全差异

对桌面电脑而言，保护系统安全最重要的两个技术部件可能就是反病毒软件包，和个人防火墙了。在你评估防火墙的选项时，应当考虑使用一个和你的反病毒软件完全不同的品牌

。即使其中的任何一个产品发生了诸如关键漏洞，故障，被攻破，或其他类似的危险情况，导致其中的某个产品彻底失去作用，起码你的安全策略还有另外一个部分对此风险免疫

，可以继续保护你的安全。

配置控制

在过去的日子里，你仅仅需要对来自外部环境的威胁进行防范。但现在，你对内部可能发生的威胁也必须进行防范了。所以当选择产品时，确认你是否可以允许来自特定子网的特

定种类通信（用于企业运作）通行，或是在特定的时间段内，或是占用特定的带宽水平。这些种类的问题和该解决方案的颗粒度有关。对于企业的桌面防火墙（特别是对远程用户

），你应当寻找最高级别的功能，通过基于策略的配置来保护系统免受攻击。一个基于策略的配置是在风险状况和企业规则发生改变时，用于动态调整配置的最好工具，可以确保

配置以及整体的柔韧性。

环境标准化

确保你有一个标准化的桌面环境来进行一致的管理和相同的防火墙产品行为，因为有些产品在不同的操作系统上可能没有相同的功能集——或者根本无法使用。回到使用一个基于

策略的配置状况下，你可以始终如一的通过这种方式来对系统进行配置，并对防火墙进行部署。一个十分彻底的桌面防火墙系统策略，可以让你为系统提供十分强力的保护，而在

协议级别的正确配置，则一般会是系统防护的首道防线。记住，无论如何，这可能会去除部分用户早已习惯了的，存在于客户空间的一些功能。（这句话的言外之意就是：你可以

发现他们正在做些什么原本不该做的事情，因为这些事情都将无法继续进行了——比如P2P，盗用无线网，以及其他等等）

数据管理

通过记录数据包，或者记录数据包调试数据，防火墙产品可以轻易的耗尽本地（或者远程）的存储资源。仔细判断到底需要记录什么，以及应该保留多少记录。再考虑一个基于策

略的管理配置，这样可以允许你根据需求来动态的进行调整。

外向保护

不难想象，一台桌面电脑可能会成为蠕虫发作，病毒发作，或其他安全风险爆发的源头。如果一个产品可以有外向过滤（基于端口级别）的防护，你就可以保护自己在尚无补丁的

情况下免受危险再度传播的风险。同样，这种防护可以阻挡特定的扫描行为，点对点行为以及其他桌面系统可能试图发起的违禁行为。

一致性

对桌面环境来说，唯一一件比没有防火墙还要更坏的事情就是——每一台电脑都有一个完全不同的防火墙解决方案。应当努力完成一个一致的配置（基于策略配置的最后一步），

这个配置可以满足你的安全策略，商业功能需求，连接风险度，以及用户需求。

查看本文的国际来源