很多网络初级用户认为，只要装了杀毒软件，系统就绝对安全了，这种想法是万万要不得的！在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。怎样才能让我们的系统立于如此险恶的网络环境呢？光靠杀毒软件足以保证我们的系统安全吗？下面我就从影响系统安全的几个方面来剖析防火墙的重要性。

现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件攻击。杀毒软件发展了十几年，依然是停留在被动杀毒的层面（别看那些自我标榜主动防御，无非是一些骗人的幌子，看看这个文章就知道了），而国外的调查表明，当今全球杀毒软件对80%的病毒无法起到识别作用，也就是说，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，就如警察抓住一个小偷，这个小偷留着大胡子，于是警察就天天在街上盯着大胡子的人。这样的杀毒效果可想而知。同样的道理，杀毒软件对于木马、间谍软件的防范也是基于这种方式。

现在病毒、木马的更新很快，从全球范围内来看，能造成较大损失的病毒木马，大部分都是新出现的，或者是各类变种，由于这些病毒木马的特征并没有被杀毒软件掌握，因此杀毒软件对它们是既不能报警，也无法剿杀。难道我们就任病毒木马宰割了吗？当然不！高手岂能向几个病毒木马低头！虽然杀毒软件只能干瞪眼，可是我们还有严守大门的防火墙呢！

防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢？这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的人进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），则防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动报警，并发出提示是否允许这个程序放行，这时候就需要你这个“最高统帅”做出判断了。一般来说，自己没有运行或者不太了解的程序，我们一律阻拦，并通过搜索引擎或者防火墙的提示确认该软件的性质。

写到这里，大家估计对杀毒软件和防火墙的区别有一定了解了，举个直观的例子：你的系统就好比一座城堡，你是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。杀毒软件负责对进入城堡的人进行鉴别，如果发现可疑的人物就抓起来（当然，抓错的几率很大，不然就没有这么多误杀误报事件了）；而防火墙则是门卫，对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向最高统帅确认。因此，任何木马或者间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码，可是由于防火墙把城门看得死死的，再多的信息也传不出去，从而保护了你的系统安全。

另外，对于黑客攻击，杀毒软件是没有任何办法的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，让黑客找不到入口，自然也就保证了系统的安全。

目前全球范围内防火墙种类繁多，不过从个人经验来说，推荐
防火墙软件下载和使用技巧
http://www.lucky8k.com/thread-5302-1-1.html

让PC直接暴露在Internet上，就好比离家时不锁房门，最后的结果是有人有意或无意地闯入您的房间，将金银珠宝一扫而光。怎样才能保障系统的安全呢？安装防火墙软件算是最常采用的措施了吧，而通常作为补充手段，安装基于硬件的防火墙也是常用的措施。

　　而即便您是一位经验丰富的老手，配置防火墙也并不是件轻松的活儿。如果您曾经放弃了安装防火墙的念头，或者不能确定防火墙是否对系统进行了全面的保护，没关系，今天我们将为您解析个中奥妙。

　　翻开韦氏大词典(Merriam-Webster)，“Firewall”的本来含义是: 一堵用来阻挡火情蔓延的墙。在信息技术领域，防火墙是用来防止计算机受到来自Internet有害入侵的。与火灾不同，来自网络的威胁不是仅仅影响那些临近的计算机，如果某人利用了您的IP地址，以及TCP或UDP端口，无论距离多远，您的系统都会被击中。 　

　　无论何时，只要您使用了浏览器、E-mail，或者从Internet站点、远端服务器下载文件，数据都是通过系统中的一个或多个端口进行传递的。而那些电脑黑客，无论是窥探系统的天才少年，老谋深算的间谍程序，还是Windows XP信使服务弹出的垃圾信息，其攻击策略都相同——即发现一个能够进入系统的开放端口，或者欺骗您打开一个这样的端口。 　　

　　防火墙可以监视数以千计的端口——无论是拨号连接的还是使用宽带网络——它都可以阻止那些未授权的访问请求。基于硬件的防火墙通常集成在路由器和网关产品中，它们处于PC和Cable或DSL Modem之间。而软件防火墙则运行在PC之上。 　　

　　对于硬件防火墙来说，它们更擅长于保护那些通过宽带连接的PC网络。更重要的是，它们不仅兼具路由功能，还充当了一个NAT(网络地址转换，Net Address Translation)服务器，可以向外来的访问者隐藏局域网中计算机的IP地址。

　　仅仅出于这个原因，硬件防火墙就足以成为宽带用户的明智选择，即便是您拥有的只有一台PC而已。这时您不妨购买像Linksys VEFSR41或D-Link DI-704P的4端口路由器，它们的价格不高，大约在300～400元。有的产品还内置了无线接入模块，价格上可能会稍贵一些，您可以在相关的网站上查询详细的信息。

　　防火墙的选配策略 　　

　　硬件防火墙具有高度的可配置性： 它能够阻止指定端口外所有的数据进出。因此，规划和配置硬件防火墙需要做大量的工作。相反，软件防火墙运行在您的PC之上，相对来说比较容易设置和维护。除了阻挡通过开放端口的非法访问外，软件防火墙还可以阻止恶意程序向远端服务器发送数据(就像那些天才少年编写的木马程序、间谍软件以及后门软件等)。 　　 如果您通过拨号方式连接到Internet，那么外置的硬件防火墙就不见得是您的最好选择，软件防火墙在这方面的优势则十分明显。对于Windows XP用户来说，如果单单通过系统内集成的ICF(Internet Connection Firewall，Internet连接防火墙)来保护PC是比较冒险的。　　

　　ICF的启用方法是，选择“开始”*“控制面板”*“网络连接”，右键点击需要保护的Internet连接，在快捷菜单中选择“属性”选项，进入“高级”选项卡，选中“通过限制或者阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选项，点击“确定”按钮即可

虽然这样多少会减轻些系统安全方面的压力，但这样是远远不够的。按照上面的方法设定后，比没有防火墙安全了许多，但是与其他的专业软件防火墙相比，Windows XP内置的防火墙只能对进入连接进行监视。因此，像Back Orifice、NetBus或其他后门程序就会有机可乘，ICF对于这种类型的非法访问是无能为力的。